[go: up one dir, main page]

DE10113917B4 - Verfahren und Vorrichtung zur Überwachung von Steuereinheiten - Google Patents

Verfahren und Vorrichtung zur Überwachung von Steuereinheiten Download PDF

Info

Publication number
DE10113917B4
DE10113917B4 DE10113917.9A DE10113917A DE10113917B4 DE 10113917 B4 DE10113917 B4 DE 10113917B4 DE 10113917 A DE10113917 A DE 10113917A DE 10113917 B4 DE10113917 B4 DE 10113917B4
Authority
DE
Germany
Prior art keywords
data
control unit
program level
programs
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10113917.9A
Other languages
English (en)
Other versions
DE10113917A1 (de
Inventor
Margit Mueller
Lilian Kaiser
Stefan Keller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE10113917.9A priority Critical patent/DE10113917B4/de
Priority to US10/101,820 priority patent/US6918064B2/en
Priority to FR0203450A priority patent/FR2822562B1/fr
Priority to JP2002080119A priority patent/JP2002312033A/ja
Publication of DE10113917A1 publication Critical patent/DE10113917A1/de
Application granted granted Critical
Publication of DE10113917B4 publication Critical patent/DE10113917B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/2406Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using essentially read only memories
    • F02D41/2425Particular ways of programming the data
    • F02D41/2487Methods for rewriting
    • F02D41/2493Resetting of data to a predefined set of values
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0421Multiprocessor system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24195Compare data in channels at timed intervals, for equality

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Mechanical Engineering (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Safety Devices In Control Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Verfahren zur Überwachung von Daten und der Übertragung der Daten zwischen wenigstens einer ersten und einer zweiten Steuereinheit,
wobei die wenigstens zwei Steuereinheiten eine erste Programmebene aufweisen der Programme zugeordnet sind, die die Steuerfunktion berechnen sowie
eine zweite Programmebene aufweisen, die Programme zur Funktionsüberwachung umfasst, welche die Funktionsfähigkeit der Programme der ersten Programmebene überwachen,
wobei die erste Steuereinheit mit wenigstens einer Komponente verbunden ist, die zur Erfassung von Daten, dient
wobei die durch die Komponente erfassten Daten oder mit diesen ermittelte Daten von der ersten zur zweiten Steuereinheit gesichert über eine einzige CAN-Bus Verbindung übertragen werden,
wobei eine getrennte Absicherung der Daten und der Datenübertragung in der ersten und zweiten Programmebene derart erfolgt, dass Fehler der Daten und in der Datenübertragung erkannt werden,
wobei die Absicherung in der ersten Programmebene durch Auswertung der Statusinformation einer entsprechenden CAN-Botschaft, die die Daten enthält, erfolgt,
und wobei die Absicherung in der zweiten Programmebene der ersten Steuereinheit durch die Funktionsüberwachung erfolgt, die eine Sendebotschaft mit einer Absicherungsinformation und einem Botschaftszähler zusammenstellt, die über den CAN-Bus zum zweiten Steuergerät übertragen und dort ausgewertet wird, wobei deren Aktualität anhand des Botschaftszählers sowie deren Konsistenz anhand der Absicherungsinformation geprüft wird.

Description

  • Stand der Technik
  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Überwachung von Steuereinheiten. Ein derartiges Verfahren bzw. eine derartige Vorrichtung ist aus der DE 44 38 714 A1 bekannt.
  • Aus der DE 199 49 051 A1 ist bereits ein Verfahren und eine Vorrichtung zur Steuerung einer Datenübertragung zwischen Steuereinheiten bekannt.
  • Die DE 44 38 714 A1 beschreibt eine eigensichere Steuereinheit, beispielsweise in Verbindung mit Steuersystemen zur Steuerung der Antriebseinheit eines Fahrzeugs. Eigensicherheit bedeutet dabei, dass bei Auftreten eines Fehlers der Fehlerzustand auf das System begrenzt bleibt, in dem der Fehler entstanden ist, und das System nach außen hin immer in einem sicheren Zustand verbleibt. Dabei dürfen beispielsweise Einzelfehler nicht zur Leistungserhöhung der Antriebseinheit führen. Das in der bekannten Veröffentlichung beschriebene Überwachungskonzept ist strukturell zweikanalig, d.h. alle sicherheitsrelevanten Pfade sind durch redundante Kanäle abgesichert. Dies gilt auch für die sicherheitsrelevanten Anteile der operativen Software, also beispielsweise der Software zur Erfüllung der Aufgabe der Steuereinheit. Diese die Steuergerätefunktionen realisierende Software wird im Rahmen einer zweiten Programmebene durch redundante Software überwacht, die die korrekte Bildung der Steuersignalgrößen durch die operative Software quantitativ überprüft. D.h. die Software der zweiten Ebene realisiert eine Funktionsüberwachung der Software der ersten Ebene. Der Ablauf und die Funktionsfähigkeit der Software dieser zweiten Ebene wird durch Kommunikation mit einem externen Überwachungsmodul im Rahmen einer Frage-Antwort-Kommunikation überwacht. Konkret enthält in der bekannten Ausführung die erste Softwareebene die operative Software zur Durchführung der Steuerfunktion sowie systemspezifische Überwachungsfunktionen der Eingangsgrößen und der Endstufen. Die zweite Ebene besteht aus der Funktionsüberwachung. In der Funktionsüberwachung wird mittels redundanter Funktionen die korrekte Bildung der Ausgangsgrößen, insbesondere der leistungsbestimmenden Größen, überwacht. Außerdem bilden die Programme der zweiten Ebene die Antwort auf eine ausgewählte, vom Überwachungsmodul im Rahmen einer Ablaufkontrolle übermittelten Fragen, mit deren Hilfe die korrekte Berechnung der Überwachungsfunktionen überprüft wird und führen eine Rechnerüberwachung mittels eines Tests der Überwachungsfunktionen durch Simulationsdaten durch. Die dritte Ebene schließlich enthält die Frage-Antwort-Kommunikation (auf der Basis der übermittelten Frage und der gebildeten Antwort) mit dem Überwachungsmodul, mit deren Hilfe die Funktionsweise der Programme der zweiten Ebene überwacht wird. Dieser Ebene sind ferner Überwachungsfunktionen zugeordnet, die Komponenten des Funktionsrechners wie Speicher, Analog-/DigitalWandler, usw. prüfen. Eine derartige Vorgehensweise ist aus dem oben genannten Stand der Technik bekannt.
  • In modernen Steuersystemen werden in der Regel mehrere Steuereinheiten eingesetzt, die separate Bauelemente bilden oder auch in einem Gerät baulich vereinigt sind. So sind beispielsweise bei modernen Fahrzeugsteuerung Steuergeräte zur Steuerung der Antriebseinheit, zur Steuerung des Fahrverhaltens (ABS, ASR, ESP), zur Steuerung eines automatischen Getriebes, zur Steuerung der Radbremsen, usw. vorhanden.
  • Üblicherweise werden in einem Sicherheitssystem eines Mehrsteuergerätekonzeptes Redundanzen vorgesehen. So sind beispielsweise einzelne Komponenten die Daten zur Weiterverarbeitung in den Steuergeräten bzw. Steuereinheiten liefern, in einem solchem Sicherheitskönzept in der Regel mit allen den Steuereinheiten direkt verbunden, die die von den Kompontenten gelieferten Daten benötigen bzw. weiterverarbeiten. Dies können beispielsweise Sensoren sein, aber auch Aktuatoren, die eine Rückmeldung über Betriebszustände liefern.
  • Aufgabe der Erfindung ist es nun, für die Daten bzw. Information aus diesen Komponenten eine Übertragung an ein oder mehrere Steuergeräte bzw. Steuereinheiten zu definieren, die heutigen Sicherheitsstandards entspricht, um zu ermöglichen, dass die die Daten liefernde Komponente nur an eine Steuereinheit angebunden werden kann.
  • Vorteile der Erfindung
  • Erfindungsgemäß wird somit ein Verfahren zur Überwachung von Daten und der Übertragung der Daten zwischen wenigstens einer ersten und einer zweiten Steuereinheit im Rahmen eines Steuergeräteverbundes vorgeschlagen, wobei die wenigstens zwei Steuereinheiten eine erste Programmebene aufweisen, der Programme zugeordnet sind, die die Steuerfunktionen berechnen, sowie eine zweite Programmebene aufweisen, die Programme umfasst, welche die Funktionsfähigkeit der Programme der ersten Programmebene überwachen, wobei die erste Steuereinheit mit wenigstens einer Komponente verbunden ist, die zur Erfassung von Daten, insbesondere Steuergrößen dient. Vorteilhafter Weise werden die durch die Komponente erfassten Daten oder mit diesen Daten ermittelten Daten von der ersten zur zweiten Steuereinheit gesichert über eine einzige Verbindung übertragen, wobei eine getrennte Absicherung der Daten und der Datenübertragung in der ersten und zweiten Programmebene derart erfolgt, das Fehler der Daten und in der Datenübertragung erkannt werden.
  • Es werden also zur Aufrechterhaltung der Redundanz trotz Anbindung der wenigstens eine Komponente an nur ein Steuergerät zwei parallele Signalpfade definiert, wovon einer davon mit speziellen Absicherungsmechanismen ausgestattet ist.
  • Vorteilhaft dabei ist, der minimale Hardwareaufwand bei der Kopplung der Steuereinheiten, da durch die erfindungsgemäße Absicherung in der ersten und zweiten Programmebene der Daten bzw. Datenübertragung eine einzige Verbindung zur Erzeugung von Redundanz ausreicht. Somit erfolgt zweckmäßiger Weise die Realisierung eines Mehrsteuergerätebetriebes mit minimaler Hardwareanbindung zwischen den Steuereinheiten beispielsweise nur über einen CAN-Bus. Der CAN-Bus bzw. das CAN-Bus-Protokoll mit den in der Beschreibung verwendeten Eigenschaften ist in der „CAN Specification, Version 2.0, Robert Bosch GmbH“ von 1991 und in der Norm ISO/TC 22/SC 3 N 11898 von 1999 beschrieben.
  • Dabei können dann vorteilhafter Weise bestimmte, insbesondere auch leistungsbestimmende Elemente bzw. Komponenten trotzdem nur an eine der wenigstens zwei Steuereinheiten angebunden sein. Die im Stand der Technik definierte Überwachung wird dann über diese erfindungsgemäße Anbindung hinweg durchgeführt.
  • Dabei erfolgt die Absicherung in der ersten Programmebene durch Auswertung der Statusinformation einer entsprechenden CAN-Botschaft, die die Daten enthält. Die Absicherung in der zweiten Programmebene der ersten Steuereinheit erfolgt durch Hinzufügung einer Absicherungsinformation zum jeweiligen Datum und/oder durch Einsatz eines Botschaftszählers, wobei dann die Konsistenz und Aktualität der Empfangsbotschaft überprüft werden kann.
  • Vorteilhafter Weise wird dann bei Erkennen eines Fehlers der Daten in der Datenübertragung bzw. eines Fehlers in den Daten selbst eine Fehlerreaktion angestossen, durch die im zweiten Steuergerät bzw. der zweiten Steuereinheit ein sicherer Zustand eingestellt werden kann. Zweckmäßigerweise erfolgt die Fehlerreaktion derart, dass Fehler im ersten Steuergerät bzw. der ersten Steuereinheit nicht zu unerkannter Leistungserhöhung in einem weiteren Steuergerät bzw. einer weiteren Steuereinheit führen.
  • Weitere Vorteile und vorteilhafte Ausgestaltungen ergeben sich aus der Beschreibung und den Ansprüchen.
  • Figurenliste
  • Die Erfindung wird im weiteren anhand der in der Zeichnung dargestellten Figuren offenbart.
    • Dabei zeigt 1 eine Steuereinheit mit dem Überwachungskonzept gemäß der DE 44 38 714 A1 .
    • In 2 ist ein Steuergeräteverbund dargestellt und die erfindungsgemäße Erweiterung in Programmebene 1 und 2 zur singulären Anbindung einer Komponente.
    • 3 zeigt anhand eines konkreten Beispiels mit Pedalsollwertvorgabe und Fahrgeschwindigkeitsregelung (FGR) die Überwachungsfunktion sowie die Fehlerreaktion.
  • Beschreibung der Ausführungsbeispiele
  • 1 zeigt ein Steuergerät 1 mit einer Steuereinheit 10 und einem Überwachungsmodul 11. Dieses Steuergerät 1 dient in einem bevorzugten Ausführungsbeispiel zur Steuerung einer Brennkraftmaschine. Das Steuergerät 1 umfasst dabei eine Steuereinheit 10 sowie ein Überwachungsmodul 11, welchen den Programmebenen 1, 2 und 3 zugeorndet werden. Ebenso kann das Steuergerät 1 einen Rechner umfassen, der insgesamt die Programmebenen 1 bis 3 umfasst, so dass das Überwachungsmodul bzw. die zugehörige Ebene 3 in die Steuereinheit, also den Funktionsrechner integriert ist.
  • Dabei sind der Ebene 1 die Funktionen zugeordnet, welche zur Gewährleistung der Steuerfunktion, d.h. der eigentlichen Steuerungsaufgaben, sowie systemspezifische Überwachungsfunktionen der Eingangsgrößen und Endstufen dienen. Ebenso in Ebene 1 untergebracht ist die Funktionalität zur Datenübertragung beispielsweise bei Verwendung eines CAN-Bussystems. Dies ist in 1 durch 14 dargestellt. Den Steuergeräten werden über Eingangssschaltungen 16 von nicht dargestellten Messeinrichtungen, beispielsweise Sensoren oder Aktuatoren Eingangsgrößen über die Eingangsleitungen 18 bis 22 zugeführt. Diese Eingangsgrößen liegen der Berechnung der Steuerfunktionen zugrunde. Daher werden die Eingangsgrößen den Programmen der Ebene 1 zur Verfügung gestellt. Die Programme der ersten Ebene bilden auf der Basis der Eingangsgrößen Stellgrößen, die über die Ausgangsleitungen 24 und 26 an die jeweiligen Endstufen 28 und 30 ausgegeben werden. Im bevorzugten Ausführungsbeispiel handelt es sich beim Steuergerät 1 um ein Steuergerät zur Steuerung einer Brennkraftmaschine, wobei die Endstufen 28 Endstufen zur Steuerung von Einspritzventilen und Zündeinrichtungen usw. also Motorelektronik bzw. Motronikendstufen darstellen. Die Endstufe 30 ist im bevorzugten Ausführungsbeispiel beispielsweise eine Endstufe zur Betätigung einer elektrisch betätigbaren Drosselklappe der Brennkraftmaschine. Je nach Anwendungsfall steuert das Steuergerät bzw. die Steuereinheit 10 Endstufen zur Betätigung von Kupplungen eines automatischen Getriebes, von Bremsenstelleinrichtungen, usw. an.
  • Der Inhalt der DE 44 38 714 A1 wird an dieser Stelle ausdrücklich als Ausgangspunkt bzw. Bestandteil dieser Erfindung bestimmt. Wie aus dieser eingangs genannten Offenlegungsschrift DE 44 38 714 A1 bekannt, sind der zweiten Ebene 2 Programme 32 zugeordnet, welche die Funktionsfähigkeit der Programme der ersten Ebene und somit die Funktionsfähigkeit der Steuerfunktion überwachen.
  • Im bevorzugten Ausführungsbeispiel dieser Erfindung wird dies auf der Basis von Ein- und Ausgangsgrößen durchgeführt. Den Programmen der zweiten Programmebene bzw. Ebene II werden somit redundant die Eingangssignale der Leitungen 18 bis 22 zugeführt, sowie die Ausgangs- oder Zwischengrößen der Programme der ersten Programmebene bzw. Ebene I über Leitungen 34 bis 38. Durch Vergleich dieser Größen bzw. daraus abgeleiteter Größen stellen die Programme der zweiten Ebene die Funktionsfähigkeit bzw. eine Fehlfunktion der Programme der ersten Ebene fest. Zur Sicherstellung der Betriebssicherheit ist vorgesehen, dass wenigstens eine der Endstufen im Beispiel der Steuereinheit 10 die Endstufe 30 über eine Ausgangsleitung 40 durch die Programme der zweiten Ebene II im fehlerfreien Fall freigeschaltet wird, bzw. bei auftretendem Fehler abgeschaltet wird.
  • Die dritte Programmebene III umfasst Programme, welche die Funktionsfähigkeit der Programme der Ebene II sowie von Komponenten des Rechners überprüfen. Dabei kann die dritte Ebene III wie in 1 dargestellt, über Funktionsrechner und Überwachungsmodul 11 aufgeteilt sein oder auch komplett in der Steuereinheit 10, also quasi mit integriertem Überwachungsmodul, enthalten sein.
  • Die Programme dieser Ebene II kommunizieren im dargestellten Beispiel im Rahmen der Überwachung aber mit externen Bauelementen, beim eingangs genannten Stand der Technik mit dem Überwachungsmodul.
  • Die Ebene III umfasst Programme wie Speichertestprogramme 42, Programme zur Ablaufkontrolle 44 und eventuell auch Programme zum Fremdgerätetest. Im eingangs genannten Stand der Technik, welcher eine Einzelüberwachung eines Steuergerätes beschreibt, stehen die Programme der Ablaufkontrolle der Ebene III mit dem Überwachungsmodul in Verbindung. Durch Frage-Antwort-Kommunikation 13, 33 mit Ablaufkontrolle 44 mit nachfolgendem Speichertest 42 wird dabei eine Funktionsüberwachung sichergestellt. Zur redundanten Absicherung gibt dann das Überwachungsmodul 11 bzw. die entsprechenden Programme 11a über Leitung 12 ein Erlaubnissignal an Endstufe 30 bzw. eine Freigabe an die Motronicendstufe 28.
  • Dieses Überwachungskonzept wird nun erfindungsgemäß in 2 erweitert. So besitzt das erste Steuergerät 200, beispielsweise das Sende- oder Mastersteuergerät eine Anbindung an bestimmte Komponenten 210, welche das bzw. die Slavesteuergeräte, also die zweiten Steuergeräte 201 nicht besitzen. Die Information dieser Komponente 210 werden an sinnvoller Stelle für die zweiten Steuergeräte, also für die Empfangs- oder Slavesteuergeräte 201 abgezweigt. Dabei ist wichtig, das Fehler im Mastersteuergerät 200 nicht zu unerkannter Leistungserhöhung im Slavesteuergerät 201 führen. Es gibt also im Steuergeräteverbund 2, also im Mehrsteuergerätekonzept ein Mastersteuergerät 200 an das Komponenten 210 angeschlossen sind, die nur einmal vorhanden sind und nicht parallel eingelesen werden sollen oder können, wie beispielsweise ein Pedalwertgeber.
  • Es wird nun im Mastersteuergerät 200 aus der Funktionsüberwachung 32a ein Datenpaket zusammengestellt. Die Funktionsüberwachung stellt abgesicherte RAM-Informationen, also Daten aus dem Arbeitsspeicher 203a zur Verfügung. Aus diesen wird dann die Sendebotschaft mit einer speziellen Absicherungsinformation und einem Botschaftszähler 204a zusammengestellt. Dies erfolgt in Programmebene II. Am Beispiel der Verbindung über CAN-Bus wird nun die Sendebotschaft mit Absicherungsinformation und Botschaftszähler in den Arbeitsspeicherpuffer für die CAN-Botschaft 205a gelegt. Über die CAN-Bedienung fürs Senden 206a und den Block CAN mit DPRAM 207a wird dann die Botschaft mit dementsprechendem Dateninhalt zum Empfangssteuergerät dem zweiten Steuergerät oder Slavesteuergerät 201 über Verbindung 202, insbesondere den CAN-Bus, übertragen. Die Funktionalitäten 205a, 206a und 207a sind dabei in Ebene I abgelegt.
  • In Ebene I des Empfangssteuergeräts 201 wird nun wiederrum über Block 207b, DPRAM, die CAN-Bedienung fürs Empfangen 206b und den Arbeitsspeicherpuffer für die CAN-Botschaft 205b die CAN-Botschaft empfangen. Dabei wird die Empfangsbotschaft in Ebene II ausgewertet und deren Aktualität anhand des Botschaftszählers sowie deren Konsistenz anhand der Absicherungsinformation in 204b geprüft. Die Daten gelangen dann als abgesicherte Arbeitsspeicherinformationen über Block 203b in die Funktionsüberwachung 32b. D.h. das Auswerten und die Prüfung erfolgt in Ebene II im Rahmen der Funktionsüberwachung.
  • In 3 wird dies anhand eines konkreten Beispiels noch einmal dargestellt. D.h. die Erweiterung des Überwachungskonzeptes der 1, dargestellt in 2, wird nun anhand 3 im konkreten Beispiel eines Pedalwertgebers und einer Fahrgeschwindigkeitsregelung FGR dargestellt. Dabei werden die überwachungsrelevanten Signalpfade sowie die speziellen Absicherungsmechanismen gezeigt. In Block 300 ist die Übernahme aus dem CAN-Pufferspeicher für die Empfangsbotschaft dargestellt. Dabei können der Botschaftszähler vom Master 304, ein Pedalsollwert vom Master 303 sowie die Fahrgeschwindigkeitsregelungszulässigkeit vom Master (FGR-Zulässigkeit) 302 und die Absicherungsinformation 301 vom Master extrahiert werden.
  • In Block 305 wird die Botschaftszählerdifferenz ausgewertet. Das bedeutet, dass die Aktualität der Empfangsbotschaft überprüft wird. In Block 306 wird die Absicherungsinformation kontrolliert. Diese kann wie hier dargestellt als Checksumme oder Checkwert über 302 bis 304 dargestellt sein oder auch als Checksummenwert über Teile der Gesamtinformation beispielsweise nur 302 und 303 dargelegt sein.
  • Die Ergebnisse der Botschaftszählerauswertung, also die Prüfung der Aktualität sowie die Konsitenzüberprüfung im Block 306 werden in Block 307 bewertet. Ein Beispiel für eine solche Auswertung ist beispielsweise eine Veroderung der Signale, wodurch, wenn ein Fehler durch „1“ signalisiert wird, lediglich bei Fehlerlosigkeit keine Inaktivwerte in 308 vorgegeben werden. Liegt aus einem der Blöcke 305 oder 306 ein Fehler symbolisiert durch eine „1“ vor, werden durch die Verorderung Inaktivwerte vorgegeben, wodurch eine Leistungserhöhung im Slavesteuergerät vermieden werden kann.
  • Diese Inaktivwerte in Block 308 sind beispielsweise die Leerlaufvorgabe für den Pedalsollwert bzw. die Verneinung der Zulässigkeit entsprechend der Fahrgeschwindigkeitsregelung. In Ebene I erfolgt die Leerlaufvorgabe für den Pedalsollwert bzw. Vorgabe eines Nullmoments im Rahmen der Fahrgeschwindigkeitsregelung. Es werden somit zwei Signalpfade definiert, einmal der Signalpfad der Funktion in Ebene I als Bestandteil von CAN-Botschaften, wobei in diesem speziellen Ausführungsbeispiel der Pedalsollwert und ein Fahrgeschwindigkeitsregelungssollmoment im Rahmen von CAN-Botschaften übertragen werden. Dabei wird in Ebene I eine Nachrichtenunterbrechung in der Funktion durch Auswertung der Statusinformationen der CAN-Botschaften im CAN-DPRAM erkannt und führt zu der genannten Fehlerreaktion in der Funktion der Leerlaufvorgabe für den Pedalsollwert sowie der Nullmomentvorgabe im Rahmen der Fahrgeschwindigkeitsregelung.
  • Der zweite Signalpfad der Überwachung in Ebene II erfolgt ebenfalls in der CAN-Botschaft, aber mit Botschaftszähler und Absicherungsinformation. D.h. hier wird eine Nachrichtenunterbrechung in der Funktionsüberwachung durch Auswertung des Botschaftszählers auf Veränderung erkannt. Im Signalpfad II wird auch hier ein Pedalsollwert vorzugsweise ein redundanter Pedalsollwert sowie die Zulässigkeit der Fahrgeschwindigkeitsregelung FGR übertragen. Bei Erkennung auf Fehler in der Überwachung erfolgt als Reaktion die Leerlaufvorgabe bezüglich des redundanten Pedalsollwertes sowie die Einstufung der Fahrgeschwindigkeitsregelung als unzulässig, wodurch das Slavesteuergerät in den sicheren Zustand überführt wird.
  • Desweiteren wird nun die Auswirkung von Fehlern im Mastersteuergerät 200 im Rahmen des Verhaltens des Slavesteuergerätes 201 betrachtet. Dabei wird in 1. bis 4. unterschieden zwischen:
    1. 1. Fehlern, die Auswirkung auf den Pedalsollwert haben, der vom Mastersteuergerät ans Slavesteuergerät übertragen wird: Diese Fehler können sein:
      • -Unterspannung im Mastersteuergerät,
      • -ADC-Fehler im Mastersteuergerät (ADC = Analog-Digital-Converter),
      • -Fehlererkennung in der Pedalsollwertüberwachung im Mastersteuergerät in Ebene II
      Die genannten Fehler führen zu folgender Fehlerreaktion im System:
      • -Leerlaufvorgabe in Ebene I für Master- und Slavesteuergerät,
      • -die Überwachung auf Leerlaufvorgabe in Ebene II für Master- und Slavesteuergerät
      • -Drehzahlbegrenzung über Einspritzausblendung mit stromloser Drosselklappenendstufe (30) im Mastersteuergerät und Leerlaufvorgabe im Slavesteuergerät.
    2. 2. Fehler die Auswirkungen auf die Fahrgeschwindigkeitsregelungsvorgabe haben, die vom Mastersteuergerät ans Slavesteuergerät übertragen wird:
      • -Fahrgeschwindigkeitsregelungsbedienhebelfehler oder Botschaftsfehler bei Fahrgeschwindigkeitsregelungssignalen über CAN,
      • -Bremslichtschalterfehler,
      • -andere Fehler, die zur FGR-Abschaltung in Ebene I führen, sowie
      • -Fehlererkennung in der Überwachung der Eingangsinformationen für die FGR-Überwachung im Mastersteuergerät in Ebene II.
      Diese Fehler führen zu folgender Fehlerreaktion im System:
      • -Kein FGR-Sollmoment in Ebene I für Master- und Slavesteuergerät,
      • -keine FGR-Zulässigkeit in Ebene II in Master- und Slavesteuergerät,
      • -Normalbetrieb ohne Fahrgeschwindigkeitsregelung in Master- und Slavesteuergerät, wobei als Ausnahme die Fehler betrachtet werden, die zur FGR-Abschaltung führen. Diese werden durch andere Fehlerreaktionen im Mastersteuergerät begleitet.
    3. 3. Speicherfehler, Arbeitsspeicher oder Festspeicherfehler (RAM oder ROM im Mastersteuergerät) führen zu folgender Fehlerreaktion im System:
      • -der vom Fehler betroffene Speichertest wird in der Intialisierung des Mastersteuergerätes wiederholt,
      • -der Speichertest erkennt den Fehler und verhindert den Normalbetrieb.
      • -Die CAN-Anbindung im Mastersteuergerät wird nicht freigegeben.
      • -Die CAN-Botschaften vom Mastersteuergerät werden nicht gesendet.
      • -Im Slavesteuergerät werden keine CAN-Botschaften vom Mastersteuergerät empfangen.
      • -Ebene I im Slavesteuergerät erkennt über die Statusinformationen in den Beschreibungsbytes (Descriptorbytes) der CAN-Botschaften auf Nachrichtenunterbrechung und gibt als Pedalsollwert Leerlauf und als FGR-Sollmoment 0 vor.
      • -Ebene II im Slavesteuergerät erkennt auf „Botschaftszähler steht“ und gibt für die Überwachung als Pedalsollwert Leerlauf und für die FGR-Funktion „FGR nicht zulässig“ vor.
      • -Endstufenabschaltung im Mastersteuergerät.
      • -Leerlaufbetrieb ohne Fahrgeschwindigkeitsregelung im Slavesteuergerät, nach Endprellzeit sowie Drehzahlbegrenzung über Einspritzausblendung.
    4. 4. Befehls- oder Programmablaufskontrollfehler im Mastersteuergerät führen zu folgenden möglichen Fehlerreaktionen im Gerät:
      • -Das Mastersteuergerät sendet keine Botschaften ans Slavesteuergerät,
      • -im Slavesteuergerät wird in Ebene I und II auf CAN-Nachrichtenunterbrechung erkannt und mit den genannten Inaktivvorgaben reagiert.
      • -Das Mastersteuergerät sendet während der Reset- und Initialisierungszeit keine bzw. keine gültigen, ansonsten fehlerhafte Überwachungsbotschaften ans Slavesteuergerät,
      • -Ebene II im Slavesteuergerät erkennt auf Botschaftsfehler und gibt die Inaktivwerte in Ebene I und II vor.
      • -Das Mastersteuergerät sendet während der Reset- und Initialisierungszeit keine Botschaften an das Slavesteuergerät, das mit Inaktivvorgaben reagiert.
      • -Das Mastersteuergerät kann zwischen den zyklisch durchs Überwachungsmodul ausgelösten Resets gültige Botschaften ans Slavesteuergerät senden. Dies wird durch die bleibende Fehlerauswirkung, die erst nach Erkennung auf mehrmalig fehlerfreie Botschaft zurückgenommen wird, überbrückt. Damit ist im Slavesteuergerät dauerhaft die Inaktiv-Vorgabe in Ebene I und II gültig.
  • Somit kann im Mehrsteuergerätekonzept mit einem Mastersteuergerät, an das Komponenten angeschlossen sind, die nur einmal vorhanden sind und nicht parallel eingelesen werden können oder sollen, wie zum Beispiel der Pedalwertgeber, ein Mehrsteuergerätebetrieb mit minimaler Hardwareanbindung zwischen den Steuergeräten beispielsweise nur über CAN realisiert werden, bei Erzielung der notwendigen Sicherheitsstandards. Dabei können bestimmte, inbesondere auch leistungsbestimmende Elemente trotzdem nur an eines der beiden Steuergeräte angebunden sein, wobei die definierte Überwachung gemäß dem Stand der Technik über diese Anbindung hinweg durchgeführt werden kann.

Claims (3)

  1. Verfahren zur Überwachung von Daten und der Übertragung der Daten zwischen wenigstens einer ersten und einer zweiten Steuereinheit, wobei die wenigstens zwei Steuereinheiten eine erste Programmebene aufweisen der Programme zugeordnet sind, die die Steuerfunktion berechnen sowie eine zweite Programmebene aufweisen, die Programme zur Funktionsüberwachung umfasst, welche die Funktionsfähigkeit der Programme der ersten Programmebene überwachen, wobei die erste Steuereinheit mit wenigstens einer Komponente verbunden ist, die zur Erfassung von Daten, dient wobei die durch die Komponente erfassten Daten oder mit diesen ermittelte Daten von der ersten zur zweiten Steuereinheit gesichert über eine einzige CAN-Bus Verbindung übertragen werden, wobei eine getrennte Absicherung der Daten und der Datenübertragung in der ersten und zweiten Programmebene derart erfolgt, dass Fehler der Daten und in der Datenübertragung erkannt werden, wobei die Absicherung in der ersten Programmebene durch Auswertung der Statusinformation einer entsprechenden CAN-Botschaft, die die Daten enthält, erfolgt, und wobei die Absicherung in der zweiten Programmebene der ersten Steuereinheit durch die Funktionsüberwachung erfolgt, die eine Sendebotschaft mit einer Absicherungsinformation und einem Botschaftszähler zusammenstellt, die über den CAN-Bus zum zweiten Steuergerät übertragen und dort ausgewertet wird, wobei deren Aktualität anhand des Botschaftszählers sowie deren Konsistenz anhand der Absicherungsinformation geprüft wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass bei Erkennen eines Fehlers der Daten oder in der Datenübertragung, insbesondere eine Unterbrechung der Datenübertragung, eine Fehlerreaktion erfolgt, durch die im zweiten Steuergerät ein sicherer Zustand eingestellt wird.
  3. Vorrichtung mit wenigstens zwei Steuereinheiten zur Überwachung von Daten und zur Übertragung der Daten zwischen wenigstens der ersten und der zweiten Steuereinheit, wobei die wenigstens zwei Steuereinheiten eine erste Programmebene aufweisen der Programme zugeordnet sind, die die Steuerfunktion berechnen, sowie eine zweite Programmebene aufweisen, die Programme zur Funktionsüberwachung umfasst, welche die Funktionsfähigkeit der Programme der ersten Programmebene überwachen, wobei die erste Steuereinheit mit wenigstens einer Komponente verbunden ist, die zur Erfassung von Daten dient, wobei die durch die Komponente erfassten Daten oder mit diesen ermittelte Daten von der ersten zur zweiten Steuereinheit gesichert über eine einzige CAN-Bus Verbindung übertragen werden, wobei Mittel enthalten sind, welche eine getrennte Absicherung der Daten und der Datenübertragung in der ersten und zweiten Programmebene derart durchführen, dass Fehler der Daten und in der Datenübertragung erkannt werden, dass Mittel vorhanden sind, die die Absicherung in der ersten Programmebene durch Auswertung der Statusinformation einer entsprechenden CAN-Botschaft, die die Daten enthält, durchführen, und dass Mittel vorhanden sind, die die Absicherung in der zweiten Programmebene der ersten Steuereinheit durchführen, indem die Funktionsüberwachung eine Sendebotschaft mit einer Absicherungsinformation und einem Botschaftszähler zusammenstellt, die über den CAN-Bus zum zweiten Steuergerät übertragen und dort ausgewertet wird, wobei deren Aktualität anhand des Botschaftszählers sowie deren Konsistenz anhand der Absicherungsinformation geprüft wird.
DE10113917.9A 2001-03-21 2001-03-21 Verfahren und Vorrichtung zur Überwachung von Steuereinheiten Expired - Fee Related DE10113917B4 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE10113917.9A DE10113917B4 (de) 2001-03-21 2001-03-21 Verfahren und Vorrichtung zur Überwachung von Steuereinheiten
US10/101,820 US6918064B2 (en) 2001-03-21 2002-03-20 Method and device for monitoring control units
FR0203450A FR2822562B1 (fr) 2001-03-21 2002-03-20 Procede et dispositif de surveillance d'unites de commande
JP2002080119A JP2002312033A (ja) 2001-03-21 2002-03-22 制御ユニットの監視方法及びその装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10113917.9A DE10113917B4 (de) 2001-03-21 2001-03-21 Verfahren und Vorrichtung zur Überwachung von Steuereinheiten

Publications (2)

Publication Number Publication Date
DE10113917A1 DE10113917A1 (de) 2002-09-26
DE10113917B4 true DE10113917B4 (de) 2019-05-23

Family

ID=7678491

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10113917.9A Expired - Fee Related DE10113917B4 (de) 2001-03-21 2001-03-21 Verfahren und Vorrichtung zur Überwachung von Steuereinheiten

Country Status (4)

Country Link
US (1) US6918064B2 (de)
JP (1) JP2002312033A (de)
DE (1) DE10113917B4 (de)
FR (1) FR2822562B1 (de)

Families Citing this family (76)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10065118A1 (de) * 2000-12-28 2002-07-04 Bosch Gmbh Robert System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes
JP4099070B2 (ja) * 2001-05-14 2008-06-11 株式会社エヌ・ティ・ティ・ドコモ 移動体端末の記憶部に格納されたプログラムを管理するシステム
DE10331872A1 (de) * 2003-07-14 2005-02-10 Robert Bosch Gmbh Verfahren zur Überwachung eines technischen Systems
DE10331873B4 (de) 2003-07-14 2022-09-01 Robert Bosch Gmbh Verfahren zur Überwachung verteilter Software
WO2005061296A1 (de) * 2003-12-20 2005-07-07 Daimlerchrysler Ag Verfahren und fahrfunktionssystem zum überführen von sicherheitsrelevanten fahrfunktionen eines fahrzeugs in den sicheren zustand
US7184864B2 (en) * 2004-04-19 2007-02-27 Haldex Brake Products Ltd. Vehicle system control unit with auxiliary control capabilities
DE102004047925B4 (de) * 2004-10-01 2016-09-15 Bayerische Motoren Werke Aktiengesellschaft Längsdynamiksteuervorrichtung für Kraftfahrzeuge
EP1937528B1 (de) * 2005-10-12 2010-12-15 Continental Teves AG & Co. oHG Bremsanlage für kraftfahrzeuge
JP4827535B2 (ja) 2006-01-20 2011-11-30 日立オートモティブシステムズ株式会社 自動車用電子制御装置
DE102006037124A1 (de) * 2006-08-09 2008-02-14 Daimler Ag Ansteuersystem für eine Antriebseinheit eines Kraftfahrzeuges
DE102006056668A1 (de) 2006-11-30 2008-06-05 Continental Teves Ag & Co. Ohg Verfahren zum Sicherstellen oder Aufrechterhalten der Funktion eines komplexen sicherheitskritischen Gesamtsystems
DE102006057743B4 (de) * 2006-12-07 2015-07-30 Continental Automotive Gmbh Verfahren zur Überwachung der Funktionssoftware von Steuergeräten in einem Steuergeräteverbund
US9268345B2 (en) 2008-10-27 2016-02-23 Lennox Industries Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US8802981B2 (en) 2008-10-27 2014-08-12 Lennox Industries Inc. Flush wall mount thermostat and in-set mounting plate for a heating, ventilation and air conditioning system
US8855825B2 (en) 2008-10-27 2014-10-07 Lennox Industries Inc. Device abstraction system and method for a distributed-architecture heating, ventilation and air conditioning system
US8994539B2 (en) 2008-10-27 2015-03-31 Lennox Industries, Inc. Alarm and diagnostics system and method for a distributed-architecture heating, ventilation and air conditioning network
US8788100B2 (en) 2008-10-27 2014-07-22 Lennox Industries Inc. System and method for zoning a distributed-architecture heating, ventilation and air conditioning network
US8452456B2 (en) 2008-10-27 2013-05-28 Lennox Industries Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US9432208B2 (en) 2008-10-27 2016-08-30 Lennox Industries Inc. Device abstraction system and method for a distributed architecture heating, ventilation and air conditioning system
US8661165B2 (en) 2008-10-27 2014-02-25 Lennox Industries, Inc. Device abstraction system and method for a distributed architecture heating, ventilation and air conditioning system
US8725298B2 (en) 2008-10-27 2014-05-13 Lennox Industries, Inc. Alarm and diagnostics system and method for a distributed architecture heating, ventilation and conditioning network
US8655490B2 (en) 2008-10-27 2014-02-18 Lennox Industries, Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US9261888B2 (en) 2008-10-27 2016-02-16 Lennox Industries Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US8452906B2 (en) 2008-10-27 2013-05-28 Lennox Industries, Inc. Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network
US8352081B2 (en) 2008-10-27 2013-01-08 Lennox Industries Inc. Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network
US8548630B2 (en) 2008-10-27 2013-10-01 Lennox Industries, Inc. Alarm and diagnostics system and method for a distributed-architecture heating, ventilation and air conditioning network
US8564400B2 (en) 2008-10-27 2013-10-22 Lennox Industries, Inc. Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network
US8433446B2 (en) 2008-10-27 2013-04-30 Lennox Industries, Inc. Alarm and diagnostics system and method for a distributed-architecture heating, ventilation and air conditioning network
US9325517B2 (en) 2008-10-27 2016-04-26 Lennox Industries Inc. Device abstraction system and method for a distributed-architecture heating, ventilation and air conditioning system
US8615326B2 (en) 2008-10-27 2013-12-24 Lennox Industries Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US8255086B2 (en) 2008-10-27 2012-08-28 Lennox Industries Inc. System recovery in a heating, ventilation and air conditioning network
US8655491B2 (en) 2008-10-27 2014-02-18 Lennox Industries Inc. Alarm and diagnostics system and method for a distributed architecture heating, ventilation and air conditioning network
US9632490B2 (en) 2008-10-27 2017-04-25 Lennox Industries Inc. System and method for zoning a distributed architecture heating, ventilation and air conditioning network
US8560125B2 (en) 2008-10-27 2013-10-15 Lennox Industries Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network
US8437877B2 (en) 2008-10-27 2013-05-07 Lennox Industries Inc. System recovery in a heating, ventilation and air conditioning network
US9678486B2 (en) 2008-10-27 2017-06-13 Lennox Industries Inc. Device abstraction system and method for a distributed-architecture heating, ventilation and air conditioning system
US9152155B2 (en) 2008-10-27 2015-10-06 Lennox Industries Inc. Device abstraction system and method for a distributed-architecture heating, ventilation and air conditioning system
US8600558B2 (en) 2008-10-27 2013-12-03 Lennox Industries Inc. System recovery in a heating, ventilation and air conditioning network
US8239066B2 (en) 2008-10-27 2012-08-07 Lennox Industries Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US9651925B2 (en) 2008-10-27 2017-05-16 Lennox Industries Inc. System and method for zoning a distributed-architecture heating, ventilation and air conditioning network
US9377768B2 (en) 2008-10-27 2016-06-28 Lennox Industries Inc. Memory recovery scheme and data structure in a heating, ventilation and air conditioning network
US8798796B2 (en) 2008-10-27 2014-08-05 Lennox Industries Inc. General control techniques in a heating, ventilation and air conditioning network
US8352080B2 (en) 2008-10-27 2013-01-08 Lennox Industries Inc. Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network
US8874815B2 (en) 2008-10-27 2014-10-28 Lennox Industries, Inc. Communication protocol system and method for a distributed architecture heating, ventilation and air conditioning network
US8295981B2 (en) 2008-10-27 2012-10-23 Lennox Industries Inc. Device commissioning in a heating, ventilation and air conditioning network
US8744629B2 (en) 2008-10-27 2014-06-03 Lennox Industries Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US8463442B2 (en) 2008-10-27 2013-06-11 Lennox Industries, Inc. Alarm and diagnostics system and method for a distributed architecture heating, ventilation and air conditioning network
US8437878B2 (en) 2008-10-27 2013-05-07 Lennox Industries Inc. Alarm and diagnostics system and method for a distributed architecture heating, ventilation and air conditioning network
US8774210B2 (en) 2008-10-27 2014-07-08 Lennox Industries, Inc. Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network
US8600559B2 (en) 2008-10-27 2013-12-03 Lennox Industries Inc. Method of controlling equipment in a heating, ventilation and air conditioning network
US8892797B2 (en) 2008-10-27 2014-11-18 Lennox Industries Inc. Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network
US8543243B2 (en) 2008-10-27 2013-09-24 Lennox Industries, Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US8442693B2 (en) 2008-10-27 2013-05-14 Lennox Industries, Inc. System and method of use for a user interface dashboard of a heating, ventilation and air conditioning network
US8694164B2 (en) 2008-10-27 2014-04-08 Lennox Industries, Inc. Interactive user guidance interface for a heating, ventilation and air conditioning system
US8977794B2 (en) 2008-10-27 2015-03-10 Lennox Industries, Inc. Communication protocol system and method for a distributed-architecture heating, ventilation and air conditioning network
US8463443B2 (en) 2008-10-27 2013-06-11 Lennox Industries, Inc. Memory recovery scheme and data structure in a heating, ventilation and air conditioning network
US8762666B2 (en) 2008-10-27 2014-06-24 Lennox Industries, Inc. Backup and restoration of operation control data in a heating, ventilation and air conditioning network
DE102008054589B3 (de) * 2008-12-12 2010-08-19 Thielert Aircraft Engines Gmbh Motorsteuerungssystem für einen Flugdieselmotor
USD648641S1 (en) 2009-10-21 2011-11-15 Lennox Industries Inc. Thin cover plate for an electronic system controller
USD648642S1 (en) 2009-10-21 2011-11-15 Lennox Industries Inc. Thin cover plate for an electronic system controller
US8260444B2 (en) 2010-02-17 2012-09-04 Lennox Industries Inc. Auxiliary controller of a HVAC system
EP2388460A1 (de) * 2010-05-17 2011-11-23 Caterpillar Motoren GmbH & Co. KG Common-Rail-System für einen Verbrennungsmotor mit mehreren Zylinderbänken und mit unabhängig gesteuerter Kraftstoffzufuhr zu jeder Bank
DE102011087988A1 (de) * 2011-12-08 2013-06-13 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überprüfung einer Funktionsfähigkeit einer von einem Multi-Fuel-System betriebenen Brennkraftmaschine
EP2634401B1 (de) * 2012-02-28 2014-11-05 Caterpillar Motoren GmbH & Co. KG Steuerungssystem und -verfahren für Zweistoffmotoren
DE102012010537A1 (de) * 2012-05-29 2013-12-05 Robert Bosch Gmbh Programmiervorlage für verteilteAnwendungsprogramme
CN102945032A (zh) * 2012-11-06 2013-02-27 常州联力自动化科技有限公司 基于can总线的防爆无轨胶轮车安全保护装置的控制方法
CN106232967B (zh) * 2014-04-23 2019-03-12 瓦锡兰芬兰有限公司 控制发动机的控制装置和利用控制装置控制发动机的方法
US9604585B2 (en) * 2014-07-11 2017-03-28 Ford Global Technologies, Llc Failure management in a vehicle
DE102016210984A1 (de) 2016-06-20 2017-12-21 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts
GB2551516B (en) * 2016-06-20 2019-03-20 Jaguar Land Rover Ltd Activity monitor
WO2017221859A1 (ja) * 2016-06-21 2017-12-28 日本電気株式会社 移動体、移動体制御システム、移動体制御方法、インターフェース装置、およびプログラムが記録された記録媒体
JP6697964B2 (ja) * 2016-06-27 2020-05-27 株式会社クボタ コンバイン
WO2018184699A1 (en) * 2017-04-07 2018-10-11 Ecole Polytechnique Federale De Lausanne (Epfl) A controller and an agreement protocol for a real-time control system
US10776195B2 (en) * 2018-08-21 2020-09-15 Continental Teves Ag & Co. Ohg Apparatus for protecting signals
CN109606333B (zh) * 2018-11-26 2020-04-28 宋永端 一种基于BootLoader的多系统摩托车诊断仪
DE102022110952A1 (de) * 2022-05-04 2023-11-09 Audi Aktiengesellschaft Antriebssystem für ein Fahrzeug

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (de) 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
DE19949051A1 (de) 1999-10-11 2001-04-12 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung von Vorgängen in einem Fahrzeug

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3719283A1 (de) * 1987-06-10 1988-12-22 Bosch Gmbh Robert Verfahren zur lokalisierung defekter stationen in lokalen netzwerken und dazugehoeriger schnittstellencontroller
GB9514268D0 (en) 1995-07-13 1995-09-13 Hoffmann La Roche Pyrimidine nucleoside
DE19529434B4 (de) * 1995-08-10 2009-09-17 Continental Teves Ag & Co. Ohg Microprozessorsystem für sicherheitskritische Regelungen
DE19609242A1 (de) * 1996-03-09 1997-09-11 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung einer Antriebseinheit eines Fahrzeugs
DE19653429C2 (de) 1996-12-20 1998-10-15 Siemens Ag Verfahren zur Überprüfung der Funktionsfähigkeit einer Recheneinheit
US6549972B1 (en) * 1999-11-22 2003-04-15 International Business Machines Corporation Method and system for providing control accesses between a device on a non-proprietary bus and a device on a proprietary bus

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (de) 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
DE19949051A1 (de) 1999-10-11 2001-04-12 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung von Vorgängen in einem Fahrzeug

Also Published As

Publication number Publication date
FR2822562B1 (fr) 2004-08-27
US20020194551A1 (en) 2002-12-19
FR2822562A1 (fr) 2002-09-27
JP2002312033A (ja) 2002-10-25
DE10113917A1 (de) 2002-09-26
US6918064B2 (en) 2005-07-12

Similar Documents

Publication Publication Date Title
DE10113917B4 (de) Verfahren und Vorrichtung zur Überwachung von Steuereinheiten
DE19933086B4 (de) Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten
EP1219489B1 (de) System und Verfahren zur Steuerung und/oder überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbunde
DE19927635B4 (de) Sicherheitsbezogenes Automatisierungsbussystem
DE10162853C1 (de) Kraftfahrzeugsteuersystem und Verfahren zur Kraftfahrzeugsteuerung
DE69925000T2 (de) Fehlertolerantes elektronisches bremssystem
DE102005014550B4 (de) Brake By-Wire Steuersystem
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
DE102018218837B4 (de) Radgeschwindigkeitssensorsystem, ein das Radgeschwindigkeitssensorsystem enthaltendes Fahrzeug und Verfahren zum Verarbeiten von Radgeschwindigkeitssignalen
DE19937159B4 (de) Elektrisch gesteuertes Bremssystem
EP1479003B1 (de) Verfahren und vorrichtung zur steuerung einer funktionseinheit eines kraftfahrzeugs
EP2078253A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
DE19506288B4 (de) Verfahren und Vorrichtung zur Funktionsüberprüfung einer elektronisch geregelten Bremsanlage
DE10301504B3 (de) Einsignalübertragung sicherer Prozessinformation
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
EP1631014A2 (de) Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
DE19735015B4 (de) Verfahren und Vorrichtung für Sicherheitsstrategien in Kraftfahrzeugen
DE102006017302B4 (de) Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
DE102008034150A1 (de) Sicherheitsüberwachung mit Hilfe von Verbindungsleitungen zwischen Steuergeräten eines Kraftfahrzeugs
WO2007025844A1 (de) Verfahren zur verfügbarkeitserhöhung von kraftfahrzeugmotoren
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
DE102007046706A1 (de) Steuervorrichtung für Fahrzeuge
WO2000010838A1 (de) Bussystem in einem fahrzeug und verfahren zur übertragung von nachrichten
DE102018220788B4 (de) Vorrichtung und Verfahren zum Steuern einer Signalverbindung eines Fahrzeugs
DE19755311B4 (de) Verfahren und Vorrichtung zur Informationsübertragung in Kraftfahrzeugen

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
R084 Declaration of willingness to licence

Effective date: 20110527

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee