[go: up one dir, main page]

DE102008004208A1 - Controllers for motor vehicle, have outlets for sending signal to later controller, where inlets are provided for receiving another signal from later controller - Google Patents

Controllers for motor vehicle, have outlets for sending signal to later controller, where inlets are provided for receiving another signal from later controller Download PDF

Info

Publication number
DE102008004208A1
DE102008004208A1 DE200810004208 DE102008004208A DE102008004208A1 DE 102008004208 A1 DE102008004208 A1 DE 102008004208A1 DE 200810004208 DE200810004208 DE 200810004208 DE 102008004208 A DE102008004208 A DE 102008004208A DE 102008004208 A1 DE102008004208 A1 DE 102008004208A1
Authority
DE
Germany
Prior art keywords
signal
control unit
control
motor vehicle
component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200810004208
Other languages
German (de)
Inventor
Wilfried Feuchter
Michael Werner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE200810004208 priority Critical patent/DE102008004208A1/en
Publication of DE102008004208A1 publication Critical patent/DE102008004208A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24044Second controller monitors diagnostics system of first controller
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/33Director till display
    • G05B2219/33104Tasks, functions are distributed over different cpu
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/33Director till display
    • G05B2219/33273DCS distributed, decentralised controlsystem, multiprocessor

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Mechanical Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Electrical Control Of Air Or Fuel Supplied To Internal-Combustion Engine (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Abstract

The controllers (312,315) have outlets (313,316) for sending a signal to the later controller. Inlets (314,317) are provided for receiving another signal from the later controller. The controllers are arranged to carry an apparatus (302) of the motor vehicle in a safe condition when the later signal indicates a malfunctioning of the later controller. Independent claims are included for the following: (1) a device for carrying an apparatus of a motor vehicle in a safe condition; (2) a method for carrying an apparatus of a motor vehicle in a safe condition; and (3) a computer program with program code unit for the execution of the procedure.

Description

Die Erfindung betrifft ein Steuergerät für ein Kraftfahrzeug sowie eine Einrichtung zum Überführen eines Apparats in einen sicheren Zustand, ein Verfahren zum Überführen eines Apparats in einen sicheren Zustand, ein Computerprogramm sowie ein Computerprogrammprodukt.The The invention relates to a control device for a motor vehicle and means for transferring a Apparatus in a safe state, a method for transferring a Apparatus in a safe state, a computer program and a computer program product.

Stand der TechnikState of the art

In einem Steuergerät für einen Verbrennungsmotor, beispielsweise einen Otto- oder Dieselmotor, können Überwachungsmechanismen realisiert sein. Ein solcher Überwachungsmechanismus kann Fehler in dem Steuergerät erkennen und durch geeignete Maßnahmen einen sicheren Zustand des Motors herbeiführen. Beispielsweise kann ein sicherer Zustand durch Abstellen des Motors erreicht werden.In a control unit for one Internal combustion engine, for example a gasoline or diesel engine, can monitoring mechanisms be realized. Such a monitoring mechanism can Error in the controller recognize and by appropriate measures bring about a safe state of the motor. For example, a safe condition can be achieved by stopping the engine.

Zum Abstellen des Motors werden im Fehlerfall üblicherweise die Endstufen der relevanten Aktoren abgeschaltet. Bei den relevanten Aktoren kann es sich beispielsweise um eine Drosselklappe und Einspritzventile handeln.To the Shutting down the engine in the event of a fault usually the power amplifiers the relevant actuators switched off. For the relevant actuators For example, it may be a throttle and injectors act.

Um ein gesichertes Abstellen des Motors im Fehlerfall bereitstellen zu können, sind bekannte Steuergeräte mit einem von der Haupt-CPU unabhängigen Überwachungsmodul, beispielsweise einem sog. Watchdog, ausgestattet. Das Überwachungsmodul ist vorgesehen, um die Funktionalität des Steuergeräts zu überwachen und bei einem Defekt des Steuergeräts selbständig die genannten Endstufen abzuschalten. Es wird eine ständige Überwachung der CPU des Steuergeräts durch das Überwachungsmodul bereitgestellt.Around provide a secured shutdown of the engine in case of failure to be able to are known control devices with a monitoring CPU independent of the main CPU, for example a so-called watchdog. The monitoring module is provided to the functionality of the ECU to monitor and in the event of a defect in the control unit, the said output stages are self-contained off. There will be constant monitoring the CPU of the controller through the monitoring module provided.

Es ist somit wünschenswert, Steuergeräte bereitzustellen, die keines zusätzlichen Überwachungsmoduls bedürfen und dennoch dieselben Sicherheitskriterien erfüllen.It is therefore desirable Provide ECUs, the no additional monitoring module need and still meet the same safety criteria.

Vor diesem Hintergrund wird mit der vorliegenden Erfindung ein Steuergerät für ein Kraftfahrzeug, eine Einrichtung zum Überführen eines Apparats eines Kraftfahrzeugs in einen sicheren Zustand, weiterhin Verfahren zum Überführen eines Apparats eines Kraftfahrzeugs in einen sicheren Zustand sowie schließlich ein entsprechendes Computerprogramm und ein Computerprogrammprodukt gemäß den unabhängigen Patentansprüchen vorgestellt. Vorteilhafte Ausgestaltungen ergeben sich aus den jeweiligen Unteransprüchen und der nachfolgenden Beschreibung.In front In this background, with the present invention, a control device for a motor vehicle, a device for transferring a Apparatus of a motor vehicle in a safe state, continue Method for transferring a Apparatus of a motor vehicle in a safe state and finally a corresponding computer program and a computer program product presented according to the independent claims. advantageous Embodiments emerge from the respective subclaims and the following description.

Vorteile der ErfindungAdvantages of the invention

Der vorliegenden Erfindung liegt die Erkenntnis zu Grunde, dass sich Überwachungsfunktionen vorteilhaft durch ein verteiltes System umsetzten lassen. Dabei können die Überwachungsfunktionen auf zwei oder mehr separate und getrennte Steuergeräte verteilt werden. Beispielsweise können die Ü berwachungsfunktionen in Zusammenhang mit einer Motorsteuerung eingesetzt werden.Of the The present invention is based on the finding that monitoring functions are advantageous through a distributed system. In doing so, the monitoring functions distributed to two or more separate and separate ECUs become. For example, you can the monitoring functions be used in conjunction with a motor control.

Erfindungsgemäß lassen sich unabhängige Abschaltpfade als Sicherheitsmechanismus, beispielsweise für eine Steuergeräteüberwachung in einer verteilten Motorsteuerung, schaffen. Dabei lässt sich mindestens die gleiche Sicherheitsstufe wie bei einer Architektur mit einem Steuergerät erreichen. Zudem ermöglicht der erfindungsgemäße Ansatz eine mögliche Vereinfachung und Kostenersparnis im Hardwareaufbau der einzelnen Steuergeräte. Es entfällt die Notwendigkeit, jedes Steuergerät mit einer zweiten unabhängigen Überwachungskomponente auszustatten. Vielmehr erfolgt die Überwachung eines Steuergeräts durch ein weiteres Steuergerät, insbesondere mittels einer abgesicherten Bus-Kommunikation.According to the invention independent shutdown paths as a safety mechanism, for example for a control unit monitoring in a distributed engine control, create. It is possible at least the same level of security as an architecture with a control unit to reach. In addition allows the inventive approach a possible Simplification and cost savings in the hardware structure of the individual ECUs. It is omitted the need to have each control device with a second independent monitoring component equip. Rather, the monitoring of a controller is done by another controller, in particular by means of secure bus communication.

Die vorliegende Erfindung schafft ein Steuergerät für ein Kraftfahrzeug mit einem Ausgang zum Senden eines ersten Signals an ein zweites Steuergerät und einem Eingang zum Empfangen eines zweiten Signals von dem zweiten oder einem weiteren Steuergerät, wobei das Steuergerät dazu eingerichtet ist, einen Apparat des Kraftfahrzeugs, vorzugsweise den Motor, in einen sicheren Zustand zu überführen, wenn das zweite Signal eine Fehlfunktion des zweiten oder weiteren Steuergeräts anzeigt. Dies kann insbesondere durch Fehlen des zweiten Signals oder durch ein ungültiges zweites Signal erfolgen. Es sei angemerkt, dass das gesendete erste Signal von einem zweiten oder weiteren Steuergerät als zweites Signal empfangen wird.The The present invention provides a control device for a motor vehicle having a Output for sending a first signal to a second controller and a Input for receiving a second signal from the second or another control unit, being the control unit is adapted to an apparatus of the motor vehicle, preferably the engine to transfer to a safe state when the second signal indicates a malfunction of the second or further control device. This can in particular by the absence of the second signal or by a invalid second signal. It should be noted that the transmitted first signal received by a second or further control device as a second signal becomes.

Ein bevorzugtes Steuergerät weist eine Prüfeinrichtung auf, um bei einer Fehlfunktion des Steuergeräts mindestens ein Fehlersignal an dem Ausgang bereitzustellen. In diesem Fall wird ein definiertes Fehlersignal als erstes Signal erzeugt, was das Auswerten eines Fehlerzustands für die weiteren Steuergeräte vereinfacht.One preferred controller has a testing device to provide at least one error signal if the controller malfunctions to provide at the exit. In this case, a defined Error signal generated as the first signal, which evaluates a Error state for the other control devices simplified.

Zweckmäßigerweise wird zum Senden des ersten Signals eine abgesicherte Bus-Kommunikation bereitgestellt. Somit lässt sich eine Fehlfunktion eines Steuergeräts zuverlässig an die jeweils anderen Steuergeräte übermitteln.Conveniently, For transmitting the first signal, a secured bus communication provided. Thus lets a malfunction of a controller reliably to each other Transmit control devices.

Gemäß einer besonders bevorzugten Ausgestaltung ist das Steuergerät ausgebildet, um unabhängig von dem zweiten Signal den Apparat des Kraftfahrzeugs zu steuern. Damit soll insbesondere klargestellt sein, dass es sich um voll funktionstüchtige Steuergeräte für Kraftfahrzeuge handelt, die neben der Überwachungsfunktionalität alle weiteren bekannten Steuerfunktionalitäten erfüllen.According to a particularly preferred embodiment, the control unit is designed to independently of the second signal, the apparatus of To control motor vehicle. This should in particular be clarified that it is fully functional control devices for motor vehicles that meet all other known control functions in addition to the monitoring functionality.

Eine erfindungsgemäße Einrichtung zum Überführen eines Apparats eines Kraftfahrzeugs in einen sicheren Zustand bzw. eine Überwachungseinrichtung für ein Kraftfahrzeug umfasst wenigstens zwei erfindungsgemäße Steuergeräte. Die wenigstens zwei Steuergeräte sind zur gegenseitigen Überwachung ausgebildet, wobei im Falle der Fehlfunktion eines Steuergeräts diese Fehlfunktion von dem anderen Steuergerät erkannt wird und das andere Steuergerät den Apparat des Kraftfahrzeugs, insbesondere den Motor, in den sicheren Zustand überführt. Der Apparat weist mindestens eine zum Betrieb des Apparats erforderliche Komponente auf. Die Erfindung kann jedoch besonders vorteilhaft angewendet werden, wenn der Apparat wenigstens zwei zum Betrieb des Apparats erforderliche Komponenten aufweist und die Steuergeräte unterschiedliche Komponenten steuern. Im Fehlerfall wird die mindestens eine Komponente des Apparats so angesteuert, dass der Apparat den sicheren Zustand einnimmt.A inventive device to transfer a Apparatus of a motor vehicle in a safe state or a monitoring device for a Motor vehicle comprises at least two control devices according to the invention. The at least two controllers are for mutual monitoring formed, wherein in case of malfunction of a control device this Malfunction is detected by the other controller and the other controller the apparatus of the motor vehicle, in particular the engine, transferred to the safe state. Of the Apparatus has at least one required for operation of the apparatus Component on. However, the invention can be particularly advantageous be applied when the apparatus at least two for operation the apparatus required components and the control units different Control components. In case of error, the at least one component of the device so controlled that the device the safe state occupies.

Die vorliegende Erfindung schafft eine derartige Einrichtung, wobei das erste Steuergerät ausgebildet ist, um abhängig von einem ersten Fehlerzustand die mindestens eine Komponente des Apparats so anzusteuern, dass der Apparat den sicheren Zustand einnimmt, und das zweite Steuergerät ausgebildet ist, um abhängig von einem zweiten Fehlerzustand die mindestens eine Komponente des Apparats so anzusteuern, dass der Apparat den sicheren Zustand einnimmt.The The present invention provides such a device, wherein the first controller is trained to be dependent from a first fault condition, the at least one component of the To operate the apparatus in such a way that the apparatus assumes the safe state, and the second controller is trained to be dependent from a second fault condition the at least one component of the To control the apparatus so that the apparatus assumes the safe state.

Vorteilhafterweise ist das erste Steuergerät ausgebildet, um mindestens ein erstes Fehlersignal zu empfangen, das den ersten Fehlerzustand anzeigt, und das zweite Steuergerät ist ausgebildet, um mindestens ein zweites Fehlersignal zu empfangen, das den zweiten Fehlerzustand anzeigt. Mittels der Fehlersignale können Fehlerzustände zuverlässig an die Überwachungseinrichtungen übermittelt werden.advantageously, is the first control unit designed to receive at least a first error signal that is the first one Indicates fault condition, and the second controller is configured to be at least to receive a second error signal representing the second error condition displays. Error states can be reliably transmitted to the monitoring devices by means of the error signals become.

Gemäß einer bevorzugten Ausführungsform ist die Prüfeinrichtung ausgebildet, um bei einer Fehlfunktion des ersten Steuergeräts das mindestens eine zweite Fehlersignal bereitzustellen, und bei einer Fehlfunktion des zweiten Steuergeräts das mindestens eine erste Fehlersignal bereitzustellen. Somit lassen sich die Steuergeräte besser überwachen.According to one preferred embodiment the testing device designed to be in case of malfunction of the first control device, the at least one provide second error signal, and in case of malfunction of the second controller to provide the at least one first error signal. Thus let itself the control devices monitor better.

Es ist von Vorteil, wenn der Apparat als Verbrennungsmotor und die mindestens eine Komponente als Einspritzventil, Zündeinrichtung, Drosselklappe, Kraftstoffpumpe, Kraftstoff-Mengensteuerung und/oder als Hochdruck-Regelventil ausgebildet sind. Somit eignet sich der erfindungsgemäße Ansatz zum Einsatz bei Überwachungsmechanismen für Verbrennungsmotoren.It is advantageous if the apparatus as an internal combustion engine and the at least one component as injection valve, ignition device, Throttle, fuel pump, fuel quantity control and / or are designed as high-pressure control valve. Thus, the suitable inventive approach for use in monitoring mechanisms for internal combustion engines.

Die vorliegende Erfindung schafft ferner ein Verfahren zum Überführen eines Apparats in einen sicheren Zustand.The The present invention further provides a method for transferring a Apparatus in a safe condition.

Das erfindungsgemäße Computerprogramm mit Programmcodemitteln ist dazu ausgelegt alle Schritte des erfindungsgemäßen Verfahrens durchzuführen, wenn dieses Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere einem erfindungsgemäßen Steuergerät oder einer erfindungsgemäßen Einrichtung, durchgeführt wird.The inventive computer program with Program code means is designed for all steps of the method according to the invention perform, if this computer program is on a computer or equivalent Arithmetic unit, in particular a control device according to the invention or a device according to the invention, carried out becomes.

Das erfindungsgemäße Computerprogrammprodukt mit Programmcodemitteln, die auf einem computerlesbaren Datenträger gespeichert sind, ist zur Durchführung des erfindungsgemäßen Verfahrens vorgesehen, wenn dieses Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere eines erfindungsgemäßen Steuergeräts oder einer erfindungsgemäßen Einrichtung, durchgeführt wird.The Computer program product according to the invention with program code means stored on a computer-readable medium, is to carry the method according to the invention provided when this computer program on a computer or a corresponding arithmetic unit, in particular a control device according to the invention or a device according to the invention, carried out becomes.

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und den beiliegenden Zeichnungen.Further Advantages and embodiments of the invention will become apparent from the Description and the accompanying drawings.

Es versteht sich, daß die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.It understands that the mentioned above and the features to be explained below not only in the specified combination, but also in other combinations or alone, without to leave the scope of the present invention.

Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung ausführlich beschrieben.The Invention is based on embodiments schematically shown in the drawing and is below under Referring to the drawings described in detail.

Figurenbeschreibungfigure description

1 zeigt einen schematischen Aufbau von Überwachungsfunktionen eines Motorsteuergeräts; 1 shows a schematic structure of monitoring functions of an engine control unit;

2 zeigt einen weiteren schematischen Aufbau von Überwachungsfunktionen eines Motorsteuergeräts; 2 shows a further schematic structure of monitoring functions of an engine control unit;

3 zeigt ein Blockschaltbild einer bevorzugten Ausführungsform der erfindungsgemäßen Einrichtung; und 3 shows a block diagram of a preferred embodiment of the device according to the invention; and

4 zeigt ein detaillierteres Blockschaltbild der Einrichtung gemäß 3. 4 shows a more detailed block diagram of the device according to 3 ,

1 zeigt einen beispielhaften Aufbau von Überwachungsfunktionen in einem typischen Motorsteuergerät. Das Motorsteuergerät kann für einen Verbrennungsmotor, beispielsweise einen Otto- oder Dieselmotor geeignet sein. Der gezeigte Aufbau weist Einrichtungen 102 zum Bereitstellen eines Eingangssignals, einen Prozessor in Form einer CPU 104, eine Endstufe 106 und eine Watchdog-Einrichtung 108 auf. 1 shows an exemplary structure of monitoring functions in a typical engine control unit. The engine control unit may be suitable for an internal combustion engine, such as a gasoline or diesel engine. The construction shown has facilities 102 for providing an input signal, a processor in the form of a CPU 104 , an amplifier 106 and a watchdog device 108 on.

Die CPU 104 weist eine erste Ebene 112, eine zweite Ebene 114 und eine dritte Ebene 116 auf. Die erste Ebene 112 weist einen Block "Fahr-Funktionen" 121 und einen Block "Diagnose" 122 auf. Die zweite Ebene 114 ist ausgebildet, um eine Funktionsüberwachung durchzuführen und weist einen Block "Programmablauf" 123 auf. Die dritte Ebene 116 weist einen Block "Speichertest" 124, einen Block "Frage-Antwort-Kommunikation" 125 und einen Block "Befehlstest" 126 auf.The CPU 104 indicates a first level 112 , a second level 114 and a third level 116 on. The first level 112 has a block "driving functions" 121 and a block "diagnosis" 122 on. The second level 114 is designed to carry out a function monitoring and has a block "program sequence" 123 on. The third level 116 has a block "memory test" 124 , a block "question-answer communication" 125 and a block "command test" 126 on.

Die Einrichtungen 102 sind ausgebildet, um mindestens ein Eingangssignal an die erste Ebene 112 und die zweite Ebene 114 bereitzustellen. Die erste Ebene 112 ist ausgebildet, um ein Signal an die Endstufe 106 und die zweite Ebene 114 bereitzustellen. Die zweite Ebene 114 ist ausgebildet, um ein Signal an einen Eingang "enable" der Endstufe 106 bereitzustellen.The facilities 102 are designed to provide at least one input signal to the first level 112 and the second level 114 provide. The first level 112 is designed to send a signal to the power amplifier 106 and the second level 114 provide. The second level 114 is designed to "enable" a signal to an input of the power amplifier 106 provide.

Die Watchdog-Einrichtung 108 ist ausgebildet, um ein weiteres Signal an den Eingang "enable" der Endstufe 106 bereitzustellen. Bei den an den Eingang "enable" bereitgestellten Signalen handelt es sich um zwei Abschaltpfade, die eine gegenseitige Überwachung ermöglichen.The watchdog device 108 is designed to send another signal to the "enable" input of the power amplifier 106 provide. The signals provided to the "enable" input are two shutdown paths that allow mutual monitoring.

Der Block 123 der zweiten Ebene 114 ist ausgebildet, um ein Signal von dem Block 125 der dritten Ebene 116 zu empfangen und ein weiteres Signal an den Block 125 bereitzustellen. Der Block 125 ist ausgebildet, um ein weiteres Signal an den Block 126 der dritten Ebene 116 bereitzustellen und ein weiteres Signal von dem Block 126 zu empfangen.The block 123 the second level 114 is designed to receive a signal from the block 125 the third level 116 to receive and another signal to the block 125 provide. The block 125 is designed to send another signal to the block 126 the third level 116 provide and another signal from the block 126 to recieve.

Zwischen der dritten Ebene 116 und der Watchdog-Einrichtung 108 besteht eine bidirektionale Verbindung zum Austausch von Frage-Antwort-Watchdog-Signalen. Die Endstufe 106 ist ausgebildet, um ein Signal an Aktore 130 bereitzustellen. Mittels des Signals können die Aktore 130 abgeschaltet werden. Bei den Aktoren 130 kann es sich beispielsweise um eine Drosselklappe und Einspritzventile handeln.Between the third level 116 and the watchdog device 108 there is a bidirectional connection for the exchange of question-answer watchdog signals. The final stage 106 is designed to send a signal to actuators 130 provide. By means of the signal, the actuators can 130 be switched off. At the actuators 130 it may be, for example, a throttle and injectors.

Zur Absicherung der Abschaltmöglichkeit können im Steuergerät zwei unabhängige Abschaltsignale an die Endstufen 106 geführt werden. Ein Abschaltsignal kann von der CPU 104 aus softwaremäßig angesteuert werden und ein weiteres Abschalt signal kann durch einen in einer getrennten Hardware eingebauten Überwachungsmechanismus angesteuert werden. Dieses zusätzliche Überwachungsmodul kann beispielsweise als Watchdog 108 arbeiten und ein Stehenbleiben der CPU 104 erkennen. Das Überwachungsmodul 108 kann sodann selbständig über ein eigenes Abschaltsignal die sichere Abschaltung der Endstufen 106 bewirken. Das Überwachungsmodul 108 und die softwaregesteuerte CPU 104 können sich dabei ständig gegenseitig überwachen. Bei den Aktoren 130, die von der Endstufe 106 abgeschaltet werden können, kann es sich beispielsweise um eine Drosselklappe und Einspritzventile handeln.To safeguard the switch-off option, two independent switch-off signals can be sent to the output stages in the control unit 106 be guided. A shutdown signal may be from the CPU 104 be controlled by software and another shutdown signal can be controlled by a built-in separate hardware monitoring mechanism. This additional monitoring module can be used, for example, as a watchdog 108 working and stopping the CPU 104 detect. The monitoring module 108 can then independently via its own switch-off the safe shutdown of the power amplifiers 106 cause. The monitoring module 108 and the software-controlled CPU 104 can constantly monitor each other. At the actuators 130 that of the power amplifier 106 can be switched off, it may be, for example, a throttle and injectors.

2 zeigt eine beispielhafte Abschaltung der Endstufen 106 durch den separaten Watchdog-Baustein 108 oder durch die CPU 104. Ein Motronik-Steuergerät 203 weist die CPU 104, die Endstufe 106 und ein Überwachungsmodul in Form des Watchdog 108 auf. Das Motronik-Steuergerät 203 ist ausgebildet, um Eingangssignale von einer Einrichtung 102, bei der es sich um ein Beschleunigungspedal handeln kann, zu empfangen. Die CPU 104 weist die erste Ebene 112, die zweite Ebene 114 und die dritte Ebene 116 auf. Die dritte Ebene 116 weist einen Software-Watchdog auf. Die zweite Ebene 114 und der Watchdog 108 sind ausgebildet, um jeweils ein Enable-Signal an die Endstufe 106 bereitzustellen. Die Endstufe 106 weist drei Endstufeneinrichtungen auf, die jeweils ausgebildet sind, um ein Signal von der ersten Ebene 112 zu empfangen und jeweils ein Signal an die Aktoren 130 bereitzustellen. 2 shows an exemplary shutdown of the power amplifier 106 through the separate watchdog module 108 or by the CPU 104 , A motronic control unit 203 assigns the CPU 104 , the power amplifier 106 and a monitoring module in the form of the watchdog 108 on. The Motronic control unit 203 is designed to receive input signals from a device 102 which may be an accelerator pedal. The CPU 104 indicates the first level 112 , the second level 114 and the third level 116 on. The third level 116 has a software watchdog. The second level 114 and the watchdog 108 are each designed to provide an enable signal to the power amplifier 106 provide. The final stage 106 has three output stage devices, each configured to receive a signal from the first level 112 to receive and in each case a signal to the actuators 130 provide.

3 zeigt ein Blockschaltbild eines Ausführungsbeispiels einer Einrichtung 300 zum Überführen eines Apparats 302 in einen sicheren Zustand. Die Einrichtung 300 weist zwei bevorzugte Ausgestaltungen eines Steuergeräts 312, 315 auf. Demnach kann der Apparat 302 als Verbrennungsmotor und die mindestens zwei Komponenten 322, 324 als Einspritzventil, Zündeinrichtung, Drosselklappe, Kraftstoffpumpe, Kraftstoff-Mengensteuerung und/oder als Hochdruck-Regelventil ausgebildet sein. 3 shows a block diagram of an embodiment of a device 300 for transferring an apparatus 302 in a safe condition. The device 300 shows two preferred embodiments of a control device 312 . 315 on. Accordingly, the apparatus 302 as an internal combustion engine and the at least two components 322 . 324 be designed as an injection valve, ignition device, throttle valve, fuel pump, fuel quantity control and / or as a high-pressure control valve.

Die Einrichtung 300 weist ein erstes Steuergerät 312 und ein zweites Steuergerät 315 auf. Der Apparat 302 weist eine erste Komponente 322 und eine zweite Komponente 324 auf. Die Komponenten 322, 324 sind zum Betrieb des Apparats erforderlich. Das erste Steuergerät 312 ist ausgebildet, um abhängig von einem ersten Fehlerzustand die erste Komponente 322 des Apparats 302 so anzusteuern, dass der Apparat 302 den sicheren Zustand einnimmt. Das zweite Steuergerät 315 ist ausgebildet, um abhängig von einem zweiten Fehlerzustand die zweite Komponente 324 des Apparats 302 so anzusteuern, dass der Apparat 302 den sicheren Zustand einnimmt. Ein Ausgang 313 des ersten Steuergeräts 312 ist mit einem Eingang 317 des zweiten Steuergeräts 315 verbunden. Ebenso ist ein Ausgang 316 des zweiten Steuergeräts 315 mit einem Eingang 314 des ersten Steuergeräts 312 verbunden. Es versteht sich, dass die genannten Ein- und Ausgänge nicht als getrennte physikalische Schnittstellen vorhanden sein müssen, sondern bevorzugterweise über eine Bus-Verbindung zwischen den Steuergeräten realisiert sind. Durch die Übermittlung von Überwachungssignalen zwischen den Steuergeräten 312 und 315 ist eine gegenseitige Überwachung der Steuergeräte bereitgestellt.The device 300 has a first controller 312 and a second controller 315 on. The apparatus 302 has a first component 322 and a second component 324 on. The components 322 . 324 are required for the operation of the apparatus. The first controller 312 is configured to be the first component depending on a first fault condition 322 of the apparatus 302 to drive so that the apparatus 302 assumes the safe state. The second control unit 315 is designed to be dependent on a second error state, the second component 324 of the apparatus 302 to drive so that the apparatus 302 assumes the safe state. An exit 313 of the first controller 312 is with an entrance 317 of the second controller 315 connected. Likewise is an exit 316 of the second ECU 315 with an entrance 314 of the first controller 312 connected. It is understood that said inputs and outputs do not have to be present as separate physical interfaces, but are preferably realized via a bus connection between the control units. By transmitting monitoring signals between the control units 312 and 315 a mutual monitoring of the control devices is provided.

Die Einrichtung 300 kann ausgebildet sein, um das Verfahren zum Überführen des Apparats 302 in einen sicheren Zustand auszuführen.The device 300 may be configured to the method for transferring the apparatus 302 to execute in a safe condition.

4 zeigt ein detailliertes Blockschaltbild des Ausführungsbeispiels der Einrichtung 300 gemäß der vorliegenden Erfindung. Gezeigt sind getrennte Abschaltpfade und eine gegenseitige Überwachung bei einer verteilten Motorsteuerung. 4 shows a detailed block diagram of the embodiment of the device 300 according to the present invention. Shown are separate shutdown paths and mutual monitoring in a distributed engine control.

Die Einrichtung weist die Steuergeräte 312, 315 auf. Das erste Steuergerät 312 kann ausgebildet sein, um eine erste Komponente in Form einer Drosselklappe 322 anzusteuern und das zweite Steuergerät 315 kann ausgebildet sein, um eine zweite Komponente in Form von Einspritzventilen 324 anzusteuern. Das erste Steuergerät 312 kann einen Block "Abschaltpfad 1" 431, einen Block "Ebene-2" 432 und einen Block "Ebene-3" 433 mit einer Prüfeinrichtung aufweisen. Das zweite Steuergerät 315 kann einen Block "Abschaltpfad 2" 436, einen Block "Ebene-2" 437 und einen Block "Ebene-3" 438 mit einer Prüfeinrichtung aufweisen.The device has the controllers 312 . 315 on. The first controller 312 may be formed to a first component in the form of a throttle valve 322 to drive and the second control unit 315 may be formed to a second component in the form of injection valves 324 head for. The first controller 312 can block a "shutdown path 1" 431 , a block "level-2" 432 and a block "level-3" 433 having a testing device. The second control unit 315 can make a block "shutdown path 2" 436 , a block "level-2" 437 and a block "level-3" 438 having a testing device.

Das erste Steuergerät 312 und der Block 432 des ersten Steuergeräts 312 können ausgebildet sein, um ein Signal, von einem Beschleunigungspedal 441 zu empfangen. Der Block 432 kann ausgebildet sein, um ein Signal an den Block 431 bereitzustellen und ein Signal von der Drosselklappe 322 zu empfangen. Das zweite Steuergerät 315 und der Block 437 des zweiten Steuergeräts 315 können ausgebildet sein, um jeweils ein Signal von einem Sensor n_Mot (KWG) 442 sowie einem Raildrucksensor 443 zu empfangen. Der Block 437 kann ausgebildet sein, um ein Signal an den Block 436 bereitzustellen und ein Signal von den Einspritzventilen 324 zu empfangen. Die Blöcke 432, 437 können ausgebildet sein, um zwischen einander Steuer- oder Kommunikationssignale zu übertragen. Die Blöcke 433, 438 können ausgebildet sein, um zwischen einander das erste und das zweite Signal, bei spielsweise Frage-Antwort-Signale bzw. Überwachungssignale, zu übertragen.The first controller 312 and the block 432 of the first controller 312 may be configured to receive a signal from an accelerator pedal 441 to recieve. The block 432 may be configured to send a signal to the block 431 provide and a signal from the throttle 322 to recieve. The second control unit 315 and the block 437 of the second controller 315 can be designed to receive in each case a signal from a sensor n_Mot (KWG) 442 as well as a rail pressure sensor 443 to recieve. The block 437 may be configured to send a signal to the block 436 provide and a signal from the injectors 324 to recieve. The blocks 432 . 437 may be configured to transmit control or communication signals between each other. The blocks 433 . 438 can be configured to transmit between each other, the first and the second signal, for example, question-answer signals or monitoring signals.

Um mit der in 4 gezeigten Einrichtung die gleiche Sicherheitsstufe zu erhalten wie in einem in den 1 und 2 gezeigten Einzelsteuergerät, können die Komponenten oder Aktoren 322, 324 den zwei getrennten Steuergeräten 312, 315 in der Art zugeordnet werden, dass über beide Steuergeräte 312, 315 im Fehlerfall eine sichere Abschaltung, beispielsweise des Motors, ermöglicht wird.To deal with in 4 to get the same security level as shown in one of the 1 and 2 shown individual control unit, the components or actuators 322 . 324 the two separate control units 312 . 315 be assigned in the way that over both control devices 312 . 315 in case of failure, a safe shutdown, for example, the engine is possible.

Dadurch entfällt auf jedem einzelnen der Steuergeräte 312, 315 die Notwendigkeit, eine zweite unabhängige Überwachungskomponente, beispielsweise in Form eines Überwachungsrechners, eines Überwachungsmoduls oder eines Watchdogs anzuordnen. Vielmehr kann die Überwachung jedes Steuergeräts 312, 315 durch das jeweils andere Steuergerät 312, 315 über eine abgesicherte Bus-Kommunikation erfolgen. Dies kann mit ähnlichen Mechanismen erfolgen, wie es zwischen der in 1 gezeigten CPU und dem Überwachungsmodul üblich ist. Beispielsweise kann eine Frage-Antwort-Kommunikation zwischen den Steuergeräten 312, 315 eingesetzt werden.This eliminates every single one of the ECUs 312 . 315 the need to arrange a second independent monitoring component, for example in the form of a monitoring computer, a monitoring module or a watchdog. Rather, the monitoring of each controller 312 . 315 through the other control unit 312 . 315 via a secured bus communication. This can be done with similar mechanisms as between the in 1 shown CPU and the monitoring module is common. For example, a question-answer communication between the controllers 312 . 315 be used.

Für eine Otto-Motor-Steuerung kann dies realisiert werden, indem beispielsweise dem Steuergerät 315 die Ansteuerung der Einspritzventile 324 und der Zündung zugeordnet ist. Am anderen Steuergerät 312 sind dann beispielsweise die Drosselklappe 322 und die Kraftstoffpumpe angeschlossen. Somit sind zwei räumlich, logisch und elektrisch getrennte Abschaltpfade vorhanden die eine sichere Abschaltung des Motors im Fehlerfall durch eines der beiden Steuergeräte 312, 315 erlauben.For a gasoline engine control, this can be realized by, for example, the control unit 315 the control of the injection valves 324 and the ignition is assigned. At the other control unit 312 are then, for example, the throttle 322 and the fuel pump connected. Thus, there are two spatially, logically and electrically disconnected Abschaltpfade the safe shutdown of the engine in case of failure by one of the two control units 312 . 315 allow.

Für eine Diesel-Motor-Steuerung kann die Aufteilung so erfolgen, dass auf dem einem Steuergerät die Einspritzventile angeschlossen sind und auf dem anderen Steuergerät die Regelventile für die Erzeugung des Kraftstoffdrucks und die Kraftstoffförderpumpe. Sowohl durch Abstellen der Einspritzventile einerseits als auch durch Abregeln oder Abschalten des Kraftstoffdrucks bzw. der Kraftstoffförderung andererseits kann der Motor sicher abgestellt werden.For a diesel engine control the division can be made so that on a control unit, the injectors are connected and on the other control unit, the control valves for the generation the fuel pressure and the fuel delivery pump. Both by parking the injectors on the one hand and by Abregeln or shutdown the fuel pressure or the fuel delivery on the other hand, the Engine safely parked.

Ein weiterer Vorteil getrennter Steuergeräte ist dadurch gegeben, dass im Fehlerfall nicht zwingend eine Abschaltung der jeweiligen Komponente durch die Abschaltung der Endstufe für das Erreichen des sicheren Zustands durchgeführt werden muss. Dies ist bei einem herkömmlichen Steuergerät notwendig, da das Überwachungsmodul keine aktiven Eingriffe, sondern nur eine Abschaltung durchführen kann.One Another advantage of separate control units is given by the fact that in the event of an error not necessarily a shutdown of the respective component the shutdown of the power amplifier for the achievement of the safe state must be performed. This is included a conventional one control unit necessary, because the monitoring module no active intervention, but only a shutdown can perform.

Da bei einem Einzelfehler im verteilten System immer noch ein zweites funktionsfähiges Steuergerät zur Verfügung steht, ist es nun möglich, den sicheren Zustand auch zu gewährleisten, wenn auf dem Abschaltpfad eine aktive Ansteuerung eines bestimmten Zustands einer Komponente durchgeführt werden muss. Ein Beispiel hierfür könnte das aktive Ansteuern eines Druckabbau-Ventils im Fehlerfall sein.Since a second functional control unit is still available in the event of a single fault in the distributed system, it is now possible to ensure the safe state even if active activation of a specific state of a component must be carried out on the shutdown path. An example of this could be the active activation of a pressure reduction valve in the event of a fault be.

Mögliche Alternativen des erfindungsgemäßen Ansatzes sind dadurch gegeben, dass bei üblichen Motorkonzepten mehrere Komponenten zur Abschaltung des Motors zur Verfügung stehen. Diese können dann in mehreren Kombinationen auf zwei Steuergeräte verteilt werden, wobei nur sichergestellt sein muss, dass mindestens eine sich auf jedem Steuergerät befindet.possible alternatives the approach of the invention are given by the fact that at usual Motor concepts several components to shut down the engine to disposal stand. these can then distributed in several combinations on two control units be sure that at least one yourself on every controller located.

Für einen Otto-Motor kann es sich bei den Komponenten typischerweise um Einspritzventile, Zündspulen oder Zündkerzen, die Drosselklappe, die Kraftstoffpumpe, die Kraftstoff-Mengensteuerung der Hochdruckpumpe bei Direkt-Einspritzung oder das Hochdruck-Regelventil handeln.For one Otto engine may be the components typically injectors, ignition coils or spark plugs, the throttle, the fuel pump, the fuel quantity control of the high pressure pump act on direct injection or the high pressure control valve.

Für einen Diesel-Motor kann es sich bei den Komponenten typischerweise um Einspritzventile, eventuell die Drosselklappe, die Kraftstoffpumpe, die Kraftstoff-Mengensteuerung der Hochdruckpumpe oder das Hochdruck-Regelventil handeln.For one Diesel engine may typically be around at the components Injectors, possibly the throttle, the fuel pump, the fuel quantity control of the high pressure pump or the high pressure control valve act.

Die beschriebenen Ausführungsbeispiele sind nur beispielhaft gewählt und können miteinander kombiniert werden. Insbesondere kann eine physikalische Zuordnung der Komponenten zu einem Motorsteuerungssystem, das aus mehr als einem Steuergerät besteht, an jeweilige Gegebenheiten angepasst werden. Es können mehr als zwei getrennte Steuergeräte eingesetzt werden, denen wiederum eine beliebige Anzahl an Komponenten zugeordnet werden können.The described embodiments are chosen only as an example and can be combined with each other. In particular, a physical Assignment of components to a motor control system that out more than one controller exists, adapted to the respective circumstances. There can be more as two separate controllers be used, in turn, any number of components can be assigned.

102102
Einrichtungen zum Bereitstellen eines Eingangssignalsfacilities for providing an input signal
104104
CPUCPU
106106
Endstufefinal stage
108108
Watchdog-EinrichtungWatchdog unit
112, 114, 116112 114, 116
Ebenenlevels
121121
Block "Fahr-Funktionen"Block "Driving functions"
122122
Block "Diagnose"Block "Diagnosis"
123123
Block "Programmablauf"Block "Program flow"
124124
Block "Speichertest"Block "memory test"
125125
Block "Frage-Antwort-Kommunikation"Block "Question-answer communication"
126126
Block "Befehlstest"Block "Command Test"
130130
Aktorenactuators
203203
Motronik-SteuergerätMotronik controller
300300
EinrichtungFacility
302302
Apparatapparatus
312, 315312 315
Steuergerätcontrol unit
313, 316313 316
Ausgangoutput
314, 317314 317
Eingangentrance
322, 324322 324
Komponentencomponents
431, 432, 433431, 432, 433
Blöcke des ersten SteuergerätesBlocks of the first control unit
436, 437, 438436 437, 438
Blöcke des zweiten SteuergerätesBlocks of the second control device
441, 442, 443441, 442, 443
Sensorensensors

Claims (11)

Steuergerät (312; 315) für ein Kraftfahrzeug mit einem Ausgang (313; 316) zum Senden eines ersten Signals an ein zweites Steuergerät (315; 312), einem Eingang (314; 317) zum Empfangen eines zweiten Signals von dem zweiten (315; 312) oder einem weiteren Steuergerät, wobei das Steuergerät (312; 315) dazu eingerichtet ist, einen Apparat (302) des Kraftfahrzeugs in einen sicheren Zustand zu überführen, wenn das zweite Signal eine Fehlfunktion des zweiten (315; 312) oder des weiteren Steuergeräts anzeigt.Control unit ( 312 ; 315 ) for a motor vehicle having an output ( 313 ; 316 ) for sending a first signal to a second control device ( 315 ; 312 ), an entrance ( 314 ; 317 ) for receiving a second signal from the second ( 315 ; 312 ) or another control unit, wherein the control unit ( 312 ; 315 ) is set up to use an apparatus ( 302 ) of the motor vehicle in a safe state, when the second signal is a malfunction of the second ( 315 ; 312 ) or the further control device displays. Steuergerät (312, 315) nach Anspruch 1 mit einer Prüfeinrichtung (433, 438), die ausgebildet ist, um bei einer Fehlfunktion des Steuergeräts (312, 315) mindestens ein Fehlersignal an dem Ausgang (313, 316) bereitzustellen.Control unit ( 312 . 315 ) according to claim 1 with a test device ( 433 . 438 ), which is designed to be in the event of a malfunction of the control unit ( 312 . 315 ) at least one error signal at the output ( 313 . 316 ). Steuergerät (312, 315) nach Anspruch 1 oder 2, das ausgebildet ist, um zum Senden des ersten Signals eine abgesicherte Bus-Kommunikation bereitzustellen.Control unit ( 312 . 315 ) according to claim 1 or 2, arranged to provide secure bus communication for transmission of the first signal. Steuergerät (312, 315) nach einem der vorstehenden Ansprüche, das ausgebildet ist, um unabhängig von dem zweiten Signal den Apparat (302) des Kraftfahrzeugs zu steuern.Control unit ( 312 . 315 ) according to one of the preceding claims, which is designed to separate the apparatus (independent of the second signal). 302 ) of the motor vehicle. Einrichtung zum Überführen eines Apparats (302) eines Kraftfahrzeugs in einen sicheren Zustand umfassend wenigstens zwei Steuergeräte (312, 315) nach einem der vorstehenden Ansprüche, wobei mindestens eine zum Betrieb des Apparats (302) erforderliche Komponente (322, 324) vorgesehen ist, wobei das erste Steuergerät (312) ausgebildet ist, um abhängig von einem ersten Fehlerzustand die mindestens eine Komponente (322) des Apparats so anzusteuern, dass der Apparat den sicheren Zustand einnimmt; und das zweite Steuergerät (315) ausgebildet ist, um abhängig von einem zweiten Fehlerzustand die mindestens eine Komponente (324) des Apparats so anzusteuern, dass der Apparat den sicheren Zustand einnimmt.Device for transferring an apparatus ( 302 ) of a motor vehicle in a safe state comprising at least two control devices ( 312 . 315 ) according to one of the preceding claims, wherein at least one for the operation of the apparatus ( 302 ) required component ( 322 . 324 ) is provided, wherein the first control unit ( 312 ) is formed, in order, depending on a first error state, the at least one component ( 322 ) of the apparatus so that the apparatus assumes the safe state; and the second controller ( 315 ) is formed, in order, depending on a second error state, the at least one component ( 324 ) of the apparatus so that the apparatus assumes the safe state. Einrichtung (300) nach Anspruch 5, wobei das erste Steuergerät (312) ausgebildet ist, um mindestens ein erstes Fehlersignal zu empfangen, das den ersten Fehlerzustand anzeigt, und wobei das zweite Steuergerät (315) ausgebildet ist, um mindestens ein zweites Fehlersignal zu empfangen, das den zweiten Fehlerzustand anzeigt.Facility ( 300 ) according to claim 5, wherein the first control device ( 312 ) is adapted to receive at least a first error signal, the indicates the first fault condition, and wherein the second control unit ( 315 ) is configured to receive at least a second error signal indicative of the second error condition. Einrichtung (300) nach Anspruch 2 und 6, wobei die Prüfeinrichtung (433, 438) ausgebildet ist, um bei einer Fehlfunktion des ersten Steuergeräts (312) das mindestens eine zweite Fehlersignal bereitzustellen, und bei einer Fehlfunktion des zweiten Steuergeräts (315) das mindestens eine erste Fehlersignal bereitzustellen.Facility ( 300 ) according to claims 2 and 6, wherein the test device ( 433 . 438 ) is designed to be in case of malfunction of the first control device ( 312 ) provide the at least one second error signal, and in the event of a malfunction of the second control device ( 315 ) to provide the at least one first error signal. Einrichtung (300) nach einem der Ansprüche 5 bis 7, wobei der Apparat (302) als Verbrennungsmotor und die mindestens eine Komponente (322, 324) als Einspritzventil, Zündeinrichtung, Drosselklappe, Kraftstoffpumpe, Kraftstoff-Mengensteuerung und/oder als Hochdruck-Regelventil ausgebildet sind.Facility ( 300 ) according to one of claims 5 to 7, wherein the apparatus ( 302 ) as an internal combustion engine and the at least one component ( 322 . 324 ) are designed as injection valve, ignition device, throttle valve, fuel pump, fuel quantity control and / or as a high-pressure control valve. Verfahren zum Überführen eines Apparats (302) eines Kraftfahrzeugs in einen sicheren Zustand, wobei mindestens eine zum Betrieb des Apparats (302) erforderliche Komponente (322, 324) vorgesehen ist, wobei wenigstens zwei Steuergeräte (312, 315) nach einem der Ansprüche 1 bis 4 vorgesehen sind, mit folgenden Schritten: Ansteuern der mindestens einen Komponente (322, 324) des Apparats (302) abhängig von einem ersten Fehlerzustand, so dass der Apparat den sicheren Zustand einnimmt; und Ansteuern der mindestens einen Komponente (322, 324) des Apparats (302) abhängig von einem zweiten Fehlerzustand, so dass der Apparat (302) den sicheren Zustand einnimmt.Method for transferring an apparatus ( 302 ) of a motor vehicle in a safe state, wherein at least one for the operation of the apparatus ( 302 ) required component ( 322 . 324 ), wherein at least two control devices ( 312 . 315 ) are provided according to one of claims 1 to 4, with the following steps: driving the at least one component ( 322 . 324 ) of the apparatus ( 302 ) depending on a first fault condition, so that the apparatus assumes the safe state; and driving the at least one component ( 322 . 324 ) of the apparatus ( 302 ) depending on a second fault condition, such that the apparatus ( 302 ) assumes the safe state. Computerprogramm mit Programmcode-Mitteln, um alle Schritte eines Verfahrens gemäß Anspruch 9 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Rechnereinheit ausgeführt wird.Computer program with program code means to all Steps of a method according to claim 9 to perform if the computer program is on a computer or equivalent Computer unit executed becomes. Computerprogrammprodukt mit Programmcode-Mitteln, die auf einem computerlesbaren Datenträger gespeichert sind, um alle Schritte eines Verfahrens nach Anspruch 9 durchzuführen, wenn das Computerprogrammprodukt auf einem Computer oder auf einer entsprechenden Rechnereinheit ausgeführt wird.Computer program product with program code means, which are stored on a computer-readable medium to all To perform steps of a method according to claim 9, when the computer program product on a computer or on a corresponding one Computer unit executed becomes.
DE200810004208 2008-01-14 2008-01-14 Controllers for motor vehicle, have outlets for sending signal to later controller, where inlets are provided for receiving another signal from later controller Withdrawn DE102008004208A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200810004208 DE102008004208A1 (en) 2008-01-14 2008-01-14 Controllers for motor vehicle, have outlets for sending signal to later controller, where inlets are provided for receiving another signal from later controller

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200810004208 DE102008004208A1 (en) 2008-01-14 2008-01-14 Controllers for motor vehicle, have outlets for sending signal to later controller, where inlets are provided for receiving another signal from later controller

Publications (1)

Publication Number Publication Date
DE102008004208A1 true DE102008004208A1 (en) 2009-07-16

Family

ID=40758479

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200810004208 Withdrawn DE102008004208A1 (en) 2008-01-14 2008-01-14 Controllers for motor vehicle, have outlets for sending signal to later controller, where inlets are provided for receiving another signal from later controller

Country Status (1)

Country Link
DE (1) DE102008004208A1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011080989A1 (en) 2011-08-16 2013-02-21 Mtu Friedrichshafen Gmbh Control device for fuel injection system, particularly common rail system of generator of internal combustion engine, has control units, which are mutually redundant, configured and adapted for generating engine control signal
DE102011080986A1 (en) 2011-08-16 2013-02-21 Mtu Friedrichshafen Gmbh Common-rail control device for fuel injection system in e.g. watercraft, has control units that supplies different motor control signals as respective filtered, and unfiltered variable signals to actuator connection in switch unit
WO2016005187A1 (en) * 2014-07-08 2016-01-14 Continental Automotive Gmbh Control arrangement for safety-relevant actuators
DE102020208370A1 (en) 2020-07-03 2022-01-05 Vitesco Technologies GmbH Electronic control unit
DE102013217461B4 (en) 2013-09-02 2023-10-05 Robert Bosch Gmbh Method and arrangement for monitoring a component in a motor vehicle

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011080989A1 (en) 2011-08-16 2013-02-21 Mtu Friedrichshafen Gmbh Control device for fuel injection system, particularly common rail system of generator of internal combustion engine, has control units, which are mutually redundant, configured and adapted for generating engine control signal
DE102011080986A1 (en) 2011-08-16 2013-02-21 Mtu Friedrichshafen Gmbh Common-rail control device for fuel injection system in e.g. watercraft, has control units that supplies different motor control signals as respective filtered, and unfiltered variable signals to actuator connection in switch unit
DE102011080989B4 (en) * 2011-08-16 2013-12-12 Mtu Friedrichshafen Gmbh Control device for an injection system, injection system with an internal combustion engine and emergency generator
DE102011080986B4 (en) * 2011-08-16 2014-02-13 Mtu Friedrichshafen Gmbh Control device for an injection system, injection system with an internal combustion engine and emergency generator
DE102013217461B4 (en) 2013-09-02 2023-10-05 Robert Bosch Gmbh Method and arrangement for monitoring a component in a motor vehicle
WO2016005187A1 (en) * 2014-07-08 2016-01-14 Continental Automotive Gmbh Control arrangement for safety-relevant actuators
DE102020208370A1 (en) 2020-07-03 2022-01-05 Vitesco Technologies GmbH Electronic control unit
WO2022002913A1 (en) 2020-07-03 2022-01-06 Vitesco Technologies GmbH Electronic control unit

Similar Documents

Publication Publication Date Title
DE102010041631B4 (en) Vehicle drive with at least two starting systems
DE102008004208A1 (en) Controllers for motor vehicle, have outlets for sending signal to later controller, where inlets are provided for receiving another signal from later controller
DE102007031110B4 (en) Method and arrangement for fully automatic functional testing of internal combustion engines
EP1175557B1 (en) Method and device for monitoring a computing element in a motor vehicle
DE102008008536A1 (en) Method for controlling an electric machine and control device
EP2545269A2 (en) Motor control device for actuating a circuit and method
EP1222378A1 (en) Device and method for controlling a drive unit
DE102005040780B4 (en) Method and engine control unit for increasing the availability of motor vehicle engines
DE102007021589B4 (en) Machine start protection through safety software layer
DE102007000064A1 (en) Fuel injection device e.g. for controlling fuel injection in fuel injecting device, has fuel injected by valve to each cylinder and control device has collection mechanism for recording malfunction which is caused by valve
EP1556601A1 (en) Method and device for monitoring an accelerator sensor
DE102005034602B4 (en) Method for operating a motor vehicle with an internal combustion engine, computer program product, electrical storage medium for a control and / or regulating device and control and / or regulating device for a motor vehicle
DE10321229B4 (en) Counter-controlling processors for powertrain control systems that use a dedicated serial data line
DE10354654B4 (en) Method and device for operating a drive unit
EP0596297B1 (en) Method and apparatus for checking the monitoring unit of a control system for an engine
EP2387660B1 (en) Method for performing a number of injections
EP2462338A1 (en) Method and device for monitoring a device for switching a starter
DE102010062476A1 (en) Method and device for driving a motor vehicle drive train
DE102010039844A1 (en) Selective control circuit for motor system, has signal supply unit that provides drive signals for fuel gas injection valves if pulse duration of fuel injection signal is below predetermined minimal duration
DE102012208765B4 (en) Method for monitoring an internal combustion engine comprising at least two partial engines, control device, internal combustion engine and vehicle
DE102006037124A1 (en) Drive system for a drive unit of a motor vehicle
DE102010007169B4 (en) Drive train and ignition diagnostics system and method
DE102017202883A1 (en) Method and device for controlling a clutch
DE102010061781A1 (en) Method and device for driving a controllable by a driver device starter for an internal combustion engine of a motor vehicle
DE102015211914A1 (en) Method and device for operating a motor vehicle with an electrically controlled clutch

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R012 Request for examination validly filed

Effective date: 20140926

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee