[go: up one dir, main page]

DE102008009905A1 - Verfahren zum Bereitstellen einer Notlauffunktion - Google Patents

Verfahren zum Bereitstellen einer Notlauffunktion Download PDF

Info

Publication number
DE102008009905A1
DE102008009905A1 DE200810009905 DE102008009905A DE102008009905A1 DE 102008009905 A1 DE102008009905 A1 DE 102008009905A1 DE 200810009905 DE200810009905 DE 200810009905 DE 102008009905 A DE102008009905 A DE 102008009905A DE 102008009905 A1 DE102008009905 A1 DE 102008009905A1
Authority
DE
Germany
Prior art keywords
function
redundant
microcontroller
signal
path
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200810009905
Other languages
English (en)
Inventor
Thomas Jauch
Joerg Jehlicka
Stefan Harport
Achim Mahler
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE200810009905 priority Critical patent/DE102008009905A1/de
Priority to PCT/EP2008/066320 priority patent/WO2009103371A1/de
Publication of DE102008009905A1 publication Critical patent/DE102008009905A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24191Redundant processors are different in structure
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/34Director, elements to supervisory
    • G05B2219/34482Redundancy, processors watch each other for correctness

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Bereitstellen einer Notlauffunktion, über die eine Funktion redundant angesteuert wird, bei dem mindestens ein zum Auslösen der Funktion vorgesehenes Eingangssignal (52) entlang einer Anzahl redundanter Pfade zu einer Einrichtung, die zum Umsetzen der Funktion ausgebildet ist, redundant übermittelt wird, und bei dem eine Diagnose mindestens eines redundanten Pfads durchgeführt wird.

Description

  • Die Erfindung betrifft ein Verfahren zum Bereitstellen einer Notlauffunktion, eine Vorrichtung zum Bereitstellen einer Notlauffunktion, ein Computerprogramm und ein Computerprogrammprodukt
  • Stand der Technik
  • Sog. Systembasischips bzw. -schaltkreise (SBC) oder integrierte Systembasischips (SBIC) werden u. a. in Steuergeräten für automotive Anwendungen eingesetzt und fassen typischerweise unterschiedliche Funktionen, wie bspw. Spannungsregelung und -überwachung, Rücksetzfunktionen (Reset), Überwachungsfunktionen (Watchdog), Schnittstellenfunktionen und dergleichen zusammen. Am Markt verfügbare SBICs sind bspw. TLE6263 von Infineon, UJA1065 von Philips oder MC33889 von Freescale.
  • Offenbarung der Erfindung
  • Die Erfindung betrifft ein Verfahren zum Bereitstellen einer Notlauffunktion, über die eine Funktion redundant angesteuert wird. Bei diesem Verfahren wird ein zum Auslösen der Funktion vorgesehenes Eingangssignal entlang einer Anzahl redundanter Pfade zu einer Einrichtung, die zum Umsetzen der Funktion ausgebildet ist, redundant übermittelt. Außerdem wird eine Diagnose mindestens eines redundanten Pfads durchgeführt.
  • Mit diesem Verfahren wird durch Bereitstellung der Notlauffunktion eine verzögerungsfreie und mehrfach redundante Ansteuerung einer Funktion zuzüglich einer vollständigen, typischerweise betriebsbegleitenden, Diagnose des mindestens einen redundanten Pfads, der auch als Notlaufpfad bezeichnet werden kann, oder eines entsprechenden Signalpfads realisiert.
  • Das Eingangssignal kann somit über mehrere redundante Pfade sicher übermittelt werden, so dass die Funktion sicher umgesetzt wird. Durch Vornehmen der Diagnose des mindestens einen Pfads kann dessen Funktionstüchtigkeit überprüft werden.
  • Die im Rahmen des Verfahrens benutzten redundanten Pfade können verschiedenartig strukturiert sein. Entlang derartiger Pfade, bspw. Notlaufpfade, können unterschiedliche elektronische und/oder schaltungstechnische Einrichtungen angeordnet sein. So ist es möglich, das Eingangssignal direkt über einen ersten redundanten Pfad oder Notlaufpfad zu der Einrichtung zu übermitteln. Außerdem kann das Eingangssignal über einen zweiten redundanten Pfad, der als Betriebspfad ausgebildet ist und einen Microcontroller umfasst, zu der Einrichtung übermittelt werden. Außerdem können mehrere Pfade durch diesen Microcontroller diagnostiziert werden. Somit kann dieser Microcontroller auch Pfade diagnostizieren, entlang denen dieser Microcontroller nicht angeordnet ist.
  • In einer weiteren Variante des Verfahrens werden mindestens ein redundanter Pfad und der Microcontroller durch einen Systembasisschaltkreis, der hier zugleich als Überwachungseinheit ausgebildet ist, überwacht.
  • Das Verfahren ist bspw. für Anwendungen im automotiven Bereich bzw. im Kfz-Bereich geeignet. Dabei ist es u. a. möglich, dass im Rahmen des Verfahrens ein Bremslicht redundant angesteuert wird. In diesem Fall wird das Eingangssignal durch einen Bremsschalter oder eine entsprechende Bremsvorrichtung bereitgestellt. Hierbei ist durch dieses Eingangssignal eine Bremsbeleuchtung zu erzeugen, wobei das Eingangssignal redundant zu dem Bremslicht übermittelt wird, so dass dieses Bremslicht eine Bremsung anzeigt. Somit kann mit dem Verfahren das Bremslicht betätigt und kontrolliert werden.
  • Im Rahmen der beschriebenen Diagnose können neben den redundanten Pfaden oder Notlaufpfaden auch Fehler diagnostiziert werden. Somit ist bspw. auch ein Abschalten von fehlerhaften Signalen möglich.
  • Die Erfindung betrifft auch eine Vorrichtung zum Bereitstellen einer zum redundanten Ansteuern einer Funktion vorgesehenen Notlauffunktion, wobei diese Vorrichtung eine Anzahl redundanter Pfade umfasst, entlang denen ein zum Auslösen der Funktion vorgesehenes Eingangssignal zu der Einrichtung, die zum Umsetzen der Funktion ausgebildet ist, redundant zu übermitteln ist. Weiterhin ist die Vorrichtung dazu ausgebildet, eine Diagnose mindestens eines redundanten Pfads durchzuführen.
  • Diese Vorrichtung kann üblicherweise einen Microcontroller, einen als Überwachungseinheit ausgebildeten Systembasisschaltkreis und ein Modul, das auch als Notlaufmodul bezeichnet werden kann, umfassen. Das Modul kann eine Anzahl logischer Elemente umfassen, so dass dieses Modul in einer Variante als ein logisches Schaltelement ausgebildet ist. Die logischen Schaltelemente sind über Leitungsabschnitte miteinander verbunden. Somit ist es möglich, dass die redundanten Pfade oder Notlaufpfade zumindest abschnittsweise entlang den logischen Schaltelementen innerhalb des Moduls verlaufen, was bedeutet, dass entlang der redundanten Pfade logische Elemente angeordnet sein können.
  • Der Microcontroller der Vorrichtung kann am Anfang eines Zweigs eines redundanten Pfads angeordnet sein, so dass das Eingangssignal über den Microcontroller direkt an diesen redundanten Pfad übermittelt bzw. geleitet wird. Außerdem kann die Vorrichtung eine Anzahl Rückleseleitungen aufweisen, wobei der Microcontroller über jeweils eine derartige Rückleseleitung an jeweils einem der redundanten Pfade angeschlossen ist, so dass die Diagnose der Pfade über diese Rückleseleitungen mit dem Microcontroller durchzuführen ist.
  • Der Systembasisschaltkreis ist dazu ausgebildet, den Microcontroller und in weiterer Ausgestaltung die redundanten Pfade zu überwachen. Hierzu ist der Systembasisschaltkreis mit dem Microcontroller verbunden. Außerdem kann der Systembasisschaltkreis auch am Anfang eines zweiten Zweigs des beschriebenen redundanten Pfads, an dessen ersten Zweig der Microcontroller angeschlossen ist, angeordnet sein.
  • Mit der Erfindung ist u. a. eine steuerbare, verzögerungsfreie Ansteuerung von mindestens einer Funktion, d. h. auch von mehreren Funktionen, die durch jeweilige Eingangssignale ausgelöst werden, möglich. Es ist klar, dass in einer Variante auch mehrere unterschiedliche Eingangssignale über redundante Pfade des Moduls innerhalb einer Vorrichtung redundant übertragen werden können. Außerdem können zusätzliche redundante Ansteuerung für den Ausfall der ersten redundanten Ansteuerung zuzüglich einer vollständigen Diagnose im normalen Betrieb durchgeführt werden.
  • Somit ist eine direkte Steuerung durch ein Eingangssignal unter Bereitstellung unterschiedlicher Steuerungsmöglichkeit realisierbar. Eine Überwachungseinheit kann z. B. als System Basis IC bzw. Schaltkreis mit integriertem Überwachungsmodul (Watchdog) zur Überwachung eines Microcontrollers, der im Fehlerfall, zusätzlich zu dem Rücklesesignal, das auch als Rücksetz- bzw. Reset-Signal geeignet ist, ein hoch-(high) oder niedrig-(low) aktives Fehlersignal liefert, das die mindestens eine Funktion redundant ansteuern kann, ausgebildet sein.
  • In Ausgestaltung der Erfindung kann eine Kombination der oben genannten Varianten, d. h. eine ggf. auch mehrfach redundante Ansteuerung sowie eine bspw. betriebsbegleitende Diagnose, erfolgen. Dadurch ergeben sich schnelle Reaktionszeiten, flexible Ansteuerungsmöglichkeiten, eine in der Regel vollständige Diagnose zur Erkennung schlafender Fehler und/oder eine Abschaltung einer Funktion bei fehlerhaftem Eingangssignal, bspw. für einen Kurzschlußschutz.
  • Die Erfindung betrifft in Ausgestaltung auch eine Notlauffunktion mit verzögerungsfreier und mehrfach redundanter Ansteuerung einer Funktion einschließlich vollständiger Diagnose mindestens eines redundanten Signalpfads bzw. mindestens einer zur Bereitstellung von Signalen vorgesehenen redundanten Leitung und somit mindestens eines redundanten Pfads innerhalb des Moduls. Das Modul kann bspw. logische Schaltelemente, üblicherweise UND- sowie ODER-Elemente, umfassen. Derartige logische Schaltelemente sind üblicherweise entlang dem mindestens einen redundanten Pfad innerhalb des Moduls angeordnet, so dass zwei logische Schaltelemente über einen Abschnitt des mindestens einen redundanten Pfads miteinander verbunden sein können. Hierbei kann ein logisches Schaltelement entlang einem redundanten Pfad und somit auch entlang mehreren redundanten Pfaden angeordnet sein.
  • Die steuerbare, verzögerungsfreie Ansteuerung der mindestens einen Funktion ist typischerweise direkt durch das Eingangssignal durchführbar. Es ergibt sich auch die Möglichkeit einer Ansteuerung der mindestens einen Funktion im normalen Betriebsfall durch den Microcontroller und eine mehrfach redundante Ansteuerung bei Ausfall des Microcontrollers oder anderer Komponenten der Vorrichtung oder eines entsprechenden Systems.
  • Eine vollständige Diagnose der redundanten Ansteuer- oder Signalpfade, die zumindest abschnittsweise innerhalb des Moduls, bspw. Notlaufmoduls, verlaufen und somit zumindest abschnittsweise als redundante Pfade innerhalb des Moduls angeordnet sind, kann bspw. während des Betriebs u. a. durch Erkennung schlafender Fehler erfolgen. Eine Abschaltung einer Funktion bei einem fehlerhaftem Eingangssignal, z. B. durch Kurzschluß, kann ergänzend vorgesehen sein.
  • In Ausgestaltung erfolgt eine verzögerungsfreie Ansteuerung der Funktion, wobei diese Funktion ggf. in einem als Notlaufpfad ausgebildeten Pfad integriert werden kann.
  • Die beschriebene Vorrichtung ist dazu ausgebildet, sämtliche Schritte des vorgestellten Verfahrens durchzuführen. Dabei können einzelne Schritte dieses Verfahrens auch von einzelnen Komponenten der Vorrichtung durchgeführt werden. Weiterhin können Funktionen der Vorrichtung oder Funktionen von einzelnen Komponenten der Vorrichtung als Schritte des Verfahrens umgesetzt werden.
  • Die Erfindung betrifft weiterhin ein Computerprogramm mit Programmcodemitteln, um alle Schritte eines beschriebenen Verfahrens durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere in einer erfindungsgemäßen Vorrichtung, ausgeführt wird.
  • Das erfindungsgemäße Computerprogrammprodukt mit Programmcodemitteln, die auf einem computerlesbaren Datenträger gespeichert sind, ist zum Durchführen aller Schritte eines beschriebenen Verfahrens ausgebildet, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere in einer erfindungsgemäßen Vorrichtung, ausgeführt wird.
  • Eine Funktion, hier beispielhaft anhand der Funktion des Bremslichts beschrieben, wird nahezu verzögerungsfrei, d. h. ohne Software-Reaktionszeit, und applikationsspezifisch, z. B. mit einem pulsweitenmodulierten (PWM) Signal, angesteuert. Die applikationsspezifische Steuerung durch das Steuersignal zur Pulsweitenmodulation und zum Testen ("PWM & Test") durch den Microcontroller wird in diesem Fall nicht erst mit der Funktionsanforderung durch das Eingangssignal aktiviert sondern vorab eingestellt und dann durch das Eingangssignal sofort aktiviert. Die Erfindung eröffnet somit in einer Variante die Möglichkeit einer verzögerungsfreien Ansteuerung ohne Software-Reaktionszeit.
  • Somit steuert das Eingangssignal (Brake switch input) eines Bremsschalters die entsprechende Funktion direkt und verzögerungsfrei mit dem korrekten Steuersignal durch Hardwarekontrolle (HW control) an. Es besteht auch die Möglichkeit, die Funktion über den Microcontroller unter Bereitstellung einer Softwarekontrolle anzusteuern. Die Ansteuerung kann üblicherweise ohne aktives Eingangssignal, falls die direkte Ansteuerung durch das Eingangsignal deaktiviert sein sollte, durch den Microcontroller redundant erfolgen.
  • Darüberhinaus kann bei einem Kurzschluß zur Batteriespannung des Eingangssignals die Funktion abgeschaltet werden, um die Funktion nicht fehlerhaft anzusteuern und/oder einen Ausgangstreiber zu schützen.
  • In einer weiteren Ausführungsform ist eine Dimmung einer Glühlampe mittels eines pulsweitenmodulierten Signals möglich. Das Steuersignal ("PWM & Test") kann u. a. auch zur Diagnose mindestens eines redundanten Pfads, der typischerweise innerhalb des Moduls verläuft, genutzt werden.
  • Eine erste redundante Ansteuerung durch die Überwachungseinheit (System Basis Chip, SBIC) wird in der Regel beim Ausfall des Microcontrollers unter Bereitstellung eines Fehlersignals umgesetzt.
  • Eine zweite redundante Ansteuerung kann durch das Ausbleiben eines Signals erfolgen. D. h. die redundante Ansteuerung wird sofort oder mit Verzögerung durch das Einschalten einer Versorgungsspannung oder eines Versorgungsstroms, z. B. KL15, aktiviert. Durch ein Fehlersignal (Micro Limp) des Microcontrollers wird diese Ansteuerung wieder deaktiviert, so dass bei einem Ausbleiben dieses Fehlersignals vom Microcontroller die redundante Ansteuerung aktiviert wird. Dieses Fehlersignal (Micro Limp) kann auch zur Diagnose des mindestens einen redundanten Pfads genutzt werden.
  • Für eine vollständige Diagnose sind in einer Ausführungsform typischerweise zwei Rückleseleitungen (FB1, FB2) vorgesehen.
  • Eine erste Rückleseleitung dient zur Überprüfung eines ersten ODER-Elements OR1 und eines zweiten ODER-Elements OR2, die entlang des mindestens einen redundanten Pfads innerhalb des Moduls angeordnet sind. Zur Überprüfung wird ein entsprechendes Fehlersignal (SBIC Limp oder Micro Limp), das an dem als Überwachungsmodul ausgebildeten Systembasisschaltkreis und/oder am Microcontroller bereitgestellt wird, aktiviert und anhand eines Signalpegels über eine erste Rückleseleitung (FB1) diagnostiziert, ohne dass eine Funktion angesteuert wird. Wird die Aktivierung der Funktion während des Tests akzeptiert, kann auf diese erste Rückleseleitung bei zukünftigen Tests ggf. verzichtet werden.
  • Ein zweites Rücklesesignal, das über die zweite Rückleseleitung (FB2) bereitgestellt wird, dient am Ende einer Ansteuerung zur Überprüfung eines UND-Elements AND1 und eines dritten ODER-Elements OR3 innerhalb des Moduls, wobei die Funktion aktiviert wird. Dazu kann das Einganssignal und Steuersignal ("PWM & Test") aktiv anliegen.
  • Dieses über die zweite Rückleseleitung (FB2) bereitgestellte Rücklesesignal (FB2) kann auch zur Diagnose bei Ansteuerung durch den Microcontroller im normalen Betriebsfall genutzt werden.
  • Bei einer Kombination der voranstehend beschriebenen Ausführungsformen können die Signale (Micro Limp oder PWM & Test) des Microcontrollers jeweils zum Test und zur korrekten applikationsspezifischen Ansteuerung genutzt werden. Je nach Systemauslegung kann hierfür auch nur eines der benannten Signale eines Microcontrollers ausreichen.
  • Die Notlauffunktion, die im Rahmen einer Umsetzung eines Notlaufmodus ausgeführt werden kann, ist verallgemeinert für Außenbeleuchtungen, üblicherweise Brems- bzw. Stopplichter und/oder für ein Dauerversorgungsrelais vorgesehen. Für den Fall, dass die Bedingungen für einen Notlauf gegeben sind, ist ein durchgängiger spezifischer Pfad zur Bestromung der Außenbeleuchtung, bspw. mindestens eines Bremslichts, aktiviert. Weiterhin wird ein Ausgang für die Dauerversorgung in eine AUS- bzw. Off-Position gesetzt. Zur Aktivierung der Notlauffunktion sind in Ausgestaltung zwei redundante Pfade vorgesehen. Das Überwachungsmodul des Systembasisschaltkreises überwacht hierbei den Microcontroller. Im Fall eines Fehlers wird ein geeignetes Signal ("SBIC Limp") zur Bereitstellung eines Notlaufs mittels des Systembasisschaltkreises gesetzt, um somit die Notlauffunktion zu aktivieren. Der Microcontroller unterbindet die Notlauffunktion, so lange dieser hinreichend mit elektrischer Energie versorgt wird. Im Falle eines Verlustes eines Signals ("Micro Limp") des Microcontrollers für einen Notlauf des Microcontrollers wird die Notlauffunktion aktiviert. Die Logik zur Bereitstellung der Notlauffunktion kann durch ein internes Signal ("Limp_home_supply_5V") aktiviert werden. Dieses Signal kann durch geeignete Schaltelemente, die auch als Mikroprozessoren ausgebildet sein können, erzeugt werden.
  • Eine Diagnose, bspw. der Notlauffunktion, für die Außenbeleuchtung ist bei jeder funktionellen Anfrage zur Aktivierung der Aussenbeleuchtung möglich. Mindestens ein als Notlaufpfad ausgebildeter redundanter Pfad wird in diesem Fall über eine Notlauffunktion ausgehend von dem Systembasisschaltkreis oder durch ein Ausgabesignal des Microcontrollers aktiviert. Zur Bestätigung einer derartigen Aktivierung wird ein Rücklesesignal (Feedbacksignal) an einen Treiber übermittelt. Danach kann der mindestens eine redundante Pfad, hier der Notlaufpfad, deaktiviert werden, wobei weitere Verfahrensschritte an den Microcontroller übergeben und somit von diesem durchgeführt werden. In der Regel wird der Microcontroller unabhängig von einer aktuell durchzuführenden Funktion von dem Systembasisschaltkreis überwacht. Weiterhin ist vorgesehen, dass üblicherweise als Notlaufpfade ausgebildete redundante Pfade zum Nachweis schlafender Fehler überwacht werden.
  • Eine Diagnose einer Notlauffunktion für mindestens ein Bremslicht ist bei jeder Anfrage einer Funktion zur Aktivierung eines derartiger Bremslichtes möglich. Ein Schalter für das Bremslichte wird zur Aktivierung über den Microcontroller mittels eines Signals ("Stop PWM/Test") aktiviert. Wenn der Schalter für das Bremslicht gedrückt wird, wird dieses typischerweise sofort aktiviert, so dass dieses leuchtet. Dabei erkennt der Microcontroller eine durch ein Signal übertragene Anfrage zur Aktivierung des Bremslichts. Der Microcontroller kann in diesem Fall eine Aktivierung einer Durchschaltung des Bremslichts über mindestens einen redundanten Pfad über ein Rücklesesignal des Treibers aktivieren. Weiterhin kann der Microcontroller die Aktivierung des Bremslichts übernehmen und dabei eine Durchschaltung des Schalters für das Bremslicht deaktivieren. Falls der Schalter für das Bremslicht ausgelöst ist, wird eine Durchschaltung des Schalters für das Bremslicht erneut durch den Microcontroller aktiviert. In diesem Kontext ist ein pulsweitenmoduliertes Signal für das Bremslicht bereitstellbar. Das Bremslicht kann weiterhin unverzüglich aktiviert werden, wobei keine Verzögerung durch eine Überwachung des Microcontrollers erfolgt. Zur Anzeige schlafender Fehler wird mindestens ein redundanter Pfad beim Durchschalten eines Signals für das Bremslicht überwacht.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
  • Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • Kurze Beschreibung der Zeichnungen
  • 1 zeigt in schematischer Darstellung eine Ausführungsform einer erfindungsgemäßen Vorrichtung.
  • 2 zeigt in schematischer Darstellung Verläufe von Signalen, die bei einer Ausführungsform des erfindungsgemäßen Verfahrens umgesetzt werden.
  • Ausführungsformen der Erfindung
  • Die Erfindung ist anhand von Ausführungsformen in den Zeichnungen schematisch dargestellt und wird im folgenden unter Bezugnahme auf die Zeichnungen ausführlich beschrieben.
  • Die in 1 schematisch dargestellte Ausführungsform der erfindungsgemäßen Vorrichtung 2 umfasst einen integrierten Systembasisschaltkreis 4 (SBIC), der hier als Überwachungseinheit dient, einen Microcontroller 6 und ein hier als Notlaufmodul ausgebildetes Modul 8, das nachfolgend beschriebene ODER- sowie UND-Elemente 18, 24, 28, 30 und demnach logische Schaltelemente bzw. Logikbausteine umfasst. Dabei sind der integrierte Systembasisschaltkreis 4 und der Microcontroller 6 über eine serielle periphäre Schnittstelle 10 (serial perephial interface, SPI) miteinander verbunden. Der integrierte Systembasisschaltkreis 4 und der Microcontroller 6 liegen über eine erste Leitung 12 auf einer Spannung VREG bzw. VCC.
  • Über eine zweite Leitung 14 stellt der Systembasisschaltkreis 4 dem Microcontroller 6 entweder ein Überwachungssignal (Watchdog, WD) oder ein Rücksetzsignal (Reset) bereit. Außerdem ist vorgesehen, dass der integrierte Systembasisschaltkreis 4 dem Modul 8 über eine dritte Leitung 16 ein S-Fehlersignal (SBIC Limp) zur redundanten Realisierung einer Notlauffunktion übermitteln kann. Dieses S-Fehlersignal (SBIC Limp) des Systembasisschaltkreises 4 wird in der vorliegenden Ausführungsform einem ersten ODER-Element 18 (OR1) des Moduls 8 zugeführt.
  • Über eine vierte Leitung 20 wird ausgehend von dem Microcontroller 6 dem ersten ODER-Element 18 (OR1) des Moduls 8 ein M-Fehlersignal (Micro Limp) übermittelt. Eine fünfte Leitung 22 ist dazu vorgesehen, dass der Microcontroller 6 einem zweiten ODER-Element 24 (OR2) des Moduls 8 einen pulsweitenmoduliertes (PWM) Signal oder ein Testsignal übermittelt. Über eine sechste Leitung 26 übermittelt der Microcontroller 6 einem dritten ODER-Element 28 (OR3) des Moduls 8 ein Signal zur Softwarekontrolle (SW control).
  • Weiterhin weist das Modul 8 noch ein UND-Element 30 (AND1) auf. Das zweite ODER-Element 24 (OR2) und das UND-Element 30 (AND1) sind zur Bereitstellung eines ersten Rücklesesignals über eine erste Rückleseleitung 32 (FB1) mit dem Microcontroller 6 verbunden. Weiterhin ist das dritte ODER-Element 28 (OR3) über eine zweite Rückleseleitung 34 (FB2) zur Bereitstellung eines zweiten Rücklesesignals mit dem Microcontroller 6 verbunden. Bei Betrieb der Vorrichtung 2 wird das Modul 8 über eine Versorgungsleitung 36 mit einem Strom (KL15 supply) versorgt.
  • Die erste Rückleseleitung 32 (FB1) dient hier zum Überprüfen des ersten und zweiten ODER-Elements 18, 24 (OR1, OR2) des Moduls 8. Zur Überprüfung wird entweder das S-Fehlersignal (SBIC Limp) des Systembasisschaltkreises 4 oder das M-Fehlersignal (Micro Limp) des Microcontollers 6 aktiviert und anhand eines Signalpegels über die erste Rückleseleitung 32 (FB1) diagnostiziert, ohne dass eine Funktion angesteuert wird.
  • Das zweite Rücklesesignal ist zum Überprüfen des UND-Elements 30 (AND1) und des dritten ODER-Elements 28 (OR3) vorgesehen. Dabei wird die Funktion aktiviert, wobei das pulsweitenmodulierte Signal und ein über eine Zuleitung 38 bereitgestelltes Eingangssignal aktiv anliegen. Außerdem wird das zweite Rücklesesignal bei Ansteuerung durch den Microcontroller 6 zur Diagnose mindestens eines Pfads innerhalb des Moduls 8 im normalen Betriebsfall genutzt.
  • Die applikationsspezifische Steuerung durch das Steuersignal zur Pulsweitenmodulation und zum Testen ("PWM & Test") durch den Microcontroller 8 wird in diesem Fall vorab eingestellt und durch das Eingangssignal aktiviert.
  • Es ist vorgesehen, dass die vorliegende Ausführungsform der Vorrichtung 2 zur Umsetzung einer Notlauffunktion (Limp Home) für Brems- bzw. Stopplichter eines Kraftfahrzeugs ausgebildet ist. Hierbei ist vorgesehen, dass dem UND-Element 30 (AND1) des logischen Schaltelements 8 über die Zuleitung 38 das Eingabesignal eines Bremsschalters bereitgestellt wird. Über eine Schaltleitung 40 wird ausgehend von dem logischen Schaltelement 8 einem Bremslicht ein Ausgabesignal zur Bereitstellung einer Bremsbeleuchtung als hier anzusteuernde Funktion übermittelt. Außerdem wird dieses Eingangssignal über eine Abzweigungsleitung 42 der Zuleitung 38 an den Microcontroller 6 übermittelt. Somit ist es möglich, das Eingangssignal über die Microcontroller der Schaltleitung 40 redundant zuzuführen und das Bremslicht redundant anzusteuern.
  • Es ist außerdem möglich, das Bremslicht nur durch den Microcontroller anzusteuern, indem das PWM-Signal 22 abgeschaltet wird. Dies ermöglicht eine Diagnose des Pfads 6 über die fünfte Leitung des Microcontrollers mittels Feedback über die zweite Rückleseleitung 34. Dies ist eine sog. Normalfunktion, dabei erfolgt ein verzögerungsfreies Einschalten, dann Übernahme der Kontrolle durch den Microcontroller 6 und ein Abschalten des Direktdurchgriffs. Nachdem Funktionsanforderung wegfällt und Bremslicht abgeschaltet ist, wird PWM-Signal wieder aktiviert, um schnelles Einschalten zu ermöglichen.
  • Eine erste redundante Ansteuerung durch eine Überwachungseinheit (System Basis Chip SBIC) wird in der Regel beim Ausfall des Microcontrollers als ein Fehlersignal (Limp) geliefert.
  • Eine zweite redundante Ansteuerung kann bei Ausbleiben eines Signals erfolgen. D. h. die redundante Ansteuerung wird sofort oder mit Verzögerung durch das Einschalten einer Versorgungsspannung oder eines Versorgungsstroms, z. B. KL15, aktiviert. Durch ein M-Fehlersignal (Micro Limp) des Microcontrollers wird diese Ansteuerung wieder deaktiviert, so dass bei einem Ausbleiben dieses M-Fehlersignals die redundante Ansteuerung aktiviert wird.
  • Das Modul 8 der Vorrichtung 2 umfasst in der vorliegenden Ausführung drei redundante Leitungen, die als redundante Pfade bezeichnet werden und zur Aktivierung der Notlauffunktion vorgesehen sind. Der erste redundante Pfad beginnt am Ende der Zuleitung 38 und verläuft über das UND-Element 30 (AND1) und das dritte ODER-Element 28 (OR3) bis zu der Schaltleitung 40. Der zweite redundante Pfad umfasst das erste ODER-Element 18 (OR1) und verläuft entlang des zweiten ODER-Elements 24 (OR2), des UND-Elements 30 (AND1) und des dritten ODER-Elements 28 (OR3) und endet an der Schaltleitung 40. Je nach dem, welche redundante Ansteuerung vorgesehen ist, weist dieser zweite redundante Pfad an seinem Anfang den Systembasisschaltkreis 4 und die dritte Leitung 16 oder den Microcontroller 6 und die vierte Leitung 20 auf.
  • Die Versorgungsleitung 36 aktiviert den zweiten redundanten Pfad ab dem ersten ODER-Element 18 (OR1). Der Microcontroller 6 unterbindet diese Notlauffunktion solange seine Versorgung anliegt. Ein hierfür vorgesehenes Signal "Micro Limp" wird typischerweise sofort beim Hochlauf, nach einem Reset oder nach Einschalten einer Spannung des Systembauschaltkreises 4 (VCC ON), in der Annahme eines korrekt laufenden Systems, übermittelt und somit bereitgestellt. Im Fall eines Fehlers des integrierten Systembasisschaltkreises 4, bspw. bei Ausfall der Versorgungsspannung VCC, die über die erste Leitung 12 für den Microcontroller 6 bereitgestellt wird, kann der Microcontroller 6 das Signal nicht bereitstellen, so dass die Notlauffunktion aktiviert wird.
  • Demnach kann eine Logik zum Notlauf über das intern über die Versorgungsleitung 36 redundant bereitgestellte KL15-Signal erzeugt werden. Für den Fall, dass Bedingungen für den Notlauf gegeben sind, ist ein direkter Durchlauf des Eingangssignals des Bremslichtschalters zu der Schaltleitung 40 über den ersten redundanten Pfad für das Eingangssignal aktiviert, so dass das Bremslicht über diesen redundanten Pfad, hier entlang des UND-Elements 30 und des dritten ODER-Elements 28, direkt angesteuert wird.
  • Weiterhin ist vorgesehen, dass mit der vorliegenden Vorrichtung 2 eine direkte Kontrolle sowie ein direkter Test des Bremslichts möglich ist. Hierzu wird in einem Vorlauf zur Kontrolle anwendungsspezifisch ausgehend von Microcontroller 6 entweder das pulsweitenmodulierte Signal oder das Testsignal aktiviert. Das Eingangsignal des Bremsschalters gibt das pulsweitenmodulierte Signal oder das Testsignal zur Kontrolle durch das über die Zuleitung 38 bereitgestellte Eingangssignal frei. Rücklese- bzw. Feedbacksignale, die über die beiden Rückleseleitungen 32, 34 (SW1, FB2) bereitgestellt werden, werden zum Überprüfen eines Signals für den Notlauf sowie eines Signals für den Normalbetrieb übermittelt.
  • In dem Diagramm aus 2 sind entlang einer Zeitachse 50 bei einer Kontrolle der Bremsleuchte der Verlauf eines Eingangssignals 52 des Bremsschalters, eines Steuersignals 54, hier eine Kombination aus einem pulsweitenmodulierten Signal und einem Testsignal, eines Ausgabesignals 56 für die Bremsleuchte sowie ein Softwarekontrollsignal 58 aufgetragen. Innerhalb dieses Diagramms kennzeichnet eine erste gestrichelte Linie 60 einen ersten Zeitpunkt, durch den eine minimale Reaktionszeit der Hardware gekennzeichnet ist. Eine zweite Zeitlinie 62 zeigt den Zeitpunkt an, der nach Verstreichen einer Softwarereaktionszeit 64 einsetzt. Das Ausgabesignal 56 für das Bremslicht wird bei Durchführung des Verfahrens über einen ersten Kontrollmechanismus 66 ausgehend von dem Steuersignal 54 (PWM und Test) oder über einen zweiten Kontrollmechanismus 68 ausgehend von dem Softwarekontrollsignal 58 gesteuert und das Steuersignal 54 (PWM und Test) ausgeschaltet, so dass das Ausgabesignal 56 für das Bramslicht bei Normalbetrieb unter Kontrolle des Microcontrollers ist. Das Diagramm dient hier zur Darstellung des Normalbetriebs und der verzögerungsfreien Ansteuerung der Funktion (Bremslicht). Das Steuersignal 54 und das Software Kontrollsignal 58 sind Eingangssignale des in 1 gezeigten ODER-Elements 28, das Ausgabesignal 56 dessen Ausgangssignal.
  • Das erste als Logikbaustein ausgebildete ODER-Element 18 erzeugt ebenfalls, sofort oder mit Verzögerung, beim Anlegen der Versorgungsspannung KL15 über die Versorgungsleitung 36 ein Signal zur Aktivierung des Notlaufs, wenn das Signal "Micro Limp" nicht aktiv ist. D. h. im normalen Betriebsfall deaktiviert der Microcontroller 6 diesen Notlaufpfad so schnell wie möglich. Im Fehlerfall z. B. bei Ausfall der Spannung des Systembasischaltkreises 4 wird dieser Pfad aktiviert, da das Signal "Micro Limp" fehlt, aber das erste ODER-Element 18 Logik noch versorgt ist. Andere Fehler, z. B. Software-Fehler werden durch Überwachung des Microcontrollers 6 mittels des Überwachungsmoduls im Systembasischaltkreis 4 abgedeckt.

Claims (13)

  1. Verfahren zum Bereitstellen einer Notlauffunktion, über die eine Funktion redundant angesteuert wird, bei dem ein zum Auslösen der Funktion vorgesehenes Eingangssignal (52) entlang einer Anzahl redundanter Pfade zu einer Einrichtung, die zum Umsetzen der Funktion ausgebildet ist, redundant übermittelt wird, und bei dem eine Diagnose mindestens eines redundanten Pfads durchgeführt wird.
  2. Verfahren nach Anspruch 1, bei dem das Eingangssignal direkt über einen ersten redundanten Pfad zu der Einrichtung übermittelt wird, und bei dem das Eingangssignal über einen zweiten redundanten Pfad, der einen Microcontroller (6) umfasst, zu der Einrichtung übermittelt wird.
  3. Verfahren nach Anspruch 2, bei dem die Pfade durch den Microcontroller (6) diagnostiziert werden.
  4. Verfahren nach Anspruch 2 oder 3, bei dem mindestens ein redundanter Pfad und der Microcontroller (6) durch einen Systembasisschaltkreis (2) überwacht werden.
  5. Verfahren nach einem der voranstehenden Ansprüche, bei dem mindestens ein Bremslicht redundant angesteuert wird.
  6. Verfahren nach einem der voranstehenden Ansprüche, bei dem die Funktion verzögerungsfrei angesteuert und in den mindestens einen redundanten Pfad integriert wird.
  7. Vorrichtung zum Bereitstellen einer zum redundanten Ansteuern einer Funktion vorgesehenen Notlauffunktion, wobei diese Vorrichtung eine Anzahl redundanter Pfade umfasst, entlang denen ein zum Auslösen der Funktion vorgesehenes Eingangssignal (52) zu einer Einrichtung, die zum Umsetzen der Funktion ausgebildet ist, redundant zu übermitteln ist, und wobei die Vorrichtung dazu ausgebildet ist, eine Diagnose mindestens eines redundanten Pfads durchzuführen.
  8. Vorrichtung nach Anspruch 7, bei dem die redundanten Pfade entlang logischen Elementen innerhalb eines Moduls verlaufen.
  9. Vorrichtung nach Anspruch 7 oder 8, die einen Microcontroller (6) aufweist, der am Anfang eines ersten Zweigs eines redundanten Pfads angeordnet ist.
  10. Vorrichtung nach Anspruch 9, bei dem der Microcontroller (6) über jeweils eine Rückleseleitung (32, 34) an jeweils einem der redundanten Pfade angeschlossen ist.
  11. Vorrichtung nach Anspruch 9 oder 10, die einen Systembasisschaltkreis aufweist, der mit dem Microcontroller (6) verbunden und am Anfang eines zweiten Zweigs des redundanten Pfads angeordnet ist.
  12. Computerprogramm mit Programmcodemitteln, um alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 6 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere in einer Vorrichtung nach einem der Ansprüche 7 bis 11, ausgeführt wird.
  13. Computerprogrammprodukt mit Programmcodemitteln, die auf einem computerlesbaren Datenträger gespeichert sind, um alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 6 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere in einer Vorrichtung nach einem der Ansprüche 7 bis 11, ausgeführt wird.
DE200810009905 2008-02-19 2008-02-19 Verfahren zum Bereitstellen einer Notlauffunktion Withdrawn DE102008009905A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE200810009905 DE102008009905A1 (de) 2008-02-19 2008-02-19 Verfahren zum Bereitstellen einer Notlauffunktion
PCT/EP2008/066320 WO2009103371A1 (de) 2008-02-19 2008-11-27 Verfahren zum bereitstellen einer notlauffunktion

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200810009905 DE102008009905A1 (de) 2008-02-19 2008-02-19 Verfahren zum Bereitstellen einer Notlauffunktion

Publications (1)

Publication Number Publication Date
DE102008009905A1 true DE102008009905A1 (de) 2009-08-20

Family

ID=40510050

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200810009905 Withdrawn DE102008009905A1 (de) 2008-02-19 2008-02-19 Verfahren zum Bereitstellen einer Notlauffunktion

Country Status (2)

Country Link
DE (1) DE102008009905A1 (de)
WO (1) WO2009103371A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008052322A1 (de) * 2008-10-20 2010-04-22 Continental Automotive Gmbh Integriertes Limp Home System
DE102010044800A1 (de) * 2010-09-09 2012-03-15 Bpw Bergische Achsen Kg Fahrzeugbeleuchtungssystem mit einer Ausweichschaltung

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109032132B (zh) * 2018-07-06 2021-08-13 联合汽车电子有限公司 车辆驾驶系统及方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4314118B4 (de) * 1993-04-29 2006-08-31 Robert Bosch Gmbh Verfahren und Vorrichtung zur Steuerung der Antriebsleistung eines Fahrzeugs
DE10011410A1 (de) * 2000-03-09 2001-09-20 Bosch Gmbh Robert Vorrichtung zur sicheren Signalerzeugung
DE10139616B4 (de) * 2001-08-11 2010-12-09 Robert Bosch Gmbh Steuerkreis mit Redundanzfunktion
DE10261740A1 (de) * 2002-12-30 2004-07-08 Robert Bosch Gmbh Ansteuervorrichtung zur Ansteuerung von insbesondere sicherheitsrelevanten Kraftfahrzeug-Komponenten
DE102006008958A1 (de) * 2005-03-10 2006-09-28 Continental Teves Ag & Co. Ohg Elektronisches Kraftfahrzeugbremsensteuergerät
DE102006013381B4 (de) * 2006-03-23 2015-06-18 Conti Temic Microelectronic Gmbh Steuervorrichtung für ein Kfz-Sicherheitssystem

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008052322A1 (de) * 2008-10-20 2010-04-22 Continental Automotive Gmbh Integriertes Limp Home System
DE102008052322B4 (de) * 2008-10-20 2011-02-10 Continental Automotive Gmbh Integriertes Limp Home System
DE102008052322B8 (de) * 2008-10-20 2011-11-10 Continental Automotive Gmbh Integriertes Limp Home System
DE102010044800A1 (de) * 2010-09-09 2012-03-15 Bpw Bergische Achsen Kg Fahrzeugbeleuchtungssystem mit einer Ausweichschaltung
EP2428400A3 (de) * 2010-09-09 2014-04-23 BPW Bergische Achsen KG Fahrzeugbeleuchtungssystem mit einer Ausweichschaltung

Also Published As

Publication number Publication date
WO2009103371A1 (de) 2009-08-27

Similar Documents

Publication Publication Date Title
EP2643194B1 (de) Verfahren zur fehlererkennung eines bedienschalters zur auslösung einer fahrzeugfunktion eines fahrzeuges sowie bedienschalter zur durchführung des verfahrens
EP0681715B1 (de) Steuerung und regelung für eine durch einen elektromechanischen motor angetriebene tür
DE102021124495B4 (de) Elektronische parkbremssteuervorrichtung und -verfahren
DE112014003026B4 (de) Steuergerät
DE102015003194A1 (de) Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern
DE102013113296A1 (de) Redundante Rechenarchitektur
WO2015039658A1 (de) Verfahren zum versorgen eines steuergeräts
DE102011081093A1 (de) Startsystem, Verfahren und Computerprogrammprodukt zum Starten einer Brennkraftmaschine
DE102008009905A1 (de) Verfahren zum Bereitstellen einer Notlauffunktion
DE102011087063A1 (de) Kontrollrechnersystem und Verfahren zur beschleunigten Initialisierung einzelner Module
EP1397729B1 (de) Vorrichtung zur sicheren signalerzeugung
DE10011410A1 (de) Vorrichtung zur sicheren Signalerzeugung
DE102017219388A1 (de) Elektronische steuereinheit
EP2462338A1 (de) Verfahren und vorrichtung zur überwachung einer einrichtung zum schalten eines starters
DE102011075182A1 (de) Mikrocontroller mit fehlersicherer Ansteuerung externer Aktuatoren
EP0596297B1 (de) Verfahren und Vorrichtung zur Überprüfung einer Überwachungseinheit von Motorsteuersystem
DE102019205800A1 (de) Versorgungsnetzausgang und Verfahren zum Betreiben eines Versorgungsnetzes
EP2337707B1 (de) Integriertes system mit notlaufmodus
EP0508081B1 (de) Schaltungsanordnung und Verfahren zum Überwachen eines brennstoffbeheizten Gerätes
EP3826875B1 (de) System zur automatisch überwachten fahrzeugzustandssignalisierung und verfahren zur überwachung einer fahrzeugzustandssignalisierungsvorrichtung
WO2022002913A1 (de) Elektronische steuereinheit
DE102007015937B4 (de) Überwachungsverfahren zum Prüfen von Schaltungen sowie Monitorschaltkreis und dessen Verwendung
DE102015119611B4 (de) Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen
DE102009028531B4 (de) Verfahren zum Betreiben einer Anzeigeeinrichtung sowie Anzeigeeinrichtung
DE10261740A1 (de) Ansteuervorrichtung zur Ansteuerung von insbesondere sicherheitsrelevanten Kraftfahrzeug-Komponenten

Legal Events

Date Code Title Description
8139 Disposal/non-payment of the annual fee