[go: up one dir, main page]

WO2010022821A1 - Verfahren und vorrichtung zur zweikanaligen überwachung von sicherheitsrelevanten sensorsignalen - Google Patents

Verfahren und vorrichtung zur zweikanaligen überwachung von sicherheitsrelevanten sensorsignalen Download PDF

Info

Publication number
WO2010022821A1
WO2010022821A1 PCT/EP2009/005151 EP2009005151W WO2010022821A1 WO 2010022821 A1 WO2010022821 A1 WO 2010022821A1 EP 2009005151 W EP2009005151 W EP 2009005151W WO 2010022821 A1 WO2010022821 A1 WO 2010022821A1
Authority
WO
WIPO (PCT)
Prior art keywords
evaluation unit
sensor signals
output
side transmission
transmission channels
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2009/005151
Other languages
English (en)
French (fr)
Inventor
Thomas Eggert
Heinz Langbauer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Magna Powertrain GmbH and Co KG
Original Assignee
Magna Powertrain GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Magna Powertrain GmbH and Co KG filed Critical Magna Powertrain GmbH and Co KG
Priority to US13/058,884 priority Critical patent/US8798849B2/en
Publication of WO2010022821A1 publication Critical patent/WO2010022821A1/de
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24184Redundant I-O, software comparison of both channels

Definitions

  • the present invention relates to a method and a device for two-channel monitoring of safety-relevant sensor signals.
  • Such methods and devices may be used, for example, in pressure monitoring of a so-called torque vectoring system, i. be used to monitor the force acting on a friction clutch of the torque vectoring system hydraulic pressure.
  • a torque vectoring system i. be used to monitor the force acting on a friction clutch of the torque vectoring system hydraulic pressure.
  • the hydraulic pressure for the actuation of the two friction clutches, with which the drive torque is transmitted in each case to one of the two half-shafts of the drive axle must not exceed a certain threshold value. If the pressure is too high, the torque vectoring system must be deactivated for safety reasons.
  • the aforementioned methods and devices can be used in particular in all areas in which safety-critical applications according to the SIL 3 standard (Safety Integrity Level 3 standard) can be realized. These are usually applications that can endanger the life and limb of people.
  • SIL 3 standard Safety Integrity Level 3 standard
  • possible applications in the automotive sector for example in the area of steering or braking systems, are also conceivable, where appropriate safety-critical parameters must be monitored.
  • pressure monitoring in torque vectoring systems must be redundant, ie dual-channel.
  • the pressure values to be monitored are completely dual-channel processed, ie separately detected, converted into corresponding electrical signals, checked for permissible / impermissible values and generates a warning / control signal when one of the monitored signals is detected as inadmissible.
  • both the sensors for detecting the parameters to be monitored, the transmission channels on the input side, the evaluation units, which are usually designed as microprocessors, and the adjoining output-side transmission channels must each be duplicated in terms of hardware.
  • the redundant provision of the evaluation units represents a significant cost factor for corresponding security systems.
  • two separate evaluation units are indispensable for the evaluation of the sensor signals to be monitored, so that no possibility is seen here to provide a cost saving while meeting the required safety conditions.
  • a method designed according to the invention for two-channel monitoring of safety-relevant sensor signals by means of two sensors in parallel generates two sensor signals to be monitored, transmit the generated sensor signals via two separate input-side transmission channels to a common evaluation, within the evaluation unit, the transmitted sensor signals based on predetermined, mutually corresponding calculation rules checked for their admissibility and for each sensor signal a permissibility or inadmissibility wherein the individual processing steps of the two calculation instructions are decoupled from the evaluation unit for the two sensor signals and executed diversified within the evaluation unit, and the output signals generated are output via two separate output-side transmission channels.
  • An inventively designed monitoring device is designed for carrying out the method according to the invention and comprises two sensors, which are designed to generate the two sensor signals to be monitored in parallel, two input-side transmission channels, which are designed for the separate transmission of the sensor signals to the common evaluation, wherein the evaluation unit to - Other decoupled, processed processing of the individual processing steps of the calculation rule for the two sensor signals to be checked is formed, and two each connected to the evaluation, output-side transmission channels, which are designed to transmit the output signals of the evaluation.
  • the parts of a monitoring system provided outside the evaluation unit are designed to be dual-channel, ie in each case redundant.
  • the evaluation unit performing the evaluation is against only once available, whereby the cost of a corresponding monitoring system can be significantly reduced.
  • the required fault coverage is achieved since the sensor signals to be monitored are separately fed to the evaluation unit via the separate transmission channels and checked for their admissibility within the evaluation unit by corresponding calculation rules, the processes implementing the two calculation instructions being checked within the evaluation unit the evaluation unit be carried out diversified. This means that the respectively executing processing steps for checking the two sensor signals are performed by different arithmetic operations and thereby ultimately by different computing sections of the evaluation unit.
  • one of the two calculation instructions is formed inversely to the other calculation rule.
  • the two arithmetic instructions can each each corresponding processing step of the one calculation rule is formed inversely to the corresponding processing step of the other calculation rule.
  • the inverse calculation rule used for the second sensor signal can be generated by the replacement rules contained in the table above. Since the two computation instructions and in particular the individual processing steps of the two computation instructions corresponding to each other are advantageously carried out essentially in parallel, it is achieved on the basis of the inverse computation that the respectively used opcode (operation code) of the processor used for the normal and the inverse Calculation rule are as diversified as possible.
  • the result of the computation rules computed in parallel must be complementary, whereby the algorithm may fundamentally differ for the calculations.
  • the respective inverse values represent the one's complement or the negative values of the respectively used original value.
  • the permissibility or inadmissibility of the sensor signals in order to check the permissibility or inadmissibility of the sensor signals, it is determined by means of the calculation instructions whether the sensor signals exceed or fall short of a predetermined reference value. This may include, for example, the case that permissible sensor signals may be arranged only within one or more permissible ranges.
  • a control signal in particular a shutdown signal is generated when at least one output signal of the evaluation unit represents an impermissible sensor signal.
  • a maximum permissible torque for example 1400 Nm
  • the output-side transmission channels can be connected to one another via a structural unit representing a logical OR connection. It is thereby achieved that the required control signal / switch-off signal is reliably generated as soon as one of the two calculation instructions executed within the evaluation unit results in an impermissible value for the sensor signal.
  • the FIGURE shows a highly simplified block diagram of a monitoring device designed according to the invention with two sensors 1, 2 which are each designed to detect the same variable to be monitored, for example a pressure occurring within a torque vectoring system on a friction clutch.
  • Each of the sensors 1, 2 converts the detected value into a corresponding sensor signal, which are each fed separately via input-side transmission channels 3, 4 to a common evaluation unit 5.
  • the input-side transmission channels 3, 4 are connected to separate inputs 6, 7 of the evaluation unit 5.
  • the evaluation unit 5, which may be designed in particular as a microprocessor, is designed to execute two corresponding computation instructions 8, 9, wherein the computation rule 9 is formed inversely to the computation rule 8, ie all individual execution steps of the computation rule 8 are in the inverse computation rule 9 replaced by corresponding inverse processing steps.
  • the sensor signal supplied via the input-side transmission channel 3 and the input 6 of the evaluation unit 5 is checked for its admissibility or inadmissibility. For example, it is checked whether the sensor signal exceeds a predetermined permissible maximum value. When this maximum value is exceeded, calculation computation 8 generates a corresponding output signal, which is output via an output 10 of evaluation unit 5 and an output-side transmission channel 11.
  • the calculation instructions 8, 9 are designed so that the respective result of the parallel computing instructions 8, 9 result in identical supplied sensor signals identical or complementary output signals.
  • the output signal generated by the inverse calculation rule 9 is output via a separate output 12 and an output-side transmission channel 13 connected thereto. If the calculation instructions 8, 9 are designed so that the results of the parallel calculating arithmetic instructions 8, 9 are complementary in the case of identically supplied sensor signals, then one of the output signals output can be negated, as in the figure by a corresponding NAND gate 14 is indicated.
  • the output-side transmission channels 11, 13 are connected to the inputs 15, 16 of an OR gate 17, at the output 18 of which a control signal is generated as a function of the output signals generated by the computer instructions 8, 9. If, for example, an output signal "logical 1" is generated by calculation rule 8 in the case of an impermissible sensor signal and a complementary output signal "logical 0" by inverse calculation rule 9, input signal 18 is set to "logical 1" as soon as one of the calculation instructions 8, 9 determines an impermissible value of the sensor signal.
  • the calculation instructions 8, 9 are decoupled from one another by the evaluation unit and are executed in a di- versified manner within the evaluation unit 5. This means that, for example, when a transient error occurs in a section 19 of the evaluation unit 5, which is currently being used by the current processing step of the calculation instructions 8, the parallel processing step of the inverse calculation rule 9 is not affected because of the diversification of this error, since not this faulty portion 19, but for example, a defect-free portion 20 is used.
  • a two-channel monitoring of the measured values to be monitored can be realized in the end result and thus the predetermined safety-relevant requirements can be met.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Measuring Fluid Pressure (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)
  • Alarm Systems (AREA)

Abstract

Es wird ein Verfahren zur zweikanaligen Übertragung von sicherheitsrelevanten Sensorsignalen beschrieben. Bei dem Verfahren werden mittels zweier Sensoren parallel zwei zu überwachende Sensorsignale erzeugt und die erzeugten Sensorsignale über zwei getrennte, eingangsseitige Übertragungskanäle zu einer gemeinsamen Auswerteeinheit übertragen. Innerhalb der Auswerteeinheit werden die übertragenen Sensorsignale anhand von vorgegebenen, einander entsprechenden Rechenvorschriften auf ihre Zulässigkeit überprüft und es wird für jedes Sensorsignal ein die Zulässigkeit oder Unzulässigkeit repräsentierendes Ausgangssignal der Auswerteeinheit erzeugt. Die einzelnen Abarbeitungsschritte der beiden Rechenvorschriften werden dabei von der Auswerteeinheit für die beiden Sensorsignale voneinander entkoppelt und innerhalb der Auswerteeinheit diversifiziert ausgeführt. Die erzeugten Ausgangssignale werden über zwei getrennte, ausgangsseitige Übertragungskanäle ausgegeben. Weiterhin wird eine Vorrichtung zur Durchführung des Verfahrens beschrieben.

Description

VERFAHREN UND VORRICHTUNG ZUR ZWEIKANALIGEN ÜBERWACHUNG VON SICHERHEITSRELEVANTEN SENSORSIGNALEN
Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zur zweikanaligen Überwachung von sicherheitsrelevanten Sensorsignalen.
Solche Verfahren und Vorrichtungen können beispielsweise bei einer Drucküberwachung eines so genannten Torque-Vectoring-Systems, d.h. zur Überwachung des auf eine Reibungskupplung des Torque-Vectoring- Systems wirkenden hydraulischen Drucks eingesetzt werden. Beispielsweise darf der hydraulische Druck für die Betätigung der beiden Reibungskupplungen, mit denen das Antriebsmoment jeweils auf eine der beiden Halbwellen der Antriebsachse übertragen wird, einen bestimmten Schwellwert nicht überschreiten. Bei Erkennung eines zu hohen Drucks muss aus Sicherheitsgründen das Torque-Vectoring-System deaktiviert werden.
Grundsätzlich können eingangs genannte Verfahren und Vorrichtungen insbesondere in allen Bereichen angewendet werden, in denen sicherheitskritische Anwendungen gemäß dem SIL 3-Standard (Safety Integrity Level 3-Standard) realisiert werden. Dies sind üblicherweise Anwendungen, durch die sich eine Gefahr für Leib und Leben von Personen ergeben kann. Neben dem genannten Torque-Vectoring-System sind weiterhin mögliche Anwendungen im Kfz-Bereich beispielsweise im Bereich der Lenkung oder der Bremssysteme denkbar, wo entsprechende sicherheitskritische Parameter überwacht werden müssen. Gemäß dem SIL 3-Standard muss beispielsweise die Drucküberwachung bei Torque-Vectoring-Systemen redundant, d.h. zweikanalig ausgeführt sein. In bisherigen Überwachungssystemen werden daher die zu überwachenden Druckwerte hardwaremäßig vollkommen zweikanalig verarbeitet, d.h. voneinander getrennt erfasst, in entsprechende elektrische Signale umgewandelt, auf zulässige /unzulässige Werte hin überprüft und ein Warn- /Steuersignal erzeugt, wenn eines der überwachten Signale als unzulässig erkannt wird. Das heißt, dass bei bekannten Systemen sowohl die Sensoren zum Erfassen der zu überwachenden Parameter, die ein- gangsseitigen Übertragungskanäle, die üblicherweise als Mikroprozessoren ausgebildeten Auswerteeinheiten und die sich daran anschließenden ausgangsseitigen Übertragungskanäle jeweils hardwaremäßig doppelt vorhanden sein müssen.
Insbesondere die redundante Bereitstellung der Auswerteeinheiten stellt einen wesentlichen Kostenfaktor für entsprechende Sicherheitssysteme dar. In der Fachwelt wird bis heute jedoch eindeutig die Auffassung vertreten, dass zwei separate Auswerteeinheiten für die Auswertung der zu überwachenden Sensorsignale unabdingbar sind, so dass hier keine Mög- lichkeit gesehen wird, eine Kostenersparnis vorzusehen und gleichzeitig die geforderten Sicherheitsbedingungen zu erfüllen.
Erfindungsgemäß wurde jedoch nun in überraschender Weise eine Lösung gefunden, die trotz Verwendung nur einer einzigen Auswerteeinheit einen Fehlererkennungsgrad von über 99,4 % gewährleistet, so dass trotz Verwendung nur einer einzigen Auswerteeinheit die gemäß SIL 3-Standard geforderte Fehlererkennung von mindestens 99 % erfüllt wird.
Bei einem erfindungsgemäß ausgebildeten Verfahren zur zweikanaligen Überwachung von sicherheitsrelevanten Sensorsignalen werden mittels zweier Sensoren parallel zwei zu überwachende Sensorsignale erzeugt, die erzeugten Sensorsignale über zwei getrennte eingangs seitige Übertragungskanäle zu einer gemeinsamen Auswerteeinheit übertragen, innerhalb der Auswerteeinheit die übertragenen Sensorsignale anhand von vorgegebenen, einander entsprechenden Rechenvorschriften auf ihre Zulässigkeit überprüft und für jedes Sensorsignal ein die Zulässigkeit oder Unzulässigkeit repräsentierendes Auswerte signal der Auswerteeinheit erzeugt, wobei die einzelnen Abarbeitungsschritte der beiden Rechenvorschriften von der Auswerteeinheit für die beiden Sensorsignale voneinan- der entkoppelt und innerhalb der Auswerteeinheit diversifiziert ausgeführt werden, und die erzeugten Ausgangssignale über zwei getrennte, aus- gangsseitige Übertragungskanäle ausgegeben.
Eine erfindungsgemäß ausgebildete Überwachungsvorrichtung ist zum Durchführen des erfindungsgemäßen Verfahrens ausgebildet und umfasst zwei Sensoren, die zum parallelen Erzeugen der beiden zu überwachenden Sensorsignale ausgebildet sind, zwei eingangsseitige Übertragungskanäle, die zum getrennten Übertragen der Sensorsignale zu der gemeinsamen Auswerteeinheit ausgebildet sind, wobei die Auswerteeinheit zur vonein - ander entkoppelten, diversifizierten Abarbeitung der einzelnen Abarbeitungsschritte der Rechenvorschrift für die beiden zu überprüfenden Sensorsignale ausgebildet ist, und zwei jeweils an der Auswerteeinheit angeschlossene, ausgangsseitige Übertragungskanäle, die zum Übertragen der Ausgangssignale der Auswerteeinheit ausgebildet sind.
Erfindungsgemäß werden somit lediglich die außerhalb der Auswerteeinheit vorgesehenen Teile eines Überwachungssystems, wie bei den bekannten Verfahren und Vorrichtungen, zweikanalig, d.h. jeweils redundant ausgebildet. Die die Auswertung durchführende Auswerteeinheit ist hin- gegen nur einmal vorhanden, wodurch die Kosten für ein entsprechendes Überwachungs System deutlich reduziert werden können.
Die erforderliche Fehlerabdeckung wird trotz dieser Single-Prozessorlö- sung jedoch erreicht, da die zu überwachenden Sensorsignale der Auswerteeinheit über die separaten Übertragungskanäle getrennt zugeführt werden und innerhalb der Auswerteeinheit durch einander entsprechende Rechenvorschriften auf ihre Zulässigkeit überprüft werden, wobei die die beiden Rechenvorschriften realisierenden Prozesse innerhalb der Auswer- teeinheit diversifiziert ausgeführt werden. Das heißt, dass die jeweils gerade auszuführenden Abarbeitungsschritte zur Überprüfung der beiden Sensorsignale durch unterschiedliche Rechenoperationen und dadurch letztlich durch unterschiedliche Rechenabschnitte der Auswerteeinheit durchgeführt werden.
Tritt somit innerhalb eines solchen Rechenabschnitts der Auswerteeinheit ein transienter Fehler auf, so kann dieser Fehler lediglich zu einer falschen Berechnung bei der Überprüfung eines der beiden Sensorsignale durch die für dieses Sensorsignal vorgesehene Rechenvorschrift auftreten. Da aufgrund der erfindungsgemäßen Diversifizierung die andere Rechenvorschrift für das zweite zu überprüfende Sensorsignal erfindungsgemäß gerade nicht die gleiche Operation und damit den gleichen Bereich der Auswerteeinheit verwendet, hat der aktuell auftretende transiente Fehler auf diese zweite Rechenvorschrift keine Auswirkung. Statische interne Fehler innerhalb der Auswerteeinheit sowie externe Fehler können hingegen durch übliche Fehlererkennungsverfahren abgedeckt werden.
Nach einer vorteilhaften Ausführungsform der Erfindung ist eine der beiden Rechenvorschriften invers zu der anderen Rechenvorschrift ausgebil- det. Dabei können insbesondere die beiden Rechenvorschriften jeweils einander entsprechende, einzelne Abarbeitungsschritte umfassen, wobei jeder Abarbeitungsschritt der einen Rechenvorschrift invers zu dem entsprechenden Abarbeitungsschritt der anderen Rechenvorschrift ausgebildet ist.
Durch dieses inverse Rechnen ist die erfindungsgemäße Diversifizierung der innerhalb der Auswertungseinheit laufenden Auswertungsprozesse gewährleistet. Beispielsweise können folgende Regeln für die Ersetzung von Operatoren zwischen den beiden Rechenvorschriften gelten:
Figure imgf000007_0001
Ausgehend von der ursprünglichen originalen Rechenvorschrift in der eines der beiden Sensorsignale auf seine Zulässigkeit/ Unzulässigkeit ü- berprüft wird, kann die für das zweite Sensorsignal verwendete inverse Rechenvorschrift durch die in der oben angegebenen Tabelle enthaltenen Ersetzungsregeln erzeugt werden. Da vorteilhaft die beiden Rechenvorschriften und insbesondere die einzelnen, einander entsprechenden Abarbeitungsschritte der beiden Rechenvorschriften jeweils im Wesentlichen parallel ausgeführt werden, wird aufgrund der inversen Berechnung erreicht, dass der jeweils verwendete Opcode (Operation code) des verwende- ten Prozessors für die normale und die inverse Rechenvorschrift so diver- sifiziert wie möglich gestaltet sind. Das Ergebnis der parallel rechnenden Rechenvorschriften muss komplementär gleich sein, wobei sich der Algorithmus für die Berechnungen grundsätzlich unterscheiden darf. Die jeweils inversen Werte stellen dabei das Einerkomplement bzw. die Negativ- werte des jeweils verwendeten Originalwerts dar.
Nach einer weiteren vorteilhaften Ausführungsform der Erfindung wird zur Überprüfung der Zulässigkeit oder Unzulässigkeit der Sensorsignale mittels der Rechenvorschriften ermittelt, ob die Sensorsignale einen vorge- gebenen Referenzwert über- oder unterschreiten. Dies kann beispielsweise auch den Fall umfassen, dass zulässige Sensorsignale nur innerhalb eines oder mehrerer zulässiger Bereiche angeordnet sein dürfen.
Nach einer weiteren bevorzugten Ausführungsform der Erfindung wird ein Steuersignal, insbesondere ein Abschaltsignal erzeugt, wenn zumindest ein Ausgangssignal der Auswerteeinheit ein unzulässiges Sensorsignal repräsentiert. Dies kann bei einer eingangs genannten Drucküberwachung beispielsweise der Fall sein, wenn durch den ermittelten Druck auf die Reibungskupplung ein maximal zulässiges Drehmoment, von bei- spielsweise 1400 Nm überschritten wird. Da sowohl die eingangsseitigen Übertragungskanäle als auch die aus- gangsseitigen Übertragungskanäle vorteilhaft an separaten Eingängen/Ausgängen der Auswerteeinheit angeschlossen sind, ist außerhalb der Auswerteeinheit eine Zweikanaligkeit durch eine bekannte redundante Hardwareausbildung gegeben.
Die ausgangsseitigen Übertragungskanäle können über eine eine logische ODER- Verknüpfung repräsentierende Baueinheit miteinander verbunden sein. Dadurch wird erreicht, dass das erforderliche Steuersignal/ Abschaltsignal zuverlässig erzeugt wird, sobald eine der beiden innerhalb der Auswerteeinheit ausgeführten Rechenvorschriften einen unzulässigen Wert für das Sensorsignal ergibt.
Weitere vorteilhafte Ausführungsformen der Erfindung sind in den Unteransprüchen angegeben.
Die Erfindung wird nachfolgend anhand eines Ausführungsbeispiels unter Bezugnahme auf die einzige Figur näher beschrieben.
Die Figur zeigt ein stark vereinfachtes Blockschaltbild einer erfindungs- gemäß ausgebildeten Überwachungsvorrichtung mit zwei Sensoren 1, 2, die jeweils zum Erfassen derselben zu überwachenden Größe, beispielsweise eines innerhalb eines Torque-Vectoring- Systems auftretenden Drucks an einer Reibungskupplung ausgebildet sind. Jeder der Sensoren 1, 2 wandelt den erfassten Wert in ein entsprechendes Sensorsignal um, die jeweils getrennt über eingangsseitige Übertragungskanäle 3, 4 einer gemeinsamen Auswerteeinheit 5 zugeführt werden. Die eingangsseitigen Übertragungskanäle 3, 4 sind dazu an separaten Eingängen 6, 7 der Aus- werteeinheit 5 angeschlossen. Die Auswerteeinheit 5, die insbesondere als Mikroprozessor ausgebildet sein kann, ist zum Ausführen von zwei einander entsprechenden Rechenvorschriften 8, 9 ausgebildet, wobei die Rechenvorschrift 9 invers zu der Rechenvorschrift 8 ausgebildet ist, d.h. alle einzelnen Abarbeitungsschritte der Rechenvorschrift 8 sind in der inversen Rechenvorschrift 9 durch entsprechende inverse Abarbeitungsschritte ersetzt.
Mit der Rechenvorschrift 8 wird das über den eingangsseitigen Übertra- gungskanal 3 und den Eingang 6 der Auswerteeinheit 5 zugeführte Sensorsignal auf seine Zulässigkeit oder Unzulässigkeit überprüft. Beispielsweise wird überprüft, ob das Sensorsignal einen vorgegebenen zulässigen Maximalwert überschreitet. Beim Überschreiten dieses Maximalwertes wird von der Rechenvorschrift 8 ein entsprechendes Ausgangssignal er- zeugt, das über einen Ausgang 10 der Auswerteeinheit 5 und einen aus- gangsseitigen Übertragungskanal 11 ausgegeben wird.
In entsprechender Weise wird von der inversen Rechenvorschrift 9 ein über den eingangsseitigen Übertragungskanal 4 und den Eingang 7 der Auswerteeinheit 5 zugeführtes Sensorsignal auf seine Zulässigkeit oder
Unzulässigkeit überprüft, wobei die entsprechende Überprüfung aufgrund der inversen Rechenvorschrift 9 im Vergleich zu der beschriebenen Überprüfung mittels der Rechenvorschrift 8 durch so genanntes inverses Rechnen erfolgt.
Die Rechenvorschriften 8, 9 sind dabei so ausgebildet, dass das jeweilige Ergebnis der parallel rechnenden Rechenvorschriften 8, 9 bei identischen zugeführten Sensorsignalen identische oder komplementär gleiche Ausgangssignale ergeben. Das von der inversen Rechenvorschrift 9 erzeugte Ausgangssignal wird über einen separaten Ausgang 12 und einen daran angeschlossenen aus- gangsseitigen Übertragungskanal 13 ausgegeben. Sind die Rechenvorschriften 8, 9 so ausgestaltet, dass bei identisch zugeführten Sensorsigna- len die Ergebnisse der parallel rechnenden Rechenvorschriften 8, 9 komplementär gleich sind, so kann eines der ausgegebenen Ausgangssignale negiert werden, wie es in der Figur durch ein entsprechendes NICHT- Gatter 14 angedeutet ist.
Die ausgangsseitigen Übertragungskanäle 11, 13 sind an den Eingängen 15, 16 eines ODER-Gatters 17 angeschlossen, an dessen Ausgang 18 ein Steuersignal in Abhängigkeit von den von den Rechnervorschriften 8, 9 erzeugten Ausgangssignalen erzeugt wird. Wird beispielsweise von der Rechenvorschrift 8 im Falle eines unzulässigen Sensorsignals ein Aus- gangssignal "logisch 1" und von der inversen Rechenvorschrift 9 ein komplementäres Ausgangssignal "logisch 0" erzeugt, so wird das Eingangssignal 18 auf "logisch 1" gesetzt, sobald eine der Rechenvorschriften 8, 9 einen unzulässigen Wert des Sensorsignals ermittelt.
Die Rechenvorschriften 8, 9 werden erfindungsgemäß von der Auswerteeinheit voneinander entkoppelt und innerhalb der Auswerteeinheit 5 di- versifiziert ausgeführt. Das bedeutet, dass beispielsweise bei Auftreten eines transienten Fehlers in einem Abschnitt 19 der Auswerteeinheit 5, der gerade von dem aktuellen Abarbeitungsschritt der Rechenvorschriften 8 verwendet wird, der parallel ausgeführte Abarbeitungsschritt der inversen Rechenvorschrift 9 aufgrund der Diversifizierung von diesem Fehler nicht betroffen ist, da er nicht diesen fehlerbehafteten Abschnitt 19, sondern beispielsweise einen fehlerfreien Abschnitt 20 verwendet. Obwohl somit nur eine einzelne Auswerteeinheit 5 verwendet wird, können mit der Erfindung im Endresultat eine zweikanalige Überwachung der gemessenen, zu überwachenden Werte realisiert und damit die vorgegebenen sicherheitsrelevanten Anforderungen erfüllt werden.
Bezugszeichenliste
1 Sensor
2 Sensor 3 eingangsseitiger Übertragungskanal
4 eingangsseitiger Übertragungskanal
5 Auswerteeinheit
6 Eingang
7 Eingang 8 Rechenvorschrift
9 inverse Rechenvorschrift
10 Ausgang
11 ausgangsseitiger Übertragungskanal
12 Ausgang 13 ausgangsseitiger Übertragungskanal
14 NICHT-Gatter
15 Eingang
16 Eingang
17 ODER-Gatter 18 Ausgang
19 Abschnitt der Auswerteeinheit
20 Abschnitt der Auswerteeinheit

Claims

Patentansprüche
1. Verfahren zur zweikanaligen Überwachung von sicherheitsrelevanten Sensorsignalen, bei dem mittels zweier Sensoren (1, 2) parallel zwei zu überwachende Sensorsignale erzeugt werden, die erzeugten Sensorsignale über zwei getrennte, eingangsseitige
Übertragungskanäle (3, 4) zu einer gemeinsamen Auswerteeinheit (5) übertragen werden, innerhalb der Auswerteeinheit (5) die übertragenen Sensorsignale anhand von vorgegebenen, einander entsprechenden Rechenvor- Schriften (8, 9) auf ihre Zulässigkeit überprüft werden und für jedes
Sensorsignal ein die Zulässigkeit oder Unzulässigkeit repräsentierendes Ausgangssignal der Auswerteeinheit (5) erzeugt wird, wobei die einzelnen Abarbeitungsschritte der beiden Rechenvorschriften (8, 9) von der Auswerteeinheit (5) für die beiden Sensorsignale von- einander entkoppelt und innerhalb der Auswerteeinheit (5) diversifi- ziert ausgeführt werden, und die erzeugten Ausgangssignale über zwei getrennte, ausgangs- seitige Übertragungskanäle (11, 13) ausgegeben werden.
2. Verfahren nach Anspruch 1 , dadurch g e k e n n z e i c h n e t , dass eine der beiden Rechenvorschriften (9) invers zu der anderen
Rechenvorschrift (8) ausgebildet ist.
3. Verfahren nach Anspruch 2, dadurch g e k e n n z e i c h n e t , dass die beiden Rechenvorschriften (8, 9) jeweils einander entsprechende, einzelne Abarbeitungsschritte umfassen und dass jeder Ab- arbeitungsschritt der einen Rechenvorschrift (9) invers zu dem entsprechenden Abarbeitungsschritt der anderen Rechenvorschrift (8) ausgebildet ist.
4. Verfahren nach zumindest einem der vorhergehenden Ansprüche, dadurch g e k e n n z e i c h n e t , dass die beiden Rechenvorschriften (8, 9) im Wesentlichen parallel ausgeführt werden.
5. Verfahren nach Anspruch 5, dadurch g e k e n n z e i c h n e t , dass die beiden Rechenvorschriften (8, 9) jeweils einander entsprechende, einzelne Abarbeitungsschritte umfassen und dass die einzelnen, einander entsprechenden Abarbeitungsschritte der beiden Rechenvorschriften (8, 9) jeweils im Wesentlichen parallel ausge- führt werden.
6. Verfahren nach zumindest einem der vorhergehenden Ansprüche, dadurch g e k e n n z e i c h n e t , dass zur Überprüfung der Zulässigkeit oder Unzulässigkeit der Sen- sorsignale mittels der Rechenvorschriften (8, 9) ermittelt wird, ob die
Sensorsignale einen vorgegebenen Referenzwert über- oder unterschreiten.
7. Verfahren nach zumindest einem der vorhergehenden Ansprüche, dadurch g e k e n n z e i c h n e t , dass ein Steuersignal, insbesondere ein Abschaltsignal erzeugt wird, wenn zumindest ein Ausgangssignal der Auswerteinheit (5) ein unzulässiges Sensorsignal repräsentiert.
8. Überwachungsvorrichtung ausgebildet zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche, mit zwei Sensoren (1, 2), die zum parallelen Erzeugen der beiden zu überwachenden Sensorsignale ausgebildet sind, mit zwei eingangsseitigen Übertragungskanälen (3, 4), die zum ge- trennten Übertragen der Sensorsignale zu der gemeinsamen Auswerteeinheit (5) ausgebildet sind, wobei die Auswerteeinheit (5) zur voneinander entkoppelten, diversifizierten Abarbeitung der einzelnen Abarbeitungsschritte der Rechenvorschriften (8, 9) für die beiden zu überprüfenden Sensorsignale ausgebildet ist, und mit zwei jeweils an der Auswerteeinheit (5) angeschlossenen, aus- gangsseitigen Übertragungskanälen (11, 13), die zum Übertragen der Ausgangssignale der Auswerteeinheit (5) ausgebildet sind.
9. Vorrichtung nach Anspruch 8, dadurch g e k e n n z e i c h n e t , dass die eingangsseitigen Übertragungskanäle (3, 4) an separaten Eingängen (6, 7) der Auswerteeinheit (5) angeschlossen sind.
10. Vorrichtung nach Anspruch 8 oder 9, dadurch g e k e n n z e i c h n e t , dass die ausgangsseitigen Übertragungskanäle (11, 13) an separaten Ausgängen (10, 12) der Auswerteeinheit (5) angeschlossen sind.
11. Vorrichtung nach Anspruch 8, 9 oder 10, dadurch g e k e n n z e i c h n e t , dass die Auswerteeinheit (5) als Mikroprozessor ausgebildet ist.
12. Vorrichtung nach zumindest einem der Ansprüche 8 bis 11 , dadurch g e k e n n z e i c h n e t , dass die ausgangsseitigen Übertragungskanäle (11, 13) über eine eine logische ODER- Verknüpfung repräsentierende Baueinheit (17) miteinander verbunden sind.
13. Verwendung des Verfahrens nach zumindest einem der Ansprüche 1 bis 7 zur Überwachung des auf eine Reibungskupplung eines Torque-Vectoring-Systems wirkenden hydraulischen Drucks, wobei durch die Sensoren (1,2) der Druck erfasst und in die Sensorsignale umgewandelt wird.
14. Torque-Vectoring-System mit einer zum Übertragen eines Antriebsmoments auf eine Halbwelle eines Kraftfahrzeugs ausgebildeten Reibungskupplung g e k e n n z e i c h n e t durch eine Überwachungsvorrichtung nach zumindest einem der Ansprüche 8 bis 12, wobei die Sensoren (1,2) zum Erfassen des auf die Reibungskupplung wirkenden hydraulischen Drucks und zum Umwandeln des erfassten Drucks in die Sensorsignale ausgebildet sind.
PCT/EP2009/005151 2008-09-01 2009-07-15 Verfahren und vorrichtung zur zweikanaligen überwachung von sicherheitsrelevanten sensorsignalen Ceased WO2010022821A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US13/058,884 US8798849B2 (en) 2008-09-01 2009-07-15 Method and device for dual-channel monitoring of safety-relevant sensor signals

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102008045265.3 2008-09-01
DE102008045265.3A DE102008045265B4 (de) 2008-09-01 2008-09-01 Verfahren und Vorrichtung zur zweikanaligen Überwachung von sicherheitsrelevanten Sensorsignalen

Publications (1)

Publication Number Publication Date
WO2010022821A1 true WO2010022821A1 (de) 2010-03-04

Family

ID=41207284

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2009/005151 Ceased WO2010022821A1 (de) 2008-09-01 2009-07-15 Verfahren und vorrichtung zur zweikanaligen überwachung von sicherheitsrelevanten sensorsignalen

Country Status (3)

Country Link
US (1) US8798849B2 (de)
DE (1) DE102008045265B4 (de)
WO (1) WO2010022821A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9219511B2 (en) 2010-08-04 2015-12-22 Bae Systems Plc High-integrity data transmission system

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015200583B4 (de) * 2015-01-15 2016-09-15 Continental Automotive Gmbh Verfahren zur kamerabasierten Umgebungslichterkennung eines Fahrzeugs und Sensoreinheit zur Durchführung des Verfahrens
DE102016002840A1 (de) 2015-12-22 2017-06-22 SEW-EURODRlVE GmbH & Co. KG Konfigurierbare Diagnoseeinheit, System mit Wechselrichter und konfigurierbarer Diagnoseeinheit und Verfahren zum Betreiben der konfigurierbaren Diagnoseeinheit

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1260885A2 (de) * 2001-05-25 2002-11-27 Siemens Aktiengesellschaft Steuer- oder Regelverfahren
EP1596262A1 (de) * 2004-05-10 2005-11-16 Siemens Aktiengesellschaft Sicherheitsgerichtete Übertragung von Daten
DE102005005995A1 (de) * 2004-02-23 2006-06-22 Continental Teves Ag & Co. Ohg Verfahren und Vorrichtung zum Überwachen von Signalverarbeitungseinheiten für Sensoren
DE102006007098A1 (de) * 2006-01-16 2007-07-19 Conti Temic Microelectronic Gmbh Verfahren zur Funktionsprüfung einer Signalverarbeitungseinheit sowie geeignete Signalverarbeitungseinheit

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4107668C2 (de) 1991-03-09 1994-11-03 Pilz Gmbh & Co Sicherheitsschaltgerät
JPH05238348A (ja) * 1991-03-13 1993-09-17 Zexel Corp 車両安全装置の制御システム
DE59205908D1 (de) * 1991-10-31 1996-05-09 I M M B Pineroli Vorrichtung zum ermitteln von fahrzustandsgrössen eines kraftfahrzeuges
JP3204542B2 (ja) * 1992-07-24 2001-09-04 株式会社東芝 磁場源測定装置
DE102004008251A1 (de) 2004-02-19 2005-09-29 Siemens Ag Intelligente Sensorik/Aktorik mit interner Redundanz
AT7553U1 (de) 2004-02-23 2005-05-25 Magna Drivetrain Ag & Co Kg Antriebsstrang eines allradgetriebenen fahrzeuges
DE102004044335A1 (de) 2004-09-09 2006-04-06 Robert Bosch Gmbh Verfahren zum Überwachen von redundanten Sensorsignalen
DE102006031667A1 (de) 2006-07-08 2008-01-10 Dr.Ing.H.C. F. Porsche Ag Verfahren und Vorrichtung zum Erfassen eines Winkels bzw. einer Winkelgeschwindigkeit zwischen Bauteilen

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1260885A2 (de) * 2001-05-25 2002-11-27 Siemens Aktiengesellschaft Steuer- oder Regelverfahren
DE102005005995A1 (de) * 2004-02-23 2006-06-22 Continental Teves Ag & Co. Ohg Verfahren und Vorrichtung zum Überwachen von Signalverarbeitungseinheiten für Sensoren
EP1596262A1 (de) * 2004-05-10 2005-11-16 Siemens Aktiengesellschaft Sicherheitsgerichtete Übertragung von Daten
DE102006007098A1 (de) * 2006-01-16 2007-07-19 Conti Temic Microelectronic Gmbh Verfahren zur Funktionsprüfung einer Signalverarbeitungseinheit sowie geeignete Signalverarbeitungseinheit

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9219511B2 (en) 2010-08-04 2015-12-22 Bae Systems Plc High-integrity data transmission system

Also Published As

Publication number Publication date
DE102008045265B4 (de) 2022-05-05
US8798849B2 (en) 2014-08-05
DE102008045265A1 (de) 2010-03-04
US20110213535A1 (en) 2011-09-01

Similar Documents

Publication Publication Date Title
DE10113917B4 (de) Verfahren und Vorrichtung zur Überwachung von Steuereinheiten
WO2012159850A2 (de) Verfahren zum betreiben eines sicherheitssteuergeräts
DE19500188B4 (de) Schaltungsanordnung für eine Bremsanlage
WO2017042009A1 (de) Vorrichtung zum betreiben eines lenksystems, lenksystem, verfahren
EP3571593A1 (de) Redundante prozessorarchitektur
EP3601003A1 (de) Fahrassistenzsystembasiertes lenkunterstützungsverfahren, lenkunterstützungssystem und fahrzeug
DE102008045265B4 (de) Verfahren und Vorrichtung zur zweikanaligen Überwachung von sicherheitsrelevanten Sensorsignalen
DE102017112183B4 (de) Steueranordnung zur Lenkung einer Hinterradachse eines Fahrzeugs
DE102012207215A1 (de) Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges
WO2006037415A1 (de) Längsdynamiksteuervorrichtung für kraftfahrzeuge
DE102006017302B4 (de) Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
EP2726352B1 (de) Verfahren, system und computerprogrammprodukt zur funktionsüberwachung einer sicherheitsüberwachung einer kfz - steuereinheit
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
EP1639464A2 (de) Verfahren zur überprüfung der sicherheit und zuverlässigkeit softwarebasierter elektronischer systeme
DE102004058996A1 (de) Verfahren und Fahrfunktionssystem zum Überführen von sicherheitsrelevanten Fahrfunktionen eines Fahrzeugs in den sicheren Zustand
DE102019218074B4 (de) Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs
AT515341B1 (de) Verfahren zur Überprüfung der Abarbeitung von Software
DE102017218274A1 (de) Lenkungssteuersystem für ein Lenksystem eines Kraftfahrzeuges sowie Verfahren zum Betreiben eines Lenkungssteuersystems
DE102010038307B4 (de) Verfahren und Vorrichtung zur Regelung und/oder Überwachung einer elektrisch betätigbaren Bremse sowie elektronisches Bremssystem
DE102016106814A1 (de) Vorrichtung und Verfahren zum Überwachen eines Signalpfads und Signalverarbeitungssystem
DE202019102429U1 (de) Robotisches Greifersystem mit redundanten Drehmomentsensoren
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
EP4519140A1 (de) Antriebssystem für ein fahrzeug
WO2023180100A1 (de) Verfahren zum betätigen eines sensorsystems, sensorsystem, fahrzeug, computerprogrammprodukt und speichermedium
WO2022263416A1 (de) Steuerungssystem für mindestens ein empfangendes gerät in sicherheitskritischen anwendungen

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 09777214

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 13058884

Country of ref document: US

122 Ep: pct application non-entry in european phase

Ref document number: 09777214

Country of ref document: EP

Kind code of ref document: A1