[go: up one dir, main page]

WO2015010756A1 - Verfahren und elektronische schaltungsanordnung zur redundanten signalverarbeitung einer sicherheitsrelevanten anwendung, kraftfahrzeugbremssystem und kraftfahrzeug damit sowie verwendung einer derartigen elektronischen schaltungsanordnung - Google Patents

Verfahren und elektronische schaltungsanordnung zur redundanten signalverarbeitung einer sicherheitsrelevanten anwendung, kraftfahrzeugbremssystem und kraftfahrzeug damit sowie verwendung einer derartigen elektronischen schaltungsanordnung Download PDF

Info

Publication number
WO2015010756A1
WO2015010756A1 PCT/EP2014/001666 EP2014001666W WO2015010756A1 WO 2015010756 A1 WO2015010756 A1 WO 2015010756A1 EP 2014001666 W EP2014001666 W EP 2014001666W WO 2015010756 A1 WO2015010756 A1 WO 2015010756A1
Authority
WO
WIPO (PCT)
Prior art keywords
electronic circuit
signal
motor vehicle
circuit arrangement
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2014/001666
Other languages
English (en)
French (fr)
Inventor
Christoph Brockmann
Andreas Goers
Jann Löll
Marco Michel
Otmar Struwe
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF CV Systems Hannover GmbH
Original Assignee
Wabco GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wabco GmbH filed Critical Wabco GmbH
Priority to KR1020167003945A priority Critical patent/KR20160037939A/ko
Priority to CN201480041968.7A priority patent/CN105555624B/zh
Priority to US14/904,968 priority patent/US10053079B2/en
Priority to JP2016528367A priority patent/JP2016529610A/ja
Priority to EP14733999.8A priority patent/EP3024707A1/de
Publication of WO2015010756A1 publication Critical patent/WO2015010756A1/de
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T17/00Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
    • B60T17/18Safety devices; Monitoring
    • B60T17/22Devices for monitoring or checking brake systems; Signal devices
    • B60T17/221Procedure or apparatus for checking or keeping in a correct functioning condition of brake systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/413Plausibility monitoring, cross check, redundancy
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware

Definitions

  • the invention relates to a method for redundant signal processing of a safety-relevant application, in particular a safety control unit of a motor vehicle, according to the preamble of claim 1 and an electronic circuit arrangement for carrying out such a method according to the preamble of claim 2. Furthermore, the invention relates to a motor vehicle brake system and a motor vehicle Such an electronic circuit arrangement and a use of this circuit arrangement.
  • An example of an anti-lock vehicle brake system is off
  • the input data are fed in parallel to two identically programmed microcontrollers and processed synchronously there. In between and at the output, the signals are compared. If a deviation of the signals from each other, a shutdown signal is output. Due to a second microcontroller, which is identical in construction and in its programming with the first microcontroller, data processing errors can be at least partially detected.
  • a second microcontroller which is identical in construction and in its programming with the first microcontroller, data processing errors can be at least partially detected.
  • such a system requires two high-quality microcontrollers, although to generate the actual Control signals a single microcontroller would suffice, which doubles the cost of microcontrollers for security reasons.
  • the invention is therefore based on the object to provide a simple and inexpensive method and an electronic circuit arrangement, with the reliability, which is required for safety-relevant applications, can detect malfunctions of the system.
  • the invention solves this problem with the features of a method for redundant signal processing according to claim 1, with an electronic circuit arrangement according to claim 2, with a motor vehicle brake system according to claim 6, with a vehicle according to claim 7 and with a use of an electronic circuit arrangement according to claim 8.
  • At least one sensor supplies at least two redundant signals for processing sensor information of the sensors as input signals to an electronic circuit arrangement.
  • the input signals are provided by two independent sensors to detect errors in the generation of the sensor signal due to a faulty sensor or to provide the reliability of the system in case of failure of a sensor.
  • the transmission device for transmitting the sensor signals is also designed to be redundant in order to detect transmission errors if necessary. Therefore, according to the invention, the electronic circuit arrangement has at least two sensor signals as input signals for processing the sensor information to disposal.
  • the input signals are transferred either directly or via a protective circuit against overvoltage to a peripheral module of a microcontroller.
  • the peripheral module preferably has a software module which is configured in such a way as to compare the received signals with one another. Due to existing deviations, possible sources of error can be determined and the safety-relevant application converted into a safe state.
  • the aforementioned functionally independent paths across the two redundant input signals may be simultaneously affected if there is a systematic design error or a systematic manufacturing fault in the peripheral device of the microcontroller. This error could affect both input signals simultaneously and lead to a simultaneous failure or malfunction of the system.
  • the electronic circuit arrangement has at least one input circuit which is designed in such a way as to generate from the input signal a test signal which differs from the input signal but retains the sensor information.
  • the test signal is likewise transmitted to the microcontroller for processing. Since the test signal differs from the input signal, the respective peripheral modules are constructed differently and the test signal is processed in a further peripheral module independently of the input signal, whereby the processing of the sensor information is advantageously made redundant. Since the I / O modules fulfill the same processing target, the signals or data can be compared after processing and possible systematic errors within the I / O modules can be detected.
  • the peripheral components of the microcontroller have a redundant signal processing capability.
  • the different software modules with different software drivers can advantageously be avoided.
  • the input circuit which converts the input signal into an analog test signal is designed as a low-pass filter if the input signal is a pulse width modulated signal.
  • the input circuit which converts the input signal into a pulse width modulated test signal has a voltage controlled oscillator (VCO) if the input signal is an analog voltage or current signal.
  • VCO voltage controlled oscillator
  • Another preferred embodiment of the invention provides means for detecting significant differences between the results of the redundantly processed sensor information of the input signal and the test signal. If such deviations are present, the control systems affected by the deviating data can advantageously be converted into a secure state. Thus, it is advantageous to avoid misjudgments of systems that may pose a threat to humans.
  • the invention solves o. Task further with a motor vehicle brake system, for example an ABS or EBS system, with means for carrying out the method according to the invention and / or with at least one electronic circuit arrangement according to the invention, in particular a safety control unit.
  • a motor vehicle brake system for example an ABS or EBS system
  • means for carrying out the method according to the invention and / or with at least one electronic circuit arrangement according to the invention, in particular a safety control unit in particular a safety control unit.
  • the invention solves the above object with a motor vehicle, which has at least one electrical circuit arrangement, in particular a safety control unit, for redundant signal processing and / or a motor vehicle brake system with such electronic circuitry and / or means for performing a method according to the invention for redundant signal processing of a security-relevant application , Finally, the invention solves the above object by using an electronic circuit arrangement according to the invention for redundant signal processing of a security-relevant application, wherein the inventive electronic circuit for redundant signal processing in a motor vehicle braking system and / or can be applied in a motor vehicle.
  • Such a use of a circuit arrangement according to the invention advantageously ensures the functional safety of a system, in particular of a motor vehicle brake system or of a motor vehicle, with electronic components.
  • Fig. 1 is a block diagram of an electronic circuit arrangement
  • FIG. 1 shows schematically a redundantly operating system with an electronic circuit arrangement 2, which comprises at least one control functionality.
  • a sensor system 4 is provided with two sensors which detect the same variable independently.
  • the sensor information of the two sensors are contained in two received signals 6, which via a Transfer device, eg via two separate bus systems, the electronic circuitry 2 are passed.
  • the input signals 6 are first supplied to two input circuits 8 of the electronic circuit arrangement 2.
  • the input circuits 8 serve merely to protect against possible overvoltages and are therefore to be regarded as optional, so that the input signals 6 are transferred to a microcontroller 10, in particular to a first peripheral component 12 of the microcontroller 10.
  • the received signals 6 are pulse-width-modulated signals of the sensor system 4.
  • the sensors sense e.g. the way of the brake pedal and output this as an electrical signal pulse width modulated.
  • the first peripheral module 12 is preferably a pick-and-place unit that can pick up and compare signals. By comparing the input signals 6, the transmission device is checked for possible errors.
  • the first peripheral module 12 also has a first software module with associated software driver, whereby a brake request is determined from the sensor information and a corresponding release of the pressure control takes place.
  • the first peripheral device 12 has a systematic error, e.g. a faulty programming of the first software module, it may lead to a malfunction of the system, in particular of the microcontroller 10, despite the redundant transmission of the sensor information.
  • an input signal 6 in a further input circuit 14 is converted into a test signal 16.
  • the further input circuit 14 is a low-pass filter with which the pulse-width-modulated input signal 6 is converted into an analog test signal 16.
  • the test signal 16 thus differs from the input signal 6, but still has all the sensor information.
  • a second peripheral module 18 of the microcontroller 10 For further processing of the test signal 16, this is passed to a second peripheral module 18 of the microcontroller 10.
  • the second peripheral module 18 is used for redundant signal processing of the microcontroller 10, i. the first peripheral module 12 and the second peripheral module 18 pursue the same processing target.
  • the second peripheral module 18 uses a second software module other than the first peripheral module 12 and another software driver for further processing the sensor information.
  • the second peripheral module 18 is essentially an analog-digital converter with subsequent processing of the digital signal.
  • a subsequent comparison of the determined brake request of the first peripheral module 12 with the determined brake request of the second peripheral module 18 advantageously enables the detection of a singular error cause in one of the peripheral modules 12, 18, if the result of the redundant signal processing of the two peripheral modules 12, 18 deviates significantly from one another.
  • two redundantly transmitted analog current or voltage signals can also be transferred as input signals 6 of the electronic circuit arrangement 2.
  • These analog current or voltage signals represent, for example, the brake pressure to be generated, which is predetermined by the actuation of the brake pedal. If analog input signals 6 of the electronic circuit arrangement 2 are present, they are processed in a first peripheral module 12 with the aim of releasing the pressure control if the received signals 6 were transmitted without errors.
  • test signal 16 is now generated from the analog input signal 6.
  • the test signal 16 is a pulse-width-modulated signal which is generated by means of a voltage-controlled oscillator and which is passed to the second peripheral module 18 for further processing.
  • pulse width modulated signal instead of a pulse width modulated signal, other types of modulation, such as e.g. Pulse frequency modulation, pulse amplitude modulation, pulse code modulation or pulse phase modulation, be provided or any other type of modulation, such. Amplitude modulation, angle modulation or frequency / phase modulation to transmit and / or convert the sensor signals.
  • Pulse frequency modulation pulse amplitude modulation
  • pulse code modulation pulse code modulation
  • pulse phase modulation any other type of modulation, such.
  • Amplitude modulation, angle modulation or frequency / phase modulation to transmit and / or convert the sensor signals.
  • the software and hardware used in the microcontroller 10 for processing the sensor signals are tested for error-free operation in addition to the redundant transmission device to ensure error-free transmission of sensor signals by the input signal 6 is converted into another test signal 16 and the subsequent evaluation of the received signal 6 in a peripheral module 12 and the evaluation of the test signal 16 in an independent peripheral module 18 separately.
  • circuit arrangement 2 according to the invention With the aid of the circuit arrangement 2 according to the invention, consequently, a high level of security of the system can be achieved. In doing so, the inventions
  • the circuit arrangement 2 according to the invention can advantageously be realized with low production costs, since only one microcontroller 10 is used.
  • the invention thus complies with the new ISO (International Organization for Standardization) 26262 ("Road Vehicle - Functional Safety”) standard, which is intended to ensure the functional safety of an electrical or electronic system in motor vehicles.
  • ISO International Organization for Standardization
  • 26262 Road Vehicle - Functional Safety

Landscapes

  • Engineering & Computer Science (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Regulating Braking Force (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, insbesondere einer Sicherheitssteuereinheit eines Kraftfahrzeugs, wobei von mindestens einem Sensor (4) mindestens zwei redundante Signale zur Verarbeitung der Sensorinformationen als Eingangssignale (6) einer elektronischen Schaltungsanordnung (2) zugeführt werden. Dabei wird mindestens ein Eingangssignal (6) in ein anderes Prüfsignal (16) konvertiert. Das bzw. die Eingangssignale (6) werden in der elektronischen Schaltungsanordnung (2) einem ersten Peripheriebaustein (12) eines Mikrocontrollers (10) zugeführt und das Prüfsignal (16) einem weiteren Peripheriebaustein (18) des Mikrocontrollers (10). Die Sensorinformationen der Eingangssignale (6) und des Prüfsignals (16) werden somit voneinander unabhängig in jeweils einem Peripheriebaustein (12, 18) des Mikrocontrollers (10) redundant verarbeitet. Ferner betrifft die Erfindung eine elektronische Schaltungsanordnung (2) zum Ausführen eines derartigen Verfahrens, ein Kraftfahrzeugbremssystem sowie ein Kraftfahrzeug damit und eine Verwendung einer derartigen elektronischen Schaltungsanordnung.

Description

Verfahren und elektronische Schaltungsanordnung zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung,
Kraftfahrzeugbremssystem und Kraftfahrzeug damit sowie
Verwendung einer derartigen elektronischen Schaltungsanordnung
Die Erfindung betrifft ein Verfahren zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, insbesondere einer Sicherheitssteuereinheit eines Kraftfahrzeugs, gemäß dem Oberbegriff von Anspruch 1 sowie eine elektronische Schaltungsanordnung zum Ausführen eines derartigen Verfahrens gemäß dem Oberbegriff von Anspruch 2. Ferner betrifft die Erfindung ein Kraftfahrzeugbremssystem und ein Kraftfahrzeug mit einer derartigen elektronischen Schaltungsanordnung sowie eine Verwendung dieser Schaltungsanordnung.
Elektronische Kraftfahrzeugsteuergeräte, wie beispielsweise ABS- und/oder EBS-Bremssteuergeräte, weisen vielfach redundante Signalverarbeitungssysteme auf, um für moderne sicherheitsrelevante Anwendungen geeignet zu sein. Dabei nehmen die Anforderungen an die Komponenten stetig zu. Mit der steigenden Komplexität der einzelnen Komponenten steigt jedoch auch die Möglichkeit von Fehlfunktionen. Aufgrund steigender Anforderungen an die Komponenten, z.B. Steuergeräte, werden diese nach vorgegebenen Sicherheitsvorschriften gefertigt.
Ein Beispiel einer blockiergeschützten Fahrzeugbremsanlage ist aus
DE 32 34 637 C2 bekannt. Hier werden die Eingangsdaten zwei identisch programmierten MikroControllern parallel zugeführt und dort synchron verarbeitet. Zwischendurch und am Ausgang werden die Signale verglichen. Tritt eine Abweichung der Signale voneinander auf, wird ein Abschaltsignal ausgegeben. Aufgrund eines zweiten MikroControllers, der in seinem Aufbau und in seiner Programmierung mit dem ersten Mikrocontroller identisch ist, lassen sich Datenverarbeitungsfehler zumindest teilweise erkennen. Ein solches System benötigt jedoch zwei hochwertige Mikrocontroller, obwohl zur Erzeugung der eigentlichen Steuersignale ein einziger Mikrocontroller genügen würde, wodurch sich der Aufwand an MikroControllern aus Sicherheitsgründen verdoppelt.
Um eine mögliche Fehlerquelle aufgrund eines systematischen Designfehlers oder systematischen Fertigungsfehlers des Mikrocontrollers auszuschließen, müssten außerdem beide Systeme von unabhängigen Programmierern entwickelt werden, wodurch sich der Aufwand noch weiter erhöht.
Der Erfindung liegt daher die Aufgabe zugrunde, ein einfaches und kostengünstiges Verfahren sowie eine elektronische Schaltungsanordnung zu schaffen, mit der sich mit der Zuverlässigkeit, die für sicherheitsrelevante Anwendungen gefordert wird, Fehlfunktionen des Systems erkennen lassen.
Die Erfindung löst diese Aufgabe mit den Merkmalen eines Verfahrens zur redundanten Signalverarbeitung gemäß Anspruch 1 , mit einer elektronischen Schaltungsanordnung gemäß Anspruch 2, mit einem Kraftfahrzeugbremssystem gemäß Anspruch 6, mit einem Fahrzeug gemäß Anspruch 7 sowie mit einer Verwendung einer elektronischen Schaltungsanordnung gemäß Anspruch 8.
Zur Durchführung des erfindungsgemäßen Verfahrens zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, wie beispielsweise ein ABS- oder EBS-Steuergerät eines Kraftfahrzeugs, werden von mindestens einem Sensor mindestens zwei redundante Signale zur Verarbeitung von Sensorinformationen der Sensoren als Eingangssignale einer elektronischen Schaltungsanordnung zugeführt.
Bevorzugt werden die Eingangssignale von zwei unabhängigen Sensoren bereitgestellt, um Fehler bei der Erzeugung des Sensorsignals aufgrund eines fehlerhaften Sensors zu erkennen bzw. beim Ausfall eines Sensors die Funktionssicherheit des Systems zu gewähren.
Die Übertragungseinrichtung zur Übertragung der Sensorsignale ist ebenfalls redundant ausgebildet, um ggf. Übertragungsfehler zu erkennen. Daher stehen der elektronischen Schaltungsanordnung erfindungsgemäß mindestens zwei Sensorsignale als Eingangssignale zur Verarbeitung der Sensorinformationen zur Verfügung. Die Eingangssignale werden entweder direkt oder über eine Schutzbeschaltung gegen Überspannung einem Peripheriebaustein eines Mikro- controllers übergeben. Bevorzugt weist der Peripheriebaustein ein Softwaremodul auf, welches derart ausgestaltet ist, um die Empfangssignale miteinander zu vergleichen. Aufgrund vorhandener Abweichungen lassen sich mögliche Fehlerquellen ermitteln und die sicherheitsrelevante Anwendung in einen sicheren Zustand überführen.
Die vorstehend genannten, funktional unabhängigen Pfade über die zwei redundanten Eingangssignale können jedoch gleichzeitig beeinflusst werden, falls ein systematischer Designfehler oder ein systematischer Fertigungsfehler in dem Peripheriebaustein des Mikrocontrollers vorliegt. Dieser Fehler könnte beide Eingangssignale simultan beeinflussen und zu einem zeitgleichen Ausfall bzw. zu einer Fehlfunktion des Systems führen.
Um das Risiko von Fehlfunktionen von sicherheitsrelevanten elektronischen Schaltungsanordnungen zu minimieren, wird erfindungsgemäß mindestens ein Eingangssignal in ein Prüfsignal konvertiert. Dazu weist die elektronische Schaltungsanordnung mindestens einen Eingangsschaltkreis auf, welcher derart ausgestaltet ist, um aus dem Eingangssignal ein Prüfsignal zu erzeugen, welches sich von dem Eingangssignal unterscheidet, jedoch die Sensorinformationen beibehält.
Das Prüfsignal wird ebenfalls wie auch das bzw. die Eingangssignale dem Mik- rocontroller zur Verarbeitung übergeben. Da sich das Prüfsignal von dem Eingangssignal unterscheidet, sind auch die jeweiligen Peripheriebausteine unterschiedlich aufgebaut und das Prüfsignal wird in einem weiteren Peripheriebaustein unabhängig von dem Eingangssignal verarbeitet, wodurch vorteilhaft die Verarbeitungen der Sensorinformationen redundant ermöglicht wird. Da die Peripheriebausteine das gleiche Verarbeitungsziel erfüllen, lassen sich die Signale oder Daten nach der Verarbeitung vergleichen und mögliche systematische Fehler innerhalb der Peripheriebausteine erkennen.
Gemäß einer bevorzugten Ausführungsform der Erfindung weisen die Peripheriebausteine des Mikrocontrollers zur redundanten Signalverarbeitung voneinan- der verschiedene Softwaremodule mit unterschiedlichen Softwaretreibern auf. Somit können vorteilhaft Fehlfunktonen oder Ausfälle des Systems, die auf einer fehlerhaften Programmierung beruhen, vermieden werden.
In einer weiteren bevorzugten Ausführungsform der Erfindung ist der Eingangsschaltkreis, der das Eingangssignal in ein analoges Prüfsignal konvertiert, als ein Tiefpassfilter ausgebildet, falls das Eingangssignal ein pulsweitenmoduliertes Signal ist. Alternativ weist der Eingangsschaltkreis, welcher das Eingangssignal in ein pulsweitenmoduliertes Prüfsignal konvertiert, einen spannungsgesteuerten Oszillator (VCO) auf, falls das Eingangssignal ein analoges Spannungs- oder Stromsignal ist. Mit derartigen Eingangsschaltkreisen lassen sich vorhandene Eingangssignale besonders einfach in andere Signale konvertieren, um sie dann von zwei unabhängigen verschiedenen Peripheriebausteinen redundant verarbeiten zu können.
Eine weitere bevorzugte Ausführungsform der Erfindung sieht Mittel zum Erkennen von signifikanten Abweichungen zwischen den Ergebnissen der redundant verarbeiteten Sensorinformationen des Eingangssignals und des Prüfsignals vor. Bei Vorhandensein derartiger Abweichungen lassen sich vorteilhaft die von den abweichenden Daten betroffenen Regelsysteme in einen sicheren Zustand überführen. Somit können vorteilhaft Fehlentscheidungen von Systemen vermieden werden, die möglicherweise eine Gefahr für den Menschen darstellen können.
Die Erfindung löst o. g. Aufgabe ferner mit einem Kraftfahrzeugbremssystem, beispielsweise einem ABS- oder EBS-System, mit Mitteln zum Durchführen des erfindungsgemäßen Verfahrens und/oder mit mindestens einer erfindungsgemäßen elektronischen Schaltungsanordnung, insbesondere einer Sicherheitssteuereinheit.
Des Weiteren löst die Erfindung die o. g. Aufgabe mit einem Kraftfahrzeug, welches mindestens eine elektrische Schaltungsanordnung, insbesondere eine Sicherheitssteuereinheit, zur redundanten Signalverarbeitung aufweist und/oder ein Kraftfahrzeugbremssystem mit derartiger elektronischer Schaltungsanordnung und/oder Mittel zur Durchführung eines erfindungsgemäßen Verfahrens zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung. Schließlich löst die Erfindung o. g. Aufgabe durch eine Verwendung einer erfindungsgemäßen elektronischen Schaltungsanordnung zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, wobei die erfindungsgemäße elektronische Schaltung zur redundanten Signalverarbeitung in einem Kraftfahrzeug bremssystem und/oder in einem Kraftfahrzeug angewendet werden kann.
Eine derartige Verwendung einer erfindungsgemäßen Schaltungsanordnung gewährleistet vorteilhaft die funktionale Sicherheit eines Systems, insbesondere eines Kraftfahrzeugbremssystems oder eines Kraftfahrzeugs, mit elektronischen Komponenten.
Weitere Ausführungsformen der Erfindung ergeben sich aus den Ansprüchen sowie aus dem anhand der Zeichnung näher erläuterten Ausführungsbeispielen. In der Zeichnung zeigt:
Fig. 1 ein Blockschaltbild einer elektronischen Schaltungsanordnung mit
Sensorsystem und Übertragungseinrichtung.
Fig. 1 zeigt schematisch ein redundant arbeitendes System mit einer elektronischen Schaltungsanordnung 2, die mindestens eine Steuerfunktionalität umfasst.
Es ist bekannt, in elektronischen Schaltungsanordnungen, wie z.B. Steuergeräten für Kraftfahrzeugbremssysteme, Sicherheitseinrichtungen vorzusehen, mit denen auftretende Fehler im System erkannt werden können. Es können bei Erkennen eines solchen Fehlers geeignete Gegenmaßnahmen ergriffen werden und das Steuergerät abgeschaltet oder in einen Notfallmodus geschaltet werden. Zur Erkennung von Fehlern werden oftmals sicherheitsrelevante Schaltungsteile redundant, d.h. mehrfach, ausgeführt. Ein entsprechender Vergleich der Funktionen der mehrfach vorhandenen Schaltungsteile zeigt mögliche Fehler auf.
Daher ist in Fig. 1 ein Sensorsystem 4 mit zwei Sensoren vorgesehen, die die gleiche Messgröße unabhängig voneinander erfassen. Die Sensorinformationen der zwei Sensoren sind in zwei Empfangssignalen 6 enthalten, die über eine Übertragungseinrichtung, z.B. über zwei separate Bus-Systeme, der elektronischen Schaltungsanordnung 2 übergeben werden.
Die Eingangssignale 6 werden zunächst zwei Eingangsschaltkreisen 8 der elektronischen Schaltungsanordnung 2 zugeführt. Die Eingangsschaltkreise 8 dienen jedoch lediglich zum Schutz vor möglichen Überspannungen und sind daher optional anzusehen, so dass die Eingangssignale 6 einem MikroController 10 übergeben werden, insbesondere einem ersten Peripheriebaustein 12 des Mikrocont- rollers 10 übergeben werden.
In dem in Fig. 1 dargestellten Ausführungsbeispiel handelt es sich bei den Empfangssignalen 6 um pulsweitenmodulierte Signale des Sensorsystems 4. Die Sensoren sensieren z.B. den Weg des Bremspedals und geben diesen als elektrisches Signal pulsweitenmoduliert aus.
Der erste Peripheriebaustein 12 ist bevorzugt eine Aufnehmen-A ergleichen- Einheit, die Signale aufnehmen und vergleichen kann. Mit dem Vergleich der Eingangssignale 6 wird die Übertragungseinrichtung auf mögliche Fehler hin überprüft.
Der erste Peripheriebaustein 12 weist ferner ein erstes Softwaremodul mit zugehörigem Softwaretreiber auf, womit aus den Sensorinformationen eine Bremsanforderung ermittelt wird und eine entsprechende Freigabe der Drucksteuerung erfolgt.
Weist der erste Peripheriebaustein 12 jedoch einen systematischen Fehler auf, z.B. eine fehlerhafte Programmierung des ersten Softwaremoduls, kann es trotz der redundanten Übertragung der Sensorinformationen zu einer Fehlfunktion des Systems, insbesondere des MikroControllers 10, führen.
Um derartige singulare Fehlerursachen (Common Cause Failure - CCF), die funktional unabhängige Pfade in einem System gleichzeitig beeinflussen können, auszuschließen, wird ein Eingangssignal 6 in einem weiteren Eingangsschaltkreis 14 in ein Prüfsignal 16 konvertiert. Gemäß dem Ausführungsbeispiel aus Fig. 1 handelt es sich bei dem weiteren Eingangsschaltkreis 14 um einen Tiefpass mit dem das pulsweitenmodulierte Eingangssignal 6 in ein analoges Prüfsignal 16 konvertiert wird. Das Prüfsignal 16 unterscheidet sich somit von dem Eingangssignal 6, besitzt aber weiterhin alle Sensorinformationen.
Zur weiteren Verarbeitung des Prüfsignals 16 wird dieses einem zweiten Peripheriebaustein 18 des MikroControllers 10 übergeben. Der zweite Peripheriebaustein 18 dient der redundanten Signalverarbeitung des MikroControllers 10, d.h. der erste Peripheriebaustein 12 und der zweite Peripheriebaustein 18 verfolgen das gleiche Verarbeitungsziel.
Da sich das Prüfsignal 16 jedoch von dem Eingangssignal 6 unterscheidet, verwendet der zweite Peripheriebaustein 18 ein vom ersten Peripheriebaustein 12 verschiedenes zweites Softwaremodul sowie einen anderen Softwaretreiber zur weiteren Verarbeitung der Sensorinformationen. Bevorzugt handelt es sich bei dem zweiten Peripheriebaustein 18 im Wesentlichen um einen Analog-Digital- Wandler mit anschließender Verarbeitung des digitalen Signals.
Ein anschließender Vergleich der ermittelten Bremsanforderung des ersten Peripheriebausteins 12 mit der ermittelten Bremsanforderung des zweiten Peripheriebausteins 18 ermöglicht vorteilhaft das Erkennen einer singulären Fehlerursache in einem der Peripheriebausteine 12, 18, falls das Ergebnis der redundanten Signalverarbeitung der beiden Peripheriebausteine 12, 18 signifikant voneinander abweicht.
Die Erfindung ist jedoch nicht auf das vorstehend beschriebene Ausführungsbeispiel beschränkt. Alternativ können statt der pulsweitenmodulierten Eingangssignale 6 auch zwei redundant übertragene analoge Strom- oder Spannungssignale als Eingangssignale 6 der elektronischen Schaltungsanordnung 2 übergeben werden. Diese analogen Strom- oder Spannungssignale repräsentieren z.B. den zu erzeugenden Bremsdruck, welcher durch die Betätigung des Bremspedals vorgegeben wird. Liegen analoge Eingangssignale 6 der elektronischen Schaltungsanordnung 2 vor, werden diese in einem ersten Peripheriebaustein 12 verarbeitet mit dem Ziel der Freigabe der Drucksteuerung, falls die Empfangssignale 6 fehlerfrei übertragen wurden.
In dem weiteren Eingangsschaltkreis 14 wird nun aus dem analogen Eingangssignal 6 ein physikalisch anderes Prüfsignal 16 erzeugt. Beispielsweise handelt es sich bei dem Prüfsignal 16 um ein mittels eines spannungsgesteuerten Oszillators erzeugtes pulsweitenmoduliertes Signal, welches dem zweiten Peripheriebaustein 18 zur weiteren Verarbeitung übergeben wird.
Statt eines pulsweitenmodulierten Signals können ebenso weitere Modulationsarten, wie z.B. Pulsfrequenzmodulation, Pulsamplitudenmodulation, Pulscodemodulation oder Pulsphasenmodulation, vorgesehen sein oder auch jedwede andere Art von Modulation, wie z.B. Amplitudenmodulation, Winkelmodulation oder Frequenz/Phasenmodulation, um die Sensorsignale zu übertragen und/oder zu konvertieren.
Grundsätzlich ist es möglich, jedwede Art von Eingangssignalen 6 einer elektronischen Schaltungsanordnung 2 zu übergeben, wobei mindestens ein Eingangssignal in ein anderes Prüfsignal 16 konvertiert wird.
Um die funktionale Sicherheit des Systems, insbesondere des Kraftfahrzeugbremssystems, zu gewährleisten, wird erfindungsgemäß neben der redundanten Übertragungseinrichtung zur Absicherung einer fehlerfreien Übertragung von Sensorsignalen auch die im Mikrocontroller 10 zur Verarbeitung der Sensorsignale genutzten Soft- und Hardware auf fehlerfreie Funktion hin überprüft, indem das Eingangssignal 6 in ein anderes Prüfsignal 16 konvertiert wird und die anschließende Auswertung des Empfangssignals 6 in einem Peripheriebaustein 12 sowie die Auswertung des Prüfsignals 16 in einem unabhängigen Peripheriebaustein 18 separat erfolgen.
Mit Hilfe der erfindungsgemäßen Schaltungsanordnung 2 lässt sich folglich ein hohes Sicherheitsniveau des Systems erreichen. Dabei lässt sich die erfin- dungsgemäße Schaltungsanordnung 2 vorteilhaft mit geringem Herstellungsaufwand realisieren, da lediglich ein MikroController 10 verwendet wird.
Die Erfindung genügt somit der neuen ISO (International Organization for Stan- dardization) 26262 („Road Vehicle - Functional Safety") - Norm, welche die funktionale Sicherheit eines elektrischen oder elektronischen Systems in Kraftfahrzeugen gewährleisten soll.
Sämtliche in der vorstehenden Beschreibung sowie in den Ansprüchen genannten Merkmale sind sowohl einzeln als auch in beliebiger Kombination mit den Merkmalen der unabhängigen Ansprüche kombinierbar. Die Offenbarung der Erfindung ist daher nicht auf die beschriebenen bzw. beanspruchten Merkmalskombinationen beschränkt. Vielmehr sind alle im Rahmen der Erfindung sinnvollen Merkmalskombinationen als offenbart zu betrachten.

Claims

Ansprüche
Verfahren zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, insbesondere einer Sicherheitssteuereinheit innerhalb eines Kraftfahrzeugs, wobei von mindestens einem Sensor (4) mindestens zwei redundante Signale zur Verarbeitung von Sensorinformationen als Eingangssignale (6) einer elektronischen Schaltungsanordnung (2) zugeführt werden, von denen mindestens ein Eingangssignal (6) in einem Peripheriebaustein (12) eines MikroControllers (10) der elektronischen Schaltungsanordnung (2) verarbeitet wird,
dadurch gekennzeichnet, dass
mindestens ein Eingangssignal (6) in ein Prüfsignal (16) konvertiert wird, wobei sich das Prüfsignal (16) von dem Eingangssignal (6) unterscheidet, jedoch die Sensorinformationen beibehält,
das Prüfsignal (16) einem weiteren Peripheriebaustein (18) des Mikrocont- rollers (10) zur Verarbeitung der Sensorinformationen des Prüfsignals (16) zugeführt wird und
die Verarbeitung der Sensorinformationen des Eingangssignals (6) in einem Peripheriebaustein (12) des Mikrocontrollers (10) und die Verarbeitung des Prüfsignals (16) in einem weiteren Peripheriebaustein (18) des Mikrocontrollers (10) voneinander unabhängig redundant durchgeführt werden.
Elektronische Schaltungsanordnung, insbesondere eine Sicherheitssteuereinheit eines Kraftfahrzeugs, zur redundanten Signalverarbeitung für sicherheitsrelevante Anwendungen mit mindestens einem Mikrocontroller (10) mit mindestens einem Peripheriebaustein (12) zur Verarbeitung von mindestens einem Empfangssignal (6) mindestens eines Sensors (4), gekennzeichnet durch
mindestens ein Eingangsschaltkreis (14), welcher derart ausgestaltet ist, um ein Eingangssignal (6) der Schaltungsanordnung
(2) in ein Prüfsignal (16) zu konvertieren, wobei sich das Prüfsignal (16) von dem Eingangssignal (6) unterscheidet und
mindestens ein weiterer Peripheriebaustein (18) des Mikrocontrollers (10), welcher derart ausgestaltet ist, um in dem Prüfsignal (16) enthaltene Sen- sorinformationen zu verarbeiten, wobei die Verarbeitung der Sensorinformationen des Eingangssignals (6) in einem Peripheriebaustein (12) des MikroControllers (10) und die Verarbeitung des Prüfsignals (16) in einem weiteren Peripheriebaustein (18) des MikroControllers (10) voneinander unabhängig redundant durchgeführt werden.
3. Elektronische Schaltungsanordnung nach Anspruch 2,
dadurch gekennzeichnet, dass
die Peripheriebausteine (12, 18) des MikroControllers (10) zur redundanten Signalverarbeitung voneinander verschiedene Softwaremodule mit unterschiedlichen Softwaretreibern aufweisen.
4. Elektronische Schaltungsanordnung nach Anspruch 2 oder 3,
dadurch gekennzeichnet, dass
der Eingangsschaltkreis (14), welcher das Eingangssignal (6) in ein analoges Prüfsignal (16) konvertiert, ein Tiefpassfilter ist, falls das Eingangssignal (6) ein pulsweitenmoduliertes Signal ist oder
der Eingangsschaltkreis (14), welcher das Eingangssignal (6) in ein pulsweitenmoduliertes Prüfsignal (16) konvertiert, einen spannungsgesteuerten Oszillator (VCO) aufweist, falls das Eingangssignal (6) ein analoges Span- nungs- oder Stromsignal ist.
5. Elektronische Schaltungsanordnung nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass
bei signifikanten Abweichungen zwischen dem redundant verarbeiteten Sensorinformationen des Eingangssignals (6) und des Prüfsignals (16), die von den abweichenden Daten betroffene Regelsysteme in einen sicheren Betriebsmodus überführt werden.
6. Kraftfahrzeug bremssystem
gekennzeichnet durch
Mittel zum Durchführen der Schritte eines Verfahrens nach Anspruch 1 und/oder
mindestens eine elektronische Schaltungsanordnung (2) nach einem der Ansprüche 2 bis 5.
7. Kraftfahrzeug mit einer elektronischen Schaltungsanordnung (2), insbesondere einer Sicherheitssteuereinheit, nach einem der Ansprüche 2 bis 5 und/oder
ein Kraftfahrzeugbremssystem nach Anspruch 6 und/oder
Mittel zum Durchführen der Schritte eines Verfahrens nach Anspruch 1.
8. Verwendung einer elektronischen Schaltungsanordnung (2) zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, dadurch gekennzeichnet, dass
die elektronische Schaltungsanordnung (2) nach einem der Ansprüche 2 bis 5 ausgebildet ist oder
die elektronische Schaltungsanordnung (2) zur redundanten Signalverarbeitung in einem Kraftfahrzeugbremssystem gemäß Anspruch 6 und/oder in einem Kraftfahrzeug gemäß Anspruch 7 eingesetzt wird.
PCT/EP2014/001666 2013-07-26 2014-06-18 Verfahren und elektronische schaltungsanordnung zur redundanten signalverarbeitung einer sicherheitsrelevanten anwendung, kraftfahrzeugbremssystem und kraftfahrzeug damit sowie verwendung einer derartigen elektronischen schaltungsanordnung Ceased WO2015010756A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
KR1020167003945A KR20160037939A (ko) 2013-07-26 2014-06-18 안전-관련 적용의 리던던트 신호 처리를 위한 방법 및 전자 회로 장치, 차량 브레이크 시스템 및 이러한 차량 브레이크 시스템을 갖는 차량, 그리고 이러한 전자 회로 장치의 사용
CN201480041968.7A CN105555624B (zh) 2013-07-26 2014-06-18 冗余信号处理的方法和电子电路装置及其用途、机动车及其制动系统
US14/904,968 US10053079B2 (en) 2013-07-26 2014-06-18 Redundant signal processing of a safety-relevant application
JP2016528367A JP2016529610A (ja) 2013-07-26 2014-06-18 安全に関連するアプリケーションの冗長な信号処理のための方法及び電子回路装置、自動車ブレーキシステム及び自動車ブレーキシステムを有する自動車並びにこのような電子回路装置の使用
EP14733999.8A EP3024707A1 (de) 2013-07-26 2014-06-18 Verfahren und elektronische schaltungsanordnung zur redundanten signalverarbeitung einer sicherheitsrelevanten anwendung, kraftfahrzeugbremssystem und kraftfahrzeug damit sowie verwendung einer derartigen elektronischen schaltungsanordnung

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102013012497.2A DE102013012497A1 (de) 2013-07-26 2013-07-26 Verfahren und elektronische Schaltungsanordnung zur redundanten Signalverarbeitung einer sicherheitsrelevanten Anwendung, Kraftfahrzeugbremssystem und Kraftfahrzeug damit sowie Verwendung einer derartigen elektronischen Schaltungsanordnung
DE102013012497.2 2013-07-26

Publications (1)

Publication Number Publication Date
WO2015010756A1 true WO2015010756A1 (de) 2015-01-29

Family

ID=51033118

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2014/001666 Ceased WO2015010756A1 (de) 2013-07-26 2014-06-18 Verfahren und elektronische schaltungsanordnung zur redundanten signalverarbeitung einer sicherheitsrelevanten anwendung, kraftfahrzeugbremssystem und kraftfahrzeug damit sowie verwendung einer derartigen elektronischen schaltungsanordnung

Country Status (7)

Country Link
US (1) US10053079B2 (de)
EP (1) EP3024707A1 (de)
JP (1) JP2016529610A (de)
KR (1) KR20160037939A (de)
CN (1) CN105555624B (de)
DE (1) DE102013012497A1 (de)
WO (1) WO2015010756A1 (de)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015114211A1 (de) * 2015-08-27 2017-03-02 Endress + Hauser Gmbh + Co. Kg Sensorschaltung zum Auswerten eines Sensorsignals
DE102015217386A1 (de) * 2015-09-11 2017-03-16 Robert Bosch Gmbh Verfahren und System zum Betreiben eines Kraftfahrzeugs
CN109901547B (zh) * 2017-12-11 2021-07-16 中车永济电机有限公司 一种车辆管理控制vcu柜
DE102018220065A1 (de) * 2018-11-22 2020-05-28 Robert Bosch Gmbh Betriebsverfahren für eine redundante Sensoranordnung eines Fahrzeugsystems und korrespondierende redundante Sensoranordnung
US11385632B2 (en) * 2018-12-21 2022-07-12 The Boeing Company Sensor fault detection and identification using residual failure pattern recognition
DE102019129305A1 (de) 2019-10-30 2021-05-06 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schaltvorrichtung für ein Bremssystem für ein Fahrzeug, Bremssystem mit einer Schaltvorrichtung und Verfahren zum Betreiben einer Schaltvorrichtung
EP3822134B1 (de) * 2019-11-18 2021-12-29 KNORR-BREMSE Systeme für Nutzfahrzeuge GmbH Bremssystem für ein kraftfahrzeug und anhängersteuerungsmodul
CN114115055A (zh) * 2021-11-30 2022-03-01 重庆川仪自动化股份有限公司 用于符合电动执行机构功能安全的冗余控制系统及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3234637C2 (de) 1982-09-18 1990-10-18 Alfred Teves Gmbh, 6000 Frankfurt, De
DE102006017302A1 (de) * 2006-04-12 2007-10-18 Siemens Ag Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
GB2451559A (en) * 2007-07-27 2009-02-04 Bosch Gmbh Robert Electrically operated brake having brake sensor fail safety
US20120221897A1 (en) * 2010-08-03 2012-08-30 Siemens Aktiengesellschaft Method and Device for Performing Failsafe Hardware-Independent Floating-Point Arithmetic
DE102011122776A1 (de) * 2011-07-21 2013-01-24 Daimler Ag Bremsanlage für ein Kraftfahrzeug

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2841602B2 (ja) * 1989-12-28 1998-12-24 住友電気工業株式会社 多重系制御回路
DE4341082A1 (de) * 1993-12-02 1995-06-08 Teves Gmbh Alfred Schaltungsanordnung für sicherheitskritische Regelungssysteme
DE19716197A1 (de) * 1997-04-18 1998-10-22 Itt Mfg Enterprises Inc Mikroprozessorsystem für sicherheitskritische Regelungen
DE10056129A1 (de) * 2000-11-13 2002-05-23 Zf Lenksysteme Gmbh Steuerungssystem für ein Stellglied in einem Kraftfahrzeug
DE10162689A1 (de) * 2001-01-12 2002-07-18 Daimler Chrysler Ag Vorrichtung zur Überwachung von in einem Fahrzeug angeordneten Sensormitteln
DE10325650A1 (de) * 2003-06-06 2004-12-23 Daimlerchrysler Ag Bremsvorrichtung und -verfahren für ein Fahrzeug
DE102005005995A1 (de) 2004-02-23 2006-06-22 Continental Teves Ag & Co. Ohg Verfahren und Vorrichtung zum Überwachen von Signalverarbeitungseinheiten für Sensoren
JP2008116339A (ja) * 2006-11-06 2008-05-22 Denso Corp センサ装置およびセンサ装置を備えた車両制御システム
DE102006053617A1 (de) * 2006-11-14 2008-05-15 Siemens Ag System zur Aktorsteuerung, insbesondere Bremssystem
EP2269003B1 (de) * 2008-04-21 2018-01-24 Bombardier Inc. Überwachung der integrität einer internen referenzeinheit
DE102010006061A1 (de) * 2010-01-28 2011-08-18 Daimler AG, 70327 Verfahren und Vorrichtung zur Erzeugung eines Bremslichtausgangssignals einer Bremsanlage für ein Fahrzeug
US9375250B2 (en) * 2012-04-09 2016-06-28 Covidien Lp Method for employing single fault safe redundant signals
US8868989B2 (en) * 2012-07-12 2014-10-21 Freescale Semiconductor, Inc. System for testing error detection circuits

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3234637C2 (de) 1982-09-18 1990-10-18 Alfred Teves Gmbh, 6000 Frankfurt, De
DE102006017302A1 (de) * 2006-04-12 2007-10-18 Siemens Ag Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
GB2451559A (en) * 2007-07-27 2009-02-04 Bosch Gmbh Robert Electrically operated brake having brake sensor fail safety
US20120221897A1 (en) * 2010-08-03 2012-08-30 Siemens Aktiengesellschaft Method and Device for Performing Failsafe Hardware-Independent Floating-Point Arithmetic
DE102011122776A1 (de) * 2011-07-21 2013-01-24 Daimler Ag Bremsanlage für ein Kraftfahrzeug

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
EGAS WORKGROUP: "Standardized E-Gas Monitoring Concept for Gasoline and Diesel Engine Control Units Standardized E-GAS Monitoring Concept for Gasoline and Diesel Engine Control Units", IAV WEB PAGES, 5 July 2013 (2013-07-05), XP055136967 *

Also Published As

Publication number Publication date
US10053079B2 (en) 2018-08-21
CN105555624A (zh) 2016-05-04
KR20160037939A (ko) 2016-04-06
JP2016529610A (ja) 2016-09-23
CN105555624B (zh) 2020-04-03
US20160144844A1 (en) 2016-05-26
EP3024707A1 (de) 2016-06-01
DE102013012497A1 (de) 2015-01-29

Similar Documents

Publication Publication Date Title
EP3024707A1 (de) Verfahren und elektronische schaltungsanordnung zur redundanten signalverarbeitung einer sicherheitsrelevanten anwendung, kraftfahrzeugbremssystem und kraftfahrzeug damit sowie verwendung einer derartigen elektronischen schaltungsanordnung
EP3201894B1 (de) Vorrichtung zum senden und empfangen eines sensorsignals
DE19829126A1 (de) Elektromechanisches Bremssystem
DE102018107452B4 (de) ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102009019792A1 (de) Steuersystem zum sicheren Betreiben von mindestens einer Funktionskomponente
DE102012021564B4 (de) Vorrichtung und Verfahren zum teil-, hoch- oder vollautomatischen Führen eines Kraftfahrzeuges
DE102018107448A1 (de) ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung mit mehreren Bewertungsteilvorrichtungen für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102016220197A1 (de) Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug
DE102018107449A1 (de) ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102018107446A1 (de) ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung mit einer Einspeisevorrichtung und mehreren Bewertungsteilvorrichtungen für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
WO2008014940A1 (de) Steuergerät und verfahren zur steuerung von funktionen
DE102018220605B4 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
DE102006017302B4 (de) Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
EP1506616A1 (de) Elektronische schaltungsanordnung zur fehlerabgesicherten analog-/digital-umwandlung von signalen
DE102010051873A1 (de) Integrierte Schaltungsanordnung und Verfahren zur Signalüberwachung
EP1034104A1 (de) Elektromechanisches bremssystem
DE102010006061A1 (de) Verfahren und Vorrichtung zur Erzeugung eines Bremslichtausgangssignals einer Bremsanlage für ein Fahrzeug
DE10007008B4 (de) Verfahren zur Überwachung einer Datenverarbeitungseinrichtung
DE102007062974B4 (de) Signalverarbeitungsvorrichtung
EP1904343B1 (de) Elektronische vorrichtung
DE102015215847B3 (de) Vorrichtung und Verfahren zur Erhöhung der funktionalen Sicherheit in einem Fahrzeug.
DE102016224580B3 (de) Prüfverfahren für einen Betätigungsschalter einer Funktionseinheit eines Kraftfahrzeugs
WO2021078660A1 (de) Auswertevorrichtung zur fehlertoleranten auswertung von sensorsignalen für ein motorsteuergerät einer kraftfahrzeuglenkung und kraftfahrzeuglenkung
DE102018203887B4 (de) Steuergerät für ein Mehrspannungsbordnetz eines Fahrzeugs und Mehrspannungsbordnetz
DE102016222628A1 (de) Sensoranordnung mit einem Sensor zum redundanten Erfassen einer Messgröße und ein elektrohydraulisches Bremssystem mit einer solchen Sensoranordnung

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 201480041968.7

Country of ref document: CN

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14733999

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2014733999

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 14904968

Country of ref document: US

ENP Entry into the national phase

Ref document number: 2016528367

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 20167003945

Country of ref document: KR

Kind code of ref document: A