EP1529253A1 - Method and device for controlling operational processes, especially in a vehicle - Google Patents

Method and device for controlling operational processes, especially in a vehicle

Info

Publication number
EP1529253A1
EP1529253A1 EP03790637A EP03790637A EP1529253A1 EP 1529253 A1 EP1529253 A1 EP 1529253A1 EP 03790637 A EP03790637 A EP 03790637A EP 03790637 A EP03790637 A EP 03790637A EP 1529253 A1 EP1529253 A1 EP 1529253A1
Authority
EP
European Patent Office
Prior art keywords
unit
functional unit
error
wda
error signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP03790637A
Other languages
German (de)
French (fr)
Inventor
Stefan Keller
Wolfgang Haag
Margit Mueller
Reinhard Pfeufer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of EP1529253A1 publication Critical patent/EP1529253A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40032Details regarding a bus interface enhancer
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/413Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection (CSMA-CD)
    • H04L12/4135Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection (CSMA-CD) using bit-wise arbitration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Definitions

  • the present invention relates to a method for controlling and / or regulating operating sequences, in particular in a vehicle.
  • a functional unit for sending and receiving information about at least one connection unit with at least one bus system.
  • the functional unit is monitored by a monitoring unit, the sending of information from the functional unit via the at least one bus system is prevented by the monitoring unit if an error in the functional unit is detected.
  • the invention also relates to a device for controlling and / or regulating operating processes, in particular in a vehicle.
  • the device comprises at least one functional unit which is used to send and receive information about at least one
  • Connection unit is connected to at least one bus system.
  • the device comprises at least one monitoring unit which monitors the functional unit.
  • the present invention also relates to a control device for controlling and / or leveling vcn
  • the control device comprises a functional unit, which stands for sending and receiving information about at least one connection unit with at least one Buss / sfer ⁇ connection, and a monitoring unit, which monitors the functional unit.
  • the monitoring unit prevents the sending of information from the functional unit via the at least one bus system if it detects an error in the functional unit.
  • the error detection device is connected to the data line and comprises electrical switching elements in order to be able to disconnect the data line in the event of an error.
  • this presupposes that switching elements must be arranged in every data line with which the electronic device is connected and which is to be disconnected in the event of a fault.
  • the functional monitoring of the functional unit by the monitoring unit can be activated or deactivated by the functional unit using a switching element.
  • the switching element can be implemented, for example, by setting or deleting a bit.
  • the monitoring function is activated, the functional unit is separated from the bus system by access.
  • the monitoring unit controls a further switching element through which the connection from the functional unit to the
  • Bus system is interrupted. Problematic demonstration 1 " ⁇ Also here is that also separate switching elements must be provided in the connection between the functional unit and the bus system to be able to detach the functional unit in case of failure of the bus system.
  • Monitoring concepts for functional units are also known from the prior art, in which the monitoring unit issues a peset in the event of an error auslost. As a result of the reset, the functional unit starts up again and then reaches its 3et ⁇ lebsz stand. If the error of the functional unit persists after we, the monitoring unit only recognizes the error again in the operating state and only then triggers a reset of the functional unit.
  • the sending of information from the functional unit via the B ⁇ _ss si, e ⁇ > is only briefly prevented during the reset state, since only in this state are the input / output connection positions (so-called ports) of the functional unit inactive. In the known method, a faulty functional unit can therefore send possibly incorrect information via the bus system, although the monitoring unit has detected an error in the functional unit. This can lead to safety-relevant situations when controlling the operational processes.
  • the present invention is based on the object of securely and reliably preventing the sending of information from the functional unit via the bus system and in a simple manner.
  • the present invention based on the method of the type mentioned at the outset, proposes that the monitoring unit emits an error signal which, depending on whether it detects an error in the functional unit or not, and that the error signal is present of the at least one connection unit and the at least one connection unit is deactivated by the error signal present if an error in the functional unit has been detected.
  • the method according to the invention does not trigger a peset in the event of a detected fault in the functional unit, but simply shuts off an erb ⁇ ndungsej.nne ⁇ t which is arranged between the functional unit and the bus system.
  • the connection unit is designed, for example, as a signal amplification device, in particular as a bus driver circuit of the bus system (so-called bus driver).
  • the bus driver circuit is used in particular to amplify a bus signal generated by a bus controller (so-called bus controller) before it is transmitted via the bus system, and to adapt the signal without feedback. So according to the invention
  • Functional unit itself in an operational state and can still generate information. However, this information can no longer be transmitted via the bus system, since the connection unit required for sending information has been deactivated.
  • the method according to the invention prevents other functional units which are connected to the faulty functional unit in a simple manner.
  • a faulty functional unit can therefore not send potentially incorrect or undesired information about the bus system in the event of a fault.
  • intrinsically safe single stones are connected in a network.
  • the sending of information by the functional unit without the use of additional switching elements between the functional unit and the bus system or in the bus system itself is secure can be reliably prevented.
  • the sending information permanently prevented by the functional unit which has the advantage over a reset function unit that the faulty Fun>'t ⁇ onse ⁇ nne_t no ⁇ can. If the errors of the functional unit allow it, it still works normally, ie it still generates information for the control and / or regulation of the operating processes, although this information can be incorrect. However, this information cannot be transmitted via the bus system. Through the continued operation of the functional unit, it is also possible to continue to monitor the functional unit in the event of an error and the sending of information by the
  • the reason for the necessary prevention of the wasting of information by the functional unit in the event of a fault is that a faulty functional unit may no longer have control over itself and over the correct generation of information to be sent, and also because of its own mistake can switch off reliably and safely. Due to a defective functional unit in a network, in which several functional units are connected to one another via a bus system, there is a risk that the other receiving functional units on the bus system will be sent by the faulty transmitter
  • Functional unit receive incorrect information and this causes unwanted actions to be carried out. These actions, which are triggered by incorrect information, can also have a safety-related effect on the operating processes to be controlled.
  • Motor vehicle control units could, for example, use a control unit for the internal combustion engine in the event of a fault
  • the error signal be applied to a reset input of the at least one connection unit.
  • the puck set input is also referred to as a reset input.
  • the connection unit can be deactivated by the error signal present at the reset input.
  • the invention proposes that the functional unit be connected to several bus systems and that the error signal be applied to connecting units of several of the bus systems.
  • the advantage of the present invention that the sending of information by a faulty functional unit can be prevented safely and reliably without the use of additional hardware, such as, for example, additional switching elements for interrupting the connection between the faulty functional unit and the bus system, is particularly evident when the faulty function is not only connected to one but to several bus systems, via which information can be sent to other function units.
  • the fault signal is the Ubeiw ⁇ L led to the connection units.
  • Bus systems that are only used to transfer information from non-safety-related operations do not necessarily have to be switched off in the event of an error in the functional unit.
  • the error signal be applied to output stages of components ⁇ / ⁇ rcl whose
  • Operating processes are controlled or regulated by the faulty functional unit.
  • These components are, for example, output stages of ignition, injection and / or throttle valve of an internal combustion engine.
  • the aim of this measure is to bring the internal combustion engine to a safe standstill in the event of a fault in the controlling or regulating functional unit.
  • Functional unit is further monitored by the monitoring unit and the at least one connection unit is reactivated if a proper function of the functional unit was detected. This reactivation of the connection units is possible at any time in the present invention. In the prior art, where a reset of the defective functional unit is carried out in the event of an error, it was only possible for the functional unit to function properly after the reset and startup of the
  • Functional unit can be recognized. With the present invention it is therefore possible not only to ensure the security of a network which comprises a plurality of functional units which are connected to one another via a bus system, but also the availability of the
  • Metzwerkverbundes be improved, since the proper functioning of a functional unit can be recognized particularly quickly.
  • the invention proposes that the monitoring unit have means for forming and outputting an error signal which assumes different values depending on whether the monitoring unit has recognized an error in the functional unit or not, and that the error signal is sent to the at least one connection unit is guided and the at least one connection unit can be deactivated by the error signal present if an error in the functional unit has been detected.
  • the device corresponds, for example, to a network which comprises a plurality of functional units which are connected to one another via a bus system.
  • the error signal be routed to an enable / disable input of the at least one connection unit.
  • the error signal be passed to a reset input of the at least one connection unit.
  • the device advantageously comprises a plurality of functional units which are connected to one another via a bus system and at least one monitoring unit, the monitoring unit being used to send
  • Such a device corresponds to the so-more multi-control device concept that has recently been increasingly used in motor vehicles, in which several control devices are used in parallel with one another to increase the computing power, the individual control device sometimes controlling a specific part of the operating processes.
  • an 8-zylmdr_gen Bren V-irafzmasc'nme used a first control device to control four of the cylinders and a second control device to control the remaining four cylinders.
  • the two control units are connected to each other via a bus system.
  • Information about the operating state of the internal combustion engine or the motor vehicle is only supplied to the first control device, which then forwards the information to the second control device via the bus system. If the monitoring unit of the first control unit detects an error in the control unit, it deactivates the connection unit of the bus system to the second control unit in order to prevent the first control unit from sending incorrect information to the second control unit and the second control unit to send the remaining four
  • the monitoring unit have means for forming and outputting an error signal which, depending on the situation, assumes different values as to whether the monitoring unit detects an error in the functional unit has or not, and that the error signal is fed to the at least one connection unit and the at least one connection unit can be deactivated by the applied error signal if an error in the functional unit was detected.
  • FIG. 1 shows a control device according to the invention in accordance with a preferred embodiment of FIG.
  • FIG. 2 shows a device according to the invention comprising two control devices according to the invention, which are connected to one another via a bus system, and
  • a control device SG according to the invention is designated in its entirety by reference number 1.
  • the control device 1 is used, for example, to control and / or regulate the operating sequences of a motor vehicle.
  • a control device 1 " 1 is used to control 1 g 1
  • control devices S ⁇ for example for a transmission control, a driving lanyard control, a traction control system (ASP), and an automatic one
  • the bus system 2 is designed, for example, as a CAM (Controller Area Network).
  • the control device 1 comprises a function computer FR 3, which is designed, for example, as a microprocessor or as a microcontroller.
  • a computer program is executable on the function computer 3, which is used to fill the control and / or regulating function of the control device 1.
  • the function computer 3 is connected to the bus system 2 for sending and receiving information via a connection unit 4.
  • the connection unit 4 is used as a hardware interface between a controller and an external control device transmission bus with signal amplification direction, in particular as a bus driver circuit, e.g. B. designed as a CAN driver for a CAN bus system.
  • the CAN driver 4 is also referred to as a CAM driver.
  • Computer programs for fulfilling the control and / or leveling function of the control device 1 are first transmitted via a data bus 5 to a CAN controller 6, which is also referred to as a CAN controller.
  • a CAN controller 6 the information generated by the function computer 3 is converted into a Protocol corresponding form georacnt and for cue transmission via the CAM bus system. 2 prepared.
  • the signals must be adapted to the electrical properties on the CALL bus. For this, the processed ones
  • the independent hardware is assigned to the function computer 3.
  • the independent hardware is referred to as the UM 8 monitoring module.
  • the monitoring module 8 cyclically asks the function computer 3 various questions which run through extensive control mechanisms in the function computer 3, such as program sequence checks or command tests, and form a result. The result is transmitted back to the monitoring module 8 in response to the question.
  • a function computer 3 working without errors returns the correct answer within a predeterminable time window. By evaluating the response, the monitoring module 8 determines whether there is an error in the function computer 3 or not.
  • the described monitoring concept of the functional computer 3 by the monitoring module 8 is also used as a question-answer
  • Communication means Communication between the monitoring module 8 and the function computer 2 takes place via an SPI (Serial Parallel Interface) interface 9.
  • SPI Serial Parallel Interface
  • an error signal WDA is generated in the monitoring module, which takes on different values depending on whether an error of the function computer 3 has been detected or not.
  • An error payer is preferably incorrect if an error of the function computer 3 was detected.
  • the error signal WDA is only output when the error payer has exceeded a threshold value.
  • the error signal WDA is applied via a signal line 10 to output stages El to EN of motor vehicle components Kl to r'.n, which are controlled by the control device 1 for controlling and / or regulating the operating processes.
  • the control device 1 for controlling and / or regulating the operating processes.
  • these are the output stages for ignition, injection and / or throttle valve.
  • WDA is used to bring the internal combustion engine to a safe standstill and to avoid safety-relevant situations.
  • the error signal WDA is also applied to a reset input RST of the CAM driver 4.
  • the CAN driver 4 is deactivated by the applied error signal WDA if an error in the function computer 3 has been detected. As a result, the sending of information by a defective function computer 3 via the CAN
  • Bus system 2 is reliably, effectively and, above all, permanently prevented for the entire duration of the fault of the function computer 3. As a result, the possibly faulty information is also sent to others by the faulty function computer 3 via the CAM bus system 2
  • the control device 1 thus represents an intrinsically safe own system in a control device group. It fulfills the regulations for control devices in a control device group, namely that each control device 1 bears the responsibility for the information it sends itself.
  • Another advantage of the present invention is that a faulty function computer 3 continues to work normally and continues to determine - possibly incorrectly - information for controlling the operational processes.
  • the monitoring module 8 can thus, even after the detection of an error of the function computer 3, the functionality of the
  • Control unit network can affect. As soon as the monitoring module 8 detects that the function computer 2 is functioning properly, the CAN driver 4 can be reactivated, so that the control unit 1 can work normally again. It is advantageous with the present invention that a proper function of the function computer 3 can be recognized without a long time delay.
  • Another advantage of the invention can be seen in the fact that the sending of information by a faulty function computer 3 in a simple manner and without additional hardware, for example without additional switching elements which are introduced into the CAN bus system 2 and are opened in the event of an error to separate the function computer 3 from the CAN bus system 2 can be prevented.
  • a two control device concept is shown, in which two control devices SGI, SG2 are used to control certain operating processes.
  • the two control units are SGI, SGZ. used to control the operational sequences in a 12-cylinder internal combustion engine BM 11. This controls first control unit SGI the first six cylinders ZiL 12 and the second control unit SG2 the remaining six cylinders Z ⁇ L 13.
  • the first control unit SGI receives information S about the driver's request (position of the accelerator pedal) and / or about the operating state of the internal combustion engine 11 and the
  • the two control devices SGI and SG2 are connected to one another via a CAM bus system 2.
  • the second control unit SG2 receives 2 setpoint values (e.g. the driver's request) from the first control unit SGI via the CAN bus system.
  • setpoint values e.g. the driver's request
  • the sending of information by the function computer FR1 via the CAN bus system 2 is prevented by the monitoring unit UM1.
  • the error signal WDA of the monitoring module UM1 is applied to a reset input RST of the CAN driver 4.
  • control unit SG2 can recognize a defect in the SGI and activate corresponding replacement measures or error reactions in the SG2.
  • FIGS. 3a to 3f show the courses of various control device states and control device sizes over the 2 t L.
  • the status of an error counter of the monitoring module 8 is shown in FIG. 3a. This increases at the beginning from zero to above a threshold value "W. As soon as the error payer exceeds the threshold value SW, an error response ⁇ is triggered at time tj. This means that the error signal WDA assumes a corresponding value. As values of the error signal WDA are particularly HIGH or LOW.
  • the m the figures 3b, 3c and 3c! represented course correspond to the state of the art. 3b shows the course of a peset signal which, according to the prior art, is applied by the monitoring module UM 8 to a reset input of the function computer FR 3.
  • control unit SG em Before triggering the error reaction at time ti, control unit SG em runs through normal driving program A. Then, after time ti, a fixed status B is connected. Thereafter, the control unit SG goes through an initialization phase C and then changes again to the normal driving program A.
  • the monitoring module UM carries out question-answer communication with the function computer FR to be monitored and recognizes at a time t_ that the Function calculator FP error still present.
  • the previously described states Reset B, Initialization C and Drive Program A are also included Go through twcrt communication D. 13
  • FIGS. 3e and 3f show the signal and state profiles of the control device 1 according to the invention.
  • 3e clearly shows that the CAN signal is blocked for the duration of the error immediately after the error reaction at time ti * "F ⁇ - Functional computer 3 is after the error reaction in a normal driving program A, during which a Question-answer communication D is carried out cyclically and the output stages are in the deactivated state via the WDA signal (E) .
  • the information determined by the function computer 3 is not transmitted via the CAN bus system 2 because the CAN driver 4 is deactivated and the CAN signal is thus blocked.
  • the present invention the
  • Functional computer 3 does not take place during the reset B and initialization C states. As a result, the proper functioning of the function computer 3 can be recognized earlier in the present invention than in the prior art.

Abstract

The invention relates to a method and a device for controlling operational processes, especially in a vehicle. The invention also relates to a functional unit (3) for transmitting and receiving information via at least one connecting unit (4) having at least one bus system (2). The functional unit (3) is monitored by a monitoring unit (8). The transmission of information from the functional unit (3) via the at least one bus system (2) is stopped by the monitoring unit (8) when an error is detected in the functional unit (3). According to the invention, in order to stop the transmission of information in a failure mode via the functional unit (8) in a simple but nonetheless safe and reliable manner, an error signal (WDA) is emitted by the monitoring unit (8) which assumes various values according to whether an error of the functional unit (3) is recognised or not and the error signal (WDA) is applied to the at least one connecting unit (4) and the at least one connecting unit (4) is deactivated by the applied error signal (WDA) when an error of the function unit (3) is recognised.

Description

Verfahren und Vorrichtung zur Steuerung vonMethod and device for controlling
Bet iebsablaufen, insbesondere n einem FahrzeugOperational procedures, especially in a vehicle
Die vorliegende Erfindung betrifft ein Verfahren zur Steuerung und/oder Regelung von Betriebsablaufen, insbesondere in einem Fahrzeug. Dabei steht eine Funktionseinheit zum Versenden und Empfangen von Informationen über mindestens eine Verbindungseinheit mit mindestens einem Bussystem m Verbindung. Die Funktionseinheit wird von einer Überwachungseinheit überwacht, das Versenden vor Informationen von der Funktionseinheit über das mindestens eine Bussystem wird durch die Uberwachungseinheit unterbunden, falls ein Fehler der Funktionseinheit erkannt wird.The present invention relates to a method for controlling and / or regulating operating sequences, in particular in a vehicle. There is a functional unit for sending and receiving information about at least one connection unit with at least one bus system. The functional unit is monitored by a monitoring unit, the sending of information from the functional unit via the at least one bus system is prevented by the monitoring unit if an error in the functional unit is detected.
D e Erfindung betrifft außerdem eine Vorrichtung zur Steuerung und/oder Regelung von Betriebsablaufen, insbesondere m einem Fahrzeug. Die Vorrichtung umfasst mindestens eine Funktionseinheit, welche zum Versenden und Empfangen von Informationen über mindestens eineThe invention also relates to a device for controlling and / or regulating operating processes, in particular in a vehicle. The device comprises at least one functional unit which is used to send and receive information about at least one
Verbindungseinheit mit mindestens einem Bussystem in Verbindung steht. Außerdem urnfasst die Vorrichtung mindestens e ne Uberwachungseinheit, welche die Funktionseinheit überwacht. Die Uberwachungseinheit unterbindet das Versenden von Informationen von d-=τ Funktionseinheit über das mindestens eine Bussystem, falls sie einen Fehler αer Funktionsemneit ernennt.Connection unit is connected to at least one bus system. In addition, the device comprises at least one monitoring unit which monitors the functional unit. The monitoring unit prevents the sending of information from d- = τ Functional unit via the at least one bus system if it names an error in the functional unit.
Scnließl ch betrifft die vorliegende Erfindung auch ein Steuerger t zur Steuerung und/oder Pegelung vcnThe present invention also relates to a control device for controlling and / or leveling vcn
Betriebsablaufen insbesondere in einem Fahrzeug. Das Steuergerat umfasst eine Funktionseinheit, welche zum Versenden und Empfangen von Informationen über mindestens eine Verbindungseinheit mit mindestens einem Büss/sfer ^ Verbindung steht, und eine Uberwachungseinheit, welche die Funktionseinheit überwacht. Die Uberwachungseinheit unterbindet das Versenden von Informationen von der Funktionseinheit über das mindestens eine Bussystem, falls sie einen Fehler der Funktionseinheit erkennt.Operations in particular in a vehicle. The control device comprises a functional unit, which stands for sending and receiving information about at least one connection unit with at least one Buss / sfer ^ connection, and a monitoring unit, which monitors the functional unit. The monitoring unit prevents the sending of information from the functional unit via the at least one bus system if it detects an error in the functional unit.
Stand der TechnikState of the art
Aus der DE 198 33 462 AI ist e ne Schaltungsanordnung zur Abkopplung einer elektronischen Einrichtung von einer Datenleitung in einem Kraftfahrzeug bekannt. Uh<=r ια Datenleitung tauschen die elektronische Einrichtung und mindestens ein weiteres elektrisches System wahrend des Betriebs der elektronischen Einrichtung Informationen aus. Bei der Schaltungsanordnung, bei welcher trotz Ausfall einer an die Datenleitung angeschlossenen elektronischen Einrichtung der Fahrzeugbetrieb auf echterhalten weiden kann, ist die elektronische Einrichtung mit einer Fehlererkennungseinrichtung verbunden. Bei Feststellung eines Fehlers der elektronischen Einr chtupj !L. „h ;[_-_ Fehlererkennungseinrichtung wird die elektronische Einrichtung durch die Schaltungsanordnung von der Datenleitung abgekoppelt, wobei die Betπebsfahigkeit des elektrischen Systems aufrechterhalten bleibt. In der DE 198 33 462 AI geht es insbesondere um die Überwachung der Datenleitung und um die Erkennung von Fehlern der Datenleitung, welche die Funktionsfahigkeiz der an die Datenleitung angeschlossenen elektronischen Einrichtung beeinträchtigen können. Zum Abkoppeln der elektronischen Einrichtung von der Datenleitung im Fehlerfall ist die Fehlererkennungseinrichtung in die Datenleitung geschaltet und umfasst elektrische Schaltelemente, um die Datenleitung im Fehlerfall auftrennen zu können. Das setzt jedoch voraus, dass in jeder Datenleitung, mit der die elektronische Einrichtung in Verbindung steht und die im Fehlerfall aufgetrennt werden soll, Schaltelemente angeordnet sein müssen.From DE 198 33 462 AI e ne circuit arrangement for decoupling an electronic device from a data line in a motor vehicle is known. Uh <= r ι α data line, the electronic device and at least one further electrical system exchange information during the operation of the electronic device. In the circuit arrangement in which vehicle operation can be maintained despite the failure of an electronic device connected to the data line, the electronic device is connected to an error detection device. If a fault is found in the electronic device chtupj! L. The electronic device is decoupled from the data line by the circuit arrangement, the operability of the electrical system being maintained. DE 198 33 462 AI is particularly concerned with the monitoring of the data line and the detection of errors in the data line which can impair the functionality of the electronic device connected to the data line. To disconnect the electronic device from the data line in the event of an error, the error detection device is connected to the data line and comprises electrical switching elements in order to be able to disconnect the data line in the event of an error. However, this presupposes that switching elements must be arranged in every data line with which the electronic device is connected and which is to be disconnected in the event of a fault.
Aus der DE 100 30 996 AI ist ein Verfahren und eineDE 100 30 996 AI is a method and
Vorrichtung der eingangs genannten Art bekannt. Dort Wir vorgeschlagen, dass die Funktionsüberwachung der Funktionseinheit durch die Überwachungseinheit mittels eines Schaltelements durch die Funktionseinheit aktiviert bzw. deaktiviert werden kann. Das Ξchaltelement kann bspw. durch Setzen oder Loschen eines Bits realisiert we den. Bei aktivierter Uberwachungsfunktion wird die Funktionseinheit von dem Bussystem durch Zugriff getrennt. Dazu steuert die Uberwachungseinheit ein weiteres Schaltelement an, durch das die Verbindung von der Funktionseinheit zu demDevice of the type mentioned is known. There we proposed that the functional monitoring of the functional unit by the monitoring unit can be activated or deactivated by the functional unit using a switching element. The switching element can be implemented, for example, by setting or deleting a bit. When the monitoring function is activated, the functional unit is separated from the bus system by access. For this purpose, the monitoring unit controls a further switching element through which the connection from the functional unit to the
Bussystem unterbrochen wird. Als problematisch erweis1" ^ sich auch hier, dass ebenfalls gesonderte Schaltelemente in der Verbindung zwischen der Funktionseinheit und dem Bussystem vorgesehen sein müssen, um die Funktionseinheit im Fehlerfall von dem Bussystem abkoppeln zu können.Bus system is interrupted. Problematic demonstration 1 "^ Also here is that also separate switching elements must be provided in the connection between the functional unit and the bus system to be able to detach the functional unit in case of failure of the bus system.
Aus dem Stand der Technik sind zudem Uberwachungskonzepte für Funktionseinheiten, insbesondere für Kraftfahrsteuergerate, bekannt, bei denen die Uberwachungseinheit in einem Fehlerfall einen Peset auslost. Infolge des Reset fahrt die Funktionseinheit erneut hoch und erreicht danach ihren 3etι lebsz -.stand . Falls der Fehler der Funktionseinheit nach w e vor besteht, erkennt die Uberwachungseinheit den Fehler erst m dem Betriebs∑ustand erneut und lost erst dann wieder einen Reset der Funktionseinheit aus. Das Versenden von Informationen von der Funktionseinheit über das Bι_ss si,eτ> ist nur kurzzeitig wahrend des Reset-Zustandes unterbunden, da nur m diesem Zustand die Eιn-/Ausgangs- Anschlusspositionen (sog. Ports) der Funktionseinheit inaktiv sind. Bei dem bekannten Verfahren kann eine fehlerbehaftete Funktionseinheit also möglicherweise fehlerhaftete Informationen über das Bussystem versenden, obwohl die Uberwachungseinheit einen Fehler der Funktionseinheit detektiert hat. Dadurch kann es zu sicherheitsrelevanten Situationen bei der Steuerung der Betriebsablaufe kommen.Monitoring concepts for functional units, in particular for motor control devices, are also known from the prior art, in which the monitoring unit issues a peset in the event of an error auslost. As a result of the reset, the functional unit starts up again and then reaches its 3etι lebsz stand. If the error of the functional unit persists after we, the monitoring unit only recognizes the error again in the operating state and only then triggers a reset of the functional unit. The sending of information from the functional unit via the Bι_ss si, eτ> is only briefly prevented during the reset state, since only in this state are the input / output connection positions (so-called ports) of the functional unit inactive. In the known method, a faulty functional unit can therefore send possibly incorrect information via the bus system, although the monitoring unit has detected an error in the functional unit. This can lead to safety-relevant situations when controlling the operational processes.
Der vorliegenden Erfindung liegt die Aufgabe zugrunde, das Versenden von Informationen von der Funktionseinheit über das Bussystem sicher und zuverlässig und auf einfache Weise zu unterbinden.The present invention is based on the object of securely and reliably preventing the sending of information from the functional unit via the bus system and in a simple manner.
Zur Losung dieser Aufgabe schlagt die vorliegende Erfindung ausgehend von dem Verfahren der eingangs genannten Art vor, dass durch die Uberwachungseinheit ein Fehlersignal ausgegeben wird, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob ein Fehler der Funktionseinheit erkannt wurde oder nicht, und dass das Fehlersignal an der mindestens einen Verbindungseinheit angelegt und die mindestens eine Verbindungseinheit durch das anliegende Fehlersignal deaktiviert wird, falls ein Fehler der Funktionseinheit erkannt wurde. Vorteile der ErfindungTo solve this problem, the present invention, based on the method of the type mentioned at the outset, proposes that the monitoring unit emits an error signal which, depending on whether it detects an error in the functional unit or not, and that the error signal is present of the at least one connection unit and the at least one connection unit is deactivated by the error signal present if an error in the functional unit has been detected. Advantages of the invention
Durch das erfmdungsgemaße Verfahren wird bei einem erkannten Fehler der Funktionseinheit von der Uberwachungseinheit kein Peset ausgelost, sondern einfach eine erbιndungsej.nneιt , die zwischen αer Funktionsemnei und dem Bussystem angeordnet ist, abgeschaltet. Die Verbindungseinheit ist bspw. als eine Signalverstarkungsemrichtung, insbesondere als eine Bustreiberschaltung des Bussystems (sog. Bus-Driver), ausgebildet. Die Bustreiberschaltung dient insbesondere zur Verstärkung eines von einer Bussteuerung (sog. Bus- Controller) erzeugten Bussignal, bevor es über das Bussystem übertragen wird, sowie zur ruckwirkungsfreien Signalanpassung. Erfmdungsgemaß bleibt also dieThe method according to the invention does not trigger a peset in the event of a detected fault in the functional unit, but simply shuts off an erbιndungsej.nneιt which is arranged between the functional unit and the bus system. The connection unit is designed, for example, as a signal amplification device, in particular as a bus driver circuit of the bus system (so-called bus driver). The bus driver circuit is used in particular to amplify a bus signal generated by a bus controller (so-called bus controller) before it is transmitted via the bus system, and to adapt the signal without feedback. So according to the invention
Funktionseinheit an sich in einem betriebsfähigen Zustand und kann nach wie vor Informationen erzeugen. Diese Informationen können jedoch nicht mehr über das Bussystem übertragen werden, da die für das Versenden von Informationen erforderliche Verbindungseinheit deaktiviert wurde .Functional unit itself in an operational state and can still generate information. However, this information can no longer be transmitted via the bus system, since the connection unit required for sending information has been deactivated.
Durch das erfmdungsgemaße Verfahren wird eine Beeinträchtigung anderer Funktionseinheiten, die _.beι dar Bussystem mit der fehlerbehafteten Funktionseinheit in Verbindung stehen, auf einfache Weise verhindert. Eine fehlerbehaftete Funktionseinheit kann im Fehlerfall somit keine potentiell falschen oder nicht gewünschten Informationen über das Bussystem versenden. Dadurch eLysυ-ii sich eigensichere Einzels/steine in einem Netzwerk verbün .The method according to the invention prevents other functional units which are connected to the faulty functional unit in a simple manner. A faulty functional unit can therefore not send potentially incorrect or undesired information about the bus system in the event of a fault. As a result, intrinsically safe single stones are connected in a network.
Besonders vorteilhaft ist, dass das Versenden von Informationen durch die Funktionseinheit ohne den Einsatz zusätzlicher Schaltelemente zwischen der Funktionseinheit und dem Bussystem oder in dem Bussystem selbst sicher _ιn:l zuverlässig unterbunden werden kann. Außerdem ist mit der vorliegenden Erfindung das Versenden von Informationen durch die Funktionseinheit dauerhaft unterbunden, was gegenüber einem Reset der Funktionseinheit den vorteil hat, dass die fehlerhafte Fun>'tιonseιnne_t zu keiner ^-=._τ_j_u .r t Informationen mehr über das Bussystem versenden kann. Sofern es die Fehler der Funktionseinheit zulassen, arbeitet diese noch ganz normal, d. h. sie erzeugt noch Informationen zur Steuerung und/oder Regelung der Betriebsablaufe, wobei diese Informationen allerdings fehlerhaft sein können. Diese Informationen können jedoch nicht über das Bussystem übertragen werden. Durch den weiteren Betrieb der Funktionseinheit ist es möglich, aucn in einem Fehlerfall die Funktionseinheit weiterhin zu überwachen und das Versenden von Informationen durch dieIt is particularly advantageous that the sending of information by the functional unit without the use of additional switching elements between the functional unit and the bus system or in the bus system itself is secure can be reliably prevented. = ._ τ_ j _u .rt information more ship via the bus system - Furthermore, with the present invention, the sending information permanently prevented by the functional unit, which has the advantage over a reset function unit that the faulty Fun>'tιonseιnne_t no ^ can. If the errors of the functional unit allow it, it still works normally, ie it still generates information for the control and / or regulation of the operating processes, although this information can be incorrect. However, this information cannot be transmitted via the bus system. Through the continued operation of the functional unit, it is also possible to continue to monitor the functional unit in the event of an error and the sending of information by the
Funktionseinheit unmittelbar wieder zu erlauben, sobald der Fehler der Funktionseinheit nicht mehr auftritt.To allow the functional unit again as soon as the functional unit error no longer occurs.
Der Grund für das notwendige Unterbinden des Versenclens von Informationen durch die Funktionseinheit im Fehlerfall liegt darin, dass eine fehlerbehaf ete Funktionseinheit möglicherweise nicht mehr die Kontrolle über sich selbst und über die korrekte Erzeugung von zu versendenden Informationen hat und sich aufgrund des eigenen Fehlej s auch nicht zuverlässig und sicher abschalten kann. Durch eine defekte Funktionseinheit m einem Netzwerkverbund, m dem mehrere Funktionseinheiten über ein Bussystem miteinander in Verbindung stehen, besteht die Gefahr, dass die übrigen empfangerden Funktionseinheiten an den Bussystem von der fehlerbehäfteten sendendenThe reason for the necessary prevention of the wasting of information by the functional unit in the event of a fault is that a faulty functional unit may no longer have control over itself and over the correct generation of information to be sent, and also because of its own mistake can switch off reliably and safely. Due to a defective functional unit in a network, in which several functional units are connected to one another via a bus system, there is a risk that the other receiving functional units on the bus system will be sent by the faulty transmitter
Funktionseinheit fehlerhafte Informationen erhalten und dadurch veranlasst ungewollte Aktionen ausfuhren. Diese durch fehlerhafte Informationen ausgelosten Aktionen können sich auch sicherheitsrelevant auf die zu steuernden Betriebsablaufe auswirken. Am Beispiel von Kraftfahrzeugsteuergeraten konnte bspw. ein Steuergerat für die Brennkraftmaschine im Fehlerfall einFunctional unit receive incorrect information and this causes unwanted actions to be carried out. These actions, which are triggered by incorrect information, can also have a safety-related effect on the operating processes to be controlled. On the example of Motor vehicle control units could, for example, use a control unit for the internal combustion engine in the event of a fault
Getriebesteuergerat dazu veranlassen, in niedrigere Gange herunterzuschalten, wodurch das Fahrzeug in einer instabilen Fahrzustand gelangen konnte.Causing the transmission control unit to shift down into lower gears, which could result in the vehicle being in an unstable driving condition.
Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass das Fehlersignal an einen Rucksetzeingang der mindestens einen Verbindungseinheit angelegt wird. Der Pucksetzeingang wird auch als Reset-Emgang bezeichnet. In einem Fehlerfall kann die Verbindungseinheit durch das an dem Rucksetzeingang anliegende Fehlersignal deaktiviert werden.According to an advantageous development of the present invention, it is proposed that the error signal be applied to a reset input of the at least one connection unit. The puck set input is also referred to as a reset input. In the event of an error, the connection unit can be deactivated by the error signal present at the reset input.
Gemäß einer bevorzugten Ausfuhrungsform der vorliegendenAccording to a preferred embodiment of the present
Erfindung wird vorgeschlagen, class die Funktionseinheit mit mehreren Bussystemen in Verbindung steht und das Fehlersignal an Verbindungseinheiten mehrerer der Bussysteme angelegt wird. Der Vorteil der vorliegenden Erfindung, dass das Versenden von Informationen durch eine fehlerbehaftete Funktionseinheit ohne den Einsatz zusätzlicher Hardware, wie bspw. zusatzlicher Schaltelemente zum Unterbrechen der Verbindung zwischen fehlerbehafteter Funktionseinheit und Bussystem, sicher und zuverlässig unterbunden werden kann, kommt insbesondere dann zum Tragen, wenn die fehlerbehaftete Funktionsemoeit nicht nur mit einem, sondern mit mehreren Bussystemen in Verbindung steht, über die Informationen an andere Funktionseinheiten versandt werden können. Bei allen Bussystemen, die an die fehleroehaftete Funktionseinheit angeschlossen sind und die m einem Fehlerfall deaktiviere werden sollen, ist das Fehlersignal der Ubeiwα L an die Verbindungseinheiten gefuhrt. Bussysteme, die nur zur Übertragung von Informationen von nicht sicherheitsrelevanten Betriebsablaufen (z. B. von Komrortfunktionen) dienen, müssen in einem Fehlerfall der Funktionseinheit nicht unbedingt abgeschaltet werden.The invention proposes that the functional unit be connected to several bus systems and that the error signal be applied to connecting units of several of the bus systems. The advantage of the present invention that the sending of information by a faulty functional unit can be prevented safely and reliably without the use of additional hardware, such as, for example, additional switching elements for interrupting the connection between the faulty functional unit and the bus system, is particularly evident when the faulty function is not only connected to one but to several bus systems, via which information can be sent to other function units. In all bus systems that are connected to the faulty functional unit and that are to be deactivated in the event of a fault, the fault signal is the Ubeiwα L led to the connection units. Bus systems that are only used to transfer information from non-safety-related operations (e.g. from Comfort functions) do not necessarily have to be switched off in the event of an error in the functional unit.
Des weiteren wird vorgeschlagen, dass das Fehlersignal an Endstufen von Komponenten angelegt </ιrcl, derenFurthermore, it is proposed that the error signal be applied to output stages of components </ ιrcl whose
Betriebsablaufe von der fehlerbehaf eten Funktionseinheit gesteuert bzw. geregelt werden. Diese Komponenten sind bspw. Endstufen von Zündung, Einspritzung und/oder Drosselklappe einer Brennkraftmaschine. Ziel dieser Maßnahme ist es, die Brennkraftmaschine im Falle eines Fehlers der steuernden bzw. regelnden Funktionseinheit sicher zum Stillstand zu bringen.Operating processes are controlled or regulated by the faulty functional unit. These components are, for example, output stages of ignition, injection and / or throttle valve of an internal combustion engine. The aim of this measure is to bring the internal combustion engine to a safe standstill in the event of a fault in the controlling or regulating functional unit.
Als besonders vorteilhaft wird vorgeschlagen, dass nach dem Erkennen eines Fehlers der Funktionseinheit dieIt is proposed to be particularly advantageous that, after an error in the functional unit has been identified, the
Funktionseinheit von der Uberwachungseinheit weiter überwacht wird und die mindestens eine Verbindungseinheit wieder aktiviert wird, falls eine ordnungsgemäße Funktion der Funktionseinheit erkannt wurde. Diese erneute Aktivierung der Verbindungseinheiten ist bei der vorliegenden Erfindung jederzeit möglich. Beim Stand der Technik, wo in einem Fehlerfall ein Reset der fehlerbehafteten Funktionseinheit ausgeführt wird, konnte eine ordnungsgemäße Funktion der Funktionseinheit lediglich im Anschluss an den Reset und das Hochfahren derFunctional unit is further monitored by the monitoring unit and the at least one connection unit is reactivated if a proper function of the functional unit was detected. This reactivation of the connection units is possible at any time in the present invention. In the prior art, where a reset of the defective functional unit is carried out in the event of an error, it was only possible for the functional unit to function properly after the reset and startup of the
Funktionseinheit erkannt werden. Mit der vorliegenden Erfindung kann somit nicht nur die Sicherheit eines Netzwerkverbundes, welcher mehrere Funktionseinheiten umfasst, die über ein Bussystem miteinander in Verbindung stehen, sondern auch die Verfügbarkeit desFunctional unit can be recognized. With the present invention it is therefore possible not only to ensure the security of a network which comprises a plurality of functional units which are connected to one another via a bus system, but also the availability of the
Metzwerkverbundes verbessert werden, da die ordnungsgemäße Funktion einer Funktionseinheit besonders schnell erkannt werden kann.Metzwerkverbundes be improved, since the proper functioning of a functional unit can be recognized particularly quickly.
Als eine weitere Lösung der Aufgabe der vorliegenden Erfindung wird ausgehend von der Vorπcntung der eingangs genannten Art vorgeschlagen, dass die Überwachungseinheit Mittel zum Bilden und Ausgeben eines Fehlersignals aufweist, das n Abhängigkeit davon unterschiedliche Werte annimmt, ob d e Uberwachungseinheit einen Fehler der Funktionseinheit erkannt hat oder nicht, und dass das Fehlersignal an die mindestens eine Verbindungseinheit gefuhrt ist und die mindestens eine Verbindungseinheit durch das anliegende Fehlersignal dεakti lerbar ist, falls ein Fehler der Funktionseinheit erkannt wurde. DieAs a further solution to the problem of the present Based on the device of the type mentioned at the outset, the invention proposes that the monitoring unit have means for forming and outputting an error signal which assumes different values depending on whether the monitoring unit has recognized an error in the functional unit or not, and that the error signal is sent to the at least one connection unit is guided and the at least one connection unit can be deactivated by the error signal present if an error in the functional unit has been detected. The
Vorrichtung entspricht bspw. einem Netzwerkverbund, der mehrere Funktionseinheiten umfasst, die über ein Bussystem miteinander m Verbindung stehen.The device corresponds, for example, to a network which comprises a plurality of functional units which are connected to one another via a bus system.
Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass das Fehlersignal an einen Enable/Disable-Emgang der mindestens einen Verbindungseinheit gefuhrt ist. Alternativ wird vorgeschlagen, dass das Fehlersignal an einen Reset-Emgang der mindestens einen Verbindungseinheit gefuhrt st.According to an advantageous development of the present invention, it is proposed that the error signal be routed to an enable / disable input of the at least one connection unit. Alternatively, it is proposed that the error signal be passed to a reset input of the at least one connection unit.
Vorteilhafterweise umfasst die Vorrichtung mehrere Funktionseinheiten, die über ein Bussystem miteinander in Verbindung stehen, und mindestens eine Uberwachungseinheit, wobei die Uberwachungseinheit das Versenden vonThe device advantageously comprises a plurality of functional units which are connected to one another via a bus system and at least one monitoring unit, the monitoring unit being used to send
Informationen von einer Funktionseinheit über das mindestens eine Bussystem unterbindet, falls die Uberwachungseinheit einen Fehler dieser Funktionseinheit erkannt hat. Eine solche Vorrichtung entspricht dem in Kraftfahrzeugen in letzter Zeit zunehmend emαesetzten soα Mehr-Steuergerate-Konzept, bei dem zur Steigerung der Rechenleistung mehrere Steuergerate parallel zueinander eingesetzt werden, wobei die einzelnen Steuergerat eweils einen bestimmten Teil der Betriebsablaufe steuert . So wird bspw. bei einem Zwei-Steuergerate-Konzept zur Steuerung einer 8-zylmdr_gen Bren V-irafzmasc'nme ein erstes Steuergerat zur Steuerung von vier der Zylinder und ein zweites Steuergerat zur Steuerung der übrigen vier Zylinder eingesetzt. Die beiden Steuergerate stehen über ein Bussystem miteinander in Verbindung. Informationen über den Betriebszustand der Brennkraftmaschine oder des Kraftfahrzeugs werden lediglich dem ersten Steuergerät zugeführt, welches die Informationen dann über das Bussystem an das zweite Steuergerat weiterleitet. Falls die Uberwachungseinheit des ersten Steuergerätes einen Fehler des Steuergerätes erkennt, deaktiviert diese die Verbindungseinheit des Bussystems zu dem zweiten Steuergerat, um zu verhindern, dass das erste Steuergerat fehlerhafte Informationen an das zweite Steuergerat versendet und das zweite Steuergerat die übrigen vierInformation from a functional unit via the at least one bus system is prevented if the monitoring unit has identified an error in this functional unit. Such a device corresponds to the so-more multi-control device concept that has recently been increasingly used in motor vehicles, in which several control devices are used in parallel with one another to increase the computing power, the individual control device sometimes controlling a specific part of the operating processes. For example, in a two-control device concept, it becomes a control system an 8-zylmdr_gen Bren V-irafzmasc'nme used a first control device to control four of the cylinders and a second control device to control the remaining four cylinders. The two control units are connected to each other via a bus system. Information about the operating state of the internal combustion engine or the motor vehicle is only supplied to the first control device, which then forwards the information to the second control device via the bus system. If the monitoring unit of the first control unit detects an error in the control unit, it deactivates the connection unit of the bus system to the second control unit in order to prevent the first control unit from sending incorrect information to the second control unit and the second control unit to send the remaining four
Zylinder der Brennkraftmaschine falsch ansteuert und sich möglicherweise sogar eine sicherheitsrelevante Situation ergeben konnte.Actuating the cylinder of the internal combustion engine incorrectly and possibly even resulting in a safety-relevant situation.
Schließlich wird als noch eine weitere Losung der Aufgabe der vorliegenden Erfindung ausgehend von dem Steuergerat der eingangs genannten Art vorgeschlagen, dass die Uberwachungseinheit Mittel zum Bilden und Ausgeben eines Fehlersignals aufweist, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob die Uberwachungseinheit einen Fehler der Funktionseinheit erkannt hat oder nicht, und dass das Fehlersignal an die mindestens eine Verbindungseinheit gefuhrt ist und die mindestens eine Verbindungseinheit durch das anliegende Fehlersignal deaktivierbar ist, falls ein Fehler der Funktionseinheit erkannt wurde . ZeichnungenFinally, as yet another solution to the object of the present invention, starting from the control device of the type mentioned at the outset, it is proposed that the monitoring unit have means for forming and outputting an error signal which, depending on the situation, assumes different values as to whether the monitoring unit detects an error in the functional unit has or not, and that the error signal is fed to the at least one connection unit and the at least one connection unit can be deactivated by the applied error signal if an error in the functional unit was detected. drawings
Weitere Merkmale, Anwendungsmoglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausfuhrungsbeispielen der Erfindung, die in den Zeichnungen dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in denFurther features, possible applications and advantages of the invention result from the following description of exemplary embodiments of the invention, which are shown in the drawings. All of the described or illustrated features, alone or in any combination, form the subject matter of the invention, regardless of their combination in the
Patentansprüchen oder deren Puckbeziehung sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in den Zeichnungen. Es zeigen:Claims or their puck relationship and regardless of their wording or representation in the description or in the drawings. Show it:
Figur 1 ein erfmclungsgemaßes Steuergerät gemäß e.nci bevorzugten Ausfuhrungsform;1 shows a control device according to the invention in accordance with a preferred embodiment of FIG.
Figur 2 eine erfmdungsgemaße Vorrichtung umfassend zwei erfmdungsgemaße Steuergerate, die über ein Bussystem miteinander in Verbindung stehen, undFIG. 2 shows a device according to the invention comprising two control devices according to the invention, which are connected to one another via a bus system, and
Figur 3 Verlaufe von erschiedenen Zustande)! und . eines aus dem Stand der Technik bekannten Steuergerätes (Figuren 3b bis 3c!) im Vergleich zu dem erf dungsgemaßen Steuergerat (Figuren 3e undFigure 3 courses of different states)! and , a control device known from the prior art (FIGS. 3b to 3c!) in comparison to the control device according to the invention (FIGS. 3e and
3f ) .3f).
Beschreibung der AusfuhrungsbeispieleDescription of the exemplary embodiments
In Fig. 1 ist ein erf dungsgemaßes Steuergerat SG in seiner Gesamtheit mit dem Bezugszeichen 1 bezeichnet. Das Steuergerat 1 dient bspw. zur Steuerung und/oder Regelung von Betriebsablaufen einem Kraftfahrzeug. Nachfolgend wird bspw. auf ein Steuergera1" 1 zur S eu r.1 g 1In Fig. 1, a control device SG according to the invention is designated in its entirety by reference number 1. The control device 1 is used, for example, to control and / or regulate the operating sequences of a motor vehicle. In the following, for example, a control device 1 " 1 is used to control 1 g 1
Betriebsablaufen einer Brennkraftmaschine e_nes Kraftfahrzeuges naher eingegangen. Die Erfindung ist jedoch ger ereil anwendbar auf alle Arten von Steuergeräten Sα, bspw. für eine Getriebesteuerung, eine Fahrlynami ] regelung, eine Antriebsschlupf egelung (ASP), eine automatischeOperating procedures of an internal combustion engine e_nes motor vehicle received closer. However, the invention is applicable to all types of control devices Sα, for example for a transmission control, a driving lanyard control, a traction control system (ASP), and an automatic one
Abstandsregelung (EDC; Electronic Distance Contrc] ) , eine adaptive Fahrzeuggeschwmdigkeitsregelung (ACC; Adaptive Cruise Control) etc., die über ein Bussystem 2 zu einem Steuergerateverbund miteinander in Verbindung stehen und über das Bussystem 2 untereinander Informationen austauschen. Das Bussystem 2 ist bspw. als ein CAM (Controller Area Network) ausgebildet.Distance control (EDC; Electronic Distance Contrc]), an adaptive vehicle speed control (ACC; Adaptive Cruise Control), etc., which are connected to a control unit network via a bus system 2 and exchange information with one another via the bus system 2. The bus system 2 is designed, for example, as a CAM (Controller Area Network).
Das Steuergerat 1 umfasst einen Funktionsrechner FR 3, der bspw. als ein Mikroprozessor oder als ein Mikrocontroller ausgebildet ist. Auf dem Funktionsrechner 3 ist ein Computerprogramm ablauffähig, das zur Eifullung dei Steuerungs- und/oder Regelungsfunktion des Steuergerätes 1 dient. Der Funktionsrechner 3 steht zum Versenden und Empfangen von Informationen über eine Verbindungseinheit 4 mit dem Bussystem 2 in Verbindung. Die Verbindungseinheit 4 ist als eine Hardware-Schnittstelle zwischen einem Controller und einem externen Steuergerateubertragungsbus mit Signalverstarkungse richtung, insbesondere als eine Bustreiberschaltung, z. B. als ein CAN-Treiber für ein CAN- Bussystem, ausgebildet. Der CAN-Treiber 4 wird auch als CAM-Dπver bezeichnet.The control device 1 comprises a function computer FR 3, which is designed, for example, as a microprocessor or as a microcontroller. A computer program is executable on the function computer 3, which is used to fill the control and / or regulating function of the control device 1. The function computer 3 is connected to the bus system 2 for sending and receiving information via a connection unit 4. The connection unit 4 is used as a hardware interface between a controller and an external control device transmission bus with signal amplification direction, in particular as a bus driver circuit, e.g. B. designed as a CAN driver for a CAN bus system. The CAN driver 4 is also referred to as a CAM driver.
Die in dem Funktionsrechner 3 im Pahmen der barbeitung °=. Computerprogramms zur Erf llung der Steuerungs- und/oder Pegelungsfunktion des Steuergerätes 1 erzeugten Informationen werden über einen Datenbus 5 zunächst an eine CAN-Steuerung 6 übertragen, die auch als CAN-Cont roller bezeichnet wird. In der CAN-Steuerung 6 werden die von dem Funktionsrechner 3 erzeugten Informationen in eine dem CAN- Protokoll entsprechende Form georacnt und f r cue Übertragung über das CAM-Bussystem. 2 vorbereitet. Vor der Übertragung der aufbereiteten Informationen müssen die Signale noch an die elektrischen Eigenschaften auf dem CAll- Bus angepasst werden. Dazu werden die aufbereitetenThe in the function computer 3 in the context of processing ° =. Computer programs for fulfilling the control and / or leveling function of the control device 1 are first transmitted via a data bus 5 to a CAN controller 6, which is also referred to as a CAN controller. In the CAN controller 6, the information generated by the function computer 3 is converted into a Protocol corresponding form georacnt and for cue transmission via the CAM bus system. 2 prepared. Before the processed information is transmitted, the signals must be adapted to the electrical properties on the CALL bus. For this, the processed ones
Informationen über eine zwei-Draht-Datenleitung "7 vcn " CAM-Steuerung 6 an den CAN-Treiber 4 uoertragen, der αie Signale auf das CAN-BusSystem 2 legt.Transfer information via a two-wire data line "7 vcn" CAM controller 6 to the CAN driver 4, which applies the signals to the CAN bus system 2.
Dem Funktionsrechner 3 ist eine unabhängige Hardware zur Funktionsüberwachung des Funktionsrechners 3 zugeordnet. Die unabhängige Hardware wird als Uberwachungsmodul UM 8 bezeichnet. Das Uberwachungsmodul 8 stellt dem Funktionsrechner 3 zyklisch verschiedene Fragen, die in dem Funktionsrechner 3 umfangreiche Kontrollmechamsmen, wie bspw. Programmablaufkontrollen oder Befehlstests, durchlaufen und ein Ergebnis bilden. Das Ergebnis wird als Antwort auf die Frage dem Uberwachungsmodul 8 zurück übertragen. Ein fehlerfrei arbeitender Funktionsrechner 3 liefert die richtige Antwort innerhalb eines v-orgebbaren Zeitfensters zurück. Das Uberwachungsmodul 8 stellt durch Auswerten der Antwort fest, ob ein Fehler des Funktionsrechners 3 vorliegt oder nicht. Das beschriebene Uberwachungskonzept des Funktionsrechners 3 durch das Uberwachungsmodul 8 wird auch als Frage-Antwort-An independent hardware for function monitoring of the function computer 3 is assigned to the function computer 3. The independent hardware is referred to as the UM 8 monitoring module. The monitoring module 8 cyclically asks the function computer 3 various questions which run through extensive control mechanisms in the function computer 3, such as program sequence checks or command tests, and form a result. The result is transmitted back to the monitoring module 8 in response to the question. A function computer 3 working without errors returns the correct answer within a predeterminable time window. By evaluating the response, the monitoring module 8 determines whether there is an error in the function computer 3 or not. The described monitoring concept of the functional computer 3 by the monitoring module 8 is also used as a question-answer
Kommunikation bezeichnet. Die Kommunikation zwiscnen dem Uberwachungsmodul 8 und dem Funktionsrechner 2 erfolgt über eine SPI (Serial Parallel Interface) -Schnittstelle 9.Communication means. Communication between the monitoring module 8 and the function computer 2 takes place via an SPI (Serial Parallel Interface) interface 9.
Durch Auswerten der Antwort des Funktionsrechners 3 wird in dem Uberwachungsmodul n e Fehlersignal WDA generiert, das Abhängigkeit davon unterschiedliche Werte annimmt, ob ein Fehler des Funktionsrechners 3 erkannt wurde oder nicht. Vorzugsweise wird ein Fehlerzahler inkre eut leH , falls ein Fehler des Funktionsrechners 3 erkannt wurde. Erst wenn der Fehlerzahler einen Schwellenwert überschritten hat, wird das Fehlersignal WDA ausgegecer . Das Fehlersignal WDA wird über eine Signalleitung 10 an Endstufen El bis EN von Kraftfahrzeugkomponenten Kl bis r'.n, die von dem Steuergerat 1 zur Steuerung und/oder Regelung der Betriebsablaufe angesteuert werden, angelegt. Dies sind bspw. bei einem Kraftfahrzeugsteuergerat 1 zur Steuerung und/oder Regelung einer Brennkraftmaschine die Endstufen für Zündung, Einspritzung und/oder Drosselklappe. Die Ansteuerung der Endstufen El bis En mit dem FehlersignalBy evaluating the response of the function computer 3, an error signal WDA is generated in the monitoring module, which takes on different values depending on whether an error of the function computer 3 has been detected or not. An error payer is preferably incorrect if an error of the function computer 3 was detected. The error signal WDA is only output when the error payer has exceeded a threshold value. The error signal WDA is applied via a signal line 10 to output stages El to EN of motor vehicle components Kl to r'.n, which are controlled by the control device 1 for controlling and / or regulating the operating processes. In the case of a motor vehicle control unit 1 for controlling and / or regulating an internal combustion engine, for example, these are the output stages for ignition, injection and / or throttle valve. The control of the output stages El to En with the error signal
WDA dient dazu, im Fehlerfall die Brennkraftmaschine sicher zum Stillstand zu bringen und sicherheitsrelevante Situationen zu vermeiden.In the event of a fault, WDA is used to bring the internal combustion engine to a safe standstill and to avoid safety-relevant situations.
Erfindungsgemaß wird das Fehlersignal WDA außerdem an einen Reset-Eingang RST des CAM-Treibers 4 angelegt. Der CAN- Treiber 4 wird durch das anliegende Fehlersignal WDA deaktiviert, falls ein Fehler des Funktionsrechners 3 erkannt wurde. Dadurch wird das Versenden von Informationen durch einen defekten Funktionsrechner 3 über das CAN-According to the invention, the error signal WDA is also applied to a reset input RST of the CAM driver 4. The CAN driver 4 is deactivated by the applied error signal WDA if an error in the function computer 3 has been detected. As a result, the sending of information by a defective function computer 3 via the CAN
Bussystem 2 zuverlässig, wirksam und vor allem dauerhaft für die gesamte Dauer des Fehlers des Funktionsrechners 3 unterbunden. Dadurch wird auch das Versenden möglicherweise fehlerhafter Informationen durch den fehlerbehafteten Funktionsrechner 3 über das CAM-Bussystem 2 an andereBus system 2 is reliably, effectively and, above all, permanently prevented for the entire duration of the fault of the function computer 3. As a result, the possibly faulty information is also sent to others by the faulty function computer 3 via the CAM bus system 2
Funktionsrechner auf einfache Weise verhindert. Das erf dungsgemaße Steuergerat 1 stellt somit ein eigensicheres Eigensystem in einem Steuergerateverbund dar. Es erfüllt die Vorschriften an Steuergerate in einem Steuergeratverbund, dass nämlich jedes Steuergerat 1 die Verantwortung für die von ihm versendeten Informationen selbst tragt .Function calculator prevented in a simple manner. The control device 1 according to the invention thus represents an intrinsically safe own system in a control device group. It fulfills the regulations for control devices in a control device group, namely that each control device 1 bears the responsibility for the information it sends itself.
Ein weiterer Vorteil der vorliegenden Erfindung bestent darin, dass ein fehlerbehafteter Funktionsrechner 3 weiterhin normal arbeitet und weiterhin - zwar möglicherweise fehlernafte - Informationen zur Steuerung der Betriebsablaufe ermittelt. Das Uberwachungsmodul 8 kann somit auch nach dem Erkennen eines Fehlers des Funktionsrechners 3 die Funktionsfahigkeit desAnother advantage of the present invention is that a faulty function computer 3 continues to work normally and continues to determine - possibly incorrectly - information for controlling the operational processes. The monitoring module 8 can thus, even after the detection of an error of the function computer 3, the functionality of the
Funktionsrechners 3 weiterhin überwachen. Solange das Uberwachungsmodul 8 einen Fehler des Funktionsrechners 3 erkennt, bleibt der CAN-Treiber 4 deaktiviert, damit die von dem fehlerhaften Funktionsrechner 3 ermittelten fehlerhaften Informationen nicht auf das CAM-Bussystem 2 gelangen und andere Funktionsrechner desContinue to monitor function computer 3. As long as the monitoring module 8 detects an error in the function computer 3, the CAN driver 4 remains deactivated so that the incorrect information determined by the faulty function computer 3 does not reach the CAM bus system 2 and other function computers of the
Steuergerateverbundes beeinträchtigen können. Sobald das Uberwachungsmodul 8 jedoch eine ordnungsgemäße Funktion des Funktionsrechners 2 erkennt, kann der CAN-Treiber 4 wieder aktiviert werden, so class das Steuergerat 1 wieder ganz normal arbeiten kann. Vorteilhaft bei der vorliegenden Erfindung ist es, dass eine ordnungsgemäße Funktion des Funktionsrechners 3 ohne lange Zeitverzogerung erkannt werden kann.Control unit network can affect. As soon as the monitoring module 8 detects that the function computer 2 is functioning properly, the CAN driver 4 can be reactivated, so that the control unit 1 can work normally again. It is advantageous with the present invention that a proper function of the function computer 3 can be recognized without a long time delay.
Noch em Vorteil der Erfindung ist darin zu sehen, dass das Versenden von Informationen durch einen fehlerbehafteten Funktionsrechner 3 auf einfache Weise und ohne zusatzliche Hardware, bspw. ohne zusatzliche Schaltelemente, die in das CAN-Bussystem 2 eingebracht werden und im Fehlerfall geöffnet werden, um den Funktionsrechner 3 von dem CAN- Bussystem 2 zu trennen, unterbunden werden kann.Another advantage of the invention can be seen in the fact that the sending of information by a faulty function computer 3 in a simple manner and without additional hardware, for example without additional switching elements which are introduced into the CAN bus system 2 and are opened in the event of an error to separate the function computer 3 from the CAN bus system 2 can be prevented.
In Fig. 2 ist em Mehr-Steuergerate-Konzept , genauer g=:_αg_. em Zwei-Steuergerate-Konzept, dargestellt, bei dem zwei Steuergerate SGI, SG2 zur Steuerung bestimmter Betriebsablaufe eingesetzt werden. In dem dargestellten Ausfuhrungsbeispiel sind die zwei Steuergerate SGI, SGZ. zur Steuerung der Betπebsablaufe in einer 12-zylmdπgen Brennkraftmaschine BM 11 eingesetzt. Dabei steuert das erste Steuergerat SGI die ersten sechs Zylinder ZiL 12 und das zweite Steuergerat SG2 die übrigen sechs Zylinder ZΪL 13. Das erste Steuergerat SGI erhalt Informationen S über den Fahrerwunsch (Stellung des Gaspedals) und/oder über den Betriebszustand der Brennkraftmaschine 11 und desIn Fig. 2 is a multi-control device concept, more precisely g =: _ αg_. A two control device concept is shown, in which two control devices SGI, SG2 are used to control certain operating processes. In the exemplary embodiment shown, the two control units are SGI, SGZ. used to control the operational sequences in a 12-cylinder internal combustion engine BM 11. This controls first control unit SGI the first six cylinders ZiL 12 and the second control unit SG2 the remaining six cylinders ZΪL 13. The first control unit SGI receives information S about the driver's request (position of the accelerator pedal) and / or about the operating state of the internal combustion engine 11 and the
Kraftfahrzeugs von entsprechenden Sensoren. Die beiden Steuergerate SGI und SG2 sind über ein CAM-Bussystem 2 miteinander verbunden. Das zweite Steuergerät SG2 erhalt über das CAN-Bussystem 2 Sollwertvorgaben (z.B. den Fahrerwunsch) von dem ersten Steuergerat SGI. Um zu verhindern, dass bei einem Fehler des Funktionsrechners FRl des ersten Steuergerätes SGI fehlerhafte Sollwertvorgaben an das zweite Steuergerat SG2 übermittelt werden, wird erfindungsgemaß das Versenden von Informationen durch den Funktionsrechner FRl über das CAN-Bussystem 2 durch die Uberwachungseinheit UMl unterbunden. Dazu wird das Fehlersignal WDA des Uberwachungsmoduls UMl an einen Reset- Eingang RST des CAN-Treibers 4 angelegt.Motor vehicle from appropriate sensors. The two control devices SGI and SG2 are connected to one another via a CAM bus system 2. The second control unit SG2 receives 2 setpoint values (e.g. the driver's request) from the first control unit SGI via the CAN bus system. In order to prevent faulty setpoint specifications from being transmitted to the second control unit SG2 in the event of an error in the function computer FR1 of the first control unit SGI, the sending of information by the function computer FR1 via the CAN bus system 2 is prevented by the monitoring unit UM1. For this purpose, the error signal WDA of the monitoring module UM1 is applied to a reset input RST of the CAN driver 4.
Anhand der ausbleibenden DatenübertragungBased on the lack of data transmission
(Nachrichtenunterbrechung bzw. fehlende Aktualisierung) kann das Steuergerat SG2 einen Defekt im SGI erkennen und entsprechende Ersatzmaßnahmen oder Fehlerreaktionen im SG2 aktivieren .(Message interruption or missing update), the control unit SG2 can recognize a defect in the SGI and activate corresponding replacement measures or error reactions in the SG2.
In den Figuren 3a bis 3f sind die Verlaufe verschiedener Steuergeratezustande und Steuergerategroßen über die 2 t L dargestellt. Insbesondere ist in Fig. 3a der Stand eines Fehlerzahlers des Uberwachungsmoduls 8 dargestellt. Dieser steigt am Anfang von Null bis über einen Schwellenwert "W an. Sobald der Fehlerzahler den Schwellenwert SW übersteigt, wird zum Zeitpunkt tj eine Fehlerre^kt I^ ausgelost. Das bedeutet, dass das Fehlersignal WDA einen entsprechenden Wert annimmt. Als Werte des Fehlersignals WDA kommen insbesondere HIGH oder LOW in Frage. Die m den Figuren 3b, 3c und 3c! dargestellten Verlaufs entsprechen dem Stand der Technik. In Fig. 3b ist der Verlauf eines Peset-Signals dargestellt, welches nach dem Stand der Technik von dem Uberwachungsmodul UM 8 an einen Reset-Emgang des Funktionsrechners FR 3 angelegt wird. Zum Zeitpunkt ti wird die Fehlerreaktion ausgelost, die beim Stand der Technik darin besteht, einen Reset des Funktionsrechners FR 3 auszulosen. In Fig. 3c ist der Verlauf einer Große "CAN-Signal freigegeben" dar ebtt ilL . Das Signal hat die Werte „frei" oder „gesperrt". Fig. 3c kann entnommen werden, dass das CAN-Signal nur wahrend der Dauer des Reset (RST = 1 m Fig. 3b) gesperrt ist und ansonsten frei ist. Solange das CAN-Signal freigegeben ist, kann selbst em fehlerbehafteter Funktionsrec ne1" FP 3 möglicherweise fehlerhafte Informationen über das CAN- Bussystem 2 übertragen. Dies kann unter Umstanden fehlerhafte Reaktionen anderer Funktionsrechner FR des Steuergerateverbundes auslosen.FIGS. 3a to 3f show the courses of various control device states and control device sizes over the 2 t L. In particular, the status of an error counter of the monitoring module 8 is shown in FIG. 3a. This increases at the beginning from zero to above a threshold value "W. As soon as the error payer exceeds the threshold value SW, an error response ^ is triggered at time tj. This means that the error signal WDA assumes a corresponding value. As values of the error signal WDA are particularly HIGH or LOW. The m the figures 3b, 3c and 3c! represented course correspond to the state of the art. 3b shows the course of a peset signal which, according to the prior art, is applied by the monitoring module UM 8 to a reset input of the function computer FR 3. At time ti, the error reaction is triggered, which in the prior art consists in triggering a reset of the function computer FR 3. In Fig. 3c the course of a large "CAN signal released" is ebtt ilL. The signal has the values "free" or "blocked". FIG. 3c shows that the CAN signal is only blocked for the duration of the reset (RST = 1 m FIG. 3b) and is otherwise free. As long as the CAN signal is released, even a faulty function record 1 "FP 3 can possibly transmit faulty information via the CAN bus system 2. This may trigger faulty reactions from other function computers FR of the control device network.
In Fig. 3d sind verschiedene Zustande des aus dem Stand der Technik bekannten Steuergeräts SG dargestellt. Vor dem Auslosen der Fehlerreaktion zum Zeitpunkt ti durchlauft das Steuergerat SG em ganz normales Fahrprogramm A. Danach schließt sich nach dem Zeitpunkt ti ein Feset-Zus tancl B an. Im Anschluss daran durchlauft das Steuergerät SG eine Initialisierungsphase C und wechselt danach wiederum m das normale Fahrprogramm A. Wahrend des Fahrprogramms A fuhrt das Überwachungsmodul UM eine Frage-Antwort-Kommunikation mit dem zu überwachenden Funktionsrechner FR durch und erkennt an einem Zeitpunkt t_, dass der Fehler des Funktionsrechners FP immer noch vorliegt. Danach werden wiederum die vorbeschriebenen Zustande Reset B, Initialisierung C und Fahrprogramm A mit twcrt- Kommunikation D durchlaufen. 133d shows various states of the control device SG known from the prior art. Before triggering the error reaction at time ti, control unit SG em runs through normal driving program A. Then, after time ti, a fixed status B is connected. Thereafter, the control unit SG goes through an initialization phase C and then changes again to the normal driving program A. During the driving program A, the monitoring module UM carries out question-answer communication with the function computer FR to be monitored and recognizes at a time t_ that the Function calculator FP error still present. After that, the previously described states Reset B, Initialization C and Drive Program A are also included Go through twcrt communication D. 13
In den Figuren 3e und 3f sind die Signal- und Zustandsverlaufe des erfmdungsgemaßen Steuergeräts 1 dargestellt. Anhand der Fig. 3e ist deutlich zu erkennen, dass das CAN-Signal unmittelbar nach der Fehlerreaktion zum Zeitpunkt ti für die Dauer des Fehlers gesperrt is*" F^ - Funktionsrechner 3 befindet sich nach der Fehlerreaktion m einem ganz normalen Fahrprogramm A, währenddessen eine Frage-Antwort-Kommunikation D zyklisch ausgeführt wird und die Endstufen über das WDA-Signal sich im deaktivierten Zustand befinden (E) . Allerdings werden die von dem Funktionsrechner 3 ermittelten Informationen nicht über das CAN-Bussystem 2 übertragen, da der CAN-Treiber 4 deaktiviert ist und das CAN-Signal somit gesperrt ist. Bei der vorliegenden Erfindung befindet sich derFIGS. 3e and 3f show the signal and state profiles of the control device 1 according to the invention. 3e clearly shows that the CAN signal is blocked for the duration of the error immediately after the error reaction at time ti * "F ^ - Functional computer 3 is after the error reaction in a normal driving program A, during which a Question-answer communication D is carried out cyclically and the output stages are in the deactivated state via the WDA signal (E) .However, the information determined by the function computer 3 is not transmitted via the CAN bus system 2 because the CAN driver 4 is deactivated and the CAN signal is thus blocked. In the present invention, the
Funktionsrechner 3 im Fehlerfall niemals in einer Situation in der nicht die Funktionsfahigkeit des Funktionsrechners 3 durch eine Frage-Antwort-Kommunikation überprüft werden konnte. Dagegen kann beim Stand der Technik im Fehlerfall eine Überprüfung der Funktionsfahigkeit desFunction computer 3 in the event of an error never in a situation in which the functionality of the function computer 3 could not be checked by question-answer communication. In contrast, a check of the functionality of the
Funktionsrechners 3 nicht wahrend der Zustande Reset B und Initialisierung C erfolgen. Dadurch kann die ordnungsgemäße Funktion des Funktionsrechners 3 bei der vorliegenden Erfindung früher als beim Stand der Technik erkannt werden. Functional computer 3 does not take place during the reset B and initialization C states. As a result, the proper functioning of the function computer 3 can be recognized earlier in the present invention than in the prior art.

Claims

Ansprüche Expectations
1. Verfahren zur Steuerung und/oder Regelung von Betriebsablaufen, insbesondere in einem Fahrzeug, wobei eine Funktionseinheit (3) zum Versenden und Empfangen von Informationen über mindestens eine Verbindungseinheit (4) mit mindestens einem Bussystem (2) in Verbindung steht, die Funktionseinheit (3) von einer Uberwachungseinheit (8) überwacht wird und das Versenden von Informationen von der Funktionseinheit (3) über das mindestens eine Bussystem (2) durch die Uberwachungseinheit (8) unterbunden wird, falls em Fehler der Funktionseinheit (3) erkannt wird, dadurch gekennzeichnet, dass durch die Uberwachungseinheit (8) ein Fehlersignal (WDA) ausgegeben wird, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob ein Fehler der Funktionseinheit (3) erkannt wurde oder nicht, und dass das Fehlersignal (WDA) an der mindestens einen Verbindungseinheit (4) angelegt und die mindestens eine Verbindungseinheit (4) durch das anliegende Fehlersignal (WDA) deaktiviert wird, falls e Fehler der Funktionseinheit (3) erkannt wurde.1. Method for controlling and / or regulating operating sequences, in particular in a vehicle, wherein a functional unit (3) for sending and receiving information via at least one connection unit (4) is connected to at least one bus system (2), the functional unit ( 3) is monitored by a monitoring unit (8) and the sending of information from the functional unit (3) via the at least one bus system (2) is prevented by the monitoring unit (8) if an error of the functional unit (3) is detected, thereby characterized in that an error signal (WDA) is output by the monitoring unit (8), which assumes different values depending on whether an error of the functional unit (3) was detected or not, and that the error signal (WDA) on the at least one connection unit (4) and the at least one connection unit (4) is deactivated by the applied error signal (WDA) if there is an error the functional unit (3) was recognized.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Fεhlersignal (WDA) an einen Rucksetzeingang (RST) der mindestens einen Verbindungseinheit (4) angelegt wird. 2. The method according to claim 1, characterized in that the sensor signal (WDA) is applied to a reset input (RST) of the at least one connection unit (4).
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Funktionseinheit (3) mit mehreren Bussystemen (2) Verbindung steht und das Fehlersignal ( ^) an Verbmdung≤einheiten (4) mehrerer der Bussysteme (2) angelegt wird.3. The method according to claim 1 or 2, characterized in that the functional unit (3) is connected to a plurality of bus systems (2) and the error signal (^) is applied to connection units (4) of a plurality of the bus systems (2).
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurcn gekennzeichnet, dass das Fehlersignal (WDA) an Endstufen (El, ... En) von Komponenten (Kl, ... Kn) angelegt wird, deren Betriebsablaufe gesteuert bzw. geregelt werden.4. The method according to any one of claims 1 to 3, characterized in that the error signal (WDA) is applied to output stages (El, ... En) of components (Kl, ... Kn) whose operating processes are controlled or regulated ,
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass nach dem Erkennen eines Fehlers der Funktionseinheit (3) die Funktionseinheit (3) von der Uberwachungseinheit (8) weiter überwacht wird und die mindestens eine Verbindungseinheit (4) wieder aktiviert wird, falls eine ordnungsgemäße Funktion der5. The method according to any one of claims 1 to 4, characterized in that after the detection of an error in the functional unit (3), the functional unit (3) is further monitored by the monitoring unit (8) and the at least one connection unit (4) is reactivated , if the proper functioning of the
Funktionseinheit (3) erkannt wurde. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass nacn dem Erkennen eines Fehlers der Funktionseinheit (3) die Funktionseinheit (3) nicht zurückgesetzt wird, ex inn, aktiv em Computerprogramm abarbeitet, und der Sende- und Empfangsbetrieb von der Uberwachungseinheit (8) durch Aktivierung bzw. Deaktivierung der Verbindungseinheit (4) gesteuert wird.Functional unit (3) was recognized. Method according to one of claims 1 to 4, characterized in that after the detection of an error in the functional unit (3), the functional unit (3) is not reset, processes the computer actively, and the transmitting and receiving operation is carried out by the monitoring unit ( 8) is controlled by activating or deactivating the connection unit (4).
6. Vorrichtung zur Steuerung und/oder Regelung von Betrieosablaufen, insbesondere in einem Fahrzeug, umfassend mindestens eine Funktionseinheit (3), welche zum Versenden und Empfangen von Informationen über mindestens eine Verbindungseinheit (4) mit mindestens einem Buss sceπ '2) Verbindung steht, und mindestens eine Uberwachungseinheit I B ) , welche die Funktionseinhe ( ) überwacht, wobei die Uberwachungseinheit (8) das Versenden von Informationen von der Funktionseinheit (3) über das mindestens eine Bussystem (2) unterbindet, falls sie einen Fehler der Funktionseinheit (3) erkennt, dadurch gekennzeichnet, dass die Uberwachungseinheit (8) Mittel zum Bilden und Ausgeben eines Fehlersignals (WDA) aufweist, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob die Uberwachungseinheit (8) einen Fehler der6. Device for controlling and / or regulating operational processes, in particular in a vehicle, comprising at least one functional unit (3) which is used to send and receive information about at least one connection unit (4) with at least one bus sceπ '2), and at least one monitoring unit IB) which monitors the functional unit (10), the monitoring unit (8) preventing the sending of information from the functional unit (3) via the at least one bus system (2) if one Detects errors in the functional unit (3), characterized in that the monitoring unit (8) has means for forming and outputting an error signal (WDA) which, depending on the value, assumes different values as to whether the monitoring unit (8) detects an error
Funktionseinheit (3) erkannt hat oder nicht, und class das Fehlersignal (WDA) an die mindestens eineFunctional unit (3) has recognized or not, and class the error signal (WDA) to the at least one
Verbindungseinheit (4) gefuhrt ist und die mindestens eine Verbindungseinheit (4) durch das anliegende Fehlersignal (WDA) deaktivierbar ist, falls em Fehler der Funktionseinheit (3) erkannt wurde.Connection unit (4) is guided and the at least one connection unit (4) can be deactivated by the applied error signal (WDA) if an error of the functional unit (3) was detected.
7. Vorrichtung nach Anspruch 5, dadurch gekennzeichnet, dass das Fehlersignal (WDA) an einen Enable/Disable-Emgang der mindestens einen Verbindungseinheit (4) gefuhrt ist.7. The device according to claim 5, characterized in that the error signal (WDA) to an enable / disable input of the at least one connection unit (4) is performed.
8. Vorrichtung nach Anspruch 5, dadurch ge ennzeichnet, dass das Fehlersignal (WDA) an einen Rucksetzeingang (RST) der mindestens einen Verbindungseinheit (4) gefuhrt ist.8. The device according to claim 5, characterized in that the error signal (WDA) to a reset input (RST) of the at least one connection unit (4) is performed.
9. Vorrichtung nach einem der Ansprüche 5 bis 7, dadurch gekennzeichnet, dass die Vorrichtung mehrere Funktionseinheiten (3), die über em Bussystem (2, miteinander in Verbindung stehen, und mindestens eirit Uberwachungseinheit (8) umfasst, wobei die Überwachungseinheit (8) das Versenden von Informationen einer Funktionseinheit (3; FP1) über das mindestens eine Bussystem (2) unterbindet, falls die Uberwachungseinheit (8) einen Fehler dieser Funktionseinheit (3; FRl) erkannt hat.9. Device according to one of claims 5 to 7, characterized in that the device comprises a plurality of functional units (3) which are connected to one another via a bus system (2) and at least one monitoring unit (8), the monitoring unit (8) the sending of information from a functional unit (3; FP1) via the at least one bus system (2) is prevented if the monitoring unit (8) has identified an error of this functional unit (3; FR1).
10. Steuergerat (1) zur Steuerung und/oder Regelung von Betriebsablaufen insbesondere in einem Fahrzeug, umfassend eine Funktionseinheit (3), welche zum ./ersende i und Empfangen von Informationen über mindestens eine Verbindungseinheit (4) mit mindestens einem Buss/Stem (2) in Verbindung steht, und eine Überwachungseinheit (8), welche die Funktionseinheit (3) überwacht, wobei die Uberwachungseinheit (8) das Versenden von Inzor a ti eran v_π cler Funktionseinheit (3) über das mindestens eine Bussyste (2) unterbindet, falls sie einen Fehler der10. Control device (1) for controlling and / or regulating operational processes, in particular in a vehicle, comprising a functional unit (3) which is used for ./sending and receiving information about at least one connection unit (4) with at least one bus / stem ( 2) is connected, and a monitoring unit (8), which monitors the functional unit (3), the monitoring unit (8) preventing the sending of inzor a ti eran v_π cler functional unit (3) via the at least one bus system (2) if it an error of
Funktionseinheit (3) erkennt, dadurch gekennzeichnet, dass die Uberwachungseinheit (8) Mittel zum Bilden und Ausgeben eines Fehlersignals (WDA) aufweist, das in Abhängigkeit davon unterschiedliche Werte annimmt, ob die Uberwachungseinheit (8) einen Fehler der FunktionseinheitFunctional unit (3) recognizes, characterized in that the monitoring unit (8) has means for forming and outputting an error signal (WDA) which assumes different values depending on whether the monitoring unit (8) has an error in the functional unit
(3) erkannt hat oder nicht, und dass das Fehlersignal (WDA) an die mindestens eine Verbindungseinheit (4) gefuhrt ist und die mindestens eine Verbindungseinheit (4) durch das anliegende Fehlersignal (WDA) deaktivierbar ist, falls ein Fehler der Funktionseinheit (3) erkannt wurde.(3) has recognized or not, and that the error signal (WDA) is fed to the at least one connection unit (4) and the at least one connection unit (4) can be deactivated by the applied error signal (WDA) if an error in the functional unit (3 ) was recognized.
11. Steuergerat (SG) nach Anspruch 9, dadurch gekennzeichnet, dass das Fehlersignal (WDA) an einen Rucksetzeingang (RST) der mindestens einen Verbindungseinheit (4) geführt ist. 11. Control device (SG) according to claim 9, characterized in that the error signal (WDA) is routed to a reset input (RST) of the at least one connection unit (4).
EP03790637A 2002-08-07 2003-07-10 Method and device for controlling operational processes, especially in a vehicle Withdrawn EP1529253A1 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE10236080 2002-08-07
DE10236080A DE10236080A1 (en) 2002-08-07 2002-08-07 Process flow control method, especially for use with a motor vehicle CAN bus automation system, wherein if a function unit is faulty it is prevented from communicating with the bus by disabling its bus driver
PCT/DE2003/002310 WO2004021095A1 (en) 2002-08-07 2003-07-10 Method and device for controlling operational processes, especially in a vehicle

Publications (1)

Publication Number Publication Date
EP1529253A1 true EP1529253A1 (en) 2005-05-11

Family

ID=30469514

Family Applications (1)

Application Number Title Priority Date Filing Date
EP03790637A Withdrawn EP1529253A1 (en) 2002-08-07 2003-07-10 Method and device for controlling operational processes, especially in a vehicle

Country Status (8)

Country Link
US (1) US7418316B2 (en)
EP (1) EP1529253A1 (en)
JP (1) JP5021163B2 (en)
KR (1) KR100984232B1 (en)
CN (1) CN100422951C (en)
AU (1) AU2003254623A1 (en)
DE (1) DE10236080A1 (en)
WO (1) WO2004021095A1 (en)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2876814B1 (en) * 2004-10-14 2006-12-15 Renault Sas SYSTEM FOR RECORDING AN INCIDENT CONTEXT IN A MOTOR VEHICLE
DE102005061392A1 (en) * 2005-12-22 2007-06-28 Robert Bosch Gmbh Bus guardian for monitoring and controlling access to data bus, has serial peripheral interface approving access of controller to data bus only when communication offers normal functioning of controller
WO2008014940A1 (en) * 2006-08-02 2008-02-07 Autoliv Development Ab Control device and method for the control of functions
DE102007015122A1 (en) * 2007-03-29 2008-10-02 Bayerische Motoren Werke Aktiengesellschaft Method for transferring data to multiple ECUs
EP2086104B1 (en) * 2008-01-29 2015-08-12 Ebm-Papst St. Georgen GmbH & CO. KG Electronically commuted motor
DE112010004085A5 (en) * 2009-12-18 2012-10-25 Conti Temic Microelectronic Gmbh Monitoring computer in a control unit
US8831821B2 (en) * 2010-12-17 2014-09-09 GM Global Technology Operations LLC Controller area network message transmission disable testing systems and methods
CN102320277A (en) * 2011-07-05 2012-01-18 苏州力久新能源科技有限公司 Torque safety framework of automobile based on parallel structures
JP5853691B2 (en) * 2011-12-28 2016-02-09 アイシン・エィ・ダブリュ株式会社 Vehicle control apparatus and method
CN103072576B (en) * 2012-10-19 2015-09-23 昆山力久新能源汽车技术有限公司 Based on the chaufeur requested torque security architecture of parallel organization
WO2015008114A1 (en) * 2013-07-18 2015-01-22 Freescale Semiconductor, Inc. Illegal message destroyer
DE102013224695A1 (en) * 2013-12-03 2015-06-03 Robert Bosch Gmbh Method for monitoring a microcontroller
JP6536011B2 (en) 2014-10-31 2019-07-03 株式会社デンソー Electronic control unit
JP6812737B2 (en) * 2016-10-07 2021-01-13 オムロン株式会社 Arithmetic logic unit and control unit
US10668926B2 (en) 2017-05-31 2020-06-02 Zoox, Inc. Vehicle operation with interchangeable drive modules
DE102018101103A1 (en) * 2018-01-18 2019-07-18 Volkswagen Aktiengesellschaft Method and computer programs for a monitoring entity and a communication component, monitoring entity, communication component, system and vehicle
CN109725629B (en) * 2018-12-29 2020-05-22 一汽-大众汽车有限公司 Vehicle control unit refreshes test system
US11036573B2 (en) 2019-05-16 2021-06-15 Ford Global Technologies, Llc Control processor unit (CPU) error detection by another CPU via communication bus
US10936397B2 (en) 2019-05-23 2021-03-02 Ford Global Technologies, Llc Hybrid control module status communication system and method
WO2020262031A1 (en) 2019-06-24 2020-12-30 日立オートモティブシステムズ株式会社 On-vehicle control device
CN115223273B (en) * 2021-04-21 2024-02-23 广州汽车集团股份有限公司 TCU data monitoring method and device, terminal equipment and storage medium

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5436837A (en) 1991-05-08 1995-07-25 Robert Bosch Gmbh System for controlling a motor vehicle
US5692472A (en) 1995-09-28 1997-12-02 Robert Bosch Gmbh Method and arrangement for controlling the drive unit of a motor vehicle
US5880568A (en) 1994-10-29 1999-03-09 Robert Bosch Gmbh Method and arrangement for controlling the drive unit of a vehicle
US5898829A (en) * 1994-03-22 1999-04-27 Nec Corporation Fault-tolerant computer system capable of preventing acquisition of an input/output information path by a processor in which a failure occurs
DE10030996A1 (en) * 2000-06-30 2002-01-10 Bosch Gmbh Robert Operation sequence control method for vehicle, involves disconnecting functional unit from bus system based on configuration value

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4255789A (en) * 1978-02-27 1981-03-10 The Bendix Corporation Microprocessor-based electronic engine control system
DE3826774A1 (en) 1988-08-06 1990-02-08 Bosch Gmbh Robert NETWORK INTERFACE
US5574848A (en) 1993-08-24 1996-11-12 National Semiconductor Corporation Can interface selecting one of two distinct fault recovery method after counting a predetermined number of recessive bits or good can frames
DE19611944C2 (en) * 1996-03-26 2003-03-27 Daimler Chrysler Ag Integrated circuit for coupling a micro-controlled control unit to a two-wire bus
SE511458C2 (en) * 1997-02-17 1999-10-04 Mecel Ab Protective device for diagnostic outlets in distributed computer networks
DE19833462A1 (en) * 1998-07-24 2000-01-27 Mannesmann Vdo Ag Disconnection circuit for separating failed electronic device from data bus in vehicle responds to detected fault for electrical separation from data bus via controlled switches
DE19836079A1 (en) * 1998-07-30 2000-02-10 Siemens Ag Control signal generating and output arrangement
US6981176B2 (en) * 1999-05-10 2005-12-27 Delphi Technologies, Inc. Secured microcontroller architecture
GB9916359D0 (en) 1999-07-14 1999-09-15 New Holland Uk Ltd A contoller area network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5436837A (en) 1991-05-08 1995-07-25 Robert Bosch Gmbh System for controlling a motor vehicle
US5898829A (en) * 1994-03-22 1999-04-27 Nec Corporation Fault-tolerant computer system capable of preventing acquisition of an input/output information path by a processor in which a failure occurs
US5880568A (en) 1994-10-29 1999-03-09 Robert Bosch Gmbh Method and arrangement for controlling the drive unit of a vehicle
US5692472A (en) 1995-09-28 1997-12-02 Robert Bosch Gmbh Method and arrangement for controlling the drive unit of a motor vehicle
DE10030996A1 (en) * 2000-06-30 2002-01-10 Bosch Gmbh Robert Operation sequence control method for vehicle, involves disconnecting functional unit from bus system based on configuration value

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of WO2004021095A1 *

Also Published As

Publication number Publication date
CN100422951C (en) 2008-10-01
JP5021163B2 (en) 2012-09-05
JP2005535054A (en) 2005-11-17
US7418316B2 (en) 2008-08-26
DE10236080A1 (en) 2004-02-19
WO2004021095A1 (en) 2004-03-11
KR20050059053A (en) 2005-06-17
US20060112315A1 (en) 2006-05-25
KR100984232B1 (en) 2010-09-28
AU2003254623A1 (en) 2004-03-19
CN1659484A (en) 2005-08-24

Similar Documents

Publication Publication Date Title
WO2004021095A1 (en) Method and device for controlling operational processes, especially in a vehicle
EP2033375B1 (en) Method for transmitting measured data, and sensor device
DE10237167B4 (en) Method for controlling an automated manual transmission
EP1425882A2 (en) Method and supply line structure for transmitting data between electrical automotive components
DE102007036259A1 (en) A braking system for a vehicle and a method for operating a braking system for a vehicle
EP2739883B1 (en) Method and control unit for a drive train component
DE102013217461B4 (en) Method and arrangement for monitoring a component in a motor vehicle
EP1989470B1 (en) Safety concept for a transmission actuator device
EP1401690A1 (en) Method for actuating a component of a distributed security system
DE19937159A1 (en) Electrically controlled braking system, having control modules supplied with sizes recorded through measurement arrangements, which represent activation of brake pedal through driver
DE102007021871A1 (en) Method for monitoring operation of system, particularly drive train of vehicle involves examining input signals for existence or plausibility of error
EP1962193B1 (en) Circuit device and corresponding method for controlling a load
EP1370914A1 (en) Method for operating a distributed safety-relevant system
DE10248195A1 (en) Method and device for monitoring a deceleration function of a control unit of a motor vehicle
DE19944939C1 (en) Control device for a motor vehicle
DE10011410A1 (en) Fail-safe signal generation device for safety critical signal has back-up device for generation of load driver signal in emergency operating mode
DE102011087063A1 (en) Control computer system for controlling e.g. brake system of motor vehicle, has switching-off signal masking module arranged in path between emergency module and module to mask switching-of signal and integrated into circuit on substrate
DE10252990B3 (en) Control unit for a motor vehicle occupant safety system, especially an airbag system, has additional AND gates in addition to dual controlling computers to ensure reliable detection and resetting of a faulty computer unit
DE102017209556A1 (en) Method for protecting a vehicle network against manipulated data transmission
DE102007046706A1 (en) Control device for vehicles
EP3468849A1 (en) Method for monitoring an abs control process in an electrically controllable brake system and electronically controllable brake system
EP2423060B1 (en) Braking assistance system for a vehicle and method for controlling a braking assistance system for a vehicle
WO2005044633A1 (en) Circuit arrangement for monitoring a vehicle security device
DE102022209301B4 (en) Method for transferring a control device to a safe system state
DE10030002C2 (en) Device for controlling an engine function of a motor vehicle

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20050307

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LI LU MC NL PT RO SE SI SK TR

17Q First examination report despatched

Effective date: 20110222

TPAC Observations filed by third parties

Free format text: ORIGINAL CODE: EPIDOSNTIPA

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20170922

RIC1 Information provided on ipc code assigned before grant

Ipc: G05B 9/02 20060101ALI20040317BHEP

Ipc: G05B 19/418 20060101AFI20040317BHEP