PatentDe  


Dokumentenidentifikation DE102005003916A1 24.08.2006
Titel Überwachen der Funktionssicherheit einer Brennkraftmaschine
Anmelder Siemens AG, 80333 München, DE
Erfinder Geyer, Dirk, 93142 Maxhütte-Haidhof, DE;
Kick, Marco, 93053 Regensburg, DE;
Kraus, Markus, 93197 Zeitlarn, DE
DE-Anmeldedatum 27.01.2005
DE-Aktenzeichen 102005003916
Offenlegungstag 24.08.2006
Veröffentlichungstag im Patentblatt 24.08.2006
IPC-Hauptklasse G05B 19/048(2006.01)A, F, I, 20051017, B, H, DE
IPC-Nebenklasse F02D 41/22(2006.01)A, L, I, 20051017, B, H, DE   
Zusammenfassung Zur Steuerung der Brennkraftmaschine dient eine Mehrzahl von teilweise sicherheitsrelevanten Funktionsaggregaten (220). Jedes solche sicherheitsrelevante Funktionsaggregat enthält mindestens ein Funktionsmodul (340) und mindestens ein Überwachungsmodul (360). Das Überwachungsmodul ist vom zugehörigen Funktionsmodul separiert und überwacht die Funktion des Funktionsmoduls. Ferner weist das Steuergerät eine übergeordnete Überwachungs-Funktionsgruppe (600) auf. Das Überwachungsmodul hat einen Eintrittspunkt (520) zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe. Wird ein Fehler festgestellt, meldet das Überwachungsmodul diesen mittels des Eintrittspunkts an die übergeordnete Überwachungsmodulfunktionsgruppe.

Beschreibung[de]

Die Überwachung sicherheitsrelevanter Eigenschaften von Anlagen, beispielsweise von Brennkraftmaschinen, wird heute durch eine Ebenenstruktur gewährleistet, die auf den sicherheitsrelevanten Funktionsumfang der Anlage im Steuergerät abgebildet ist. Ein Beispiel ist das EGAS (Elektronisches Gaspedal)-Überwachungskonzept entsprechend den Empfehlungen des EGAS-AK des VDA (Verein der Deutschen Automobilindustrie).

Schwierig ist ein derartiges rein ebenenbezogenes Konzept sowohl bei Software-Strukturen, deren Bereitstellung auf verschiedene Software-Lieferanten verteilt ist, als auch bei verteilten Hardware-Strukturen, beispielsweise bei parallelen oder redundanten Strukturen, in denen jeweils Teile der sicherheitsrelevanten Funktionen ausgeführt werden. Weiter sieht das EGAS-Überwachungskonzept eine unabhängige Hardware zur Überwachung von Prozessorfunktionen des funktionsausführenden Rechners vor. Danach muss, wenn unterschiedliche Funktionen von unterschiedlichen Steuergeräten ausgeführt werden, für jedes dieser Steuergeräte eine unabhängige Hardwareeinrichtung für die Überwachung vorgesehen werden, was einen erhöhten Aufwand darstellt.

Bisher konnte bei Softwarestrukturen die Synchronisation und die Problematik der Freigabe oder Umsetzung von Know-how, beispielsweise Schnittstellendefinitionen zur Definition der Überwachungsstruktur, nicht zufrieden stellend gelöst werden. Verteilte Hardware-Strukturen sind noch nicht verbreitet, werden aber im Zuge der so genannten AUTOSAR-Initiative (Automotive Open System Architecture) an Bedeutung gewinnen.

Die Gruppierung von Funktionen, beispielsweise Zündung oder Einspritzung, erfolgt derzeit in so genannten Aggregaten. So kann beispielsweise die gesamte Funktionalität, die mit der Erfassung und Diagnose des Fahrerwunsches über das Gaspedal befasst ist, in einer Gruppe namens DRRQ (driver request, Fahrer-Anforderung) organisatorisch zusammen gefasst werden. Diese Gruppe enthält auch die Diagnosen der Komponente Gaspedal. Da die Funktion der Fahrerwunscherfassung eine sicherheitsrelevante Funktion ist, gibt es bisher in einer Überwachungs-Funktionsgruppe ein Modul, das mit der Absicherung der Funktionen im Aggregat DRRQ befasst ist. Werden nun die Funktionen von DRRQ von einem anderen Hersteller als Produkt (black box) geliefert oder werden diese Funktionen in einem anderen Steuergerät (z.B. carbody controller) ausgeführt, ist die technische und organisatorische Synchronisation der Überwachung schwierig, wenn nicht gar unmöglich, weil etwa zeitliche Anforderungen, beispielsweise Echtzeitkriterien, vorliegen, die durch einen Datenaustausch zwischen Steuergeräten verletzt werden können.

Die Aufgabe der vorliegenden Erfindung besteht darin, einen neuen Weg zu finden, mit dem sich sicherheitsrelevante Strukturen über herstellerseitig bestehende oder produktspezifische Einschränkungen bei Softwareentwicklung und Hardwareplattformen hinweg synchronisieren lassen.

Diese Aufgabe wird durch die Erfindungen mit den Merkmalen der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindungen sind in den Unteransprüchen gekennzeichnet. Der Wortlaut sämtlicher Ansprüche wird hiermit durch Bezugnahme zum Inhalt dieser Beschreibung gemacht.

Erfindungsgemäß wird eine Steuereinrichtung für eine Anlage, insbesondere eine Brennkraftmaschine, vorgeschlagen. Die Steuereinrichtung kann aus einer Mehrzahl von Mikroprozessoren, aus einer Mehrzahl von einzelnen Steuergeräten oder aus einem einzelnen Steuergerät gebildet sein. Im folgenden wird in der Regel kurz von "Steuergerät" gesprochen.

Das Steuergerät weist eine Mehrzahl von Funktionsaggregaten auf. Jedes sicherheitsrelevante Funktionsaggregat enthält mindestens ein Funktionsmodul und mindestens ein Überwachungsmodul. Das Überwachungsmodul ist vom Funktionsmodul separiert und überwacht die Funktion des Funktionsmoduls. Ferner weist das Steuergerät eine übergeordnete Überwachungs-Funktionsgruppe auf. Das Überwachungsmodul hat einen Eintrittspunkt zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe.

Die Module können in Hardware oder Software ausgeführt sein, etwa als einzelne Mikrocontroller. Ein Eintrittspunkt kann beispielsweise eine Schnittstelle oder eine programmtechnische Klasse darstellen oder enthalten, die beispielsweise für eine Parameterübergabe oder eine Übergabe im Sinne eines Übertragungsweges geeignet ist.

Im Ergebnis werden nach der vorbeschriebenen Struktur eigensichere Strukturen definiert. Es wird ein Großteil der Überwachung durch Module in den Funktions-Aggregaten selbst realisiert. Diese Überwachungsmodule kommunizieren mit der übergeordneten Überwachungs-Funktionsgruppe.

Die Vorteile der erfindungsgemäßen Struktur bestehen darin, dass nun eine Funktion als Produkt immer mit den dazugehörigen Überwachungsstrukturen ausgestattet ist. Mithin kann ein Anbieter einer Funktion viel Know-how geheim halten, da er selbst die Überwachungsstrukturen definiert. Es wird sichergestellt, dass die Überwachungsfunktion (übergeordnete Überwachungs-Funktionsgruppe) und die entsprechenden Funktionen bzw. Funktionsaggregate (z. B. DRRQ) stets aufeinander abgestimmt sind.

Auch bei verteilter Hardware werden die sicherheitsrelevanten Funktionen und die zugehörige Überwachung konsistent auf derselben Hardware ausgeführt. Dadurch gibt es kurze Signalwege zwischen Funktion und Überwachung. Dies erlaubt ein schnelles Antwortverhalten, also kurze Latenz und hohe Übertragungssicherheit. Wenn darüber hinaus Zugriffe der Überwachung auf die Hardware, beispielsweise A/D-Wandler oder Zeitgeber, nötig sind, ist dies direkt möglich. Damit entstehen signifikante Vorteile im Echtzeitverhalten.

Es gelingt durch die Definition von eigensicheren Funktionen diese organisatorisch und technisch optimiert einzusetzen. Mit anderen Worten, es lassen sich insbesondere Anpassungsverluste bei der Entwicklung und unsichtbare Interpretationslücken schon bei Schnittstellendefinitionen vermeiden, die bei herkömmlichen Ansätzen mit dem erforderlichen Know-how-Transfer verbunden sind.

Neben der Auslösung einer zentralen Fehlerbearbeitung bzw. Fehlerreaktion und deren Behandlung in der übergeordneten Überwachungs-Funktionsgruppe kann vorgesehen werden, eine Struktur von verteilten Fehlerreaktionen zu implementieren. Bisher wurde bei erkannten Fehlern im Motorsteuergerät die Fehlerreaktion für diese Einrichtung global ausgelöst, beispielsweise durch Abschalten von leistungsbestimmenden Endstufen mit der Folge eines abgeschalteten Motors oder Triebwerks. Vorteilhafterweise ist vorgesehen, beim Auftreten eines Fehlers in einem der verteilten Steuergeräte, beispielsweise im Pedalsteuergerät mit der Funktion DRRQ, die Fehlerinformation in der übergeordneten Überwachungs-Funktionsgruppe bzw. im Überwachungsmodul so auszuwerten, dass lediglich das jeweilige fehlerhafte Signal, beispielsweise der Pedalwert, auf einen sicheren Wert, z. B. Null, gesetzt wird und die Einrichtung ansonsten mit der verbleibenden Verfügbarkeit genutzt werden kann.

Weiterhin kann die Übertragung der sicherheitsrelevanten Signale, insbesondere bei verteilten Steuergeräten derart erfolgen, dass beispielsweise zunächst für den Übertragungsweg zwischen dem jeweiligen Überwachungsmodul und der übergeordneten Überwachungs-Funktionsgruppe ein Sender und ein Empfänger definiert werden. Weiter kann eine sichere Übertragung derart definiert werden, dass für die Sicherheit des Inhalts einer Nachricht, eines Zeitstempels oder Messwertes beispielsweise immer das sendende Steuergerät die Verantwortung trägt. Entsprechend kann definiert werden, dass das empfangende Steuergerät den Übertragungsweg grundsätzlich absichern bzw. plausibilisieren muss. Danach ist also beispielsweise das eigenständige Aggregat DRRQ, das einen Dateninhalt sendet, betreuend für dessen inhaltliche Richtigkeit zuständig bzw. verantwortlich, beispielsweise durch eine geeignete Kodierung oder eine Integritätsprüfung. Die übergeordnete Überwachungs-Funktionsgruppe ist zuständig für den Betrieb der Übertragungsstrecke, beispielsweise für das Bereitstellen einer internen oder externen Datenbusverbindung, für die Signalisierung, für die Einhaltung eines Übertragungsablaufes, eines Zeitverhaltens oder für ähnliche Funktionalitäten.

Durch die erfindungsgemäße Definition von eigensicheren Funktionen wird damit sowohl die Herstellung von sicheren Funktionen oder Software als Produkt im Sinne des Produkthaftungsgesetzes als auch die Unterstützung von verteilten Hardwarezellen mit sicheren Eigenschaften, auch im Sinne eines sicheren Produktes, möglich.

Die Definition der eigensicheren Funktionen ermöglicht zusätzlich, beispielsweise eine Funktion samt ihrer Überwachungsstrukturen nicht nur flexibel innerhalb eines Systems zu platzieren oder zu verschieben, sondern es ist auch möglich, diese bei vernetzten Systemen sogar über eine sog. Hardwaregrenze hinaus dynamisch relokalisierbar zu halten, d. h. beispielsweise kann eine Motorsteuerungsfunktionalität in die Getriebesteuerungsfunktionalität nach z. B. lastdynamischen Kriterien einer Netzwerktopologie mit verteilten Ressourcen bereichsübergreifend verlagert werden.

Mithin erlaubt die Erfindung eine abgestimmte und sichere Entwicklung für eine Anordnung mit sicherheitsrelevanten Funktionen. Die Reifezeit wird verkürzt, die Kosten verringert.

Ein Ausführungsbeispiel der vorliegenden Erfindung weist die wesentlichen relevanten Funktionsgruppen einer EGAS-Motorsteuerung und deren Überwachung auf der Basis der Definition der eigensicheren Funktionen auf.

Die Steuereinrichtung kann sehr flexibel aufgebaut sein. Insbesondere können mindestens zwei sicherheitsrelevante Funktionsaggregate vorgesehen sein, die auf jeweils eigenständigen Hardware-Komponenten gerechnet werden. D, h. ganze Aggregate oder auch nur einzelne Funktionen können inklusive ihres Überwachungsmoduls über Hardwaregrenzen hinweg verschoben werden. Auf diese Weise ergibt sich eine verteilte Steuereinrichtung.

Zur Lösung der Aufgabe dient auch ein Verfahren. Im Folgenden werden die einzelnen Verfahrensschritte näher beschrieben. Die Schritte müssen nicht notwendigerweise in der angegebenen Reihenfolge durchgeführt werden, und das Verfahren kann auch weitere, nicht genannte Schritte aufweisen.

Zunächst wird eine Mehrzahl von Funktionsaggregaten zur Steuerung der Anlage ausgebildet, wobei die Funktionsaggregate derart ausgebildet werden, dass jedes Funktionsaggregat ein Funktionsmodul und ein Überwachungsmodul enthält. Die Funktionsaggregate werden derart ausgebildet, dass das Überwachungsmodul vom Funktionsmodul separiert ist. Ferner wird eine übergeordnete Überwachungs-Funktionsgruppe ausgebildet. Im Überwachungsmodul wird ein Eintrittspunkt zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe vorgesehen. Das Überwachen von Fehlern des Funktionsmoduls erfolgt durch das Überwachungsmodul. Ein festgestellter Fehler wird durch das Überwachungsmodul mittels des Eintrittspunkts an das übergeordnete Überwachungsmodul gemeldet.

Ferner gehört zum Umfang der Erfindung ein Computerprogramm, das bei Ablauf auf einem Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks das erfindungsgemäße Verfahren in einer seiner Ausgestaltungen ausführt.

Weiterhin gehört zum Umfang der Erfindung ein Computerprogramm mit Programmcode-Mitteln, um das erfindungsgemäße Verfahren in einer seiner Ausgestaltungen durchzuführen, wenn das Programm auf einem Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks ausgeführt wird. Insbesondere können die Programmcode-Mittel auf einem computerlesbaren Datenträger gespeichert sein.

Außerdem gehört zum Umfang der Erfindung ein Datenträger, auf dem eine Datenstruktur gespeichert ist, die nach einem Laden in einen Arbeits- und/oder Hauptspeicher eines Computers oder einer Mehrzahl von Computern eines Computer-Netzwerks das erfindungsgemäße Verfahren in einer seiner Ausgestaltungen ausführen kann.

Auch gehört zum Umfang der Erfindung ein Computerprogramm-Produkt mit auf einem maschinenlesbaren Träger gespeicherten Programmcode-Mitteln, um das erfindungsgemäße Verfahren in einer seiner Ausgestaltungen durchzuführen, wenn das Programm auf einem Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks ausgeführt wird.

Dabei wird unter einem Computer-Programmprodukt das Programm als handelbares Produkt verstanden. Es kann grundsätzlich in beliebiger Form vorliegen, so zum Beispiel auf Papier oder einem computerlesbaren Datenträger und kann insbesondere über ein Datenübertragungsnetz verteilt werden.

Schließlich gehört zum Umfang der Erfindung ein moduliertes Datensignal, welches von einem Computersystem oder von einer Mehrzahl von Computern eines Computer-Netzwerks ausführbare Instruktionen zum Ausführen des erfindungsgemäßen Verfahrens in einer seiner Ausgestaltungen enthält. Als Computersystem kommen sowohl ein Stand-alone Computer in Betracht, als auch ein Netzwerk von Rechnern, beispielsweise ein hausinternes, geschlossenes Netz, oder auch Rechner, die über das Internet miteinander verbunden sind. Ferner kann das Computersystem durch eine Client-Server-Konstellation realisiert sein, wobei Teile der Erfindung auf dem Server, andere auf einem Client ablaufen.

Weitere Einzelheiten und Merkmale der Erfindung ergeben sich aus der nachfolgenden Beschreibung von bevorzugten Ausführungsbeispielen in Verbindung mit den Unteransprüchen. Hierbei können die jeweiligen Merkmale für sich alleine oder zu mehreren in Kombination miteinander verwirklicht sein. Die Erfindung ist nicht auf die Ausführungsbeispiele beschränkt.

Die Ausführungsbeispiele sind in den Figuren schematisch dargestellt. Gleiche Bezugsziffern in den einzelnen Figuren bezeichnen dabei gleiche oder funktionsgleiche bzw. hinsichtlich ihrer Funktionen einander entsprechende Elemente. Im Einzelnen zeigt:

1 eine schematische Darstellung einer elektronischen Motorsteuerung;

2 einen Ausschnitt eines ersten Ebenen-Modells gemäß dem Stand der Technik;

3 ein zweites Ebenen Modell gemäß einer ersten Ausführungsform der vorliegenden Erfindung; und

4 ein Prinzipschema des Verfahrens zum Überwachen der Funktionssicherheit einer Anlage, insbesondere einer Brennkraftmaschine.

In 1 ist das Prinzipschema einer Motorsteuerung 100 dargestellt. Bei der Motorsteuerung 100 erfolgen der Signalfluss 102 von den verschiedenen Sensoren und Sollwertgebern (z. B. Fahrpedaleinstellung, Drosselklappenstellung, Luftmasse, Batteriespannung, Ansauglufttemperatur, Motortemperatur, Klopfintensität, Lambda-Sonden) und der Signalfluss 104 (z. B.

Kurbelwellendrehzahl, Nockenwellenstellung, Getriebestufe, Geschwindigkeit) über die Input/Output-Ports 106 und 108 und weiter von den Ports über die Verbindungen 110 und 112 zum Mikrocontroller 114 und seinen Komponenten. Im OTP-Block (One-Time Programmable-Block) 116 ist das Programm gespeichert, welches der Mikrocontroller 114 ausführen soll. Der Datenfluss zwischen Mikrocontroller 114 und OTP-Block 116 erfolgt über die Verbindung 118. Über die Verbindung 120 erfolgt der Datentransfer zwischen dem Mikrocontroller 114 und dem CAN-Bus 122. Der CAN-Bus 122 ermöglicht es, alle Geräte über ein einziges Kabel miteinander zu vernetzen. Der Datentransfer zwischen dem Mikrocontroller 114 und einem Diagnosesystem 124 erfolgt über die Verbindung 126.

Der Mikrocontroller 114 mit seinen Komponenten realisiert seine Funktionen auf der Grundlage des im OTP-Block 116 gespeicherten Programms. Nach der Verarbeitung der Signale von den Sensoren und Sollwertgebern 102, 104 im Mikrocontroller 114 erfolgt der weitere Signalfluss vom Mikrocontroller 114 über die Verbindungen 128, 130, 132, 134 und über die Input/Output-Ports 136, 138, 140, 142 zu den verschieden Aktoren 144 (z. B. Zündspulen und Zündkerzen), 146 (z. B. Drosselklappensteller), 148 (z. B. Einspritzventile) und 150 (z. B. Hauptrelais, Motordrehzahlmesser, Kraftstoffpumpenrelais, Heizung Lambda-Sonde, Nockenwellensteuerung, Tankentlüftung, Saugrohrumschaltung, Sekundärluft, Abgasrückführung).

Auf Grund einer steigenden Anzahl ihrer zahlreichen Ein- und Ausgangsgrößen sind diese Regelungen in Kraftfahrzeugen sehr komplex, sodass zur Realisierung dieser Aufgaben moderne Regelungssysteme auf der Basis von Mikrocontrollern 114 eingesetzt werden.

Da in modernen Fahrzeugen immer zahlreichere unterschiedliche Sensoren zum Einsatz kommen, deren Messdaten zeitnah berücksichtigt werden müssen, ist die Anzahl der Input-/Output-Ports 106, 108, 136, 138, 140, 142 einer Motorsteuerung 100 ständig vergrößert worden. Daher werden zunehmend Mikrocontroller 114 mit sehr hoher Rechenleistung eingesetzt, wobei die Funktionalitäten der Steuergerätesoftware modifizierbar sind, damit sie in effektiver Weise an die spezifischen Bedürfnisse der verschiedenen Benutzer angepasst werden können.

In 2 ist ein Bereich des Steuergeräts als ein Ebenenmodell 10 nach Stand der Technik schematisch dargestellt.

Das Ebenenmodell 10 weist eine Schicht 20 – die Überwachungs-Funktionsgruppe – auf, die Überwachungsfunktionen ausführt. Auf der Überwachungsschicht 20 nach oben aufbauend, ist eine Funktionsschicht 40 vorgesehen, die weitere Module bzw. Aggregate umfasst und die beiden vorgenannten Schichten 20 und 40 über Eintrittspunkte, wie beispielsweise Eintrittspunkt 60, verbindet. Dabei kann der Eintrittspunkt 60 beispielsweise eine Schnittstelle oder eine Klasse einer Programmiersprache darstellen oder enthalten, die beispielsweise für eine Parameterübergabe oder eine Übergabe im Sinne eines Übertragungsweges geeignet ist. Eine Mehrzahl von Übertragungswegen kann als ein Kanalbündel oder eine Netzwerkverbindung ausgebildet sein, auf dem bzw. der Übertragungsprotokolle eingesetzt werden können.

Die Funktionsschicht 40 trägt als Einrichtung sicherheitsrelevante Funktionen, die in der erfindungsgemäßen Ausführungsform beispielhaft ein DRRQ-Aggregat 80 und eine Mehrzahl an weiteren Aggregaten sind, insbesondere ein erstes Aggregat (AGGR_2) 151, sowie weitere Aggregate AGGR_x 152, AGGR_y 153 und AGGR_z 160.

In der Überwachungsschicht 20 sind eine Mehrzahl an (gestrichelt dargestellten) Modulen vorgesehen, beispielsweise ein Modul 180. Dabei trägt oder enthält die Schicht 20 die jeweiligen Überwachungsfunktionen des DRRQ-Aggregates 80 bzw. der sonstigen Aggregate 151, 152, 153 und 160.

3 zeigt die erfindungsgemäße Ausführungsform gemäß einem Ebenenmodell 200. Im Vergleich zu dem Ebenenmodell 10 gemäß 2 ist das DRRQ-Aggregat 220 und ein aus einer Mehrzahl an Aggregaten ausgewähltes Aggregat AGGR_2 240 gekapselt aufgebaut, so dass die Module für die sicherheitsrelevante Funktion und die Überwachungsfunktion blockartig verbunden wurden. Dabei weist das Aggregat 220 einen internen Trennungsbereich 320 auf, der innerhalb des Aggregats eine Unterteilung zwischen der sicherheitsrelevanten Funktion 340 und der Überwachungsfunktion 360 vornimmt. Mithin werden im DRRQ-Aggregat 220 als ein eigenständiges Modul oberhalb des Trennungsbereiches 320, der beispielsweise als Schnittstellenbereich ausgebildet ist, ein Funktionsmodul 340 für sicherheitsrelevante Funktionen und unterhalb ein Überwachungsmodul 360 mit Überwachungsfunktionen ausgebildet.

Das Aggregat DRRQ 220 und die Mehrzahl der sonstigen Aggregate weisen weiter die Besonderheit auf, dass sich in der Ebene der jeweiligen Überwachungsfunktion jeweils ein Eintrittspunkt befindet, wobei hier exemplarisch der Eintrittspunkt 520 herausgegriffen wurde, mit dem die jeweilige Überwachungsfunktion des DRRQ-Aggregates 220 oder des Aggregates AGGR_2 240 (über den Eintrittspunkt 540) der übergeordneten Überwachungs-Funktionsgruppe 600 zugeführt wird. Mithin erfolgt die Einkopplung der Überwachungsfunktionen 360 in die übergeordnete Überwachungs-Funktionsgruppe 600 an wenigen genau definierten Punkten 520, 540.

Auf einem beispielshalber durch zwischen dem Eintrittspunkt 520 und der übergeordneten Überwachungs-Funktionsgruppe 600 gebildeten Übertragungsweg 700, der auch bidirektional vorgesehen werden kann, können neben der Übertragung z.B. von Fehlerinformationen oder gesicherten Ausgangsgrößen auch Funktionsbefehle und Rückmeldungen zur Überwachung von Prozessorfunktionen übertragen werden. Vorteilhaft kann damit eine eigene Absicherungshardware eingespart werden, die die sicherheitsrelevante Funktion ausführt.

4 verdeutlicht das Verfahren. Im ersten Schritt 400 wird eine Mehrzahl von sicherheitsrelevanten Funktionsaggregaten zur Steuerung der Anlage ausgebildet. Im nächsten Schritt 402 werden die Funktionsaggregate derart ausgebildet, dass jedes Funktionsaggregat ein Funktionsmodul und ein Überwachungsmodul enthält. Im nächsten Schritt 404 werden die Funktionsaggregate derart ausgebildet, dass das Überwachungsmodul 360 vom Funktionsmodul 340 separiert ist. Im nächsten Schritt 406 wird eine übergeordnete Überwachungs-Funktionsgruppe 600 ausgebildet. Im darauf folgenden Schritt 408 wird im Überwachungsmodul 360 ein Eintrittspunkt zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe 600 vorgesehen. Das Überwachen von Fehlern des Funktionsmoduls 340 erfolgt im nächsten Schritt 410 durch das Überwachungsmodul 360. Im nächsten Schritt 412 wird ein festgestellter Fehler durch das Überwachungsmodul 360 mittels des Eintrittspunkts an das übergeordnete Überwachungsmodul 600 gemeldet.


Anspruch[de]
  1. Steuereinrichtung für eine Anlage, insbesondere eine Brennkraftmaschine,

    a) mit einer Mehrzahl von sicherheitsrelevanten Funktionsaggregaten (220);

    b) wobei jedes sicherheitsrelevante Funktionsaggregat (220) mindestens ein Funktionsmodul (340) und mindestens ein Überwachungsmodul (360) enthält;

    c) wobei jedes Überwachungsmodul (360) vom zugehörigen Funktionsmodul (340) separiert ist und die Funktion des Funktionsmoduls überwacht;

    d) mit einer übergeordneten Überwachungs-Funktionsgruppe (600);

    e) wobei das Überwachungsmodul (360) einen Eintrittspunkt (520) aufweist zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe (600).
  2. Steuereinrichtung nach dem vorhergehenden Anspruch, dadurch gekennzeichnet dass es einen Übertragungsweg (700) zwischen jedem eigenständigen Überwachungsmodul (360) und der übergeordneten Überwachungs-Funktionsgruppe (600) aufweist, auf dem Fehlerinformationen, Funktionsbefehle und Rückmeldungen übertragen werden.
  3. Steuereinrichtung nach dem vorhergehenden Anspruch, gekennzeichnet durch eine Mehrzahl von Übertragungswegen, die ein Übertragungsnetzwerk bilden.
  4. Steuereinrichtung nach einem der beiden vorhergehenden Ansprüche, dadurch gekennzeichnet dass der Übertragungsweg (700) eine dynamisch auf- und abbaubare Übertragungsstrecke ist.
  5. Steuereinrichtung nach einem der drei vorhergehenden Ansprüche, dadurch gekennzeichnet dass der Übertragungsweg (700) einen Sender und einem Empfänger aufweist, wobei der Sender für den Inhalt der Übertragung zuständig ist und der Empfänger für den Übertragungsweg zuständig ist.
  6. Steuereinrichtung nach dem vorhergehenden Anspruch, dadurch gekennzeichnet

    dass der Sender als eigenständiges Überwachungsmodul (360) ausgebildet ist; und

    dass der Empfänger die übergeordnete Überwachungs-Funktionsgruppe (600) ist.
  7. Steuereinrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet dass die übergeordnete Überwachungsfunktionsgruppe (600) eine Struktur zur Fehlerbearbeitung aufweist.
  8. Steuereinrichtung nach dem vorhergehenden Anspruch, dadurch gekennzeichnet dass die Struktur zur Fehlerbearbeitung verteilt ist.
  9. Steuereinrichtung nach einem der vorhergehenden Ansprüche, gekennzeichnet durch mindestens zwei sicherheitsrelevante Funktionsaggregate (220), die auf jeweils eigenständigen Hardware-Komponenten gerechnet werden.
  10. Steuereinrichtung nach einem der vorhergehenden Ansprüche, gekennzeichnet durch mindestens zwei sicherheitsrelevante Funktionsmodule (340), die zusammen mit ihrem jeweiligen Überwachungsmodul (360) auf jeweils eigenständigen Hardware-Komponenten gerechnet werden.
  11. Verfahren zum Überwachen der Funktionssicherheit einer Anlage, insbesondere einer Brennkraftmaschine, mit folgenden Schritten:

    a) Ausbilden einer Mehrzahl von sicherheitsrelevanten Funktionsaggregaten (220) zur Steuerung der Anlage;

    b) wobei die Funktionsaggregate derart ausgebildet werden, dass jedes Funktionsaggregat (220) mindestens ein Funktionsmodul (340) und mindestens ein Überwachungsmodul (360) enthält;

    c) wobei die Funktionsaggregate derart ausgebildet werden, dass das jedes Überwachungsmodul (360) vom zugehörigen Funktionsmodul (340) separiert ist;

    d) Ausbilden einer übergeordneten Überwachungs-Funktionsgruppe (600);

    f) Ausbilden eines Eintrittspunkts (520) im Überwachungsmodul (360) zur Kommunikation mit der übergeordneten Überwachungs-Funktionsgruppe (600);

    g) Überwachen von Fehlern des Funktionsmoduls (340) mittels des Überwachungsmoduls (360); und

    h) Melden eines festgestellten Fehlers durch das Überwachungsmodul (360) mittels des Eintrittspunkts (520) an das übergeordnete Überwachungsmodul (600).
  12. Computerprogramm, dadurch gekennzeichnet, dass es bei Ablauf auf einem Mikrocontroller, Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks oder auf einer Mehrzahl von Mikrocontrollern eines Mikrocontroller-Netzwerks das Verfahren nach dem Verfahrensanspruch ausführt.
  13. Computerprogramm mit Programmcode-Mitteln, um ein Verfahren gemäß dem Verfahrensanspruch durchzuführen, wenn das Computerprogramm auf einem Mikrocontroller, Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks oder auf einer Mehrzahl von Mikrocontrollern eines Mikrocontroller-Netzwerks ausgeführt wird.
  14. Computerprogramm mit Programmcode-Mitteln gemäß dem vorhergehenden Anspruch, die auf einem computerlesbaren Datenträger gespeichert sind.
  15. Datenträger, auf dem eine Datenstruktur gespeichert ist, die nach einem Laden in einen Arbeits- und/oder Hauptspeicher eines Computers oder einer Mehrzahl von Computern eines Computer-Netzwerks das Verfahren nach dem Verfahrensanspruch ausführt.
  16. Computerprogramm-Produkt mit auf einem maschinenlesbaren Träger gespeicherten Programmcode-Mitteln, um alle Schritte gemäß dem Verfahrensanspruch durchzuführen, wenn das Programm auf einem Computer oder auf einer Mehrzahl von Computern eines Computer-Netzwerks ausgeführt wird.
  17. Moduliertes Datensignal, welches von einem Computersystem oder von einer Mehrzahl von Computern eines Computer-Netzwerks ausführbare Instruktionen zum Ausführen eines Verfahrens nach dem Verfahrensanspruch enthält.
Es folgen 3 Blatt Zeichnungen






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com