[go: up one dir, main page]

DE10316805B4 - Verfahren und Vorrichtung zur Erhöhung der Betriebssicherheit einer elektrischen Komponente - Google Patents

Verfahren und Vorrichtung zur Erhöhung der Betriebssicherheit einer elektrischen Komponente Download PDF

Info

Publication number
DE10316805B4
DE10316805B4 DE10316805A DE10316805A DE10316805B4 DE 10316805 B4 DE10316805 B4 DE 10316805B4 DE 10316805 A DE10316805 A DE 10316805A DE 10316805 A DE10316805 A DE 10316805A DE 10316805 B4 DE10316805 B4 DE 10316805B4
Authority
DE
Germany
Prior art keywords
microcontroller
load
control signal
crtl
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10316805A
Other languages
English (en)
Other versions
DE10316805A1 (de
Inventor
Bernhard Förstl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to DE10316805A priority Critical patent/DE10316805B4/de
Priority to FR0403704A priority patent/FR2853966B1/fr
Priority to US10/821,782 priority patent/US20040216940A1/en
Publication of DE10316805A1 publication Critical patent/DE10316805A1/de
Application granted granted Critical
Publication of DE10316805B4 publication Critical patent/DE10316805B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05BLOCKS; ACCESSORIES THEREFOR; HANDCUFFS
    • E05B81/00Power-actuated vehicle locks
    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05BLOCKS; ACCESSORIES THEREFOR; HANDCUFFS
    • E05B81/00Power-actuated vehicle locks
    • E05B81/54Electrical circuits
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05BLOCKS; ACCESSORIES THEREFOR; HANDCUFFS
    • E05B77/00Vehicle locks characterised by special functions or purposes
    • E05B77/46Locking several wings simultaneously
    • E05B77/48Locking several wings simultaneously by electrical means
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25413Interrupt, event, state change triggered
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2628Door, window
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Control Of Electric Motors In General (AREA)

Abstract

Verfahren zur Erhöhung der Betriebssicherheit einer elektrischen Komponente, insbesondere von elektrischer Komponenten in einem Fahrzeug,
bei dem ein Steuersignal (lcrtl) von einem Mikrocontroller (µC) erzeugt wird, um eine Last (M) anzusteuern,
bei dem das Steuersignal (lcrtl) verstärkt wird;
bei dem eine Schaltzustandsänderung der Last (M) aktiv detektiert wird,
wobei eine Störung (S) des Steuersignals (lcrtl) während sich der Mikrocontroller in einem Ruhemodus befindet durch Erfassen einer Änderung bezüglich des verstärkten Steuersignals durch einen wake up-fähigen Interrupt-Eingang (IRQ) oder einen Eingang (I/O) für einen non maskable Interrupt (NMI) als Diagnose-Rücklese-Port des Mikrocontrollers (µC) erkannt wird.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur Erhöhung der Betriebssicherheit einer oder mehrerer elektrischer Komponenten, insbesondere elektrischer Komponenten in einem Fahrzeug, gemäß dem Oberbegriff von Anspruch 1 und eine dementsprechend ausgebildete Vorrichtung nach dem Oberbegriff von Anspruch 4.
  • Unter dem Begriff der elektrischen Komponenten sollen im Rahmen der vorliegenden Erfindung auch elektronische Komponenten verstanden werden. Elektrische Schutzvorrichtungen zur Erhöhung der Betriebssicherheit elektrischer Komponenten sind seit langem bekannt. Allen benannten Bauformen von elektrischen Schutzvorrichtungen ist jedoch gemeinsam, dass sie z. B. als Schmelzsicherungen auch in der Form von Chip- oder Mikrosicherungen zum Schutz von Leistungsversorgungs- und Kontrollfunktionen durch einen jeweils beanspruchten Bauraum zunehmend schwerer in Schaltungen integrierbar sind.
  • Eine besonders gravierende Situation tritt innerhalb einer Fahrzeug-Elektronik oder einer Fahrzeug-Controllereinheit auf. Hierauf wird nachfolgend exemplarisch im Detail eingegangen. Im Kraftfahrzeugbereich werden hohe Anforderungen an die Sicherheit von Fahrgästen und Fahrzeugführen gestellt. Der Umfang von elektrisch abzusichernden Leistungsfunktionen wird so insbesondere in Personenkraftfahrzeugen in naher Zukunft insgesamt weiterhin stark anwachsen, und damit auch die Anzahl von Fahrzeug-Controllereinheiten. Ein jeweils vorhandener Platz für derartige Einheiten ist jedoch stark be grenzt. So verursacht eine Integration von elektrischen Schutzmaßnahmen in Controllereinheiten im Hinblick auf eine jeweilige Platzierung und einen jeweiligen Raumbedarf schon heute große Probleme.
  • Jenseits eines einfachen Überlastungsschutzes, also eines Schutzes gegen zu hohe Ströme, Spannungen, Temperaturen etc. sind Schutzvorrichtungen noch wesentlich komplexer. Auch in ihrer Realisation sind derartige Schutzvorrichtungen aufwendiger, als z. B. eine Schmelzsicherung. Diese Schutzvorrichtungen werden üblicher Weise als Mikrocontrollerschaltungen ausgeführt, deren Aufgabe auch in der Überwachung der Funktion angeschlossener oder zu schaltender Lasten liegt. So stellen beispielsweise die Motoren einer Zentralverriegelungsvorrichtung innerhalb eines Kraftfahrzeugs Lasten dar, die in der Applikation als niederohmige Lasten bei vergleichsweise hohen Strömen nur sehr kurzzeitig betätigt werden, in der Regel nur ca. 400 ms lang. Diese kurze Ansteuerungszeit reicht aus, um die Zentralverriegelung eines Fahrzeugs in den gewünschten Zustand zu bringen. Aufgrund der kurzen Ansteuerzeit können die Querschnitte der Leitungen, die elektrischen Komponenten, deren Auslegung und Dimensionierung bzw. allgemein gesprochen der Aufwand für eine Verlustwärmeableitung eines hohen Stromflusses dennoch gering gehalten werden.
  • Bei bekannten und vorveröffentlichten Sicherheitsvorrichtungen der Anmelderin erfolgt die Diagnose einer jeweils zu schaltenden Hochstromlast oder eines sicherheitsrelevanten Verbrauchers entweder vor dem Einschalten der Last oder unmittelbar nach Aktivierung des entsprechenden Ausgangs an einem Controller. Dabei ist der Controller im Wesentlichen auch nur während der Zeitspanne aktiv geschaltet, in der die jeweilige Last anzusteuern ist. Ein zeitlich zwischen den ge genannten Zeitpunkten auftretendes Fehlverhalten kann dadurch prinzipiell nicht detektiert werden. Eine unerkannte Störung kann somit zu sicherheitskritischen Betriebszuständen führen und z. B. einen Kabelbrand im Fahrzeug hervorrufen, oder aber eine unerwünschte und unkontrollierte Aktivierung sicherheitsrelevanter Stellglieder bewirken.
  • Aus der DE 44 09 361 C1 ist eine Vorrichtung bekannt, bei der zur Erhöhung der Betriebssicherheit die Ansteuerung einer Last einer elektrischen Komponente in einem Fahrzeug durch einen Microcontroller zusätzlich zu der Detektion einer Schaltzustandsänderung der elektrischen Komponente ständig, dass heißt unabhängig von Zeitpunkt der Ansteuerung der elektrische Zustand der Steuerleitung überwacht wird.
  • Aus der EP 0 806 536 A1 ist ein Überwachungssystem für Kraftfahrzeug-Zentralverriegelungen bekannt, welches eine Diagnose einer Funktion der mittels Microcontroller durchgeführten Steuerung des Systems umfasst. Im Rahmen dieser Kontrolle werden abhängig vom Versagen ausgewählter Steuerstufen Abhilfemaßnahmen eingeleitet, beispielsweise eine „Reset-Funktion” durchgeführt.
  • Aus der DE 196 18 094 C2 ist eine Steuerschaltung mit nachstimmbaren Standby-Oszillator bekannt. Die Steuerschaltung ist zu Zeiten ohne Steuerbedarf in einen Standby-Betrieb schaltbar und während des Standby-Betriebs wiederholt durch eine kurze Aufweckzeit in einen Vollbetrieb rückschaltbar. Der Standby-Oszillator wird währen Aufweckzeiten und der zur Hilfenahme des Hauptoszillators nachbestimmt.
  • Aufgabe der vorliegenden Erfindung ist es, eine verbesserte Vorrichtung und ein Verfahren zur Erhöhung der Betriebssi cherheit einer oder mehrerer elektrischer Komponenten unter Berücksichtigung der vorstehend genannten Art von Fehlermechanismen zu schaffen.
  • Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den Merkmalen von Anspruch 1 sowie durch ein System als Vorrichtung mit den Merkmalen von Anspruch 6 gelöst.
  • Eine Vorrichtung zur Erhöhung der Betriebssicherheit elektrischer Komponenten als Last weist demnach erfindungsgemäß Detektionsmittel zum aktiven Detektieren einer Schaltzustandsänderung einer jeweiligen Last auf, die unabhängig von einem Zeitpunkt einer aktiven Ansteuerung eines Mikrocontrollers auf den Mikrocontroller und/oder eine übergeordnete Kontrolleinheit einwirken.
  • In einer Weiterbildung der Erfindung wird eine Diagnoserückführung auf einen ”wake up”-fähigen Interrupt-Eingang gelegt, vorzugsweise einen Interrupt des Mikrocontrollers als Kontrollorgan. In einer Ausführungsform der Erfindung wird zur Diagnoserückführung ein Eingang für einen nicht ausblendbaren bzw. non maskable Interrupt als Diagnose-Rücklese-Port benutzt. Alternativ werden Rückmeldungen über eine Zustandsänderung über einen Bus an eine übergeordnete Kontroll-Instanz versandt. Als verbreiteten Bus-Standard bietet sich bei Kraftfahrzeugen der CAN-Bus mit der Möglichkeit einer Priorisierung bestimmter Meldungen an.
  • Ferner wird vorteilhafterweise eine Diagnose durchgeführt. Dabei wird festgestellt, ob der vorliegende Fehler durch den Mikrocontroller alleine überhaupt behoben werden kann. Im Fall eines gravierenden Fehlers ohne Korrekturmöglichkeit durch den Mikrocontroller wird eine Abschaltung oder eine andere Maßnahme zur Abhilfe durch eine dem Mikrocontroller übergeordnete Instanz vorgenommen.
  • Weitere vorteilhafte Ausgestaltungen sind Gegenstand der jeweiligen Unteransprüche.
  • Die vorliegende Erfindung wird nachfolgend zur Darstellung weiterer Merkmale und Vorteile unter Bezugnahme auf die beigefügte Zeichnung anhand bevorzugter Ausführungsbeispiele in schematischer Darstellung näher erläutert. Es zeigen:
  • 1: eine Prinzipskizze eines erfindungsgemäßen Schaltkreises;
  • 2: eine Darstellung eines Zeitverhaltens im Störungsfall;
  • 3: eine Darstellung eines erweiterten Schaltkreises mit einer nicht aktiv behebbaren Störung;
  • 4: eine Prinzipskizze eines Schaltkreises nach dem Stand der Technik und
  • 5: eine Darstellung eines Zeitverhaltens des Schaltkreises nach 4 in einem Störungsfall.
  • Ein Schaltkreis 1 nach dem Stand der Technik umfasst als steuerndes Element einen Mikrocontroller µC, der durch ein Steuersignal lcrtl eine Last über einen Leistungsverstärker oder Schalter L ansteuert, siehe 4. Die Last, hier ein Motor M, erhält ein Ansteuersignal lact. Dieses Ansteuersignal lact wird hier über einen Spannungsteiler als Diagnosesignal Diag teilweise an den Mikrocontroller µC zurückgeführt. Hierdurch wird bestätigt, dass das Steuersignal lcrtl auch durch das Ansteuersignal lact zum Einschalten des Motors M korrekt umgesetzt worden ist.
  • Eine solche Schaltung 1 wird bekannter Weise in Kraftfahrzeugen zur Ansteuerung und Kontrolle von Motoren M einer Zentralverriegelungsvorrichtung eingesetzt. Die Motoren M stellen hierbei eine niederohmige Last dar, die mit hohen Strömen nur kurzzeitig angesteuert werden. Die kurze Ansteuerzeit von z. B. 400 ms reicht jedoch aus, um die Zentralverriegelung eines Fahrzeugs in den gewünschten Zustand zu bringen. Aufgrund der kurzen Ansteuerzeit können die Querschnitte der Leitungen und die elektrischen Komponenten in ihrem gesamten Dimensionierung im Hinblick auf eine Ableitung von Verlustwärme gering gehalten werden, obgleich in einem aktiven Zustand der Schaltung relativ hohe Ströme fließen.
  • Eine Diagnose eines Motors M als zu schaltender „Hochstromlast” erfolgt durch den Mikrocontroller µC in einem Zeitfenster, das in der Abbildung von 5 strich-punktiert umrandet ist. Die Diagramme von 5 stellen den zeitlichen Signalverlauf in dem Mikrocontroller µC anhand eines hin durchfließenden Stromes I und den Verlauf des Ansteuersignals lact dar, das an der Last M anliegt.
  • Der Signalverlauf in dem Mikrocontroller µC zeigt, dass generell Perioden TµCrun mit aktivem Mikrocontroller µC von Zeitabschnitten zu unterscheiden sind, in denen der Mikrocontroller µC in einen Ruhemodus geschaltet ist. Perioden im Ruhemodus sind mit TµCstop gekennzeichnet. Demnach erfolgt eine Diagnose des Motors M im vorliegenden Fall zu einem Zeitpunkt t1 vor dem Einschalten der Last M und zu einem Zeitpunkt t2 unmittelbar nach Aktivierung des entsprechenden Ausgangs am Controller µC. In beiden Fällen muss der Mikrocontroller µC aktiv geschaltet bzw. eingeschaltet sein. Alternativ kann auch einer dieser Diagnosezustände wenigstens nach dem Stand der Technik als ausreichend erachtet werden. Diese Möglichkeiten werden hier nicht weiter verfolgt.
  • Durch nicht weiter dargestellte Steuersignale lcrtl wird nun bei eingeschaltetem Mikrocontroller µC die Last M selber kontrolliert und geregelt für eine Zeitspanne Ta aktiv geschaltet. Es schließt sich an diese Aktivphase Ta von 400 ms bei dem Antriebsmotor M einer Zentralverriegelungseinrichtung eine Ruhephase Ti mit deaktivierter Last M an. In der Ruhephase Ti ist der Mikrocontroller µC selber auch abgeschaltet, wie durch den Abschnitt TµCstop in dem Diagramm von 5 mit dem geringen Stromfluss durch den Mikrocontroller µC gekennzeichnet ist.
  • Zu einem Zeitpunkt ts verursacht nun eine äußere Störung S ein unerwünschtes Aktivieren der Last M über einen Zeitraum Ta*. Hier wird diese Störung S als magnetischer Puls in dem Steuersignal lcrtl angenommen. Diese vergleichsweise schwache Störung S wird in der Schaltung nach 4 durch den Leis tungsverstärker L verstärkt. Das Störungssignal S ist damit von einem erwünschten Steuersignal lcrtl nicht zu unterscheiden und aktiviert so die Last M. Dieses auf einer relativ schwachen magnetischen Störung S basierende Fehlverhalten liegt zeitlich nicht zwischen den Zeitpunkten t1 und t2 in einem Zeitraum TµCstop, in dem der Mikrocontroller µC als Kontrollorgan selber auch abgeschaltet ist. Damit kann dieses Fehlverhalten nicht detektiert werden.
  • Das kann zu einem sicherheitskritischen Zustand in dem Fahrzeug führen: Die Last M wird nun dauerhaft mit einem hohen Strom beaufschlagt. Hierdurch geht viel elektrische Energie verloren. Andererseits ist die gesamte Elektrik eines Kraftfahrzeugs hinsichtlich der Abfuhr von Verlustwärme nicht auf eine derartige Dauerbelastung ausgelegt. Nach Überschreiten einer Zeitspanne Δtd ist daher mit einer dauerhaften Beschädigung einer oder mehrerer elektrischer und elektronischer Einrichtungen zu rechnen. Diese Beschädigung ist durch den Blitz in 5 angedeutet. Aber auch größere Schäden, wie z. B. ein Kabelbrand im Fahrzeug oder eine Aktivierung weiterer sicherheitsrelevanter Stellglieder, sind nicht auszuschließen.
  • Auch von der Einbruchs- und Diebstahlssicherheit her betrachtet ist dieser Zustand unzufriedenstellend: Ein Kontrollsystem eines sicherheitsrelevanten Verbrauchers, wie hier die Ansteuerung eines Motors M einer Zentralverriegelung, kann mittels eines magnetischen Störimpulses von ca. 400 ms Dauer sehr effektiv ausgeschaltet werden. Das Fahrzeug wäre damit durch äußere Manipulation z. B. an mindestens einer Tür geöffnet worden. Zudem könnte eine derartige Manipulation auch zerstörungsfrei vorgenommen werden, so dass sie insbesondere versicherungstechnisch nicht nachweisbar sein könnte.
  • Bisher wurde die vorstehende Art von Fehlermechanismen nicht betrachtet. Folglich werden derartige Störungen durch bekannte Sicherheitsvorrichtungen auch nicht abgedeckt. Elektrische Sicherheitsanforderungen und ein verbesserter Manipulationsschutz an einem Fahrzeug fordern hier Abhilfe.
  • Die Diagnose der geschalteten Hochstrom- und/oder sicherheitsrelevanten Lasten M wird nachfolgend durch eine aktive Detektion einer Schaltzustandsänderung einer jeweiligen Last M erweitert. Dabei erfolgt diese Diagnose unabhängig von einem Zeitpunkt einer aktiven Ansteuerung der Last M durch den Mikrocontroller µC. Die Last M kann aber zusätzlich auch weiterhin unmittelbar vor dem Einschalten und/oder unmittelbar nach dem Einschalten diagnostiziert werden, worauf hier aber nicht weiter eingegangen werden soll.
  • Die Diagnoserückführung wird auf einen sog. „wake up”-fähigen Interrupt-Eingang IRQ des Mikrocontrollers µC gelegt. Dies ermöglicht eine aktive Diagnose bei einer Zustandsänderung der Last M auch in dem Fall, dass der Controller µC sich in einem Stopp-Modus oder Power down mode µCstop während einer Zeitspanne TµCstop befindet.
  • Neben den wake up-fähigen Interrupt-Eingängen IRQ an dem Controller µC ist ein Ein-/Ausgang I/O für einen sog. non maskable Interrupt, kurz NMI, als Diagnose-Rücklese-Port geeignet. Die Verwendung des NMI-Interrupts ist äußerst wirkungsvoll und vorteilhaft, da diese Interrupt-Routine softwaremäßig nicht maskiert, nicht ausgeblendet oder disabled werden kann. Sie wird damit auch trotz möglicherweise vorhandenen sonstigen Prozessorstörungen in jedem Fall ausgeführt.
  • Eine erfindungsgemäße Abwandlung der Prinzipskizze eines Schaltkreises 1 nach dem Stand der Technik gemäß 4 ist in 1 wiedergegeben. Es ist dabei darauf hinzuweisen, dass wake up-fähigen Interrupt-Eingänge IRQ und auch Eingänge für non maskable Interrupts NMI an bekannten Mikrocontrollern oder deren Chip-Familien bereits heute ausgeführt und damit bei vertretbaren Mehrkosten verfügbar sind.
  • Ein Zeitverhalten der Schaltung nach 1 ist in der Abbildung von 2 wiedergegeben. Die Beschreibung dieses Zeitverhaltens wird hier auf einen Störungsfall beschränkt: Während sich der Mikrocontroller µC in einem Stopp Modus oder Power down mode µCstop befindet wirkt wiederum zu dem Zeitpunkt ts die äußere Störung S als magnetischer Impuls oder sonstiger Einstreuung auf die Schaltung 1 ein. Wie zu 5 vorstehend beschrieben wird ohne Vorgabe durch den Mikrocontroller µC die Last M aktiviert. Nur löst diese Änderung des Zustandes der Last M im Gegensatz zu Vorrichtungen nach dem Stand der Technik jetzt einen Interrupt IRQ aus, der sofort an den entsprechenden Eingang des Mikrocontrollers µC weitergeleitet wird. Innerhalb einer sehr kurzen Zeitspanne Δtreg von der Auslösung des Interrupts IRQ bis zu dessen Verarbeitung innerhalb des Mikrocontrollers µC hält ein Zeitabschnitt Δta* mit aktivem Zustand der Last M ohne Kontrolle durch den Mikrocontroller µC an. Danach ist der Mikrocontroller µC ab dem Zeitpunk tw in den aktiven Zustand µCrun geschaltet worden. Eine neue Periode TµCrun beginnt, und damit werden von nun an die Zustände aller Lasten M überprüft, die mit diesem Mikrocontroller µC verbunden sind. So können rasch eine oder mehrere insbesondere sicherheitsrelevante Lasten M auf ihren jeweiligen Schaltzustand überprüft werden.
  • Eine Zeitspanne, die für diese Überprüfung maximal vorgesehen ist, ist als Δt in der Zeichnung von 2 dargestellt. Die Zeitspanne Δt ist in diesem Beispiel geringer als die Zeitdauer TµCrun, während derer der Mikrocontroller µC mit Überwachungsaufgaben in den aktiven Zustand µCrun geschaltet bleibt. Innerhalb der Zeitspanne Δt kann der Mikrocontroller µC zu jedem Zeitpunkt die Last M wieder deaktivieren und damit die Periode Ta* beenden. Jeweils erforderliche Schaltdauern von ca. 400 ms zum Schalten einer Zentralverriegelung mit Sicherheit werden nicht erreicht, da jede Messung für eine sicherheitsrelevante Last M nur wenige Millisekunden lang andauert. Insbesondere aber ist die Zeitspanne Δt geringer als die zu 5 beschriebene Aufheizperiode Δtd, nach deren Ablauf mit einer Beschädigung elektrischer Komponenten durch Überhitzung zu rechnen ist.
  • In einer alternativen Ausführungsform der Erfindung greift eine Regelung über Steuerbefehle nach dem Controller area network-Standard ein, kurz CAN. Auf der Basis beispielsweise einer Zweidrahtleitung werden nach dem CAN-Standard Steuerbefehle, sog. CAN-messages, über ein Datennetz versendet. Gelesen werden diese Steuerbefehle von allen an diesen Bus angeschlossenen Geräten, ausgewertet hingegen nur von einem jeweils adressierten Gerät. Hierbei kann jeweils zusätzlich die Bedeutung einer Nachricht durch Wahl einer Prioritätsstufe hervorgehoben werden. Eine hohe Priorität einer CAN-message, die durch die Störung S und die damit verbundene Zustandsänderung ausgelöst wurde, garantiert eine sofortige Reaktion des Mikrocontrollers µC nach dessen Einschalten bzw. Erreichen des Zustandes µCrun. Mit dem Verstreichen der Verarbeitungszeitspanne Δtreg kann damit der Last M also sofort unter Behebung des Fehlerzustandes aus dem Aktivzustand wieder definiert in den deaktivierten Zustand überführt werden.
  • Es können somit also Fehlerzustände schnell erkannt und sicher behoben werden, die durch äußere elektromagnetische Beeinflussung bzw. in Manipulationsabsicht durch hochenergetische Impulse ausgelöst werden. Neben von außen hervorgerufenen Fehlerzuständen können in einem Fahrzeug jedoch auch Fehlfunktionen auftreten, die durch den Mikrocontroller µC selber nicht mehr aktiv zu beseitigen sind. Als solche Fehlerzustände werden z. B. Fehler in dem Mikrocontroller µC selber betrachtet. Sie können in der Form durchlegierter Gatter oder Ports in dem Mikrocontroller µC auftreten. Bei einem als Mikrocontroller µC verwendeten wiederbeschreibbaren elektronischen Baustein können jedoch aufgrund einer als „moving bits” bezeichneten Erscheinung auf Dauer zudem Fehler in seiner Programmierung auftreten. Im ersten Fall ist der Mikrocontroller µC selber defekt und kann nur noch ausgetauscht werden, im zweiten Fall ist eine Abhilfe durch erneute Programmierung möglich. In beiden Fällen kann der Mikrocontroller µC jedoch selber die Fehlerzustände nicht mehr beheben.
  • Auch Fehler in einer Verkabelung oder einem Kabelbaum an der zu schaltenden Last M mit einem Kurzschluss der Last M beispielsweise von einer Versorgungsspannung +Ubat nach Masse GND können erkannt, aber nicht durch den Mikrocontroller µC behoben werden. Hierzu ist in der Abbildung von 3 ein Schaltkreis 1 mit einem Steuergerät SG und einem Bordnetz-Steuergerät BS zur Ansteuerung eines Motors M dargestellt, wobei das Steuergerät dem nicht weiter dargestellten Mikrocontroller µC übergeordnet ist. Der Motor M weist hier einen Kurzschluss nach Masse als plötzlich aufgetretenen Fehlerzustand auf. Durch die von der Zustandsänderung auf der Basis des Diagnosesignals Diag ausgelösten Diagnose wird dieser gravierende Fehlerzustand an der Last M festgestellt. Es steht somit auch fest, dass dieser Fehler nicht durch den Mikrocontroller µC behoben werden kann. Nach dieser Klassifizierung des Fehlers wird durch das Steuergerät SG eine Fehler-Nachricht über den Daten-Bus ausgegeben und veranlasst das Bordnetzsteuergerät BS als Abhilfemaßnahme die Versorgungsspannung des fehlerhaften Schaltkreises abzuschalten und eine Fehleranzeige zu aktivieren.
  • Eine zügige und zuverlässige Umsetzung der CAN-message ist innerhalb des dargestellten Ausschnitts des Bordnetzes dadurch sichergestellt, dass nach dem CAN-Standard Nachrichten unterschiedliche Prioritäten eingeräumt werden können. Bei Fehlerzuständen in sicherheitsrelevanten Teilen kann damit eine hohe Priorität voreingestellt werden. Dadurch können gezielt Maßnahmen zum Systemschutz eingeleitet werden, hier nämlich ein Deaktivieren der fehlerhaften Last durch aktive Abschaltung des entsprechenden Schaltkreises, da der Mikrocontroller µC diesen Fehler nicht beheben kann. Im vorliegenden Fall nach 3 lautet der Inhalt der CAN-message mit hoher Priorität somit: „Schalte Stromversorgung des Motors M sofort ab.” Diese Nachricht wird in jedem Fall ausgeführt und prioritär umgesetzt. Damit werden schnell und effektiv Kabelbrände oder Steuergerätabbrand, aber auch eine Entladung der Batterie vermieden.
  • Insgesamt ist damit vorstehend ein zuverlässiges Verfahren zur Erhöhung der Betriebssicherheit elektrischer Komponenten realisiert worden, das auf der Basis einer Überwachung unbeabsichtigter Zustandsänderungen von schaltbaren kritischen Lasten aufbaut. Auch bei einem erfindungsgemäßen Verfahren muss der Mikrocontroller oder ein übergeordnetes Steuergerät nicht permanent in einem aktiv Run-mode betrieben werden. Damit ist eine zusätzliche Sicherheitsfunktion angegeben worden, durch deren Umsetzung der Stromverbrauch der steuernden Elektronikeinheit im Wesentlichen nicht erhöht wird. Die Betriebssicherheit ist jedoch erheblich gesteigert worden, während der apparative Aufwand insgesamt fast gleich geblieben ist. Durch die unterschiedliche Codierung über Interrupts oder über CAN-messages wird eine Umsetzung sicher durchgeführt.
  • Durch eine Erweiterung der Auswerte- und Analysefähigkeiten eines Mikrocontrollers µC und/oder eines übergeordneten Steuergerätes SG können die diskutierten Anwendungsmöglichkeiten auch kumulativ zu bekannten Sicherheitsverfahren zur Steigerung einer Gesamtsicherheit beispielsweise in einem Fahrzeug redundant herangezogen werden. Die Kosten für zusätzliche Hardware sind dabei im Wesentlichen auf einen Mikrocontroller-Baustein beschränkt, der jedoch in Sicherheitsvorrichtungen der vorstehend genannten Art als Bauteil an sich bereits vorgesehen ist. Eine Nachrüstung kann daher auch in Form eines Austausches eines Mikrocontrollers als standardisiertes elektronisches Bauteil vorgenommen werden, in dem nun zusätzlich erforderliche Hardware zusammengefasst ist.

Claims (6)

  1. Verfahren zur Erhöhung der Betriebssicherheit einer elektrischen Komponente, insbesondere von elektrischer Komponenten in einem Fahrzeug, bei dem ein Steuersignal (lcrtl) von einem Mikrocontroller (µC) erzeugt wird, um eine Last (M) anzusteuern, bei dem das Steuersignal (lcrtl) verstärkt wird; bei dem eine Schaltzustandsänderung der Last (M) aktiv detektiert wird, wobei eine Störung (S) des Steuersignals (lcrtl) während sich der Mikrocontroller in einem Ruhemodus befindet durch Erfassen einer Änderung bezüglich des verstärkten Steuersignals durch einen wake up-fähigen Interrupt-Eingang (IRQ) oder einen Eingang (I/O) für einen non maskable Interrupt (NMI) als Diagnose-Rücklese-Port des Mikrocontrollers (µC) erkannt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Ein- oder Abschalten einer Last (M) durch ein Bordnetz-Steuergerät (BS) durchgeführt wird, wobei als Last (M) vorzugsweise ein Motor einer Zentralverriegelung angesteuert wird.
  3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass durch ein Diagnosemittel festgestellt wird, ob eine Fehlerzustand durch den Mikrocontroller (µC) behoben werden kann, wobei durch eine übergeordnete Kontrolleinheit (SG) bei Versagen des Mikrocontroller (µC) Abhilfemaßnahmen eingeleitet werden.
  4. Vorrichtung zur Erhöhung der Betriebssicherheit einer elektrischen Komponente in einer Schaltung (1), insbesondere von elektrischer Komponenten in einem Fahrzeug, mit folgenden Merkmalen: einem Mikrocontroller (µC) zur Ansteuerung einer Last (M), einem Verstärker (L) mit einem Eingang, der mit einem Ausgang des Microcontrollers (µC) verbunden ist, wobei die Last (M) mit einem Ausgang des Verstärkers (L) verbunden ist; Mittel zur aktiven Detektion einer Änderung eines von dem Verstärker erzeugten Ausgangssignals, wobei die Mittel zur aktiven Detektion mit einem Interrupt Eingang des Microcontrollers verbunden sind.
  5. Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, dass zum Ein- oder Abschalten der Last (M) nach Vorgabe durch den Mikrocontroller (µC) ein Bordnetz-Steuergerät (BS) vorgesehen ist.
  6. Vorrichtung nach einem der vorhergehenden Ansprüche 4 oder 5, dadurch gekennzeichnet, dass Diagnosemittel zur Feststellung eines Fehlerzustands vorgesehen sind, der nicht durch den Mikrocontroller (µC) behoben werden kann, und dass diese Diagnosemittel auch über Abhilfemaßnahmen verfügen.
DE10316805A 2003-04-11 2003-04-11 Verfahren und Vorrichtung zur Erhöhung der Betriebssicherheit einer elektrischen Komponente Expired - Fee Related DE10316805B4 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE10316805A DE10316805B4 (de) 2003-04-11 2003-04-11 Verfahren und Vorrichtung zur Erhöhung der Betriebssicherheit einer elektrischen Komponente
FR0403704A FR2853966B1 (fr) 2003-04-11 2004-04-08 Procede et dispositif pour augmenter la securite de fonctionnement d'un composant electrique
US10/821,782 US20040216940A1 (en) 2003-04-11 2004-04-09 Method and device for increasing the safety of operation of an electrical component

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10316805A DE10316805B4 (de) 2003-04-11 2003-04-11 Verfahren und Vorrichtung zur Erhöhung der Betriebssicherheit einer elektrischen Komponente

Publications (2)

Publication Number Publication Date
DE10316805A1 DE10316805A1 (de) 2004-11-11
DE10316805B4 true DE10316805B4 (de) 2010-04-08

Family

ID=33039059

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10316805A Expired - Fee Related DE10316805B4 (de) 2003-04-11 2003-04-11 Verfahren und Vorrichtung zur Erhöhung der Betriebssicherheit einer elektrischen Komponente

Country Status (3)

Country Link
US (1) US20040216940A1 (de)
DE (1) DE10316805B4 (de)
FR (1) FR2853966B1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101937222B (zh) * 2010-08-17 2012-04-25 北京交大资产经营有限公司 板级测试系统
CN103713526B (zh) * 2012-10-09 2016-08-17 亚得力科技股份有限公司 智能型电动机控制器、控制方法、外挂电路以及其电动机遥控器

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4409361C1 (de) * 1994-03-18 1995-06-22 Siemens Ag Schließsystem für ein Kraftfahrzeug
EP0806536A1 (de) * 1995-10-11 1997-11-12 Faiveley Espanola, S.A. Bedienungssystem für automatische türen
DE19618094C2 (de) * 1996-05-06 1999-06-02 Sgs Thomson Microelectronics Steuerschaltung mit nachstimmbarem Standby-Oszillator

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4517566A (en) * 1982-09-07 1985-05-14 John H. Bryant True ground speed sensor
US4922224A (en) * 1987-12-28 1990-05-01 Clifford Electronics, Inc. Electronic vehicle security system
JPH05183765A (ja) * 1991-12-27 1993-07-23 Canon Inc データ処理システム及び該システムに用いることが可能な装置
JP2659896B2 (ja) * 1992-04-29 1997-09-30 インターナショナル・ビジネス・マシーンズ・コーポレイション 構造化文書複製管理方法及び構造化文書複製管理装置
US5263762A (en) * 1993-02-16 1993-11-23 General Motors Corporation Vehicle with sliding door contact closure sensor
US5543776A (en) * 1993-10-19 1996-08-06 Whistler Corporation Vehicle security system
US5455589A (en) * 1994-01-07 1995-10-03 Millitech Corporation Compact microwave and millimeter wave radar
US5564038A (en) * 1994-05-20 1996-10-08 International Business Machines Corporation Method and apparatus for providing a trial period for a software license product using a date stamp and designated test period
US5708307A (en) * 1994-11-02 1998-01-13 Nissan Motor Co., Ltd. Anti-theft car protection system
DE4443274C2 (de) * 1994-12-06 1999-02-18 Asg Luftfahrttechnik Und Senso Vorrichtung mit wenigstens einem Motorblockschloß
US6092049A (en) * 1995-06-30 2000-07-18 Microsoft Corporation Method and apparatus for efficiently recommending items using automated collaborative filtering and feature-guided automated collaborative filtering
US5918213A (en) * 1995-12-22 1999-06-29 Mci Communications Corporation System and method for automated remote previewing and purchasing of music, video, software, and other multimedia products
US5889860A (en) * 1996-11-08 1999-03-30 Sunhawk Corporation, Inc. Encryption system with transaction coded decryption key
US6012051A (en) * 1997-02-06 2000-01-04 America Online, Inc. Consumer profiling system with analytic decision processor
US5854551A (en) * 1997-02-26 1998-12-29 Ericsson Inc. Battery charger with low standby current
US6112135A (en) * 1997-03-13 2000-08-29 Emerson Electric Co. Appliance control system
US5959589A (en) * 1997-07-02 1999-09-28 Waveband Corporation Remote fire detection method and implementation thereof
US5996045A (en) * 1997-07-08 1999-11-30 Seagate Technology, Inc. IDE disk drive arrangement that combines the capacity of a master drive and slave drive while hiding the presence of slave drive to a host computer
JPH1171950A (ja) * 1997-08-29 1999-03-16 Honda Motor Co Ltd 自動車用ドアロック装置
US5963939A (en) * 1997-09-30 1999-10-05 Compaq Computer Corp. Method and apparatus for an incremental editor technology
US5929802A (en) * 1997-11-21 1999-07-27 Raytheon Company Automotive forward looking sensor application
US6064980A (en) * 1998-03-17 2000-05-16 Amazon.Com, Inc. System and methods for collaborative recommendations
US6417869B1 (en) * 1998-04-15 2002-07-09 Citicorp Development Center, Inc. Method and system of user interface for a computer
US6545852B1 (en) * 1998-10-07 2003-04-08 Ormanco System and method for controlling an electromagnetic device
SE9804470L (sv) * 1998-12-21 2000-06-22 Volvo Ab Anordning vid ett för ett motorfordon avsett dörrlåssystem
US7103574B1 (en) * 1999-03-27 2006-09-05 Microsoft Corporation Enforcement architecture and method for digital rights management
DE19928101C2 (de) * 1999-06-19 2001-10-11 Brose Fahrzeugteile Verfahren zum Steuern fremdkraftbetriebener Fensterheber, Schiebedächer und/oder Schlösser in Kraftfahrzeugen
US6647417B1 (en) * 2000-02-10 2003-11-11 World Theatre, Inc. Music distribution systems
US6697944B1 (en) * 1999-10-01 2004-02-24 Microsoft Corporation Digital content distribution, transmission and protection system and method, and portable device for use therewith
US6665802B1 (en) * 2000-02-29 2003-12-16 Infineon Technologies North America Corp. Power management and control for a microcontroller
JP4459487B2 (ja) * 2000-09-12 2010-04-28 セイコーインスツル株式会社 音楽配信方法
DE10046188C2 (de) * 2000-09-12 2003-10-30 Brose Fahrzeugteile Schließeinrichtung für ein Fahrzeug
US20020042754A1 (en) * 2000-10-10 2002-04-11 Del Beccaro David J. System and method for receiving broadcast audio/video works and for enabling a consumer to purchase the received audio/video works
US20030074253A1 (en) * 2001-01-30 2003-04-17 Scheuring Sylvia Tidwell System and method for matching consumers with products
US6629050B2 (en) * 2001-02-13 2003-09-30 Udt Sensors, Inc. Vehicle safety and security system
US20020147628A1 (en) * 2001-02-16 2002-10-10 Jeffrey Specter Method and apparatus for generating recommendations for consumer preference items
US6925469B2 (en) * 2001-03-30 2005-08-02 Intertainer, Inc. Digital entertainment service platform
US6859024B2 (en) * 2001-05-08 2005-02-22 Telstra New Wave Pty Ltd. Device for detecting an electrically conductive particle
EP1256877A1 (de) * 2001-05-10 2002-11-13 Hewlett-Packard Company, A Delaware Corporation Herstellung von Rechnersystemen
WO2003014867A2 (en) * 2001-08-03 2003-02-20 John Allen Ananian Personalized interactive digital catalog profiling
US7080043B2 (en) * 2002-03-26 2006-07-18 Microsoft Corporation Content revocation and license modification in a digital rights management (DRM) system on a computing device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4409361C1 (de) * 1994-03-18 1995-06-22 Siemens Ag Schließsystem für ein Kraftfahrzeug
EP0806536A1 (de) * 1995-10-11 1997-11-12 Faiveley Espanola, S.A. Bedienungssystem für automatische türen
DE19618094C2 (de) * 1996-05-06 1999-06-02 Sgs Thomson Microelectronics Steuerschaltung mit nachstimmbarem Standby-Oszillator

Also Published As

Publication number Publication date
FR2853966A1 (fr) 2004-10-22
US20040216940A1 (en) 2004-11-04
DE10316805A1 (de) 2004-11-11
FR2853966B1 (fr) 2006-11-24

Similar Documents

Publication Publication Date Title
DE10326287B4 (de) Fahrzeug-Kommunikationssystem, Initialisierungseinheit sowie im Fahrzeug eingebaute Steuereinheit
EP1060922B1 (de) Schaltkreis und Verfahren zur Steuerung fremdkraftsbetriebener Fensterheber, Schiebedächer oder Türschlösser in Kraftfahrzeugen
EP0577641B1 (de) Schaltungsanordnung für einen regler
DE102011100392B4 (de) Verfahren und Schaltungsanordnung zur Überwachung eines Sicherheitsstromkreises
DE4441070C2 (de) Sicherheitsschalteranordnung
DE102015107718B4 (de) Vorrichtung und Verfahren zum Absichern einer Bordnetz-Komponente eines Fahrzeug-Bordnetzes
DE102006013381B4 (de) Steuervorrichtung für ein Kfz-Sicherheitssystem
DE10223773A1 (de) Schaltungsanordnung und Verfahren zur Überwachung eines Mikrocontrollers
DE102016121447A1 (de) Vorrichtung und Verfahren zum Absichern einer Bordnetzkomponente eines Fahrzeug-Bordnetzes
WO2016166146A1 (de) Gegen überspannung geschütztes elektronisches steuergerät
DE10316805B4 (de) Verfahren und Vorrichtung zur Erhöhung der Betriebssicherheit einer elektrischen Komponente
EP0945950B1 (de) Verfahren und Vorrichtung zur Ansteuerung eines Verbrauchers
EP4354683A1 (de) Vorrichtung und verfahren zur sicherheitsabschaltung eines elektrischen verbrauchers in einem fahrzeug
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
WO2024175235A1 (de) Vorrichtung zur energieversorgung eines sicherheitsrelevanten verbrauchers in einem kraftfahrzeug
EP2733718B1 (de) Verfahren und vorrichtung zur auswertung von signalen, die von einem ossd-ausgangselement kommen
DE102017218898B4 (de) Kontrollsystem für ein Batteriesystem
DE102010043100B4 (de) Verfahren und Vorrichtung zur Diagnose einer Funktionsfähigkeit einer Energieversorgungseinrichtung
EP1523433B1 (de) Schutzeinrichtung f r ein fahrzeug
DE102011009183A1 (de) Schaltungsanordnung mit Überwachungseinrichtung
DE102024205644A1 (de) Verfahren zum Betreiben eines Bordnetzes
DE102022130099A1 (de) Abbau von transienten Überspannungen in einem Energiebordnetz
DE102018110926B4 (de) Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein sicherheitsrelevantes System
DE102018110937B4 (de) Verfahren zur betriebssicheren vereinfachten Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für Fußgängeraufprallschutzsysteme
DE102018110932B4 (de) Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fahrzeuginsassenrückhaltesystem

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee