DE19509150C2 - Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage - Google Patents
Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-BremsanlageInfo
- Publication number
- DE19509150C2 DE19509150C2 DE1995109150 DE19509150A DE19509150C2 DE 19509150 C2 DE19509150 C2 DE 19509150C2 DE 1995109150 DE1995109150 DE 1995109150 DE 19509150 A DE19509150 A DE 19509150A DE 19509150 C2 DE19509150 C2 DE 19509150C2
- Authority
- DE
- Germany
- Prior art keywords
- circuit
- brake
- data
- comparator
- faulty
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 16
- 230000001105 regulatory effect Effects 0.000 title claims description 8
- 230000001276 controlling effect Effects 0.000 title claims description 7
- 238000012544 monitoring process Methods 0.000 claims description 6
- 230000002950 deficient Effects 0.000 claims description 4
- 238000001514 detection method Methods 0.000 claims description 2
- 230000000977 initiatory effect Effects 0.000 claims 3
- 230000015572 biosynthetic process Effects 0.000 claims 1
- 230000009849 deactivation Effects 0.000 claims 1
- 230000009347 mechanical transmission Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 210000000056 organ Anatomy 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T8/00—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
- B60T8/32—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
- B60T8/88—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
- B60T8/885—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T17/00—Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
- B60T17/18—Safety devices; Monitoring
- B60T17/22—Devices for monitoring or checking brake systems; Signal devices
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T2270/00—Further aspects of brake control systems not otherwise provided for
- B60T2270/40—Failsafe aspects of brake control systems
- B60T2270/413—Plausibility monitoring, cross check, redundancy
Landscapes
- Engineering & Computer Science (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Safety Devices In Control Systems (AREA)
- Hardware Redundancy (AREA)
Description
Die Erfindung betrifft ein Verfahren zum Steuern bzw.
Regeln von Fahrzeug-Bremsanlagen mit mindestens zwei
Bremskreisen K1 und K2, die jeweils über eine voneinander
unabhängige mikroprozessorgesteuerte Steuer-/Regeleinheit
µC1 bzw. µC2 verfügen. Darüber hinaus betrifft die
Erfindung eine Bremsanlage für Fahrzeuge zur Durchführung
des Verfahrens gemäß dem Oberbegriff des Anspruchs 5.
In der Vergangenheit bestanden die Verbindungselemente
zwischen Fahrzeugführer und Fahrzeug im wesentlichen aus
mechanischen Übertragungsmitteln. Diese bisherigen
mechanischen Übertragungsmittel werden zunehmend durch
elektrische und sogenannte intelligente Steuer- und
Regelorgane ergänzt oder sogar völlig ersetzt.
Mit der fortschreitenden Entlastung des Fahrzeugführers
durch neue elektronische Regelsysteme erhöht sich die
Fahrsicherheit nur dann, wenn auch die Zuverlässigkeit der
elektronischen Funktionen entsprechend gesteigert wird.
Dies gilt insbesondere für elektronisch geregelte
Bremssysteme.
Zwar muss nicht jede Einschränkung an Zuverlässigkeit zu
einem Sicherheitsrisiko führen, d. h. nicht jeder Ausfall
führt zu einer Gefährdung. Bei der Entwicklung zukünftiger
Bremselektronik gilt es aber, die bisherigen
Sicherheitsstandards einzuhalten oder gar zu übertreffen.
Ein wegen erhöhter Kompliziertheit der Elektronik erhöhtes
Ausfallrisiko muss durch redundante Maßnahmen zu einem Mehr
an Sicherheit führen.
Bei der Zuverlässigkeit kann man grundsätzlich zwischen
sicherheitsrelevanter und nicht sicherheitsrelevanter
Zuverlässigkeit unterscheiden. Ein Mangel an
sicherheitsrelevanter Zuverlässigkeit kann stets zu
gefährlichen Systemfunktionen führen.
Eine anzustrebende Erhöhung der Sicherheit kann sowohl
durch eine allgemeine Erhöhung der Zuverlässigkeit (z. B.
der zu verwendenden elektrischen und sonstigen Bauelemente)
als auch durch Redundanzen erfolgen. Bei letzteren geht man
von der realistischen Erkenntnis aus, dass die
Zuverlässigkeit der Bauelemente nicht beliebig gesteigert
werden kann.
Bei einer Bremsanlage ist Redundanz durch den Einsatz eines
zweiten Bremskreises gegeben. Durch die Verwendung des
zweiten Bremskreises erhöht sich zunächst einmal die
Wahrscheinlichkeit, dass ein Kreis ausfällt, d. h. die
Zuverlässigkeit wird geringer. Andererseits ist aber die
Wahrscheinlichkeit, dass beide Bremskreise gleichzeitig
versagen und so ein gefährlicher Ausfall entstehen kann,
beträchtlich reduziert.
Durch eine Vergrößerung der Redundanz kann deshalb die
Sicherheit wirksam erhöht werden. Die Erhöhung der
Redundanz ist inzwischen ein unverzichtbares
Sicherheitsmerkmal geworden. Allerdings kann die Redundanz
aus Kostengründen nicht beliebig weit getrieben werden.
Eine Möglichkeit, die Redundanz zu erhöhen, besteht in der
Einführung von "Software-Redundanz". Hierbei wird mit
Hilfe mehr oder weniger aufwendiger Selbsttestprogramme
eine Ausfallerkennung betrieben. Mit derartigen Programmen
können Soll-Ist-Vergleiche durchgeführt und bei Abweichung
von vorgegebenen Sollwerten kann u. U. ein Notlaufprogramm
in Gang gesetzt werden.
Bei Vorgängen, bei denen kein Sollwert gegeben ist und
somit auch kein Soll-Ist-Vergleich durchgeführt werden
kann, wäre eine zweite Rechnereinheit, bzw. eine zweite
Software erforderlich, um mit Hilfe eines Vergleichs
zwischen den beiden Ausgangsdaten Abweichungen der
Ausgangsdaten voneinander feststellen zu können. Ein
derartiges Bremssystem ist z. B. aus der DE 41 37 124 A1
bekannt. Das vorbekannte Bremssystem weist zwei
Mikroprozessoren auf, von denen der erste als Regelungs-
Mikroprozessor und der zweite als Überwachungs-
Mikroprozessor verwendet wird. Im Betrieb des Bremssystems
werden die Signale des Regelungs-Mikroprozessors mit den
entsprechenden Signalen des Überwachungs-Mikroprozessors
verglichen, wobei bei Nicht-Übereinstimmung ein Fehler
klassifiziert wird und eine Stillegung oder Abschaltung
erfolgt.
Da bei einer Differenz, d. h. bei einem Fehler in der
Elektronik, die Bremsanlage nicht einfach abgeschaltet
werden darf, wäre es erforderlich, mit Hilfe einer dritten
Rechnereinheit, bzw. mit einem dritten Softwareprogramm
festzustellen, welche Rechnereinheit, bzw. welches
Softwareprogramm unzuverlässig, d. h. fehlerhaft gearbeitet
hat. Dabei würde die dritte Einheit entweder als
übergeordnete Entscheidungseinheit oder nach dem
demokratischen Prinzip als "Mehrheitsbeschaffer"
fungieren.
Bei einem zweikreisigen Bremssystem wären bei dem hier
skizzierten Beispiel insgesamt sechs Mikroprozessor
einheiten erforderlich. Durch derartige
Sicherheitsmaßnahmen würde sich der Aufwand an
Mikroprozessoren insgesamt verdreifachen.
Aufgabe der Erfindung ist es, die Sicherheit von
elektrisch/elektronisch geregelten Bremskreisen mittels
Redundanzen zu vertretbaren Kosten zu erhöhen.
Sicherheitsanforderungen, die über das von ABS bekannte Maß
hinausgehen, sollen mit neuartigen Rechnerstrukturen
erreicht werden.
Im Hinblick auf das eingangs genannte Verfahren wird diese
Aufgabe durch den kennzeichnenden Teil des Patentanspruchs
1 gelöst. Bezüglich der Bremsanlage zur Durchführung dieses
Verfahrens ist die entsprechende Lösung mit Anspruch 5
gegeben. Weitere vorteilhafte Merkmale ergeben sich aus den
Unteransprüchen.
Durch die erfindungsgemäße Anordnung wird es erstmals
möglich, die Anzahl der für die Bremssteuerung/Regelung
erforderlichen Prozessoren gering zu halten. Mit dem hier
realisierten Fail-active-Prinzip ist ein System gegeben,
welches - ausgehend von einem sicheren Zustand - aus einer
redundanten Anordnung von Prozessoren besteht, die sich
selbst überprüfen und regeln können.
Eine Fail-safe-Struktur kann hingegen lediglich einen
Fehler feststellen und abschalten. Ein typisches
Anwendungsbeispiel für eine Fail-safe-Struktur ist ein
Antiblockiersystem. Der sichere Zustand eines defekten
Antiblockiersystems ist der abgeschaltete Zustand. D. h.:
das System wird lahmgelegt; die ungeregelte Bremsfunktion
bleibt erhalten.
Die Bremse an sich hat aber keinen sicheren Zustand. Ein
sicherer Zustand ist weder "Bremse abschalten'." noch
"Vollbremsung einleiten!". D. h.: die Bremse ist ein
System, welches "fail-active" benötigt, denn die Bremse an
sich ist kein Hilfssystem, wie z. B. das ABS.
Wie eingangs erwähnt, benötigt man für die Realisierung von
"fail-active" jeweils drei Prozessoren. Deren drei
Ergebnisse werden miteinander verglichen. Dabei können
immer zwei Prozessoren mit ihren Ergebnissen den dritten
überstimmen.
Der Gesetzgeber verlangt, jeweils mindestens zwei
unabhängige Bremskreise vorzusehen. Zur Realisierung von
"fail-active" benötigt man dafür bisher mindestens sechs
Prozessoren. Erfindungsgemäß wird nun eine Struktur
gebildet, wobei die Hauptsteuer-/Regeleinheiten von nur
einer einzigen Kontrolleinheit überwacht werden.
Damit diese Kontrolleinheit fähig ist, beide Einheiten in
Echtzeit intermittierend zu überwachen, wird in der
Kontrolleinheit mit einfacheren Algorithmen gearbeitet, was
mit gewissen Toleranzen vertretbar ist. Bei der Kontrolle
ist es ausreichend zu prüfen, ob der Zielbereich stimmt. Es
kann nicht überprüft werden, ob die Ergebnisse 100%-ig
identisch sind, wie es bei symmetrischer Redundanz erfolgen
würde. Deshalb wird ein Toleranzbereich vorgegeben, in dem
Übereinstimmung unterstellt wird.
Überschreitet die Abweichung den vorgegebenen
Toleranzbereich, so wird auf einen Fehler im betreffenden
System geschlossen. In diesem Fall wird ein
Datenübertragungskanal geöffnet, der dem anderen Kreis
Daten zuspielt.
Da es sich um digitale Informationen handelt, können die
beiden Kreise galvanisch voneinander getrennt bleiben.
Insofern ist die getrennte Kreisigkeit der Bremsanlage
gewährleistet. Eine elektrische Wirkverbindung besteht
nicht; es werden lediglich Informationen ausgetauscht.
Durch das erfindungsgemäße Verfahren wird der intakte
Prozessor dem anderen Kreis zur Verfügung gestellt und
sobald der intakte Prozessor nicht voll ausgelastet ist,
kann er die vom defekten Kreis übertragenen Informationen
verarbeiten und an den defekten Kreis und dem zugehörigen
Komparator zwecks Mehrheitsentscheid zurückübertragen. Auf
diese Weise kann entschieden werden, welcher der beiden
Prozessoren (Haupt- oder Kontroll-Prozessor) defekt ist. In
Anbetracht dieser Kenntnisse braucht der diesbezügliche
Kreis nicht abgeschaltet zu werden, sondern er kann auf der
Basis der Grundfunktionen weiterarbeiten.
Dieses erfinderische Prinzip ist auf alle Bremsaufgaben -
inclusive ABS - anwendbar. Die Stromversorgung der Steuer-
/Regeleinheiten kann galvanisch getrennt sein. Vorzugsweise
ist die Stromversorgung der Kontrolleinheit einem
Hauptkreis zugeordnet.
Insgesamt ergibt sich ein einfacher Aufbau mit Fail-active-
Verhalten. Die vom Gesetzgeber geforderte Zweikreisigkeit
bleibt voll erhalten. Somit können hohe Sicherheits
anforderungen erfüllt werden. Dadurch, dass Haupt- und
Kontroll-Prozessoren einen unterschiedlichen Aufbau
aufweisen, wird die Betriebssicherheit gesteigert.
Im folgenden wird das erfindungsgemäße Verfahren und die
zur Durchführung des Verfahrens vorgesehene Steuer-
/Regeleinrichtung anhand des in Fig. 1 dargestellten
Blockschaltbildes beschrieben.
Bei einer Bremsanlage sind aus Sicherheitsgründen stets
mindestens zwei voneinander unabhängig funktionierende
Bremskreise (K1) 2 und (K2) 4 vorzusehen. Diese voneinander
unabhängig funktionierenden Bremskreise (K1) 2 und (K2) 4
können mit Hilfe der mikroprozessorgesteuerten Steuer-
/Regeleinheiten (µC1) 6 und (µC2) 8 voneinander unabhängig
gesteuert bzw. geregelt werden.
Außer den beiden mikroprozessorgesteuerten Steuer-
/Regeleinheiten (µC1) 6 und (µC2) 8, die jeweils den
einzelnen Kreisen (K1) 2 und (K2) 4 zugeordnet sind, gibt
es noch eine weitere mikroprozessorgesteuerte Steuer-
/Regeleinheit (µC3) 10 als Kontrollrechner. Diese weitere
Einheit (µC3) 10 steht sowohl mit der Einheit (µC1) 6 des
Kreises (K1) 2 als auch mit der Einheit (µC2) 8 des Kreises
(K2) 4 in Wirkverbindung.
Trotz der Verknüpfung der beiden Steuer-/Regeleinheiten
(µC1) 6 und (µC2) 8 über den gemeinsamen Kontrollrechner 10
bleiben die beiden Bremskreise (K1) 2 und (K2) 4
voneinander unabhängig.
Die weitere Einheit (µC3) 10, die nach dem Verfahren der
sogenannten asymmetrischen Redundanz (Redundanz durch zwei
ungleiche Zweige) die beiden Kreise (K1) 2 und (K2) 4
überwacht, wird herangezogen, um eine Fail-safe-Struktur zu
erreichen. Zu diesem Zweck erhält die weitere Einheit (µC3)
10 die Eingangsdaten 16 und 18 der beiden Kreise (K1) 2 und
(K2) 4 und berechnet intermittierend die zugehörigen
Ausgangsdaten 22 und 26.
Da die Ausgangsdaten 20 und 24 der beiden Kreise (K1) 2
und (K2) 4 in Echtzeit überwacht werden sollen, müsste der
gemeinsame Kontrollrechner (µC3) 10 über die doppelte
Rechnerkapazität verfügen. Um dies zu vermeiden, wird
erfindungsgemäß vorgeschlagen, dass im angesprochenen
Kontrollrechner (µC3) 10 lediglich vereinfachte Algorithmen
ablaufen. So kann die Kapazität des Kontrollrechners 10 in
vertretbaren Grenzen gehalten werden.
Zusätzlich zu den mikroprozessorgesteuerten Steuer-
/Regeleinheiten (µC1) 6 bzw. (µC2) 8 erhält jeder Kreis
(K1) 2 bzw. (K2) 4 einen Baustein "Komparator +
Mehrheitsentscheid" 12 bzw. 14 zum Vergleich der
Ausgangsdaten 22 des Kontrollrechners (µC3) 10 bezüglich
des Kreises (K1) 2 mit den Ausgangsdaten 20 der Einheit
(µC1) 6, bzw. zum Vergleich der Ausgangsdaten 26 des
Kontrollrechners (µC3) 10 bezüglich des Kreises (K2) 4 mit
den Ausgangsdaten 24 der Einheit (µC2) 8.
Durch die Verwendung vereinfachter Algorithmen im
Kontrollrechner (µC3) 10 kann es vorkommen, dass die
Ausgangsdaten 22 bezüglich des Kreises (K1) 2 bzw. die
Ausgangsdaten 26 bezüglich des Kreises (K2) 4 in gewissem
Maße von den Ausgangsdaten 20 bzw. 24 der Haupteinheiten
(µC1) 6 bzw. (µC2) 8 abweichen. Überschreitet die vom
jeweiligen Baustein "Komparator + Mehrheitsentscheid" 12
bzw. 14 festgestellte Abweichung einen bestimmten
vorgegebenen Vertrauensbereich, so liegt in dem
betreffenden Kreis (K1) 2 bzw. (K2) 4 ein Fehler vor. Bei
Kenntnis eines derartig festgestellten Systemfehlers können
erste Schritte (z. B. Start eines Notlaufprogramms)
eingeleitet werden. Abschaltung eines Kreises (K1) 2 oder
(K2) 4 sollte an einem solchen sicherheitsrelevanten
Bauteil wie der Bremse jedoch möglichst nicht erfolgen.
Erfindungsgemäß wird in einem solchen Fall eine Fail-
active-Struktur gebildet, in der das Bremssystem im
gestörten Kreis (K1) 2 bzw. (K2) 4 aktiv bleiben kann und
per Mehrheitsentscheid geführt wird. Dazu wird im
Fehlerfall vom zugeordneten Baustein "Komparator +
Mehrheitsentscheid" 12 bzw. 14 eine elektrische Verbindung
(Gate 1) 28 bzw. (Gate 2) 30 geöffnet, über welche die
Eingangsdaten 16 bzw. 18 dem Prozessor (µC2) 8 bzw. (µC1) 6
des störungsfreien Kreises (K2) 4 bzw. (K1) 2 auf einer
niedrigeren Prioritätsstufe 34 bzw. 32 zur Verfügung
gestellt werden.
Die niedrigere Priorität ist derart ausgebildet, dass der
funktionsfähige Kreis (K2) 4 bzw. (K1) 2 durch die
zusätzlichen Daten 34 bzw. 32 nicht gestört wird und seine
Leistungsfähigkeit voll erhalten bleibt. In einer Periode,
in der der Prozessor (µC2) 8 bzw. (µC1) 6 jedoch ansonsten
nicht voll ausgelastet wäre, werden die Daten 34 bzw. 32
verarbeitet und wieder dem Baustein "Komparator +
Mehrheitsentscheid" 12 bzw. 14 des fehlerhaften Kreises
(K1) 2 bzw. (K2) 4 übermittelt. Der Baustein "Komparator +
Mehrheitsentscheid" 12 bzw. 14 kann nun nicht nur per
Mehrheitsentscheid wieder aktiv arbeiten, sondern kann
darüber hinaus auch den fehlerhaften Zweig erkennen.
Daraus leitet sich eine Fail-active-Struktur ab, womit die
Systemfunktion sowohl bei Ausfall eines Prozessors (µC1) 6
bzw. (µC2) 8 als auch bei Ausfall des Prozessors (µC3) in
zwei getrennten Kreisen (K1) 2 bzw. (K2) 4 per
Mehrheitsentscheid des Bausteins 12 bzw. 14
aufrechterhalten werden kann.
2
Bremskreis K1
4
Bremskreis K2
6
mikroprozessorgesteuerte Steuer-/Regeleinheit µC1
8
mikroprozessorgesteuerte Steuer-/Regeleinheit µC2
10
mikroprozessorgesteuerte Steuer-/Regeleinheit µC3
als Kontrollrechner
12
Baustein "Komparator + Mehrheitsentscheid"
14
Baustein "Komparator + Mehrheitsentscheid"
16
Eingangsdaten des Kreises K1
18
Eingangsdaten des Kreises K2
20
Ausgangsdaten der Einheit µC1
22
Ausgangsdaten des Kontrollrechners µC3
bezüglich des Kreises K1
24
Ausgangsdaten der Einheit µC2
26
Ausgangsdaten des Kontrollrechners µC3
bezüglich des Kreises K2
28
Elektrische Verbindung (Gate 1)
30
Elektrische Verbindung (Gate 2)
32
Eingangsdaten des Kreises K1
auf einer niedrigeren Prioritätsstufe
34
Eingangsdaten des Kreises K2
auf einer niedrigeren Prioritätsstufe
36
von Prozessor µC2 auf einer niedrigeren Prioritätsstufe
verarbeitete Daten des Kreises K1
38
von Prozessor µC1 auf einer niedrigeren Prioritätsstufe
verarbeitete Daten des Kreises K2
Claims (9)
1. Verfahren zum Steuern bzw. Regeln von Fahrzeug-
Bremsanlagen mit mindestens zwei Bremskreisen K1 (2)
und K2 (4), die jeweils über eine voneinander
unabhängige mikroprozessorgesteuerte Steuer-
/Regeleinheit µC1 (6) und µC2 (8) verfügen,
dadurch gekennzeichnet,
dass eine weitere mikroprozessorgesteuerte Steuer- /Regeleinheit µC3 (10) als Kontrollrechner vorgesehen ist, die die beiden Steuer-/Regeleinheiten µC1 (6) und µC2 (8) überwacht, wozu sie wechselweise die Eingangsdaten (16, 18) der Kreise K1 (2) und K2 (4) erhält und intermittierend die Ausgangsdaten (22, 26) bezüglich der Kreise K1 (2) und K2 (4) berechnet,
dass jeweils in einem Baustein "Komparator + Mehrheitsentscheid" (12, 14) die Ausgangsdaten (20, 24) der Einheit µC1 (6) bzw. µC2 (8) mit den Ausgangsdaten (22, 26) des Kontrollrechners µC3 (10) bezüglich des Kreises K1 (2) und K2 (4) verglichen werden, und
dass - falls der jeweilige Baustein "Komparator + Mehrheitsentscheid" (12, 14) ein Überschreiten einer vorgegebenen Abweichung feststellt und somit ein Systemfehler vorliegt - bei Kenntnis eines solchen vorliegenden Systemfehlers Maßnahmen, (z. B. Einleitung eines Notlaufprogramms), eingeleitet werden, wobei eine Abschaltung eines Bremskreises K1 (2) bzw. K2 (4) vermieden wird.
dass eine weitere mikroprozessorgesteuerte Steuer- /Regeleinheit µC3 (10) als Kontrollrechner vorgesehen ist, die die beiden Steuer-/Regeleinheiten µC1 (6) und µC2 (8) überwacht, wozu sie wechselweise die Eingangsdaten (16, 18) der Kreise K1 (2) und K2 (4) erhält und intermittierend die Ausgangsdaten (22, 26) bezüglich der Kreise K1 (2) und K2 (4) berechnet,
dass jeweils in einem Baustein "Komparator + Mehrheitsentscheid" (12, 14) die Ausgangsdaten (20, 24) der Einheit µC1 (6) bzw. µC2 (8) mit den Ausgangsdaten (22, 26) des Kontrollrechners µC3 (10) bezüglich des Kreises K1 (2) und K2 (4) verglichen werden, und
dass - falls der jeweilige Baustein "Komparator + Mehrheitsentscheid" (12, 14) ein Überschreiten einer vorgegebenen Abweichung feststellt und somit ein Systemfehler vorliegt - bei Kenntnis eines solchen vorliegenden Systemfehlers Maßnahmen, (z. B. Einleitung eines Notlaufprogramms), eingeleitet werden, wobei eine Abschaltung eines Bremskreises K1 (2) bzw. K2 (4) vermieden wird.
2. Verfahren zum Steuern und Regeln nach Anspruch 1,
dadurch gekennzeichnet, dass im Fall der Feststellung
einer unerlaubten Abweichung eine Fail-active-Struktur
gebildet wird, in der das Bremssystem des gestörten
Kreises K1 (2) bzw. K2 (4) aktiv bleiben kann und
durch Mehrheitsentscheid geführt wird, wozu im
Fehlerfall mittels des zugehörigen Komparators (12, 14)
eine elektrische Verbindung (Gate 1,28; Gate 2,30)
geöffnet wird, über welche dem Prozessor µC2 (8) bzw.
µC1 (6) des störungsfreien Kreises (K2 (4); K1 (2)) die
Eingangsdaten auf einer niedrigen Prioritätsstufe
(32, 34) zur Verfügung gestellt werden.
3. Verfahren zum Steuern und Regeln nach Anspruch 2,
dadurch gekennzeichnet, dass die niedrigere Priorität
derart ausgebildet ist, dass der funktionsfähige Kreis
K2 (4) bzw. K1 (2) durch die zusätzlichen Daten
ungestört und mit voller Leistungsfähigkeit erhalten
bleibt, jedoch in Perioden, in welchen die Abarbeitung
der Daten nicht die Funktion des intakten Bremskreises
beeinträchtigt, die Daten verarbeitet und wieder dem
Baustein "Komparator + Mehrheitsentscheid" (12, 14) des
fehlerhaften Kreises K1 (2) bzw. K2 (4) übermittelt
werden, wodurch der Komparator (12, 14) nicht nur per
Mehrheitsentscheid wieder aktiv arbeiten, sondern
gleichzeitig den fehlerhaften Prozessor als fehlerhaft
erkennen kann.
4. Verfahren zum Steuern und Regeln nach einem der
vorhergehenden Ansprüche, dadurch gekennzeichnet,
dass in dem Kontrollrechner µC3 (10) zwecks
Überwachung in Echtzeit vereinfachte Algorithmen
ablaufen.
5. Bremsanlage für Fahrzeuge zur Durchführung des
Verfahrens zum Steuern und Regeln nach einem der
vorhergehenden Ansprüche, mit mindestens zwei
Bremskreisen K1 (2) und K2 (4), die jeweils über eine
voneinander unabhängige mikroprozessorgesteuerte
Steuer-/Regeleinheit µC1 (6) und µC2 (8) verfügen,
gekennzeichnet durch eine weitere
mikroprozesorgesteuerte Steuer-/Regeleinheit µC3 (10)
als Kontrollrechner, die den Steuer/Regeleinheiten µC1
(6) und µC2 (8) der Bremskreise K1 (2) und K2 (4) zur
Überwachung und Beeinflussung zugeordnet ist, sowie
durch jeweils einen Baustein "Komparator +
Mehrheitsentscheid" (12, 14), die den Bremskreisen K1
(2) und K2 (4) - zwecks Vergleich des Resultats des
Kontrollrechners µC3 (10) mit dem der jeweiligen
Steuer-/Regeleinheit µC1 (6) bzw. µC2 (8) - zugeordnet
sind.
6. Bremsanlage nach Anspruch 5, dadurch gekennzeichnet,
dass der Kontrollrechner µC3 (10) zwecks Überwachung
der Steuer-/Regeleinheiten µC1 (6) und µC2 (8) in
Echtzeit lediglich über vereinfachte Algorithmen
verfügt.
7. Bremsanlage nach Anspruch 5 oder 6, gekennzeichnet
durch Mittel zur Einleitung von Maßnahmen bei
Überschreiten einer vorgegebenen Abweichung der
Resultate voneinander (z. B. Einleitung eines
Notlaufprogramms).
8. Bremsanlage nach einem der vorhergehenden Ansprüche 5-7,
gekennzeichnet durch Bildung einer Fail-active-
Struktur, in der das Bremssystem des gestörten Kreises
K1 (2) bzw. K2 (4) aktiv bleiben kann, wobei es durch
Mehrheitsentscheid führbar ist, indem im Fehlerfall
über den Komparator (12, 14) eine elektrische
Verbindung (Gate 1(28); Gate 2(30)) vom Eingang des
defekten Kreises (K1 (2); K2 (4)) zu dem anderen Kreis
(K2 (4); K1 (2)) herstellbar ist, über den die
Eingangsdaten des gestörten Kreises (K1 (2); K2 (4))
dem Prozessor der störungsfrei arbeitenden Steuer-
/Regeleinheit µC2 (8) bzw. µC1 (6) auf einer
niedrigeren Prioritätsstufe (32, 34) verfügbar sind.
9. Bremsanlage nach Anspruch 8, dadurch gekennzeichnet,
dass die niedrigere Priorität (32, 34) derart
ausgebildet ist, dass der funktionsfähige Kreis (K2
(4); K1 (2)) trotz der zusätzlichen Daten ungestört
und seine volle Leistungsfähigkeit erhalten bleibt,
jedoch in Perioden, in welchen die Abarbeitung der
Daten keine Beeinträchtigung der Funktion darstellt,
können die Daten (32, 34) verarbeitet werden und die
auf einer niedrigeren Prioritätsstufe verarbeiteten
Daten (36, 38) sind wieder dem Baustein (12, 14) des
fehlerhaften Kreises (K1 (2); K2 (4)) übermittelbar,
wodurch der Komparator (12, 14) nicht nur per
Mehrheitsentscheid wieder aktiv arbeiten, sondern
gleichzeitig den fehlerhaften Kreis K1 (2) bzw. K2 (4)
als fehlerhaft erkennen kann.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE1995109150 DE19509150C2 (de) | 1995-03-14 | 1995-03-14 | Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE1995109150 DE19509150C2 (de) | 1995-03-14 | 1995-03-14 | Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE19509150A1 DE19509150A1 (de) | 1996-09-19 |
| DE19509150C2 true DE19509150C2 (de) | 2003-03-27 |
Family
ID=7756616
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE1995109150 Expired - Lifetime DE19509150C2 (de) | 1995-03-14 | 1995-03-14 | Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage |
Country Status (1)
| Country | Link |
|---|---|
| DE (1) | DE19509150C2 (de) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108749581A (zh) * | 2018-05-11 | 2018-11-06 | 北京理工大学 | 一种纯电动无人车的紧急制动电路系统 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19548392C2 (de) * | 1995-12-22 | 2001-05-17 | Siemens Ag | Bremsanlage für ein Kraftfahrzeug |
| DE19640148A1 (de) * | 1996-09-28 | 1998-04-02 | Wabco Gmbh | Elektronisches Bremssystem für Radfahrzeuge |
| DE19716197A1 (de) * | 1997-04-18 | 1998-10-22 | Itt Mfg Enterprises Inc | Mikroprozessorsystem für sicherheitskritische Regelungen |
| DE19717686A1 (de) | 1997-04-28 | 1998-10-29 | Itt Mfg Enterprises Inc | Schaltungsanordnung für ein Kraftfahrzeug-Regelungssystem |
| DE19720618A1 (de) | 1997-05-16 | 1998-11-19 | Itt Mfg Enterprises Inc | Mikroprozessorsystem für Kfz-Regelungssysteme |
| DE19732764B4 (de) * | 1997-07-30 | 2004-04-29 | Rheinmetall Landsysteme Gmbh | Übertragungseinrichtung für Steuersignale, insbesondere in Fahrzeugen |
| DE19829126A1 (de) * | 1997-11-22 | 1999-05-27 | Itt Mfg Enterprises Inc | Elektromechanisches Bremssystem |
| JPH11161326A (ja) * | 1997-11-26 | 1999-06-18 | Fanuc Ltd | 数値制御装置 |
| DE19800311A1 (de) | 1998-01-07 | 1999-07-08 | Itt Mfg Enterprises Inc | Elektronische, digitale Einrichtung |
| GB2339869B (en) * | 1998-07-20 | 2002-05-15 | Motorola Ltd | Fault-tolerant electronic braking system |
| DE19840944B4 (de) * | 1998-09-08 | 2004-10-21 | Continental Teves Ag & Co. Ohg | Sicherheitsrelevantes System, insbesondere elektromechanisches Bremssystem |
| DE10320608B4 (de) * | 2003-05-08 | 2005-08-11 | Knorr-Bremse Systeme für Nutzfahrzeuge GmbH | Bremsanlage für Fahrzeuge, insbesondere Nutzfahrzeuge mit mindestens zwei separaten elektronischen Bremssteuerkreisen |
| US7150506B2 (en) † | 2003-09-29 | 2006-12-19 | Haldex Brake Products Ab | Control network for brake system |
| FR2882716B1 (fr) * | 2005-03-03 | 2007-04-20 | Renault Sas | Procede et dispositif de commande d'un systeme de freinage a commande electrique |
| DE102006024522A1 (de) * | 2006-05-23 | 2007-11-29 | Behr Gmbh & Co. Kg | Kühlsystem |
| EP1972513A1 (de) * | 2007-03-21 | 2008-09-24 | Delphi Technologies, Inc. | Elektromechanisches Bremssystem eines Fahrzeugs |
| KR20170110117A (ko) | 2015-03-30 | 2017-10-10 | 미쓰비시덴키 가부시키가이샤 | 철도 차량용 브레이크 시스템 |
| DE102017114556A1 (de) | 2017-06-29 | 2019-01-03 | Ipgate Ag | Vorrichtung für ein hydraulisches Betätigungssystem |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3234637A1 (de) * | 1982-09-18 | 1984-03-22 | Alfred Teves Gmbh, 6000 Frankfurt | Verfahren und schaltungsanordnung zur steuerung einer bremsschlupfregelanlage |
| DE4137124A1 (de) * | 1991-11-12 | 1993-05-13 | Teves Gmbh Alfred | Schaltungsanordnung fuer eine bremsanlage mit blockierschutz- und/oder antriebsschlupfregelung |
-
1995
- 1995-03-14 DE DE1995109150 patent/DE19509150C2/de not_active Expired - Lifetime
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3234637A1 (de) * | 1982-09-18 | 1984-03-22 | Alfred Teves Gmbh, 6000 Frankfurt | Verfahren und schaltungsanordnung zur steuerung einer bremsschlupfregelanlage |
| DE4137124A1 (de) * | 1991-11-12 | 1993-05-13 | Teves Gmbh Alfred | Schaltungsanordnung fuer eine bremsanlage mit blockierschutz- und/oder antriebsschlupfregelung |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108749581A (zh) * | 2018-05-11 | 2018-11-06 | 北京理工大学 | 一种纯电动无人车的紧急制动电路系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE19509150A1 (de) | 1996-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE19509150C2 (de) | Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage | |
| DE19933086B4 (de) | Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten | |
| EP2550599B1 (de) | Kontrollrechnersystem, verfahren zur steuerung eines kontrollrechnersystems, sowie verwendung eines kontrollrechnersystems | |
| EP3473512B1 (de) | Funktionsmodul, steuereinheit für ein betriebsassistenzsystem und arbeitsvorrichtung | |
| EP1092177A1 (de) | Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks | |
| EP0799143B1 (de) | Verfahren und schaltungsanordnung zur überwachung der funktion einer programmgesteuerten schaltung | |
| WO2008065059A1 (de) | Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems | |
| DE3926377C2 (de) | Elektronisches Steuergerät für eine Brennkraftmaschine | |
| EP0996060A2 (de) | Einzelprozessorsystem | |
| EP3338189A2 (de) | Verfahren zum betrieb eines mehrkernprozessors | |
| EP1962193A1 (de) | Schaltungsvorrichtung und entsprechendes Verfahren zum Ansteuern einer Last | |
| EP2228723B1 (de) | Verfahren zur Fehlerbehandlung eines Rechnersystems | |
| DE102008004206A1 (de) | Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug | |
| EP1205373B1 (de) | Steuerungssystem für ein Stellglied in einem Kraftfahrzeug | |
| DE102005023296B4 (de) | Zugbeeinflussungssystem | |
| EP1615087B1 (de) | Steuer- und Regeleinheit | |
| WO2005001692A2 (de) | Verfahren und vorrichtung zur überwachung eines verteilten systems | |
| EP1807760B1 (de) | Datenverarbeitungssystem mit variabler taktrate | |
| WO2022263416A1 (de) | Steuerungssystem für mindestens ein empfangendes gerät in sicherheitskritischen anwendungen | |
| WO2004043737A2 (de) | Steuereinheit zur auslösung eines insassenschutzmittels in einem kraftfahrzeug und verfahren zur überwachung der ordnungsgemässen funktion einer vorzugsweise solchen steuereinheit | |
| DE102006045153A1 (de) | System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk | |
| WO2011113405A1 (de) | Steuergeräteanordnung | |
| EP1248965B1 (de) | Verfahren zur verhinderung von fehlfunktionen in einem signalverarbeitenden system und prozessorsystem | |
| EP1176508B1 (de) | Anordnung zur Überwachung des ordnungsgemässen Betriebes von die selben oder einander entsprechende Aktionen ausführenden Komponenten eines elektrischen Systems | |
| DE102017212560A1 (de) | Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 8110 | Request for examination paragraph 44 | ||
| 8127 | New person/name/address of the applicant |
Owner name: CONTINENTAL TEVES AG & CO. OHG, 60488 FRANKFURT, D |
|
| 8304 | Grant after examination procedure | ||
| 8364 | No opposition during term of opposition | ||
| R120 | Application withdrawn or ip right abandoned | ||
| R120 | Application withdrawn or ip right abandoned |
Effective date: 20130705 |