[go: up one dir, main page]

DE102019203779A1 - Control system, method, component and control program for the use of signal accuracy requirements in the context of safety concepts - Google Patents

Control system, method, component and control program for the use of signal accuracy requirements in the context of safety concepts Download PDF

Info

Publication number
DE102019203779A1
DE102019203779A1 DE102019203779.8A DE102019203779A DE102019203779A1 DE 102019203779 A1 DE102019203779 A1 DE 102019203779A1 DE 102019203779 A DE102019203779 A DE 102019203779A DE 102019203779 A1 DE102019203779 A1 DE 102019203779A1
Authority
DE
Germany
Prior art keywords
signal
accuracy
control
vehicle
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102019203779.8A
Other languages
German (de)
Inventor
Christina Artmann
Bernhard Klingseis
Holger Lang
Norman Marsch
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to DE102019203779.8A priority Critical patent/DE102019203779A1/en
Publication of DE102019203779A1 publication Critical patent/DE102019203779A1/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/038Limiting the input power, torque or speed
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C25/00Arrangements for preventing or correcting errors; Monitoring arrangements
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0295Inhibiting action of specific actuators or systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Abstract

Verfahren und Vorrichtung zum Empfang eines Steuersignals und eines Genauigkeitssignals, wo das Genauigkeitssignal eine Signalgenauigkeit des Steuersignals repräsentiert. Das Steuersystem ist eingerichtet, auf Basis von einem fehlerhaften Signalwert und einem Genauigkeitssignal eine angepasste Fehlerreaktion auszulösen.Method and apparatus for receiving a control signal and an accuracy signal, where the accuracy signal represents a signal accuracy of the control signal. The control system is set up to trigger an adapted error reaction on the basis of an incorrect signal value and an accuracy signal.

Description

Die Erfindung betrifft die Verwendung der Signalgenauigkeit bezüglich einer Signalqualitätsanforderung um ein Sicherheitskonzept zu unterstützen. Ferner wird ein Steuerprogramm beschrieben, das bei dessen Ausführung ein solches Verfahren durchführt. Außerdem wird ein Steuersystem, insbesondere ein Kraftfahrzeug-Steuersystem, und ein Verfahren zur Verwendung von Signalgenauigkeitsanforderungen beschrieben.The invention relates to the use of the signal accuracy with regard to a signal quality requirement in order to support a safety concept. Furthermore, a control program is described which carries out such a method when it is executed. A control system, particularly a motor vehicle control system, and a method for using signal accuracy requirements are also described.

In modernen Fahrzeugen werden immer mehr Steuergeräte integriert und immer mehr Funktionalitäten implementiert. Durch deren steigende Vernetzung und Komplexität wird die Realisierung der funktionalen Sicherheit ebenfalls stets komplexer.In modern vehicles, more and more control devices are integrated and more and more functionalities are implemented. Due to their increasing networking and complexity, the implementation of functional safety is also becoming more and more complex.

Zusätzlich werden durch die Entwicklungstendenz hin zum autonom fahrenden Fahrzeug die Anforderungen an die funktionale Sicherheit drastisch erhöht. Wo bisher oft der Fahrer in sicherheitsrelevanten Situationen die letzte Entscheidung zu treffen hatte, verlagert sich diese Entscheidung durch den Einsatz zahlreicher Fahrerassistenzsysteme immer mehr hin zum Fahrzeug, beziehungsweise der Fahrzeugsteuerung selbst.In addition, the trend towards autonomously driving vehicles has drastically increased the requirements for functional safety. Where previously the driver often had to make the final decision in safety-relevant situations, this decision is increasingly shifting towards the vehicle or the vehicle control itself due to the use of numerous driver assistance systems.

Ein weiterer wichtiger Aspekt ist, dass bei der Umsetzung der funktionalen Sicherheit bisher der Fokus fast ausschließlich darauf liegt, beim Erkennen eines Fehlerfalls des Systems das System inaktiv zu schalten („fail-safe“). Jedoch bei Systemen für autonom fahrende Fahrzeuge ist es verstärkt notwendig, eine deutlich komplexere Fehlerreaktion umzusetzen, um den risikoärmsten Zustand des Fahrzeugs zu erreichen („fail-operational“). So kann es beispielsweise notwendig sein, statt das Fahrzeug im Fehlerfall schnellstmöglich abzustellen, das Fahrzeug eventuell zuerst nochmals zu beschleunigen, um z.B. beim Überqueren eines Bahnübergangs das Fahrzeug noch von den Schienen weg zu bewegen.Another important aspect is that when implementing functional safety, the focus has so far been almost exclusively on switching the system to inactive (“fail-safe”) when a system error is detected. However, in the case of systems for autonomous vehicles, it is increasingly necessary to implement a significantly more complex error reaction in order to achieve the low-risk state of the vehicle (“fail-operational”). For example, instead of parking the vehicle as quickly as possible in the event of a fault, it may be necessary to accelerate the vehicle again first, e.g. to move the vehicle away from the rails when crossing a level crossing.

Im Rahmen der Funktionalitäten, die auf Steuergeräten eines Steuersystems, insbesondere Motor- und Antriebssteuergeräten eines Kraftfahrzeug-Steuersystems, berechnet und durchgeführt werden, werden zahlreiche Signale verarbeitet. Diese Signale können zum Beispiel zwischen einzelnen Steuergeräten oder Software-Komponenten kommuniziert werden. Für die diese Signale erhaltenden konsumierenden Signalverarbeitungs-Komponenten kann dabei auch eine Anpassung oder Adaptierung des Signals von Vorteil sein, insbesondere, um die Qualität, beziehungsweise Signalgenauigkeit, mit der ein Steuersignal verfügbar ist, zu gewährleisten.Numerous signals are processed within the framework of the functionalities that are calculated and carried out on control units of a control system, in particular engine and drive control units of a motor vehicle control system. These signals can be communicated, for example, between individual control units or software components. For the consuming signal processing components that receive these signals, it can also be advantageous to adapt or adapt the signal, in particular in order to ensure the quality or signal accuracy with which a control signal is available.

Beispielsweise kann bei der Erfassung eines Sensorsignals dieses unter verschiedenen Betriebsbedingungen mit unterschiedlicher Signalgenauigkeit von einem Sensor zur Verfügung gestellt werden. Beispielsweise hängt bei einer Lambda-Sonde die Genauigkeit des ermittelten Wertes von der Betriebstemperatur des Sensors ab. Auch bei der Übertragung von Signalen zwischen zwei Steuergeräten hängt die Qualität beziehungsweise Signalgenauigkeit des übertragenen Signals vom Zustand der Kommunikation zwischen den Steuergeräten ab.For example, when a sensor signal is recorded, it can be made available by a sensor under different operating conditions with different signal accuracy. For example, in the case of a lambda probe, the accuracy of the determined value depends on the operating temperature of the sensor. Even when signals are transmitted between two control units, the quality or signal accuracy of the transmitted signal depends on the communication status between the control units.

Für zukünftige funktionale Sicherheitskonzepte, insbesondere für zunehmend autonomere Systeme, wird es zunehmend wichtig, die benötigten Diagnosefunktionen sehr gezielt zu aktivieren bzw. zu deaktivieren, um die auftretende Fehlerreaktion und somit die Verfügbarkeit des Systems zu optimieren. Insbesondere im Rahmen von „fail-operational“ Systemen wird eine Diagnosefähigkeit sowie die erhöhte Verfügbargeit des Systems verlangt.For future functional safety concepts, especially for increasingly more autonomous systems, it is becoming increasingly important to activate or deactivate the required diagnostic functions in a very targeted manner in order to optimize the error reaction and thus the availability of the system. Particularly in the context of "fail-operational" systems, a diagnostic capability and increased availability of the system are required.

Hierzu ist vor kurzem vorgeschlagen worden, Steuersignale an der Quelle zu adaptieren, da die von den konsumierenden Signalverarbeitungs-Komponenten selbst berechnete Signalgenauigkeit mangels ausreichender Kenntnisse der konsumierenden Signalverarbeitungs-Komponenten über die die Steuersignale erzeugenden Komponenten unter Umständen nur sehr ungenau ist. Weiterhin erlauben die Kenntnisse der konsumierenden Signalverarbeitungs-Komponenten oftmals keine ausreichend gültige Aussage zur Weiterverwendung.To this end, it has recently been proposed to adapt control signals at the source, since the signal accuracy calculated by the consuming signal processing components themselves may only be very imprecise due to insufficient knowledge of the consuming signal processing components about the components generating the control signals. Furthermore, the knowledge of the consuming signal processing components often does not allow a sufficiently valid statement on further use.

Durch das Übergeben und Auswerten eines von der Signalerzeugungs-Komponente selbst erzeugten Genauigkeitssignals, das anstelle des Zustandes der Signalerfassung oder der Kommunikation direkt die Qualität beziehungsweise die Signalgenauigkeit der physikalischen Größe, beispielsweise als physikalische Bandbreite, zur Verfügung stellt, kann eine Adaption immer dann ausgeführt werden, wenn es nötig oder gewünscht ist für den ordnungsgemäßen Betrieb. Dies liefert eine deutlich höherwertige Information für die die Steuersignale erhaltenden konsumierenden Signalverarbeitungs-Komponenten, die unabhängig von der Signalerfassung, Kommunikation oder einem Hersteller zum Beispiel in einer Sensorkomponente abgebildet werden kann.By transferring and evaluating an accuracy signal generated by the signal generation component itself, which instead of the status of the signal acquisition or communication directly provides the quality or the signal accuracy of the physical variable, for example as the physical bandwidth, an adaptation can always be carried out if necessary or desired for proper operation. This provides significantly higher quality information for the consuming signal processing components receiving the control signals, which can be mapped, for example, in a sensor component, independently of the signal acquisition, communication or a manufacturer.

In herkömmlichen Lösungen bei der Umsetzung der funktionalen Sicherheit in Fahrzeugen, bzw. in Motor- und Antriebsstrangsteuerungen wurden sicherheitsrelevante Funktionen beispielsweise redundant in parallelen Ebenen abgebildet. Bei systematischen oder zufälligen Fehlern, die von der Überwachungsebene erkannt werden, wird eine entsprechende Fehlerreaktion ausgelöst. Als Beispiel könnte der sichere Zustand eines Systems aktiviert werden. So wird beispielsweise zum Schutz vor ungewollter Beschleunigung die Drosselklappe in eine Notlaufposition gebracht oder die Einspritzung deaktiviert, wenn ein Fehler bei der Erfassung der Gaspedalposition erkannt wird.In conventional solutions when implementing functional safety in vehicles or in engine and drive train controls, safety-relevant functions were mapped redundantly in parallel levels, for example. In the case of systematic or random errors that are detected by the monitoring level, a corresponding error reaction is triggered. As an example, the safe state of a system could be activated. For example, to protect against unintentional acceleration, the throttle valve is brought into an emergency running position or the injection is deactivated, if an error is detected in the detection of the accelerator pedal position.

Im Rahmen der funktionalen Sicherheit wird dabei ausgewertet, ob ein sicherheitsrelevanter Fehler vorliegt und wenn die Auswertung ergibt, dass ein solcher vorliegt, eine Reaktion darauf eingeleitet. Es wird dabei in der Reaktion z.B. nicht unterschieden, welche Ursache dazu führt, dass eine fehlerhafte Gaspedalposition erkannt wird.In the context of functional safety, it is evaluated whether there is a safety-relevant error and if the evaluation shows that there is one, a reaction is initiated. It is in the reaction e.g. no distinction is made as to which cause leads to an incorrect accelerator pedal position being detected.

Zusätzlich werden die Funktionalitäten, die zur Überwachung des Systems eingesetzt werden, dabei oft, beispielsweise abhängig von der Betriebssituation, aktiviert oder deaktiviert, um unbegründete Fehlerreaktionen zu vermeiden. So kann z.B. während des Ausparkvorgangs bei schnellen Vorwärts-/Rückwärtsbewegungswechseln die Plausibilitätskontrolle des Fahrerwunsches deaktiviert werden, um ein fehlerhaftes Auslösen einer Fehlerreaktion zu vermeiden.In addition, the functionalities that are used to monitor the system are often activated or deactivated, for example depending on the operating situation, in order to avoid unfounded error reactions. E.g. The plausibility check of the driver's request can be deactivated during the maneuvering out of parking spaces in the event of rapid changes in forward / backward movement in order to avoid an incorrect triggering of an error reaction.

Des Weiteren gibt es Überwachungsfunktionen, die nur bei bestimmten Systemkonfigurationen benötigt werden, bspw. nur wenn ein Automatikgetriebe im Fahrzeug verbaut ist. Bei Handschaltgetrieben soll die Funktion deaktiviert sein. Weiterhin gibt es Überwachungsfunktionen, die ausschließlich während bestimmter Systemzustände, bspw. während eines Schaltvorgangs, benötigt werden.There are also monitoring functions that are only required for certain system configurations, e.g. only if an automatic transmission is installed in the vehicle. The function should be deactivated for manual transmissions. There are also monitoring functions that are only required during certain system states, for example during a switching process.

Durch die steigenden Anforderungen an die Systemverfügbarkeit wird es immer wichtiger, die Überwachungsfunktionen im Rahmen des Sicherheitskonzeptes gezielt zu aktivieren bzw. zu deaktivieren, um unbegründete Fehlerreaktionen, die den Betrieb des Systems einschränken, zu vermeiden. Ebenfalls besteht zunehmend eine Wechselwirkung zwischen Betriebszustand und Überwachungskonzept bzw. Sensoranforderungen.Due to the increasing demands on the system availability, it is becoming more and more important to activate or deactivate the monitoring functions as part of the security concept in order to avoid unfounded error reactions that limit the operation of the system. There is also an increasing interaction between the operating status and the monitoring concept or sensor requirements.

Für zukünftige funktionale Sicherheitskonzepte, insbesondere für immer höher automatisierte Systeme, wird es jedoch nötig sein, die Fehler nicht nur zu erkennen, sondern auch qualitative Aussagen über den Fehlerfall zu treffen, sowie quantitative Aussagen über die Auswirkungen des Fehlers machen zu können und die Fehlerreaktion des Fahrzeugs an den entsprechenden Fehler anzupassen.For future functional safety concepts, especially for increasingly automated systems, it will be necessary not only to recognize the errors, but also to make qualitative statements about the error case, as well as to be able to make quantitative statements about the effects of the error and the error reaction of the To adapt the vehicle to the corresponding error.

Die Verwendung von Genauigkeitsanforderungen im Rahmen des funktionalen Sicherheitskonzeptes kann zu einer deutlich reduzierten Anzahl der auszuwertenden systemübergreifenden Informationen, die für die Entscheidung über die Aktivierung einer Überwachungsfunktion herangezogen werden müssen, führen, da alle Anforderungen, z.B. über die Fehlerfortpflanzung, in der Genauigkeitsanforderung ausgedrückt werden können. Dadurch wird eine deutlich bessere Kapselung von einzelnen Funktionalitäten ermöglicht und der Wartungsaufwand bei Systemänderungen entsprechend gesenkt.The use of accuracy requirements as part of the functional safety concept can lead to a significantly reduced number of cross-system information to be evaluated, which must be used for the decision to activate a monitoring function, since all requirements, e.g. about the error propagation, in which the accuracy requirement can be expressed. This enables a significantly better encapsulation of individual functionalities and reduces the maintenance effort in the event of system changes.

Des Weiteren ermöglicht die Kommunikation über Genauigkeitsanforderungen eine deutlich gezieltere Entscheidung über die Aktivierung von Überwachungsfunktionen.Furthermore, the communication about accuracy requirements enables a much more targeted decision about the activation of monitoring functions.

Die konsumierenden Funktionen können über die Übermittlung von Genauigkeitsanforderungen außerdem eine deutlich höherwertige Information zur Verfügung stellen, da nicht nur Zustände definiert werden, in denen eine Überwachungsfunktion aktiviert bzw. deaktiviert wird, sondern quantitative Werte als Entscheidungskriterium zur Verfügung gestellt werden.The consuming functions can also provide significantly more valuable information via the transmission of accuracy requirements, since not only are states defined in which a monitoring function is activated or deactivated, but quantitative values are made available as a decision criterion.

Die Verwendung von prädizierten Werten im Rahmen des funktionalen Sicherheitskonzeptes bietet dabei den Vorteil, dass eine deutlich optimierte Fehlerreaktion ausgelöst werden kann, verglichen mit der bisher nur verfügbaren Aussage, dass zum aktuellen Zeitpunkt ein Fehler vorliegt. Zum einen kann durch eine optimierte Fehlerreaktion die Verfügbarkeit des überwachten Systems erhöht werden, zum anderen kann eine Fehlerreaktion jedoch bei Bedarf auch schneller und zielgerichteter ausgelöst werden, als bei konventionellen Sicherheitskonzepten, die z.B. mit einer Entprellung von Signalen arbeiten.The use of predicted values as part of the functional safety concept offers the advantage that a clearly optimized error reaction can be triggered compared with the previously only available statement that an error is present at the current time. On the one hand, the availability of the monitored system can be increased through an optimized error reaction; on the other hand, an error reaction can also be triggered more quickly and in a more targeted manner, if necessary, than with conventional safety concepts, e.g. work with a debouncing of signals.

Durch die Verwendung von Genauigkeitsanforderungen kann so zum einen durch eine optimierte Aktivierung oder Deaktivierung der Überwachungsfunktionen die Verfügbarkeit des Systems erhöht werden, zum anderen kann eine Fehlerreaktion jedoch bei Bedarf auch schneller und zielgerichteter ausgelöst werden, da durch die gezieltere Aktivierung und Deaktivierung der Überwachungsfunktionen die Grenzwerte für den Fehlerfall deutlich präziser definiert werden können.By using accuracy requirements, on the one hand, the availability of the system can be increased through an optimized activation or deactivation of the monitoring functions; can be defined much more precisely in the event of an error.

Dies ist ein eindeutiger Mehrwert bei der Umsetzung von Sicherheitskonzepten v.a. für autonom fahrende Fahrzeuge, da hier die Verfügbarkeit des Systems von enormer Bedeutung ist. Zusätzlich darf der sichere Zustand, der im Fehlerfall angestrebt wird, nicht auf das außer Betrieb nehmen des Systems beschränkt sein, sondern es wird eine exakt angepasste Reaktion auf den vorliegenden Fehler, die Betriebs- und die Umgebungsbedingungen, in denen sich das System zum Zeitpunkt des Fehlerfalls befindet, erwartet. Wichtig ist, dass die übergeordnete Steuerungsfunktion spezifisch auf den Systemzustand reagieren kann.This is a clear added value when implementing security concepts, especially for autonomous vehicles, as the availability of the system is of enormous importance here. In addition, the safe state that is sought in the event of a fault must not be limited to taking the system out of operation, but rather a precisely adapted response to the fault, the operating and environmental conditions in which the system was at the time of the If an error is found, expected. It is important that the higher-level control function can react specifically to the system status.

In einem weiteren Aspekt können die Signalgenauigkeiten im Rahmen des funktionalen Sicherheitskonzeptes auch verwendet werden, um die für die Beurteilung des Systemzustands (insbesondere hinsichtlich Sicherheit) benötigten Informationen über Sensorzustände zu ermitteln, wodurch nicht mehr wie bisher zahlreiche andere Informationen oder Signale auf einer höheren Systemebene herangezogen werden müssen, um indirekt die Information über ein gültiges oder fehlerhaftes Signal zu erhalten. Wenn ein Signalwert nur innerhalb eines Bereiches gültig ist, kann die Spanne des Bereiches von der Signalgenauigkeit abhängig sein. Ein Signalwert außerhalb eines gültigen Bereiches kann als fehlerhaft erkannt werden, wobei die Spanne des gültigen Bereiches vom Genauigkeitssignal abhängig ist und deshalb das Genauigkeitssignal zu berücksichtigen ist.In a further aspect, the signal accuracies can also be used in the context of the functional safety concept to provide the information required for assessing the system status (in particular with regard to safety) To determine sensor states, which means that as before, numerous other information or signals at a higher system level no longer have to be used in order to indirectly obtain information about a valid or faulty signal. If a signal value is only valid within a range, the span of the range may depend on the signal accuracy. A signal value outside a valid range can be recognized as faulty, the span of the valid range depending on the accuracy signal and therefore the accuracy signal must be taken into account.

Über zeitliche Trajektorien der Signale und deren Genauigkeiten für eine Prädiktion des zeitlichen Verlaufs können nach einem exakten Schema zusätzliche Informationen übertragen werden, die mittels prädiktiver Regelung im Rahmen des funktionalen Sicherheitskonzeptes verwendet werden können. Beispielsweise kann so berücksichtigt werden, wie sich die prädizierte Genauigkeit des Wertes, der im Rahmen des funktionalen Sicherheitskonzeptes überwacht wird, in der Zukunft verhalten wird und so bei Bedarf das Verhalten abhängig von der erwarteten Dauer des fehlerhaften Zustandes angepasst werden.Via temporal trajectories of the signals and their accuracies for a prediction of the temporal course, additional information can be transmitted according to an exact scheme, which can be used by means of predictive control as part of the functional safety concept. For example, it can be taken into account how the predicted accuracy of the value that is monitored as part of the functional safety concept will behave in the future and, if necessary, the behavior can be adapted depending on the expected duration of the faulty state.

Es ist Aufgabe der vorliegenden Erfindung, die funktionale Sicherheit bei Fahrzeugen zu erhöhen, welche eine Vielzahl von Sensoren aufweisen und wobei die Signalgenauigkeiten im Rahmen des funktionalen Sicherheitskonzeptes verwendet werden können, zum einen, um die für die Beurteilung des Systemzustands (insbesondere hinsichtlich Sicherheit) benötigten Informationen über Sensorzustände zu ermitteln, wodurch nicht mehr wie bisher zahlreiche andere Informationen oder Signale auf einer höheren Systemebene herangezogen werden müssen, um indirekt die Information über ein gültiges oder fehlerhaftes Signal zu erhalten, und zum andern, um die Anzahl der auszuwertenden systemübergreifenden Informationen deutlich zu reduzieren, da diese Information gebündelt und qualitativ bewertet über die Sensor- und Signalzustände direkt zur Verfügung gestellt werden und nicht indirekt über zahlreiche andere Informationen oder Signale ermittelt werden müssen.The object of the present invention is to increase the functional safety in vehicles which have a large number of sensors and where the signal accuracies can be used within the framework of the functional safety concept, on the one hand, to obtain the information required for assessing the system status (especially with regard to safety) To determine information about sensor states, which means that it is no longer necessary to use numerous other information or signals at a higher system level to obtain information about a valid or incorrect signal indirectly, and also to clearly increase the number of cross-system information to be evaluated reduce, as this information is bundled and qualitatively assessed via the sensor and signal states and is made available directly and does not have to be determined indirectly via numerous other information or signals.

Über zeitliche Trajektorien der Signale und deren Genauigkeiten für eine Prädiktion des zeitlichen Verlaufs kann erfindungsgemäß nach einem exakten Schema zusätzliche Information übertragen werden, die mittels prädiktiver Regelung im Rahmen des funktionalen Sicherheitskonzeptes verwendet werden kann. Beispielsweise kann so berücksichtigt werden, wie sich die prädizierte Genauigkeit des Wertes, der im Rahmen des funktionalen Sicherheitskonzeptes überwacht wird, in der Zukunft verhalten wird und so bei Bedarf das Verhalten abhängig von der erwarteten Dauer des fehlerhaften Zustandes angepasst werden.According to the invention, additional information can be transmitted according to an exact scheme via time trajectories of the signals and their accuracies for a prediction of the time profile, which information can be used by means of predictive control as part of the functional safety concept. For example, it can be taken into account how the predicted accuracy of the value that is monitored as part of the functional safety concept will behave in the future and, if necessary, the behavior can be adapted depending on the expected duration of the faulty state.

Die Aufgabe wird in einem ersten Aspekt durch ein Verfahren zur Verwendung von Signalen mit ihren zugehörigen Genauigkeiten gelöst, da nicht nur ermittelt werden kann, ob ein Sensor oder Signal einen Fehler aufweist, sondern auch eine quantitative Aussage über die Schwere des Fehlers getroffen werden kann.The object is achieved in a first aspect by a method for using signals with their associated accuracies, since not only can it be determined whether a sensor or signal has an error, but also a quantitative statement can be made about the severity of the error.

In einem weiteren Aspekt erlaubt die Verwendung von prädizierten Werten im Rahmen des funktionalen Sicherheitskonzeptes, dass eine deutlich optimierte Fehlerreaktion ausgelöst werden kann, verglichen mit der Aussage, dass zum aktuellen Zeitpunkt ein Fehler vorliegt. Zum einen kann durch eine optimierte Fehlerreaktion die Verfügbarkeit des überwachten Systems erhöht werden, zum anderen kann eine Fehlerreaktion jedoch bei Bedarf auch schneller und zielgerichteter ausgelöst werden, als bei konventionellen Sicherheitskonzepten.In a further aspect, the use of predicted values in the context of the functional safety concept allows a clearly optimized error response to be triggered compared with the statement that an error is present at the current point in time. On the one hand, the availability of the monitored system can be increased through an optimized error reaction; on the other hand, however, an error reaction can also be triggered more quickly and in a more targeted manner if necessary than with conventional security concepts.

Gemäß einem anderen Aspekt wird der sichere Zustand, der im Fehlerfall angestrebt wird, nicht auf das außer Betrieb nehmen des Systems beschränkt, sondern eine exakt angepasste Reaktion auf den vorliegenden Fehler, die Betriebs- und die Umgebungsbedingungen erreicht. Erfindungsgemäß kann die übergeordnete Steuerungsfunktion spezifischer auf den Systemzustand reagieren. According to another aspect, the safe state that is sought in the event of a fault is not limited to taking the system out of operation, but rather a precisely adapted response to the fault present, the operating and environmental conditions. According to the invention, the higher-level control function can react more specifically to the system state.

Die obige Aufgabe wird in einem weiteren Aspekt durch ein Steuerprogramm gelöst, das zur Ausführung auf einem oder mehreren Steuersystemen, insbesondere Kraftfahrzeug-Steuersystemen, eingerichtet ist, wobei das Steuerprogramm bei dessen Ausführung ein Verfahren der oben erläuterten Art durchführt. Ein derartiges Steuerprogramm implementiert somit das hier dargestellte Verfahren vorteilhaft auf einem entsprechenden Steuersystem, sodass die hier erläuterten Vorteile auf einfache Weise innerhalb des Steuersystems implementiert werden können.The above object is achieved in a further aspect by a control program which is set up to run on one or more control systems, in particular motor vehicle control systems, the control program performing a method of the type explained above when it is executed. Such a control program thus advantageously implements the method shown here on a corresponding control system, so that the advantages explained here can be implemented in a simple manner within the control system.

Es zeigen:

  • 1 ein schematisiertes Blockschaltbild diverser Funktionsblöcke zur Berechnung eines Gesamt-Genauigkeitssignals aus mehreren einzelnen Genauigkeitssignalen;
  • 2 ein schematisiertes Blockschaltbild der Wertung eines Sensorsignales anhand des erfinderischen Konzepts;
  • 3 eine detaillierte Ansicht von der Wertung eines Signals und ein zugehöriges Signalgenauigkeitssignal;
  • 4 eine mögliche Entwicklung einer Signalgenauigkeit;
  • 5 einen zeitlichen Ablauf der Genauigkeitsanforderung;
  • 6 eine Anpassung der Genauigkeit; und
  • 7 eine Abhängigkeit zwischen Spannung und Genauigkeit.
Show it:
  • 1 a schematic block diagram of various function blocks for calculating an overall accuracy signal from several individual accuracy signals;
  • 2 a schematic block diagram of the evaluation of a sensor signal based on the inventive concept;
  • 3 a detailed view of the scoring of a signal and an associated signal accuracy signal;
  • 4th a possible evolution of signal accuracy;
  • 5 a timing of the accuracy requirement;
  • 6th an adjustment of the accuracy; and
  • 7th a dependence between voltage and accuracy.

1 zeigt ein schematisiertes Blockschaltbild diverser Funktionsblöcke zur Durchführung eines oben erläuterten Verfahrens zur Überwachung eines Steuersignals für eine oder mehrere, das Steuersignal konsumierende, Signalverarbeitungs-Komponenten eines Steuersystems unter Berücksichtigung einer Signalgenauigkeit und einer Genauigkeitsanforderung. Ein solches System wäre z.B. in Kraftfahrzeugen zu finden. 1 shows a schematic block diagram of various functional blocks for performing a method explained above for monitoring a control signal for one or more signal processing components of a control system that consume the control signal, taking into account a signal accuracy and an accuracy requirement. Such a system could be found in motor vehicles, for example.

Die in der 1 dargestellten Funktionsblöcke sind beispielsweise Bestandteil einer Implementierung innerhalb des Steuersystems, oder sind über kommunizierende Steuersysteme verteilt.The ones in the 1 Function blocks shown are, for example, part of an implementation within the control system, or are distributed via communicating control systems.

Zunächst werden mehrere Steuersignale 1a und 1b einer bestimmten Art sowie mehrere Genauigkeitssignale 2a und 2b erzeugt. Dies geschieht in der Sphäre einer Signalerzeugungs-Komponente I des Steuersystems. Die jeweiligen Genauigkeitssignale 2a und 2b repräsentieren jeweils eine Signalgenauigkeit der korrespondierenden Steuersignale 1a und 1b. Das bedeutet, dass das Genauigkeitssignal 2a eine Signalgenauigkeit des Steuersignals 1a repräsentiert, während das Genauigkeitssignal 2b eine Signalgenauigkeit des Steuersignals 1b repräsentiert.First, there are several control signals 1a and 1b of a certain type as well as several accuracy signals 2a and 2 B generated. This takes place in the sphere of a signal generation component I of the control system. The respective accuracy signals 2a and 2 B each represent a signal accuracy of the corresponding control signals 1a and 1b . That means the accuracy signal 2a a signal accuracy of the control signal 1a represents while the accuracy signal 2 B a signal accuracy of the control signal 1b represents.

Die Signalerzeugungs-Komponente I arbeitet beispielsweise als Auswerte-Einheit zur Auswertung von Messsignalen, die über mehrere Messsignal-Erzeugungseinheiten erzeugt werden, wobei die Signalerzeugungs-Komponente I aus den erfassten Messsignalen jeweils die Steuersignale 1a und 1b sowie deren Genauigkeitssignale 2a und 2b ableitet. Die 1 zeigt beispielhaft die Ermittlung einer Motoröltemperatur, wobei zum Beispiel ein Temperatursensor als erste Messsignal-Erzeugungseinheit und ein System-Modell als zweite Messsignal-Erzeugungseinheit Anwendung finden. Der Temperatursensor erzeugt ein erstes Messsignal und das System-Modell erzeugt ein zweites Messsignal. Somit stehen zwei Signalquellen zur Verfügung, die jeweils ein alternatives Messsignal einer bestimmten Art (hier zur Bestimmung der Motoröltemperatur) bereitstellen. Die Signalerzeugungs-Komponente I erzeugt aus dem ersten Messsignal des Temperatursensors das erste Steuersignal 1a und aus dem Messsignal des System-Modells das zweite Steuersignal 1b. Beispielsweise werden die jeweiligen Steuersignale 1a und 1b als Temperatursignale aus elektrischen Spannungssignalen des Temperatursensors, beziehungsweise des System-Modells gewonnen.The signal generation component I works, for example, as an evaluation unit for evaluating measurement signals that are generated via a plurality of measurement signal generation units, the signal generation component I each generating the control signals from the acquired measurement signals 1a and 1b as well as their accuracy signals 2a and 2 B derives. The 1 shows, by way of example, the determination of an engine oil temperature, using, for example, a temperature sensor as the first measurement signal generation unit and a system model as the second measurement signal generation unit. The temperature sensor generates a first measurement signal and the system model generates a second measurement signal. This means that two signal sources are available, each of which provides an alternative measurement signal of a certain type (here to determine the engine oil temperature). The signal generation component I generates the first control signal from the first measurement signal of the temperature sensor 1a and the second control signal from the measurement signal of the system model 1b . For example, the respective control signals 1a and 1b obtained as temperature signals from electrical voltage signals of the temperature sensor or the system model.

Zusätzlich erzeugt die Signalerzeugungs-Komponente I in Abhängigkeit vom Messsignal des Temperatursensors beziehungsweise in Abhängigkeit von einem Zustand oder von einem Verhalten des Temperatursensors das erste Genauigkeitssignal 2a, während die Signalerzeugungs-Komponente I in Abhängigkeit vom Messsignal des System-Modells beziehungsweise in Abhängigkeit von einem Zustand oder von einem Verhalten des System-Modells das zweite Genauigkeitssignals 2b erzeugt. Eine jeweilige Erzeugung der Genauigkeitssignale 2a und 2b erfolgt zum Beispiel aufgrund einer Kenntnis eines Zustands oder eines Verhaltens des Temperatursensors beziehungsweise des System-Modells durch die Signalerzeugungs-Komponente I. Zum Beispiel kann ein Genauigkeitssignal 2a beziehungsweise 2b aus einem Kennlinienverhalten des Temperatursensors beziehungsweise des System-Modells gewonnen werden, das der Signalerzeugungs-Komponente I bekannt ist. Weist der Temperatursensor beispielsweise in einem ersten Arbeitspunkt eine Messgenauigkeit mit einer Bandbreite von +/- 5 % auf und in einem anderen Arbeitspunkt eine Messgenauigkeit mit einer Bandbreite von +/- 10 %, so kann die Signalerzeugungs-Komponente I das Genauigkeitssignal ermitteln, je nachdem, ob sich der Sensor im ersten Arbeitspunkt oder im zweiten Arbeitspunkt befindet. Entsprechendes gilt für das System-Modell.In addition, the signal generating component I generates the first accuracy signal as a function of the measurement signal of the temperature sensor or as a function of a state or a behavior of the temperature sensor 2a , while the signal generation component I as a function of the measurement signal of the system model or as a function of a state or a behavior of the system model, the second accuracy signal 2 B generated. A respective generation of the accuracy signals 2a and 2 B takes place for example on the basis of knowledge of a state or a behavior of the temperature sensor or the system model by the signal generation component I. For example, an accuracy signal 2a respectively 2 B can be obtained from a characteristic curve behavior of the temperature sensor or the system model, which is known to the signal generation component I. If, for example, the temperature sensor has a measurement accuracy with a bandwidth of +/- 5% at a first operating point and a measurement accuracy with a bandwidth of +/- 10% at another operating point, then the signal generation component I can determine the accuracy signal, depending on the situation whether the sensor is in the first working point or in the second working point. The same applies to the system model.

Anschließend erfolgt eine Evaluierung der beiden Genauigkeitssignale 2a und 2b hinsichtlich ihrer Signalgenauigkeiten. Dies geschieht in der Sphäre einer Evaluierungs-Komponente II des Steuersystems. Hierzu ist ein Evaluierungs-Block 5 innerhalb der Evaluierungs-Komponente II eingerichtet, dem die von der Signalerzeugungs-Komponente I erzeugten Genauigkeitssignale 2a und 2b übergeben werden.The two accuracy signals are then evaluated 2a and 2 B in terms of their signal accuracy. This takes place in the sphere of an evaluation component II of the tax system. For this purpose there is an evaluation block 5 set up within the evaluation component II to which the accuracy signals generated by the signal generation component I 2a and 2 B be handed over.

Der Evaluierungs-Block überwacht die Genauigkeitssignale, und prüft die Signale anhand einer Genauigkeitsanforderung. Die Genauigkeitsanforderung kann für beide Genauigkeitssignale gleich sein, oder die Genauigkeitsanforderung kann für jedes Genauigkeitssignal gesondert festgelegt sein. In einer Ausführungsform haben die Genauigkeitsanforderungen für jedes Genauigkeitssignal ein Verhältnis zueinander ohne starr gekoppelt zu sein.The evaluation block monitors the accuracy signals and checks the signals based on an accuracy requirement. The accuracy requirement can be the same for both accuracy signals, or the accuracy requirement can be specified separately for each accuracy signal. In one embodiment, the accuracy requirements for each accuracy signal have a relationship to one another without being rigidly coupled.

Die Überprüfung des Genauigkeitssignals anhand der Genauigkeitsanforderung kann dauerhaft und kontinuierlich stattfinden, oder es kann durch eine Änderung oder Ereignis ausgelöst werden. Auslösend kann z.B. eine Änderung der Genauigkeitsanforderung oder des Genauigkeitssignals sein.The checking of the accuracy signal on the basis of the accuracy requirement can take place permanently and continuously, or it can be triggered by a change or event. Triggering can e.g. be a change in the accuracy requirement or the accuracy signal.

Beispielsweise beschreibt das Genauigkeitssignal eine Bandbreite oder Varianz des Steuersignals, z.B. eine mögliche Abweichung in % von einem erwarteten Wert des Steuersignals. Das Genauigkeitssignal kann für unterschiedliche Werte des Steuersignals unterschiedliche Werte annehmen. Beispielsweise kann das Genauigkeitssignal eine unterschiedliche Bandbreite des Steuersignals für unterschiedliche Werte des Steuersignals repräsentieren.For example, the accuracy signal describes a bandwidth or variance of the control signal, for example a possible deviation in% from an expected value of the control signal. The The accuracy signal can assume different values for different values of the control signal. For example, the accuracy signal can represent a different bandwidth of the control signal for different values of the control signal.

Das Genauigkeitssignal kann die nötigen Informationen liefern, um festzustellen, dass eine Adaption durchzuführen ist bzw. angestoßen werden soll. Das Genauigkeitssignal und das adaptierte Steuersignal können dann an die eine oder mehreren, das Steuersignal konsumierenden, Signalverarbeitungs-Komponenten zur Verarbeitung des adaptierten Steuersignals, evtl. unter Berücksichtigung des Genauigkeitssignals, übergeben werden.The accuracy signal can provide the information required to determine that an adaptation is to be carried out or to be initiated. The accuracy signal and the adapted control signal can then be transferred to the one or more signal processing components consuming the control signal for processing the adapted control signal, possibly taking into account the accuracy signal.

Als Reaktion auf die Überprüfung kann eine Entscheidung über die Quelle für ein Steuersignal getroffen oder festgelegt werden. Die Entscheidung des Evaluierungs-Blocks 5 steuert jeweils einen Umschalter 6a und einen Umschalter 6b. In Abhängigkeit von einer Entscheidung des Evaluierungs-Blocks 5 wird durch den Umschalter 6a entweder das Steuersignal 1a, gewonnen aus dem Temperatursensor, ausgewählt oder das Steuersignal 1b, gewonnen aus dem System-Modell, ausgewählt. In der 1 ist beispielhaft dem Umschalter 6a das Steuersignal 1a für eine weitere Verarbeitung ausgewählt. Dadurch wird das Steuersignal 1a als ausgewähltes Steuersignal 3 einer oder mehreren, das Steuersignal 3 konsumierenden Signalverarbeitungs-Komponenten III übergeben. In response to the check, a decision about the source for a control signal can be made or determined. The decision of the evaluation block 5 controls one switch at a time 6a and a switch 6b . Depending on a decision by the evaluation block 5 is through the toggle switch 6a either the control signal 1a , obtained from the temperature sensor, selected or the control signal 1b obtained from the system model. In the 1 is exemplary of the switch 6a the control signal 1a selected for further processing. This becomes the control signal 1a as the selected control signal 3 one or more, the control signal 3 consuming signal processing components III passed.

Alternativ oder zusätzlich kann auf Basis von einem fehlerhaften Signalwert und einem Genauigkeitssignal eine angepasste Fehlerreaktion ausgelöst werden.Alternatively or additionally, an adapted error reaction can be triggered on the basis of an incorrect signal value and an accuracy signal.

In Abhängigkeit von einer Entscheidung des Evaluierungs-Blocks 5 wird im Umschalter 6b entweder das Genauigkeitssignal 2a, das die Signalgenauigkeit des Steuersignals 1a repräsentiert, ausgewählt oder das Genauigkeitssignal 2b, das eine Signalgenauigkeit des Steuersignals 1b repräsentiert, ausgewählt. In der 1 ist beispielhaft das Genauigkeitssignal 2a ausgewählt. Dieses wird nachfolgend als ausgewähltes Genauigkeitssignal 4 der Sphäre der einen oder mehreren, das Genauigkeitssignal konsumierenden Signalverarbeitungs-Komponenten III übergeben. Die Signalverarbeitungs-Komponenten III können im weiteren Betrieb des Steuersystems das Steuersignal 3 und das zugehörige Genauigkeitssignal 4 weiterverarbeiten. Hierbei wird die Adaption des Steuersignals 3 unter Berücksichtigung des Genauigkeitssignals 4 erfolgen. Das Genauigkeitssignal untersteht einer laufenden oder ständigen Überprüfung, und bei Vorliegen der Bedingungen für eine Adaption des Steuersignals wird ein Adaptionsvorgang durchgeführt. Wird die Motoröltemperatur nicht über einen Sensor ermittelt, sondern über ein Modell, z.B. auf Basis eines empirischen Modells, können analog die Modelldaten adaptiert werden.Depending on a decision by the evaluation block 5 is in the switch 6b either the accuracy signal 2a that the signal accuracy of the control signal 1a represents, selected or the accuracy signal 2 B , the signal accuracy of the control signal 1b represents, selected. In the 1 is an example of the accuracy signal 2a selected. This is hereinafter referred to as the selected accuracy signal 4th the sphere of the one or more signal processing components III consuming the accuracy signal. The signal processing components III can transmit the control signal during further operation of the control system 3 and the associated accuracy signal 4th further processing. This is the adaptation of the control signal 3 taking into account the accuracy signal 4th respectively. The accuracy signal is subject to an ongoing or constant check, and if the conditions for an adaptation of the control signal are present, an adaptation process is carried out. If the engine oil temperature is not determined using a sensor, but using a model, for example on the basis of an empirical model, the model data can be adapted analogously.

Das System kann einen bestimmten Wert eines Steuersignals als fehlerhaft erkennen, z.B. wenn der Signalwert außerhalb eines gültigen Bereiches liegt. Das System kann wiederum einen bestimmten Wert eines Steuersignals als gültig erkennen, wenn das Signalwert innerhalb eines gültigen Bereiches liegt, wobei die Spanne des gültigen Bereiches vom Genauigkeitssignal abhängig ist; sonst kann das Signalwert als ungültig erkannt werden.The system can recognize a certain value of a control signal as erroneous, e.g. if the signal value is outside a valid range. The system can, in turn, recognize a certain value of a control signal as valid if the signal value is within a valid range, the span of the valid range being dependent on the accuracy signal; otherwise the signal value can be recognized as invalid.

Ein bestimmter Wert eines Steuersignals kann als fehlerhaft bei einem ersten Betriebszustand und als nicht-fehlerhaft bei einem zweiten Betriebszustand erkannt werden. Als Reaktion auf die Überprüfung kann auch eine Fehlerreaktion ausgerufen oder eingeleitet werden, wobei die Fehlerreaktion ggf. in Betracht eines vorübergehenden Betriebsmodus festgelegt werden kann. Der Betriebsmodus könnte z.B. ein Schaltvorgang oder ein Überhohlvorgang oder ein Bremsvorgang oder ein Beschleunigungsvorgang sein. Die Fehlerreaktion kann eine Änderung des Betriebsmodus beinhalten oder eine Anpassung oder Anpassungsversuch des Sensors oder die Auslösung eines Warnsignals oder mehrere Aktionen gleichzeitig oder hintereinander. Mögliche Fehlerreaktionen beinhalten die Begrenzung der maximalen Geschwindigkeit eines Fahrzeugs und das kompletten Stilllegen des Fahrzeugs. Die Fehlerreaktion kann auch aus die Evaluierung mehrerer Genauigkeitssignale hinsichtlich ihrer Signalgenauigkeit und die Verwendung desjenigen Steuersignals mit der niedrigsten Signalgenauigkeit aus den mehreren Genauigkeitssignalen bestehen.A certain value of a control signal can be recognized as faulty in a first operating state and as non-faulty in a second operating state. As a reaction to the check, an error reaction can also be called out or initiated, with the error reaction possibly being able to be determined in consideration of a temporary operating mode. The operating mode could e.g. a shifting process or an overtaking process or a braking process or an acceleration process. The error reaction can include a change in the operating mode or an adaptation or adaptation attempt of the sensor or the triggering of a warning signal or several actions simultaneously or in succession. Possible error reactions include the limitation of the maximum speed of a vehicle and the complete shutdown of the vehicle. The error reaction can also consist of the evaluation of several accuracy signals with regard to their signal accuracy and the use of that control signal with the lowest signal accuracy from the several accuracy signals.

Der Zustand oder das Verhalten der Messsignal-Erzeugungseinheit ist für die Signalerzeugungs-Komponente zum Erzeugen des Genauigkeitssignals entweder zugänglich oder der Signalerzeugungs-Komponente bekannt. Beispielsweise kann die Signalerzeugungs-Komponente aus einer ihr bekannten Kennlinie eines verwendeten Sensors ein bestimmtes Verhalten des Sensors oder einen bestimmten Zustand des Sensors an einem bestimmten Arbeitspunkt und damit einhergehend auch eine bestimmte Messgenauigkeit bzw. Messungenauigkeit des Sensors entnehmen. In dem Falle, dass die Messsignal-Erzeugungseinheit ein Sensor-Modell oder ein System-Modell ist, kann die Signalerzeugungs-Komponente z.B. aus ihr bekannten Modell-Größen oder Modell-Parametern ein bestimmtes Verhalten oder einen bestimmten Zustand des Sensor-Modells oder des System-Modells und damit einhergehend auch eine bestimmte Messgenauigkeit bzw. Messungenauigkeit, Störgrößenverhalten, usw. entnehmen. Dieser Zustand beziehungsweise dieses Verhalten der Messsignal-Erzeugungseinheit wird dann einerseits für die Erzeugung des Steuersignals aus dem von der Messsignal-Erzeugungseinheit gelieferten Messsignal herangezogen und andererseits für die Erzeugung des parallel erzeugten Genauigkeitssignals herangezogen, das eine Signalgenauigkeit des Steuersignals repräsentiert.The state or the behavior of the measurement signal generation unit is either accessible to the signal generation component for generating the accuracy signal or is known to the signal generation component. For example, the signal generating component can derive a certain behavior of the sensor or a certain state of the sensor at a certain operating point and, as a result, also a certain measurement accuracy or measurement inaccuracy of the sensor from a characteristic curve known to it of a sensor used. In the event that the measurement signal generation unit is a sensor model or a system model, the signal generation component can, for example, from its known model variables or model parameters, a certain behavior or a certain state of the sensor model or the system -Model and, as a result, a certain measurement accuracy or measurement inaccuracy, disturbance variable behavior, etc. This state or this behavior of the measurement signal generation unit is then used, on the one hand, to generate the control signal from the measurement signal supplied by the measurement signal generation unit and, on the other hand, to generate the accuracy signal generated in parallel, which represents a signal accuracy of the control signal.

Das Genauigkeitssignal kann entsprechend geändert oder angepasst werden abhängig davon, ob sich das Messsignal beziehungsweise der Zustand oder das Verhalten der Messsignal-Erzeugungseinheit über die Zeit ändert. Verändert sich beispielsweise die Betriebstemperatur an einem Sensor, der ein temperaturabhängiges Verhalten zeigt, so ändert sich auch der Zustand beziehungsweise das Verhalten des Sensors, was Auswirkungen auf das von dem Sensor gelieferte Messsignal hat. Beispielsweise steigt ein vom Sensor geliefertes Spannungssignal proportional mit einer ansteigenden Temperatur am Sensor an. Ferner ist denkbar, dass der Sensor eine von der Temperatur abhängige Messgenauigkeit aufweist. Mit zunehmender Temperatur verändert sich somit auch die Signalgenauigkeit des vom Sensor gelieferten Messsignals und damit konsequenterweise die Signalgenauigkeit des aus dem Messsignal ermittelten Steuersignals. Diese Änderung der Signalgenauigkeit wird durch die Signalerzeugungs-Komponente bei der Erzeugung des Genauigkeitssignals erfasst und berücksichtigt. Auf diese Weise kann ein Genauigkeitssignal erzeugt werden, das sich mit einem zeitlich veränderlichen Verhalten des Sensors entsprechend ändert. Das Genauigkeitssignal spiegelt somit eine durch ein zeitlich veränderliches Sensorverhalten ausgelöste veränderte Signalgenauigkeit des Steuersignals wider. Diese Information kann zur Bestimmung von geeigneten Zeitpunkten zur Durchführung eines Adaptionsvorgangs verwendet werden.The accuracy signal can be changed or adapted accordingly depending on whether the measurement signal or the state or the behavior of the measurement signal generating unit changes over time. If, for example, the operating temperature changes at a sensor that exhibits temperature-dependent behavior, then the state or the behavior of the sensor also changes, which has an impact on the measurement signal supplied by the sensor. For example, a voltage signal delivered by the sensor rises proportionally with an increasing temperature at the sensor. It is also conceivable that the sensor has a measurement accuracy that is dependent on the temperature. With increasing temperature, the signal accuracy of the measurement signal supplied by the sensor changes and consequently the signal accuracy of the control signal determined from the measurement signal. This change in the signal accuracy is detected and taken into account by the signal generation component when generating the accuracy signal. In this way, an accuracy signal can be generated which changes accordingly with a behavior of the sensor that changes over time. The accuracy signal thus reflects a changed signal accuracy of the control signal triggered by a sensor behavior that changes over time. This information can be used to determine suitable times for carrying out an adaptation process.

Hat sich z.B. während des Betriebs die Genauigkeit eines Temperatursensors aufgrund der vorherrschenden Betriebsbedingungen verschlechtert, so kann die Sensorkennlinie adaptiert werden, sofern ein weiterer Wert vorhanden ist, der eine Information über die Temperatur zur Verfügung stellt.Has e.g. If the accuracy of a temperature sensor deteriorates during operation due to the prevailing operating conditions, the sensor characteristic curve can be adapted if another value is available which provides information about the temperature.

Die Adaption der Signale kann, abhängig von der jeweiligen Genauigkeit, in beide Richtungen durchgeführt werden.The adaptation of the signals can be carried out in both directions, depending on the respective accuracy.

Auch kann die Signalerzeugungs-Komponente einen Zustand oder ein Verhalten einer Signalübertragung zwischen der Signalerzeugungs-Komponente und der einen oder den mehreren, das Steuersignal konsumierenden erhaltenden, Signalverarbeitungs-Komponenten überwachen. Dabei erzeugt die Signalerzeugungs-Komponente das Genauigkeitssignal in Abhängigkeit vom Zustand oder vom Verhalten der Signalübertragung.The signal generation component can also monitor a state or behavior of a signal transmission between the signal generation component and the one or more receiving signal processing components consuming the control signal. The signal generation component generates the accuracy signal as a function of the state or behavior of the signal transmission.

Die Signalübertragung kann beispielsweise mittels eines Steuer-Busses, wie eines CAN-Busses oder sonstigen Feldbusses, oder vermittels eines oder mehrerer Netzwerke erfolgen. Beispielsweise ist die Signalerzeugungs-Komponente in einem ersten Steuergerät des Steuersystems eingerichtet, während die eine oder die mehreren Signalverarbeitungs-Komponenten in einem zweiten Steuergerät eingerichtet sind. Dazwischen erfolgt die Signalübertragung über einen oder mehrere der genannten Übertragungswege.The signal can be transmitted, for example, by means of a control bus, such as a CAN bus or other field bus, or by means of one or more networks. For example, the signal generation component is set up in a first control device of the control system, while the one or more signal processing components are set up in a second control device. In between, the signal is transmitted via one or more of the transmission paths mentioned.

Eine Prädiktion eines zukünftigen zeitlichen Verlaufs des Genauigkeitssignals kann auf Grundlage eines vergangenen zeitlichen Verlaufs des Genauigkeitssignals durchgeführt werden. Für eine derartige Prädiktion können herkömmliche mathematische Methoden angewendet werden. Beispielsweise kann aus einem im Betrieb erfassten zeitlichen Verlauf des Genauigkeitssignals (Trajektorie des Genauigkeitssignals) ein zukünftiger zeitlicher Verlauf des Genauigkeitssignals abgeschätzt werden. Dadurch ist es dem Steuersystem beziehungsweise einem Steuerprogramm, das auf dem Steuersystem abläuft und ein hier erläutertes Verfahren durchführt, möglich, zukünftige Betriebssituationen des Steuersystems abschätzen zu können. Beispielsweise können Signalverarbeitungs-Komponenten oder auch Signalerzeugungs-Komponenten des Steuersystems im Vorfeld auf bestimmte Veränderungen des Betriebsverhaltens des Steuersystems in der Zukunft reagieren, um dieses Betriebsverhalten entweder herbeizuführen oder zu verhindern. Eine Prädiktion des zeitlichen Verlaufs des Genauigkeitssignals kann beispielsweise parallel zu einer Prädiktion eines zeitlichen Verlaufs des Steuersignals basierend auf einer erfassten Trajektorie des Steuersignals erfolgen. Diese Information kann wiederum zur Bestimmung von geeigneten Zeitpunkten zur Durchführung eines Adaptionsvorgangs verwendet werden.A prediction of a future temporal course of the accuracy signal can be carried out on the basis of a past temporal course of the accuracy signal. Conventional mathematical methods can be used for such a prediction. For example, a future time profile of the accuracy signal can be estimated from a time profile of the accuracy signal recorded during operation (trajectory of the accuracy signal). As a result, it is possible for the control system or a control program that runs on the control system and carries out a method explained here to be able to estimate future operating situations of the control system. For example, signal processing components or also signal generation components of the control system can react in advance to certain changes in the operating behavior of the control system in the future, in order to either bring about or prevent this operating behavior. A prediction of the time profile of the accuracy signal can for example take place in parallel to a prediction of a time profile of the control signal based on a recorded trajectory of the control signal. This information can in turn be used to determine suitable times for carrying out an adaptation process.

In diversen Implementierungen des Verfahrens werden mehrere Steuersignale und mehrere Genauigkeitssignale einer bestimmten Art von der Signalerzeugungs-Komponente oder von mehreren Signalerzeugungs-Komponenten erzeugt. Dabei kann jeweils ein Genauigkeitssignal zu einem Steuersignal korrespondieren, oder ein Genauigkeitssignal kann zu mehreren Steuersignalen korrespondieren.In various implementations of the method, several control signals and several accuracy signals of a certain type are generated by the signal generation component or by several signal generation components. One accuracy signal can correspond to a control signal, or one accuracy signal can correspond to several control signals.

Anhand von 2 werden die Möglichkeiten zur Bearbeitung von Signalen und zugehörige Genauigkeitssignalen veranschaulicht, wie sie z.B. in einem Evaluierungsblock 5 realisiert sein könnten. Im Schritt 210 werden Signal und zugehöriges Genauigkeitssignal empfangen bzw. erfasst. Im Schritt 220 wird das Signal anhand von seinem zugehörigen Genauigkeitssignal gewertet. Zum Beispiel kann ein Geschwindigkeitssensor anhand eines Genauigkeitssignals überprüft werden, um festzustellen ob die Genauigkeit ausreichend ist um eine begründete Aussage zur Geschwindigkeit zu treffen, oder aber ob ein fehlerhafter Signalwert vorliegt.Based on 2 The options for processing signals and the associated accuracy signals are illustrated, for example in an evaluation block 5 could be realized. In step 210 the signal and the associated accuracy signal are received or recorded. In step 220 the signal is evaluated using its associated accuracy signal. For example, a speed sensor can be checked against an accuracy signal to determine if the Accuracy is sufficient to make a well-founded statement about the speed or whether an incorrect signal value is present.

Die Wertung eines Genauigkeitssignales, gezeigt als 230, kann im Rahmen von einer Überwachung stattfinden. Bei der oben erwähnten Überwachungsfunktion, die bei konventionellen Antrieben nur benötigt wird, wenn ein Automatikgetriebe im Fahrzeug verbaut ist und bei Handschaltgetrieben deaktiviert sein soll, kann die Überwachungsfunktion mit dem Einsatz von Genauigkeitsanforderungen über eine anonymisierte Information aktiviert und deaktiviert werden und muss nicht direkte Zustände aus anderen Systemen als Information heranziehen. Dadurch wird eine deutlich bessere Kapselung der einzelnen Systeme erreicht und die einzelnen Systemelemente können sowohl in unterschiedlichen Systemkonfigurationen als auch einzeln in verschiedenen Systemen eingesetzt werden, ohne dass Abhängigkeiten untereinander bestehen, wodurch bei der Wiederverwendung ein enormer Zusatzaufwand entstehen würde.The scoring of an accuracy signal, shown as 230 , can take place in the context of monitoring. With the above-mentioned monitoring function, which is only required with conventional drives if an automatic transmission is installed in the vehicle and should be deactivated for manual transmissions, the monitoring function can be activated and deactivated with the use of accuracy requirements via anonymous information and does not have to include direct states other systems as information. This results in a significantly better encapsulation of the individual systems and the individual system elements can be used both in different system configurations and individually in different systems without there being any interdependencies, which would result in enormous additional effort when reusing them.

Bei der stark steigenden Anzahl an Systemvarianten bspw. in der Automobilindustrie entsteht dadurch ein deutlicher Mehrwert. Wenn z.B. kein konventioneller Antriebsstrang mit Verbrennungsmotor im Fahrzeug verwendet wird, sondern ein Hybrid-Antrieb, bei dem zwischen Getriebe und Verbrennungsmotor noch eine Elektromaschine verbaut ist, kann es sein, dass die Überwachungsfunktion nicht benötigt wird, obwohl ein Automatikgetriebe verbaut ist, da die dazwischenliegende Elektromaschine die Information für den Verbrennungsmotor bereits genau genug ermittelt. Verwendet nun die Überwachungsfunktion keine Genauigkeitsanforderungen, sondern nur die Information ob ein Automatikgetriebe verbaut ist (wie bisher), dann muss die Überwachungsfunktion bei jeder Systemänderung angepasst werden.With the rapidly increasing number of system variants, for example in the automotive industry, this creates significant added value. If e.g. If a conventional drive train with an internal combustion engine is not used in the vehicle, but a hybrid drive in which an electric machine is installed between the transmission and the internal combustion engine, the monitoring function may not be required even though an automatic transmission is installed because the electric machine in between the Information for the combustion engine already determined precisely enough. If the monitoring function does not use any accuracy requirements, but only the information whether an automatic transmission is installed (as before), then the monitoring function must be adapted every time the system is changed.

In Schritt 232 wird die Auswirkung auf die Sicherheitsanforderung ermittelt. Die Auswirkung ergibt sich dynamisch aus dem Signal und das geprüfte und gewertete Genauigkeitssignal, basiert aber prinzipiell auf die Anwendung. Sollten Signalwert und Signalgenauigkeit unzureichend sein für die gegebene Anwendung, dann kann eine Signalisierung der Anforderung auf eine höhere Genauigkeit als Rückmeldung 235 an eine Erfassungseinheit oder Signalerzeugungs-Komponente 210 übermittelt werden. Ebenfalls kann, im Falle von einer mehr als ausreichenden Genauigkeit, eine Signalisierung erfolgen, dass die Genauigkeit mehr als ausreichend ist, und ggf. eine niedrige Genauigkeit ausreichen würde.In step 232 the effect on the security requirement is determined. The effect arises dynamically from the signal and the tested and evaluated accuracy signal, but is principally based on the application. If the signal value and signal accuracy are inadequate for the given application, the request can be signaled for higher accuracy than feedback 235 to a detection unit or signal generation component 210 be transmitted. In the case of a more than sufficient accuracy, a signaling can also take place that the accuracy is more than sufficient, and possibly a low accuracy would be sufficient.

In Schritt 231 werden Eigenschaften der Genauigkeit festgestellt oder geschätzt. Hier kann z.B. die aktuelle oder zeitliche Entwickelung der Genauigkeit festgestellt oder prädiziert werden. In diesen Schritt kann die Entwicklung entweder als zeitlicher oder als Ereignis-getriebene Änderung analysiert werden.In step 231 properties of accuracy are determined or estimated. Here, for example, the current or temporal development of the accuracy can be determined or predicted. In this step, the development can be analyzed either as a change over time or as an event-driven change.

Im Schritt 240 wird die Systemreaktion entsprechend angepasst, mindestens auf Basis des Genauigkeitswerts und ggf. des Signalwerts. Zum Beispiel kann eine Beschleunigung verschoben oder nicht realisiert werden, wenn eine Temperatursensorwert grenzwertig überhöht ist und gleichzeitig die Signalgenauigkeit es nicht erlaubt, die Temperatur hinreichend zu bestimmen. Hiermit wird eine angepasste Fehlerreaktion ausgelöst.In step 240 the system response is adjusted accordingly, at least on the basis of the accuracy value and, if applicable, the signal value. For example, an acceleration can be postponed or not implemented if a temperature sensor value is marginally excessive and at the same time the signal accuracy does not allow the temperature to be adequately determined. This triggers an adapted error response.

Die Systemreaktion kann auch vorausschauend angepasst werden, wenn die Entwicklung der Genauigkeit es vorhersehbar macht, dass ein Problem oder Fehler anhand der Genauigkeit bald oder in eine vorhersehbare Zukunft vorhanden sein wird. Eine mögliche Systemreaktion besteht in der Rückmeldung bzw. geänderte Anforderung an die Signalgenauigkeit 235, aber andere Reaktionen auf Signalwerte und Signalgenauigkeiten können unerlässlich sein.The system response can also be adjusted proactively if the development of the accuracy makes it foreseeable that a problem or error based on the accuracy will be present soon or in a foreseeable future. A possible system reaction consists in the feedback or a changed requirement for the signal accuracy 235 , but other responses to signal values and signal accuracies may be essential.

Die verschiedenen Schritte aus 2 müssen nicht sequenziell abgearbeitet werden, und es kann von Vorteil sein, wenn mehrere oder alle Schritte parallel ablaufen.The different steps 2 do not have to be processed sequentially, and it can be advantageous if several or all steps run in parallel.

3 veranschaulicht die Auswirkung und Wechselwirkung von gewerteten Signaleingängen und Genauigkeitssignalen. Eine mögliche Auswirkung auf die Sicherheitsanforderung kann eine Anforderung am Signalgeber sein, wie 235 in 2, womit eine Signalerzeugungs-Komponente aufgefordert wird, das Steuersignal z.B. mit erhöhter Genauigkeit zu liefern. Eine andere mögliche Auswirkung kann eine Feststellung oder eine Neubewertung von der Zuverlässigkeit von Ergebnissen auf Basis z.B. von ungenauen Signalwerten sein. Eine weitere mögliche Auswirkung ist eine Festsetzung oder Anpassung von Grenzwerten für Fehlerfälle. Die Grenzwerte können durch geänderte Signalgenauigkeit, ggf. im Zusammenhang mit Signalwerten in bestimmten Bereichen, anzupassen sein. Letztlich kann eine Auswirkung in einem Fehlerfall oder sogar einer Notfall-Auslösung bestehen, wodurch beim Erkennen von einem fehlerhaften Signalwert, eine passende Fehlerreaktion ausgelöst wird. 3 illustrates the effect and interaction of weighted signal inputs and accuracy signals. A possible effect on the safety requirement can be a requirement on the signal transmitter, such as 235 in 2 , whereby a signal generation component is requested to deliver the control signal, for example with increased accuracy. Another possible effect can be a determination or a reassessment of the reliability of results based on, for example, imprecise signal values. Another possible effect is the setting or adjustment of limit values for errors. The limit values can have to be adapted by changing the signal accuracy, possibly in connection with signal values in certain areas. Ultimately, there can be an effect in the event of an error or even an emergency release, whereby a suitable error reaction is triggered when an incorrect signal value is recognized.

In 4 wird die zeitliche Entwicklung einer Signalgenauigkeit dargestellt. Die Genauigkeit A („Accuracy“) ist auf der vertikalen Achse 410 angegeben und Zeit ist auf der horizontalen Achse abgebildet. Die Genauigkeit 430 entwickelt sich zwischen einem Maximalwert 431 und einem Minimalwert 432. Die Ungenauigkeit erhöht sich in dieser Ausführung mit der Zeit, zum Beispiel wegen Alterungseffekten. Bis zur Zeit „t“, 425, ist der Genauigkeitswert ein gemessener Wert, und danach ist es ein geschätzter Wert. Da das Genauigkeitssignal 430 sich ändert, kann es von Vorteil sein, das Genauigkeitssignal anhand einer Genauigkeitsanforderung zu überwachen. Die Überwachung kann während des Betriebs entweder kontinuierlich oder aber zu gegebenen oder festgelegten Zeiten erfolgen.In 4th the development of a signal accuracy over time is shown. The accuracy A ("Accuracy") is on the vertical axis 410 and time is shown on the horizontal axis. The precision 430 develops between a maximum value 431 and a minimum value 432 . In this version, the inaccuracy increases over time, for example due to aging effects. Until time "t", 425 , the accuracy value is a measured value, and after that it is an estimated value. As the accuracy signal 430 changes, it can be advantageous to monitor the accuracy signal on the basis of an accuracy requirement. The monitoring can take place either continuously or at given or fixed times during operation.

5 veranschaulicht einen zeitlichen Ablauf der Genauigkeitsanforderung 530 mit höheren und niedrigeren Anforderungen. In einer ersten Zeit, bis zum Zeitpunkt „t1“ als 526 gekennzeichnet, wird eine niedrigere Anforderung 541 an die Genauigkeit gestellt. In einer zweiten Zeit, bis zum Zeitpunkt „t2“ als 527 gekennzeichnet, wird eine höhere Anforderung 541 an die Genauigkeit (Senkung der Ungenauigkeit) gestellt. Ab Zeit „t2“ wird wieder eine niedrigere Anforderung 542 an die Genauigkeit gestellt. In diesem Beispiel ist die Genauigkeit ausreichend vor „t1“ und nach „t2“, aber nicht ausreichend zwischen „t1“ und „t2“. In diesem Beispiel wird die Genauigkeitsanforderung während des Betriebs laufend angepasst. Die Genauigkeitsanforderung könnte anhand eines funktionalen Sicherheitsprofils festgelegt werden, oder aber durch eine Tabelle mit Zuständen und entsprechenden Genauigkeitsanforderungen. Die Anpassung der Genauigkeitsanforderung könnte anhand eines Betriebsmodus festgelegt werden, oder aber anhand eines vorübergehenden Betriebsmodus. Als Beispiel könnte der Betriebsmodus ein Schaltvorgang oder ein Überhohlvorgang oder ein Bremsvorgang oder ein Beschleunigungsvorgang sein. Eine Abweichung zwischen der Signalgenauigkeit des Genauigkeitssignals und die Genauigkeitsanforderung könnte z.B. zu einer Fehlerreaktion bzw. Fehlermeldung führen. 5 illustrates a timing of the accuracy requirement 530 with higher and lower requirements. In a first time, up to time "t1" as 526 marked, becomes a lower requirement 541 put to the accuracy. In a second time, until time “t2” as 527 marked, is a higher requirement 541 to the accuracy (reduction of the inaccuracy). From time "t2" onwards there is again a lower requirement 542 put to the accuracy. In this example the accuracy is sufficient before "t1" and after "t2", but not sufficient between "t1" and "t2". In this example, the accuracy requirement is continuously adapted during operation. The accuracy requirement could be specified on the basis of a functional safety profile, or else by means of a table with states and corresponding accuracy requirements. The adaptation of the accuracy requirement could be established on the basis of an operating mode, or else on the basis of a temporary operating mode. As an example, the operating mode could be a shifting process or an overtaking process or a braking process or an acceleration process. A deviation between the signal accuracy of the accuracy signal and the accuracy requirement could, for example, lead to an error reaction or error message.

6 zeigt eine Anpassung der Genauigkeit 630, womit die Genauigkeit immer den Anforderungen 641, 642, 645 genügt. Zum als 626 gekennzeichneten Zeitpunkt „t1“ wird die Genauigkeit erhöht, oder die Ungenauigkeit gesenkt, damit sie unter die Obergrenze 645 bleibt. Vor „t1“, und nach „t2“ als 627 gekennzeichnet, bleibt die Ungenauigkeit höher, jedoch unter die Maximalgrenze von 641 und 642. Die Genauigkeit kann z.B. durch eine Anforderung an dem Sensor, eine verbesserte Genauigkeit zu liefern, herbeigerufen werden. Die Anpassung der Genauigkeit könnte auch durch die Verwendung eines anderen Sensors erfolgen, oder durch ein anderes Verfahren um den Sensorwert zu berechnen, oder durch eine Kombination aus mehrere Methoden. Eine geänderte Genauigkeitsanforderung kann sowohl für eine begrenzte Zeit eine erhöhte Anforderung darstellen als auch für längere Zeit oder dauerhaft. 6th shows an adjustment of the accuracy 630 , with which the accuracy always meets the requirements 641 , 642 , 645 enough. For as 626 marked time "t1", the accuracy is increased or the inaccuracy is reduced so that it falls below the upper limit 645 remains. Before "t1", and after "t2" as 627 marked, the inaccuracy remains higher, but below the maximum limit of 641 and 642 . The accuracy can, for example, be brought about by a requirement on the sensor to provide improved accuracy. The adjustment of the accuracy could also be done by using a different sensor, or by another method to calculate the sensor value, or by a combination of several methods. A changed accuracy requirement can represent an increased requirement for a limited time as well as for a longer time or permanently.

Die Überwachung der Genauigkeit kann auf Grund von Änderungen im Genauigkeitssignal oder der Genauigkeitsanforderung durchgeführt werden. Im Falle einer Überwachungsfunktion, die bei konventionellen Antrieben nur benötigt wird, wenn ein Automatikgetriebe im Fahrzeug verbaut ist und bei Handschaltgetrieben deaktiviert sein soll, kann die Überwachungsfunktion mit dem Einsatz von Genauigkeitsanforderungen über eine anonymisierte Information aktiviert und deaktiviert werden und muss nicht direkte Zustände aus anderen Systemen als Information heranziehen. Dadurch wird eine deutlich bessere Kapselung der einzelnen Systeme erreicht und die einzelnen Systemelemente können sowohl in unterschiedlichen Systemkonfigurationen als auch einzeln in verschiedenen Systemen eingesetzt werden, ohne dass Abhängigkeiten untereinander bestehen, wodurch bei der Wiederverwendung ein enormer Zusatzaufwand entstehen würde.The monitoring of the accuracy can be carried out based on changes in the accuracy signal or the accuracy requirement. In the case of a monitoring function, which is only required with conventional drives if an automatic transmission is installed in the vehicle and should be deactivated for manual transmissions, the monitoring function can be activated and deactivated with the use of accuracy requirements via anonymized information and does not have to direct states from others Systems as information. This results in a significantly better encapsulation of the individual systems and the individual system elements can be used both in different system configurations and individually in different systems without there being any interdependencies, which would result in enormous additional effort when reusing them.

Wenn z.B. nicht ein konventioneller Antriebsstrang mit Verbrennungsmotor im Fahrzeug verwendet wird, sondern ein Hybrid-Antrieb, bei dem zwischen Getriebe und Verbrennungsmotor noch eine Elektromaschine verbaut ist, kann es sein, dass die Überwachungsfunktion nicht benötigt wird, obwohl ein Automatikgetriebe verbaut ist, da die dazwischenliegende Elektromaschine die Information für den Verbrennungsmotor bereits genau genug ermittelt. Verwendet nun die Überwachungsfunktion keine Genauigkeitsanforderungen, sondern nur die Information ob ein Automatikgetriebe verbaut ist (wie bisher), dann muss die Überwachungsfunktion bei jeder Systemänderung angepasst werden.If e.g. If a conventional drive train with an internal combustion engine is not used in the vehicle, but a hybrid drive in which an electric machine is installed between the transmission and the internal combustion engine, the monitoring function may not be required even though an automatic transmission is installed because the electric machine in between the information for the combustion engine has already been determined precisely enough. If the monitoring function does not use any accuracy requirements, but only the information whether an automatic transmission is installed (as before), then the monitoring function must be adapted every time the system is changed.

In 7 ist eine Abhängigkeit zwischen Spannung und Genauigkeit zu sehen. Ein Sensorwert 710 kann in einem gültigen Bereich definiert sein. Bei einem Sensor, der eine Spannung als Wert 710 ausgibt, gibt es so beispielsweise eine minimale und eine maximale Spannungsgrenze (VMin 712, VMax 711). Liegt der Sensorwert außerhalb des gültigen Bereiches, so wird ein Fehler 735 signalisiert bzw. die Ungenauigkeit (Acry, 730) erhöht.In 7th a relationship between voltage and accuracy can be seen. A sensor value 710 can be defined in a valid range. For a sensor that uses a voltage as a value 710 outputs, there is, for example, a minimum and a maximum voltage limit (VMin 712 , VMax 711 ). If the sensor value is outside the valid range, an error is generated 735 signals or the inaccuracy (acrylic, 730 ) elevated.

Durch die Auswertung der Genauigkeit des Sensorsignals (Acry) kann im Bereich der Grenzwerte eine deutlich genauere Fehlerreaktion ausgelöst werden, die z.B. mit schlechter werdender Genauigkeit verstärkt wird.By evaluating the accuracy of the sensor signal (Acry), a much more precise error reaction can be triggered in the limit value range, e.g. is amplified as the accuracy deteriorates.

Als weiteres Beispiel wird für die Auswertung der Fahrzeugbeschleunigung im Rahmen des Sicherheitskonzeptes ein Beschleunigungssensor verwendet. Wie erwähnt kann ein bestimmter Wert eines Steuersignals als fehlerhaft bei einem ersten Betriebszustand und als nicht-fehlerhaft bei einem zweiten Betriebszustand erkannt werden. Die Fehlerreaktion kann entsprechend unter Berücksichtigung eines vorübergehenden Betriebsmodus festgelegt werden. Eine mögliche Fehlerreaktion besteht aus der Evaluierung mehrerer Genauigkeitssignale hinsichtlich ihrer Signalgenauigkeit und die Verwendung desjenigen Steuersignals mit der niedrigsten Signalgenauigkeit bzw. -ungenauigkeit (höchste Genauigkeit des Signales).As a further example, an acceleration sensor is used for evaluating the vehicle acceleration as part of the safety concept. As mentioned, a certain value of a control signal can be recognized as faulty in a first operating state and as non-faulty in a second operating state. The error reaction can be determined accordingly, taking into account a temporary operating mode. One possible error reaction consists of evaluating several accuracy signals with regard to their signal accuracy and using the control signal with the lowest signal accuracy or inaccuracy (highest accuracy of the signal).

Für den Fall, dass am Beschleunigungssensor ein Fehler vorliegt, wird als Ersatzwert die Fahrzeugbeschleunigung aus dem Fahrzeuggeschwindigkeitssignal gebildet, welches wiederum aus den vier Raddrehzahlen generiert wird. Sollte auch bei diesem Signal ein Fehler vorliegen (bspw. Ausfall ein oder mehrerer Raddrehzahlsensoren), so ist es nicht mehr möglich eine ausreichend genaue Information über die Fahrzeugbeschleunigung zu ermitteln und eine entsprechende Fehlerreaktion (z.B. Fahrzeugstillstand) wird ausgelöst.In the event that there is an error on the acceleration sensor, the vehicle acceleration is formed as a substitute value from the vehicle speed signal, which in turn is generated from the four wheel speeds. If there is an error with this signal (e.g. failure of one or more wheel speed sensors), it is no longer possible to determine sufficiently accurate information about the vehicle acceleration and a corresponding error reaction (e.g. vehicle standstill) is triggered.

Mit der Verwendung von Signalgenauigkeiten für das Signal des Beschleunigungssensors und der Raddrehzahlsensoren könnte eine deutlich gezieltere Fehlererkennung und -reaktion durchgeführt werden. So könnte eine Fehlerreaktion abhängig von der vorhandenen Signalgenauigkeit verschiedener Fehlerreaktionen - z.B. von der Begrenzung der maximalen Fahrzeuggeschwindigkeit bis zum kompletten Stilllegen des Systems - ausgelöst werden.With the use of signal accuracies for the signal from the acceleration sensor and the wheel speed sensors, a significantly more targeted error detection and reaction could be carried out. For example, an error reaction could depend on the existing signal accuracy of various error reactions - e.g. from the limitation of the maximum vehicle speed to the complete shutdown of the system.

Des Weiteren ist es durch die Übertragung der Signalgenauigkeit möglich, die Sensorzustände wesentlich detaillierter auszuwerten und zu verarbeiten. So können beispielsweise nicht nur Fehlerfälle eines Sensors, sondern auch Sensorbetriebszustände, die sich in unterschiedlichen Sensorgenauigkeiten auswirken, eindeutiger verarbeitet werden. Die Fehlerreaktion kann dabei auch unabhängig von den einzelnen Sensoren, ausschließlich auf Basis der Genauigkeit des vorliegenden Wertes, definiert werden.Furthermore, the transmission of the signal accuracy makes it possible to evaluate and process the sensor states in much more detail. For example, not only sensor errors, but also sensor operating states that have different sensor accuracies can be processed more clearly. The error reaction can also be defined independently of the individual sensors, exclusively on the basis of the accuracy of the present value.

Claims (14)

Steuersystem, eingerichtet zum Empfang eines Steuersignals (1a, 1b) und eines Genauigkeitssignals (2a, 2b), wobei das Genauigkeitssignal (2a, 2b) eine Signalgenauigkeit des Steuersignals (1a, 1b) repräsentiert, dadurch gekennzeichnet, dass das Steuersystem eingerichtet ist, auf Basis eines fehlerhaften Signalwerts und eines Genauigkeitssignals eine angepasste Fehlerreaktion auszulösen.Control system, set up to receive a control signal (1a, 1b) and an accuracy signal (2a, 2b), the accuracy signal (2a, 2b) representing a signal accuracy of the control signal (1a, 1b), characterized in that the control system is set up on Trigger an adapted error reaction based on an incorrect signal value and an accuracy signal. Steuersystem nach Anspruch 1, wobei das System einen bestimmten Wert eines Steuersignals (1a, 1 b) als fehlerhaft erkennt, wenn der Signalwert außerhalb eines gültigen Bereiches liegt, und wobei die Spanne des gültigen Bereiches vom Genauigkeitssignal (2a, 2b) abhängig ist.Tax system according to Claim 1 , the system recognizing a certain value of a control signal (1a, 1b) as faulty if the signal value is outside a valid range, and the span of the valid range is dependent on the accuracy signal (2a, 2b). Steuersystem nach einem der vorherigen Ansprüche, wobei das System einen bestimmten Wert eines Steuersignals (1a, 1b) als fehlerhaft bei einem ersten Betriebszustand eines Fahrzeuges und als nicht-fehlerhaft bei einem zweiten Betriebszustand eines Fahrzeuges erkennt.Control system according to one of the preceding claims, wherein the system detects a specific value of a control signal (1a, 1b) as being faulty in a first operating state of a vehicle and as non-faulty in a second operating state of a vehicle. Steuersystem nach einem der vorherigen Ansprüche, wobei eine angepasste Fehlerreaktion besteht aus der Evaluierung mehrere Genauigkeitssignale (2a, 2b) hinsichtlich ihrer Signalgenauigkeit und der Verwendung desjenigen Steuersignals (3) mit der niedrigsten Signalgenauigkeit aus den mehreren Genauigkeitssignalen.Control system according to one of the preceding claims, wherein an adapted error reaction consists of the evaluation of several accuracy signals (2a, 2b) with regard to their signal accuracy and the use of that control signal (3) with the lowest signal accuracy from the several accuracy signals. Steuersystem nach einem der vorherigen Ansprüche, wobei die Fehlerreaktion bezüglich eines vorübergehenden Betriebsmodus eines Fahrzeuges festgelegt wird.Control system according to one of the preceding claims, wherein the fault reaction is established with respect to a temporary operating mode of a vehicle. Steuersystem nach Anspruch 5, wobei der Betriebsmodus ein Schaltvorgang oder ein Überholvorgang oder ein Bremsvorgang oder ein Beschleunigungsvorgang ist.Tax system according to Claim 5 , the operating mode being a shifting process or an overtaking process or a braking process or an acceleration process. Steuersystem nach einem der vorherigen Ansprüche, welches zur Steuerung eines Fahrzeuges angewendet wird.Control system according to one of the preceding claims, which is used for controlling a vehicle. Steuersystem nach Anspruch 7, wobei mögliche Fehlerreaktionen die Begrenzung der maximalen Geschwindigkeit eines Fahrzeugs und/oder das komplette Stilllegen des Fahrzeugs beinhalten.Tax system according to Claim 7 , whereby possible error reactions include the limitation of the maximum speed of a vehicle and / or the complete shutdown of the vehicle. Verfahren zur Bewertung eines Steuersignals (1a, 1b) für eine oder mehrere, das Steuersignal (1a, 1b) erhaltende, Signalverarbeitungs-Komponenten (III) eines Steuersystems unter Berücksichtigung einer Signalgenauigkeit, wobei von einer Signalerzeugungs-Komponente (I) sowohl das Steuersignal (1a, 1b) als auch ein Genauigkeitssignal (2a, 2b) empfangen werden, wobei das Genauigkeitssignal (2a, 2b) eine Signalgenauigkeit des Steuersignals (1a, 1b) repräsentiert, dadurch gekennzeichnet, dass beim Erkennen eines fehlerhaften Signalwerts, eine passende Fehlerreaktion auf Basis von einem Genauigkeitssignal ausgelöst wird.Method for evaluating a control signal (1a, 1b) for one or more signal processing components (III) of a control system, which receive the control signal (1a, 1b), taking into account a signal accuracy, whereby both the control signal ( 1a, 1b) and an accuracy signal (2a, 2b) are received, the accuracy signal (2a, 2b) representing a signal accuracy of the control signal (1a, 1b), characterized in that when an incorrect signal value is detected, a suitable error reaction is based on triggered by an accuracy signal. Verfahren nach Anspruch 9, wobei ein fehlerhaften Signalwert auf Basis von einer Genauigkeitsanforderung, die durch ein funktionales Sicherheitsprofil festgelegt wird, erkannt wird.Procedure according to Claim 9 , an incorrect signal value being recognized on the basis of an accuracy requirement that is defined by a functional safety profile. Verfahren nach einem der Ansprüche 9 bis 10, wobei eine passende Fehlerreaktion die Auswahl von einem anderen Steuersignal ist.Method according to one of the Claims 9 to 10 , where a suitable error response is the selection of another control signal. Verfahren nach einem der Ansprüche 9 bis 11, welches zur Steuerung eines Kraftfahrzeuges angewendet wird.Procedure after one of the Claims 9 to 11 , which is used to control a motor vehicle. Eine Signalerzeugungs-Komponente (I), die eingerichtet und bestimmt ist, mit einem Verfahren nach einem der Ansprüche 9 bis 12 betrieben zu werden.A signal generation component (I) which is set up and determined with a method according to one of Claims 9 to 12th to be operated. Steuerprogramm zur Ausführung auf einem oder mehreren Steuersystemen, wobei das Steuerprogramm bei dessen Ausführung ein Verfahren gemäß einem der Ansprüche 9 bis 12 durchführt.Control program for execution on one or more control systems, the control program when it is executed a method according to one of Claims 9 to 12th performs.
DE102019203779.8A 2019-03-20 2019-03-20 Control system, method, component and control program for the use of signal accuracy requirements in the context of safety concepts Ceased DE102019203779A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102019203779.8A DE102019203779A1 (en) 2019-03-20 2019-03-20 Control system, method, component and control program for the use of signal accuracy requirements in the context of safety concepts

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019203779.8A DE102019203779A1 (en) 2019-03-20 2019-03-20 Control system, method, component and control program for the use of signal accuracy requirements in the context of safety concepts

Publications (1)

Publication Number Publication Date
DE102019203779A1 true DE102019203779A1 (en) 2020-09-24

Family

ID=72334040

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019203779.8A Ceased DE102019203779A1 (en) 2019-03-20 2019-03-20 Control system, method, component and control program for the use of signal accuracy requirements in the context of safety concepts

Country Status (1)

Country Link
DE (1) DE102019203779A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010063984A1 (en) * 2010-02-11 2011-08-11 Continental Teves AG & Co. OHG, 60488 Vehicle sensor node
DE102011108292A1 (en) * 2011-07-21 2012-04-05 Daimler Ag Method for operating driver assistance device of vehicle, involves determining scenario-dependent sensor variances or sensor variances depending on driver assistance device in context of error propagation determination
DE102017107876A1 (en) * 2016-04-13 2017-10-19 GM Global Technology Operations LLC Detection and reconstruction of a rolling speed sensor error
DE102017210955A1 (en) * 2017-06-28 2019-01-17 Volkswagen Aktiengesellschaft METHOD, DEVICE AND COMPUTER READABLE STORAGE MEDIUM WITH INSTRUCTIONS FOR RESOLVING REDUNDANCY OF TWO OR MORE REDUNDANT MODULES

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010063984A1 (en) * 2010-02-11 2011-08-11 Continental Teves AG & Co. OHG, 60488 Vehicle sensor node
DE102011108292A1 (en) * 2011-07-21 2012-04-05 Daimler Ag Method for operating driver assistance device of vehicle, involves determining scenario-dependent sensor variances or sensor variances depending on driver assistance device in context of error propagation determination
DE102017107876A1 (en) * 2016-04-13 2017-10-19 GM Global Technology Operations LLC Detection and reconstruction of a rolling speed sensor error
DE102017210955A1 (en) * 2017-06-28 2019-01-17 Volkswagen Aktiengesellschaft METHOD, DEVICE AND COMPUTER READABLE STORAGE MEDIUM WITH INSTRUCTIONS FOR RESOLVING REDUNDANCY OF TWO OR MORE REDUNDANT MODULES

Similar Documents

Publication Publication Date Title
EP3532356B1 (en) Method for monitoring a motor vehicle with automated driving function and device for performing the method
EP2766235B1 (en) Vehicle and method for controlling a vehicle
DE10237167B4 (en) Method for controlling an automated manual transmission
EP2974156B1 (en) Device and method for the autonomous control of motor vehicles
DE102015225617A1 (en) Method for monitoring a drive-by-wire system of a motor vehicle
WO2018059907A1 (en) Method for operating an energy on-board network of a motor vehicle
WO2019057871A1 (en) METHOD FOR MONITORING AT LEAST ONE COMPONENT OF A MOTOR VEHICLE
DE112019007286B4 (en) IN-VEHICLE CONTROL DEVICE AND IN-VEHICLE CONTROL SYSTEM
EP2078253A2 (en) Method and device for error management
DE102017109175A1 (en) Control device, driver assistance system, motor vehicle and method for controlling a driver assistance function
DE102019203783B4 (en) Method, program and system for using signal quality requirements within the framework of security concepts
WO1988005570A1 (en) Process and device for monitoring computer-controlled final control elements
EP4114691B1 (en) Method for operating a vehicle electrical system
DE102012221277A1 (en) Device for controlling operation and movement of hybrid vehicle, has signal comparison modules comparing output signals of sensors with each other to determine whether abnormality of sensors or micro-processing units is present
DE102008034150A1 (en) Circuit arrangement for controlling e.g. piezo-actuator in motor vehicle, has control device including microprocessor to switch another control device to secure condition during malfunction of microprocessor of latter control device
DE102021207910A1 (en) BRAKING SYSTEM
DE102019203779A1 (en) Control system, method, component and control program for the use of signal accuracy requirements in the context of safety concepts
DE102020200414A1 (en) Method and device for reconfiguring an automatically driving vehicle in the event of a fault
WO2023180100A1 (en) Method for activating a sensor system, sensor system, vehicle, computer program product, and storage medium
DE102019203775B4 (en) Method and apparatus for using error propagation
DE102015221951A1 (en) Procedure for checking a monitoring function
EP2013731A1 (en) Circuit arrangement, and method for the operation of a circuit arrangement
DE102022213783B4 (en) Procedure for checking the plausibility of a parameter
DE102019209136A1 (en) Method for safeguarding a function monitoring of a control unit of a vehicle
DE102020212287A1 (en) Use of signal integrity in embedded systems

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: B60W0050020000

Ipc: B60W0050040000

R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final