HAAG WOLFGANG (DE)
HUBER JOCHEN (JP)
| DE10018859A1 | 2001-10-18 | |||
| DE102008043648A1 | 2010-05-12 | |||
| DE102008043646A1 | 2010-05-12 | |||
| US20070016340A1 | 2007-01-18 | |||
| DE4114999A1 | 1992-11-12 | |||
| DE4438714A1 | 1996-05-02 |
| Ansprüche 1 . Verfahren zum Betreiben eines Steuergeräts (100) eines Kraftfahrzeugs mit einer Funktionseinheit (1 10) und einer Überwachungseinheit (120), die miteinander in Kommunikationsverbindung (130) stehen, wobei im Zuge einer ersten Überprüfung die Funktionseinheit (1 10) auf Fehler überprüft wird, wobei auf einen Fehler der Funktionseinheit (1 10) geschlossen wird, wenn ein Fehlerzähler (210a, 210b) einen Schwellwert (220a, 220b) erreicht, wobei im Zuge der ersten Überprüfung die Überwachungseinheit (120) und die Funktionseinheit (1 10) erste Daten miteinander austauschen, wobei bei einem korrekten Austausch der ersten Daten eine positive Änderung des Fehlerzählers (210a, 210b) durchgeführt wird und wobei bei einem fehlerhaften Austausch der ersten Daten eine negative Änderung des Fehlerzählers (210a, 210b) durchgeführt wird, wobei im Zuge einer zweiten Überprüfung die Überwachungseinheit (120) und die Funktionseinheit (1 10) zweite Daten miteinander austauschen, wobei bei einem fehlerhaften Austausch der zweiten Daten eine negative Änderung des Fehlerzählers (210a, 210b) und eine negative Änderung des Schwellwerts (220a, 220b) durchgeführt werden. 2. Verfahren nach Anspruch 1 , wobei bei einem korrekten Austausch der ersten und/oder der zweiten Daten eine positive Änderung des Fehlerzählers (210a, 210b) und eine positive Änderung des Schwellwerts (220a, 220b) durchgeführt werden. 3. Verfahren nach Anspruch 2, wobei die positive Änderung des Schwellwerts (220a, 220b) nur durchgeführt wird, wenn der Schwellwert einen Schwell- Ausgangswert noch nicht erreicht hat. Verfahren nach einem der vorstehenden Ansprüche, wobei die Überwachungseinheit (120) und die Funktionseinheit (1 10) die ersten Daten miteinander austauschen, indem die Überwachungseinheit (120) Fragen an die Funktionseinheit (1 10) übermittelt und die Funktionseinheit (1 10) daraufhin Antworten an die Überwachungseinheit (120) übermittelt. Verfahren nach Anspruch 4, wobei der Austausch der ersten Daten fehlerhaft ist, wenn die Funktionseinheit (1 10) fehlerhafte Antworten übermittelt und/oder Antworten zu fehlerhaften Zeitpunkten übermittelt, und/oder wobei der Austausch der ersten Daten korrekt ist, wenn die Funktionseinheit (1 10) korrekte Antworten zu korrekten Zeitpunkten übermittelt. Verfahren nach einem der vorstehenden Ansprüche, wobei die Überwachungseinheit (120) und die Funktionseinheit (1 10) die zweiten Daten miteinander austauschen, indem die Überwachungseinheit (120) Fragen an die Funktionseinheit (1 10) übermittelt und die Funktionseinheit (1 10) daraufhin Antworten an die Überwachungseinheit (120) übermittelt. Verfahren nach Anspruch 6, wobei der Austausch der zweiten Daten fehlerhaft ist, wenn die Funktionseinheit (1 10) fehlerhafte Antworten übermittelt und/oder Antworten zu fehlerhaften Zeitpunkten übermittelt. Verfahren nach einem der vorstehenden Ansprüche, wobei der Fehlerzähler (210a, 210b) und/oder der Schwellwert (220a, 220b) im Zuge der positiven Änderung um ein oder mehrere Dekremente verringert werden. Verfahren nach einem der vorstehenden Ansprüche, wobei der Fehlerzähler (210a, 210b) und/oder der Schwellwert (220a, 220b) im Zuge der negativen Änderung um ein oder mehrere Inkremente erhöht werden. 0. Verfahren nach einem der vorstehenden Ansprüche, wobei die Funktionseinheit (1 10) bestimmt, wann erste Daten und wann zweite Daten ausgetauscht werden. 1 1 . Verfahren nach einem der vorstehenden Ansprüche, wobei die Überwachungseinheit (120) ein festgelegtes Zeitfenster vorgibt, mit dem die Zeitpunkte der empfangenen Daten plausibilisiert werden. 12. Verfahren nach einem der vorstehenden Ansprüche, wobei die Funktionseinheit (1 10) der Überwachungseinheit (120) die Information bereitstellt, ob die negative Änderung des Schwellwerts (220a, 220b) durchgeführt werden muss. 13. Verfahren nach einem der vorstehenden Ansprüche, wobei die Funktionseinheit (1 10) der Überwachungseinheit (120) einen bestimmten Schwellwert vorgibt. 14. Recheneinheit (100), die dazu eingerichtet ist, ein Verfahren nach einem der vorstehenden Ansprüche durchzuführen. 15. Computerprogramm, das eine Recheneinheit (100) dazu veranlasst, ein Verfahren nach einem der Ansprüche 1 bis 13 durchzuführen, wenn es auf der Recheneinheit (100) ausgeführt wird. 16. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 15. |
Verfahren zum Betreiben eines Steuergeräts eines Kraftfahrzeugs
Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines
Steuergeräts eines Kraftfahrzeugs sowie ein Steuergerät eines Kraftfahrzeugs und ein Computerprogramm zu dessen Durchführung.
Stand der Technik
In Motorsteuergeräten von Verbrennungsmotoren (Benzin und Diesel) werden die momentenbestimmenden Einspritzungen von einem MikroController als Recheneinheit gesteuert. Dieser steuert über seine Ausgangsports eine nachgeschaltete Ansteuerschaltung, insbesondere in Form einer
anwendungsspezifischen integrierten Schaltung (ASIC) mit Endstufen (sog. Einspritzendstufenbaustein), an, die wiederum die Einspritzventile (Injektoren) ansteuert, d.h. üblicherweise in einer definierten Art und Weise mit einer Energiebzw. Spannungsquelle verbindet.
Einspritzsysteme gehören zu den sicherheitsrelevanten Systemen, für die ein Sicherheitskonzept zweckmäßig ist. Dieses Sicherheitskonzept kann z.B. mit einem Mehr-Ebenen-Konzept dargestellt werden. Bei sicherheitskritischen Funktionseinheiten in Fahrzeugen, bspw. bei elektronischen
Motorfüllungssteuerungssystem (EGAS), kann z.B. ein sog. 3-Ebenen-Konzept zur Sicherheitsüberwachung in dem betreibenden Steuergerät eingesetzt werden. Wesentlich dabei ist eine gegenseitige Überwachung innerhalb des Steuergeräts zwischen dem Funktionsrechner (Recheneinheit, CPU) und einem separaten Überwachungsmodul (UM bzw. Watchdog). Funktionsrechner und Überwachungsmodul kommunizieren über eine Frage-/Antwort-Kommunikation und können im Fehlerfall Leistungsendstufen im Steuergerät, welche zum Betrieb der Funktionseinheit vorgesehen sind, abschalten und somit die Sicherheit des Fahrzeugs gewährleisten. Bei aktuellen elektronischen
Motorfüllungssteuerungssystemen befindet sich die gesamte Funktions- und Überwachungssoftware in einem Steuergerät, wie es aus der DE 44 38 714 A1 bekannt ist.
Offenbarung der Erfindung
Erfindungsgemäß werden ein Verfahren zum Betreiben eines Steuergeräts eines Kraftfahrzeugs sowie ein Steuergerät eines Kraftfahrzeugs und ein
Computerprogramm zu dessen Durchführung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.
Das Steuergerät umfasst eine Funktionseinheit und eine Überwachungseinheit. Die Funktionseinheit kann beispielsweise als ein Funktionsmodul bzw. ein Funktionsrechner zum Ausführen von Kraftfahrzeugfunktionen ausgebildet sein. Die Überwachungseinheit kann insbesondere zur Überprüfung der
Funktionseinheit sowie zur Überprüfung weiterer Einheiten des Steuergeräts vorgesehen sein. Die Funktionseinheit und die Überwachungseinheit stehen miteinander in Kommunikationsverbindung, beispielsweise über eine SPI- oder MSC-Verbindung.
Im Zuge einer ersten Überprüfung wird die Funktionseinheit auf Fehler überprüft. Es wird auf einen Fehler der Funktionseinheit geschlossen, wenn ein
Fehlerzähler einen Schwellwert erreicht. Die Funktionseinheit und die
Überwachungseinheit tauschen im Zuge dieser ersten Überprüfung erste Daten miteinander aus. Bei einem korrekten Austausch der ersten Daten wird eine positive Änderung des Fehlerzählers durchgeführt. Bei einem fehlerhaften Austausch der ersten Daten wird eine negative Änderung des Fehlerzählers durchgeführt. Der Fehlerzähler ist insbesondere in der Überwachungseinheit hinterlegt und wird insbesondere durch diese verändert. Es sei darauf hingewiesen, dass positiv und negativ nicht als absolute Zählrichtungen zu verstehen sind, sondern lediglich als qualitative Zählrichtungen (negativ: hin zum Schwellwert; positiv: weg vom Schwellwert).
Der Fehlerzähler kann beispielsweise um einen bestimmten Wert erhöht werden, wenn ein fehlerhafter Datenaustausch erfolgt. Bei einem korrekten
Datenaustausch kann der Fehlerzähler auch wieder um einen bestimmten Wert reduziert werden, z.B. bis zu einem Minimalwert von Null.
Im Zuge einer zweiten Überprüfung, einer sogenannten Plausibilisierung, tauschen die Überwachungseinheit und die Funktionseinheit zweite Daten miteinander aus. Im Zuge dieser zweiten Überprüfung bzw. Plausibilisierung wird die Überwachungseinheit insbesondere von der Funktionseinheit überprüft. Dabei werden bei einem fehlerhaften Austausch der zweiten Daten eine negative Änderung des Fehlerzählers und eine negative Änderung des Schwellwerts durchgeführt.
Insbesondere werden die zweiten Daten im Zuge dieser zweiten Überprüfung gewollt fehlerhaft ausgetauscht, um die korrekte Fehlerreaktion, d.h. eine negative Änderung des Fehlerzählers durch die Überwachungseinheit, zu provozieren, um die Überwachungseinheit dadurch prüfen zu können.
Insbesondere kann auf einen Fehler der Überwachungseinheit geschlossen werden, wenn der Fehlerzähler in diesem Fall nicht wie erwartet (d.h. nicht negativ) verändert wird. Um durch diese gewollten Fehler jedoch den aktuellen Abstand des Fehlerzählers vom Schwellwert nicht zu verändern, wird gleichzeitig auch der Schwellwert verändert. Der Schwellwert kann somit insbesondere nur dann erreicht werden, wenn der Fehlerzähler im Zuge der ersten Überprüfung negativ verändert wird.
Der Schwellwert wird somit nicht auf einen konstanten Wert festgelegt, sondern dynamisch angepasst. Somit wird kompensiert, dass der Fehlerzähler sowohl im Zuge der ersten Überprüfung als auch der zweiten Überprüfung verändert werden kann. Vorzugsweise werden bei einem korrekten Austausch der ersten und/oder der zweiten Daten eine positive Änderung des Fehlerzählers und eine positive Änderung des Schwellwerts durchgeführt, wobei die positive Änderung des Schwellwerts zweckmäßigerweise nur durchgeführt wird, wenn der
Schwellwert einen Schwell-Ausgangswert (z.B. Drei) noch nicht erreicht hat.
In herkömmlichen Steuergeräten wird ein konstanter Schwellwert fest vorgegeben. Dieser konstante Wert wird dabei zumeist vergleichsweise hoch gewählt, um zu verhindern, dass der Fehlerzähler den Schwellwert erreicht, wenn der Fehlerzähler im Zuge der Plausibilisierung negativ verändert wird und dass somit fälschlicherweise auf einen Fehler der Funktionseinheit
rückgeschlossen wird. In unterschiedlichen Fällen kann es dann kürzer oder länger dauern, bis ein Fehler der Funktionseinheit erkannt werden kann, je nachdem, ob der Fehlerzähler auch im Zuge der Plausibilisierung verändert wird. Dies führt zu unterschiedlichen Fehlerreaktionszeiten, so dass gegebenenfalls nicht schnellstmöglich auf einen Fehler der Funktionseinheit reagiert werden kann.
Im Gegensatz dazu wird durch das Verfahren eine schnellstmögliche
Fehlerreaktionszeit ermöglicht und dennoch eine ausreichende Entprellung realisiert. Ein Fehler der Funktionseinheit kann dabei in jeder Situation gleich schnell erkannt werden, unabhängig davon, ob der Fehlerzähler parallel auch durch die Plausibilisierung verändert wird.
Der Schwellwert kann insbesondere durch die Funktionseinheit und/oder durch die Überwachungseinheit verändert werden. Vorzugsweise kann die
Funktionseinheit den Schwellwert in der Überwachungseinheit in einem vorgegebenen Rahmen (z.B. auf den Wert 3, 4, 5) verändern bzw. vorgeben. Zu diesem Zweck können Fehlerzähler und Schwellwert, die jeweils insbesondere in der Überwachungseinheit hinterlegt sind, von der Funktionseinheit insbesondere ausgelesen werden, insbesondere über eine SPI- oder MSC-Verbindung. Durch das Verfahren wird eine unabhängige gegenseitige Überwachung der
Funktionseinheit und der Überwachungseinheit realisiert. Wenn eine der beiden Einheiten einen Fehler bzw. Defekt der anderen Einheit erkennt, kann die noch funktionierende Einheit auf den Defekt der anderen reagieren und entsprechende Maßnahmen einleiten. Vorteilhafterweise handelt es sich bei dem Anteil der zweiten Daten, der von der Überwachungseinheit an die Funktionseinheit übertragen wird (z.B. Fragen) um dieselben Daten, die als Anteil der ersten Daten von der Überwachungseinheit an die Funktionseinheit übertragen werden, und die Überwachungseinheit wird von der Funktionseinheit vor, zusammen mit oder nach dem Anteil der zweiten Daten, der von der Funktionseinheit an die Überwachungseinheit übertragen wird (z.B. Antworten) darüber informiert, dass es sich um einen Austausch zweiter Daten handelt, um den Schwellwert entsprechend nachzuführen, oder die Funktionseinheit führt den Schwellwert über die Datenverbindung selbst nach.
Hier entscheidet also die Funktionseinheit, wann ein Datenaustausch zu einem Austausch erster Daten oder zu einem Austausch zweiter Daten wird, d.h. die ersten und zweiten Daten unterscheiden sich nur durch den Anteil, der von der Funktionseinheit an die Überwachungseinheit übertragen wird (richtig/ungewollt falsch <-> gewollt falsch).
Vorteilhafterweise tauschen die Überwachungseinheit und die Funktionseinheit die ersten Daten miteinander aus, indem die Überwachungseinheit Fragen an die Funktionseinheit übermittelt und die Funktionseinheit daraufhin Antworten an die Überwachungseinheit übermittelt. Bei korrektem Austausch der ersten Daten liegt insbesondere kein Fehler der Funktionseinheit vor. Vorzugsweise übermittelt die Funktionseinheit bei korrektem Austausch der ersten Daten korrekte
Antworten zu korrekten Zeitpunkten. Bevorzugt übermittelt die Funktionseinheit bei fehlerhaftem Austausch der ersten Daten fehlerhafte Antworten und/oder Antworten zu fehlerhaften Zeitpunkten. Eine fehlerhafte Antwort oder auch eine korrekte Antwort, die nicht zu einem korrekten Zeitpunkt verschickt wurde, deutet auf einen Fehler der Funktionseinheit hin. Nach mehrmaligen hintereinander übermittelten fehlerhaften Antworten bzw. Antworten zu fehlerhaften Zeitpunkten erreicht der Fehlerzähler den Schwellwert und es wird insbesondere auf einen Fehler der Funktionseinheit rückgeschlossen.
Vorzugsweise werden für den Austausch der zweiten Daten ebenfalls Fragen von der Überwachungseinheit an die Funktionseinheit übermittelt. Dabei handelt es sich bevorzugt um dieselben Fragen wie im Zuge des Datenaustausche der ersten Daten. Um die Uberwachungseinheit zu überprüfen, übermittelt die Funktionseinheit daraufhin gewollt fehlerhafte Antworten und/oder Antworten zu fehlerhaften Zeitpunkten. Funktioniert die Überwachungseinheit korrekt, wird der Fehlerzähler daraufhin negativ verändert. Die Funktionseinheit überprüft daraufhin, ob der Fehlerzähler von der Überwachungseinheit negativ verändert wurde. Ist dies nicht der Fall, deutet dies auf einen Fehler der
Überwachungseinheit hin.
Vorzugsweise wird bei einem korrekten Austausch der ersten Daten zusätzlich zu der positiven Änderung des Fehlerzählers auch eine positive Änderung des Schwellwerts durchgeführt. Auf diese Weise können Veränderungen des Schwellwerts in Reaktion auf einen fehlerhaften Austausch zweiter Daten wieder rückgängig gemacht werden. Vorzugsweise wird der Schwellwert nur bis zu einem vorgebbaren und/oder vorgegebenen Grenzwert verändert, welcher die übliche Fehlerschwelle für die Überwachung der Funktionseinheit definiert.
Alternativ oder zusätzlich werden bei einem korrekten Austausch der zweiten Daten eine positive Änderung des Fehlerzählers und eine positive Änderung des Schwellwerts durchgeführt. Diese Ausführungsform ist insbesondere vorteilhaft, wenn sich die ersten und zweiten Daten von ihrer Art her unterscheiden, und nicht nur durch die Antwort (d.h. gewollt korrekt oder gewollt falsch) der
Funktionseinheit.
Vorteilhafterweise werden der Fehlerzähler und/oder der Schwellwert bei einer negativen oder positiven Veränderung erhöht bzw. verringert.
Vorzugsweise werden der Fehlerzähler und/oder der Schwellwert bei einer negativen Änderung um ein oder mehrere Inkremente erhöht. Durch die Anzahl der Inkremente kann insbesondere die Schwere eines Fehlers bewertet werden.
Vorzugsweise kann der Schwellwert nur bei bewusst falsch gesendeten Daten erhöht und bei korrekt geschickten Daten erniedrigt werden, unabhängig von der Fehlerzählerveränderung. Bevorzugt werden der Fehlerzähler und/oder der Schwellwert bei einer positiven Änderung um ein oder mehrere Dekremente verringert. Durch die Anzahl der Dekremente kann insbesondere die Geschwindigkeit des Rücksetzens bestimmt werden. Insbesondere kann der Fehlerzähler dabei nicht auf werte unter Null verringert werden.
Eine erfindungsgemäße Recheneinheit, z.B. ein Steuergerät eines
Kraftfahrzeugs, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.
Auch die Implementierung des Verfahrens in Form eines Computerprogramms ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Geeignete Datenträger zur Bereitstellung des
Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich.
Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung
schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.
Kurze Beschreibung der Zeichnungen
Figur 1 zeigt schematisch eine bevorzugte Ausgestaltung eines
erfindungsgemäßen Steuergeräts eines Kraftfahrzeugs, das dazu eingerichtet ist, eine bevorzugte Ausführungsform eines
erfindungsgemäßen Verfahrens durchzuführen. Figur 2 zeigt schematisch Diagramme eines Fehlerzählers und eines
Schwellwerts aufgetragen gegen die Zeit, die im Zuge einer bevorzugten Ausführungsform eines erfindungsgemäßen Verfahrens bestimmt werden können.
Ausführungsform(en) der Erfindung
In Figur 1 ist ein Steuergerät 100 eines Kraftfahrzeugs schematisch dargestellt, beispielsweise ein Motorsteuergerät. Das Steuergerät 100 umfasst eine
Funktionseinheit 1 10, z.B. einen sog. Funktionsrechner, und eine
Überwachungseinheit 120, z.B. ein sog. Überwachungsmodul. Das Steuergerät 100 ist, insbesondere programmtechnisch dazu eingerichtet, eine bevorzugte Ausführungsform eines erfindungsgemäßen Verfahrens durchzuführen.
Die Funktionseinheit 1 10 ist beispielsweis dazu eingerichtet, im Zuge einer Motorsteuerung Rechenoperationen, wie z.B. die Bestimmung von
Einspritzmengen und -Zeitpunkten (uvm.), durchzuführen und angeschlossene Komponenten, wie z.B. Einspritzventile, entsprechend anzusteuern. Die
Überwachungseinheit 120 ist dazu eingerichtet, die Funktionseinheit 1 10 auf Fehler zu überprüfen. Die Funktionseinheit 1 10 und die Überwachungseinheit 120 stehen zu diesem Zweck in Kommunikationsverbindung, beispielsweise über eine MSC-Verbindung 130.
Im Zuge einer ersten Überprüfung, der Überprüfung der Funktionseinheit 1 10, tauschen Funktionseinheit 1 10 und Überwachungseinheit 120 erste Daten miteinander aus. Zu diesem Zweck übermittelt die Überwachungseinheit 120 Fragen an die Funktionseinheit 1 10. Arbeitet die Funktionseinheit 1 10 fehlerfrei, dann übermittelt diese auf die Frage hin eine korrekte Antwort zu einem korrekten Zeitpunkt an die Überwachungseinheit 120. Funktionseinheit 1 10 und Überwachungseinheit 120 führen somit einen korrekten Austausch der ersten Daten aus.
Bei einer fehlerhaften Antwort oder auch bei einer richtigen Antwort zu einem fehlerhaften Zeitpunkt tauschen Funktionseinheit 1 10 und Überwachungseinheit 120 die ersten Daten fehlerhaft aus. In diesem Fall wird von der
Überwachungseinheit 120 ein Fehlerzähler verändert, indem der Fehlerzähler um den Wert Eins erhöht wird. Diese Erhöhung des Fehlerzählers stellt eine negative Veränderung des Fehlerzählers dar.
Wird auf die darauffolgende Frage wieder korrekt geantwortet, wird der
Fehlerzähler wieder um den Wert Eins verringert. Diese Verringerung des Fehlerzählers stellt eine positive Veränderung des Fehlerzählers dar. Bei korrektem Austausch der Daten wird der Fehlerzähler jeweils um den Wert Eins verringert, bis er den Wert Null erreicht hat. Der Fehlerzähler kann insbesondere nicht auf werte unter Null gesetzt werden.
Auf einen Fehler der Funktionseinheit 1 10 wird geschlossen, wenn der
Fehlerzähler einen vorgegebenen und/oder extern vorgebbaren Schwellwert erreicht, z.B. Drei. In der Folge kann beispielsweise die Überwachungseinheit die
Leistungsendstufen der Funktionseinheit im Steuergerät abschalten und somit die Sicherheit des Fahrzeugs gewährleisten. Außerdem besteht die Möglichkeit, bei einem anderen Schwellwert die Funktionseinheit zu resetieren bzw.
zurückzusetzen.
Im Zuge einer zweiten Überprüfung, einer sogenannten Plausibilisierung, kann die Funktionseinheit 1 10 eine Überprüfung der Überwachungseinheit 120 durchführen. Im Zuge dessen tauschen Funktionseinheit 1 10 und
Überwachungseinheit 120 zweite Daten miteinander aus. Insbesondere erfolgt der Datenaustausch dieser zweiten Daten, indem die Funktionseinheit 1 10 auf eine Frage der Überwachungseinheit 120 im Rahmen des Austausches der ersten Daten hin gewollt eine fehlerhafte Antwort und/oder eine Antwort zu einem fehlerhaften Zeitpunkt übermittelt. Der Austausch zweiter Daten ist somit dadurch charakterisiert, dass die Funktionseinheit 1 10 gewollt fehlerhaft antwortet. Durch diesen fehlerhaften Datenaustausch wird der Fehlerzähler um ein oder mehrere
Inkremente erhöht, wobei die Erhöhung jeweils gleich (z.B. Eins) oder abhängig vom Fehler (bei verspäteter Nachricht Zwei, sonst Eins) sein kann. Diese Erhöhung des Fehlerzählers wird im Zuge der Plausibilisierung erwartet. Die Funktionseinheit 1 10 überprüft daraufhin, ob die Überwachungseinheit 120 den Fehlerzähler korrekt erhöht. Wird der Fehlerzähler nicht korrekt erhöht, wird auf einen Fehler der Überwachungseinheit 120 geschlossen. In der Folge kann beispielsweise die Funktionseinheit die Leistungsendstufen im Steuergerät abschalten und somit die Sicherheit des Fahrzeugs gewährleisten. Zusätzlich kann die Funktionseinheit in einzelnen Fehlerfällen die Kommunikation mit der Überwachungseinheit neu synchronisieren.
Um jedoch zu vermeiden, dass der Fehlerzähler durch den Austausch zweiter Daten den Schwellwert erreicht und ein Fehler der Funktionseinheit
fälschlicherweise angenommen wird, oder dass sich überhaupt der aktuelle Abstand zwischen Fehlerzähler und Schwellwert in Folge eines gewollten Fehlers verändert, wird der Schwellwert dynamisch angepasst und in
Abhängigkeit von Veränderungen des Fehlerzählers in Reaktion auf den
Austausch der zweiten Daten verändert, wie im Folgenden anhand von Figur 2 erläutert wird.
Im gezeigten Beispiel ist die Überwachungseinheit dazu eingerichtet, bei einem korrekten Austausch von Daten den Schwellwert jeweils um den Wert Eins zu verringern, bis er einen vorgegebenen oder vorgebbaren Minimalwert erreicht, z.B. den Wert Drei. In diesem Fall wird bei einer korrekten Antwort nicht zwischen ersten und zweiten Daten unterschieden.
In Figur 2 sind zwei Diagramme schematisch dargestellt, in welchen jeweils der Fehlerzähler und der Schwellwert gegen die Zeit t aufgetragen sind. Graphen 210a und 210b repräsentieren dabei jeweils den Fehlerzähler, Graphen 220a und 220b jeweils den Schwellwert. In Figur 2a ist ein Fall dargestellt, bei welchem die Überwachungseinheit 120 und die Funktionseinheit 1 10 fehlerfrei funktionieren. In Figur 2b ist ein Fall dargestellt, bei welchem die Funktionseinheit 1 10 nicht fehlerfrei funktioniert.
Beim fehlerfreien Fall gemäß Figur 2a beträgt der Schwellwert zu einem
Zeitpunkt to den Wert Drei und der Fehlerzähler den Wert Null. Eine Frage wird von der Überwachungseinheit 120 an die Funktionseinheit 1 10 übermittelt, welche daraufhin zum Zeitpunkt to eine korrekte Antwort zum korrekten Zeitpunkt an die Überwachungseinheit 120 übermittelt. Der Fehlerzähler würde nun eigentlich um den Wert Eins reduziert werden, da er aber bereits Null beträgt, kann er in diesem Fall nicht weiter reduziert werden. Der Schwellwert würde nun eigentlich auch um den Wert Eins reduziert werden, da er aber bereits Drei beträgt, kann er in diesem Fall nicht weiter reduziert werden.
Auf eine weitere Frage der Überwachungseinheit 120 übermittelt die
Funktionseinheit 1 10 im Zuge der Plausibilisierung eine korrekte Antwort, jedoch gewollt zu einem zu frühen Zeitpunkt ti (und/oder alternativ eine falsche Antwort). Daraufhin wird der Fehlerzähler auf den Wert Eins erhöht.
Gleichzeitig meldet jedoch die Funktionseinheit 1 10 an die Uberwachungseinheit 120, dass die fehlerhafte Antwort gewollt war. Demnach handelt es sich um den Austausch zweiter Daten, so dass die Überwachungseinheit auch den
Schwellwert um Eins erhöht auf den Wert Vier. Somit wird gewährleistet, dass nach einer Veränderung des Fehlerzählers in Reaktion auf den Austausch zweiter Daten vor und nach der Veränderung derselbe Abstand zwischen Fehlerzähler und Schwellwert herrscht.
Zu einem Zeitpunkt t.2 übermittelt die Funktionseinheit 1 10 auf eine erneute Frage im Zuge der ersten Überprüfung wieder eine korrekte Antwort zum korrekten Zeitpunkt. Der Fehlerzähler wird wieder um den Wert Eins reduziert. Analog wird auch der Schwellwert um den Wert Eins auf den Wert Drei reduziert. Auf eine weitere Frage der Überwachungseinheit 120 antwortet die
Funktionseinheit 1 10 im Zuge der Plausibilisierung abermals gewollt fehlerhaft. Beispielsweise wird eine fehlerhafte Antwort zu einem zu späten Zeitpunkt t.3 übermittelt. Es kann vorgesehen sein, dass dieser doppelte Fehler zu einer Erhöhung des Fehlerzählers um den Wert Zwei auf den Wert Zwei führt.
Gleichzeitig meldet jedoch die Funktionseinheit 1 10 an die Überwachungseinheit
120, dass die fehlerhafte Antwort gewollt war. Demnach handelt es sich um den Austausch zweiter Daten, so dass die Überwachungseinheit auch den
Schwellwert um Zwei erhöht auf den Wert Fünf. Zu den Zeitpunkten t 4 und t 5 antwortet die Funktionseinheit 1 10 auf Fragen der Überwachungseinheit 120 im Zuge der ersten Überprüfung wieder korrekt, woraufhin zu den Zeitpunkten t 4 und t 5 erwartungsgemäß Fehlerzähler und somit auch der Schwellwert jeweils um Eins reduziert werden.
Zum Zeitpunkt t.6 antwortet die Funktionseinheit 1 10 im Zuge der Plausibilisierung gewollt mit einer fehlerhaften Antwort zum richtigen Zeitpunkt, woraufhin der Fehlerzähler um Eins erhöht wird. Analog wird der Schwellwert um Eins erhöht. Zum Zeitpunkt t 7 antwortet die Funktionseinheit 1 10 wieder korrekt, woraufhin Fehlerzähler und Schwellwert wieder um Eins reduziert werden.
Gemäß dem Fall von Figur 2b arbeitet die Funktionseinheit 1 10 zu einem
Zeitpunkt tio zunächst noch fehlerfrei. Der Schwellwert beträgt zum Zeitpunkt tio analog zum Zeitpunkt to den Wert Drei und der Fehlerzähler den Wert Null. Die Funktionseinheit 1 10 antwortet korrekt auf eine Frage der Überwachungseinheit
120. Zu einem Zeitpunkt tu antwortet die Funktionseinheit 1 10 gewollt zu früh auf eine Frage, analog zum Zeitpunkt ti. Fehlerzähler und Schwellwert werden daraufhin um den Wert Eins erhöht. Zu einem Zeitpunkt .12 tritt ein Defekt bzw. Fehler der Funktionseinheit 1 10 auf.
Die Funktionseinheit 1 10 antwortet zum Zeitpunkt .12 ungewollt mit einer fehlerhaften Antwort. Dementsprechend meldet auch die Funktionseinheit 1 10 an die Überwachungseinheit 120 nicht, dass die fehlerhafte Antwort gewollt war. Somit wird der Fehlerzähler auf die fehlerhafte Antwort hin um den Wert Eins erhöht. Der Schwellwert wird jedoch nicht verändert und bleibt auf dem Wert
Vier.
Zu einem Zeitpunkt .13 antwortet die Funktionseinheit 1 10 erneut ungewollt mit einer fehlerhaften Antwort auf eine Frage der Überwachungseinheit 120. Der Fehlerzähler wird erneut um Eins erhöht und der Schwellwert bleibt weiterhin auf dem Wert Vier.
Auch zu einem Zeitpunkt ti 4 antwortet die Funktionseinheit 1 10 ungewollt mit einer fehlerhaften Antwort auf eine Frage und der Fehlerzähler wird um Eins erhöht und der Schwellwert bleibt weiterhin auf dem Wert Vier. Der Fehlerzähler beträgt nun den Wert Vier und hat den Schwellwert erreicht. Es wird auf einen Fehler der Funktionseinheit 1 10 rückgeschlossen und es kann eine
Fehlerreaktion durchgeführt werden. Beispielsweise kann als Fehlerreaktion eine sogenannte WDA-Leitung aktiviert und eine momentenrelevante Endstufe abgeschaltet werden.
Durch das Verfahren kann gewährleistet werden, dass ein Fehler der
Funktionseinheit 1 10 beispielsweise nach drei aufeinanderfolgenden fehlerhaften Antworten erkannt wird. In herkömmlichen Steuergeräten, in welchen oftmals ein konstanter Schwellwert gewählt wird, kann dies nicht gewährleistet werden. Beispielsweise kann ein konstanter Schwellwert von Fünf bei einem Fehler der Funktionseinheit 1 10 schneller oder langsamer erreicht werden, je nachdem auf welchen Wert der Fehlerzähler durch die Plausibilisierung verändert wurde. Beträgt der Fehlerzähler durch die Plausibilisierung beim Auftreten eines Fehlers der Funktionseinheit 1 10 beispielsweise den Wert Zwei, wird dieser Fehler zwar auch nach drei aufeinanderfolgenden fehlerhaften Antworten erkannt. Beträgt der Fehlerzähler beim Auftreten des Fehlers jedoch beispielsweise den Wert Null, wird dieser Fehler erst nach fünf aufeinanderfolgenden fehlerhaften Antworten erkannt. Im Gegensatz dazu wird durch das Verfahren ein schnellstmögliches Erkennen eines Fehlers der Funktionseinheit 1 10 ermöglicht.