| WO2015076280A1 | 2015-05-28 |
| EP2848437A1 | 2015-03-18 | |||
| EP3012156A1 | 2016-04-27 | |||
| DE102015219402A1 | 2017-03-30 | |||
| DE102009014624A1 | 2010-09-30 | |||
| DE10249440A1 | 2004-05-06 | |||
| DE10057638A1 | 2002-05-29 | |||
| US20080316009A1 | 2008-12-25 | |||
| DE20015605U1 | 2000-11-30 | |||
| EP1062132B1 | 2002-06-12 | |||
| JP2002055715A | 2002-02-20 | |||
| EP1062132B1 | 2002-06-12 | |||
| EP0167792A1 | 1986-01-15 | |||
| DE10249440A1 | 2004-05-06 | |||
| DE102009014624A1 | 2010-09-30 | |||
| DE2912547C2 | 1984-05-17 | |||
| DE19650176A1 | 1997-06-05 | |||
| DE102015219402A | 2015-10-07 |
| Patentansprüche 1 ) Verfahren zum Betrieb eines sicherheitskritischen Steuergeräts, wobei das Steuergerät die korrekte Funktionsweise des Steuergeräts, zumindest eines Sensors oder zumindest eines Aktors oder mehrerer dieser überwacht und bei vorliegenden vorgegebener Fehlerbedingungen eine Warnung an den Fahrer erzeugt, wobei zumindest bei einer Untergruppe von Fehlerbedingungen als Warnung eine entsprechende Warnnachricht an der Fahrer erfolgt, dadurch gekennzeichnet, dass dann, wenn innerhalb einer vorgegebenen Zeitspanne keine Behebung des Fehlers erkannt wird, eine entsprechende Datenübermittlung an einen Fahrzeughersteller und/oder Serviceprovider erfolgt. 2) Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass die vorgegebene Zeitspanne zur Behebung bzw. bis zur Datenübermittlung von einem ersten auf einen längeren Zeit Wert gesetzt wird, wenn der Fahrer durch Betätigen des vorgegebenen Bedienmittels die Warnnachricht bestätigt. 3) Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass mit der ersten Datenübermittlung ein neues Zeitfenster gestartet und die Datenübermittlung zyklisch wiederholt wird, sofern bis zum Ablauf des Zeitfensters keine Behebung des Fehlers erkannt wurde. 4) Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Datenübermittlung zumindest einen der folgenden Daten: - fahrzeugidentifizierende Daten, - die Art der Fehlerbedingung, - den Zeitpunkt des Auftretens der Fehlerbedingung, - ob bzw. wann eine Bestätigung der Warnnachricht über Betätigen des Bedienmittels erfolgte. 5) Kraftfahrzeug mit einem Steuergerät sowie einem Mittel zur Wiedergabe der Warnnachricht sowie Mitteln zur Datenübermittlung zur Durchführung des Verfahrens nach einem der vorangehenden Ansprüche. |
Verfahren zum Betrieb eines sicherheitskritischen Steuergeräts für ein
Kraftfahrzeug sowie entsprechendes Kraftfahrzeug
Die Erfindung betrifft ein Verfahren zum Betrieb eines sicherheitskritischen Steuergeräts für ein Kraftfahrzeug gemäß dem Oberbegriff von Anspruch 1 sowie ein entsprechendes Kraftfahrzeug damit.
So sind beispielsweise aus der EP 1062132 B1 oder EP 167792 A1 Verfahren zum Steuern der Auslösung eines Insassenschutzsystems bekannt, bei dem beispielsweise der Unfallsensor in regelmäßigen oder unregelmäßigen Intervallen eine interne Fehlerüberprüfung ausführt und bei einer Fehlererkennung ein Meldesignal über den Meldesignal-Ausgangsanschluss an die Steuereinrichtung abgibt. Dann wird beispielsweise die Auslösung gesperrt und/oder ein optischer und/oder akustischer Warnhinweis erzeugt. Die Anbindung und der Datenaustausch kann dabei auch über einen Fahrzeugbus, bspw. CAN oder Flexray erfolgen.
In der DE 10249440 A1 wird Verfahren zum Überwachen der Funktionsfähigkeit eines gewichtssensierenden Systems in einem Fahrzeug beschrieben, bei dem das gewichtssensierende System bei Überschreitung eines Schwellwertes für die auf den Kraftsensor einwirkende Kraft eine Warnmeldung ausgibt, die auf eine eventuelle Beschädigung des gewichtssensierenden Systems hinweist. Die Warnmeldung kann dabei auch in einem Kombinationsinstrument des Fahrzeug visuell, insbesondere als Text und/oder in Ausgestaltung einer Signalleuchte, angezeigt werden. Zudem wird vorgeschlagen, dass die Warnmeldung auf einen CAN (car area network)-Bus gestellt und/oder in einem Fehlerspeicher abgelegt wird.
Aus der DE 102009014624 A1 ist darüber hinaus ein Verfahren zur Anzeige von Störungen im Kraftfahrzeug mit eigendiagnosefähigen Steuergeräten bekannt, die im Störungsfall eine Warnung an den Fahrer ausgeben. Gleichzeitig wird mit der Ausgabe der Warnung abhängig von der Schwere des Fehlers eine empfohlene Maßnahme angezeigt, deren Kenntnisnahme vom Fahrer zu quittieren ist. Vorzugsweise wird diese Anzeige erst dann gelöscht, nachdem der Fahrer die Kenntnisnahme quittiert hat. Alternativ oder zusätzlich wird gemäß einer Weiterbildung der Erfindung ein Sicherheitsmodus aktiviert, wenn die Quittierung der Kenntnisnahme nicht innerhalb eines vorgegebenen Zeitfensters erfolgt. Trotz alledem ist nicht auszuschließen, dass der Fahrer diese Warnung übersieht oder ignoriert oder vergisst und das Fahrzeug über einen längeren Zeitraum in diesem Zustand ohne betriebsbereites Insassenschutzsystem oder sonstiges sicherheitskritisches Steuergerät belassen wird.
Darüber hinaus sind beispielweise aus der DE 29 12 547 C2 und DE 196 50 176 A1 automatische Notrufsysteme für Fahrzeuge bekannt, mittels diesen bei einem Unfall Rettungskräfte automatisch verständigt und gezielt an die Unfallstelle geleitet werden können, um sicherzustellen, dass eine zeitnahe Hilfestellung sicher gewährleistet werden kann.
Die Aufgabe der vorliegenden Erfindung ist es, die Sicherheit weiter zu erhöhen. Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus den Unteransprüchen, wobei auch Kombinationen und Weiterbildungen einzelner Merkmale miteinander denkbar sind.
Daher ist vorgesehen, dass eine entsprechende Datenübermittlung an einen Fahrzeughersteller und/oder Serviceprovider erfolgt, wenn nicht innerhalb einer vorgegebenen Zeitspanne eine Behebung des Fehlers erfolgt. Neben der Behebung kann ggfs. ein entsprechender Fehlereintrag bspw. von einer Servicefachkraft als repariert bestätigt bzw. wieder gelöscht werden.
Aus der nicht vorveröffentlichten DE 10 2015 219 402 der Anmelderin wird bereits ein Verfahren zum Betrieb eines Insassenschutzsystems beschrieben, wobei das Insassenschutzsystem zumindest ein Steuergerät, zumindest einen Sensor und zumindest ein Insassenschutzmittel aufweist und ein Steuergerät die korrekte Funktionsweise des Steuergeräts, zumindest eines Sensors oder zumindest eines Aktors oder mehrerer dieser überwacht und bei vorliegenden vorgegebener Fehlerbedingungen eine Warnung an den Fahrer erzeugt. Zumindest bei einer Untergruppe von Fehlerbedingungen erfolgt als Warnung eine entsprechende Warnnachricht an der Fahrer, welche der Fahrer durch Betätigen zumindest eines vorgegebenen Bedienmittels bestätigen muss. Wenn die Warnnachricht nicht innerhalb einer vorgegebenen Zeitspanne durch Betätigen des vorgegebenen Bedienmittels bestätigt wird, erfolgt eine entsprechende Datenübermittlung an einen Fahrzeughersteller und/oder Serviceprovider. Dabei wird jedoch keine Prüfung daraufhin durchgeführt, ob bzw. das der Fehler behoben wurde. Sollte darin dennoch eine teilweise Vorwegnahme gesehen werden, nimmt die Anmelderin diese explizit aus dem hiermit beanspruchten Schutzbereich aus, d.h. dann gerade kein Verfahren nach Anspruch 1 der DE 10 2015 219 402 beansprucht sein soll. Die vorgegebene Zeitspanne zur Behebung bzw. bis zur Datenübermittlung wird vorzugsweise von einem ersten auf einen längeren Zeit Wert gesetzt, wenn der Fahrer durch Betätigen des vorgegebenen Bedienmittels die Warnnachricht bestätigt, wobei auch die längere, zweite Zeitspanne nicht unendlich ist. So erfolgt in einem vorgesehenen Ausführungsbeispiel ohne Bestätigung die Datenübermittlung in einem relativ kurzen Zeitraum von einigen Minuten bis maximal Tagen, während hingegen nach Bestätigung zur Reparatur schon einige Tage bis Wochen verbleiben, aber eben auf jeden Fall nach Ablauf auch dieser zweiten Zeitspanne eine Datenübermittlung erfolgt.
Die Datenübermittlung erfolgt dabei vorzugsweise über das Mobiltelefon, eine eh vorhandene mobile Funkdatenverbindung oder SMS und enthält dabei vorzugsweise fahrzeugidentifizierende Daten, die Art der Fehlerbedingung sowie den Zeitpunkt des Auftretens der Fehlerbedingung oder des Ablaufs der Zeitspanne ohne erfolgtes Betätigen des Bedienmittels. Durch die Datenübermittlung kann der Fahrzeughersteller bzw. Serviceprovider dann über andere Kanäle, sei es Telefon, Mail oder dergleichen Kontakt mit dem Fahrer aufnehmen und ein fortgesetztes Fahren ohne intaktes sicherheitskritisches Steuergerät vermeiden.
Mit der ersten Datenübermittlung wird vorzugsweise ein neues Zeitfenster gestartet und die Datenübermittlung zyklisch wiederholt, sofern bis zum Ablauf des Zeitfensters keine Behebung des Fehlers erkannt wurde.
Es ist dabei unerheblich, ob das Verfahren im sicherheitskritischen Steuergerät oder einen anderen Steuergerät ausgeführt wird und ob nur ein Sensor, ein Insassenschutzmittel oder die korrekte Funktionsweise des Steuergeräts selbst überwacht wird. Zudem kann die durch ein Betätigen zumindest eines vorgegebenen Bedienmittels zu bestätigende Warnmeldung auch nur bei einer Untergruppe von Fehlerbedingungen, also nicht unbedingt bei allen Fehlerereignissen erfolgen.
Die Warnnachricht an der Fahrer kann visuell oder akustisch erfolgen, kann als Piktogramme oder in unterschiedlichen Sprachen erfolgen und beinhaltet vorzugsweise neben dem Hinweis auf den Ausfall des Insassenschutzsystems den Hinweis auf einen umgehenden Werkstattbesuch, das Erfordernis der Bestätigung und die Folgen bei NichtBestätigung.
Als Bestätigung ist dabei vorzugsweise ein solches Bedienmittel, dessen Bedienart oder auch eine Mehrzahl von Bedienmitteln oder Abfolge gewählt, dass eine versehentliche „Bestätigung", also Bedienung ohne Bestätigungsabsicht durch Handeln im normalen Fahrbetrieb möglichst weitgehend ausgeschlossen werden kann. Vorzugsweise wird die Bestätigung durch den Fahrer durch Betätigen des vorgegebenen Bedienmittels in einem Speicher protokolliert, beispielsweise im Speicher der Zeitpunkt der Bestätigung abgespeichert, d.h. nicht etwa nur das Eintreten des Fehlers und der Warnung, sondern eben getrennt davon auch die tatsächliche Bestätigung durch den Fahrer wird gespeichert.
Wenn die Warnnachricht nicht innerhalb einer vorgegebenen Zeitspanne durch Betätigen des vorgegebenen Bedienmittels bestätigt wird, erfolgt neben der Datenübermittlung vorzugsweise eine Einschränkung am Fahrzeug. Dies hängt natürlich ganz maßgeblich von der gewünschten Eskalation ab und ist fahrzeugindividuell festzulegen.
Angedacht ist insbesondere eine oder mehrere der folgenden Maßnahmen:
a) dass die Warnnachricht dauerhaft eingeblendet bleibt
b) dass Komfortfunktionen wie Radio nicht oder ein Telefon nur für Notrufe möglich sind c) dass eine Geschwindigkeitsbeschränkung aktiviert wird
d) dass ein Wiederanlassen des Fahrzeugs nach einem Stopp unterbunden wird
Dementsprechend wird ein sicherheitskritisches Steuergerät, sei es das Anzeigesteuergerät, ESP-Steuergerät oder das Insassenschutzsystem, mit einem entsprechenden Algorithmus zur Durchführung des Verfahrens ausgestattet sowie einer Datenschnittstelle zu einem Mittel zur Wiedergabe der Warnnachricht sowie zum Empfang eines Signals des vorgegebenen Bedienmittels bzw. zur Abfrage des Bedienmittels und eine Schnittstelle zu Mitteln zur Datenübermittlung aufweisen.
So wird in einem Kraftfahrzeug ein entsprechend ausgestattetes Steuergerät nach sowie ein Mittel zur Wiedergabe der Warnnachricht sowie Datenübermittlung vorgesehen oder ein vorhandenes Mittel entsprechend hergerichtet zur Durchführung des Verfahrens.
Next Patent: CALIBRATION METHOD FOR ELECTROMAGNETIC INDUCTION MEASUREMENT SYSTEMS, AND APPARATUS