Browse Prior Art Database

Sichere Detektion von Systemfehlern in KFZ-Ansteuermodulen

IP.com Disclosure Number: IPCOM000126226D
Original Publication Date: 2005-Aug-10
Included in the Prior Art Database: 2005-Aug-10
Document File: 3 page(s) / 1M

Publishing Venue

Siemens

Related People

Juergen Carstens: CONTACT

Abstract

Bei einem KFZ-Ansteuermodul, beispielsweise bei Software-Anwendungen, bei der Stromversorgung oder in Schnittstellen, ist es wichtig, Systemfehler sicher zu detektieren und das System in einen definierten Betriebszustand zu bringen. Dies kann beispielsweise das Aktivieren ausgewaehlter Leistungstreiber im Notlaufbetrieb sein. Bisher wurde mittels mehrerer Komponenten eine „Watch-Dog-Funktion“ aufgebaut, welche durch Triggerpulse bedient wurde. Eine Watch-Dog-Funktion weist sich dadurch aus, dass sie in regelmaessigen Zeitabstaenden mit Triggerpulsen bedient werden muss, um die ordnungsgemaesse Funktion des Systems zu ueberwachen. Blieb das Bedienen innerhalb einer definierten Zeit aus, so wurde ein Ueberlaufsignal an das System weitergegeben. Die Generierung der Triggerpulse wurde entweder ungesichert oder durch grossen Aufwand, beispielsweise durch ein Zeitfenster, abgesichert. Wurde dabei zu frueh bedient, hatte dies zur Folge, dass die Triggerpulse ignoriert oder ein Ueberlaufsignal generiert wurde. Bei der neuen Loesung (Abbildung 1) kommt es zu einer gemeinsamen Integration einer Watch-Dog-Funktion und eines Trigger Zustandsautomaten (Trigger State Machine). Diese bietet eine hohe Detektionssicherheit bei der Ueberwachung eines KFZ-Ansteuermoduls auf ordnungsgemaessen Betrieb. Durch die Watch-Dog-Funktion wird sichergestellt, dass bei fehlerhaftem Betrieb ein Ueberlaufsignal zur Verfuegung steht, welches das System in einen definierten Betriebszustand versetzt. Der vorgeschaltete Trigger Zustandsautomat stellt sicher, dass nur die definierte Zustandsabfolge den Watch-Dog bedient. Dadurch wird beispielsweise verhindert, dass ein zyklisches Zuruecksetzten des C den Watch-Dog bedient.

This text was extracted from a PDF file.
At least one non-text object (such as an image or picture) has been suppressed.
This is the abbreviated version, containing approximately 52% of the total text.

Page 1 of 3

S

Sichere Detektion von Systemfehlern in KFZ-Ansteuermodulen

Idee: Arno Rabenstein, DE-Muenchen; Markus Ladurner, DE-Villach; Hardy Stoelben, DE-

Duesseldorf

Bei einem KFZ-Ansteuermodul, beispielsweise bei Software-Anwendungen, bei der Stromversorgung oder in Schnittstellen, ist es wichtig, Systemfehler sicher zu detektieren und das System in einen definierten Betriebszustand zu bringen. Dies kann beispielsweise das Aktivieren ausgewaehlter Leistungstreiber im Notlaufbetrieb sein.

Bisher wurde mittels mehrerer Komponenten eine "Watch-Dog-Funktion" aufgebaut, welche durch Triggerpulse bedient wurde. Eine Watch-Dog-Funktion weist sich dadurch aus, dass sie in regelmaessigen Zeitabstaenden mit Triggerpulsen bedient werden muss, um die ordnungsgemaesse Funktion des Systems zu ueberwachen. Blieb das Bedienen innerhalb einer definierten Zeit aus, so wurde ein Ueberlaufsignal an das System weitergegeben. Die Generierung der Triggerpulse wurde entweder ungesichert oder durch grossen Aufwand, beispielsweise durch ein Zeitfenster, abgesichert. Wurde dabei zu frueh bedient, hatte dies zur Folge, dass die Triggerpulse ignoriert oder ein Ueberlaufsignal generiert wurde.

Bei der neuen Loesung (Abbildung 1) kommt es zu einer gemeinsamen Integration einer Watch-Dog- Funktion und eines Trigger Zustandsautomaten (Trigger State Machine). Diese bietet eine hohe Detektionssicherheit bei der Ueberwachung eines KFZ-Ansteuermoduls auf ordnungsgemaessen Betrieb. Durch die Watch-Dog-Funktion wird sichergestellt, dass bei fehlerhaftem Betrieb ein Ueberlaufsignal zur Verfuegung steht, welches das System in einen definierten Betriebszustand versetzt. Der vorgeschaltete Trigger Zustandsautomat stellt sicher, dass nur die definierte Zustandsabfolge den Watch-Dog bedient. Dadurch wird beispielsweise verhindert, dass ein zyklisches Zuruecksetzten des µC den Watch-Dog bedient.

Die Watch-Dog-Funktion laesst sich beispielsweise mittels einer analogen Watch-Dog-Schaltung aufbauen. Dabei wird ein Kondensator so lange mit einem konstanten Strom aufgeladen, bis das Triggersignal den Entladezyklus einleitet. Dieser dauert so lange, bis der Kondensator auf eine untere Schwelle entladen ist. Sollte das Triggersignal ausbleiben, so wird die Spannung am Kondensator beim Aufladen eine obere Schwelle ueberschreiten, und das Ueberlaufsignal wird erzeugt. Der Trigger Zustandsautomat kann beispielsweise durch einen Zwei-Bit-Inkrementzaehler realisiert sein, um vier Zustaende darzustellen. Wird der Zustandsautomat falsch bedient, wird er durch einen fuenften Zustand auf sichere Weise gesperrt. Diese Sperre sorgt nun dafuer, dass der Watch-Dog ueberlaeuft, sofern die Sperre nicht aufgehoben und der Zustandsautomat richtig bedient wird. Da es sich um entkoppelte Schaltungsbloecke handelt, wird der Watch-Dog immer ueberlaufen, sofern er nicht vom Zustandsautomaten bedient wird.

Es werden weder die Watch-Dog-Funktion noch der Trigger Zustandsautomat auf die oben beschriebene Realisier...