Search

DE-112016006722-B4 - VERFAHREN ZUM BETRIEB EINES SICHERHEITSKRITISCHEN STEUERGERÄTS FÜR EIN KRAFTFAHRZEUG SOWIE ENTSPRECHENDES KRAFTFAHRZEUG

DE112016006722B4DE 112016006722 B4DE112016006722 B4DE 112016006722B4DE-112016006722-B4

Abstract

Verfahren zum Betrieb eines sicherheitskritischen Steuergeräts, wobei das Steuergerät eine korrekte Funktionsweise des Steuergeräts, zumindest eines Sensors oder zumindest eines Aktors oder mehrerer dieser überwacht und bei vorliegenden vorgegebener Fehlerbedingungen eine Warnung an einen Fahrer erzeugt, wobei zumindest bei einer Untergruppe von Fehlerbedingungen als Warnung eine entsprechende Warnnachricht an den Fahrer erfolgt, dadurch gekennzeichnet, dass dann, wenn innerhalb einer vorgegebenen Zeitspanne keine Behebung des Fehlers erkannt wird, eine entsprechende Datenübermittlung an einen Fahrzeughersteller und/oder Serviceprovider erfolgt, und dass die vorgegebene Zeitspanne zur Behebung bzw. bis zur Datenübermittlung von einem ersten auf einen längeren Zeit Wert gesetzt wird, wenn der Fahrer durch Betätigen eines vorgegebenen Bedienmittels die Warnnachricht bestätigt.

Inventors

  • Andreas Müller

Assignees

  • AUMOVIO GERMANY GMBH

Dates

Publication Date
20260507
Application Date
20160721

Claims (4)

  1. Verfahren zum Betrieb eines sicherheitskritischen Steuergeräts, wobei das Steuergerät eine korrekte Funktionsweise des Steuergeräts, zumindest eines Sensors oder zumindest eines Aktors oder mehrerer dieser überwacht und bei vorliegenden vorgegebener Fehlerbedingungen eine Warnung an einen Fahrer erzeugt, wobei zumindest bei einer Untergruppe von Fehlerbedingungen als Warnung eine entsprechende Warnnachricht an den Fahrer erfolgt, dadurch gekennzeichnet , dass dann, wenn innerhalb einer vorgegebenen Zeitspanne keine Behebung des Fehlers erkannt wird, eine entsprechende Datenübermittlung an einen Fahrzeughersteller und/oder Serviceprovider erfolgt, und dass die vorgegebene Zeitspanne zur Behebung bzw. bis zur Datenübermittlung von einem ersten auf einen längeren Zeit Wert gesetzt wird, wenn der Fahrer durch Betätigen eines vorgegebenen Bedienmittels die Warnnachricht bestätigt.
  2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet , dass mit der ersten Datenübermittlung ein neues Zeitfenster gestartet und die Datenübermittlung zyklisch wiederholt wird, sofern bis zum Ablauf des Zeitfensters keine Behebung des Fehlers erkannt wurde.
  3. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet , dass die Datenübermittlung zumindest eines der folgenden Daten enthält: - fahrzeugidentifizierende Daten, - die Art der Fehlerbedingung, - den Zeitpunkt des Auftretens der Fehlerbedingung, - ob bzw. wann eine Bestätigung der Warnnachricht über Betätigen des Bedienmittels erfolgte.
  4. Kraftfahrzeug mit einem Steuergerät sowie einem Mittel zur Wiedergabe einer Warnnachricht sowie Mitteln zur Datenübermittlung zur Durchführung des Verfahrens nach einem der vorangehenden Ansprüche.

Description

Die Erfindung betrifft ein Verfahren zum Betrieb eines sicherheitskritischen Steuergeräts für ein Kraftfahrzeug gemäß dem Oberbegriff von Anspruch 1 sowie ein entsprechendes Kraftfahrzeug damit. Die gattungsbildende EP 2 848 437 A1 beschreibt ein Verfahren zur Erkennung von Aufhängungs- oder Lenkungsschäden bei einem Fahrzeug. Bei Erkennung eines solchen Schadens werden bestimmte Daten wie Datum und Uhrzeit, Kilometerstand, Reifendruck, Fahrzeugstandort und Lenkradstellung in einer Speichereinheit des Fahrzeugs gespeichert und es wird eine Warnmeldung an den Fahrer ausgegeben zusammen mit dem Hinweis, dass eine Inspektion in einer Werkstatt erforderlich ist. Der Fahrer kann daraufhin eine Werkstatt zur Vereinbarung einer Inspektion kontaktieren. Um sich aber nicht auf ein (aktives) Handeln bzw. Kontaktieren durch den Fahrer verlassen zu müssen, wird vorgeschlagen, dass ein solcher Vorfall bzw. Schaden über eine Fahrzeug-Kommunikationseinheit an eine Werkstatt oder den Fahrzeughersteller automatisch und drahtlos übertragen wird. Ferner sind beispielsweise aus der EP 1 062 132 B1 oder EP 0 167 792 A1 Verfahren zum Steuern der Auslösung eines Insassenschutzsystems bekannt, bei dem beispielsweise der Unfallsensor in regelmäßigen oder unregelmäßigen Intervallen eine interne Fehlerüberprüfung ausführt und bei einer Fehlererkennung ein Meldesignal über den Meldesignal-Ausgangsanschluss an die Steuereinrichtung abgibt. Dann wird beispielsweise die Auslösung gesperrt und/oder ein optischer und/oder akustischer Warnhinweis erzeugt. Die Anbindung und der Datenaustausch kann dabei auch über einen Fahrzeugbus, bspw. CAN oder Flexray erfolgen. In der DE 102 49 440 A1 wird Verfahren zum Überwachen der Funktionsfähigkeit eines gewichtssensierenden Systems in einem Fahrzeug beschrieben, bei dem das gewichtssensierende System bei Überschreitung eines Schwellwertes für die auf den Kraftsensor einwirkende Kraft eine Warnmeldung ausgibt, die auf eine eventuelle Beschädigung des gewichtssensierenden Systems hinweist. Die Warnmeldung kann dabei auch in einem Kombinationsinstrument des Fahrzeug visuell, insbesondere als Text und/oder in Ausgestaltung einer Signalleuchte, angezeigt werden. Zudem wird vorgeschlagen, dass die Warnmeldung auf einen CAN (car area network)-Bus gestellt und/oder in einem Fehlerspeicher abgelegt wird. Aus der DE 10 2009 014 624 A1 ist darüber hinaus ein Verfahren zur Anzeige von Störungen im Kraftfahrzeug mit eigendiagnosefähigen Steuergeräten bekannt, die im Störungsfall eine Warnung an den Fahrer ausgeben. Gleichzeitig wird mit der Ausgabe der Warnung abhängig von der Schwere des Fehlers eine empfohlene Maßnahme angezeigt, deren Kenntnisnahme vom Fahrer zu quittieren ist. Vorzugsweise wird diese Anzeige erst dann gelöscht, nachdem der Fahrer die Kenntnisnahme quittiert hat. Alternativ oder zusätzlich wird gemäß einer Weiterbildung der Erfindung ein Sicherheitsmodus aktiviert, wenn die Quittierung der Kenntnisnahme nicht innerhalb eines vorgegebenen Zeitfensters erfolgt. Trotz alledem ist nicht auszuschließen, dass der Fahrer diese Warnung übersieht oder ignoriert oder vergisst und das Fahrzeug über einen längeren Zeitraum in diesem Zustand ohne betriebsbereites Insassenschutzsystem oder sonstiges sicherheitskritisches Steuergerät belassen wird. Darüber hinaus sind beispielweise aus der DE 29 12 547 C2 und DE 196 50 176 A1 automatische Notrufsysteme für Fahrzeuge bekannt, mittels diesen bei einem Unfall Rettungskräfte automatisch verständigt und gezielt an die Unfallstelle geleitet werden können, um sicherzustellen, dass eine zeitnahe Hilfestellung sicher gewährleistet werden kann. Die Aufgabe der vorliegenden Erfindung ist es, die Sicherheit weiter zu erhöhen. Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus den Unteransprüchen, wobei auch Kombinationen und Weiterbildungen einzelner Merkmale miteinander denkbar sind. Daher ist vorgesehen, dass eine entsprechende Datenübermittlung an einen Fahrzeughersteller und/oder Serviceprovider erfolgt, wenn nicht innerhalb einer vorgegebenen Zeitspanne eine Behebung des Fehlers erfolgt. Neben der Behebung kann ggfs. ein entsprechender Fehlereintrag bspw. von einer Servicefachkraft als repariert bestätigt bzw. wieder gelöscht werden. Aus der nicht vorveröffentlichten DE 10 2015 219 402 A1 der Anmelderin wird bereits ein Verfahren zum Betrieb eines Insassenschutzsystems beschrieben, wobei das Insassenschutzsystem zumindest ein Steuergerät, zumindest einen Sensor und zumindest ein Insassenschutzmittel aufweist und ein Steuergerät die korrekte Funktionsweise des Steuergeräts, zumindest eines Sensors oder zumindest eines Aktors oder mehrerer dieser überwacht und bei vorliegenden vorgegebener Fehlerbedingungen eine Warnung an den Fahrer erzeugt. Zumindest bei einer Untergruppe von Fehlerbedingungen erfolgt als Warnung eine entsprechende Warnnachricht an der Fahrer, welche der Fahrer durch