BR102014018752A2 - implementação compatível com asilb de funções relativas à segurança automotiva por meio de um circuito integrado compatível com a administração de qualidade com alta capacidade de diagnóstico - Google Patents
implementação compatível com asilb de funções relativas à segurança automotiva por meio de um circuito integrado compatível com a administração de qualidade com alta capacidade de diagnóstico Download PDFInfo
- Publication number
- BR102014018752A2 BR102014018752A2 BR102014018752A BR102014018752A BR102014018752A2 BR 102014018752 A2 BR102014018752 A2 BR 102014018752A2 BR 102014018752 A BR102014018752 A BR 102014018752A BR 102014018752 A BR102014018752 A BR 102014018752A BR 102014018752 A2 BR102014018752 A2 BR 102014018752A2
- Authority
- BR
- Brazil
- Prior art keywords
- safety
- designed
- automotive
- microcontroller
- integrated circuit
- Prior art date
Links
Classifications
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D29/00—Controlling engines, such controlling being peculiar to the devices driven thereby, the devices being other than parts or accessories essential to engine operation, e.g. controlling of engines by signals external thereto
- F02D29/02—Controlling engines, such controlling being peculiar to the devices driven thereby, the devices being other than parts or accessories essential to engine operation, e.g. controlling of engines by signals external thereto peculiar to engines driving vehicles; peculiar to engines driving variable pitch propellers
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W10/00—Conjoint control of vehicle sub-units of different type or different function
- B60W10/04—Conjoint control of vehicle sub-units of different type or different function including control of propulsion units
- B60W10/06—Conjoint control of vehicle sub-units of different type or different function including control of propulsion units including control of combustion engines
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/22—Safety or indicating devices for abnormal conditions
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
- G07C5/0808—Diagnosing performance data
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
- B60W2050/021—Means for detecting failure or malfunction
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
- B60W2050/0292—Fail-safe or redundant systems, e.g. limp-home or backup systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
- B60W2050/041—Built in Test Equipment [BITE]
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24021—Separate processor for monitoring system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24044—Second controller monitors diagnostics system of first controller
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24199—Recover from fault, malfunction, go to safe state, correct and set new sequence
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/26—Pc applications
- G05B2219/2637—Vehicle, car, auto, wheelchair
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/33—Director till display
- G05B2219/33104—Tasks, functions are distributed over different cpu
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/33—Director till display
- G05B2219/33273—DCS distributed, decentralised controlsystem, multiprocessor
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Combustion & Propulsion (AREA)
- Chemical & Material Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Transportation (AREA)
- Human Computer Interaction (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
- Semiconductor Integrated Circuits (AREA)
- Oscillators With Electromechanical Resonators (AREA)
Abstract
implementação compatível com asilb de funções relativas à segurança automotiva por meio de um circuito integrado compatível com a administração de qualidade com alta capacidade de diagnóstico . unidade eletrônica de controle de motor a combustão interna automotivo necessária para realizar funções relativas à segurança com nível de integridade de segurança automotiva previamente determinado; em que a unidade eletrônica de controle de motor a combustão interno automotivo compreende um microcontrolador e um circuito integrado distinto do microcontrolador e que com ele se comunica; em que o microcontrolador é projetado para realizar uma ou mais funções relativas à segurança com o mesmo nível de integridade de segurança automotiva necessário para a unidade eletrônica de controle automotiva; em que o circuito integrado é projetado para realizar uma ou mais funções relativas à segurança com nível de integridade de segurança automotiva mais baixo que o do microcontrolador; em que o circuito integrado é adicionalmente projetado para realizar, para cada função relativa à segurança realizada, uma função de diagnóstico correspondente projetada para detectar falhas de desempenho da função relativa à segurança; e em que o microcontrolador é projetado para realizar, para cada função de diagnóstico realizada, uma função de monitoramento correspondente projetada para monitorar o desempenho da função de diagnóstico correspondente pelo circuito integrado para detectar falhas que podem comprometer a capacidade de diagnóstico da função de diagnóstico.
Description
Implementação compatível com ASIL B de funções relativas à segurança automotiva por meio de um circuito integrado compatível com administração de qualidade com alta capacidade de diagnóstico Campo Técnico da Invenção [001] A presente invenção refere-se à implementação compatível com Integridade de Segurança Automotiva Nível B (ASIL B) de funções relativas à segurança automotiva por meio de um circuito integrado compatível com Administração de Qualidade (QM) com alta capacidade de diagnóstico.
Estado da Técnica [002] Como se sabe, a segurança é um dos principais temas na indústria automotiva, A integração no veículo de sistemas elétricos e eletrônicos necessita de processos de desenvolvimento e conteúdo de segurança, bem como da oportunidade de fornecer comprovação de que todos os objetivos de segurança razoáveis foram atendidos. [003] Novas tecnologias com base em funcionalidades distribuídas em diversas unidades eletrônicas de controle tipicamente desenvolvidas por diferentes fornecedores aumentam a complexidade, conteúdo de software, implementação mecatrônica e, consequentemente, os riscos de falhas de sistema e de hardware. [004] O aumento da integração de aparelhos elétricos e eletrônicos (incluindo dispositivos programáveis, bem como componentes eletromecânicos) em sistemas automotivos gerou a introdução do padrão internacional ISO 26262, que é abordado pelo padrão de segurança funcional IEC 61508 para sistemas elétricos e eletrônicos na indústria. [005] O padrão ISO 26262 fornece as necessidades de processo e de produto para reduzir os efeitos de falhas de sistema e de hardware. Este padrão lida com conceitos de segurança funcionais aplicados ao campo automotivo, buscando ao mesmo tempo a ausência de riscos inaceitáveis devido aos prejuízos causados pelo comportamento indesejado dos sistemas. [006] O padrão ISO 26262 define quatro níveis de integridade de segurança automotiva (ASIL) que especificam riscos e necessidades de redução dos riscos. ASIL pode assumir quatro valores diferentes de funções relativas à segurança, indicados com letras, da mais baixa, indicada pela letra D, que é o nível mais crítico em termos de integridade de segurança, até o nível mais alto, indicado pela letra A, que é o nível mínimo de integridade de segurança. ASIL pode também assumir o valor QM (administração de qualidade), que, entretanto, é atribuído a funções não relativas à segurança. [007] A determinação de risco e dano estabelecida pelo padrão ISO 26262 e o documento de referência Standardized E-Gas Monitoring Concept for Engine Controls of Otto and Diesel Engines, versão 5.0, publicado pela Associação Alemã da Indústria Automotiva ou VDA (Verband der Automobilindustrie), determinam que a implementação de funções relativas à segurança envolvidas na administração do fornecimento de torque por um motor a combustão interna possui ASIL B.
Obieto e Resumo da Invenção [008] O projeto, desenvolvimento e fabricação de circuitos integrados que implementam funções relativas à segurança automotiva compatíveis com ASIL B necessitam de recursos significativos. Apreciar-se-ia, portanto, a definição de uma solução mais acessível que permita atender às exigências descritas no padrão mencionado acima e no documento mencionado acima por meio de circuitos integrados que, embora sejam projetados, desenvolvidos e fabricados com critérios de administração de qualidade, permitam a implementação de funções relativas à segurança ASIL B de acordo com as regulamentações definidas no padrão mencionado acima e no documento mencionado acima. [009] O objeto da presente invenção é, portanto, de fornecer uma solução que permita atender à necessidade acima. [0010] Segundo a presente invenção, é fornecida uma unidade eletrônica de controle de motor a combustão interna automotivo, conforme definido nas reivindicações anexas.
Breve Descrição das Figuras - a Figura 1 exibe um diagrama de bloco principal que exibe a forma em que uma função relativa à segurança automotiva, indicada por F, pode ser implementada de maneira que seja compatível com ASIL B por meio da sua implementação de acordo com padrões de Administração de Qualidade, nos quais uma função de diagnóstico DIAG pode ser desenvolvida de acordo com padrões de Administração de Qualidade e uma função de monitoramento MON pode ser desenvolvida de acordo com o padrão ASIL B; a implementação da função F e da função DIAG é alocada a um circuito integrado U-Chip; e a implementação da função MON é, por sua vez, alocada a um microcontrolador pC. - a Figura 2 exibe um diagrama de bloco das funções realizadas por um circuito integrado.
- a Figura 3 exibe um diagrama de bloco de uma função de diagnóstico genérica DIAG implementada em um circuito integrado U-Chip, de acordo com o exibido em forma de diagrama na Figura 1. - a Figura 4 exibe um diagrama de bloco de arquitetura de segurança de uma unidade eletrônica de controle de motor a combustão interna automotivo. - a Figura 5 exibe um diagrama de bloco de como uma voltagem excessiva pode propagar-se dentro da unidade eletrônica de controle do motor a combustão interna automotivo da Figura 4.
Descricão Detalhada de Realizações Preferidas da Presente Invenção [0011] A presente invenção será agora descrita em detalhes com referência às figuras anexas para permitir que os técnicos no assunto a elaborem e utilizem. Diversas modificações das realizações descritas serão imediatamente evidentes para os técnicos no assunto e os princípios genéricos descritos podem ser aplicados a outras realizações e aplicações sem abandonar o escopo de proteção da presente invenção, conforme definido pelas reivindicações anexas. A presente invenção, portanto, não deve ser considerada limitada às realizações descritas e ilustradas, mas sim deve receber o escopo de proteção mais amplo de acordo com os princípios e características descritos e reivindicados no presente. [0012] A Figura 1 exibe um diagrama de bloco principal que exibe a forma na qual uma função relativa à segurança automotiva, indicada por F, pode ser implementada de maneira a ser compatível com ASIL B por meio de um circuito integrado desenvolvido de acordo com padrões de Administração de Qualidade. [0013] O circuito integrado, indicado de forma abreviada a seguir como U-Chip (chip guarda-chuva), dedicado, entre outras coisas, a realizar F, é disposto em uma unidade eletrônica de controle de motor a combustão interna automotivo, indicado por ECU, e é um componente eletrônico distinto do microcontrolador, indicado por pC, do ECU e com ele se comunica, sendo projetado para realizar funções compatíveis com Administração de Qualidade que, portanto, deixam de atingir o ASIL B necessário para implementação de F. [0014] Todo o indicado abaixo com referência a F e exibido na Figura 1 é válido e pode ser repetido para cada F realizado pelo U-Chip que se deseja realizar pelo ECU de acordo com as exigências ASIL B.
[0015] Com referência à Figura 1, a fim de garantir que F seja implementado pelo ECU com ASIL B, além da função F, U-Chip também realiza função de diagnóstico, indicada por DIAG, projetada para detectar falhas que possam prejudicar o desempenho adequado de F. Como é realizada pelo U-Chip, DIAG é obviamente realizada com o mesmo ASIL QM com o qual F é realizado. [0016] Uma função de monitoramento, indicada por MON e projetada para monitorar a capacidade de operação de DIAG e, particularmente, para detectar falhas que possam comprometer a eficácia da capacidade de diagnóstico de DIAG, é realizada, por sua vez, pelo pC do ECU, que, por sua vez, é projetado para realizar funções com ASIL B e é isento de quaisquer interferências funcionais resultantes de falhas no desempenho de DIAG ou F. [0017] A Figura 2 exibe um diagrama de blocos das funções F realizadas pelo U-Chip, que compreendem: funções inteligentes que compreendem: administração inteligente de câmbio; sentinela inteligente; interface de volante; e lógica de despertar e ligar; fontes de energia, que compreendem: fontes de energia do ECU; e fontes de energia do sensor; interfaces de comunicação que compreendem: MSC; interface (Micro Segundo Canal); transceptor LIN (rede de interconexão local); e transceptor CAN (rede de área de controlador); e canais de direcionamento de carga. [0018] A Figura 3 exibe, por sua vez, um diagrama de blocos de como F e DIAG são implementados em U-Chip, no qual: TC é um Controlador de Teste projetado para permitir e sincronizar o desempenho de DIAG; CUT é um Circuito em Teste projetado para implementar a função F que DIAG deve monitorar; TPG é um gerador de padrão de teste projetado para testar a operação correta de CUT; ORA é um Analisador de Reação de Saída projetado para comparar os resultados de teste e, particularmente, para comparar a saída de CUT com uma saída esperada e fornecer uma indicação do sucesso de teste ou falha de teste; IIC é um circuito de isolamento de entradas projetado para conectar a entrada de CUT a TPG quando DIAG necessitar ser realizado;
OIC é um circuito de isolamento de saídas projetado para conectar a saída de CUT a ORA quando DIAG necessitar ser realizado; [0019] Geralmente, DIAG é administrado pelos sinais a seguir: MSC_BIST_ENABLE: sinal de pC para permitir testes; MSC_BIST_TRIGGER: sinal de pC que aciona o desempenho de DIAG; MSC_BIST_END: sinal de TC que indica o final do desempenho de DIAG para pC; e MSC_PASS_FAIL: resultado do desempenho de DIAG. [0020] MON é projetado para realizar novamente um grupo de testes bem definidos realizados por DIAG a fim de verificar, por um lado, o desempenho adequado de F e, por outro lado, o desempenho adequado de DIAG. [0021] Se MON detectar uma falha de teste de F ou falta de coincidência entre o resultado de um teste relatado por DIAG e um resultado de um teste relatado por MON, MON aciona uma reação segura, que poderá consistir convenientemente da desenergização de cargas relativas à segurança, como será mais evidente por meio da descrição da Figura 4. [0022] Por fim, não apenas MON é projetado para monitorar o U-Chip e, particularmente, a operabilidade de DIAG, mas também outros circuitos integrados relativos à segurança, como será mais evidente por meio da descrição da Figura 4. [0023] Conforme indicado acima, um dos elementos que garantem o desempenho adequado da arquitetura funcional de acordo com a presente invenção é o fato de que o pC de ECU é isento de interferências funcionais resultantes de falhas do desempenho de DIAG ou F. [0024] Uma causa bem conhecida que pode comprometer essa ausência de interferência funcional é a presença de tensão excessiva que se propaga do U-Chip para o pC, que é designada para o desempenho de MON. [0025] A Figura 4 exibe um diagrama de blocos de arquitetura de segurança de ECU que permite a redução dessa propagação ao mesmo tempo em que protege parte das cargas relativas à segurança. [0026] Vale a pena observar que o U-Chip é equipado com seus próprios direcionadores de carga relativos à segurança embutidos, através dos quais ele dirige dadas cargas relativas à segurança, indicadas a seguir por G2, enquanto pC não é equipado com os seus próprios direcionadores de carga relativos à segurança embutidos, mas controla direcionadores de carga relativos à segurança externos do ECU, por meio dos quais dirige outras cargas relativas à segurança, indicadas a seguir por Gl. [0027] 0s direcionadores de carga externos controlados por pC são equipados com monitores de tensão excessiva/insuficiente (O/U VM) embutidos correspondentes projetados para detectar a presença de tensão excessiva que se propaga a partir do pC em direção às cargas Gl e para gerar, em resposta, um comando de desenergização para as cargas Gl, de forma a causar a sua desenergização e proteção contra qualquer dano por tensão excessiva. [0028] Além disso, como vale a pena observar, os direcionadores de carga controlados por pC, como o próprio pC, são alimentados pelas fontes de energia do U-Chip, que são, portanto, compartilhadas pelo U-Chip, pC e pelos direcionadores de carga externos controlados pelo pC. [0029] Por esta razão, uma possível tensão excessiva gerada dentro do U-Chip que se propaga para pC pode comprometer a funcionalidade do MON, obviamente além das cargas G2 dirigidas pelo U-Chip. [0030] Conforme exibido, por sua vez, na Figura 5, devido à implementação de direcionadores de carga externos equipados com monitores de tensão excessiva/insuficiente embutidos, uma possível tensão excessiva gerada no U-Chip e propagada para opCe dali para as cargas Gl, ou gerada diretamente no pC e propagada para as cargas Gl, é detectada pelos monitores de tensão excessiva/insuficiente embutidos, que acionam, em resposta, uma reação segura que compreende a geração de um comando de desenergização para as cargas Gl, de forma a causar a sua desenergização e proteção contra possíveis danos por tensão excessiva.
Claims (11)
1. Unidade eletrônica de controle de motor a combustão interna automotivo (ECU) necessária para realizar funções relativas à segurança (F) com nível de integridade de segurança automotiva previamente determinado (ASIL); caracterizada porque a unidade eletrônica de controle automotiva (ECU) compreende um microcontrolador (pC) e um circuito integrado (U- Chip) distinto do microcontrolador (pC) e que com ele se comunica; em que o microcontrolador (pC) é projetado para realizar uma ou mais funções relativas à segurança (F) com o mesmo nível de integridade de segurança automotiva necessário para a unidade eletrônica de controle automotiva (ECU); em que o circuito integrado (U-Chip) é projetado para realizar uma ou mais funções relativas à segurança (F) com nível de integridade de segurança automotiva mais baixo que o do microcontrolador (pC); em que o circuito integrado (U-Chip) é adicionalmente projetado para realizar, para cada função relativa à segurança realizada (F), uma função de diagnóstico (DIAG) correspondente projetada para detectar falhas de desempenho da função relativa à segurança (F); e em que o microcontrolador (pC) é projetado para realizar, para cada função de diagnóstico (DIAG) realizada, uma função de monitoramento correspondente (MON) projetada para monitorar o desempenho da função de diagnóstico correspondente (DIAG) pelo circuito integrado (U-Chip) para detectar falhas que podem comprometer a capacidade de diagnóstico da função de diagnóstico (DIAG).
2. Unidade eletrônica de controle de motor a combustão interna automotivo de acordo com a reivindicação 1, caracterizada porque a função de monitoramento (MON) é projetada para realizar novamente testes realizados pela função de diagnóstico (DIAG) para verificar o desempenho apropriado da função relativa à segurança (F) e da função de diagnóstico (DIAG); e em que a função de monitoramento (MON) é adicionalmente projetada para acionar reação segura quando uma falha de teste da função relativa à segurança (F) ou falta de coincidência entre um resultado de teste relatado pela função de diagnóstico (DIAG) e um resultado de teste relatado pela função de monitoramento (M) for detectada.
3. Unidade eletrônica de controle de motor a combustão interna automotivo de acordo com a reivindicação 2, caracterizada porque a reação segura acionada pela função de monitoramento (MON) compreende a desenergização de cargas relativas à segurança automotiva,
4. Unidade eletrônica de controle de motor a combustão interna automotivo de acordo com qualquer das reivindicações anteriores, caracterizada porque o nível de integridade de segurança automotiva de desempenho de funções relativas à segurança (F) necessário para a unidade eletrônica de controle (ECU) automotiva é ASIL B, enquanto o nível de integridade de segurança automotiva de desempenho de funções relativas à segurança (F) necessário para o circuito integrado (U-Chip) é ASIL QM (Administração de Segurança).
5. Unidade eletrônica de controle de motor a combustão interna automotivo de acordo com qualquer das reivindicações anteriores, caracterizada porque as funções relativas à segurança (F) compreendem uma ou mais das seguintes: funções inteligentes que compreendem: administração inteligente de câmbio; sentinela inteligente; interface de volante; e lógica de despertar e ligar; fontes de energia, que compreendem: fontes de energia do ECU; e fontes de energia do sensor; interfaces de comunicação que compreendem: interface MSC (Micro Segundo Canal); transceptor LIN (rede de interconexão local); e transceptor CAN (rede de área de controlador); e canais de direcionamento de carga,
6. Unidade eletrônica de controle de motor a combustão interna automotivo de acordo com qualquer das reivindicações anteriores, caracterizada porque o circuito integrado (U-Chip) compreende: um Controlador de Teste (TC) projetado para permitir e sincronizar o desempenho da função de diagnóstico (DIAG); um Circuito em Teste, que implementa a função relativa à segurança (F) a ser testada; um Gerador de Padrões de Teste (TPG) projetado para testar a operação correta do Circuito em Teste (CUT); um Analisador de Reação de Saída (ORA) projetado para comparar a saída do Circuito em Teste (CUT) com uma saída esperada e fornecer uma indicação do sucesso de teste ou falha de teste; um Circuito de Isolamento de Entrada (IIC) projetado para conectar uma entrada do Circuito em Teste (CUT) ao Gerador de Padrões de Teste (TPG) quando a função de diagnóstico (DIAG) necessitar ser realizada; e um Circuito de Isolamento de Saída (OIC) projetado para conectar uma saída do Circuito em Teste (CUT) ao Analisador de Resposta de Saída após a realização da função de diagnóstico (DIAG).
7. Unidade eletrônica de controle de motor a combustão interna automotivo de acordo com qualquer das reivindicações anteriores, caracterizada porque o circuito integrado (U-Chip) compreende adicionalmente direcionadores de carga relativos à segurança embutidos, por meio dos quais o circuito integrado (U-Chip) dirige cargas relativas à segurança (G2); em que o microcontrolador (pC) não possui direcionadores de carga relativos à segurança embutidos; em que a unidade eletrônica de controle (ECU) do motor a combustão interna automotivo compreende adicionalmente direcionadores de carga relativos à segurança externos separados do microcontrolador (pC) e por ele controlados, por meio dos quais o microcontrolador (pC) direciona diferentes cargas relativas à segurança (Gl); e em que os direcionadores de carga relativa à segurança externos são equipados com monitores de tensão excessiva/insuficiente embutidos correspondentes (O/U VM) projetados para detectar tensão excessiva que se propaga do microcontrolador (pC) em direção às cargas relativas à segurança correspondentes (Gl) e para gerar, em resposta, um comando de desenergização para as cargas relativas à segurança associadas (Gl).
8. Unidade eletrônica de controle (ECU) de motor a combustão interna automotivo de acordo com qualquer das reivindicações anteriores, caracterizada porque o circuito integrado (U-Chip) compreende adicionalmente uma unidade de fornecimento de energia elétrica disposta para alimentar o circuito integrado (U-Chip), o microcontrolador (pC) e os direcionadores de carga relativos à segurança externos.
9. Unidade eletrônica de controle (ECU) de motor a combustão interna automotivo, caracterizado porque compreende um microcontrolador (pC); um circuito integrado (U-Chip) distinto do microcontrolador (pC) e que se comunica com ele e compreende direcionadores de carga relativos à segurança embutidos, por meio dos quais o circuito integrado (U-Chip) dirige cargas relativas à segurança (G2); e direcionadores de carga relativos à segurança externos separados do microcontrolador (pC) e por ele controlados, por meio dos quais o microcontrolador (pC) direciona diferentes cargas relativas à segurança (Gl); e em que os direcionadores de carga relativa à segurança externos são equipados com monitores de tensão excessiva/insuficiente embutidos correspondentes (O/U VM) projetados para detectar tensão excessiva que se propaga do microcontrolador (pC) em direção às cargas relativas à segurança correspondentes (Gl) e para gerar, em resposta, um comando de desenergização para as cargas relativas à segurança associadas (Gl).
10. Unidade eletrônica de controle de motor a combustão interna automotivo de acordo com a reivindicação 9, caracterizada porque o circuito integrado (U-Chip) compreende adicionalmente uma unidade de fornecimento de energia para alimentar o circuito integrado (U-Chip), o microcontrolador (pC) e os direcionadores de carga relativos à segurança externos.
11. Veículo automotor que compreende uma unidade eletrônica de controle de motor a combustão interna caracterizado por ser conforme definido em qualquer das reivindicações anteriores.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ITTO2013A000646 | 2013-07-30 | ||
IT000646A ITTO20130646A1 (it) | 2013-07-30 | 2013-07-30 | Implementazione conforme a asil b di funzioni autoveicolistiche relative alla sicurezza tramite un circuito integrato ad elevata diagnosticabilita' progettato secondo standard di qualita' |
Publications (2)
Publication Number | Publication Date |
---|---|
BR102014018752A2 true BR102014018752A2 (pt) | 2015-09-29 |
BR102014018752B1 BR102014018752B1 (pt) | 2022-03-03 |
Family
ID=49263376
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
BR102014018752-9A BR102014018752B1 (pt) | 2013-07-30 | 2014-07-30 | Unidade eletrônica de controle de motor a combustão interna automotivo e veículo automotor |
Country Status (5)
Country | Link |
---|---|
US (1) | US9677480B2 (pt) |
EP (1) | EP2905452B1 (pt) |
CN (1) | CN104340143B (pt) |
BR (1) | BR102014018752B1 (pt) |
IT (1) | ITTO20130646A1 (pt) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR3034882B1 (fr) | 2015-04-07 | 2018-12-07 | Valeo Equipements Electriques Moteur | Procede d'implementation d'une fonction d'un vehicule automobile conforme a des niveaux asil standards, systeme correspondant et vehicule automobile comprenant un tel systeme |
DE102016105876A1 (de) | 2016-03-31 | 2017-10-05 | Connaught Electronics Ltd. | Elektronisches Steuergerät für ein Fahrzeug mit separater Datenverbindung, Assistenzsystem, Fahrzeug sowie Verfahren |
DE102016106814A1 (de) | 2016-04-13 | 2017-10-19 | Infineon Technologies Ag | Vorrichtung und Verfahren zum Überwachen eines Signalpfads und Signalverarbeitungssystem |
GB2559218A (en) * | 2017-08-22 | 2018-08-01 | Daimler Ag | A modular safety software architecture for electrified-powertrain control systems |
US10482289B2 (en) * | 2017-08-24 | 2019-11-19 | Qualcomm Incorporated | Computing device to provide access control to a hardware resource |
CN108279656B (zh) * | 2018-03-27 | 2023-07-25 | 杭州泓创新能源有限公司 | 车辆驱动智能控制装置 |
IT201900018362A1 (it) * | 2019-10-10 | 2021-04-10 | Texa Spa | Metodo e sistema di controllo di almeno due motori elettrici di trazione di un veicolo |
EP3816741B1 (en) * | 2019-10-31 | 2023-11-29 | TTTech Auto AG | Safety monitor for advanced driver assistance systems |
US11171481B1 (en) | 2020-11-23 | 2021-11-09 | Ford Global Technologies, Llc | Dual-supply automotive electrical system with protection of motion control components |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19605606B4 (de) * | 1996-02-15 | 2005-01-27 | Robert Bosch Gmbh | Einrichtung zum Rücksetzen eines Rechenelements |
JPH11294252A (ja) * | 1998-04-13 | 1999-10-26 | Denso Corp | 電子制御装置 |
DE19902049C2 (de) * | 1999-01-20 | 2000-11-09 | Continental Ag | Niveauregelsystem für ein Kraftfahrzeug |
JP3805648B2 (ja) * | 2001-06-14 | 2006-08-02 | 三菱電機株式会社 | エンジン用吸気量制御装置 |
US6523525B1 (en) * | 2002-06-11 | 2003-02-25 | Detroit Diesel Corporation | Engine control system and method of controlling an internal combustion engine having a mandatory engine warm-up period |
CN1973415B (zh) * | 2004-09-22 | 2010-06-23 | 丰田自动车株式会社 | 监视负载驱动电路异常的设备和方法 |
JP4420944B2 (ja) * | 2007-07-27 | 2010-02-24 | 三菱電機株式会社 | 車載エンジン制御装置 |
JP4924905B2 (ja) * | 2008-08-08 | 2012-04-25 | 株式会社デンソー | 車両の制御装置 |
JP4930524B2 (ja) * | 2009-02-13 | 2012-05-16 | 株式会社デンソー | 車両制御システム |
DE102010062476A1 (de) * | 2010-12-06 | 2012-06-06 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Ansteuern eines Kfz-Antriebsstranges |
US8432118B2 (en) * | 2011-05-02 | 2013-04-30 | Deere & Company | Inverter and a method for controlling an electric machine |
DE102011084669B4 (de) * | 2011-05-27 | 2020-06-04 | Continental Teves Ag & Co. Ohg | Verfahren zur Überwachung und Steuerung eines pneumatischen Niveauregelsystems eines Fahrwerksystems |
CN102642507B (zh) * | 2011-10-15 | 2014-04-30 | 兰州吉利汽车工业有限公司 | 一种两线制汽车电子控制系统 |
CN102707710A (zh) * | 2012-06-01 | 2012-10-03 | 浙江吉利汽车研究院有限公司杭州分公司 | 汽车电子控制单元诊断功能验证方法及系统 |
-
2013
- 2013-07-30 IT IT000646A patent/ITTO20130646A1/it unknown
-
2014
- 2014-07-30 EP EP14179201.0A patent/EP2905452B1/en active Active
- 2014-07-30 BR BR102014018752-9A patent/BR102014018752B1/pt active IP Right Grant
- 2014-07-30 US US14/446,466 patent/US9677480B2/en active Active
- 2014-07-30 CN CN201410370756.5A patent/CN104340143B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
US20150057908A1 (en) | 2015-02-26 |
EP2905452A2 (en) | 2015-08-12 |
US9677480B2 (en) | 2017-06-13 |
EP2905452A3 (en) | 2016-03-09 |
EP2905452B1 (en) | 2020-06-10 |
ITTO20130646A1 (it) | 2015-01-31 |
BR102014018752B1 (pt) | 2022-03-03 |
CN104340143B (zh) | 2019-06-04 |
CN104340143A (zh) | 2015-02-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
BR102014018752A2 (pt) | implementação compatível com asilb de funções relativas à segurança automotiva por meio de um circuito integrado compatível com a administração de qualidade com alta capacidade de diagnóstico | |
EP3287800A1 (en) | Jtag debug apparatus and jtag debug method | |
US20120330501A1 (en) | Vehicle hardware integrity analysis systems and methods | |
KR101494423B1 (ko) | 차량용 스마트 정션 박스의 로직 입출력 성능 검증 장치와 방법 | |
EP2771704A1 (en) | Test instrument having a configurable interface | |
US11254441B2 (en) | Aircraft controller including multiple core processor with wireless transmission prognostic/diagnostic data capability | |
US20140009179A1 (en) | Testing device | |
EP2771705A1 (en) | Programmable test instrument | |
CN105636832A (zh) | 车辆控制装置 | |
US20200124662A1 (en) | Self-test apparatuses involving distributed self-test controller circuits and methods thereof | |
CN108566548A (zh) | 一种多通道车载娱乐系统倒车功能测试系统 | |
CN207318605U (zh) | 汽车总线辐射抗扰度测试系统 | |
US9785508B2 (en) | Method and apparatus for configuring I/O cells of a signal processing IC device into a safe state | |
US20040017205A1 (en) | Method for monitoring a power supply of a control unit in a motor vehicle | |
JP2014209312A (ja) | 集積回路 | |
CN109885437A (zh) | 基板管理控制器bmc、终端及上电状态诊断组件、方法 | |
CN113815636B (zh) | 一种车辆安全监控方法、装置、电子设备及存储介质 | |
CN104615529A (zh) | 一种服务器光路诊断装置及方法 | |
US10996266B2 (en) | System and method for testing voltage monitors | |
EP4145150B1 (en) | On-chip checker for on-chip safety area | |
KR101887904B1 (ko) | 제어기 단락 이상 감지 장치 및 방법 | |
US11097857B2 (en) | Multiple core motor controller processor with embedded prognostic/diagnostic capabilities | |
CN112987680A (zh) | 用于避免安全系统中的故障传播的设备、系统和方法 | |
US20240072639A1 (en) | Junction Box Having Parallel Switch Failure Detection | |
CN216748528U (zh) | 无人机电调及无人机 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
B03A | Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette] | ||
B06F | Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette] | ||
B06U | Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette] | ||
B06A | Patent application procedure suspended [chapter 6.1 patent gazette] | ||
B09A | Decision: intention to grant [chapter 9.1 patent gazette] | ||
B16A | Patent or certificate of addition of invention granted [chapter 16.1 patent gazette] |
Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 30/07/2014, OBSERVADAS AS CONDICOES LEGAIS. |