BR102014018752B1 - Unidade eletrônica de controle de motor a combustão interna automotivo e veículo automotor - Google Patents

Unidade eletrônica de controle de motor a combustão interna automotivo e veículo automotor Download PDF

Info

Publication number
BR102014018752B1
BR102014018752B1 BR102014018752-9A BR102014018752A BR102014018752B1 BR 102014018752 B1 BR102014018752 B1 BR 102014018752B1 BR 102014018752 A BR102014018752 A BR 102014018752A BR 102014018752 B1 BR102014018752 B1 BR 102014018752B1
Authority
BR
Brazil
Prior art keywords
safety
designed
automotive
control unit
function
Prior art date
Application number
BR102014018752-9A
Other languages
English (en)
Other versions
BR102014018752A2 (pt
Inventor
Piero Carbonaro
Giovanni Dallara
Alessandro Fusari
Alberto Pezzoli
Francesco Traversi
Loris Lambertini
Original Assignee
MAGNETI MARELLI S.p.A.
Exida Development S.r.l.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MAGNETI MARELLI S.p.A., Exida Development S.r.l. filed Critical MAGNETI MARELLI S.p.A.
Publication of BR102014018752A2 publication Critical patent/BR102014018752A2/pt
Publication of BR102014018752B1 publication Critical patent/BR102014018752B1/pt

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D29/00Controlling engines, such controlling being peculiar to the devices driven thereby, the devices being other than parts or accessories essential to engine operation, e.g. controlling of engines by signals external thereto
    • F02D29/02Controlling engines, such controlling being peculiar to the devices driven thereby, the devices being other than parts or accessories essential to engine operation, e.g. controlling of engines by signals external thereto peculiar to engines driving vehicles; peculiar to engines driving variable pitch propellers
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/04Conjoint control of vehicle sub-units of different type or different function including control of propulsion units
    • B60W10/06Conjoint control of vehicle sub-units of different type or different function including control of propulsion units including control of combustion engines
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W2050/041Built in Test Equipment [BITE]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24021Separate processor for monitoring system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24044Second controller monitors diagnostics system of first controller
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24199Recover from fault, malfunction, go to safe state, correct and set new sequence
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/33Director till display
    • G05B2219/33104Tasks, functions are distributed over different cpu
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/33Director till display
    • G05B2219/33273DCS distributed, decentralised controlsystem, multiprocessor

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Combustion & Propulsion (AREA)
  • Chemical & Material Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Transportation (AREA)
  • Human Computer Interaction (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Semiconductor Integrated Circuits (AREA)
  • Oscillators With Electromechanical Resonators (AREA)

Abstract

IMPLEMENTAÇÃO COMPATÍVEL COM ASIL B DE FUNÇÕES RELATIVAS À SEGURANÇA AUTOMOTIVA POR MEIO DE UM CIRCUITO INTEGRADO COMPATÍVEL COM A ADMINISTRAÇÃO DE QUALIDADE COM ALTA CAPACIDADE DE DIAGNÓSTICO. Unidade eletrônica de controle de motor a combustão interna automotivo necessária para realizar funções relativas à segurança com nível de integridade de segurança automotiva previamente determinado; em que a unidade eletrônica de controle de motor a combustão interno automotivo compreende um microcontrolador e um circuito integrado distinto do microcontrolador e que com ele se comunica; em que o microcontrolador é projetado para realizar uma ou mais funções relativas à segurança com o mesmo nível de integridade de segurança automotiva necessário para a unidade eletrônica de controle automotiva; em que o circuito integrado é projetado para realizar uma ou mais funções relativas à segurança com nível de integridade de segurança automotiva mais baixo que o do microcontrolador; em que o circuito integrado é adicionalmente projetado para realizar, para cada função relativa à segurança realizada, uma função de diagnóstico correspondente projetada para detectar falhas de desempenho da função relativa à segurança; e em que o microcontrolador é projetado para realizar, para cada função de diagnóstico realizada, uma função de monitoramento correspondente projetada para monitorar (...).

Description

Campo Técnico da Invenção
[001] A presente invenção refere-se à implementação compatível com Integridade de Segurança Automotiva Nível B (ASIL B) de funções relativas à segurança automotiva por meio de um circuito integrado compatível com Administração de Qualidade (QM) com alta capacidade de diagnóstico.
Estado da Técnica
[002] Como se sabe, a segurança é um dos principais temas na indústria automotiva. A integração no veículo de sistemas elétricos e eletrônicos necessita de processos de desenvolvimento e conteúdo de segurança, bem como da oportunidade de fornecer comprovação de que todos os objetivos de segurança razoáveis foram atendidos.
[003] Novas tecnologias com base em funcionalidades distribuídas em diversas unidades eletrônicas de controle tipicamente desenvolvidas por diferentes fornecedores aumentam a complexidade, conteúdo de software, implementação mecatrônica e, consequentemente, os riscos de falhas de sistema e de hardware.
[004] O aumento da integração de aparelhos elétricos e eletrônicos (incluindo dispositivos programáveis, bem como componentes eletromecânicos) em sistemas automotivos gerou a introdução do padrão internacional ISO 26262, que é abordado pelo padrão de segurança funcional IEC 61508 para sistemas elétricos e eletrônicos na indústria.
[005] O padrão ISO 26262 fornece as necessidades de processo e de produto para reduzir os efeitos de falhas de sistema e de hardware. Este padrão lida com conceitos de segurança funcionais aplicados ao campo automotivo, buscando ao mesmo tempo a ausência de riscos inaceitáveis devido aos prejuízos causados pelo comportamento indesejado dos sistemas.
[006] O padrão ISO 26262 define quatro níveis de integridade de segurança automotiva (ASIL) que especificam riscos e necessidades de redução dos riscos. ASIL pode assumir quatro valores diferentes de funções relativas à segurança, indicados com letras, da mais baixa, indicada pela letra D, que é o nível mais crítico em termos de integridade de segurança, até o nível mais alto, indicado pela letra A, que é o nível mínimo de integridade de segurança. ASIL pode também assumir o valor QM (administração de qualidade), que, entretanto, é atribuído a funções não relativas à segurança.
[007] A determinação de risco e dano estabelecida pelo padrão ISO 26262 e o documento de referência Standardized E-Gas Monitoring Concept for Engine Controls of Otto and Diesel Engines, versão 5.0, publicado pela Associação Alemã da Indústria Automotiva ou VDA (Verband der Automobilindustrie), determinam que a implementação de funções relativas à segurança envolvidas na administração do fornecimento de torque por um motor a combustão interna possui ASIL B.
[008] Os documentos US 2002/193935 A1, US 2009/030587 A1, US 6 230 094 B1, DE 19605606 A1 e DE 10 2010 000 397 A1 descrevem unidades de controle eletrônico para motores a combustão interna automotivos.
Objeto e Resumo da Invenção
[009] O projeto, desenvolvimento e fabricação de circuitos integrados que implementam funções relativas à segurança automotiva compatíveis com ASIL B necessitam de recursos significativos. Apreciar-se-ia, portanto, a definição de uma solução mais acessível que permita atender às exigências descritas no padrão mencionado acima e no documento mencionado acima por meio de circuitos integrados que, embora sejam projetados, desenvolvidos e fabricados com critérios de administração de qualidade, permitam a implementação de funções relativas à segurança ASIL B de acordo com as regulamentações definidas no padrão mencionado acima e no documento mencionado acima.
[0010]O objeto da presente invenção é, portanto, de fornecer uma solução que permita atender à necessidade acima.
[0011]Segundo a presente invenção, é fornecida uma unidade eletrônica de controle de motor a combustão interna automotivo, conforme definido nas reivindicações anexas.
Breve Descrição das Figuras
- a Figura 1 exibe um diagrama de bloco principal que exibe a forma em que uma função relativa à segurança automotiva, indicada por F, pode ser implementada de maneira que seja compatível com ASIL B por meio da sua implementação de acordo com padrões de Administração de Qualidade, nos quais uma função de diagnóstico DIAG pode ser desenvolvida de acordo com padrões de Administração de Qualidade e uma função de monitoramento MON pode ser desenvolvida de acordo com o padrão ASIL B; a implementação da função F e da função DIAG é alocada a um circuito integrado U-Chip; e a implementação da função MON é, por sua vez, alocada a um microcontrolador μC. - a Figura 2 exibe um diagrama de bloco das funções realizadas por um circuito integrado. - a Figura 3 exibe um diagrama de bloco de uma função de diagnóstico genérica DIAG implementada em um circuito integrado U-Chip, de acordo com o exibido em forma de diagrama na Figura 1. - a Figura 4 exibe um diagrama de bloco de arquitetura de segurança de uma unidade eletrônica de controle de motor a combustão interna automotivo. - a Figura 5 exibe um diagrama de bloco de como uma voltagem excessiva pode propagar-se dentro da unidade eletrônica de controle do motor a combustão interna automotivo da Figura 4.
Descrição Detalhada de Realizações Preferidas da Presente Invenção
[0012]A presente invenção será agora descrita em detalhes com referência às figuras anexas para permitir que os técnicos no assunto a elaborem e utilizem. Diversas modificações das realizações descritas serão imediatamente evidentes para os técnicos no assunto e os princípios genéricos descritos podem ser aplicados a outras realizações e aplicações sem abandonar o escopo de proteção da presente invenção, conforme definido pelas reivindicações anexas. A presente invenção, portanto, não deve ser considerada limitada às realizações descritas e ilustradas, mas sim deve receber o escopo de proteção mais amplo de acordo com os princípios e características descritos e reivindicados no presente.
[0013]A Figura 1 exibe um diagrama de bloco principal que exibe a forma na qual uma função relativa à segurança automotiva, indicada por F, pode ser implementada de maneira a ser compatível com ASIL B por meio de um circuito integrado desenvolvido de acordo com padrões de Administração de Qualidade.
[0014]O circuito integrado, indicado de forma abreviada a seguir como U-Chip (chip guarda-chuva), dedicado, entre outras coisas, a realizar F, é disposto em uma unidade eletrônica de controle de motor a combustão interna automotivo, indicado por ECU, e é um componente eletrônico distinto do microcontrolador, indicado por μC, do ECU e com ele se comunica, sendo projetado para realizar funções compatíveis com Administração de Qualidade que, portanto, deixam de atingir o ASIL B necessário para implementação de F.
[0015]Todo o indicado abaixo com referência a F e exibido na Figura 1 é válido e pode ser repetido para cada F realizado pelo U-Chip que se deseja realizar pelo ECU de acordo com as exigências ASIL B.
[0016]Com referência à Figura 1, a fim de garantir que F seja implementado pelo ECU com ASIL B, além da função F, U-Chip também realiza função de diagnóstico, indicada por DIAG, projetada para detectar falhas que possam prejudicar o desempenho adequado de F. Como é realizada pelo U-Chip, DIAG é obviamente realizada com o mesmo ASIL QM com o qual F é realizado.
[0017] Uma função de monitoramento, indicada por MON e projetada para monitorar a capacidade de operação de DIAG e, particularmente, para detectar falhas que possam comprometer a eficácia da capacidade de diagnóstico de DIAG, é realizada, por sua vez, pelo μC do ECU, que, por sua vez, é projetado para realizar funções com ASIL B e é isento de quaisquer interferências funcionais resultantes de falhas no desempenho de DIAG ou F.
[0018]A Figura 2 exibe um diagrama de blocos das funções F realizadas pelo U-Chip, que compreendem: - funções inteligentes que compreendem: - administração inteligente de câmbio; - sentinela inteligente; - interface de volante; e - lógica de despertar e ligar; - fontes de energia, que compreendem: - fontes de energia do ECU; e - fontes de energia do sensor; - interfaces de comunicação que compreendem: - MSC; interface (Micro Segundo Canal); - transceptor LIN (rede de interconexão local); e - transceptor CAN (rede de área de controlador); e - canais de direcionamento de carga.
[0019]A Figura 3 exibe, por sua vez, um diagrama de blocos de como F e DIAG são implementados em U-Chip, no qual: - TC é um Controlador de Teste projetado para permitir e sincronizar o desempenho de DIAG; - CUT é um Circuito em Teste projetado para implementar a função F que DIAG deve monitorar; - TPG é um gerador de padrão de teste projetado para testar a operação correta de CUT; - ORA é um Analisador de Reação de Saída projetado para comparar os resultados de teste e, particularmente, para comparar a saída de CUT com uma saída esperada e fornecer uma indicação do sucesso de teste ou falha de teste; - IIC é um circuito de isolamento de entradas projetado para conectar a entrada de CUT a TPG quando DIAG necessitar ser realizado; - OIC é um circuito de isolamento de saídas projetado para conectar a saída de CUT a ORA quando DIAG necessitar ser realizado;
[0020]Geralmente, DIAG é administrado pelos sinais a seguir: - MSC_BIST_ENABLE: sinal de μC para permitir testes; - MSC_BIST_TRIGGER: sinal de μC que aciona o desempenho de DIAG; - MSC_BIST_END: sinal de TC que indica o final do desempenho de DIAG para μC; e - MSC_PASS_FAIL: resultado do desempenho de DIAG.
[0021] MON é projetado para realizar novamente um grupo de testes bem definidos realizados por DIAG a fim de verificar, por um lado, o desempenho adequado de F e, por outro lado, o desempenho adequado de DIAG.
[0022]Se MON detectar uma falha de teste de F ou falta de coincidência entre o resultado de um teste relatado por DIAG e um resultado de um teste relatado por MON, MON aciona uma reação segura, que poderá consistir convenientemente da desenergização de cargas relativas à segurança, como será mais evidente por meio da descrição da Figura 4.
[0023] Por fim, não apenas MON é projetado para monitorar o U-Chip e, particularmente, a operabilidade de DIAG, mas também outros circuitos integrados relativos à segurança, como será mais evidente por meio da descrição da Figura 4.
[0024]Conforme indicado acima, um dos elementos que garantem o desempenho adequado da arquitetura funcional de acordo com a presente invenção é o fato de que o μC de ECU é isento de interferências funcionais resultantes de falhas do desempenho de DIAG ou F.
[0025] Uma causa bem conhecida que pode comprometer essa ausência de interferência funcional é a presença de tensão excessiva que se propaga do U-Chip para o μC, que é designada para o desempenho de MON.
[0026]A Figura 4 exibe um diagrama de blocos de arquitetura de segurança de ECU que permite a redução dessa propagação ao mesmo tempo em que protege parte das cargas relativas à segurança.
[0027]Vale a pena observar que o U-Chip é equipado com seus próprios direcionadores de carga relativos à segurança embutidos, através dos quais ele dirige dadas cargas relativas à segurança, indicadas a seguir por G2, enquanto μC não é equipado com os seus próprios direcionadores de carga relativos à segurança embutidos, mas controla direcionadores de carga relativos à segurança externos do ECU, por meio dos quais dirige outras cargas relativas à segurança, indicadas a seguir por G1.
[0028] Os direcionadores de carga externos controlados por μC são equipados com monitores de tensão excessiva/insuficiente (O/U VM) embutidos correspondentes projetados para detectar a presença de tensão excessiva que se propaga a partir do μC em direção às cargas G1 e para gerar, em resposta, um comando de desenergização para as cargas G1, de forma a causar a sua desenergização e proteção contra qualquer dano por tensão excessiva.
[0029]Além disso, como vale a pena observar, os direcionadores de carga controlados por μC, como o próprio μC, são alimentados pelas fontes de energia do U-Chip, que são, portanto, compartilhadas pelo U-Chip, μC e pelos direcionadores de carga externos controlados pelo μC.
[0030] Por esta razão, uma possível tensão excessiva gerada dentro do U-Chip que se propaga para μC pode comprometer a funcionalidade do MON, obviamente além das cargas G2 dirigidas pelo U-Chip.
[0031]Conforme exibido, por sua vez, na Figura 5, devido à implementação de direcionadores de carga externos equipados com monitores de tensão excessiva/insuficiente embutidos, uma possível tensão excessiva gerada no U-Chip e propagada para o μC e dali para as cargas G1, ou gerada diretamente no μC e propagada para as cargas G1, é detectada pelos monitores de tensão excessiva/insuficiente embutidos, que acionam, em resposta, uma reação segura que compreende a geração de um comando de desenergização para as cargas G1, de forma a causar a sua desenergização e proteção contra possíveis danos por tensão excessiva.

Claims (9)

1. Unidade eletrônica de controle de motor a combustão interna automotivo (ECU) necessária para realizar funções relativas à segurança (F) com nível de integridade de segurança automotiva previamente determinado (ASIL); a unidade eletrônica de controle automotiva (ECU) compreende um microcontrolador (μC) e um circuito integrado (U-Chip) distinto do microcontrolador (μC) e que com ele se comunica; caracterizada por o microcontrolador (μC) ser projetado para realizar uma ou mais funções relativas à segurança (F) com o mesmo nível de integridade de segurança automotiva necessário para a unidade eletrônica de controle automotiva (ECU); em que o circuito integrado (U-Chip) é projetado para realizar uma ou mais funções relativas à segurança (F) com nível de integridade de segurança automotiva mais baixo que o do microcontrolador (μC); em que o circuito integrado (U-Chip) é adicionalmente projetado para realizar, para cada função relativa à segurança realizada (F), uma função de diagnóstico (DIAG) correspondente projetada para detectar falhas de desempenho da função relativa à segurança (F); e em que o microcontrolador (μC) é projetado para realizar, para cada função de diagnóstico (DIAG) realizada, uma função de monitoramento correspondente (MON) projetada para monitorar o desempenho da função de diagnóstico correspondente (DIAG) pelo circuito integrado (U-Chip) para detectar falhas que podem comprometer a capacidade de diagnóstico da função de diagnóstico (DIAG).
2. Unidade eletrônica de controle de motor a combustão interna automotivo de acordo com a reivindicação 1, caracterizada por a função de monitoramento (MON) ser projetada para realizar novamente testes realizados pela função de diagnóstico (DIAG) para verificar o desempenho apropriado da função relativa à segurança (F) e da função de diagnóstico (DIAG); e em que a função de monitoramento (MON) é adicionalmente projetada para acionar reação segura quando uma falha de teste da função relativa à segurança (F) ou falta de coincidência entre um resultado de teste relatado pela função de diagnóstico (DIAG) e um resultado de teste relatado pela função de monitoramento (M) for detectada.
3. Unidade eletrônica de controle de motor a combustão interna automotivo de acordo com a reivindicação 2, caracterizada por a reação segura acionada pela função de monitoramento (MON) compreender a desenergização de cargas relativas à segurança automotiva.
4. Unidade eletrônica de controle de motor a combustão interna automotivo de acordo com qualquer uma das reivindicações anteriores, caracterizada por o nível de integridade de segurança automotiva de desempenho de funções relativas à segurança (F) necessário para a unidade eletrônica de controle (ECU) automotiva ser ASIL B, enquanto o nível de integridade de segurança automotiva de desempenho de funções relativas à segurança (F) necessário para o circuito integrado (U-Chip) ser ASIL QM (Administração de Segurança).
5. Unidade eletrônica de controle de motor a combustão interna automotivo de acordo com qualquer uma das reivindicações anteriores, caracterizada por as funções relativas à segurança (F) compreenderem uma ou mais das seguintes: - funções inteligentes que compreendem: - administração inteligente de câmbio; - sentinela inteligente; - interface de volante; e - lógica de despertar e ligar; - fontes de energia, que compreendem: - fontes de energia do ECU; e - fontes de energia do sensor; - interfaces de comunicação que compreendem: - interface MSC (Micro Segundo Canal); - transceptor LIN (rede de interconexão local); e - transceptor CAN (rede de área de controlador); e - canais de direcionamento de carga.
6. Unidade eletrônica de controle de motor a combustão interna automotivo de acordo com qualquer uma das reivindicações anteriores, caracterizada por o circuito integrado (U-Chip) compreender: - um Controlador de Teste (TC) projetado para permitir e sincronizar o desempenho da função de diagnóstico (DIAG); - um Circuito em Teste (CUT), que implementa a função relativa à segurança (F) a ser testada; - um Gerador de Padrões de Teste (TPG) projetado para testar a operação correta do Circuito em Teste (CUT); - um Analisador de Reação de Saída (ORA) projetado para comparar a saída do Circuito em Teste (CUT) com uma saída esperada e fornecer uma indicação do sucesso de teste ou falha de teste; - um Circuito de Isolamento de Entrada (IIC) projetado para conectar uma entrada do Circuito em Teste (CUT) ao Gerador de Padrões de Teste (TPG) quando a função de diagnóstico (DIAG) necessitar ser realizada; e - um Circuito de Isolamento de Saída (OIC) projetado para conectar uma saída do Circuito em Teste (CUT) ao Analisador de Resposta de Saída após a realização da função de diagnóstico (DIAG).
7. Unidade eletrônica de controle de motor a combustão interna automotivo de acordo com qualquer uma das reivindicações anteriores, caracterizada por o circuito integrado (U-Chip) compreender adicionalmente direcionadores de carga relativos à segurança embutidos, por meio dos quais o circuito integrado (U-Chip) dirige cargas relativas à segurança (G2); em que o microcontrolador (μC) não possui direcionadores de carga relativos à segurança embutidos; em que a unidade eletrônica de controle (ECU) do motor a combustão interna automotivo compreende adicionalmente direcionadores de carga relativos à segurança externos separados do microcontrolador (μC) e por ele controlados, por meio dos quais o microcontrolador (μC) direciona diferentes cargas relativas à segurança (G1); e em que os direcionadores de carga relativa à segurança externos são equipados com monitores de tensão excessiva/insuficiente embutidos correspondentes (O/U VM) projetados para detectar tensão excessiva que se propaga do microcontrolador (μC) em direção às cargas relativas à segurança correspondentes (G1) e para gerar, em resposta, um comando de desenergização para as cargas relativas à segurança associadas (G1).
8. Unidade eletrônica de controle (ECU) de motor a combustão interna automotivo de acordo com a reivindicação 7, caracterizada porque o circuito integrado (U-Chip) compreende adicionalmente uma unidade de fornecimento de energia elétrica disposta para alimentar o circuito integrado (U-Chip), o microcontrolador (μC) e os direcionadores de carga relativos à segurança externos.
9. Veículo automotor caracterizado por compreender uma unidade eletrônica de controle de motor a combustão interna conforme definido em qualquer uma das reivindicações anteriores.
BR102014018752-9A 2013-07-30 2014-07-30 Unidade eletrônica de controle de motor a combustão interna automotivo e veículo automotor BR102014018752B1 (pt)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
ITTO2013A000646 2013-07-30
IT000646A ITTO20130646A1 (it) 2013-07-30 2013-07-30 Implementazione conforme a asil b di funzioni autoveicolistiche relative alla sicurezza tramite un circuito integrato ad elevata diagnosticabilita' progettato secondo standard di qualita'

Publications (2)

Publication Number Publication Date
BR102014018752A2 BR102014018752A2 (pt) 2015-09-29
BR102014018752B1 true BR102014018752B1 (pt) 2022-03-03

Family

ID=49263376

Family Applications (1)

Application Number Title Priority Date Filing Date
BR102014018752-9A BR102014018752B1 (pt) 2013-07-30 2014-07-30 Unidade eletrônica de controle de motor a combustão interna automotivo e veículo automotor

Country Status (5)

Country Link
US (1) US9677480B2 (pt)
EP (1) EP2905452B1 (pt)
CN (1) CN104340143B (pt)
BR (1) BR102014018752B1 (pt)
IT (1) ITTO20130646A1 (pt)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3034882B1 (fr) 2015-04-07 2018-12-07 Valeo Equipements Electriques Moteur Procede d'implementation d'une fonction d'un vehicule automobile conforme a des niveaux asil standards, systeme correspondant et vehicule automobile comprenant un tel systeme
DE102016105876A1 (de) 2016-03-31 2017-10-05 Connaught Electronics Ltd. Elektronisches Steuergerät für ein Fahrzeug mit separater Datenverbindung, Assistenzsystem, Fahrzeug sowie Verfahren
DE102016106814A1 (de) 2016-04-13 2017-10-19 Infineon Technologies Ag Vorrichtung und Verfahren zum Überwachen eines Signalpfads und Signalverarbeitungssystem
GB2559218A (en) * 2017-08-22 2018-08-01 Daimler Ag A modular safety software architecture for electrified-powertrain control systems
US10482289B2 (en) * 2017-08-24 2019-11-19 Qualcomm Incorporated Computing device to provide access control to a hardware resource
CN108279656B (zh) * 2018-03-27 2023-07-25 杭州泓创新能源有限公司 车辆驱动智能控制装置
IT201900018362A1 (it) * 2019-10-10 2021-04-10 Texa Spa Metodo e sistema di controllo di almeno due motori elettrici di trazione di un veicolo
EP3816741B1 (en) * 2019-10-31 2023-11-29 TTTech Auto AG Safety monitor for advanced driver assistance systems
US11171481B1 (en) 2020-11-23 2021-11-09 Ford Global Technologies, Llc Dual-supply automotive electrical system with protection of motion control components

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19605606B4 (de) * 1996-02-15 2005-01-27 Robert Bosch Gmbh Einrichtung zum Rücksetzen eines Rechenelements
JPH11294252A (ja) * 1998-04-13 1999-10-26 Denso Corp 電子制御装置
DE19902049C2 (de) * 1999-01-20 2000-11-09 Continental Ag Niveauregelsystem für ein Kraftfahrzeug
JP3805648B2 (ja) * 2001-06-14 2006-08-02 三菱電機株式会社 エンジン用吸気量制御装置
US6523525B1 (en) * 2002-06-11 2003-02-25 Detroit Diesel Corporation Engine control system and method of controlling an internal combustion engine having a mandatory engine warm-up period
CN1973415B (zh) * 2004-09-22 2010-06-23 丰田自动车株式会社 监视负载驱动电路异常的设备和方法
JP4420944B2 (ja) * 2007-07-27 2010-02-24 三菱電機株式会社 車載エンジン制御装置
JP4924905B2 (ja) * 2008-08-08 2012-04-25 株式会社デンソー 車両の制御装置
JP4930524B2 (ja) * 2009-02-13 2012-05-16 株式会社デンソー 車両制御システム
DE102010062476A1 (de) * 2010-12-06 2012-06-06 Robert Bosch Gmbh Verfahren und Vorrichtung zum Ansteuern eines Kfz-Antriebsstranges
US8432118B2 (en) * 2011-05-02 2013-04-30 Deere & Company Inverter and a method for controlling an electric machine
DE102011084669B4 (de) * 2011-05-27 2020-06-04 Continental Teves Ag & Co. Ohg Verfahren zur Überwachung und Steuerung eines pneumatischen Niveauregelsystems eines Fahrwerksystems
CN102642507B (zh) * 2011-10-15 2014-04-30 兰州吉利汽车工业有限公司 一种两线制汽车电子控制系统
CN102707710A (zh) * 2012-06-01 2012-10-03 浙江吉利汽车研究院有限公司杭州分公司 汽车电子控制单元诊断功能验证方法及系统

Also Published As

Publication number Publication date
EP2905452A2 (en) 2015-08-12
EP2905452A3 (en) 2016-03-09
ITTO20130646A1 (it) 2015-01-31
CN104340143A (zh) 2015-02-11
EP2905452B1 (en) 2020-06-10
US9677480B2 (en) 2017-06-13
BR102014018752A2 (pt) 2015-09-29
CN104340143B (zh) 2019-06-04
US20150057908A1 (en) 2015-02-26

Similar Documents

Publication Publication Date Title
BR102014018752B1 (pt) Unidade eletrônica de controle de motor a combustão interna automotivo e veículo automotor
EP3287800B1 (en) Jtag debug apparatus and jtag debug method
EP3198725B1 (en) Programmable ic with safety sub-system
JP5722150B2 (ja) マイクロコントローラ
KR20180022759A (ko) 안전 관련 중대한 에러를 처리하는 방법 및 장치
KR20190035480A (ko) 마이크로 컨트롤러 및 마이크로 컨트롤러의 제어방법
US9678870B2 (en) Diagnostic apparatus, control unit, integrated circuit, vehicle and method of recording diagnostic data
US10901035B2 (en) Techniques in ensuring functional safety (fusa) systems
JP2014209312A (ja) 集積回路
US9785508B2 (en) Method and apparatus for configuring I/O cells of a signal processing IC device into a safe state
KR20110122302A (ko) 하이브리드 차량용 인버터 고장 검출 회로 및 방법
KR101887904B1 (ko) 제어기 단락 이상 감지 장치 및 방법
EP4145150B1 (en) On-chip checker for on-chip safety area
CN114545829B (zh) 信号输出装置及信号输出控制方法、工程机械
US20230314506A1 (en) Processing system, related integrated circuit, device and method
KR102665259B1 (ko) 반도체 장치 및 반도체 장치의 테스트 방법
JP6457149B2 (ja) 電子制御装置
Athani et al. A Novel Approach for Diagnostics, End of Line and System Performance Checks for Micro Hybrid Battery Management Systems
KR101468175B1 (ko) 분산제어시스템의 입출력회로 모듈의 절연부 상태 진단방법
Gracic et al. Approach to the development of an FPGA-based safety-related, complete communication computer system
JP2020030714A (ja) 自己診断装置、半導体装置及び自己診断方法

Legal Events

Date Code Title Description
B03A Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette]
B06F Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette]
B06U Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette]
B06A Patent application procedure suspended [chapter 6.1 patent gazette]
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 30/07/2014, OBSERVADAS AS CONDICOES LEGAIS.