CN100342343C - 用于控制一个汽车功能单元的方法和装置 - Google Patents

Abstract

本发明描述了一种用于控制一个汽车功能单元的方法和装置。在按照本发明的方法中在一个功能程序中执行一个功能过程。在此该功能程序由一个安全程序进行检验，而该安全程序又由一个监控模块(43)进行监控。与安全程序一样，该功能程序具有一个模块化结构。在相应于模块(56，58)的数量的多个级上进行安全程序的监控。

Description

用于控制一个汽车功能单元的方法和装置

技术领域

本发明涉及一种用于控制一个汽车功能单元、尤其是控制驱动单元的方法和装置。此外本发明涉及一个用于执行本方法的计算机程序。

背景技术

为了控制汽车的功能单元使用控制器，功能程序用于实现相关单元的控制。为了保证正确的功能方式必需检测功能程序的无故障地运行。为此使用所谓的安全程序，该程序同样保证在控制器上实现功能。为了提供附加的安全性，通常也检测安全程序。为此典型地使用所谓的检测模块，该检测模块检测安全程序。

对于电子控制器目前经常使用计算机方案(Einrechnerkoncept)。对于这个方案存在检测方案，该检测方案即使在故障情况下也保证可靠地运行。为此借助于安全程序对于功能程序进行监控。这一点原则上这样实现：将重新发出司机愿望的控制器输入参数与由功率确定的调节参数进行比较。安全程序与功能程序一样在功能计算器中运行，该功能计算器包含在控制器里面。安全程序的正确程序流程通过专门的软件结构并通过功能计算器与监控模块之间适当的通讯流程保证。安全软件在时间上和数值上的偏差由监控模块识别。在故障情况下由功率确定的调节参数失效和/或触发功能计算器的复位。

由文献DE 44 38 714 A1已知一种用于控制汽车驱动单元的方法和装置。所述方法尤其用于控制一个汽车的驱动单元，其中驱动单元的功率根据汽车的至少在一个运行状态中的给定值进行控制。此外执行用于功率控制的功能以及执行用于监控功率控制的修正的功能方式的功能。为了控制功率仅具有一个唯一的计算单元，该控制单元不仅执行控制而且也执行监控。在计算单元中具有至少两个至少在故障情况以外相互独立的级(Ebene)，其中第一级进行控制而第二级进行监控。可以附加地设有一个第三级，该第三级通过监控实施监控的级来检验计算器的功能方式。第一计算单元的功能方式的监控通过将司机愿望与对于空气事先施加影响的部件的调节进行比较而实现。

文献DE 41 14 999 A1描述了一个用于控制汽车的系统，该系统具有一个用于确定控制汽车所必需的控制数据的第一装置和一个用于监控第一装置的第二装置。第一装置从第一数据出发按照检验功能获得第二数据，而第二装置从第一数据出发按照检验功能获得第三数据。第一和/或第二装置借助第二与第三数据之间的比较识别对于安全重要的故障状态。因此两个装置在问答操作框架内处理信号值，其中第二装置通过比较这个处理的结果推断出微处理器的正确或故障运行。

对于已知方法的缺陷是，及时在功能程序微小改变时也必需修正全部安全程序。

发明内容

按照本发明的用于控制汽车功能单元的方法规定，在一个功能程序中进行一种功能流程(Funktionsablauf)，通过一个安全程序检验该功能流程。所述安全程序由一个监控模块进行监控。所述功能程序具有一个模块化结构，也就是由多个程序模块组成。所述安全程序具有一个相应的结构。因此功能程序的程序模块的数量相应于安全程序的模块的数量。所以安全程序的监控在多个级(Stufe)上对应于模块的数量。其中，安全程序的每个安全模块分别提供一个部分份额，而所有用于计算的部分份额输送给监控模块。

因此将安全程序的一个模块分配给每个程序模块，安全程序只检验被分配的功能程序模块。

安全程序的每个模块提供一个部分份额(Teilbeitrag)，因此监控模块处理所有部分份额。

在本发明的有利方案中所述部分份额通过一个译码器引向监控模块。该译码器归纳部分份额，并以一定长度的代码转换结果。当部分份额利用安全程序模块中的一个模块的时候，可以省去用于在一个译码器中与监控模块通讯的归纳部分份额的方式，以便产生用于其它模块的部分份额并因此传输安全程序各模块之间的部分份额。因此最后获得的部分份额包含了所有其它模块的部分份额。

监控最好这样实现：由监控模块将检验数据传给安全程序，从安全程序获得输出数据，并且为了监控安全程序将输出数据与检验数据进行比较。通过这种方式可以通过监控模块确定，在考虑检验数据的条件下是否获得正确的输出数据。只有在这种情况下，安全程序才无故障地运行。

现在不再象现有技术那样在一个级上而是对应于模块的数量在多个级上实现借助于安全程序的监控。

按照本发明的用于控制一个汽车功能单元的装置包括一个计算单元、通常是一个微型计算机。在这个计算机上执行一个功能程序和一个检验该功能程序的安全程序。附加地具有一个用于监控该安全程序的监控模块。在按照本发明的装置中模块化地构成所述功能程序，也就是该功能程序由多个程序模块组成。所述安全程序具有一个相应的结构。所以安全程序的监控在多个级里进行，该级的数量对应于所述安全程序模块的数量或者所述程序模块的数量。其中，程序模块和安全模块分别存储在分开的存储单元中

这些级相互串联或并联地执行。

在此将程序模块和安全程序模块、安全模块分别存储在分开的存储单元里面。

在本发明的方案中设有一个用于继续传导部分份额的译码器，其中每个安全模块提供一个部分份额。

可以使用例如一个微控制器或者一个门逻辑电路(GatterLogik)作为监控模块。

按照本发明的计算机程序具有程序编码机构，以便当所述计算机程序在一个相应的计算单元上运行时而执行一个根据本发明的方法的所有步骤。所述计算单元最好设置在一个根据本发明的装置中、一个控制器中。

按照本发明的计算机程序产品具有程序编码机构(Programm-codemittel)，该编码机构存储在一个可计算机读取的数据载体上。所述程序编码机构用于执行按照本发明的方法。

本发明的其它优点和方案由说明书和附图给出。

可理解的是，上述和下面还要描述的特征不是仅局限于所给出的组合，而是可以用于其它的组合或单独场合，但不脱离本发明的构思。

附图说明

借助于附图中的实施例示出本发明，并在下面结合附图详细描述本发明。

图1以示意图示出按照现有技术的控制器，

图2以示意图示出按照本发明装置的一个优选实施例，

图3以流程图示出按照本发明方法的一个优选实施例。

具体实施方式

在图1中示出一个按照现有技术的控制器10。该控制器10用于控制一个电子节气门踏板(EGAS)的系统

可以看出一个计算单元(功能计算器)12和一个监控模块14。在计算单元12中示出一个功能程序16和一个安全程序18。

通过踏板20汽车司机将司机愿望传递给控制器10。司机愿望作为输入参数由功能程序16进行处理并由这个功能程序输出一个用于电驱动的节流阀22的输出参数。

司机愿望作为输入参数也传递给安全程序18，该程序如此来控制功能程序，司机愿望借助于由功率确定的、由节流阀22获得的调节参数进行似然化(plausibilisiern)。

对于所示的计算方案存在一个监控方案，该方案即使在故障情况下也能够实现安全运行。为此如上所述，借助于安全程序18来控制功能程序16。在此基本构思是将司机愿望(例如踏板)与由功率确定的调节参数(例如节流阀位置)进行似然化。安全程序18与功能程序16一样在计算单元12中运行。安全程序18的正确程序运行通过专门的软件结构并通过在计算单元12与监控模块14之间合适的通讯过程来保证。安全程序18在时间和数值上的偏差由监控模块14识别。在故障情况下由功率确定的调节参数失效并/或触发功能计算器12的复位。为此如同箭头24所示的那样，从监控模块14将检验数据发射给安全程序18，该安全程序再处理所述检验数据并以该检验数据为基础获得输出数据，如同箭头26表示的那样，将所述输出数据发射给监控模块14。通过该输出数据监控模块14可以监控安全程序18的无故障运行。

功能程序16给出用于控制点火的数据，如同用箭头28所示那样，并给出用于控制喷射的数据，如同箭头30所示那样。当监控模块14确定一个故障时，该监控模块可以这样起作用：如同虚线箭头32所示那样，停止对于节流阀22的操作，并如同箭头34所示那样，不执行点火和喷射操作。

由此借助于控制器10的输入数据，安全程序18检验在监控模块14监控安全程序18的正确作用方式期间它们是否是似然的(Plausibel)。

在图2中又给出一个按照本发明装置、即一个按照本发明的控制器40的优选实施例。该控制器40包括一个计算单元42和一个监控模块43。该控制器40用于处理由一个EGAS给出的数据，并用于控制一个节流阀46、如箭头48所示的点火和如箭头50所示的喷射。

可以看出，功能程序由一个程序模块I 52和一个程序模块II 54复合而成。安全程序相应地具有一个安全模块I 56和一个安全模块II 58。此外在计算单元42或功能计算器42中包含一个译码器60。通过适当的接口协定(Schnittstellenfestlegung)使功能程序的功能范围分成两个程序模块52，54。与这两个程序模块52，54相适配地在功能计算器42中实现两个从属的安全模块56，58。在此程序部分、即程序模块I 52和程序模块II 54之间的接口规定，借助于安全模块I 56对于程序模块I 52进行监控。相应地通过安全模块II 58对于程序模块II 54进行监控。

因此监控现在不再在一个级上实现(对司机愿望通过由功率决定的调节参数进行似然化)，而是在两个级上实现。第一级包括利用一定的接口参数对司机愿望进行似然化。第二级包括利用由功率决定的调节参数对一定的接口参数进行似然化。

如同目前通过专门的软件结构进行保证一样，通过功能计算器42与监控模块43之间适当的通讯运行保证两个安全模块56，58的正确程序运行。为此不仅安全模块I 56而且安全模块II 58借助于适当的算法分别利用监控模块对于通讯提供一个部分份额。译码器60概括所述部分份额并将总的结果作为一个由监控模块43可以读出的一定位长的代码传递给监控模块43。因此两个安全模块56，58在时间和数值上的偏差仍然由监控模块43识别。在故障情况下由功率决定的调节参数失效和/或触发功能计算器42的复位。这一点通过一个箭头62和一个箭头64表示。

按照本发明的装置对于各程序模块以及对于各安全模块能够实现独立的开发过程。这一点通过研发和代换独立的软件模块能够简化分开的研发。功能程序的各部分可以模块化互换地构成。对应于功能程序只需更换安全程序相应的部分，而不必象现在那样再修改全部安全程序。

在图3中以流程图示出一个按照本发明的优选实施例。

在步骤70中启动功能程序。在通过安全程序进行程序处理和检验输入数据期间在第一级72中如此监控安全模块I 56：安全模块首先从监控模块43获得检验数据。在一个步骤74中安全模块I 56推断出输出数据、所谓的部分份额。相应地在一个步骤76中监控安全模块II 58并同样在一个步骤78中提供一个部分份额。

在所示的实施例中同时进行安全模块56，58的检验。完全可以设想，所述监控顺序地进行，即首先监控安全模块I 56、接着监控安全模块II58。

安全模块56，68的部分份额在步骤80中传给译码器60。译码器在一个步骤82中汇编所述部分份额并将结果继续传给监控模块43。

监控模块43根据输出的数据检验所获得的结果并判断是否出现故障。在这种情况下在一个步骤84中使由功率决定的调节参数无效。对于安全模块56，58的正确功能方式在一个步骤86中释放调节参数。

当利用安全模块I 56中的部分份额时，可以省去在译码器60中通过监控模块43用于通讯的部分份额汇总方式，以便产生对于安全程序II 58的部分份额。在这种情况下安全模块II 58的部分份额自动地包括安全模块I 56的一个部分份额。

在未来的研发工作中总是将频现值(haeufiger Wert)赋值给一个任务分配程序(Aufgabenverteilung)。本发明能够多次使用子程序，而在此不必对整个系统的进行全部修改。

Claims (8)

1.一种用于控制一个汽车功能单元的方法，其中功能运行在一个功能程序中进行，该功能程序由一个安全程序检验，该安全程序再由一个监控模块(43)监控，其中功能程序具有一个模块化结构，即该功能程序由多个程序模块(52，54)组成；安全程序具有一个相应的结构，即具有多个安全模块(56，58)，因此安全程序的监控对应于安全模块(56，58)的数量在多级中进行，

其特征在于，所述安全程序的每个安全模块(56，58)分别提供一个部分份额，而所有的用于计算的部分份额输送给监控模块(43)。

2.如权利要求1所述的方法，其特征在于，所述部分份额通过一个译码器(60)输送给监控模块(43)。

3.如权利要求1所述的方法，其特征在于，所述部分份额在安全程序的各安全模块(56，58)之间传输。

4.如权利要求1或2所述的方法，其特征在于，如此实现监控：将检验数据传给安全程序，从安全程序得出输出数据，并将所述输出数据与检验数据进行比较以监控安全程序。

5.一种用于控制一个汽车功能单元的装置，该装置包括一个计算单元(42)，在该计算单元上得到用于执行的一个功能程序和一个检验该功能程序的安全程序，该装置还设有用于监控所述安全程序的监控模块(43)，其中模块化地构成所述功能程序，即所述功能程序由多个程序模块(52，54)组成；并且安全程序具有一种相应的结构，即具有多个安全模块(56，58)，因此安全程序的监控在对应于安全模块(56，58)的数量的多级中进行，

其特征在于，所述程序模块(52，54)和安全模块(56，58)分别存储在分开的存储单元中。

6.如权利要求5所述的装置，其特征在于，所述装置具有一个用于传输所述部分份额的译码器(60)，其中每个安全模块(56，58)分别提供一个部分份额。

7.如权利要求5或6所述的装置，其特征在于，使用一个微处理器作为监控模块(43)。

8.如权利要求5或6所述的装置，其特征在于，使用一个门逻辑电路作为监控模块(43)。

Images