CN101523038B - 用于对内燃机的发动机控制系统的功能能力进行监控的方法和装置 - Google Patents
用于对内燃机的发动机控制系统的功能能力进行监控的方法和装置 Download PDFInfo
- Publication number
- CN101523038B CN101523038B CN2007800377608A CN200780037760A CN101523038B CN 101523038 B CN101523038 B CN 101523038B CN 2007800377608 A CN2007800377608 A CN 2007800377608A CN 200780037760 A CN200780037760 A CN 200780037760A CN 101523038 B CN101523038 B CN 101523038B
- Authority
- CN
- China
- Prior art keywords
- control system
- execution
- operating mode
- monitor task
- performance element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000012544 monitoring process Methods 0.000 title abstract description 22
- 238000002485 combustion reaction Methods 0.000 title abstract description 5
- 230000000052 comparative effect Effects 0.000 abstract 1
- 238000006243 chemical reaction Methods 0.000 description 17
- 238000003825 pressing Methods 0.000 description 15
- 238000012545 processing Methods 0.000 description 9
- 238000012360 testing method Methods 0.000 description 7
- 239000000446 fuel Substances 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000010304 firing Methods 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 230000001131 transforming effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012432 intermediate storage Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 239000007921 spray Substances 0.000 description 1
- 230000002459 sustained effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/22—Safety or indicating devices for abnormal conditions
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D45/00—Electrical control not provided for in groups F02D41/00 - F02D43/00
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02T—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
- Y02T10/00—Road transport of goods or passengers
- Y02T10/10—Internal combustion engine [ICE] based vehicles
- Y02T10/40—Engine management systems
Landscapes
- Engineering & Computer Science (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Mechanical Engineering (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Hardware Redundancy (AREA)
- Safety Devices In Control Systems (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
Abstract
本发明涉及一种用于对内燃机的发动机控制系统的功能能力进行监控的方法,其中,所述发动机控制系统具有多个执行单元(2A、2B)。在此在比较-运行模式(VM)中在所述系统的多个执行单元(2)上执行力矩监控程序并且将在执行所述监控程序时由所述执行单元(2)输出的信号彼此进行比较以识别故障。
Description
技术领域
本发明涉及一种对控制系统的功能能力进行监控的方法,该控制系统在具有多个执行单元的系统上运行。
背景技术
在尤其在汽车技术中或在自动化技术中的嵌入式系统的领域中,有许多应用或者说应用程序,其中在硬件中的故障会引起潜在的对安全来说非常严重的后果。因此为了避免这种后果或者减少其影响,使用对所述的故障进行探测的监控措施。存在一些应用,在这样的应用中需要几乎永久地进行这样的监控。在其它的应用中使用监控功能,所述监控功能定期地比如周期性地或者根据特定的要求检查,数据处理系统或者其它的硬件-部件是否还正确地起作用。
图1示出了发动机控制领域中一种传统的监控方法的结构。在发动机控制系统中,通过喷射系统将燃料喷入燃烧室中。从安全方面看,这种在发动机控制领域中的示范性的应用结构化为三个层面E1、E2、E3。喷射控制系统的应用程序形成了基础或者说基础层面E1,该基础层面E1包含真正有待执行的功能。所述喷射控制系统表明,应该准确地在何时将多少燃料喷入燃烧室中。在所述喷射控制系统失灵时可能会出现这样的情况,即所述喷射控制系统朝燃烧室中喷射太多燃料或者说持续喷射燃料,使得汽车非常强烈地加速并且可能导致事故。因此,在传统的系统中设置了监控层面E2,该监控层面监控,所述喷射控制系统在层面E1上是否无故障地工作。所述监控层面E2由附加的程序或者说附加的软件-代码构成,该软件代码必要时动用额外的传感器。在传统的发动机控制系统中,所述监控层面E2通常由连续的力矩监控装置构成,在该力矩监控装置中监控,当前由发动机产生的力矩是否没有超过特定的阈值。在传统的发动机控制系统中,所述喷射控制层面E1和监控层面E2的程序在相同的硬件上或者说在相同的执行单元上运行。因为在层面E1中的喷射控制系统的应用程序以及在层面E2中的力矩监控装置的应用程序在相同的执行单元或者说CPU上运行,所以执行单元中的硬件故障会导致不仅喷射控制系统而且力矩监控装置同时失灵。因此,出于安全原因,在传统的发动机控制系统中设置另外的安全层面E3,该安全层面E3本身检查,所述监控层面E2是否正常工作。所述安全层面E3实施所述执行单元与外部的硬件-部件比如ASIC之间的问-答-通讯,其中原则上对所述执行单元或者说微型控制器的功能能力尤其对所述监控层面E2内部的应用程序的功能进行检查。所述监控层面E2的应用程序则实施可信度检查。比如所述监控层面E2的监控程序读入油门操纵踏板的角度位置α。如果由所述喷射控制层面E1的应用程序所表明的燃料量超过特定的、依赖于通过传感器监控的油门操纵踏板位置的阈值,那么所述在层面E2上运行的监控程序就发现,在喷射控制系统中出现了故障并且通常出于安全原因促使切断发动机。所述监控层面E2比如额外地包括力矩监控程序,该力矩监控程序对在发动机上产生的力矩进行监控并且在超过阈值时使发动机不起作用。为实施所述监控功能,所述监控程序的代码双重地作为E2’来保存。在此用缺省-数据或者说检测数据对E2’的算法或者说程序进行核对。所述安全层面E3的比如在ASIC上也就是说在使用者所特有的集成线路上运行的程序将特定的位-模式作为问题加载到所述执行单元或者说CPU上,所述执行单元用这个缺省值对所述以副本形式存在的、按层面E2’的监控程序进行核对并且在所述使用者所特有的集成线路ASIC中将应答-位-模式发送给所述层面E3的安全程序。所述安全程序将这个应答-位-模式与基准-位-模式进行比较,以便确定在CPU内部的监控程序是否还在无故障地工作。在使用者所特有的集成线路内部的安全程序在另外的硬件也就是在ASIC上运行,这不同于在执行单元或者说CPU上运行的监控程序。因此这种传统的处理方式构成相对于CPU内部的硬件故障的一定程度的安全性。
不过,所述传统的如在图1中示出的一样的安全方案的缺点在于,所述用于指令测试的监控程序为了用缺省值或者说测试值进行核对必须以副本的形式存在。因此需要存储空间用于存放所复制的在所述监控层面E2’上的程序指令。
在所述传统的指令测试中缺省数据或者说测试数据用作用于所复制的监控程序E2’的输入数据,这种传统的指令测试的另一个缺点在于,没有探测依赖于运算对象的故障。
发明内容
因此,本发明的任务是,提供一种用于对控制系统的功能能力进行监控的方法,该方法也可以探测依赖于运算对象的故障。
本发明提供一种用于对控制系统的功能能力进行监控的方法,其中所述控制系统在具有多个执行单元的系统上运行。其中在比较-运行模式VM中在所述系统的多个执行单元上执行监控程序并且其中将在执行所述监控程序时由这些执行单元输出的信号彼此进行比较,以识别故障。
按本发明的方法的优点在于,没有浪费任何用于监控程序的所复制的程序指令的存储空间。
在按本发明的方法的一种实施方式中,所述监控程序由用于对由发动机产生的力矩进行监控的力矩监控程序构成。
在按本发明的方法的一种实施方式中,所述控制系统由发动机控制系统构成。
在按本发明的方法的一种实施方式中,所述监控程序同步地在所述执行单元上执行。
在按本发明的方法的一种作为替代方案的实施方式中,所述监控程序异步地在所述执行单元上执行。
在按本发明的方法的一种实施方式中,所述系统在执行所述监控程序之后切换为执行-运行模式,在该执行-运行模式中所述执行单元执行不同的程序。
在按本发明的方法的一种实施方式中,所述在执行-运行模式中执行的程序实施控制。
在按本发明的方法的一种实施方式中,周期性地执行所述监控程序。
在按本发明的方法的一种实施方式中,在执行所述监控程序时识别出故障,如果由执行单元在执行监控程序时发出的信号彼此间有偏差。
在按本发明的方法的一种实施方式中,在执行监控程序时识别出故障之后切断由所述控制系统控制的单元。
此外,本发明提供一种具有多个执行单元的控制系统,其中在比较-运行模式VM中在多个执行单元上执行监控程序,并且将在执行监控程序时由所述执行单元发出的信号彼此进行比较,以识别出故障。
在按本发明的控制系统的一种实施方式中,所述监控程序是用于对由发动机产生的力矩进行监控的力矩监控程序。
在按本发明的控制系统的一种实施方式中,所述控制系统是发动机控制系统。
在按本发明的控制系统的一种实施方式中,所述执行单元由微处理器、协处理器(Co-Prozessor)、数字式信号-处理器DSP、浮点计算单元FPU或者由算术逻辑单元ALU构成。
附图说明
下面,在参照用于对那些对本发明来说十分重要的特征进行解释的附图的情况下对按本发明的方法及按本发明的控制系统的优选的实施方式进行说明。其中:
图1是一张图表,该图表用于表示传统的具有三个层面的安全方案;
图2是在按本发明的方法中使用的转换和比较单元的框图;
图3是一张框图,该框图用于表示按本发明的控制系统的一种可能的实施方式;
图4是用于对按本发明的方法进行解释的流程图;
图5是用于对按本发明的方法的一种可能的实施方式进行解释的时间流程图。
具体实施方式
如可以从图2中看出的一样,转换和比较电路1在输入侧连接到N+1个执行单元2上并且从所述执行单元2-i上得到逻辑的输入信号E0、E1、E2、E3...EN。所述转换和比较单元1包括比较逻辑电路1A和开关逻辑电路1B。
所述在图2中示出的系统可以在至少两种运行模式中运行。在一种用于提高功率的、也称为执行-运行模式PM的第一运行模式中,所述执行单元1-i或者说核心(Cores)平行地处理不同的程序或者说任务。所述执行单元2-i可以是用于执行计算指令的任意的执行单元2-i,比如是处理器、浮点计算单元FPU、数字式信号处理器DSP、协处理器(Co-Prozessor)或者是算术逻辑计算单元ALU。可以在执行模式PM中通过不同的执行单元2-i同步或异步地执行程序的处理。在功率模式中,不进行任何冗余的处理,而是所述执行单元2-i平行地执行不同的计算或者说程序。在纯粹的执行-运行模式PM中,将所有的输入信号Ei转换到或者说引到相应的输出信号Ai上。
除了超标量的计算系统的使用之外,用于多核的架构的第二原因在于,提高信号处理的安全性,方法是多个执行单元2-i冗余地处理相同的程序。在这种也称为安全模式或者说Safety Mode或者比较-运行模式VM的第二运行模式中,通过所述转换和比较电路1对所述执行单元的结果或者说逻辑的输出信号彼此进行比较,从而可以通过在一致性方面的比较来识别出现的故障或者说信号偏差。因此,在纯粹的比较-运行模式VM中,将所有输入信号Ei引到或者说变换到(abbilden)刚好一个唯一的输出信号Ai。也可以考虑混合形式。在可配置的开关逻辑电路1B中说明,设置了多少输出接头或者说输出信号Ai。此外,在所述开关逻辑电路1B中记录,哪些输入信号Ei有助于哪一个输出信号Ai。由此,在所述开关逻辑电路1B中保存了变换函数,该变换函数将输入信号Ei分配给不同的输出信号Ai。
所述处理逻辑电路1A在每个输出信号Ai上确定,所述输入信号以何种形式有助于相应的输出信号。比如,所述输出信号A0由所述输入信号E1、...、EN所产生。对于m=1来说,这简单地相当于一个输入信号的转换。对于M=2来说,将两个输入信号E1、E2彼此进行比较。这种比较可以同步或者异步地通过所述电路1进行。在这种情况下,按位进行这种比较或者作为替代方案仅仅将重要的位彼此进行比较。在M≥3时存在不同的方案。第一方案在于,将所有信号彼此进行比较并且在存在至少两个不同的数值时探测到故障,该故障可选通过所述转换和比较电路1表示出来。另一种方案在于,执行“Kausm”选择(从m个中选出K个),其中K>M/2。这在一种实施方式中通过比较器的设置来实现。在此如果所述输入信号中的一个输入信号被发现与其它的输入信号有偏差,就可选地产生第一故障信号。在第二故障信号不同于所述第一故障信号时,所有三个输入信号彼此间都有偏差。在另一种实施方式中,将所述输入信号值输送给另外的计算单元,该另外的计算单元比如计算一个平均值或者说一个中位值或者说实施一种容错的算法FTA。在容错的算法中,删除或者说忽略所述输入信号值的极限值,并且将剩余的信号值求平均。在一种实施方式中,将剩余的信号值的整个量求平均。在一种作为替代方案的实施方式中,将剩余的信号值的在硬件中可轻易形成的部分量求平均。在形成平均值时仅仅必须进行加法和除法运算,而FTM、FTA或者中位值形成则部分地要求对所述输入信号值进行分类。在一种实施方式中,在出现足够大的信号偏差或者说极限值时可选输出或者说显示故障信号。所提到的将信号处理成信号的不同的方案就是比较运算。所述处理逻辑电路1A为每个输出信号Ai以及由此也为所述输入信号Ei确定有待进行的比较运算的精确结构。在所述开关逻辑电路1B内部的信息的组合,也就是说每个输出信号或者说每个函数值的在处理逻辑电路1A中说明的比较运算的分配函数表示一种运行模式信息并且确定所述运行模式。这个信息通常是多值的并且通过多于一个的逻辑位来表示。对于仅仅设置了两个执行单元2-i并且由此仅仅存在一个比较模式这种情况来说,可以将全部信息在所述运行模式中补偿到一个唯一的逻辑位上。
通常通过以下方法将系统从所述执行-运行模式PM转换为比较-运行模式VM,即将所述在执行-运行模式PM中变换或者说转换成不同的信号输出的执行单元2-i在所述比较-运行模式VM中变换或者说转换成相同的信号输出。这一点优选通过以下方式来实现,即设置部分量的执行单元2-i,在这些执行单元2-i上在所述执行-运行模式PM中将所有要在所述部分量中加以考虑的输入信号Ei直接转换为相对应的输出信号Ai,而在所述比较模式VM中的输入信号则全部变换为一个唯一的信号输出或者转换成这个唯一的信号输出。作为替代方案,可以通过改变配对这种方式来实现转换。
在所述不同的运行模式之间,可以在通过软件进行控制的情况下动态地在连续的运行过程中进行转换。在一种实施方式中,通过特殊的转换指令或者说转换指示、特殊的指示序列、明确表示出来的指示的执行或者通过所述系统的至少其中一个执行单元2-i来访问特定的地址这种方式来触发转换。
在所述安全模式VM中进行冗余的处理和检查并且在所述功率或者说执行-运行模式PM中通过单独的程序处理来提高功率,在这两种模式之间的转换通过转换装置1进行。在一种实施方式中,为进行转换,通过一个特征标记来标记出程序、应用程序、程序部分或者也标记出程序指令,通过该特征标记可以发现,这些程序指令是否对安全来说十分重要,也就是说是否必须在所述安全运行模式或者说比较-运行模式VM中进行处理,或者是否可以供所述功率或者说执行-运行模式PM使用。可以通过在程序指令中的位进行标识。作为替代方案,可以通过特殊的程序指令来标记出紧随其后的序列。
在所述安全运行模式或者说Safety Mode VM中,在不同的执行单元2-i上进行同步处理时所述执行单元2-i的结果或者说输出信号的计算持续相同时间。而后所述结果在安全运行模式VM中同步处理时同时提供给所述转换装置1。如果结果一致,那就释放相应的数据。在有信号偏差时,则进行预先给定的故障反应。
如果所述系统处于执行-运行模式PM中,那就平行处理所述程序并且没有触发在所述转换和比较电路1内部的比较器。
在按本发明的用于对在具有多个执行单元2的系统上运行的控制系统的功能能力进行监控的方法中,在比较-运行模式VM中在所述系统的多个或者甚至所有的执行单元上执行至少一个监控程序。将在执行该监控程序时由这些执行单元2输出的信号彼此进行比较,以识别故障。在按本发明的控制系统的一种优选的实施方式中,该控制系统具有至少三个执行单元2。那个和其余的信号之间具有最大的信号偏差的信号比如借助于多数决定被识别为有故障的。所述信号在一种实施方式中是数字的逻辑信号,尤其是二进制的信号。按本发明的控制系统4在一种优选的实施方式中是用于控制内燃机的发动机控制系统。在作为替代方案的实施方式中,所述控制系统4是用于触发电动机的控制系统。所述监控程序比如由对通过内燃机或电动机产生的力矩进行监控的力矩监控程序构成。在此,所述监控程序可以同步地或异步地在所述执行单元2上执行。
在按本发明的方法中,用于发动机控制的标准的应用程序在所述执行-运行模式PM中执行,也就是说所述系统的每个执行单元2为提高功率而执行用于控制的程序,而其它的执行单元2方面则执行与此不同的应用程序。在层面E2上运行的监控程序在按本发明的方法的一种可能的实施方式中周期性地被调用。在按本发明的方法中,所述监控程序在比较-运行模式VM中在所述系统的多个执行单元2上执行。在所述比较-运行模式VM中,所述系统的多个或者说所有的执行单元2执行相同的监控程序,其中将在这过程中产生的输出信号彼此进行比较,以识别故障。在一种可能的实施方式中,在层面E2上执行多个监控程序,这些监控程序比如全部周期性地被调用。所有被调用的监控程序在所述比较-运行模式VM中执行。在一种作为替代方案的实施方式中,所述监控程序根据特定的要求或者说要求指令被调用,并且随后在比较-运行模式VM中由所述系统的多个或者说至少两个执行单元2来执行。所述的用于执行所述监控程序的要求指令可以比如通过中断(Interrupt)来触发。
在执行所述监控程序之后,所述系统换回到执行-运行模式PM中,在该执行-运行模式PM中所述执行单元2优选执行第一层面E1的不同的程序比如控制程序。
在按本发明的方法的一种实施方式中,在所述层面E2中执行监控程序时识别出故障,如果由执行单元2在所述比较-运行模式VM中执行监控程序时输出的信号彼此有偏差。在这种情况下,优选在执行监控程序时识别出故障之后切断由所述控制系统4所控制的单元5比如发动机。
图3示出了按本发明的控制系统的一种可能的实施方式的框图。在图3所示的实施方式中,按本发明的控制系统4具有两个执行单元2A、2B。所述执行单元2A、2B可以是完整的微处理器或者说CPU,可以是协处理器、数字式信号处理器DSP、浮点计算单元FPU或者可以是算术逻辑单元ALU。在按本明的控制系统4的其它实施方式中,设置了两个以上的执行单元2。在图3所示的简单的实施方式中,由执行单元2A、2B产生的信号相应地中间保存在中间存储器3A、3B中。每个执行单元2优选在输出端具有自己的中间存储器3。所述执行单元2A、2B的中间存储的结果或者说输出信号被输送给比较单元1。所述比较单元4可以比如由如在图2中示出的一样的转换和比较电路1构成。所述中间保存的输出信号的比较可以通过相应的比较程序和软件的运行或者以固定布线的方式在硬件中执行。
图4示出了按本发明的用于对控制系统的功能能力进行监控的方法的一种可能的实施方式的流程图。
在第二个层面E2中调用监控程序之后,在步骤S1中将系统从所述执行-运行模式PM切换为比较-运行模式VM。随后激活所述两个如在图3中所示的执行单元2A、2B用于在步骤S2、S3中执行相同的监控程序,并且执行相同的监控程序比如力矩监控程序。在图4所示的实施方式中,所述两个执行单元2A、2B在步骤S2、S3中异步地计算相应的结果信号,该结果信号在步骤S4、S5中被中间保存在相应的中间存储器3A、3B中。在一种作为替代方案的实施方式中,所述两个执行单元2A、2B在步骤S2、S3中彼此同步地计算相应的输出信号或者说结果值。在存在两个结果值或者说输出信号之后,在步骤S6中优选通过所述切换和比较电路1在这两个输出信号之间进行比较。如果这两个信号彼此有偏差,那就识别出故障并且随后进行相应的故障处理。在一种对安全来说十分重要的应用中,切断由所述控制系统4触发的单元5,比如发动机。在步骤S6中的比较要么可以在随后读出所述中间存储器3A、3B之后通过相应的借助于软件进行的比较运算来进行,要么在一种作为替代方案的实施方式中通过固定布线的线路来进行比较。
图5示出了用于对按本发明的方法的一种可能的实施方式进行解释的时间流程图。在该实施方式中,所述监控程序在层面E2中周期性地被调用,并且在所述比较-运行模式VM中通过多个执行单元2同时执行。在执行所述监控程序之后,系统返回到所述执行-运行模式PM中并且在层面E1中执行真正的控制程序。
在按本发明的控制系统4的一种作为替代方案的实施方式中,所述控制系统4始终在执行-运行模式PM中工作,其中用至少两个执行单元2异步地计算所述监控程序。在此将由执行单元在这过程中输出的结果或者说输出信号彼此进行比较,以识别故障。当然,在该实施方式中,必须相应地中间保存所述结果并且随后将所述结果彼此比较两次,也就是一次在第一执行单元2A上进行比较并且一次在第二执行单元2B上进行比较,以便对所述两个执行单元2的可能的硬件故障加以考虑。因此,这种实施方式比一种在所述比较-运行模式VM中执行监控程序的实施方式更加麻烦。
按本发明的方法也允许探测依赖于运算对象的故障。除此以外,按本发明的方法与传统的在图1中示出的安全方案相比也明显地节省了存储空间。
在按本发明的控制系统4的一种可能的实施方式中,该控制系统4具有至少三个执行单元2,其中借助于多数决定在出现信号偏差时可以确定,哪个执行单元2可能在有故障的情况下工作。这个执行单元2随后优选进行自测,以便确定这个执行单元2是否实际上已失灵。在一种实施方式中,如果所述自测表明所述执行单元2实际上已失灵,就使所述执行单元2不起作用。在这种实施方式中,系统由此甚至在容错的情况下进行工作。
为防止在两个核心或者说执行单元2中出现比如因制造误差而产生的永久故障,在按本发明的方法的一种可能的实施方式中,所述执行单元2分别进行自测。
在按本发明的方法的一种可能的实施方式中,在层面E2中在所述比较-运行模式VM中执行监控程序,其中为进一步保险起见额外地设置了安全层面E3,该安全层面E3继续执行用于对所述监控程序的功能能力进行监控的指令测试。一种所述的实施方式在对安全来说特别关键的应用中是可能的。
Claims (12)
1.用于对在具有多个执行单元(2)的系统上运行的控制系统的功能能力进行监控的方法,
其中,在比较-运行模式(VM)中在所述系统的多个执行单元(2)上冗余地执行相同的监控任务,并且其中,将在执行监控任务时由这些执行单元(2)发出的信号彼此进行比较,以识别故障,其中,所述系统在执行所述监控任务之后切换为执行-运行模式(PM),在该执行-运行模式(PM)中所述执行单元(2)执行不同的任务,其中,所述在执行-运行模式(PM)中执行的任务实施控制。
2.按权利要求1所述的方法,
其中,所述监控任务由对由发动机产生的力矩进行监控的力矩监控任务构成。
3.按权利要求1所述的方法,
其中,所述控制系统由发动机控制系统构成。
4.按权利要求1所述的方法,
其中,所述监控任务同步地在所述执行单元(2)上执行。
5.按权利要求1所述的方法,
其中,所述监控任务异步地在所述执行单元(2)上执行。
6.按权利要求1所述的方法,
其中,周期性地执行所述监控任务。
7.按权利要求1所述的方法,
其中,如果由执行单元(2)在执行监控任务时发出的信号彼此有偏差,则在执行所述监控任务时识别出故障。
8.按权利要求7所述的方法,
其中,在执行所述监控任务时识别出故障之后切断由所述控制系统(4)控制的单元(5)。
9.具有多个执行单元的控制系统(4),
其中,在比较-运行模式(VM)中在多个执行单元(2)上冗余地执行相同的监控任务并且将在执行监控任务时由所述执行单元(2)发出的信号彼此进行比较以识别故障,其中,所述系统在执行所述监控任务之后切换为执行-运行模式(PM),在该执行-运行模式(PM)中所述执行单元(2)执行不同的任务,其中,所述在执行-运行模式(PM)中执行的任务实施控制。
10.按权利要求9所述的控制系统,
其中,所述监控任务是对由发动机产生的力矩进行监控的力矩监控任务。
11.按权利要求9所述的控制系统,
其中,所述控制系统(4)是发动机控制系统。
12.按权利要求9所述的控制系统,
其中,所述执行单元(2)由CPU、协处理器、数字式信号处理器DSP、浮点计算单元FPU构成或者由算术逻辑单元ALU构成。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102006048169.0 | 2006-10-10 | ||
| DE102006048169A DE102006048169A1 (de) | 2006-10-10 | 2006-10-10 | Verfahren zur Überwachung einer Funktionsfähigkeit einer Steuerung |
| PCT/EP2007/059904 WO2008043650A1 (de) | 2006-10-10 | 2007-09-19 | Verfahren und vorrichtung zur überwachung einer funktionsfähigkeit einer motorsteuerung eines verbrennungsmotors |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101523038A CN101523038A (zh) | 2009-09-02 |
| CN101523038B true CN101523038B (zh) | 2012-11-07 |
Family
ID=38921796
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800377608A Active CN101523038B (zh) | 2006-10-10 | 2007-09-19 | 用于对内燃机的发动机控制系统的功能能力进行监控的方法和装置 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8296043B2 (zh) |
| EP (1) | EP2079917B1 (zh) |
| JP (1) | JP2009541636A (zh) |
| KR (1) | KR101326316B1 (zh) |
| CN (1) | CN101523038B (zh) |
| DE (1) | DE102006048169A1 (zh) |
| RU (1) | RU2453903C2 (zh) |
| WO (1) | WO2008043650A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7941698B1 (en) * | 2008-04-30 | 2011-05-10 | Hewlett-Packard Development Company, L.P. | Selective availability in processor systems |
| DE102008046512B4 (de) * | 2008-09-10 | 2017-01-26 | Continental Automotive Gmbh | Verfahren für eine elektronische Motorsteuerung zur Ansteuerung von Aktoren von Einspritzventilen mit einer Fehlererkennung und Motorsteuerung |
| DK2476223T3 (da) * | 2009-09-08 | 2021-05-31 | Abbott Diabetes Care Inc | Fremgangsmåder og fremstillede produkter til hosting af en sikkerhedskritisk applikation på en ukontrolleret databehandlingsindretning |
| JP5843786B2 (ja) * | 2009-12-18 | 2016-01-13 | コンティ テミック マイクロエレクトロニック ゲゼルシャフト ミットベシュレンクテル ハフツングConti Temic microelectronic GmbH | 制御装置にある監視計算機 |
| JP5341957B2 (ja) | 2011-07-20 | 2013-11-13 | トヨタ自動車株式会社 | 内燃機関の制御装置 |
| JP5644949B2 (ja) | 2011-09-12 | 2014-12-24 | トヨタ自動車株式会社 | 内燃機関の制御装置 |
| WO2013051108A1 (ja) | 2011-10-04 | 2013-04-11 | トヨタ自動車株式会社 | 内燃機関の制御装置 |
| JP5614395B2 (ja) * | 2011-10-26 | 2014-10-29 | トヨタ自動車株式会社 | 内燃機関の制御装置 |
| US20130173137A1 (en) * | 2011-12-29 | 2013-07-04 | General Electric Company | System, apparatus, and method for protecting vehicle engines |
| US9058419B2 (en) * | 2012-03-14 | 2015-06-16 | GM Global Technology Operations LLC | System and method for verifying the integrity of a safety-critical vehicle control system |
| DE102012207215A1 (de) * | 2012-04-30 | 2013-10-31 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges |
| DE102013202253A1 (de) * | 2013-02-12 | 2014-08-14 | Paravan Gmbh | Schaltung zur Steuerung eines Beschleunigungs-, Brems- und Lenksystems eines Fahrzeugs |
| DE102014213206B4 (de) | 2014-07-08 | 2022-03-17 | Vitesco Technologies GmbH | Steueranordnung für sicherheitsrelevante Aktoren |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0711435B2 (ja) * | 1985-07-23 | 1995-02-08 | トヨタ自動車株式会社 | 内燃機関のセンサ異常判定方法 |
| RU2015542C1 (ru) * | 1991-06-24 | 1994-06-30 | Институт проблем управления РАН | Устройство для контроля и реконфигурации дублированной вычислительной системы |
| JPH08270488A (ja) * | 1995-02-02 | 1996-10-15 | Nippondenso Co Ltd | エンジン制御装置 |
| DE19537075B4 (de) | 1995-10-05 | 2005-10-13 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Meßwerterfassung bei einer elektronischen Leistungssteuerung eines Fahrzeugs |
| KR100206887B1 (ko) * | 1995-12-31 | 1999-07-01 | 구본준 | 프로그램 오동작 방지를 위한 씨피유 |
| EP1239354B1 (de) * | 1997-12-06 | 2005-03-30 | Elan Schaltelemente GmbH & Co. KG | Verfahren zur Überwachung einer Bremseinrichtung, insbesondere eines Handhabungsgerätes, sowie Überwachungs- und Steuergerät |
| US6678640B2 (en) * | 1998-06-10 | 2004-01-13 | Matsushita Electric Industrial Co., Ltd. | Method and apparatus for parameter estimation, parameter estimation control and learning control |
| DE19841151A1 (de) * | 1998-09-09 | 2000-03-16 | Bosch Gmbh Robert | Verfahren und Vorrichtung zum Betreiben und zur Überwachung einer Brennkraftmaschine |
| DE19900740A1 (de) * | 1999-01-12 | 2000-07-13 | Bosch Gmbh Robert | Verfahren und Vorrichtung zum Betreiben einer Brennkraftmaschine |
| DE19928477A1 (de) | 1999-06-22 | 2000-12-28 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung einer Antriebseinheit eines Fahrzeugs |
| US6615366B1 (en) * | 1999-12-21 | 2003-09-02 | Intel Corporation | Microprocessor with dual execution core operable in high reliability mode |
| US6305347B1 (en) * | 2000-03-06 | 2001-10-23 | Ford Global Technologies, Inc. | Monitor for lean capable engine |
| JP4121318B2 (ja) * | 2002-06-26 | 2008-07-23 | 三菱電機株式会社 | 車両用のエンジン制御装置 |
| JP4100108B2 (ja) * | 2002-09-12 | 2008-06-11 | 株式会社デンソー | 制御システム |
| US6705286B1 (en) * | 2002-09-20 | 2004-03-16 | Ford Global Technologies, Llc | Method and system for minimizing torque intervention of an electronic throttle controlled engine |
| DE10258426B4 (de) * | 2002-12-13 | 2008-08-21 | Siemens Ag | Verfahren und Vorrichtung zum Überwachen einer Steuereinrichtung einer Brennkraftmaschine |
| DE10349581A1 (de) * | 2003-10-24 | 2005-05-25 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Umschaltung zwischen wenigstens zwei Betriebsmodi einer Prozessoreinheit |
| JP2006042446A (ja) * | 2004-07-23 | 2006-02-09 | Yamaha Motor Co Ltd | モータ制御システムの異常監視装置 |
| CN101048730A (zh) | 2004-10-25 | 2007-10-03 | 罗伯特·博世有限公司 | 在具有至少两个执行单元的计算机系统中进行转换的方法和设备 |
| DE102005037223A1 (de) | 2004-10-25 | 2007-02-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Umschaltung bei einem Rechnersystem mit wenigstens zwei Ausführungseinheiten |
| US20090119540A1 (en) | 2004-10-25 | 2009-05-07 | Reinhard Weiberle | Device and method for performing switchover operations in a computer system having at least two execution units |
| DE102005037222A1 (de) | 2004-10-25 | 2007-02-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Auswertung eines Signals eines Rechnersystems mit wenigstens zwei Ausführungseinheiten |
| ATE407401T1 (de) | 2004-10-25 | 2008-09-15 | Bosch Gmbh Robert | Verfahren und vorrichtung zur erzeugung eines modussignals bei einem rechnersystem mit mehreren komponenten |
| DE102005037213A1 (de) | 2004-10-25 | 2007-02-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Umschaltung zwischen Betriebsmodi eines Multiprozessorsystems durch wenigstens ein externes Signal |
| CN101048755A (zh) | 2004-10-25 | 2007-10-03 | 罗伯特·博世有限公司 | 在具有至少两个处理单元的计算机系统中进行模式转换和信号比较的方法和设备 |
| DE502005005286D1 (de) | 2004-10-25 | 2008-10-16 | Bosch Gmbh Robert | Vorrichtung und verfahren zur modusumschaltung bei einem rechnersystem mit wenigstens zwei ausführungseinheiten |
| EP1807764A2 (de) | 2004-10-25 | 2007-07-18 | Robert Bosch Gmbh | Vorrichtung und verfahren zur modusumschaltung bei einem rechnersystem mit wenigstens zwei ausführungseinheiten |
| KR101017444B1 (ko) | 2004-10-25 | 2011-02-25 | 로베르트 보쉬 게엠베하 | 적어도 2개의 처리 유닛들을 갖는 컴퓨터 시스템에서 모드전환 및 신호 비교를 위한 방법 및 장치 |
| CN100520731C (zh) | 2004-10-25 | 2009-07-29 | 罗伯特·博世有限公司 | 在具有至少两个处理单元的计算机系统中进行模式转换和信号比较的方法和设备 |
| JP2008518306A (ja) | 2004-10-25 | 2008-05-29 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | 少なくとも2つの処理ユニットを有する計算機システムにおける切り替えおよび信号比較の方法および装置 |
| JP2008518300A (ja) | 2004-10-25 | 2008-05-29 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | 少なくとも2つの実行ユニットを備えるコンピュータシステムにおけるプログラムコードの処理分割方法および装置 |
| DE102005037242A1 (de) | 2004-10-25 | 2007-02-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Umschaltung und zum Signalvergleich bei einem Rechnersystem mit wenigstens zwei Verarbeitungseinheiten |
| WO2006045781A2 (de) | 2004-10-25 | 2006-05-04 | Robert Bosch Gmbh | Verfahren und vorrichtung zur umschaltung bei einem rechnersystem mit wenigstens zwei ausführungseinheiten |
| JP2006211734A (ja) | 2005-01-25 | 2006-08-10 | Denso Corp | トルク検出装置 |
| JP4294012B2 (ja) * | 2005-07-28 | 2009-07-08 | 三菱電機株式会社 | 電子スロットル制御装置 |
-
2006
- 2006-10-10 DE DE102006048169A patent/DE102006048169A1/de not_active Withdrawn
-
2007
- 2007-09-19 US US12/308,184 patent/US8296043B2/en not_active Expired - Fee Related
- 2007-09-19 JP JP2009515899A patent/JP2009541636A/ja active Pending
- 2007-09-19 WO PCT/EP2007/059904 patent/WO2008043650A1/de active Application Filing
- 2007-09-19 RU RU2009117704/07A patent/RU2453903C2/ru not_active IP Right Cessation
- 2007-09-19 CN CN2007800377608A patent/CN101523038B/zh active Active
- 2007-09-19 EP EP07820348A patent/EP2079917B1/de active Active
- 2007-09-19 KR KR1020097007279A patent/KR101326316B1/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| EP2079917A1 (de) | 2009-07-22 |
| WO2008043650A1 (de) | 2008-04-17 |
| RU2009117704A (ru) | 2010-11-20 |
| EP2079917B1 (de) | 2012-11-21 |
| US8296043B2 (en) | 2012-10-23 |
| KR20090077773A (ko) | 2009-07-15 |
| RU2453903C2 (ru) | 2012-06-20 |
| CN101523038A (zh) | 2009-09-02 |
| US20100004841A1 (en) | 2010-01-07 |
| DE102006048169A1 (de) | 2008-04-17 |
| KR101326316B1 (ko) | 2013-11-11 |
| JP2009541636A (ja) | 2009-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101523038B (zh) | 用于对内燃机的发动机控制系统的功能能力进行监控的方法和装置 | |
| CN103262045B (zh) | 具有容错架构的微处理器系统 | |
| US20070277023A1 (en) | Method For Switching Over Between At Least Two Operating Modes Of A Processor Unit, As Well Corresponding Processor Unit | |
| CN102640119B (zh) | 用于运行计算单元的方法 | |
| US8108716B2 (en) | Method and device for monitoring functions of a computer system | |
| US8316261B2 (en) | Method for running a computer program on a computer system | |
| CN1993679B (zh) | 执行计算机程序的方法、操作系统和计算设备 | |
| CN112015599B (zh) | 错误恢复的方法和装置 | |
| US20140351658A1 (en) | Redundant computing architecture | |
| US20180180672A1 (en) | Semiconductor device and diagnostic test method | |
| RU2597472C2 (ru) | Способ и устройство для мониторинга устройства, оснащенного микропроцессором | |
| US20080133975A1 (en) | Method for Running a Computer Program on a Computer System | |
| CN100538644C (zh) | 执行计算机程序的方法、计算设备 | |
| CN108146250B (zh) | 一种基于多核cpu的汽车扭矩安全控制方法 | |
| CN115935631A (zh) | 用于车机设备的测试系统和方法、存储介质 | |
| JP2008518302A (ja) | 外部で発生される少なくとも1つの信号によりマルチプロセッサシステムの動作モードを切替える方法及び装置 | |
| JP5680514B2 (ja) | 自己診断機能を備えたコンピュータ、ソフトウェア作成方法、およびソフトウェア作成装置 | |
| JP5295251B2 (ja) | 給電電圧監視されるマイクロコントローラを有する車両制御ユニット、および関連の方法 | |
| CN100561424C (zh) | 利用至少一个外部信号实现多处理器系统的工作模式之间转换的方法和装置 | |
| CN100511165C (zh) | 执行计算机程序的方法、操作系统以及计算设备 | |
| CN116089151A (zh) | 车辆智能驾驶系统的失效处理方法、装置、车辆及介质 | |
| JP4664367B2 (ja) | 機能モジュールの管理システムを動作させる方法 | |
| Großmann et al. | Efficient application of multi-core processors as substitute of the E-Gas (Etc) monitoring concept | |
| US20240045854A1 (en) | Method for checking a processing of payload data | |
| US20240028440A1 (en) | Method for Recording a Number of Events in an Encoded Tracer Variable in a Security-Oriented Computer Program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |