DE102004026594B4 - Kraftfahrzeug mit redundantem Steuergerät - Google Patents

Kraftfahrzeug mit redundantem Steuergerät Download PDF

Info

Publication number
DE102004026594B4
DE102004026594B4 DE102004026594A DE102004026594A DE102004026594B4 DE 102004026594 B4 DE102004026594 B4 DE 102004026594B4 DE 102004026594 A DE102004026594 A DE 102004026594A DE 102004026594 A DE102004026594 A DE 102004026594A DE 102004026594 B4 DE102004026594 B4 DE 102004026594B4
Authority
DE
Germany
Prior art keywords
malfunction
section
redundant
vehicle
motor vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102004026594A
Other languages
English (en)
Other versions
DE102004026594A1 (de
Inventor
Akihiro Toyota Yanaka
Masayoshi Toyota Hoshino
Hirotada Toyota Otake
Tomokiyo Toyota Suzuki
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Publication of DE102004026594A1 publication Critical patent/DE102004026594A1/de
Application granted granted Critical
Publication of DE102004026594B4 publication Critical patent/DE102004026594B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/001Mechanical components or aspects of steer-by-wire systems, not otherwise provided for in this maingroup
    • B62D5/003Backup systems, e.g. for manual steering
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/04Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
    • B62D5/0457Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
    • B62D5/0481Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
    • B62D5/0484Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures for reaction to failures, e.g. limp home

Landscapes

  • Engineering & Computer Science (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Human Computer Interaction (AREA)
  • Steering Control In Accordance With Driving Conditions (AREA)
  • Valves And Accessory Devices For Braking Systems (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

Kraftfahrzeug mit einer vor-ausgewählten Funktion, das wenigstens eine Steuereinheit (8) umfasst, die ein Objekt (20, 22, 24, 26) steuert und eine Mehrzahl von redundanten Elementen (12, 14, 16, 18, 20, 22) umfasst, die gegenseitig redundant sind, wobei das Kraftfahrzeug ferner umfasst:
– wenigstens einen Fehlfunktionserfassungsabschnitt (16, 18), der das Auftreten einer vorausgewählten Fehlfunktion in einem der redundanten Elemente erfasst;
– wenigstens einen Zeitmessabschnitt (16, 18), der eine Zeit misst, die seit dem Erfassen des Auftretens der Fehlfunktion durch den Fehlfunktionserfassungsabschnitt in einem Zustand, in dem ein anderes der redundanten Elemente betrieben wird, verstrichen ist;
– wenigstens einen Fehlfunktionsbehebungs-Erfassungsabschnitt (16, 18), der eine Behebung der Fehlfunktion erfasst; und
– wenigstens einen Funktionseinschränkungsabschnitt (58, 60, 62, 64, 66), der die Funktion des Fahrzeugs wenigstens teilweise einschränkt, wenn die mit Hilfe des Zeitmessabschnitts gemessene Zeit eine vor-eingestellte Zeit überschreitet, bevor der Fehlfunktionsbehebungs-Erfassungsabschnitt die Behebung der Fehlfunktion erfasst.

Description

  • Die vorliegende Erfindung betrifft die Verbesserung der Zuverlässigkeit bzw. die Verringerung der Ausfallrate bzw. Fehlfunktionsrate eines Kraftfahrzeugs, das ein redundantes Steuergerät mit einer Mehrzahl von redundanten Elementen aufweist.
  • Ein Kraftfahrzeug besteht aus einer großen Anzahl von Komponenten wie Einzelteilen, Baugruppen etc. Daher kann die Zuverlässigkeit eines Kraftfahrzeugs als Ganzes nicht auf ein ausreichend hohes Maß erhöht werden, d.h. die Ausfallrate des Fahrzeugs kann nicht auf ein ausreichend niedriges Maß verringert werden, solange die Zuverlässigkeit jeder der Komponenten nicht auf ein sehr hohes Niveau erhöht werden kann, d.h. solange die Ausfallrate jeder der Komponenten nicht auf ein sehr niedriges Niveau herabgesetzt werden kann. Der Verbesserung der Zuverlässigkeit von Komponenten sind jedoch Grenzen gesetzt, und es gibt einige Fälle, in denen die Herstellungskosten der verbesserten Komponenten signifikant erhöht sind, so dass diese Komponenten praktisch nicht verwendbar sind, obwohl die Erhöhung der Zuverlässigkeit der Komponenten technisch möglich ist. Daher hat man in der Vergangenheit wichtige Bauteile eines Kraftfahrzeugs redundant gemacht, d.h. verdoppelt, verdreifacht, etc., so dass selbst dann, wenn eine der redundanten Komponenten ausfällt, die einwandfreie Funktion des Kraftfahrzeugs als Ganzes gewährleistet ist. Zwischenzeitlich hat sich eine Tendenz herausgebildet, verschiedene wichtige Funktionen eines Kraftfahrzeugs elektronisch zu steuern bzw. zu regeln (im Folgenden werden beide Begriffe durch „steuern" subsumiert, wobei es für den Fachmann klar ist, ob im Einzelfall eine Regelung oder eine Steuerung vorliegt). Beispielsweise wird in einem im Handel erhältlichen Kraftfahrzeug ein elektronisch gesteuertes Bremssytem verwendet, und die Verwendung eines elektronisch gesteuerten Lenksystems liegt auf dem Tisch. Im allgemeinen sind jedoch elektronische Bauteile empfindlicher als mechanische. Demzufolge sind Fehlfunktionsraten und/oder Ausfallraten elektronischer Bauteile höher als jene von mechanischen Bauteilen. Daher besteht eine größere Notwendigkeit, elektronische Bauteile redundant zu machen.
  • Es ist jedoch nicht leicht, einen Sollwert oder einen höheren Zuverlässigkeitsgrad für ein Kraftfahrzeug als Ganzes zu erreichen, und verschiedene Gegenmaßnahmen sind vorgeschlagen worden. Die Patentschrift 1 ( JP-9-151780 ) zum Beispiel offenbart zwei elektronische Steuereinheiten, die jeweilige Objekte in einem Kraftfahrzeug steuern, und jedes von ihnen umfasst eine primäre CPU (Zentralverarbeitungseinheit) und eine sekundäre CPU, die ihre jeweiligen Operationen gegenseitig überwachen. Arbeiten beide CPUs normal, so sendet eine der Steuereinheiten der anderen Steuereinheit ein diesem Sachverhalt entsprechendes Signal zu. D.h. jede der zwei elektronischen Steuereinheiten überwacht die Operationen der jeweils anderen Steuereinheit. Die Patentschrift 2 ( JP-6-15333 ) offenbart eine Mehrzahl von Elektromotoren, die parallel zueinander mit einer Batterie verbunden sind. Wenn die Spannung der Batterie nicht dem Normalwert entspricht, wird zuerst die Versorgung eines der Elektromotoren, der am wenigsten die laufenden Funktionen eines Fahrzeugs beeinflusst, mit elektrischer Energie von der Batterie und zuletzt die von einem Servolenkungsmotor abgetrennt. Die Patentschrift 3 ( JP-5-125971 ) offenbart eine elektrisch betätigte Hinterradlenkvorrichtung. Wenn ein Lenkeinschlag bzw. Lenkwinkel von Hinterrädern eines Fahrzeugs aufgrund einer Fehlfunktion bzw. Störung der Lenkvorrichtung abnormal festgelegt bzw. eingestellt ist, wird das Maß einer Öffnung einer Drossel begrenzt, um die Sicherheit zu gewährleisten. Genauer, das Maß der Öffnung der Drossel wird stark eingeschränkt, wenn der abnormal festgelegte Lenkwinkel der Hinterräder so groß ist, dass die Fahrfunktionen des Fahrzeugs erheblich beeinträchtigt werden. Und in einem Fall, in dem der abnormal festgelegte Drehwinkel nicht so groß ist, dass er die Fahrfunktion beeinträchtigt, wird die Öffnung der Drossel weniger stark eingeschränkt.
  • Die Druckschrift DE 198 32 950 A1 betrifft ein Verfahren zur Behandlung von Fehlern in einem elektronischen Bremssystem, wobei nur wenige definierte Systemzustände zugelassen sind. Ein Übergang von einem Systemszustand in den nächsten Zustand kann nur durch Eintreten ganz bestimmter definierter Ereignisse erfolgen. Teilsysteme wie zum Beispiel das Bussystem und die Energieversorgung sind redundant aufgebaut. Es ist die Nachbildung eines konvenzionellen Bremspedals mit redundant ausgeführter Sensorik zur Erfassung des Fahrer-Bremswunsches erwähnt. Weiterhin ist erläutert, dass fehlertolerant bedeutet, dass, wenn ein Einfachfehler auftritt, in einem redundanten System der fehlerhafte Zweig durch eine Mehrheits-Entscheidungs-Logik erkannt wird, sodass der weiterhin funktionsfähige Zweig die Systemfähigkeit aufrechterhält, wodurch der erkannte Einfachfehler toleriert werden kann. Somit sind als redundante Elemente die Sensorsysteme des Pedalmoduls oder die Zweige des einzelnen Moduls beschrieben.
  • Die Druckschrift DE 43 02 925 A1 betrifft ein Verfahren und eine Vorrichtung zur Fehlermeldung bei Fahrzeugen, wobei bei Auftreten eines Fehlers eine Begrenzung der Geschwindigkeit des Fahrzeugs vorgenommen wird. Das Ausmaß der Geschwindigkeitsbegrenzung wird dabei abhängig von der Schwere des Fehlers und der seit dem Auftreten des Fehlers abgelaufenen Zeitdauer gewählt. Eine Redundanz eines Sys tems oder von Elementen des Systems ist jedoch nicht erwähnt.
  • Die Druckschrift WO 2004/037 614 A1 betrifft ein Verfahren zur Übermittlung eines sicherheitskritischen Betriebszustandes eines sicherheitskritischen Systems eines Kraftfahrzeugs an den Fahrzeugführer, wobei Maßnahmen vorgesehen sind, die den Fahrkomfort des Fahrers verringern und dessen Aufmerksamkeit auf den sicherheitskritischen Betriebszustand lenken. Eine redundante Auslegung von Elementen ist jedoch nicht erwähnt.
  • Die Druckschrift DE 197 35 017 A1 betrifft eine Vorrichtung zur Diagnose und Behebung von sicherheitsrelevanten Kraftfahrzeugzuständen, wobei über eine akustische Ausgabeeinheit funktionale Zustände und systemimmanente Gegenmaßnahmen für den Kraftfahrzeugführer mitgeteilt werden. Auch hier ist eine redundante Auslegung von Elementen nicht erwähnt.
  • Es ist daher ein Ziel der vorliegenden Erfindung, wenigstens eines der oben genannten Probleme zu lösen. Es ist ein weiteres Ziel der vorliegenden Erfindung, ein Kraftfahrzeug bereitzustellen, das als Ganzes ein hohes Maß an Zuverlässigkeit bietet, obwohl es aus einer Mehrzahl von Komponenten aufgebaut sein kann, deren jeweiliger Zuverlässigkeitsgrad nicht so hoch ist. Diese Ziele werden mit den Merkmalen des unabhängigen Anspruchs 1 gelöst. Die abhängigen Ansprüche sind auf bevorzugte Ausführungsformen der Erfindung gerichtet. Es ist jedoch klar, dass die vorliegende Erfindung nicht auf die technischen Merkmale oder Kombinationen davon begrenzt ist, die nachfolgend nur beispielhaft und illustrativ beschrieben sind.
  • Erfindungsgemäß wird bereitgestellt: Ein Kraftfahrzeug mit einer vor-ausgewählten Funktion, das wenigstens eine Steuereinheit umfasst, die ein Objekt steuert und eine Mehrzahl von redundanten Elementen umfasst, die gegenseitig redundant sind, wobei das Kraftfahrzeug ferner umfasst: wenigstens einen Fehlfunktionserfassungsabschnitt, der das Auftreten einer vor-ausgewählten Fehlfunktion in einem der redundanten Elemente erfasst; wenigstens einen Zeitmessabschnitt, der eine Zeit misst, die seit dem Erfassen des Auftretens der Fehlfunktion durch den Fehlfunktionserfassungsabschnitt in einem Zustand, in dem ein anderes der redundanten Elemente betrieben wird, verstrichen ist; wenigstens einen Fehlfunktionsbehebungs-Erfassungsabschnitt der eine Behebung der Fehlfunktion erfasst; und wenigstens einen Funktionseinschränkungsabschnitt, der die Funktion des Fahrzeugs wenigstens teilweise einschränkt, wenn die mit Hilfe des Zeitmessabschnitts gemessene Zeit eine voreingestellte Zeit überschreitet, bevor der Fehlfunktionsbehebungs-Erfassungsabschnitt die Behebung der Fehlfunktion erfasst.
  • Wie oben ausgeführt, ist es vielfach schwieriger, die Zuverlässigkeit elektronischer Steuergeräte zu verbessern als jene mechanischer Steuergeräte. Daher wird die vorliegende Erfindung vorzugsweise auf eine Kraftfahrzeug angewendet, das ein elektronisches Steuergerät mit einer Mehrzahl redundanter Elemente umfasst. Jedoch ist die vorliegende Erfindung auch auf ein Kraftfahrzeug anwendbar, das ein mechanisches Steuergerät mit einer Mehrzahl redundanter Elemente umfasst. Die „vor-ausgewählte Fehlfunktion" kann eine Fehlfunktion sein, die zum Beispiel auf der Grundlage vorausgewählt wird, in welchem von N-ter Ordnung (z.B. zweifach oder dreifach) redundanten Elementen (N ist eine natürliche Zahl nicht kleiner als zwei) die Fehlfunktion auftritt, in welchem Abschnitt eines redundanten Elements die Fehlfunktion auftritt und wie maßgeblich bzw. erheblich die Fehlfunktion ist.
  • Falls die vorausgewählte Fehlfunktion in einem der redundanten Elemente des Steuergeräts auftritt, kann bis zu einem gewissen Grad verhindert werden, dass das Steuergerät als Ganzes einen Zustand annimmt, in dem das Steuergerät überhaupt nicht mehr funktionieren kann, wenn der Fahrer über diese Tatsache informiert und ihm empfohlen wird, die vor-ausgewählte Fehlfunktion (oder nicht nur die vorausgewählte Fehlfunktion, sondern auch eine oder mehrere weitere Fehlfunktionen) zu reparieren. Jedoch kann es sein, dass der Fahrer die Fehlfunktion nicht repariert oder keine Werkstatt oder dergleichen mit der Reparatur der Fehlfunktion beauftragt. Wenn daher bei dem vorliegenden Kraftfahrzeug nicht wenigstens die vorausgewählte Fehlfunktion, die in einem der redundanten Elemente aufgetreten ist, behoben bzw. beseitigt wurde, bevor seit dem Auftreten der Fehlfunktion ein weiteres redundantes Element für eine längere Zeit als die vor-eingestellte Zeit betrieben bzw. betätigt wurde, schränkt der Fehlfunktionseinschränkungsabschnitt die vorausgewählte Funktion des Fahrzeugs teilweise oder vollständig ein. Somit kann das vorliegende Fahrzeug gewährleisten, dass der Fahrer die Fehlfunktion beseitigt, so dass es eine verbesserte Zuverlässigkeit aufweist. Da somit angenommen werden kann, dass die vor-ausgewählte Fehlfunktion sicher innerhalb der vor-eingestellten Zeit behoben bzw. repariert wird, kann die Zuverlässigkeit des Steuergerätes als Ganzes im Vergleich zu der eines Steuergerätes, für das dies nicht angenommen werden kann, erhöht werden, wie nachstehend ausführlich beschrieben ist, selbst wenn Zuverlässigkeiten der jeweiligen Komponenten, die zur Bereitstellung der zwei Steuergeräte verwendet werden, gleich hoch sind. Letztendlich ist die Zuverlässigkeit des Fahrzeugs erhöht. Angesichts der Notwendigkeit, zu gewährleisten, dass der Fahrer die Fehlfunktion beseitigen wird, ist es wünschenswert, dass die vor-ausgewählte Funktion des Fahrzeugs zu einer Fahrfunktion des Fahrzeugs in Beziehung steht, und es ist besonders wünschenswert, dass der Funktionseinschränkungsabschnitt ein Abschnitt ist, der dafür sorgt, dass das Fahrzeug nicht mehr fahrfähig ist. Wenn jedoch die vor-ausgewählte Fehlfunktion nicht innerhalb der vor-eingestellten Zeit repariert wird, wird die vorausgewählte Funktion vorzugsweise teilweise eingeschränkt, derart dass das Fahrzeug nur noch eine kurze Strecke fahren kann. Um dies zu erreichen, kann vorgesehen sein, dass das Fahrzeug schwierig, d.h. zum Beispiel nur mit einer niedrigen Geschwindigkeit, zu fahren ist. Eine Beziehung zwischen der vor-ausgewählten Funktion und dem Einschränkungsgrad bzw. dem Ausmaß des Einschränkens der Funktion hängt von der Beziehung zwischen der Notwendigkeit einer Reparatur der vorausgewählten Fehlfunktion und der durch die Einschränkung der Funktion verursachten Unannehmlichkeit oder Schwierigkeit ab.
  • Treten eine zusätzliche Fehlfunktion oder mehrere zusätzliche Fehlfunktionen in dem Fahrzeug auf, nachdem die vor-ausgewählte Fehlfunktion eingetreten ist und bevor die ausgewählte Fehlfunktion behoben ist, werden vorzugsweise alle diese Fehlfunktionen beseitigt. Dies ist jedoch nicht unbedingt erforderlich. Zum Beispiel ist es möglich, eine weitere Fehlfunktion nicht zusammen mit der vorausgewählten Fehlfunktion zu reparieren. In diesem Fall kann eine zusätzliche Zeitspanne für die zusätzliche Fehlfunktion voreingestellt werden, und eine weitere Zeitmessung kann beim Eintreten der zusätzlichen Fehlfunktion gestartet werden. Wenn die vorausgewählte Fehlfunktion und die zusätzliche Fehlfunktion nicht behoben wurden, bevor das normal arbeitende redundante Element seit dem Eintreten der zusätzlichen Fehlfunktion länger als die zusätzliche vor-eingestellte Zeit betrieben bzw. betätigt wurde, schränkt der Funktionseinschränkungsabschnitt die vorausgewählte Funktion des Fahrzeugs teilweise oder vollständig ein. In diesem Fall ist es vorteilhaft, wenigstens ent weder (a) einen Fehlfunktionsinformationsabschnitt zu verwenden, der den Fahrer über das Auftreten der zusätzlichen Fehlfunktion informiert, oder (b) einen Reparaturempfehlungsabschnitt zu verwenden, der dem Fahrer empfiehlt, die zusätzliche Fehlfunktion reparieren zu lassen.
  • Der Fehlfunktionserfassungsabschnitt kann (A) ein Abschnitt sein, der (a1) einen Diagnoseabschnitt umfasst, der diagnostiziert, ob das Steuergerät fehlerfrei arbeitet (der Diagnoseabschnitt kann als Selbstdiagnoseabschnitt des Steuergeräts oder als getrennte, von dem Steuergerät unabhängige Diagnosevorrichtung bereitgestellt sein), und (a2) einen Beurteilungsabschnitt umfasst, der auf der Grundlage der von dem Diagnoseabschnitt gemachten Diagnose beurteilt, ob die vor-ausgewählte Fehlfunktion aufgetreten ist, oder kann (B) ein Abschnitt sein, der nur einen Beurteilungsabschnitt umfasst, der auf der Grundlage einer von einer Fehlfunktionserfassungsvorrichtung gelieferten Information beurteilt, ob die vor-ausgewählte Fehlfunktion aufgetreten ist.
  • Der Fehlfunktionsbehebungs-Erfassungsabschnitt kann (A) ein Abschnitt sein, der auf der Grundlage einer von dem oben beschriebenen Diagnoseabschnitt gelieferten Information automatisch erfasst, ob die vor-ausgewählte Fehlfunktion behoben wurde, oder (B) eine Eingabevorrichtung sein, die von einer Person bedienbar ist, um die gleiche Information nach der Reparatur der vor-ausgewählten Fehlfunktion einzugeben.
  • Falls es erforderlich ist, dass der Fahrer ein Fahrzeughandbuch liest, in dem erklärt wird, dass die vorausgewählte Funktion eingeschränkt wird, sofern die vorausgewählte Fehlfunktion nicht behoben wird, bevor seit dem Auftreten der vorausgewählten Fehlfunktion die voreingestellte Zeit verstrichen ist, kann ein Fehlfunktionsinformationsabschnitt, der den Fahrer über das Auftreten der vor-ausgewählten Fehlfunktion informiert, als Mittel verwendet werden, um dem Fahrer zu empfehlen, die Fehlfunktion reparieren zu lassen. Somit kann man sich den Fehlfunktionsinformationsabschnitt als eine Art Reparaturempfehlungsabschnitt denken. Jedoch ist ein Reparaturaufforderungsabschnitt, der den Fahrer nachdrücklich dazu auffordert, die Fehlfunktion innerhalb der vor-eingestellten Zeit zu beheben, wirksamer.
  • Der kontinuierlich empfehlende Abschnitt gemäß Anspruch 3 kann dem Fahrer zuverlässig die Empfehlung zu erkennen geben, die Fehlfunktion zu reparieren, oder kann gewährleisten, dass der Fahrer die Reparaturempfehlung nicht vergisst. Falls die Reparaturempfehlung auf einer Anzeigevorrichtung angezeigt wird oder eine Lampe aufleuchtet, um die Reparaturempfehlung anzuzeigen, wird der Fahrer wirksam darauf aufmerksam gemacht, die Fehlfunktion zu beseitigen, ohne gestört oder abgelenkt zu werden.
  • Die Reparaturempfehlung gemäß Anspruch 5 mittels Tonsignal kann eine von einem Lautsprecher ausgegebene Nachricht oder ein von einem Summer erzeugter Alarm sein. Die Reparaturempfehlung mittels Lichtsignal kann das Einschalten oder Flackern einer Lampe sein. Der Alarm des Summers oder das Einschalten oder Flackern der Lampe wird vorzugsweise zusammen mit der Anzeige der Reparaturempfehlung auf der Anzeigevorrichtung verwendet. Darüber hinaus ist es vorteilhaft, die Reparatur der Fehlfunktion mehrmals zu empfehlen, bevor die vor-eingestellte Zeit verstrichen ist. Es ist wünschenswerter, dass die Zeitabstände, in denen die Reparatur der Fehlfunktion empfohlen wird, mit kürzer werdender Restzeit verringert werden. Allgemein wird die Reparaturempfehlung, die kontinuierlich und iterativ erfolgt, vom Fahrer eher wahrgenommen als die Reparaturempfehlung, die kontinuierlich und nicht iterativ erfolgt.
  • Da dem Fahrer gemäß Anspruch 6 die Information übermittelt wird, die angibt, wieviel Zeit noch zur Verfügung steht, kann der Fahrer die Fehlfunktion leicht zu einem im Hinblick auf den Benutzungsplan des Fahrzeugs geeigneten Zeitpunkt vornehmen. Es ist wünschenswert, dass die verbleibende oder restliche Zeit (Restzeit) dem Fahrer in Form eines auf einer Anzeigevorrichtung angezeigten Bildes oder in Form eines von einem Lautsprecher erzeugten Audiosignals übermittelt wird.
  • Das Ziel der vorliegenden Erfindung kann nicht erreicht werden, sofern nicht wenigstens die vorausgewählte Fehlfunktion innerhalb der vor-eingestellten Zeit behoben wird. Daher kann das Ziel der vorliegenden Erfindung nicht erreicht werden, wenn der Reparaturempfehlungsabschnitt nicht funktionsfähig ist, wenn eine Reparaturempfehlung benötigt wird. Daher verwendet das vorliegende Fahrzeug gemäß Anspruch 7 zusätzlich zu den redundanten Elementen des Steuergeräts eine Mehrzahl von redundanten Reparaturempfehlungsabschnitten, so dass gewährleistet ist, dass dem Fahrer die Reparaturempfehlung übermittelt wird.
  • Der Fahrtwiederaufnahme-Verhinderungsabschnitt gemäß Anspruch 10 verhindert nur die Wiederaufnahme der Fahrt des Fahrzeugs, das gestoppt wurde. Demnach wird verhindert, dass der Fahrer in eine schwierige Situation gerät, wie zum Beispiel in eine Situation, in der das fahrende Fahrzeug zwangsweise gestoppt wird. Insbesondere wird der Fahrer das Fahrzeug an einem geeigneten Ort stoppen, an dem die Verhinderung keine Probleme verursacht, falls der Fahrer gemäß dem nachstehend beschriebenen Modus (15) über die Tatsache informiert wurde, dass die Wiederaufnahme des Fahrens des Fahrzeugs verhindert werden wird.
  • Wenn gemäß Anspruch 12 der Fahrer die Fehlfunktion nicht repariert oder das Fahrzeug stoppt, bevor die Restzeit abgelaufen ist, muss das Fahrzeug zwangsweise gestoppt werden. Es ist jedoch wünschenswert, einen Zwangsstopp-Benachrichtigungsabschnitt gemäß Anspruch 13 zu verwenden, so dass der Fahrer das Fahrzeug an einen nahegelegenen Ort bewegen kann, an dem das Fahrzeug weitere Fahrzeug nicht behindert.
  • Die vor-eingestellte obere Grenze gemäß Anspruch 14 kann eine Grenze sein, die gewährleistet, dass der Fahrer das Fahrzeug zu einem Ort oder in die Nähe eines Ortes, an dem das Fahrzeug andere Fahrzeuge nicht behindert, bewegen und dort stoppen kann, und die niedriger als übliche Fahrgeschwindigkeiten ist. Diese Bedingung ist im Wesentlichen die gleiche wie die Bedingung, bei der vollständig verhindert wird, dass das Fahrzeug fährt, und ist von allen Unannehmlichkeiten bzw. Nachteilen befreit, die durch eine vollständige Verhinderung verursacht werden.
  • Angenommen der Redundanzgrad der redundanten Elemente des Steuergeräts gemäß Anspruch 15 ist von N-ter Ordnung (N ist eine natürliche Zahl nicht kleiner als zwei), so kann die erste vor-ausgewählte Fehlfunktion eine Fehlfunktion sein, bei der N-M redundante Elemente (N > M) nicht funktionsfähig sind, und die zweite vorausgewählte Fehlfunktion eine Fehlfunktion sein, bei der M-P redundante Elemente (M > P) nicht funktionsfähig sind. Zum Beispiel kann die erste vor-ausgewählte Fehlfunktion eine Fehlfunktion sein, bei der N-1 redundante Elemente nicht funktionsfähig sind, und in diesem Fall ist die zweite vorausgewählte Fehlfunktion eine Fehlfunktion, bei der das Steuergerät nicht mehr betrieben werden kann.
  • Gemäß diesem Aspeket gewährleistet die vor-eingestellte Zeit, dass die Wahrscheinlichkeit, dass die zweite vorausgewählte Fehlfunktion eintritt, kleiner als die Sollwahrscheinlichkeit ist. Somit kann das Fahrzeug eine angestrebte hohe Zuverlässigkeit aufweisen.
  • Da das vorliegende Fahrzeug gemäß Anspruch 16 zusätzlich zu den redundanten Elementen des Steuergerätes eine Mehrzahl von redundanten Funktionseinschränkungsabschnitten umfasst, kann die vor-ausgewählte Funktion des Fahrzeugs mit hoher Zuverlässigkeit eingeschränkt werden.
  • 1 ist eine schematische Ansicht eines elektronisch gesteuerten Lenksystems einschließlich dessen peripheren Elemente eines Kraftfahrzeugs gemäß einer Ausführungsform der vorliegenden Erfindung;
  • 2 ist ein Flussdiagramm, das einen Abschnitt eines Steuerungsprogramms darstellt, das in einem ROM (read only memory = Nurlesespeicher) eines Computers von jedem von einer Mehrzahl von Steuerungseinheiten des elektronisch gesteuerten Lenksystems gespeichert wird;
  • 3 ist ein Flussdiagramm, das einen weiteren Abschnitt des Steuerungsprogramms darstellt;
  • 4 ist ein Flussdiagramm, das noch einen weiteren Abschnitt des Steuerungsprogramms darstellt;
  • 5A und 5B sind Kennlinien zur Erläuterung der Vorteile der vorliegenden Erfindung; und
  • 6 ist eine schematische Darstellung eines redundanten Systems gemäß einer weiteren Ausführungsform der vorliegenden Erfindung.
  • Im Folgenden ist mit Bezug auf die beigefügten Zeichnungen eine Ausführungsform der vorliegenden Erfindung beschrieben. 1 zeigt schematisch ein elektronisch ge steuertes Lenksystem 8 einschließlich dessen peripheren Elementen eines Kraftfahrzeugs, auf das die vorliegende Erfindung angewendet wird. Das elektronisch gesteuerte Lenksystem 8 umfasst ein Lenkelement (z.B. ein Lenkrad) 10 als bedienbaren Abschnitt, der von einem Fahrer bedient werden kann, um seinen gewünschten Lenkwinkel einzugeben, einen ersten und einen zweiten Betätigungsbetrags-Sensor 12 bzw. 14, die jeweils einen Betätigungsbetrag (z.B. einen Drehwinkel) des Lenkelements 10 erfassen, einen ersten und einen zweiten Lenkaktor 20 bzw. 22 (nachfolgend als erster bzw. zweiter Lenk-ACT bezeichnet), die jeweils wenigstens einen Teil einer Kraft zum Einschlagen von zwei einzuschlagenden Rädern 24, 26 erzeugen, und eine erste und eine zweite elektronische Steuerungseinheit 28 bzw. 30 (nachfolgend als erste bzw. zweite Lenk-ECUs bezeichnet), die jeweils auf der Grundlage des von dem entsprechenden Sensor der Sensoren 12 und 14 erfassten Betätigungsbetrages den entsprechenden Lenk-ACT 20 bzw. 22 steuern, um die zwei einzuschlagenden Räder 24, 26 einzuschlagen. Somit wirken der erste Betätigungsbetrags-Sensor 12, die erste Lenk-ECU 16 und der erste Lenk-ACT 20 zusammen, um ein erstes Lenksystem (nachfolgend als erstes System bezeichnet) 28 bereitzustellen, und der zweite Betätigungsbetrags-Sensor 14, die zweite Lenk-ECU 18 und der zweite Lenk-ACT 22 wirken zusammen, um ein zweites Lenksystem (nachfolgend als zweites System bezeichnet) 30 bereitzustellen. Somit ist das elektronisch gesteuerte Lenksystem 8 ein doppeltredundantes System, d.h. ein System mit einer Redundanz zweiten Grades.
  • Ein erster und ein zweiter Summer 40 bzw. 42 und ein erstes und ein zweites Warnlicht 44 bzw. 46 sind jeweils mit der ersten und der zweiten Lenk-ECU 16 bzw. 18 verbunden. Da der erste Summer 40 sowohl mit der ersten Lenk-ECU 16 als auch mit der zweiten Lenk-ECU 18 verbunden ist, kann der erste Summer 40 von jeder Lenk-ECU 16, 18 betrieben werden. Dies gilt ebenso für den zweiten Summer 42, das er ste Warnlicht 44 und das zweite Warnlicht 46. Die erste und die zweite Lenk-ECU 16 bzw. 18 sind jeweils sowohl mit einem ersten Kommunikationsbus 50 als auch mit einem zweiten Kommunikationsbus 52 verbunden. Ebenso sind eine elektronische Motorsteuerungseinheit 58 (nachfolgend als Motor-ECU bezeichnet) 58, eine elektronische Bremssteuerungseinheit (nachfolgend als Brems-ECU bezeichnet) 60, eine elektronische Navigationssystem-Steuerungseinheit (nachfolgend als Navigations-ECU bezeichnet) 62, eine elektronische Steuerungseinheit für eine elektrisch betätigbare Feststellbremse (nachfolgend als EFB-ECU bezeichnet) 64 und eine elektronische Schaltsteuerungseinheit (nachfolgend als Schalt-ECU bezeichnet) 66 jeweils mit dem ersten und dem zweiten Kommunikationsbus 50, 52 verbunden.
  • Die erste und die zweite Lenk-ECU 16 bzw. 18 wirken zusammen, so dass jeweils doppelt-redundante Anordnungen von CPUs, Speichern sowie Eingabe- und Ausgabeschaltungen bereitgestellt werden, und jede der zwei Lenk-ECUs 16, 18 arbeitet nach einem vorbestimmten Steuerungsprogramm, um als Ergebnis einer Selbstdiagnose eine Fehlfunktion zu erfassen und beim Erfassen der Fehlfunktion die Tätigkeit des jeweiligen Lenk-ACTs der zwei Lenk-ACTs 20, 22 zu stoppen, die Kommunikation mit den Kommunikationsbussen 50, 52 zu unterbrechen und die Warnlichter 44, 46 und die Summer 40, 42 anzuweisen, ihre Tätigkeit zu starten und zu stoppen. Der erste Lenk-ACT 20 und der zweite Lenk-ACT 22 werden ausschließlich von der ersten Lenk-ECU 16 bzw. der zweiten Lenk-ECU 18 gesteuert, wohingegen jede der Warnlichter 44, 46 und jeder der Summer 40, 42 entsprechend einem Befehl von entweder der ersten oder der zweiten Lenk-ECU 16, 18 betätigt wird.
  • Sowohl die erste als auch die zweite Lenk-ECU 16 bzw. 18 überwachen eine Fehlfunktion von sowohl dem ersten System 28 als auch von dem zweiten System 30, und empfiehlt dem Fahrer iterativ nach Erfassen der Fehlfunktion in einem der beiden Systeme 28, 30, die Fehlfunktion reparieren zu lassen. Wenn eine Betätigungszeit des elektronisch gesteuerten Lenksystems 8 nach dem Erfassen der Fehlfunktion eine vorbestimmte Zeit überschreitet, ohne dass die Fehlfunktion behoben wurde, stoppen beide Lenk-ECUs 16, 18 zwangsweise das Fahren des Kraftfahrzeugs. Die erste und die zweite Lenk-ECU 16 bzw. 18 steuern die Navigations-ECU 62, die Warnlichter 44, 46 und die Summer 40, 42 und ändern eine Steuerungsregel in Abhängigkeit davon, welche der Lenk-ACTs 20, 22 gesteuert wird, um den Fahrer darüber zu informieren, die Fehlfunktion reparieren zu lassen. Ferner weisen beide ECUs 16, 18 die Motor-ECU 58, die Brems-ECU 60, die EFB-ECU 64 und die Schalt-ECU 66 an, das Fahrzeug unfahrbar zu machen. Die oben erwähnte vor-eingestellte Zeit ist so vor-eingestellt, dass gewährleistet ist, wie nachstehend ausführlich beschrieben ist, dass eine Wahrscheinlichkeit, dass nachdem ein System ausgefallen ist, das andere System innerhalb dieser Zeit ebenfalls ausfällt und somit das Lenksystem 8 funktionsunfähig ist, niedriger als eine Sollwahrscheinlichkeit wird.
  • Bei der vorliegenden Erfindung ist eine Fehlfunktion eines der doppelt-redundanten Systeme als eine erste vorausgewählte Fehlfunktion definiert. Eine Fehlfunktion des anderen Systems zusätzlich zu der ersten vor-ausgewählten Fehlfunktion ist als eine zweite vorausgewählte Fehlfunktion definiert. Und die Fahrfunktion des Kraftfahrzeugs ist als eine vor-ausgewählte Funktion des Kraftfahrzeugs definiert.
  • Wenn die Motor-ECU 58 von entweder der ersten oder der zweiten ECU 16 bzw. 18 die Anweisung empfängt, den Betrieb des Kraftfahrzeugs zu stoppen, wählt die Motor-ECU 58 einen Leerlaufmodus und steuert in dem so gewählten und festgelegten Leerlaufmodus einen (nicht gezeigten) Motor an. Zusätzlich setzt die Brems-ECU 60 automatisch eine als Betriebsbremse wirkende (nicht gezeigte) Hydraulikbremsvor richtung in einen Bremsmodus. Da viele jüngere Hydraulikbremsvorrichtungen mit der Funktion ausgestattet sind, automatisch in einem Bremsmodus zu arbeiten, können sie diese Funktion ausnutzen, um etwa eine Traktionskontrolle auszuführen, so dass ein übermäßiges Durchdrehen der Antriebsräder beim Beschleunigen vermieden wird, eine Fahrzeugstabilisierungssteuerung auszuführen, so dass die Fahrstabilität des Fahrzeugs gewährleistet ist, oder eine Hill-Hold-Steuerung auszuführen, so dass das Fahrzeug an einer Steigung automatisch abgebremst wird. Die EFB-ECU 64 versetzt eine (nicht gezeigte) elektrisch betätigbare Feststellbremse, die von einem (ebenfalls nicht gezeigten) Elektromotor betätigt wird, in einen Betriebsmodus, und die Schalt-ECU 66 wählt einen Parkbereich oder eine Parkposition und schaltet ein (nicht gezeigtes) Getriebe in die so gewählte und gesperrte Position. Bei der vorliegenden Ausführungsform wirken die oben beschriebenen Fahreinschränkungsabschnitte 58, 60, 64, 66 und jeweilige Abschnitte der ersten und der zweiten Lenk-ECU 16 bzw. 28, die jeweilige Befehle an diese Einschränkungsabschnitte senden, zusammen, um einen Fahrverhinderungsabschnitt als eine Art Fahrfunktionseinschränkungsabschnitt als eine Art vor-ausgewählter Funktionseinschränkungsabschnitt zu bilden.
  • Wenn einer der oben beschriebenen Fahreinschränkungsabschnitte 58, 60, 64, 66 verwendet wird, kann vollständig verhindert werden, dass das Kraftfahrzeug fährt, oder es kann eingeschränkt verhindert werden, dass das Kraftfahrzeug fährt. Es ist jedoch vorteilhaft, zwei oder mehrere solcher Fahreinschränkungsabschnitte zu verwenden. Wenn zwei oder mehrere Fahreinschränkungsabschnitte verwendet und betrieben bzw. betätigt werden, kann das Fahren des Kraftfahrzeugs zuverlässig unterdrückt oder eingeschränkt werden. Wenn einer der verwendeten Fahreinschränkungsabschnitte ausfällt, können die verbleibenden normal arbeitenden Einschränkungsabschnitte das Fahren des Fahrzeugs verhindern. In diesem Sinne kann gesagt werden, dass das vorliegende Kraftfahrzeug einen Fahreinschränkungsabschnitt mit einer Redundanz vierter Ordnung verwendet.
  • Der Speicher der ersten Lenk-ECU 16 speichert ein durch die in den 2, 3 und 4 gezeigten Flussdiagramme dargestelltes erstes Steuerungsprogramm, um die oben beschriebene Empfehlung auszugeben, die Fehlfunktion zu reparieren und das zwangsweise Stoppen des Kraftfahrzeugs auszuführen, und der Speicher der zweiten Lenk-ECU 18 speichert ein zweites Steuerungsprogramm, das gleich dem im Speicher der ersten Lenk-ECU 16 gespeicherten ersten Steuerungsprogramm ist, mit der Ausnahme, dass bei dem zweiten Steuerungsprogramm das erste System 28 und dessen Komponenten durch das zweite System 30 bzw. dessen Komponenten ersetzt sind. Nachfolgend ist unter Bezugnahme auf die 2 bis 4 die Funktion des Kraftfahrzeugs beschrieben, das das elektronisch gesteuerte Lenksystem 8 verwendet.
  • Das durch die Fussdiagramme der 2 bis 4 dargestellte Steuerungsprogramm werden iterativ ausgeführt, während ein Hauptschalter wie etwa ein Zündschalter des Kraftfahrzeugs EIN-geschaltet ist. Zuerst liest bei Schritt S1 die erste Lenk-ECU 16 einen Betätigungsbetrag des Lenkelements 10 ein, der von dem ersten Betätigungsbetrags-Sensor 12 erfasst wird. Der so eingelesene Betätigungsbetrag wird später verwendet, um den ersten Lenk-ACT 20 anzusteuern. Anschließend, bei Schritt S2, liest die ECU 16 von jedem der zwei Kommunikationsbusse 50, 52 einen den Fahrzeugzustand betreffenden Betrag ein. Bei der vorliegenden Ausführungsform liest die ECU 16 eine Fahrgeschwindigkeit des Fahrzeugs ein. Dann, bei Schritt S3, empfängt die erste Lenk-ECU 16 von dem zweiten System 30, d.h. der zweiten Lenk-ECU 18 davon, über den ersten Kommunikationsbus 50, eine Bestätigungsinformation, die bestätigt, dass das erste System 28 fehlerfrei arbeitet, und bei Schritt S4 empfängt die erste ECU 16 eine Bestätigungsinformation, die gleich der oben genannten Bestätigungsinformation ist, von dem zweiten Kommunikationsbus 52. D.h., die erste ECU 16 überträgt und empfängt zwei identische Sätze von Bestätigungsinformation über die zwei Kommunikationsbusse 50 bzw. 52. Dies trifft auch für andere Arten von Informationen zu, wie nachstehend beschrieben ist. Die Erzeugung der Bestätigungsinformation, die bestätigt, dass das erste System 28 fehlerfrei arbeitet, ist nachstehend in Verbindung mit der Erzeugung einer Bestätigungsinformation erläutert, die bestätigt, dass das zweite System 30 fehlerfrei arbeitet.
  • Bei Schritt S5 empfängt die erste ECU 16 von dem ersten Kommunikationsbus 50 eine Zustandsinformation, die einen Zustand des zweiten Systems 30 anzeigt, und bei Schritt S6 empfängt die erste ECU 16 von dem zweiten Kommunikationsbus 52 eine identische Information, die den Zustand des zweiten Systems 30 anzeigt. Diese zwei Sätze von Zustandsinformation zeigen an, ob das zweite System 30 fehlerfrei arbeitet, und werden erzeugt und übertragen von der zweiten Lenk-ECU 18. Die Erzeugung der Zustandsinformation, die den Zustand des zweiten Systems 30 anzeigt, ist nachstehend in Verbindung mit der Erzeugung eines Zustandsinformation, die einen Zustand des ersten Systems 28 anzeigt, ausführlich beschrieben. Bei Schritt S7 beurteilt die erste ECU 16, ob die ECU 16 von wenigstens einem der zwei Kommunikationsbusse 50, 52 die Bestätigungsinformation empfangen hat, die bestätigt, dass das erste System 28 fehlerfrei arbeitet. Diese Beurteilung wird durchgeführt, um zu überprüfen, ob die Kommunikation des ersten Systems 28 mit dem zweiten System 30 über die zwei Kommunikationsbusse 50, 52 fehlerfrei arbeitet. Eine bei diesem Schritt gemachte positive oder bejahende Beurteilung („JA") zeigt an, dass die Kommunikation fehlerfrei arbeitet.
  • Bei Schritt S8 beurteilt die erste ECU 16, ob der erste Betätigungsbetrags-Sensor 12 fehlerfrei arbeitet, und bei Schritt S9 beurteilt die erste ECU 16, ob der erste Steuerungs-ACT 20 fehlerfrei arbeitet. Wenn bei den Schritten S8 und S9 eine bejahende Beurteilung erfolgt, geht die Steuerung zu Schritt 10 über, in dem die erste ECU 16 eine Selbstdiagnose durchführt, um festzustellen, ob die erste ECU 16 selbst fehlerfrei arbeitet. Wenn in jedem der Schritte S7 bis S10 eine bejahende Beurteilung erfolgt, kann geschlussfolgert werden, dass das erste System 28 fehlerfrei arbeitet. Somit geht die Steuerung zu Schritt S11, in dem die erste ECU 16 eine Zustandsinformation erzeugt, die anzeigt, dass das erste System 28 fehlerfrei arbeitet, und diese an den ersten Kommunikationsbus 50 sendet, und geht dann zu Schritt S12, in dem die erste ECU 16 eine identische Zustandsinformation erzeugt und diese an den zweite Kommunikationsbus 52 sendet. Die oben beschriebenen Schritte S5, S6 sind die Schritte, in denen die erste Steuerungs-ECU 16 die zwei Sätze von Zustandsinformation empfängt, die von der zweiten Steuerungs-ECU 18 erzeugt werden und den zwei Sätzen von Zustandsinformation entsprechen, die von der ersten Steuerungs-ECU 16 erzeugt werden.
  • Nachfolgend, in Schritt S13, beurteilt die erste ECU 16, ob die zweit Sätze von Zustandsinformation, die beide ein Maß für den Zustand des zweiten Systems 30 sind und bei den Schritten S5, S6 von den zwei Kommunikationsbussen 50, 52 empfangen werden, jeweils ein Maß für den Normalzustand (d.h. ein Zustand einwandfreier Funktion) des zweiten Systems 30 sind. Wenn eine bejahende Beurteilung, JA, in Schritt S13 gewonnen wird, geht die Steuerung zu Schritt S14 über, in dem die erste ECU 16 zu dem ersten Kommunikationsbus 50 eine Bestätigungsinformation sendet, die bestätigt, dass das zweite System 30 fehlerfrei arbeitet, und fährt dann mit Schritt S15 fort, in dem die erste ECU 16 eine Bestätigungsinformation an den zweiten Kommunikationsbus 52 sendet, die bestätigt, dass das zweite System 30 fehlerfrei arbeitet. Die oben beschriebenen Schritte S3, S4 sind die Schritte, in denen die erste Steuerungs-ECU 16 die zwei Sätze von Bestätigungsinformation empfängt, die von der zweiten Steuerungs-ECU 18 erzeugt werden und den zwei Sätzen von Bestätigungsinformation entsprechen, die von der ersten Steuerungs-ECU 18 erzeugt werden. Dann, bei Schritt S16, führt die erste Steuerungs-ECU 16 eine gemeinsame Lenksteuerungsoperation aus. Genauer gesagt berechnet die erste ECU 16 auf der Grundlage des in Schritt S1 eingelesenen Betätigungsbetrags des Lenkelements 10 einen Solllenkbetrag oder -Winkel des ersten Lenk-ACTs 20, und steuert auf der Grundlage des berechneten Solllenkwinkels einen (nicht gezeigten) Motor des ersten Steuerungs-ACTs 26 normal an. Anschließend, in Schritt S27, liefert die erste ECU 16 Befehle zur Abschaltung der Warnlichter 44, 46, und in Schritt S18 liefert die erste ECU 16 Befehle zur Abschaltung der Summer 40, 42. Somit ist ein Durchlauf bzw. Zyklus gemäß dem Steuerungsprogramm beendet. Dies ist eine Operation des Fahrzeugs, wenn das erste und das zweite System 28 bzw. 30 normal arbeiten.
  • Wenn andererseits in den Schritten S7 bis S10 eine negative oder verneinende Beurteilung, NEIN, getroffen wird, beurteilt die erste ECU 16, ob eine vor-ausgewählte Fehlfunktion in dem ersten System 28 aufgetreten ist. Daher fährt die Steuerung mit Schritt S21 fort, um die Versorgung des Elektromotors des ersten Lenk-ACTs 26 mit elektrischem Antriebsstrom zu unterbrechen, und fährt dann mit Schritt S22 fort, in dem das Aussenden von elektrischen Signalen zu den zwei Kommunikationsbussen 50, 52 gestoppt wird. Zusätzlich gibt die erste ECU 16 bei Schritt S23 die Befehle aus, die Warnlichter 44, 46 abzuschalten, und bei Schritt 24 gibt die erste ECU 16 die Befehle aus, um die Summer 40, 42 zu stoppen. Somit ist ein Durchlauf gemäß dem Steuerungsprogamm beendet. Das heißt, wenn die erste Steuerungs-ECU 16 erfasst, dass die vor-ausgewählte Fehlfunktion in dem ersten System 28 aufgetreten ist, stoppt die erste ECU 16 die Steuerung des ersten Systems 28.
  • Ferner, wenn in Schritt S13 eine verneinende Beurteilung getroffen, NEIN, wird, d.h. wenn die erste ECU 16 er fasst, dass eine vorausgewählte Fehlfunktion in dem zweiten System 30 aufgetreten ist, geht die Steuerung zu Schritt S31 über, um „1" zu einer von einem Zeitgeber gezählten Zahl zu addieren. Dieser Zeitgeber wird rückgesetzt, wenn die Montage des Kraftfahrzeugs abgeschlossen ist und wenn die Reparatur des zweiten Systems 30 beendet ist. Die gezählte Zahl repräsentiert eine Zeitspanne oder Dauer, während der das Steuerungsprogramm sei der Erfassung der vor-ausgewählten Fehlfunktion des zweiten Systems 30 ausgeführt worden ist, d.h. eine Betriebszeit t des elektronisch gesteuerten Lenksystems 8 seit der Erfassung (im Folgenden einfach als „Fehlfunktionsnachfolgebetriebszeit t" bezeichnet). Somit ist die Fehlfunktionsnachfolgebetriebszeit t gleich dem Produkt aus der gezählten Zahl und einer Durchlauf- bzw. Zykluszeit, die zur einmaligen Ausführung des Steuerungsprogramms erforderlich ist. Da die gezählte Zahl in der ersten ECU 16 nicht gelöscht ist, sondern sogar noch gespeichert wird, nachdem der Hauptschalter des Fahrzeugs AUS-geschaltet wird, gibt die Fehlfunktionsnachfolgebetriebszeit t eine akkumulative Betriebszeit des Lenksystems 8 nach der Erfassung der Fehlfunktion an. Da das Steuerungsprogramm ferner iterativ ausgeführt wird, während der Hauptschalter des Fahrzeugs eingeschaltet ist, gibt die Fehlfunktionsnachfolgebetriebszeit t einen akkumultiven Betrieb bzw. eine akkumulative Anwendungszeit des Fahrzeugs an.
  • Auf Schritt S31 folgt Schritt S32, d.h. eine nachstehend beschriebene Kompensationssteuerung. Wenn bei dem vorliegenden Kraftfahrzeug eine große Lenkkraft benötigt wird, da die Fahrgeschwindigkeit des Fahrzeugs niedrig ist und demzufolge die zwischen den eingeschlagenen Rädern 24, 26 und der Straßenoberfläche erzeugten Reibungskräfte hoch sind, wirken der erste und der zweite Lenk-ACT 20 bzw. 22 zusammen, um die Räder 24, 26 einzuschlagen, und wenn nur eine kleine Lenkkraft erforderlich ist, weil die Fahrgeschwindigkeit des Fahrzeugs hoch ist und die zwischen den eingeschlagenen Rädern 24, 26 und der Straßenoberfläche erzeugten Reibungskräfte klein sind, schlägt von dem ersten und dem zweiten Lenk-ACT 20 bzw. 22 nur ein ausgewählter Lenk-ACT die Räder 24, 26 mit einer geeigneten Kraft ein. Im letzteren Fall können der erste und der zweite Lenk-ACT 20 bzw. 22 jeweils so gesteuert werden, dass die geschwenkten Räder 24, 26 mit der halben Kraft geschwenkt werden. Daher schwenkt naturgemäß der erste Lenk-ACT 20 in dem Zustand, in dem in dem zweiten System 30 eine Fehlfunktion auftritt, wenn die Fahrgeschwindigkeit des Fahrzeugs hoch ist, die geschwenkten Räder 24, 26. Wenn jedoch die Fahrgeschwindigkeit des Fahrzeugs niedrig ist, wird der erste Lenk-ACT 20 gesteuert, um die Räder 24, 26 mit einer größeren Kraft als einer gewöhnlichen oder üblichen Kraft zu schwenken. Dies ist die Kompensationssteuerung zur Kompensierung der verlorenen Lenkkraft des zweiten Systems 30, in dem eine Fehlfunktion aufgetreten ist.
  • Anschließend beurteilt die erste ECU 16 in Schritt S33, ob die Fehlfunktionsnachfolgebetriebszeit t kürzer als eine erste vor-eingestellte Betriebszeit X1 ist. Anfangs wird eine bejahende Beurteilung, JA, in Schritt S33 getroffen, und die Steuerung fährt mit Schritt S34 fort, um dem Fahrer zu empfehlen, das Fahrzeug reparieren zu lassen. Genauer gesagt schaltet die erste ECU 16 die Warnlichter 44, 46 an, betreibt oder startet die Summer 40, 42 und sendet einen Befehl an die Navigations-ECU 62, so dass die Navigations-ECU 62 eine Anzeigevorrichtung der Navigationsvorrichtung entsprechend dem Befehl steuert, um eine Nachricht anzuzeigen, wonach in dem zweiten System 30 eine Fehlfunktion vorliegt und repariert werden sollte, und eine voreingestellte Restzeit anzuzeigen, bevor das Fahren des Fahrzeugs zwangsweise eingeschränkt wird. Die Anzeigevorrichtung setzt die Anzeige des Nachricht und der Zeit, bis die Fehlfunktion repariert ist, fort.
  • Wenn der Fahrer entsprechend der angezeigten Empfehlung das zweite System 30 reparieren hat lassen, bevor die Fehlfunktionsnachfolgebetriebszeit t die erste vor-eingestellte Betriebszeit X1 überschritten hat, wird in Schritt S13 eine bejahende Beurteilung, JA, gemacht. Ferner wird die gezählte Zahl t rückgesetzt, wenn die Reparatur abgeschlossen ist, oder die Steuerung gemäß diesem Steuerungsprogramm wird initialisiert. Wenn hingegen der Fahrer das Fahrzeug nicht repariert, überschreitet schließlich die Fehlfunktionsnachfolgebetriebszeit t die erste vor-eingestellte Betriebszeit X1, so dass eine verneinende Beurteilung, NEIN, in Schritt S33 gemacht wird. Daher fährt die Steuerung mit Schritt S35 fort, um zu beurteilen, ob die Fehlfunktionsnachfolgebetriebszeit t kürzer als eine zweite voreingestellte Betriebszeit X2 ist, die länger als die erste vor-eingestellte Betriebszeit X1 ist. Zu Beginn wird eine bejahende Beurteilung, JA, in Schritt S35 gemacht, und die Steuerung fährt mit Schritt S36 fort, in dem die Warnlichter 44, 44 eingeschaltet werden, und betätigt die Summer 40, 42 während einer Zeitspanne, die gegenüber der in Schritt S34 verwendeten Zeitspanne verlängert ist. Zusätzlich zu oder anstelle der Verlängerung der Zeitspanne kann ein Maß an Helligkeit des von jeder der Lampen 44, 46 ausgesendeten Lichts und/oder ein Maß an Lautstärke des von jedem der Summer 40, 42 ausgesendeten Tonsignals erhöht werden. Somit ist der Fahrer darüber informiert, dass die Reparatur des Fahrzeugs nachdrücklicher empfohlen wird. Zusätzlich zeigt die Anzeigevorrichtung der Navigationsvorrichtung die Restzeit an, die gegenüber der voreingestellten Zeit verkürzt worden ist.
  • Wenn die Fehlfunktionsnachfolgebetriebszeit t die zweite vor-eingestellte Betriebszeit X2 überschreitet, bevor die Fehlfunktion repariert worden ist, wird in Schritt S35 eine verneinende Beurteilung, NEIN, gemacht. Schließlich fährt die Steuerung mit Schritt S37 fort, um zu beurteilen, ob die Fehlfunktionsnachfolgebetriebszeit t nicht kürzer als eine (n – 1)-te vor-eingestellte Betriebszeit Xn – 1 und kürzer als eine n-te vor-eingestellte Betriebszeit Xn ist. Wenn in Schritt S37 eine bejahende Beurteilung gemacht wird, arbeitet die erste ECU 16 in Schritt S38 derart (zum n-ten Mal), dass dem Fahrer nachdrücklicher empfohlen wird, die Fehlfunktion reparieren zu lassen. Dann, wenn die Fehlfunktionsnachfolgebetriebszeit t die n-te vor-eingestellte Betriebszeit Xn überschreitet, bevor die Fehlfunktion repariert worden ist, wird in Schritt S37 eine verneinende Beurteilung, NEIN, gemacht, und die Steuerung fährt mit Schritt S39 und den folgenden Schritten fort, in denen die erste ECU 16 dem Fahrer die letzte Empfehlung gibt, die Fehlfunktion zu beseitigen. In Schritt S39 beurteilt die erste ECU 16, ob die Fehlfunktionsnachfolgebetriebszeit t kürzer als eine letzte vor-eingestellte Betriebszeit Xend ist. Wenn in Schritt S39 eine bejahende Beurteilung getroffen wird, fährt die Steuerung mit Schritt S40 fort, in dem die Warnlichter 44, 46 und die Summer 40, 42 weiterhin betätigt bzw. betrieben wird. Darüber hinaus steuert die erste ECU 16 die Anzeigevorrichtung der Navigationsvorrichtung, um eine verringerte Restzeit und die Nachricht anzuzeigen, dass das Fahrzeug zwangsweise abgeschaltet wird, sofern das zweite System 30 nicht innerhalb der verbleibenden Zeit repariert wird.
  • Wenn jedoch das Kraftfahrzeug gefahren wird, ohne dass die Fehlfunktion repariert wird und die Fehlfunktionsnachfolgebetriebszeit t soweit ausgedehnt wird, dass sie nicht mehr kleiner als die letzte vor-eingestellte Betriebszeit Xend ist, wird in Schritt S39 eine bejahende Beurteilung, JA, getroffen, und die Steuerung fährt mit Schritt S41 fort, in dem die erste ECU 16 darauf wartet, dass die Fahrgeschwindigkeit v des Fahrzeugs soweit verringert wird, dass sie nicht mehr höher als eine vor-eingestellte Geschwindigkeit Vstp ist, welche eine sehr niedrige Geschwindigkeit ist. Wenn eine bejahende Beurteilung, JA, in Schritt S41 gemacht wird, kann die erste ECU 16 beurteilen, ob das Fahrzeug im Wesentlichen gestoppt ist, und die Steuerung fährt entsprechend mit Schritt S42 fort, in dem jeweilige Befehle zu den zwei Kommunikationsbussen 50, 52 gesendet werden, um das Fahrzeug zwangsweise zu stoppen. Gemäß jedem der beiden Befehle stoppt die Motor-ECU 58 den Motor und bewirkt, dass dieser nicht mehr gestartet werden kann, betätigt die Brems-ECU 60 die Hydraulikbremsvorrichtung, betätigt die EFB-ECU 64 die elektrische Feststellbremse und schaltet die Schalt-ECU 66 in die Parkposition und sperrt das Getriebe in dieser Position. Folglich kann das Fahrzeug nicht wieder gestartet werden, wenn es einmal gestoppt ist. Anschließend, in Schritt S43, schaltet die erste ECU 16 die Warnlichter 44, 46 aus und stoppt die Summer 40, 42. Darüber hinaus steuert die erste ECU 16 die Anzeigevorrichtung der Navigationsvorrichtung, um eine Nachricht anzuzeigen, wonach das Fahrzeug sich selbst fahrunfähig gemacht worden hat, da die Fehlfunktion des elektronischen Lenksystems 8 nicht innerhalb der vor-eingestellten Zeit repariert worden ist.
  • Darüber hinaus bewirkt die erste ECU 16, falls der Fahrer das Fahrzeug innerhalb einer vorbestimmten Zeitspanne, nachdem die Fehlfunktionsnachfolgebetriebszeit t soweit fortgeschritten ist, nicht stoppt, dass sie nicht mehr kürzer als die letzte vor-eingestellte Betriebszeit Xend ist, ein zwangsweises Stoppen des Fahrzeugs. Genauer gesagt, wenn in jedem der Schritte S39 bis S41 eine verneinende Beurteilung, NEIN, getroffen wird, fährt die Steuerung mit Schritt S44 fort, in dem die erste ECU 16 zu einer von einem Zähler gezählten Zahl „c" „1" hinzufügt, fährt anschließend mit Schritt S45 fort, in dem die erste ECU 16 Vorbereitungen zum zwangweisen Stoppen des Fahrzeugs trifft, und geht anschließend zu Schritt S46, um darauf zu warten, dass die gezählte Zahl „c" bis auf eine voreingestellte Zahl „C" erhöht ist. Bei Schritt S45 schaltet die erste ECU 16 die Warnlichter 44, 46 aus und stoppt die Summer 40, 42. Darüber hinaus gibt die erste ECU 16 Befehle an die Navigations-ECU 62 zur Steuerung der Anzeigevorrichtung der Navigationsvorrichtung, um die Nachricht anzuzeigen, dass nach einer sehr kurzen Verlängerungszeit (z.B. 5 min) das Fahrzeug zwangsweise gestoppt werden wird. Wenn die gezählte Zahl „c" bis auf die vor-eingestellte Zahl „C" zugenommen hat, wird in Schritt S46 eine bejahende Beurteilung, JA, getroffen, und die Steuerung fährt mit Schritt S47 fort, in dem die erste ECU 16 an die zwei Kommunikationsbusse 50, 52 jeweilige Befehle sendet, um das Fahrzeug zwangsweise zu stoppen. Entsprechend jedem der beiden Befehle arbeiten die Motor-ECU 58, die Brems-ECU 60, die EFB-ECU 64 und die Schalt-ECU 66 in gleicher Weise wie in Schritt S43, so dass das Fahrzeug zwangsweise gestoppt wird und bewirkt wird, dass das Fahrzeug nicht mehr selbständig fahrfähig ist.
  • Während das erste System 28 durch die erste Lenk-ECU 16 in der oben beschriebenen Weise gesteuert wird, wird gleichzeitig das zweite System 30 durch die zweite Lenk-ECU 18 in gleicher Weise gesteuert. Wenn entweder das erste oder das zweite System 28 bzw. 30 eine Fehlfunktion aufweist, bevor das jeweils andere System eine Fehlfunktion aufweist, empfiehlt die Lenk-ECU des jeweils anderen Systems dem Fahrer, die Fehlfunktion beseitigen zu lassen, derart, dass der Reparaturempfehlung mit sich verringernder Restzeit immer fordernder wird. Insbesondere macht die ECU ein Weiterfahren des Fahrzeugs, nachdem die letzte voreingestellte Betriebszeit Xend verstrichen ist, unmöglich, wenn der Fahrer das Fahrzeug innerhalb der sehr kurzen Verlängerungszeit stoppt, und die ECU stoppt das Fahrzeug zwangsweise, sofern der Fahrer das Fahrzeug über die Verlängerungszeit hinaus weiterhin fährt.
  • Wie aus der vorangehenden Beschreibung ersichtlich ist, ist die letzte vor-eingestellte Betriebszeit Xend ein Beispiel einer in den Ansprüchen genannten vor-eingestellten Zeit, und sie ist so bestimmt, dass gewährleistet ist, dass eine Wahrscheinlichkeit, dass nachdem eine erste vorausgewählte Fehlfunktion in entweder dem ersten oder dem zweiten System 28 bzw. 30 des doppelt-redundanten elektronischen Lenksystems 8 des Fahrzeugs auftritt, eine zweite vorausgewählte Fehlfunktion innerhalb einer voreingestellten Zeit in dem anderen, fehlerfrei arbeitenden System auftritt (d.h. eine Wahrscheinlichkeit, dass das doppelt-redundante System vollständig funktionslos wird) kleiner ist als eine Sollwahrscheinlichkeit.
  • Nachfolgend ist zuerst eine Art und Weise erläutert, in der eine Fehlfunktionsrate eines doppelt-redundanten Systems, das zwei redundante Elemente A, B umfasst, berechnet wird. Symbole und Terme, die bei der nachfolgenden Erläuterung verwendet werden, sind wie folgt definiert:
    • λA:
    Fehlfunktionsrate des Elements A (d.h. eine Rate einer zufällig auftretenden Fehlfunktion des Elements A, die nicht von der Zeit abhängt und durch einen konstanten Wert dargestellt ist)
    λB:
    Fehlfunktionsrate des Elements B (d.h. eine Rate einer zufällig auftretenden Fehlfunktion des Elements B, die nicht von der Zeit abhängt und durch einen konstanten Wert dargestellt ist)
    r(t):
    Zuverlässigkeit eines Elements (d.h. eine Wahrscheinlichkeit, dass das Element unter gegebenen Umständen und zu einem beliebigen Zeitpunkt t zufriedenstellend seine ihm zugeteilte Funktion ausübt)
    f(t):
    Unzuverlässigkeit eines Elements (d.h. eine Wahrscheinlichkeit, dass das Element zu einem beliebigen Zeitpunkt t eine Fehlfunktion aufweisen wird)
    rA(t):
    Zuverlässigkeit des Elements A
    rB(t):
    Zuverlässigkeit des Elements B
    Λ(t):
    Fehlfunktionsrate des doppelt-redundanten Systems
    Rt:
    Verlässlichkeit des doppelt-redundanten Systems
  • Eine Beziehung zwischen der Zuverlässigkeit r(t) und der Unzuverlässigkeit f(t) ist durch den folgenden Ausdruck gegeben: f(t) = 1 – r(t)
  • Eine Fehlfunktionsrate λ(t), d.h. eine Wahrscheinlichkeit, dass in einem Element in der nächsten Zeiteinheit eine Fehlfunktion auftreten wird, ist durch folgenden Ausdruck gegeben: λ(t) = (–dr(t)/dt)/r(t) wobei –dr(t)/dt die Wahrscheinlichkeit ist, dass das Element während einer Einheitszeit eine Fehlfunktion erleiden wird.
  • Eine Wahrscheinlichkeit PBA, dass in dem Element B zu einem beliebigen Zeitpunkt t eine Fehlfunktion auftreten wird und in dem Element A in der nächsten Zeiteinheit eine Fehlfunktion auftreten wird, ist durch die nachfolgende Gleichung (1) gegeben: PBA = (1 – rB(t))·λA·rA(t) (1)
  • Ebenso ist die Wahrscheinlichkeit PAB, dass in dem Element A zu einem beliebigen Zeitpunkt eine Fehlfunktion auftreten wird und in dem Element B in der nächsten Zeitein heit eine Fehlfunktion auftreten wird, durch den nachfolgenden Ausdruck (2) gegeben: PAB = (1 – rA(t))·λB·rB(t) (2)
  • Eine Wahrscheinlichkeit, dass das doppelt-redundante System bis zu dem beliebigen Zeitpunkt t störungsfrei sein wird (d.h. die Zuverlässigkeit R(t) des Systems) ist durch den nachfolgenden Ausdruck (3) gegeben: R(t) = 1 – (1 – rB(t))·(1 – rA(t)) (3)
  • Demzufolge wird die Fehlfunktionsrate λ(t) des doppeltredundanten Systems von der oben genannten Definition der Fehlfunktionsrate λ(t) abgeleitet und ist durch nachfolgenden Ausdruck (4) gegeben: λ(t) = (PBA + PAB)/R(t) = [(1 – rB(t))·λA·rA(t) + (1 – rA(t))·λB·rB(t)]/[1 – (1 – rB(t))·(1 – rA(t)] (4)
  • Ferner erhält man die Zuverlässigkeit r(t), wenn die Bedingung λ(t) = (–dr(t)/dt)/r(t) = λ (konstant) erfüllt ist, wie folgt:
    Figure 00290001
  • Da die Bedingung λ << 1 erfüllt ist, erhält man hieraus den nachfolgenden Ausdruck:
    Figure 00290002
  • Daher gewinnt man den nachfolgenden Ausdruck: Λ(t) ≌ [λA·λB·t·[(1 – λA·t) + (1 – λB·t)]]/(1 – λA·λB·t2)
  • Und da die Bedingungen λA·t << 1 und λB·t << 1 erfüllt sind, erhält man den folgenden Ausdruck: Λ(t) ≊ 2·λA·λB·t
  • Aus der obigen Gleichung folgt, dass in einem redundanten System, das eine Mehrzahl redundanter Elemente wie etwa elektrische Komponenten umfasst, deren zeitabhängige Fehlfunktionsraten λ(t) konstant sind und die parallel zueinander angeordnet sind, eine Wahrscheinlichkeit (Λ), dass das redundante System seine Funktion verlieren wird, monoton mit der verstrichenen Zeit zunimmt.
  • Im Gegensatz dazu wird bei der vorliegenden Ausführungsform, in der das doppelt-redundante System zwei gleiche Systeme 28, 30 umfasst (d.h. die zeitabhängige Fehlfunktionsrate λ ist in beiden Fällen die gleiche), selbst wenn eines der zwei Systeme 28, 30 eine Fehlfunktion erleidet, die Fehlfunktion des einen Systems innerhalb einer Zeitspanne X repariert, nachdem sie erfasst wurde. Daher bedeutet eine Wahrscheinlichkeit, dass in den zwei Systemen 28, 30 zu einem beliebigen Zeitpunkt t eine Fehlfunktion auftritt, eine Wahrscheinlichkeit, dass in den zwei Systemen 28, 30 während der vergangenen Zeitspanne, die gleich der Zeitspanne X vor der gegenwärtigen Zeit t ist, eine Fehlfunktion aufgetreten ist, da eine Fehlfunktion, die innerhalb der Zeitspanne X aufgetreten ist, repariert und entfernt hätte werden sollen.
  • Und der Term –dR(t)/dt bedeutet eine Verringerungsrate (d.h. einen negativen Gradienten) der Zuverlässigkeit des redundanten Systems zu dem beliebigen Zeitpunkt t. Daher gewinnt man den Term –dR(t)/dt als Produkt aus der Zuverlässigkeit R(t-X) des redundanten Systems zu der Zeit X vor dem gegenwärtigen Zeitpunkt t und einer Wahrscheinlichkeit [2·(1 –r(x))·λ·r(x)], dass die zwei Systeme 28, 30 des doppelt-redundanten Systems, das fehlerfrei gearbeitet haben, während der vergangenen Zeitspanne, die gleich der Zeit X ist, eine Fehlfunktion erleiden. Daher gewinnt man die folgende Beziehung:
    Figure 00310001
    wobei [2·(1 – r(X))·λ·r(X)] ein Wert der Fehlfunktionsrate Λ(t) ist, die man erhält, wenn in dem obigen Ausdruck (4) die Bedingungen λA = λB = λ und t = X erfüllt sind.
  • Wenn darin die Substitution
    Figure 00310002
    vorgenommen wird, so erhält man den folgenden Ausdruck: dR(t)/dt = –A·R(t-X)
  • Daraus erhält man folgende Beziehung: Λ(t) = –(dR(t)/dt)/R(t) = A·R(t-X)/R(t)
  • Wenn hierin λ·X wesentlich kleiner als „1" ist (d.h. λ·X << 1), dann ist der Term R(t-X)/R(t) annähernd gleich „1" (d.h. R(t-X)/R(t) ≌ 1), und man erhält den folgenden Ausdruck:
    Figure 00310003
  • Da hier λ wesentlich kleiner als „1" ist (d.h. λ << 1), ist
    Figure 00310004
    ungefähr gleich 1 – λ·X (d.h.
    Figure 00310005
    ≌ 1 – λ·X), und man erhält die folgende Beziehung: Λ ≌ 2·λ·(1 – λ·X)·λ·X = 2·λ2·X·(1 – λ·X) ≌ 2·λ2·X
  • Da bei der vorliegenden Ausführungsform die jeweiligen Fehlerraten der zwei gleichen Systeme 28, 30 des doppeltredundanten System λ sind und die Sollwahrscheinlichkeit, d.h. die Wahrscheinlichkeit, dass das doppelt-redundante System seine Funktionsfähigkeit verliert, Λ ist, ist die zuvor angegebene letzte vor-eingestellte Betriebszeit Xend wie folgt definiert: Xend = Λ/(2·λ2)
  • Was mit dem obigen Ausdruck gemeint ist, ist grafisch in den 5A und 5B gezeigt. 5A zeigt einen Fall, in dem eine Fehlfunktionsrate eines doppelt-redundanten Systems als Ganzes durch Verringern eines Fehlfunktionsrate jedes der zwei redundanten Elemente des doppelt-redundanten Systems verringert wird, und 5B zeigt einen Fall, in dem die Fehlfunktionsrate des doppelt-redundanten Systems als Ganzes verringert wird, indem gewährleistet wird, dass wenn in einem der zwei redundanten Elemente eine Fehlfunktion auftritt, die Fehlfunktion des einen Elements innerhalb der letzten vor-eingestellten Betriebszeit Xend repariert wird. Aus 5B ist ersichtlich, dass der Vorteil, den das redundante System aufweist, um so größer ist, je kürzer die letzte Betriebszeit Xend ist.
  • Ein Beispiel des Vorteils des doppelt-redundanten Systems ist folgender: Angenommen, dass eine Fehlfunktionsrate λ pro Stunde eines der zwei redundanten Elemente 1,0 × 10–6 beträgt, die Anzahl der Einsatzstunden pro Jahr des Fahrzeugs 1000 ist, und die Laufzeit des Kraftfahrzeugs 15 Jahre beträgt, (d.h. die Anzahl der Betriebsstunden beträgt 15000), so ist eine Fehlfunktionsrate Λ des doppeltredundanten Systems, d.h. eine Wahrscheinlichkeit, dass das doppelt-redundante System seine Funktionsfähigkeit einbüßt, durch folgenden Ausdruck gegeben: Λ ≌ 2·λ2·Y = 10–6×2 × 1,5 × 104 = 3 × 10–8
  • Wenn hingegen bei der dargestellten Ausführungsform die Fehlfunktion eines der redundanten Elemente innerhalb von 100 Stunden nach dem Auftreten der Fehlfunktion repariert wird, wird die Fehlfunktionsrate Λ des doppelt-redundanten Systems durch folgenden Ausdruck dargestellt: Λ ≌ 2 × 10–6×2 × 102 = 2 × 10–10
  • Aus dem gegenseitigen Vergleich der zwei Fehlfunktionsraten ist ersichtlich, dass das doppelt-redundante System gemäß der vorliegenden Erfindung eine äußerst niedrige Fehlfunktionsrate aufweisen kann.
  • Die obige Beschreibung betrifft ein System mit einer Redundanz zweiter Ordnung. Jedoch kann eine Fehlfunktionsrate eines mehrfach (d.h. N-ter Ordnung) redundanten Systems zu einem beliebigen Zeitpunkt, d.h. eine Wahrscheinlichkeit FN(t), dass alle der N redundanten Elemente des Systems mit einer Redundanz N-ter Ordnung eine Fehlfunktion erleiden und somit das redundante System als Ganzes seine Funktionsfähigkeit verlieren, auf ähnliche Weise bestimmt und durch nachfolgenden Ausdruck angegeben werden: ΛN(t) = N·λ1·λ2·λ3· ... ·λN·t(N-1)
  • Ferner, in dem Fall, in dem in einer vorbestimmten Anzahl der redundanten Elemente von den N redundanten Elementen des Systems mit einer Redundanz N-ter Ordnung eine Fehlfunktion auftritt, werden alle Fehlfunktionen des redundanten Systems (nicht nur die jeweiligen Fehlfunktionen der vorbestimmten Anzahl gleicher Elemente, sondern auch eine Fehlfunktion oder jeweilige Fehlfunktionen in einem oder in mehreren zusätzlichen redundanten Elementen nach dem Auftreten der Fehlfunktionen der vorbestimmten Anzahl von Elementen) innerhalb der Zeitspanne X nach diesen Fehlfunktionen repariert, die Fehlfunktionsrate des redundanten Systems, d.h. die Wahrscheinlichkeit, dass das redundante System als Ganzes seine Funktionsfähigkeit verliert, ist durch folgenden Ausdruck dargestellt: ΛN(t) = N·λ1·λ2·λ3· ... ·λN·X(N-1)
  • Diese Fehlfunktionsrate hängt nicht von t ab, so dass sie auf den letzten Zeitpunkt der Betriebsdauer des Fahrzeugs anwendbar ist.
  • Angenommen, die Betriebsdauer des Fahrzeugs betrüge Y Stunden, so würde die Unzuverlässigkeit FN(Y) des redundanten Systems zum letzten Zeitpunkt der Betriebsdauer durch den folgenden Ausdruck dargestellt werden: FN(Y) ≌ N·λ1·λ2·λ3· ... ·λN·X(N-1)·Y
  • Wenn daher die Zeit X ausreichend kürzer als die Zeit Y gemacht wird, kann die Zuverlässigkeit R(t) des redundanten Systems erhöht werden, obwohl die Ordnung oder der Grad N der Redundanz des redundanten Systems nicht erhöht sein muss.
  • Die vorliegende Erfindung ist nicht nur auf das oben beschriebene einfache redundante System mit einer Redundanz N-ter Ordnung, sondern auch auf eine komplexes redundantes System wie es in 6 gezeigt ist anwendbar, in dem eine Mehrzahl Systeme mit einer Redundanz N-ter Ordnung wie etwa eine Kombination aus Systemen mit einer Redundanz P-ter Ordnung, Q-ter Ordnung und R-ter Ordnung in Reihe miteinander verbunden sind. Die Anzahl N ist eine beliebige natürliche Zahl nicht kleiner als zwei. Abhängig von der Anordnung des Systems mit einer Redundanz N-ter Ordnung können die vor-ausgewählte Fehlfunktion und die vor-eingestellte Zeit gemäß dem oben erwähnten Modus (1) und die zweiten vor-ausgewählten Fehlfunktionen und die vor-eingestellte Zeit gemäß dem Modus (19) in geeigneter Weise ausgewählt und eingestellt werden. Bei der in 6 gezeigten Ausführungsform ist jedes der redundanten Elemente eines ersten redundanten Systems, das strömungsaufwärts eines zweiten redundanten Systems angeordnet ist, mit jedem der redundan ten Elemente des zweiten redundanten Systems verbunden, unabhängig von den weiteren redundanten Elementen desselben. Zum Beispiel ist jedes der redundanten Elemente A1, A2, ..., Ap eines ersten redundanten Systems, das auf einer strömungsaufwärts gelegenen Seite des zweiten redundanten Systems angeordnet ist, mit jedem der redundanten Elemente B1, B2, ..., BQ des zweiten redundanten Systems verbunden, unabhängig von den weiteren redundanten Elementen desselben, so dass ein Ausgang von jedem der redundanten Elemente des auf der strömungsaufwärts gelegenen Seite angeordneten redundanten Systems parallel zu jedem der redundanten Elemente des auf der strömungsabwärts gelegenen Seite angeordneten Systems eingegeben wird.
  • Obwohl die vorliegende Erfindung ausführlich mit Bezug auf ihre Ausführungsformen beschrieben worden ist, ist es klar, dass die vorliegende Erfindung nicht auf die Einzelheiten dieser Ausführungsformen begrenzt ist und in verschiedenen Veränderungen und Modifikationen realisiert werden kann, wie sie oben ausgeführt und für den Fachmann naheliegend sind.

Claims (22)

  1. Kraftfahrzeug mit einer vor-ausgewählten Funktion, das wenigstens eine Steuereinheit (8) umfasst, die ein Objekt (20, 22, 24, 26) steuert und eine Mehrzahl von redundanten Elementen (12, 14, 16, 18, 20, 22) umfasst, die gegenseitig redundant sind, wobei das Kraftfahrzeug ferner umfasst: – wenigstens einen Fehlfunktionserfassungsabschnitt (16, 18), der das Auftreten einer vorausgewählten Fehlfunktion in einem der redundanten Elemente erfasst; – wenigstens einen Zeitmessabschnitt (16, 18), der eine Zeit misst, die seit dem Erfassen des Auftretens der Fehlfunktion durch den Fehlfunktionserfassungsabschnitt in einem Zustand, in dem ein anderes der redundanten Elemente betrieben wird, verstrichen ist; – wenigstens einen Fehlfunktionsbehebungs-Erfassungsabschnitt (16, 18), der eine Behebung der Fehlfunktion erfasst; und – wenigstens einen Funktionseinschränkungsabschnitt (58, 60, 62, 64, 66), der die Funktion des Fahrzeugs wenigstens teilweise einschränkt, wenn die mit Hilfe des Zeitmessabschnitts gemessene Zeit eine vor-eingestellte Zeit überschreitet, bevor der Fehlfunktionsbehebungs-Erfassungsabschnitt die Behebung der Fehlfunktion erfasst.
  2. Kraftfahrzeug nach Anspruch 1, dadurch gekennzeichnet, dass es wenigstens einen Reparaturempfehlungsabschnitt (40, 42, 44, 46, 48) umfasst, der einem Fahrer des Fahrzeugs empfiehlt, das Fahrzeug reparieren zu lassen, um in einer Zeitspanne zwischen dem Auftreten der Fehlfunktion in dem redundanten Element und der Einschränkung der Funktion des Fahrzeugs mit Hilfe des Funktionseinschränkungsabschnitts wenigstens die Fehlfunktion beheben zu lassen.
  3. Kraftfahrzeug nach Anspruch 2, dadurch gekennzeichnet, dass der wenigstens eine Reparaturempfehlungsabschnitt wenigstens einen kontinuierlich empfehlenden Abschnitt (62) umfasst, der dem Fahrer kontinuierlich empfiehlt, das Fahrzeug reparieren zu lassen, um in der Zeitspanne wenigstens die Fehlfunktion zu beseitigen.
  4. Kraftfahrzeug nach Anspruch 3, dadurch gekennzeichnet, dass der wenigstens eine kontinuierlich empfehlende Abschnitt wenigstens eine Anzeigevorrichtung (62) umfasst, die kontinuierlich eine Empfehlung anzeigt, wonach der Fahrer das Fahrzeug reparieren lassen sollte, um wenigstens die Fehlfunktion zu beheben.
  5. Kraftfahrzeug nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass der wenigstens eine Reparaturempfehlungsabschnitt (40, 42, 44, 46) dem Fahrer mittels wenigstens entweder einem Tonsignal oder einem Lichtsignal wenigstens zu einem Zeitpunkt, der zwischen dem Auftreten der Fehlfunktion und der voreingestellten Zeit liegt, empfiehlt, das Fahrzeug reparieren zu lassen.
  6. Kraftfahrzeug nach einem der Ansprüche 2 bis 5, dadurch gekennzeichnet, dass der wenigstens eine Reparaturempfehlungsabschnitt einen Restzeitinformationsabschnitt (62) umfasst, der dem Fahrer eine Information liefert, die angibt, wie lange das weitere redundante Element noch arbeitet, bevor die Funktion des Fahrzeugs durch den Funktionseinschränkungsabschnitt eingeschränkt wird.
  7. Kraftfahrzeug nach einem der Ansprüche 2 bis 6, dadurch gekennzeichnet, dass es eine Mehrzahl der Reparaturempfehlungsabschnitte umfasst, die eine Mehrzahl von redundanten Reparaturempfehlungsabschnitten (40, 42, 44, 36) umfassen, die zueinander redundant sind.
  8. Kraftfahrzeug nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass der wenigstens eine Funktionseinschränkungsabschnitt wenigstens einen Fahrfunktionseinschränkungsabschnitt (58, 60, 62, 64, 66) umfasst, der eine Fahrfunktion des Fahrzeugs einschränkt.
  9. Kraftfahrzeug nach Anspruch 8, dadurch gekennzeichnet, dass der wenigstens eine Fahrfunktionseinschränkungsabschnitt wenigstens entweder (a) einen Antriebseinschränkungsabschnitt (58, 66) umfasst, der eine Antriebsoperation des Fahrzeugs einschränkt, d.h. zum Beispiel den Betrieb einer Antriebsquelle des Fahrzeugs stoppt, ein Starten eines Betriebs der Antriebsquelle verhindert oder ein Schalten eines Schalthebels aus einer Park (P)-Position heraus verhindert, oder (b) einen Bremsabschnitt (60, 64) umfasst, der das Fahrzeug abbremst, d.h. zum Beispiel automatisch eine Feststellbremse betätigt, verhindert, dass die Feststellbremse gelöst wird oder automatisch einen Bremskraftverstärker betätigt.
  10. Kraftfahrzeug nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass der Fahrfunktionseinschränkungs abschnitt einen Fahrtwiederaufnahme-Verhinderungsabschnitt (58, 60, 64, 66) umfasst, der verhindert, dass das Fahren des Fahrzeugs wieder aufgenommen wird, wenn das Fahrzeug gestoppt wird, nachdem eine Restzeit verstrichen ist, die für den Betrieb des weiteren redundanten Elements verbleibt, bevor die Funktion des Fahrzeugs durch den Funktionseinschränkungsabschnitt eingeschränkt wurde, und die kürzer als eine Referenzzeit ist.
  11. Kraftfahrzeug nach Anspruch 10, dadurch gekennzeichnet, dass der Fahrfunktionseinschränkungsabschnitt ferner einen Fahrtwiederaufnahmeverhinderungs-Benachrichtungsabschnitt (62) umfasst, der den Fahrer über die Tatsache in Kenntnis setzt, dass die Wiederaufnahme des Fahrens des Fahrzeugs nach dem nächsten Stopp des Fahrzeugs verhindert wird.
  12. Kraftfahrzeug nach einem der Ansprüche 8 bis 11, dadurch gekennzeichnet, dass der Fahrfunktionseinschränkungsabschnitt ein Zwangsstoppabschnitt (58, 60, 64, 66) umfasst, der das Fahrzeug zwangsweise stoppt, wenn das Fahrzeug nicht gestoppt worden ist, nachdem eine Restzeit verstrichen ist, während der das weitere redundante Element noch betrieben werden kann, bevor die Funktion des Fahrzeugs durch den Funktionseinschränkungsabschnitt eingeschränkt wird, und die kürzer als eine Referenzzeit ist und vor dem Ende der Restzeit liegt.
  13. Kraftfahrzeug nach Anspruch 12, dadurch gekennzeichnet, dass der Fahrfunktionseinschränkungsabschnitt ferner einen Zwangsstoppbenachrichtigungsabschnitt (62) umfasst, der den Fahrer vor einem zwangsweisen Stoppen des Fahrzeugs durch den Zwangsstoppabschnitt von der Tatsache in Kenntnis setzt, dass das Fahr zeug zwangsweise von dem Zwangsstoppabschnitt gestoppt wird.
  14. Kraftfahrzeug nach einem der Ansprüche 8 bis 13, dadurch gekennzeichnet, dass der Fahrfunktionseinschränkungsabschnitt einen Fahrgeschwindigkeitsbegrenzungsabschnitt (58, 60, 64, 66) umfasst, der eine Fahrgeschwindigkeit des Fahrzeugs soweit verringert, dass sie niedriger als eine vor-eingestellte obere Grenze ist.
  15. Kraftfahrzeug nach einem der Ansprüche 1 bis 14, wobei die vor-eingestellte Zeit gewährleistet, dass die Wahrscheinlichkeit, dass in dem fehlerfrei arbeitenden anderen redundanten Element innerhalb der vor-eingestellten Zeit eine zweite vor-ausgewählte Fehlfunktion auftritt, kleiner als eine Sollwahrscheinlichkeit ist.
  16. Kraftfahrzeug nach Anspruch 15, dadurch gekennzeichnet, dass es eine Mehrzahl der Funktionseinschränkungsabschnitt umfasst, die eine Mehrzahl von redundanten Funktionseinschränkungsabschnitten (58, 60, 64, 66) umfasst, die zueinander redundant sind.
  17. Kraftfahrzeug nach einem der Ansprüche 1 bis 16, dadurch gekennzeichnet, dass das Objekt wenigstens eine Betätigungsvorrichtung (20, 22, 24, 26) umfasst, die wenigstens eine Funktion umfasst, die von der vor-ausgewählten Funktion verschieden ist.
  18. Kraftfahrzeug nach Anspruch 17, dadurch gekennzeichnet, dass die vorausgewählte Funktion des Fahrzeugs eine Fahrfunktion des Fahrzeugs umfasst und dass die wenigstens eine Betätigungsvorrichtung wenigstens einen LenkAktor (20, 22) umfasst, der wenigstens ei nen Teil einer Kraft erzeugt, um einen Winkel von wenigstens einem geschwenkten Rad (24, 26) des Fahrzeugs zu ändern.
  19. Kraftfahrzeug nach einem der Ansprüche 1 bis 18, dadurch gekennzeichnet, dass die redundanten Elemente wenigstens entweder (a) eine Mehrzahl redundanter Sensoren (12, 14), (b) eine Mehrzahl redundanter Steuervorrichtungen (16, 18) oder (c) eine Mehrzahl redundanter Aktoren (20, 22) umfassen.
  20. Kraftfahrzeug nach Anspruch 19, dadurch gekennzeichnet, dass die redundanten Elemente eine Mehrzahl von Lenkelementbetätigungsbetrags-Sensoren (12, 14) umfassen, die jeweils unabhängig von dem oder den weiteren Lenkelementbetätigungsbetrags-Sensor(en) einen Betätigungsbetrag eines Lenkelements (10) des Fahrzeugs erfassen, das von einem Fahrer zur Eingabe eines gewünschten Lenkwinkels betätigt wird.
  21. Kraftfahrzeug nach Anspruch 19 oder 20, dadurch gekennzeichnet, dass die redundanten Elemente eine Mehrzahl von LenkAktoren (20, 22) umfassen, die jeweils unabhängig von dem oder den weiteren LenkAktor(en) wenigstens einen Teil einer Kraft erzeugen können, um einen Winkel von wenigstens einem geschwenkten Rad (22, 26) des Fahrzeugs zu ändern.
  22. Kraftfahrzeug nach Anspruch 21, dadurch gekennzeichnet, dass die redundanten Elemente ferner eine Mehrzahl von Lenksteuervorrichtungen (16, 18) umfassen, die jeweils auf der Grundlage des von einem entsprechenden der Lenkelementbetätitungsbetrags-Sensoren erfassten Betätigungsbetrags des Lenkelements einen entsprechenden der LenkAktor steuern können, um wenigstens einen Teil einer Kraft zu erzeugen, um den Winkel von dem wenigstens einen geschwenkten Rad auf den gewünschten Lenkwinkel zu ändern, unabhängig von der oder den weiteren Lenksteuervorrichtung(en).
DE102004026594A 2003-06-02 2004-06-01 Kraftfahrzeug mit redundantem Steuergerät Expired - Fee Related DE102004026594B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2003156764A JP4155112B2 (ja) 2003-06-02 2003-06-02 冗長型制御装置を備えた自動車
JP2003-156764 2003-06-02

Publications (2)

Publication Number Publication Date
DE102004026594A1 DE102004026594A1 (de) 2005-03-17
DE102004026594B4 true DE102004026594B4 (de) 2008-01-17

Family

ID=33447927

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004026594A Expired - Fee Related DE102004026594B4 (de) 2003-06-02 2004-06-01 Kraftfahrzeug mit redundantem Steuergerät

Country Status (3)

Country Link
US (1) US7822516B2 (de)
JP (1) JP4155112B2 (de)
DE (1) DE102004026594B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013219866A1 (de) 2013-10-01 2015-04-02 Robert Bosch Gmbh Steuereinrichtung für einen Marine-Motor

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4155112B2 (ja) * 2003-06-02 2008-09-24 トヨタ自動車株式会社 冗長型制御装置を備えた自動車
FR2886035B1 (fr) * 2005-05-18 2007-08-03 Bosch Rexroth D S I Soc Par Ac Telecommande d'engin, en particulier d'engin de travaux publics
JP4742688B2 (ja) * 2005-06-07 2011-08-10 日産自動車株式会社 車両用制御装置
DE102006027550C5 (de) * 2006-06-14 2019-09-05 Audi Ag Verfahren zur Fehlerdiagnose eines datenbusvernetzten Systems und Diagnosesystem
DE102007002748B4 (de) * 2007-01-18 2010-04-15 Continental Automotive Gmbh Verfahren und Vorrichtung zum Betreiben eines Kraftfahrzeugs
JP4640372B2 (ja) * 2007-04-24 2011-03-02 トヨタ自動車株式会社 電動パーキングブレーキシステム
JP5370729B2 (ja) * 2008-12-25 2013-12-18 株式会社ジェイテクト パワーステアリング装置
JP4770943B2 (ja) * 2009-02-19 2011-09-14 株式会社デンソー 車外映像表示システムおよび車両
JP4770942B2 (ja) * 2009-02-19 2011-09-14 株式会社デンソー 車外映像表示システムおよび車両
US20130265431A1 (en) * 2009-02-19 2013-10-10 Denso Corporation Outside view monitor system for vehicle
US8494708B2 (en) 2009-08-24 2013-07-23 Robert Bosch Gmbh Good checking for vehicle yaw rate sensor
US8754764B2 (en) 2009-08-24 2014-06-17 Robert Bosch Gmbh Good checking for vehicle pressure sensor
US8401730B2 (en) * 2009-08-24 2013-03-19 Robert Bosch Llc Good checking for vehicle lateral acceleration sensor
US8935037B2 (en) * 2009-08-24 2015-01-13 Robert Bosch Gmbh Good checking for vehicle steering angle sensor
US8467929B2 (en) * 2009-08-24 2013-06-18 Robert Bosch Gmbh Good checking for vehicle wheel speed sensors
US8738219B2 (en) * 2009-08-24 2014-05-27 Robert Bosch Gmbh Good checking for vehicle longitudinal acceleration sensor
NL1037275C2 (nl) * 2009-09-11 2011-03-14 Advanced Public Transp Systems B V Stuurinrichting voor een vooraf gedefinieerd traject verplaatsbaar voertuig, automatisch gestuurd en via tenminste een eerste as , alsmede een voertuig voorzien van een dergelijke stuurinrichting.
JP5380425B2 (ja) * 2010-12-28 2014-01-08 日立オートモティブシステムズ株式会社 磁界角計測装置,回転角計測装置およびそれを用いた回転機,システム,車両および車両駆動装置
CN102167027A (zh) * 2010-12-28 2011-08-31 奇瑞汽车股份有限公司 一种基于线控制动的容错控制系统
DE102012021564A1 (de) * 2012-11-02 2014-05-08 Volkswagen Aktiengesellschaft Vorrichtung und Verfahren zum teil-, hoch- oder vollautomatischen Führen eines Kraftfahrzeuges
JP6070174B2 (ja) * 2012-12-26 2017-02-01 三菱自動車工業株式会社 警告装置
WO2014130717A1 (en) * 2013-02-22 2014-08-28 Ellis Frampton Failsafe devices, including transportation vehicles
US9139223B2 (en) 2013-05-23 2015-09-22 Caterpillar Inc. Managing steering with short from battery to ground
CN103293009B (zh) * 2013-06-04 2015-04-15 重庆大学 汽车电子助力转向系统测试装置及其方法
DE102013224809A1 (de) 2013-12-04 2015-06-11 Volkswagen Aktiengesellschaft Verfahren zum Testen eines Steuergeräts für ein Fahrzeug sowie entsprechendes Steuergerät, System und Fahrzeug
JP2016060413A (ja) * 2014-09-19 2016-04-25 日立オートモティブシステムズ株式会社 車両用電子制御装置及び制御方法
DE102014220781A1 (de) 2014-10-14 2016-04-14 Robert Bosch Gmbh Ausfallsichere E/E-Architektur für automatisiertes Fahren
DE102014223895A1 (de) 2014-11-24 2016-05-25 Continental Teves Ag & Co. Ohg Elektronische Anordnung in einem Kraftfahrzeug
DE102015107504B4 (de) * 2015-05-13 2024-06-20 Robert Bosch Gmbh Signalkreuzung in redundanten Lenksystemen
CN108025714A (zh) * 2015-09-28 2018-05-11 法拉第未来公司 转向补偿的系统和方法
US9805526B2 (en) * 2015-12-11 2017-10-31 The Boeing Company Fault monitoring for vehicles
DE102016102259A1 (de) 2016-02-10 2017-08-10 Hella Kgaa Hueck & Co. Rechner- und Funktionsarchitektur zur Erhöhung der Ausfallsicherheit einer Hilfskraftlenkung
WO2017199967A1 (ja) * 2016-05-18 2017-11-23 ナブテスコオートモーティブ 株式会社 車両運転制御システム
JP6838395B2 (ja) * 2016-12-27 2021-03-03 株式会社ジェイテクト 操舵制御装置
JP6812788B2 (ja) * 2016-12-27 2021-01-13 株式会社ジェイテクト 操舵制御装置
DE102017100618A1 (de) * 2017-01-13 2018-07-19 HELLA GmbH & Co. KGaA Kontrollsystem für ein Kraftfahrzeug, Kraftfahrzeug, Verfahren zur Kontrolle eines Kraftfahrzeugs, Computerprogrammprodukt und computerlesbares Medium
US10287994B2 (en) * 2017-05-12 2019-05-14 GM Global Technology Operations LLC Electronic throttle control using model predictive control
US10752282B2 (en) * 2017-10-04 2020-08-25 Steering Solutions Ip Holding Corporation Triple redundancy failsafe for steering systems
US10501092B2 (en) * 2017-10-05 2019-12-10 Gm Global Technololgy Operations Llc Proactive health-based transition to redundant subsystems
DE102017010716A1 (de) * 2017-11-10 2019-05-16 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH System zum wenigstens teilautonomen Betrieb eines Kraftfahrzeugs mit doppelter Redundanz
DE102018110781B4 (de) * 2018-05-04 2021-02-25 Solvo GmbH Elektrohydraulisches Bremssystem und Verfahren zu dessen Betrieb
KR20210006972A (ko) 2018-05-31 2021-01-19 조비 에어로, 인크. 전력 시스템 아키텍처 및 이를 이용한 내고장성 vtol 항공기
US12006048B2 (en) 2018-05-31 2024-06-11 Joby Aero, Inc. Electric power system architecture and fault tolerant VTOL aircraft using same
US10710741B2 (en) 2018-07-02 2020-07-14 Joby Aero, Inc. System and method for airspeed determination
CN109204189B (zh) 2018-09-07 2023-10-03 阿波罗智能技术(北京)有限公司 自动驾驶系统、故障报警方法及装置
EP3853736A4 (de) 2018-09-17 2022-11-16 Joby Aero, Inc. Flugzeugsteuerungssystem
KR102575640B1 (ko) * 2018-10-15 2023-09-07 현대자동차주식회사 자율 주행 제어 장치, 그를 가지는 차량 및 그 제어 방법
DE102018219411A1 (de) * 2018-11-14 2020-05-14 Audi Ag Bremssystem für ein Kraftfahrzeug sowie Verfahren zum Betreiben eines Bremssystems
CN109668741B (zh) * 2018-12-04 2021-06-04 广州小鹏汽车科技有限公司 纯电动汽车的驻车执行机构检测装置、系统和方法
JP7275272B2 (ja) 2018-12-07 2023-05-17 ジョビー エアロ,インコーポレイテッド 航空機制御システム及び方法
JP7401545B2 (ja) 2018-12-07 2023-12-19 ジョビー エアロ インク 回転翼とその設計方法
WO2020132332A1 (en) 2018-12-19 2020-06-25 Joby Aero, Inc. Vehicle navigation system
KR102637909B1 (ko) * 2019-01-23 2024-02-19 에이치엘만도 주식회사 전동식 파워 스티어링 시스템의 리던던시 회로
KR102693162B1 (ko) * 2019-03-14 2024-08-08 에이치엘만도 주식회사 조향 보조 시스템, 조향 제어 장치 및 조향 제어 방법
US11230384B2 (en) 2019-04-23 2022-01-25 Joby Aero, Inc. Vehicle cabin thermal management system and method
WO2020219747A2 (en) 2019-04-23 2020-10-29 Joby Aero, Inc. Battery thermal management system and method
KR20220029554A (ko) 2019-04-25 2022-03-08 조비 에어로, 인크. 수직 이착륙 항공기
CN111634326A (zh) * 2020-05-07 2020-09-08 中国第一汽车股份有限公司 一种冗余线控转向装置、系统架构以及驾驶设备
EP4162473A4 (de) 2020-06-05 2024-07-03 Joby Aero Inc Flugzeugsteuerungssystem und -verfahren
CN117775097A (zh) * 2022-09-20 2024-03-29 博世华域转向系统有限公司 一种汽车转向机全冗余助力系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05125971A (ja) * 1991-10-31 1993-05-21 Fuji Heavy Ind Ltd 4輪操舵車の制御装置
JPH0615333A (ja) * 1992-06-30 1994-01-25 Kawasaki Steel Corp 粗ミル用入側及び出側サイドガイド装置
DE4302925A1 (de) * 1993-02-03 1994-08-11 Bosch Gmbh Robert Verfahren und Vorrichtung zur Fehlermeldung bei Fahrzeugen
JPH09151780A (ja) * 1995-12-04 1997-06-10 Toyota Motor Corp 車両用電子制御装置
DE19735017A1 (de) * 1997-08-13 1999-02-18 Volkswagen Ag Vorrichtung zur Diagnose und Behebung von sicherheitsrelevanten Kraftfahrzeugzuständen
DE19832950A1 (de) * 1998-02-07 1999-08-12 Itt Mfg Enterprises Inc Verfahren zur Behandlung von Fehlern in einem elektronischen Bremssystem und zugehörige Vorrichtung
WO2004037614A1 (de) * 2002-10-24 2004-05-06 Continental Teves Ag & Co. Ohg Verfahren und vorrichtung zur übermittlung sicherheitskritischer betriebszustände eines kraftfahrzeuges

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2890070B2 (ja) 1991-04-01 1999-05-10 株式会社小松製作所 車両用故障管理装置
JPH0512597A (ja) 1991-07-01 1993-01-22 Oki Electric Ind Co Ltd 運行状況表示システム
DE4133268A1 (de) * 1991-10-08 1993-04-15 Bosch Gmbh Robert Vorrichtung zur steuerung der antriebsleistung eines fahrzeuges
JPH0599002A (ja) * 1991-10-12 1993-04-20 Aisin Seiki Co Ltd スロツトル制御装置
DE4302295C2 (de) * 1993-01-28 1995-10-12 Julius Cronenberg Oh Umlegbarer Sperrpfosten
JP3566517B2 (ja) 1997-11-11 2004-09-15 三菱電機株式会社 車両用エンジンの駆動制御装置
EP1053153B1 (de) * 1998-02-07 2003-03-19 Continental Teves AG & Co. oHG Verfahren zur behandlung von fehlern in einem elektronischen bremssystem und zugehörige vorrichtung
JP3767774B2 (ja) * 1998-10-26 2006-04-19 三菱電機株式会社 車両の駆動出力制御装置
DE19919504B4 (de) * 1999-04-29 2005-10-20 Mtu Aero Engines Gmbh Triebwerksregler, Triebwerk und Verfahren zum Regeln eines Triebwerks
JP4576702B2 (ja) 2000-11-16 2010-11-10 トヨタ自動車株式会社 車両駆動装置
JP3795321B2 (ja) 2000-11-22 2006-07-12 本田技研工業株式会社 車両用制御システム
US6859708B2 (en) * 2000-11-22 2005-02-22 Honda Giken Kogyo Kabushiki Kaisha Vehicle control system
JP2002347569A (ja) * 2001-03-19 2002-12-04 Toyota Motor Corp 乗員保護装置の点火制御装置
JP4736259B2 (ja) * 2001-07-09 2011-07-27 トヨタ自動車株式会社 インバータ装置
JP4155112B2 (ja) * 2003-06-02 2008-09-24 トヨタ自動車株式会社 冗長型制御装置を備えた自動車

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05125971A (ja) * 1991-10-31 1993-05-21 Fuji Heavy Ind Ltd 4輪操舵車の制御装置
JPH0615333A (ja) * 1992-06-30 1994-01-25 Kawasaki Steel Corp 粗ミル用入側及び出側サイドガイド装置
DE4302925A1 (de) * 1993-02-03 1994-08-11 Bosch Gmbh Robert Verfahren und Vorrichtung zur Fehlermeldung bei Fahrzeugen
JPH09151780A (ja) * 1995-12-04 1997-06-10 Toyota Motor Corp 車両用電子制御装置
DE19735017A1 (de) * 1997-08-13 1999-02-18 Volkswagen Ag Vorrichtung zur Diagnose und Behebung von sicherheitsrelevanten Kraftfahrzeugzuständen
DE19832950A1 (de) * 1998-02-07 1999-08-12 Itt Mfg Enterprises Inc Verfahren zur Behandlung von Fehlern in einem elektronischen Bremssystem und zugehörige Vorrichtung
WO2004037614A1 (de) * 2002-10-24 2004-05-06 Continental Teves Ag & Co. Ohg Verfahren und vorrichtung zur übermittlung sicherheitskritischer betriebszustände eines kraftfahrzeuges

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013219866A1 (de) 2013-10-01 2015-04-02 Robert Bosch Gmbh Steuereinrichtung für einen Marine-Motor

Also Published As

Publication number Publication date
US7822516B2 (en) 2010-10-26
US20040243287A1 (en) 2004-12-02
JP2004358997A (ja) 2004-12-24
DE102004026594A1 (de) 2005-03-17
JP4155112B2 (ja) 2008-09-24

Similar Documents

Publication Publication Date Title
DE102004026594B4 (de) Kraftfahrzeug mit redundantem Steuergerät
EP0418258B2 (de) Steuereinheit zur lenkung der hinterräder eines strassenfahrzeuges
EP2630012B1 (de) Fehlersichere parkbremse für kraftfahrzeuge
DE102018125701A1 (de) System und Verfahren zur Parksteuerung eines Fahrzeuges
DE10237167B4 (de) Verfahren zur Steuerung eines automatisierten Schaltgetriebes
DE112008000048B4 (de) Fahrzeugsteuervorrichtung
DE102005033977B4 (de) Gerät zum Detektieren eines Hindernisses
DE102005014550B4 (de) Brake By-Wire Steuersystem
DE102015110968A1 (de) Fahrzeugparksystem-Ausfallmanagement
EP3377788B1 (de) Verfahren und überwachungsvorrichtung zum betreiben eines kraftfahrzeugs
DE102007029632A1 (de) Feststellbremsanlage für Kraftfahrzeuge
DE102008061564A1 (de) Kupplungsaktor und Verfahren zu dessen Steuerung
EP0972667A1 (de) Kraftfahrzeug mit einem elektronisch gesteuerten Automatikgetriebe und einer fremdkraftbetätigten Feststellbremse
DE102013020177A1 (de) Kraftfahrzeug
DE10112514A1 (de) X-by-wire-System für ein Fahrzeug
EP2265481A2 (de) Verfahren und vorrichtung zur steuerung einer elektrischen maschine eines hybridantriebs bei erhöhter verfügbarkeit
WO2017137222A1 (de) Rechner- und funktionsarchitektur zur erhöhung der ausfallsicherheit einer hilfskraftlenkung
DE102009044848A1 (de) Verfahren und Vorrichtung zum Bestätigen der Ausgabe von einem Sensor
DE102007009831B4 (de) Anzeige-Auslöseeinheit in einem Kraftfahrzeug mit einer automatischen Start Stopp Funktion
DE112017005108T5 (de) Lenksystem
EP1972514B1 (de) Kraftfahrzeug mit einem X-by-wire-System und Verfahren zum Betreiben eines X-by-wire-Systems eines Kraftfahrzeugs
EP1521917A1 (de) Verfahren und vorrichtung zum verbessern der funktionssicherheit bei der betätigung einer kupplung und/oder eines getriebes
EP2724903A2 (de) Bremsvorrichtung für Arbeitsmaschinen und Verfahren zum Betätigen der Bremsvorrichtung
DE102009044849B4 (de) Verfahren und Vorrichtung zum Regeln von automatischen Starts und Stopps des Motors eines Fahrzeugs
DE112021008253T5 (de) Bereitstellung von Informationen über Leistungsbedarf und Leistungsdegradation für ein Lenksystem eines Straßenfahrzeugs

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R084 Declaration of willingness to licence
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee