DE60033853T2 - Fehlertolerantes system - Google Patents

Fehlertolerantes system Download PDF

Info

Publication number
DE60033853T2
DE60033853T2 DE60033853T DE60033853T DE60033853T2 DE 60033853 T2 DE60033853 T2 DE 60033853T2 DE 60033853 T DE60033853 T DE 60033853T DE 60033853 T DE60033853 T DE 60033853T DE 60033853 T2 DE60033853 T2 DE 60033853T2
Authority
DE
Germany
Prior art keywords
input
node
signal
control
signals
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE60033853T
Other languages
English (en)
Other versions
DE60033853D1 (de
Inventor
Stephen Hamilton LYNAS
Mark John Jordan
John Kennedy Dunlop
William Stewart Matthews
Mark Maiolani
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NXP USA Inc
Original Assignee
Freescale Semiconductor Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from GB9930121A external-priority patent/GB2357594B/en
Priority claimed from GB0002121A external-priority patent/GB2358715B/en
Application filed by Freescale Semiconductor Inc filed Critical Freescale Semiconductor Inc
Application granted granted Critical
Publication of DE60033853D1 publication Critical patent/DE60033853D1/de
Publication of DE60033853T2 publication Critical patent/DE60033853T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G17/00Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load
    • B60G17/015Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load the regulating means comprising electric or electronic elements
    • B60G17/018Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load the regulating means comprising electric or electronic elements characterised by the use of a specific signal treatment or control method
    • B60G17/0185Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load the regulating means comprising electric or electronic elements characterised by the use of a specific signal treatment or control method for failure detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Hardware Redundancy (AREA)
  • Vehicle Body Suspensions (AREA)
  • Electrotherapy Devices (AREA)

Description

  • Gebiet der Erfindung
  • Diese Erfindung bezieht sich auf fehlertolerante Systeme, wie z. B. fehlertolerante Aufhängungssysteme, fehlertolerante elektronische Verbrennungszylinderventilsteuerungssysteme, und auf fehlertolerante Lenksysteme.
  • Hintergrund der Erfindung
  • In den letzten Jahren haben sich Automobilhersteller bemüht, viele teure mechanische Komponenten durch elektronische Komponenten zu ersetzen. Es wird erwogen, in zukünftigen Kraftfahrzeugkonstruktionen sogar noch mehr mechanische Komponenten zu entfernen, insbesondere, was Steuerungsverknüpfungen zum Motor, den Rädern usw. anbetrifft, und sie durch "by-wire"-Technologie zu ersetzen, die sich zum Teil von der der Luftfahrtindustrie zugeordneten "Flyby-wire"-Technologie herleitet.
  • Zum Beispiel kann das hydraulische oder mechanische Aufhängungssystem oder das Lenksystem eines Automobils durch ein mikroprozessorgesteuertes System ersetzt werden, das Sensoren oder Schalter aufweist, die bei Betätigung durch den Fahrer oder auf Grund bestimmter Straßenbedingungen elektronische Signale zu in der Nähe der Räder angebrachten Betätigern übertragen. In einem Aufhängungssystem bringen die Betätiger in Abhängigkeit von den elektronischen Signalen Dämpfung an die Fahrzeugaufhängung an. In einem Lenksystem sind die Betätiger dazu eingerichtet, die Räder des Fahrzeugs zu wenden, um die Richtung, in die sich das Fahrzeug bewegt, in Abhängigkeit von den elektronischen Signalen zu ändern. Desgleichen kann das mechanische oder hydraulisch unterstützte mechanische Zylinderventilsystem eines Fahrzeugs durch ein mikroprozessorgesteuertes System mit Sensoren oder Schaltern, die bei Betätigung durch den Fahrer oder auf Grund von Verbrennungsbedingungen elektronische Signale zu in der Nähe der Verbrennungszylinder angeordneten Ventilbetätigern übertragen, ersetzt werden. Die Ventilbetätiger sind dazu eingerichtet, die Verbrennungszylindereinlass und -auslassventile einzustellen, um die Verbrennungsbedingungen innerhalb der Zylinder in Abhängigkeit von den elektronischen Signalen zu ändern.
  • In sehr betriebssicheren Anwendungen, wie z. B. den oben beschriebenen Aufhängungs-, Lenk- und elektronischen Ventilsteuerungssystemen, muss das System fehlertolerant sein, so dass, falls ein Fehler auftreten sollte, zumindest eine gewisse Funktionalität des Systems erhalten bleibt. Bekannte Anordnungen zum Bereitstellen von Fehlertoleranz umfassen redundante Systeme mit zwei oder mehr Mikroprozes soren, die unabhängig voneinander arbeiten und einander gegenkontrollieren, um Fehler zu detektieren.
  • Ein Problem bei dieser Anordnung ist, dass sich die Kosten des Systems erhöhen, je größer die Anzahl an Prozessoren ist, und, je geringer die Anzahl an Prozessoren ist, sich die Wahrscheinlichkeit erhöht, dass bei allen Prozessoren in dem System ein Fehler auftritt.
  • Die DE 198 32 167 offenbart die Steuerung einer Mehrzahl von Betätigern über einen zentralen Knoten. Die DE 198 32 167 bezieht sich insbesondere auf ein elektromechanisches Bremssystem für Kraftfahrzeuge, das ein Pedalmodul und zumindest zwei Bremsmodule umfasst. Darüber hinaus wird ein zentrales Modul zur Verfügung gestellt. Durch einen Datenbus wird eine Verbindung zwischen den zuvor genannten Modulen hergestellt. Der Datenbus wird redundant zur Verfügung gestellt. Das zentrale Modul kann Signale eines Sensorsystems evaluieren und sie auf ihre Fehler prüfen. Darüber hinaus kann das zentrale Modul einen entsprechenden nominalen Bremswert ausgeben, der dann zu den Bremsmodulen gesendet wird. Daraufhin ermitteln die Bremsmodule entsprechende Betätigungssignale für die Betätiger, die mit den Rädern interagieren, um die Bremsabsicht des Fahrers zu realisieren. Der Computer des Pedalmoduls besteht aus vier Computern, wobei jedes Mal zwei von ihnen kombiniert werden, um eine ausfallsichere (also "Fail-Safe" bzw. "Fail-Silent") Struktur zu bilden. Die feste Absicht eines Fahrers, zu bremsen, wird per Computerpaar ermittelt und zu dem Datenbus übertragen. Im Falle eines Rechenfehlers schaltet sich der betroffene redundante Computer ab, d. h. es wird entweder ein fehlerfreier nominaler Bremswert ausgegeben oder gar keiner.
  • Diese Erfindung bemüht sich, ein fehlertolerantes Aufhängungssystem zur Verfügung zu stellen, das die oben genannten Nachteile abschwächt.
  • Zusammenfassung der Erfindung
  • Die vorliegende Erfindung stellt ein fehlertolerantes System für ein Fahrzeug wie in den begleitenden Ansprüchen beschrieben zur Verfügung.
  • Auf diese Weise wird ein fehlertolerantes System zur Verfügung gestellt, das bei verbesserter Fehlertoleranz und verbesserter Fehlerdetektion kosteneffektiv ist.
  • Kurze Beschreibung der Zeichnungen
  • Nun werden ein fehlertolerantes Aufhängungssystem und ein fehlertolerantes Lenksystem gemäß der vorliegenden Erfindung beschrieben, und zwar nur als Beispiel und mit Bezug auf die Begleitzeichnungen, in denen:
  • 1 ein schematisches Flussdiagramm eines fehlertoleranten Aufhängungssystems gemäß der vorliegenden Erfindung darstellt;
  • 2 ein schematisches Flussdiagramm eines fehlertoleranten Lenksystems gemäß der vorliegenden Erfindung darstellt; und
  • 3 ein schematisches Flussdiagramm eines fehlertoleranten elektronischen Ventilsteuerungssystems gemäß der vorliegenden Erfindung darstellt.
  • Beschreibung einer bevorzugten Ausführungsform
  • Bezieht man sich auf 1, erkennt man, dass ein fehlertolerantes Aufhängungssystem 5 für ein Fahrzeug (nicht dargestellt) gemäß einer ersten Ausführungsform der vorliegenden Erfindung dargestellt wird, das einen ersten, zweiten, dritten und vierten Aufhängungsknoten mit elektronischen Steuereinheiten (ECUs) 10, 20, 30 und 40 umfasst, die an wechselseitig voneinander entfernten Stellen des Fahrzeugs verteilt sind. Jede erste, zweite, dritte und vierte ECU 10, 20, 30 und 40 ist mit einem zugehörigen ersten, zweiten, dritten und vierten Aufhängungsbetätiger 15, 25, 35 beziehungsweise 45 gekoppelt.
  • Die erste, zweite, dritte und vierte ECU 10, 20, 30 beziehungsweise 40 ist jeweils auch mit einem ersten und einem zweiten Bus 7 beziehungsweise 8 gekoppelt. Ein Eingangsknoten stellt der ersten, zweiten, dritten und vierten ECU 10, 20, 30, 40 über den ersten Bus 7 und den zweiten Bus 8 ein Eingangssignal zur Verfügung. Es gibt vorzugsweise zumindest zwei Eingangsknoten, wobei der erste Eingangsknoten mit einer anwenderbetätigten Eingabeeinheit 50 gekoppelt ist und wobei ein zweiter Eingangsknoten mit einem Sensor gekoppelt ist. Jede der ECUs 10, 20, 30 und 40 empfängt ein Eingangssignal von der Eingabeeinheit 50 und/oder ein Eingangssignal von dem Sensor. In der in 1 dargestellten Ausführungsform gibt es fünf Eingangsknoten, wobei der erste Eingangsknoten mit der Eingabeeinheit 50 gekoppelt ist und der zweite, dritte, vierte und fünfte Eingangsknoten mit Sensoren 65, 70, 80 beziehungsweise 90 gekoppelt ist. Jede der ECUs 10, 20, 30 und 40 empfängt ein Eingangssignal von der Eingabeeinheit 50 und/oder ein Ein gangssignal von einem oder allen der Sensoren 65, 70, 80 und 90.
  • Der erste und der zweite Bus 7 beziehungsweise 8 sind im Wesentlichen identisch und sind beide eingerichtet, um synchrone Signale gemäß einem Schema mit Mehrfachzugriff im Zeitmultiplex (TDMA/Time Division Multiple Access) oder einem ähnlichen Schema zur Verfügung zu stellen.
  • Funktionen von hohem Niveau gegenwärtiger Aufhängungssysteme können über eine ECU (von hohem Niveau) 60, die mit den Bussen 7 und 8 gekoppelt ist, oder durch ein Gateway zu einer ECU (nicht dargestellt) in das System 5 integriert werden.
  • Die Eingabeeinheit 50, bei der es sich vorzugsweise um einen Schalter oder Schalter handelt, ist eingerichtet, um dem System Anwendereingangssignale zur Verfügung zu stellen. Die Anwendereingangssignale können zum Beispiel anzeigen, ob eine Sport- oder eine komfortablere Aufhängungseinstellung erforderlich ist.
  • Die Sensoren 65, 70, 80 und 90, die in der bevorzugten Ausführungsform als mit dem ersten Bus 7 und dem zweiten Bus 8 gekoppelt dargestellt werden, sind eingerichtet, um Abweichungen in der Bewegung des Fahrzeugs mit Bezug auf dessen Position und Verhalten zu der Oberfläche, auf der es sich bewegt, zu detektieren. Die Sensoren 65, 70, 80 und 90 stellen den ECUs 10, 20, 30 und 40 in Abhängigkeit der durch die Sensoren detektierten Information Signale zur Verfügung. Die Sensoren, 65, 70, 80 und 90 können eingerichtet sein, um die den ECUs zur Verfügung gestellte Information vorzuverarbeiten.
  • Jede erste, zweite, dritte und vierte ECU 10, 20, 30, 40 kann, falls nötig, unabhängig von den anderen ECUs arbeiten und ist in der Lage, dem zugehörigen Aufhängungsbetätiger 15, 25, 35 oder 45 als Antwort auf die Signale, die von der Eingabeeinheit 50 und/oder den Sensoren 65, 70, 80 und 90 empfangen wurden, ein verarbeitetes Ergebnissignal zur Verfügung zu stellen. Auf diese Weise wird eine Grundaufhängungsfunktion erreicht, die das für einen sicheren Betrieb erforderliche Minimum ist, was nicht unbedingt Funktionen von höherem Niveau, wie z. B. ein Fahrzeugstabilitätsmanagement, umfasst. Die Bereitstellung des ersten und des zweiten Busses 7 und 8 sorgt für eine Fehlertoleranz für den Fall, dass sich ein Problem in dieser Hinsicht ereignet.
  • Darüber hinaus führt jede erste, zweite, dritte und vierte ECU 10, 20, 30, 40 unter Verwendung derselben von der Eingabeeinheit 50 und/oder den Sensoren 65, 70, 80 und 90 empfangenen Signale einen ähnlichen Algorithmus aus und stellt die empfangenen Signale und die Ergebnissignale den anderen ECUs zur Verfügung. Auf diese Weise kann jede erste, zweite, dritte und vierte ECU 10, 20, 30, 40 durch ein Vergleichen ihrer empfangenen Signale und Ergebnissignale mit denjenigen empfangenen Signalen und Ergebnissignalen, die von den anderen ECUs empfangen werden, einen fehlerhaften Betrieb detektieren.
  • Da vier ECUs verfügbar sind, um dieselben Signale zu prüfen, ist es möglich, nicht nur zu detektieren, dass es irgendwo in dem System 5 ein Problem gibt, sondern die fehlerhafte ECU auch zu identifizieren. Eine fehlerhafte ECU kann deshalb entweder durch sich selbst oder durch die Mehrzahl der ECUs in dem System 5 über eine Wählprozedur identifiziert werden, wobei die ECU, die im Vergleich zu den anderen ECUs die am meisten abweichenden Ergebnisse aufweist, als fehlerhaft betrachtet wird.
  • Nachdem ein Fehler identifiziert worden ist, können geeignete Maßnahmen, wie z. B. den Fehler zu protokollieren ("Logging"), Diagnosen durchzuführen oder den Knoten zurückzusetzen oder abzuschalten, ergriffen werden. Falls eine ECU auf Grund eines Fehlers abgeschaltet wird, kann das System 5 so eingerichtet sein, dass die Hauptaufhängungsfunktion über die funktionierenden ECUs neu verteilt wird.
  • Da jede ECU ihren Betrieb gegen die anderen ECUs prüft, können Fehler detektiert werden, die bei Verwendung einer einfacheren Selbsttestart einer isolierten Überprüfung nicht detektierbar sein könnten. Zum Beispiel kann eine ECU da einen Fehler aufweisen, wo sie die von der Eingabeeinheit 50 empfangenen Signale falsch decodiert, der decodierte Wert sich aber noch innerhalb des zulässigen Bereichs befindet. Die ECU würde einen Selbsttest bestehen und nach den fehlerhaften Daten handeln, falls keine weiteren Tests durchgeführt würden, doch mit der beschriebenen Überprüfung gegen andere ECUs würden die fehlerhaften Daten detektiert werden.
  • Da jede ECU ihre empfangenen Signale regelmäßig erneut überträgt, ist das System 5 in der Lage, Fehler zu überstehen, die sonst zu seiner teilweisen Abschaltung führen würden. Falls zum Beispiel die erste ECU 10 auf Grund eines Kommunikationsfehlers nicht direkt auf die Signale von der Eingabeeinheit 50 und/oder den Sensoren 65, 70, 80 und 90 zugreifen kann, kann sie die elektronischen Signale verwenden, die über die zweite, dritte oder vierte ECU 20, 30 beziehungsweise 40 übertragen werden.
  • Ein durch diese Anordnung gewonnener Vorteil ist, dass identische Signale von der Eingabeeinheit 50 und/oder den Sensoren 65, 70, 80 und 90 allen Teilen des Systems 5 gleichzeitig zur Verfügung stehen. Das vereinfacht die Fehlerdetektionsaufgabe, da bei korrektem Funktionieren alle ECUs identische Operationen auf identischen Signalen ausführen können und jegliche Abweichungen einen Fehler anzeigen.
  • Es versteht sich, dass alternative Ausführungsformen zu der einen, die oben beschrieben wird, möglich sind. Zwar werden in 1 vier Knoten und ECUs dargestellt, doch versteht es sich, dass sich die Erfindung auf zumindest zwei Knoten und zumindest zwei Steuermittel (ECU) bezieht. Zum Beispiel könnte eine einzelne ECU zur hinteren Aufhängung verwendet werden, um die dritte und die vierte ECU 30 und 40 zu ersetzen, wobei die einzelne ECU zur hinteren Aufhängung mit dem dritten und dem vierten Aufhängungsbetätiger 35 beziehungsweise 45 gekoppelt würde.
  • Bezieht man sich nun auf 2, sieht man, dass ein fehlertolerantes Lenksystem 105 für ein Fahrzeug (nicht gezeigt) dargestellt wird, das einen ersten und einen zweiten Lenkknoten mit elektronischen Steuereinheiten (ECUs) 120 und 130 umfasst, die an wechselseitig voneinander entfernten Stellen des Fahrzeugs verteilt sind. Jede erste und zweite ECU 120, 130 ist mit einem zugehörigen ersten und zweiten Lenkbetätiger 125 beziehungsweise 135 gekoppelt. Jeder Lenkbetätiger ist so eingerichtet, dass jeder die erforderliche Betätigung für das ganze System für den Fall, dass der andere versagt, ausführen kann.
  • Die erste und die zweite ECU 120, 130 ist jeweils auch mit einem ersten und einem zweiten Bus 107 beziehungsweise 108 gekoppelt. Eine anwenderbetätigte Eingabeeinheit 115 stellt der ersten und der zweiten ECU 120, 130 über den ersten Bus 107 und den zweiten Bus 108 ein Eingangssignal zur Verfügung. Die anwenderbetätigte Eingabeeinheit 115 umfasst vorzugsweise einen Sensor 115, der in 2 als ein Lenkradsensor dargestellt wird. Jede ECU 120 und 130 empfängt ein Eingangssignal von der Eingabeeinheit 115.
  • Der erste und der zweite Bus 107 beziehungsweise 108 sind im Wesentlichen identisch und sind beide eingerichtet, um synchrone Signale gemäß einem Schema mit Mehrfachzugriff im Zeitmultiplex (TDMA) oder Ähnlichem zur Verfügung zu stellen.
  • Funktionen von hohem Niveau gegenwärtiger Lenksysteme können über eine ECU (von hohem Niveau) 140, die mit den Bussen 107 und 108 gekoppelt ist, oder durch ein Gateway zu einer ECU (nicht dargestellt) in das System 5 integriert werden.
  • Die erste und die zweite ECU 120, 130 können, falls nötig, unabhängig voneinander arbeiten und sind jeweils in der Lage, den zugehörigen Lenkbetätigern 125 und 135 ein verarbeitetes Ergebnissignal als Antwort auf die von der Eingabeeinheit 115 empfangenen Eingangssignale zur Verfügung zu stellen. Auf diese Weise wird eine Grundlenkfunktion erreicht, die das für einen sicheren Betrieb erforderliche Minimum ist, was nicht unbedingt Funktionen von höherem Niveau, wie z. B. ein Fahrzeugstabilitätsmanagement, umfasst. Die Bereitstellung des ersten und des zweiten Busses 107 und 108 sorgt für eine Fehlertoleranz für den Fall, dass sich in dieser Hinsicht ein Problem ereignet.
  • Darüber hinaus führt jede erste und zweite ECU 120, 130 einen ähnlichen Algorithmus unter Verwendung desselben von der Eingabeeinheit 115 empfangenen Eingangssignals aus und stellt der anderen ECU den Eingang und die Ergebnissignale zur Verfügung. Auf diese Weise kann jede erste und zweite ECU 120, 130 einen fehlerhaften Betrieb detektieren, indem sie ihre empfangenen Eingangssignale und Ergebnissignale mit den von der anderen ECU empfangenen Eingangs- und Ergebnissignalen vergleicht.
  • In der bevorzugten Ausführungsform wird zwischen der Eingabeeinheit 115 und dem ersten und dem zweiten Bus 107, 108 eine weitere, dritte ECU 110 gekoppelt. Die dritte ECU funktioniert auf eine der ersten ECU 120 und der zweiten ECU 130 ähnliche Weise, da sie einen ähnlichen Algorithmus unter Verwendung desselben von der Eingabeeinheit 115 empfangenen Eingangssignals ausführt, um ein Ergebnissignal zu erzeugen, und den anderen ECUs den Eingang und die Ergebnissignale zur Verfügung stellt. Auf diese Weise kann jede erste, zweite und dritte ECU 120, 130, 110 einen fehlerhaften Betrieb detektieren, indem sie ihre empfangenen Eingangssignale und Ergebnissignale mit den von der anderen ECU empfangenen Eingangs- und Ergebnissignalen vergleicht.
  • Die dritte ECU 110 ist auf solche Art eingerichtet, dass, falls sie fehlerhaft ist, das Eingangssignal von der Eingabeeinheit 115 dennoch zu der ersten ECU 120 und der zweiten ECU 130 übertragen werden kann.
  • Da in der bevorzugten Ausführungsform drei ECUs zur Verfügung stehen, um dieselben Signale zu prüfen, ist es möglich, nicht nur zu detektieren, dass es irgendwo in dem System 105 ein Problem gibt, sondern die fehlerhafte ECU auch zu identifizieren. Deshalb kann eine fehlerhafte ECU entweder durch sich selbst oder durch die Mehrzahl der ECUs in dem System 105 über eine Wählprozedur identifiziert werden, wobei die ECU, die im Vergleich zu den anderen ECUs die am meisten abweichenden Ergebnisse aufweist, als fehlerhaft betrachtet wird.
  • Nachdem ein Fehler identifiziert worden ist, können geeignete Maßnahmen, wie z. B. den Fehler zu protokollieren ("Logging"), Diagnosen durchzuführen oder den Knoten zurückzusetzen oder abzuschalten, ergriffen werden. Falls eine ECU auf Grund eines Fehlers abgeschaltet wird, kann das System 105 so eingerichtet sein, dass die Hauptlenkfunktion über die arbeitenden ECUs neu verteilt wird.
  • Da jede ECU ihren Betrieb gegen die anderen ECUs prüft, können Fehler detektiert werden, die bei Verwendung einer einfacheren Selbsttestart einer isolierten Überprüfung nicht detektierbar sein könnten. Zum Beispiel kann eine ECU da einen Fehler aufweisen, wo sie die Eingangssignale von der Eingabeeinheit 115 falsch decodiert, der decodierte Wert sich aber noch innerhalb des zulässigen Bereichs befindet. Die ECU würde einen Selbsttest bestehen und nach den fehlerhaften Daten handeln, falls keine anderen Tests ausgeführt würden, doch mit der beschriebenen Überprüfung gegen andere ECUs würden die fehlerhaften Daten detektiert werden.
  • Ein durch diese Anordnung gewonnener Vorteil ist, dass identische Signale von der Eingabeeinheit 115 allen Teilen des Systems 105 gleichzeitig zur Verfügung stehen. Das vereinfacht die Fehlerdetektionsaufgabe, da bei korrektem Arbeiten alle ECUs identische Operationen auf identischen Signalen ausführen können und jegliche Abweichungen einen Fehler anzeigen.
  • Bezieht man sich nun auf 3, erkennt man, dass ein fehlertolerantes elektronisches Ventilsteuerungssystem 205 für ein Fahrzeug (nicht gezeigt) dargestellt wird. Das dargestellte Ventilsteuerungssystem umfasst einen ersten, zweiten und dritten Knoten, von denen jeder eine elektronische Steuereinheit (ECU) 220, 230 und 240 aufweist, die an einer Stelle in der Nähe oder am Ort der Zylinder in dem Fahrzeug verteilt sein können. Jede erste, zweite und dritte ECU ist mit einem zugehörigen ersten, zweiten und dritten Ventilbetätiger beziehungsweise Satz an Ventilbetätigern 225, 235, 245 gekoppelt. Jeder Ventilbetätiger ist so eingerichtet, dass jede ECU/Ventilbetätiger die erforderliche Betätigung für das ganze System für den Fall, dass andere ECUs/Ventilbetätiger versagen, ausführen kann. Es versteht sich, dass in dieser Konfiguration irgendeine gröbere Anzahl (n) von Knoten und/oder zugehörigen ECUs und Ventilbetätigern, zum Beispiel wie in einem n-Zylinder Motor erforderlich, verwendet werden kann.
  • Die erste, zweite und dritte (n-te) ECU 220, 230, 240 ist jeweils auch mit einem ersten und einem zweiten Bus 207 beziehungsweise 208 gekoppelt. Das fehlertolerante elektronische Verbrennungszylinderventilsteuerungssystem 205 umfasst auch einen Eingangsknoten, um ein Eingangssignal zu empfangen. Eine Eingabeeinheit 215 kann der ersten, der zweiten und der dritten (n-ten) ECU über den ersten Bus 207 und den zweiten Bus 208 das Eingangssignal zur Verfügung stellen. Die Eingabeeinheit umfasst zum Beispiel vorzugsweise einen Sensor 215, der in der Figur als ein Verbrennungs- und Fahrersensor dargestellt wird, und jede ECU 220, 230 und 240 empfängt ein Eingangssignal von der Eingabeeinheit 215.
  • Der erste und der zweite Bus 207 beziehungsweise 208 sind im Wesentlichen identisch und sind beide eingerichtet, um schnelle synchrone Signale gemäß einem Schema mit Mehrfachzugriff im Zeitmultiplex (TDMA) oder Ähnlichem zur Verfügung zu stellen.
  • Funktionen von hohem Niveau gegenwärtiger Antriebsstrangsysteme können über eine ECU (von hohem Niveau) 250, die mit den Bussen 207 und 208 gekoppelt ist, oder durch ein Gateway zu einer ECU (nicht dargestellt) in das System 205 integriert werden.
  • Die erste, zweite und dritte (n-te) ECU 220, 230, 240 können, falls nötig, unabhängig voneinander arbeiten und sind in der Lage, dem zugehörigen Ventilbetätiger 225, 235 oder 245 als Antwort auf die von der Eingabeeinheit 215 empfangenen ersten Signale ein verarbeitetes Ergebnissignal zur Verfügung zu stellen. Auf diese Weise wird eine Grundventilsteuerungsfunktion erreicht, die das für einen sicheren Betrieb erforderliche Minimum ist, was nicht unbedingt Funktionen von höherem Niveau, wie z. B. eine Schadstoffbegrenzung oder eine Drehmomentanpassungssteuerung, umfasst. Die Bereitstellung des ersten und des zweiten Busses 207 und 208 sorgt für eine Fehlertoleranz für den Fall, dass sich in dieser Hinsicht ein Problem ereignet.
  • Darüber hinaus führt jede erste, zweite und dritte (n-te) ECU 220, 230, 240 einen ähnlichen Algorithmus unter Verwendung derselben von der Eingabeeinheit 215 empfangenen ersten Signale aus und stellt die ersten Signale und die Ergebnissignale den anderen ECUs zur Verfügung. Auf diese Weise kann jede erste, zweite und dritte (n-te) ECU einen fehlerhaften Betrieb detektieren, indem sie ihre empfangenen ersten Signale und Ergebnissignale mit denen der anderen ECUs vergleicht.
  • In einer bevorzugten Ausführungsform wird zwischen der Eingabeeinheit 215 und dem ersten Bus 207 und dem zweiten Bus 208 eine weitere ECU 210 gekoppelt. Die weitere ECU arbeitet auf eine Weise, die derjenigen der ersten 220, zweiten 230 und dritten (n-ten) ECU ähnlich ist, da sie einen ähnlichen Algorithmus unter Verwendung desselben von der Eingabeeinheit 215 empfangenen Eingangssignals ausführt, um ein Ergebnissignal zu erzeugen, und den anderen ECUs die Eingangs- und Ergebnissignale zur Verfügung stellt. Auf diese Weise kann jede erste, zweite und dritte ECU einen fehlerhaften Betrieb detektieren, indem sie ihre empfangenen Eingangssignale und Ergebnissignale mit den von den anderen ECUs empfangenen Eingangs- und Ergebnissignalen vergleicht.
  • Die weitere ECU 210 ist auf solch eine Art eingerichtet, dass, falls sie fehlerhaft ist, das Eingangssignal von der Eingabeeinheit 215 dennoch zu der ersten 220, zweiten 230 und vierten (n-ten) 240 ECU übertragen werden kann.
  • Da es mehrere ECUs gibt, die zur Verfügung stehen, um dieselben Signale zu prüfen, ist es möglich, nicht nur zu detektieren, dass es irgendwo in dem System 205 ein Problem gibt, sondern die fehlerhafte ECU auch zu identifizieren. Eine fehlerhafte ECU kann deshalb entweder durch sich selbst oder durch die Mehrzahl der ECUs in dem System 205 über eine Wählprozedur identifiziert werden, wobei die ECU, die im Vergleich zu den anderen ECUs die am meisten abweichenden Ergebnisse aufweist, als fehlerhaft betrachtet wird.
  • Nachdem ein Fehler identifiziert worden ist, können geeignete Maßnahmen, wie z. B. den Fehler zu protokollieren ("Logging"), Diagnosen durchzuführen oder den Knoten zurückzusetzen oder abzuschalten, ergriffen werden. Falls eine ECU auf Grund eines Fehlers abgeschaltet wird, kann das System 205 so eingerichtet sein, dass die Hauptzylinderventilsteuerung durch die anderen funktionierenden ECUs ausgeglichen werden könnte.
  • Da jede ECU ihren Betrieb gegen die anderen ECUs prüft, können Fehler detektiert werden, die bei Verwendung einer einfacheren Selbsttestart einer isolierten Überprüfung nicht detektierbar sein könnten. Zum Beispiel kann eine ECU da einen Fehler aufweisen, wo sie die empfangenen Signale von der Eingabeeinheit 215 falsch decodiert, der decodierte Wert sich aber noch innerhalb des zulässigen Bereichs befindet. Die ECU würde einen Selbsttest bestehen und nach den fehlerhaften Daten handeln, falls keine anderen Tests durchgeführt würden, doch mit der beschriebenen Überprüfung gegen andere ECUs würden die inkorrekten Daten detektiert werden.
  • Ein durch diese Anordnung gewonnener Vorteil ist, dass identische Signale von der Eingabeeinheit 215 allen Teilen des Systems 205 gleichzeitig zur Verfügung stehen. Das vereinfacht die Fehlerdetektionsaufgabe, da bei korrektem Funktionieren alle ECUs identische algorithmische Operationen auf identischen Signalen durchführen können und irgendwelche Abweichungen einen Fehler anzeigen.
  • Es versteht sich, dass alternative Ausführungsformen zu denjenigen, die oben beschrieben werden, möglich sind.

Claims (10)

  1. Fehlertolerantes System (5) für ein Fahrzeug, das umfasst einen Eingangsknoten (50, 65, 70, 80, 90); und zumindest zwei mit dem Eingangsknoten gekoppelte Knoten, wobei jeder Knoten eingerichtet ist, um zumindest einen Betätiger zu steuern, wobei jeder Knoten eine Steuereinheit (10, 20, 30, 40) aufweist, die eingerichtet ist, um ein von dem Eingangsknoten empfangenes Eingangssignal zu verarbeiten, um ein verarbeitetes Ergebnissignal zu erzeugen, um den zumindest einen Betätiger (15, 25, 35, 45) zu steuern, und ihr Eingangssignal und verarbeitetes Ergebnissignal den anderen Steuereinheiten (10, 20, 30, 40) über einen Kommunikationsbus (7, 8) zur Verfügung zu stellen, wobei jede der Steuereinheiten (10, 20, 30, 40) der zumindest zwei Knoten eingerichtet ist, um fehlerhaften Betrieb von einer der Steuereinheiten (10, 20, 30, 40) zu ermitteln, indem sie ihr Eingangssignal und verarbeitetes Ergebnissignal mit dem Eingangssignal und verarbeiteten Ergebnissignalen, empfangen von der zumindest einen anderen Steuereinheit (10, 20, 30, 40), vergleicht.
  2. System (5) nach Anspruch 1, wobei nach Ermittlung fehlerhaften Betriebs jede Steuereinheit (10, 20, 30, 40) ein Wählschema verwendet, um zu ermitteln, welches von dem verarbeiteten Ergebnissignal und Vergleichssignalen als ein viertes Signal verwendet werden soll, um jeden der Betätiger (15, 25, 35, 45) zu steuern.
  3. System (5) nach einem der vorangehenden Ansprüche, wobei die zumindest zwei Knoten an wechselseitig voneinander entfernten Stellen in dem Fahrzeug verteilt sind.
  4. System (5) nach einem der vorangehenden Ansprüche, wobei das Eingangssignal geeignet ist, zu den zumindest zwei Knoten in synchroner Weise übertragen zu werden.
  5. Fehlertolerantes Aufhängungssystem für ein Fahrzeug, das das System (5) nach einem der vorangehenden Ansprüche umfasst, das drei Knoten umfasst und wobei die Betätiger Aufhängungsbetätiger sind, wobei jeder Knoten eingerichtet ist, um einen von drei Aufhängungsbetätigern zu steuern.
  6. System nach Anspruch 5, das darüber hinaus einen ersten Eingangsknoten und einen zweiten Eingangsknoten umfasst, wobei der erste Eingangsknoten (50) ein Eingangssignal von einer anwenderbetätigten Eingabeeinheit empfängt und der zweite Eingangsknoten (65, 70, 80, 90) ein Eingangsignal von einem Sensor empfängt, wobei die Steuereinheit (10, 20, 30, 40) jedes Knotens eingerichtet ist, um die Eingangssignale, die an dem ersten Eingangsknoten und dem zweiten Eingangsknoten empfangen werden, zu verarbeiten, um das verarbeitete Ergebnissignal zur Verfügung zu stellen.
  7. Fehlertolerantes Lenksystem für ein Fahrzeug, das das System (5) nach einem der Ansprüche 1 bis 5 umfasst, wobei die Betätiger Lenkbetätiger sind und das System (5) darüber hinaus eine anwenderbetätigte Eingabeeinheit (50) umfasst, die eingerichtet ist, um als Antwort auf ihre Betätigung das Eingangssignal zur Verfügung zu stellen.
  8. System nach Anspruch 7, das drei Steuereinheiten (110, 120, 130) umfasst, wobei eine erste Steuereinheit (120) mit einem ersten Lenkbetätiger (125) gekoppelt ist, eine zweite Steuereinheit (130) mit einem zweiten Lenkbetätiger (135) gekoppelt ist und eine dritte Steuereinheit (110) mit der ersten Steuereinheit und der zweiten Steuereinheit (120, 130) und der anwenderbetätigten Eingabeeinheit (115) gekoppelt ist, wobei bei Detektion eines Fehlers jede der Steuereinheiten (110, 120, 130) ein Wählschema verwendet, um zu ermitteln, welches der verarbeiteten Ergebnissignale und Vergleichssignale als ein viertes Signal verwendet werden soll, um einen jeden von dem ersten Lenkbetätiger und dem zweiten Lenkbetätiger (125, 135) zu steuern.
  9. System nach Anspruch 8, wobei jede Steuereinheit (110, 120, 130) auch eingerichtet ist, um das vierte Signal zu den zumindest zwei anderen Steuereinheiten zu übertragen, um zu verifizieren, ob das Wählschema korrekt verwendet worden ist.
  10. Fehlertolerantes elektronisches Ventilsteuerungssystem für ein Fahrzeug, das das System (5) nach einem der Ansprüche 1 bis 5 umfasst, das drei Knoten umfasst und wobei die Betätiger Ventilbetätiger sind, wobei jeder Knoten eingerichtet ist, um einen von drei Ventilbetätigern zu steuern.
DE60033853T 1999-12-21 2000-12-21 Fehlertolerantes system Expired - Fee Related DE60033853T2 (de)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
GB9930121 1999-12-21
GB9930121A GB2357594B (en) 1999-12-21 1999-12-21 Fault-tolerant suspension system and fault-tolerant steering system
GB0002121 2000-01-31
GB0002121A GB2358715B (en) 2000-01-31 2000-01-31 Fault-tolerant electronic combustion cylinder valve control system
PCT/EP2000/013345 WO2001045982A2 (en) 1999-12-21 2000-12-21 Fault-tolerant system

Publications (2)

Publication Number Publication Date
DE60033853D1 DE60033853D1 (de) 2007-04-19
DE60033853T2 true DE60033853T2 (de) 2007-12-13

Family

ID=26243516

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60033853T Expired - Fee Related DE60033853T2 (de) 1999-12-21 2000-12-21 Fehlertolerantes system

Country Status (4)

Country Link
EP (1) EP1276637B1 (de)
AT (1) ATE355998T1 (de)
DE (1) DE60033853T2 (de)
WO (1) WO2001045982A2 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10221716A1 (de) * 2002-05-16 2003-11-27 Bayerische Motoren Werke Ag Regelsystem für ein Kraftfahrzeug mit Wankstabilisierung
US7467029B2 (en) * 2004-12-15 2008-12-16 General Motors Corporation Dual processor supervisory control system for a vehicle
CN108646712B (zh) * 2018-05-23 2020-12-22 青岛理工大学 带有执行器故障的不确定系统的容错控制系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4641517A (en) * 1984-12-20 1987-02-10 United Technologies Corporation Control system actuator position synthesis for failure detection
FR2591777B1 (fr) * 1985-12-13 1991-03-15 Cimsa Sintra Reseau informatise de grande securite de fonctionnement et procede de commande utilisant un tel reseau
ATE86939T1 (de) * 1986-04-03 1993-04-15 Otis Elevator Co Zweirichtungsringverbindungssystem fuer aufzugsgruppensteuerung.
DE3825280A1 (de) * 1988-07-26 1990-02-01 Bayerische Motoren Werke Ag Steuersystem fuer stelleinrichtungen eines kraftfahrzeugs
US5287264A (en) * 1988-08-05 1994-02-15 Hitachi, Ltd. Multicontroller apparatus, multicontroller system, nuclear reactor protection system, inverter control system and diagnostic device
US5809220A (en) * 1995-07-20 1998-09-15 Raytheon Company Fault tolerant distributed control system
DE19529434B4 (de) * 1995-08-10 2009-09-17 Continental Teves Ag & Co. Ohg Microprozessorsystem für sicherheitskritische Regelungen
JP3390824B2 (ja) * 1997-03-19 2003-03-31 株式会社日立製作所 多重化制御装置及びその障害回復方法
DE19832167A1 (de) * 1997-11-22 1999-05-27 Itt Mfg Enterprises Inc Elektromechanisches Bremssystem

Also Published As

Publication number Publication date
DE60033853D1 (de) 2007-04-19
EP1276637B1 (de) 2007-03-07
EP1276637A2 (de) 2003-01-22
WO2001045982A2 (en) 2001-06-28
ATE355998T1 (de) 2007-03-15
WO2001045982A3 (en) 2002-11-07

Similar Documents

Publication Publication Date Title
DE69925000T2 (de) Fehlertolerantes elektronisches bremssystem
DE102005014550B4 (de) Brake By-Wire Steuersystem
EP1032517B1 (de) Elektromechanisches bremssystem
EP1625061B1 (de) Bremsanlage für fahrzeuge, insbesondere nutzfahrzeuge mit mindestens zwei separaten elektronischen bremssteuerkreisen
EP1032518B1 (de) Elektromechanisches bremssystem
DE102016107015B4 (de) System mit integrierter Ruhigstellung bei Ausfall und Funktionsfähigkeit bei Ausfall
EP0352759A2 (de) Steuersystem fur Stelleinrichtungen eines Kraftfahrzeugs
DE10152235B4 (de) Verfahren zum Erkennen von Fehlern bei der Datenübertragung innerhalb eines CAN-Controllers und ein CAN-Controller zur Durchführung dieses Verfahrens
DE102013202253A1 (de) Schaltung zur Steuerung eines Beschleunigungs-, Brems- und Lenksystems eines Fahrzeugs
EP1540428A1 (de) Redundante steuergeräteanordnung
WO1996014226A1 (de) Mikroprozessoranordnung für ein fahrzeug-regelungssystem
DE102014106959A1 (de) Eine plötzliche Beschleunigung verhinderndes elektronisches Gaspedal und Verfahren hiervon
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
DE102007042353A1 (de) Sicherheitsstrategie einer Koordination eines mechanischen und elektrischen Verriegelns für ein System einer aktiven Frontlenkung
DE10351968A1 (de) Schaltsystem für ein Fahrzeug
DE19500188B4 (de) Schaltungsanordnung für eine Bremsanlage
DE19607429B4 (de) Fehlertolerante Steuerungseinrichtung für ein physikalisches System, insbesondere Fahrdynamikregeleinrichtung für ein Kraftfahrzeug
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
DE19853036A1 (de) Elektromechanisches Bremssystem
EP1615087B1 (de) Steuer- und Regeleinheit
DE102022105726A1 (de) Integrierte elektronische bremsvorrichtung und steuerverfahren dafür
DE60033853T2 (de) Fehlertolerantes system
WO2012065769A2 (de) System sowie verfahren zur bremskreisausfallerkennung
DE102006059919A1 (de) Datenverarbeitungssystem für ein Kraftfahreug
DE69911255T2 (de) Mikroprozessormodul mit abstimmungseinrichtung zur rückstellung und verfahren dazu

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee