DE69521379T4 - Fehlererkennungseinrichtung für Regelungssysteme auf Microcontroller-Basis - Google Patents

Fehlererkennungseinrichtung für Regelungssysteme auf Microcontroller-Basis Download PDF

Info

Publication number
DE69521379T4
DE69521379T4 DE69521379T DE69521379T DE69521379T4 DE 69521379 T4 DE69521379 T4 DE 69521379T4 DE 69521379 T DE69521379 T DE 69521379T DE 69521379 T DE69521379 T DE 69521379T DE 69521379 T4 DE69521379 T4 DE 69521379T4
Authority
DE
Germany
Prior art keywords
output
circuit
controller
signal
voltage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69521379T
Other languages
English (en)
Other versions
DE69521379T2 (de
DE69521379D1 (de
Inventor
John Michael Ironside
Russel Wilson-Jones
Andrew James Stephen Williams
Brian Graham Woodrow South Redditch Nicholson
Clive Roger Sainsbury
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
TRW Lucas Varity Electric Steering Ltd
Original Assignee
TRW Lucas Varity Electric Steering Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by TRW Lucas Varity Electric Steering Ltd filed Critical TRW Lucas Varity Electric Steering Ltd
Publication of DE69521379T2 publication Critical patent/DE69521379T2/de
Application granted granted Critical
Publication of DE69521379T4 publication Critical patent/DE69521379T4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/04Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
    • B62D5/0457Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
    • B62D5/0481Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
    • B62D5/0493Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures detecting processor errors, e.g. plausibility of steering direction
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits

Description

  • Die vorliegende Erfindung betrifft ein Steuersystem.
  • Es gibt eine Klasse von Steuersystemen, die in dem Fall, daß es zu einer Systemstörung kommt, abgeschaltet werden kann, ohne daß es zu einem Sicherheitsrisiko kommt, selbst wenn der fortgesetzte Systembetrieb ein Risiko einschließen würde. Dieser „Abschaltung bei Störung"-Typ des Systems ist im allgemeinen viel billiger als ein „störungstoleranter" Typ, der so konstruiert ist, daß sich weiterhin ein normaler Betrieb sicher bei Vorhandensein einer oder mehrerer Störungen ergibt. Ein Beispiel ist ein Typ des elektrischen Servolenkungssystems für Kraftfahrzeuge, das von einer Fahrzeuglenkung getrennt wird, wenn sie abgeschaltet wird. Ein weiteres Beispiel aus dem Bereich der Komfortsysteme für Fahrer ist ein angetriebenes Fahrersitzverstellsystem. Ein derartiges System kann in zwei Bereiche unterteilt werden, nämlich einen nichtschützbaren Bereich und einen schützbaren Bereich. Der nichtschützbare Bereich besteht aus einem Satz von Teilen (normalerweise von Null bis zu einigen an der Zahl), die zuverlässig sein müssen, um einen sicheren Betrieb zu bewirken. Der schätzbare Bereich besteht aus einem (normalerweise) größeren Satz von Teilen, deren Ausfall automatisch nachgewiesen und durch Abschaltung des Systems ausgeglichen wird. Diese Erfindung ist insbesondere für den Schutz dieses schätzbaren Bereiches des Systems anwendbar.
  • Die normalen Betriebsfunktionen vieler derartiger Systeme werden mittels eines Mikrokontrollers (MCU) gesteuert. Dieser Typ der Hardware ist relativ zuverlässig und kann Software unterbringen, die in der Lage ist, das richtige Funktionieren des größten Teils des übrigen Systems (Meßfühler, Antriebsstufe, Stellgliedelemente und ihre Stromversorgungen) während des normalen Betriebes zu bewerten ebenso wie die normale Steuerfunktion bereitzustellen. In dem Fall, daß der MCU einen Ausfall nachweist, kann er Schutzkanäle aufrufen. Diese können beispielsweise das Stellgliedelement (die Stellgliedelemente) von ihrer Stromversorgung und/oder der betätigten Anlage trennen, was zweckmäßig ist.
  • Um zu bestätigen, daß dieser Schutz tatsächlich verfügbar ist, kann der MCU periodisch jeden Kanal des Schutzteilsystems testen. Das kann im allgemeinen nur erfolgen, wenn die normale Funktion nicht abgefordert wird, da das Durchführen eines jeden Tests einen gewissen Aspekt des Betätigungssystems unterbrechen wird. Es kann daher während einer gewissen speziellen Phase eines Arbeitseinsatzes vorgenommen werden, wie beispielsweise am Ende einer Fahrt. Jeder Schutzkanal wird einzeln getestet. Ein erfolgreicher Test zeigt, daß die Nichtbetriebsfähigkeit jenes Schutzkanals momentan Null ist. In dem seltenen Fall eines gestörten Tests kann die Hauptfunktion gesperrt werden, bis eine erfolgreiche Reparatur abgeschlossen wurde. Das Testergebnis kann im Festspeicher bei Benutzung eines Fehlererkennungs- und Korrekturkodes aufgezeichnet werden.
  • Die Ausfallrate r(t) eines Postens wird als die bedingte Wahrscheinlichkeitsausfalldichte mit der Zeit t + dt definiert, unter der Voraussetzung, daß sie bis zum Zeitpunkt t überlebt hat. In der Praxis kann r(t) oftmals durch eine Konstante r angenähert werden, dem Kehrwert der mittleren Lebensdauer MTTF.
  • Jeder Schutzkanal wird natürlich so konstruiert, daß er zuverlässig ist, so daß seine Ausfallrate sehr niedrig sein wird. Die Nichtbetriebsfähigkeit wird anfangs nach einem erfolgreichen Test von Null auf eine Rate von r pro Zeiteinheit ansteigen. Da die periodischen Tests in viel häufigeren Intervallen als 1/r auftreten werden, wird die Wahrscheinlichkeit des Schutzes, der nichtbetriebsfähig ist, wenn er tatsächlich benötigt wird, nur ein extrem niedriges Niveau erreichen, bevor der nächste Test erfolgt, wenn nicht ein gemeinsamer Grund vorhanden wäre, sowohl die normale Funktion als auch die Schutzfunktion zu beeinflussen.
  • Ein derartiger Grund wäre eine Störung in der MCU-Hardware oder Software, da ein großer Teil der Logik des Schutzsystems im MCU zu finden ist. Systematische Fehler können unerkannt in der Konstruktion der Software oder Hardware liegen, wobei sie auf das Ankommen einer Folge von Eingabedaten warten, die einen unerwünschten Ausgang hervorrufen werden. Hardware-Ausfälle können ebenfalls auftreten. Ein gewisser Schutz gegen Konstruktionsfehler kann durch weitere Software-Elemente bewirkt werden, die innerhalb des MCU funktionieren, um zu kontrollieren, ob die Ausgaben der Steuer-Software angesichts der Eingabedaten glaubhaft sind. Es kann nicht angenommen werden, daß dieser Schutz vollkommen ist, weil die Auswirkung einer ursprünglichen Störung in entweder der Steuer- oder der Schutz-Software die Funktion beider stören kann. Obgleich der einzelne MCU ein sehr wirksames Hilfsmittel für das Erkennen und Isolieren von Systemstörungen ist, kann man sich daher nicht vollständig darauf verlassen.
  • Ein bekanntes elektronisches Steuersystem (ECU) weist zwei unabhängig betriebene MCUs auf. Der Haupt-MCU arbeitet mit einem zweiten MCU zusammen, um Ausfälle beider MCUs durch eine Reihe von gegenseitigen Glaubwürdigkeitstests zu identifizieren. Eine derartige Anordnung ist jedoch relativ kompliziert und kostspielig und testet beispielsweise nicht die richtige Funktion eines Analog-Digital-Wandlers (ADC) innerhalb eines der oder innerhalb beider MCUs.
  • Ein weiteres bekanntes Steuersystem weist einen einzelnen MCU auf, der zusätzlich dazu, daß er Steuerfunktionen zur Verfügung stellt, einen Teil einer automatischen Kontrollanordnung bildet. Ein mittels Software getriebenes Binärausgangstor des MCU ist mit einer kapazitiv gekoppelten Ladepumpe verbunden. Die Ausgangsspannung der Ladepumpe wird mittels Tiefpaßfilter gefiltert und dem Analog-Digital-Wandler des MCU zugeführt. Die MCU-Software muß eine „Testaufgabe" durchführen. Das heißt, daß eine Steuerung der Ausgangsspannung der Ladepumpe mit geschlossenem Regelkreis durch Regulieren der Frequenz bereitgestellt wird, bei der sie das MCU-Ausgangstor umschaltet. Ein Ausfall beim Halten der gesteuerten Spannung innerhalb der Grenzen eines Fenstervergleichers bewirkt, daß das System abgeschaltet wird.
  • Die Zeit, die für das sichere Abschalten des Systems im Fall des Versagens verfügbar ist, kann nur ein geringes Vielfaches der MCU-Software-Zykluszeit sein. Daher müssen der Ausgang der Ladepumpe und des Tiefpaßfilters, die einen Frequenz-Spannungs-Wandler aufweisen, den Fenstergrenzwert innerhalb jener Zeit erreichen, immer, wenn der MCU das Steuern des Binärausgangstores unterbricht. Die Grenzwerte des Fenstervergleichers müssen jedoch breit genug auseinander eingestellt werden, um Bauteiltoleranzen und Unzulänglichkeiten hinsichtlich der Steuerung zu berücksichtigen, die durch den MCU bereitgestellt wird, ohne daß falsche Abschaltungsvorgänge erzeugt werden. Es ist daher ein Toleranzband der Ausgangstorfrequenzen des MCU vorhanden, das nicht bewirken wird, daß der Frequenz-Spannungs-Ausgang schnell genug den Fenstergrenzwert erreichen wird, um das System sicher abzuschalten. Außerdem ist innerhalb dieses Toleranzbandes ein schmaleres Band von Frequenzen vorhanden, das niemals die Abschaltung des Systems hervorrufen wird.
  • Bei einem derartigen System würde die Abschaltung nicht rechtzeitig aufgerufen, wenn der MCU in einer Betriebsart versagen würde, die das Umschalten des Sicherheitsschaltungsausgangstores bei einer Frequenz innerhalb des breiteren Toleranzbandes belassen würde. Es ist bekannt, daß die MCUs bei Ausgängen versagen, die bei einer unveränderlichen Frequenz oder in einem bestimmten sich wiederholenden Muster umschalten. Daher können einfache Störungsabläufe auftreten, ohne daß es einen wirksamen Schutz gibt.
  • Es ist im Prinzip schwierig, sich alle Möglichkeiten vorzustellen, bei denen ein MCU ausfallen könnte, und zu sichern, daß die „Testaufgabe" in jedem Fall versagen wird. MCU-Ausfälle können unter anderem Folgendes umfassen:
    Analog-Digital-Wandler falsch;
    Adressen/Datenverfälschung;
    Multiplexbetrieb festgefahren;
    wiederholte falsche Unterbrechung;
    Software in einer Programmschleife festgefahren, was möglicherweise zu einem unveränderlichen Frequenzausgang oder einem einfachen Wiederholungsmuster führt;
    Ausgangs-Hardware schaltet weiter nach Ausfall des MCU um, was zu einem unveränderlichen Frequenzausgang oder einem einfachen Wiederholungsmuster führt;
    Zeitsteuerung der Impulsfolgen ist falsch; und
    willkürlicher Ausgang nach „Hochgehen" des MCU.
  • Es ist am wünschenswertesten, daß ein Steuersystem im Fall des Auftretens irgendeiner derartigen Störung oder derartiger Störungen abschaltet.
  • Die Deutsche Patentspezifikation DE-C-4212069 beschreibt ein Steuersystem der bekannten Ausführung, auf das man sich vorangehend bezieht, und wie es im vorbeschreibenden Teil des Patentanspruches 1 nachfolgend definiert wird.
  • Entsprechend der vorliegenden Erfindung wird ein Steuersystem bereitgestellt, wie es im Patentanspruch 1 nachfolgend gekennzeichnet wird.
  • Bei den Ausführungen der Erfindung bezieht man sich auf die Ausgangsspannung, die im wesentlichen konstant ist, als die „Gleichgewichtsausgangsspannung", und auf die Eingangsspannung beim vorgegebenen konstanten Wert bezieht man sich als „eingeschwungene Eingangsspannung".
  • Der Begriff „instabile Schaltung", wie er im beschreibenden Abschnitt des Patentanspruches 1 beschrieben und hierin verwendet wird, wird so definiert, daß er eine Schaltung bedeutet, die eine Ausgangsspannung liefert, die im wesentlichen konstant ist (worauf man sich als die „Gleichgewichtsausgangsspannung" bezieht), wenn eine Eingangsspannung auf einem vorgegebenen konstanten Wert (worauf man sich als die „eingeschwungene Eingangsspannung" bezieht) ist, und die sich so verändert, daß die drei Parameter:
    • (1) die Differenz zwischen der Ausgangsspannung und der Gleichgewichtsausgangsspannung;
    • (2) das erste Zeitdifferential von (1); und
    • (3) das zweite Zeitdifferential von (1)
    niemals sich gleichzeitig asymptotisch der Null nähern, nachdem sich die Eingangsspannung kurzzeitig von der eingeschwungenen Eingangsspannung verändert hat und zur eingeschwungenen Eingangsspannung zurückgekehrt ist.
  • Beispielsweise wird eine praktische Schaltung eine obere und eine untere Grenze bei ihrer Ausgangsspannung und beim Strom aufweisen. Das Verhalten kann ausgeglichen werden, d.h., von einer Nullspannung oder einer Spannung weggelenkt werden, die im wesentlichen in der Mitte zwischen den Stromversorgungsschienen liegt. Die Schaltung kann nichtlineare Bauteile enthalten, wie beispielsweise eine Diode, die bewirken, daß sie bei unterschiedlichen Eingangs- und Ausgangsspannungen ein unterschiedliches Verhalten aufweist. Die instabile Schaltung wird mindestens einen theoretischen Gleichgewichtszustand aufweisen. In diesem Zustand wird das Vorhandensein der eingeschwungenen Eingangsspannung im Eingang den Ausgang auf der Gleichgewichtsausgangsspannung halten. In der Praxis kann dieser Zustand tatsächlich wegen des elektrischen Rauschens oder thermischer Veränderungen, die die Schaltung aus ihrem Gleichgewicht heraus stören, nicht erreichbar sein. Ignoriert man derartige Mängel einer praktischen Schaltung, dann wird die instabile Schaltung dennoch mindestens einen theoretischen Gleichgewichtszustand aufweisen, der einen Zustand des instabilen Gleichgewichts verkörpert.
  • Bei praktischen Schaltungen bewegt sich als Reaktion auf einen störenden Impuls im Eingang die Ausgangsspannung von der Gleichgewichtsausgangsspannung weg und trifft schließlich auf eine der Betriebsgrenzen der Schaltung. Der Impuls kann von sehr kurzer Dauer sein, und er kann einen sehr niedrigen Pegel aufweisen, sollte aber in der Praxis groß genug sein, um kleine unerwünschte Ströme in der Schaltung zu überwinden, wie beispielsweise Steuerströme für Operationsverstärkereingänge. In der Praxis können Impulse von ausreichend niedriger Amplitude und/oder Dauer durch ein Rauschen verdeckt werden. Für eine praktische Anwendung einer instabilen Schaltung spielt das jedoch keine Rolle, da gesichert werden kann, daß irgendwelche praktischen störenden Impulse oder konstanteren Signale von ausreichender Amplitude und/oder Dauer sind, um die Schaltung aus ihrem instabilen Gleichgewichtszustand heraus zu stören.
  • Vorzugsweise weist der Detektor einen Fenstervergleicher auf.
  • Der Regler ist vorzugsweise eine Digitalausführung, wie beispielsweise ein programmierbarer Datenprozessor, der andere Hardware enthalten kann, wie beispielsweise einen Analog-Digital-Wandler, um so einen MCU zu bilden. Die instabile Schaltung weist vorzugsweise eine Analogschaltung auf. Durch Ausführen des Reglers und der instabilen Schaltung in unterschiedlichen Elektroniktechnologien wird die Möglichkeit einer gemeinsamen Störung oder eines gemeinsamen Ausfalls verringert, die das gesamte Steuersystem beeinflussen. Gleichermaßen kann die Anfälligkeit bei einem Ausfall der Stromversorgung verringert werden, indem separate Stromversorgungen für den Regler und die instabile Schaltung bereitgestellt werden.
  • Eine Sperre kann bereitgestellt werden, um ein gesperrtes Fehlersignalisierungsverhalten beim Signalisieren eines Fehlers durch den Detektor zu bewirken.
  • Die instabile Schaltung kann zwei Integrierglieder aufweisen, die in Kaskadenschaltung verbunden sind. Bei einer derartigen Schaltungsanordnung führt ein Impuls, der an das erste Integrierglied angelegt wird, zu einer im wesentlichen konstanten Veränderung bei dessen Ausgang. Diese konstante Veränderung wird danach durch das zweite Integrierglied integriert, dessen Ausgang auf eine seiner Betriebsgrenzen ansteigt. Die Integrierglieder können so angeordnet werden, daß sie Bezugsspannungen aufweisen, die mit Bezugnahme auf die Versorgungsspannungen der Integrierglieder asymmetrisch sind. Das erste Integrierglied kann angeordnet werden, um unterschiedliche Integrationszeitkonstanten für unterschiedliche Eingangsspannungsbereiche aufzuweisen.
  • Bei einer weiteren Ausführung kann die instabile Schaltung ein Integrierglied aufweisen, das mit einer positiven Rückkopplung versehen ist. Beim Gleichgewichtspunkt gleicht die Eingangsspannung die Ausgangsspannung des Integriergliedes aus. Wenn die Eingangsspannung kurzzeitig wegbewegt wird, bewirkt die resultierende Instabilität, daß sich der Ausgang des Integriergliedes verändert. Wenn die Eingangsspannung zu ihrer vorherigen Spannung zurückkehrt, wird die Gesamteingangsspannung zum Integrierglied nicht mehr länger die Ausgangsspannung ausgleichen, und die Instabilität wird bewirken, daß das Integrierglied weiter integriert und den Ausgang auf einen seiner Betriebsgrenzwerte erhöht.
  • Für den Zweck der Erläuterung wird darauf hingewiesen, daß ein einzelnes Integrierglied oder ein Integrierglied mit einer negativen Rückkopplung nicht eine instabile Schaltung ist. Im Fall eines einzelnen Integriergliedes wird ein Impuls, der an den Eingang angelegt wird, zu einer begrenzten Veränderung der Ausgangsspannung führen, aber das wird nicht zwangsläufig veranlassen, daß sich die Ausgangsspannung zu einem der Betriebsgrenzwerte bewegt. Insbesondere kann der Impuls ausreichend klein erzeugt werden, um zu sichern, daß der Ausgang des Integriergliedes nach einer vorgegebenen Zeitverzögerung nicht von der Gleichgewichtsausgangsspannung um mindestens einen vorgegebenen Wert abweicht und somit nicht in die Definition „instabile Schaltung" fällt, wie sie hierin vorangehend angegeben wird.
  • Im Fall eines Integriergliedes mit negativer Rückkopplung bewirkt jegliche Instabilität zwischen der Eingangs- und Ausgangsspannung, daß das Integrierglied die Ausgangsspannung dichter an die Eingangsspannung heran bewegt. Wenn ein Impuls an eine derartige Anordnung angelegt wird, wird sich daher der Ausgang anfangs vom Eingang wegbewegen, aber im Anschluß an die Rückführung des Einganges auf die eingeschwungene Eingangsspannung wird der Ausgang zur Gleichgewichtsausgangsspannung unter dem Einfluß der negativen Rückkopplung zurückkehren.
  • Der Regler kann angeordnet werden, um eine geeignete Funktion des Ausgangssignals der instabilen Schaltung durchzuführen, um seinem zweiten Ausgang ein Signal zuzuführen, das bewirkt, daß die instabile Schaltung das Ausgangssignal innerhalb des akzeptablen Bereiches erzeugt. Beispielsweise kann die Funktion Proportional- und Differentialglieder umfassen. Der Regler kann angeordnet werden, um ein Signal mit zwei Zuständen am zweiten Ausgang in der Form von Impulsen zu liefern, deren Arbeitszyklus oder Dichte so variiert, daß bewirkt wird, daß das Ausgangssignal der instabilen Schaltung innerhalb des akzeptablen Bereiches bleibt.
  • Das Steuersystem kann außerdem eine Einrichtung für das wirksame Sperren der Steuerung durch den ersten Ausgang aufweisen. Beispielsweise kann, wo der erste Ausgang angeordnet wird, um ein Stellgliedelement zu steuern, die Einrichtung angeordnet werden, um das Stellgliedelement zu sperren, indem beispielsweise das Stellgliedelement von einer Stromversorgung getrennt wird. Alternativ oder zusätzlich kann die Einrichtung angeordnet werden, um das Stellgliedelement vom ersten Ausgang zu trennen, oder um das Stellgliedelement von einer Last zu trennen.
  • Es ist daher möglich, eine relativ einfache und billige Anordnung zu liefern, die gestattet, daß ein Teil einer Steueranordnung im Fall eines Ausfalls des Steuersystems abgeschaltet wird. Eine derartige Anordnung ist in der Lage, einen Fehler im Fall des Auftretens irgendeines der hierin vorangehend beschriebenen Ausfälle zu signalisieren. Außerdem wird im Fall eines MCU, der einen Analog-Digital-Wandler enthält, die richtige Funktion des Analog-Digital-Wandlers ebenfalls überwacht. Die Kosten und die Kompliziertheit eines zweiten MCU können vermieden werden. Die Ausfall- oder Fehlerkontrolle kann durch eine Anordnung bewirkt werden, die mindestens teilweise vom MCU extern ist, deren Einfachheit, Stabilität und Nichtprogrammierbarkeit einige Möglichkeiten für Ausfälle der MCUs und Testvorrichtungen mit gemeinsamer Ursache beseitigen, wo sie eine gleiche Technologie zur Anwendung bringen. Möglichkeiten von Ausfällen mit gemeinsamer Ursache, die beseitigt werden können, umfassen Stoftwareentwurfs-Prozeßstörungen und gemeinsame Anfälligkeiten, beispielsweise bei einer Störung der Stromversorgung.
  • Die Erfindung wird weiter als Beispiel mit Bezugnahme auf die beigefügten Zeichnungen beschrieben, die zeigen:
  • 1 ein teilweise schematisches Schaltbild eines Steuersystems, das eine erste Ausführung der vorliegenden Erfindung darstellt;
  • 2 ein schematisches Diagramm einer Funktion, die von einem MCU des Steuersystems aus 1 durchgeführt wird;
  • 3 ein Zeitablaufdiagramm, das Spannungen über der Zeit an verschiedenen Stellen im Steuersystem aus 1 veranschaulicht; und
  • 4 ein teilweise schematisches Schaltbild eines Steuersystems, das eine zweite Ausführung der Erfindung darstellt. Gleiche Bezugszahlen betreffen gleiche Teile in den Zeichnungen.
  • 1 zeigt einen Teil eines Kraftfahrzeugsteuersystems für das Steuern der Hilfsenergie für ein Fahrzeuglenksystem. Eine Fahrzeugbatterie 1 ist mit einer Versorgungsschutzschaltung 2 der elektronischen Steuereinheit (ECU) verbunden, die einer Stromversorgungseinheit (PSU) 3 Strom für einen Mikrokontroller (MCU) 4 zuführt, der Ausgangstore 5, Digitaleingänge 6 und Analog-Digital-Wandlereingänge (ADC) 7 aufweist. Der MCU weist außerdem auf einen Mikroprozessor; einen Nur-Lesespeicher, der die Betriebs-Software enthält; einen leistungsabhängigen Direktzugriffsspeicher; und einen leistungsunabhängigen Direktzugriffsspeicher für das Festhalten von Daten, wenn das System nicht mit Strom versorgt wird. Eine separate Sicherheitsschaltungs-Stromversorgungseinheit 8 wird für eine Sicherheitsschaltung bereitgestellt.
  • Eines der Ausgangstore 5 ist mit den Lenkungsstellgliedelementen und Meßfühlern 9 verbunden, die Ausgänge aufweisen, die mit den Eingängen 6 und 7 des MCU 4 verbunden sind. Beispielsweise können die Stellgliedelemente einen Elektromotor für das Bereitstellen von Hilfsenergie für die Fahrzeuglenkung umfassen, und die Meßfühler können einen Meßfühler, der den Lenkwinkel überwacht, und einen Meßfühler umfassen, der das Maß der erforderlichen Hilfe überwacht. Eine Stellgliedelement- Stromversorgungseinheit 10 liefert Strom zu den Stellgliedelementen 9. Der Stellgliedelementausgang wird über einen elektrisch gesteuerten Trennschalter 11 einer sicherheitsbezogenen Last 12 zugeführt, wie beispielsweise dem mechanischen Lenkungssystem des Fahrzeuges.
  • Ein weiteres der Ausgangstore 5 des MCU 4 ist mit dem Eingang der zwei Integrierglieder verbunden, die in Kaskadenschaltung verbunden sind, und basiert auf Operationsverstärkern 13 und 14. Die Operationsverstärker 13 und 14 weisen Stromversorgungseingänge auf, die zwischen einer Stromversorgungsleitung 15 von der Schaltung 8 und einer gemeinsamen Versorgungsleitung 16 geschaltet sind, um so eine gefilterte und regulierte Zuführung von 5 Volt zu empfangen. Die Operationsverstärker 13 und 14 weisen nichtinvertierende Eingänge auf, die miteinander und mit dem Ausgang eines Spannungsteilers verbunden sind, der die Widerstände 17 und 18 aufweist und angeordnet ist, um eine positive Bezugsspannung von 3 Volt mit Bezugnahme auf die gemeinsame Versorgungsleitung 16 zu liefern.
  • Zusätzlich zum Operationsverstärker 13 weist das erste Integrierglied einen integrierenden Kondensator 19 mit einem Wert von 100 nF auf, der zwischen dem Ausgang und dem invertierenden Eingang des Operationsverstärkers 13 geschaltet ist. Der invertierende Eingang ist über einen Widerstand 20 mit einem Wert von 180 kOhm mit dem Ausgangstor verbunden. Der invertierende Eingang ist außerdem mit der Anode einer Diode 21 verbunden, deren Katode über einen weiteren Widerstand 22 mit einem Wert von 180 kOhm mit dem Ausgangstor verbunden ist.
  • Zusätzlich zum Operationsverstärker 14 weist das zweite Integrierglied einen integrierenden Kondensator 23 mit einem Wert von 100 nF auf, der zwischen dem Ausgang und dem invertierenden Eingang des Operationsverstärkers 14 geschaltet ist. Ein Widerstand 24 mit einem Wert von 100 kOhm ist zwischen den invertierenden Eingang des Verstärkers 14 und den Ausgang des Verstärkers 13 geschaltet. Der Source/Drain-Kanal eines Feldeffekttransistors 25 ist parallel mit dem Kondensator 23 geschaltet. Das Gate des Feldeffekttransistors 25 ist mit dem Kollektor eines Transistors 26 in Emitterschaltung verbunden, dessen Kollektor außerdem über einen Widerstand 27 mit einer Stromversorgungsleitung 28 von der Schutzschaltung 2 verbunden ist. Die Basis des Transistors 26 ist über einen Widerstand 29 mit dem Kollektor eines Transistors 30 in Emitterschaltung verbunden, dessen Kollektor über einen Widerstand 31 mit der Versorgungsleitung 15 verbunden ist. Die Basis des Transistors 30 ist über einen Widerstand 32 mit den ersten Anschlußklemmen eines Kondensators 33 und eines Widerstandes 34 verbunden. Die zweite Anschlußklemme des Kondensators 33 ist mit der Versorgungsleitung 15 verbunden. Die zweite Anschlußklemme des Widerstandes 34 und die Emitter der Transistoren 26 und 30 sind mit der gemeinsamen Versorgungsleitung 16 verbunden.
  • Der Ausgang des Operationsverstärkers 14 ist mit einem der Analog-Digital-Wandlereingänge 7 des MCU 4 und mit dem Eingang eines Fenstervergleichers 35 verbunden, dessen Ausgang mit dem Setzeingang einer Sperre 36 verbunden ist. Die Sperre 36 kann durch eine Verbindung mit der Versorgungsleitung 15 zurückgestellt werden. Der Ausgang der Sperre 36 ist mit einer Warnlampe 37 und mit den Eingängen der Stellgliedelement-Stromversorgungseinheit 10 und des Trennschalters 11 verbunden, um so ein Abschaltsignal dahin zu liefern.
  • Wenn Strom an das Steuersystem angelegt wird, wird der Kondensator 33 anfangs entladen und hält die Basis des Transistors 30 auf der Spannung der Versorgungsleitung 15. Der Transistor 30 wird eingeschaltet, und sein Kollektor hält die Basis des Transistors 26 auf der Spannung der gemeinsamen Versorgungsleitung. Der Transistor 26 wird daher abgeschaltet, und der Transistor 25 wird eingeschaltet, um so den Kondensator 23 kurzzuschließen und die Rückstellung des zweiten Integriergliedes zu halten. Der Kondensator 33 wird über den Widerstand 34 mit einer Zeitkonstante so aufgeladen, daß sich der Rest der Steuerschaltung stabilisiert und der MCU 4 seine Initiierungsbetriebsart abgeschlossen hat, bevor die absinkende Spannung an der Basis des Transistors 30 sie abschaltet. Das bewirkt, daß der Transistor 26 so eingeschaltet wird, daß er die Steuerung zum Feldeffekttransistor 25 wegführt. Der Transistor 25 wird daher abgeschaltet, so daß der Kurzschluß über dem Kondensator 23 beseitigt wird.
  • Die Verbindung der Sperre 36 mit der Versorgungsleitung 15 sichert gleichermaßen, daß die Sperre 36 zurückgestellt wird, bevor das Steuersystem zu arbeiten beginnt.
  • Während des normalen Betriebes des Steuersystems steuert der MCU 4 den Betrieb der sicherheitsbezogenen Last 12 durch die Stellgliedelemente und als Reaktion auf Signale von den Meßfühlern 9. Bei Nichtvorhandensein des Abschaltungssignals von der Sperre 36 liefert die Stromversorgungseinheit 10 Strom zu den Stellgliedelementen und Meßfühlern 9, und der Trennschalter 11 liefert eine funktionelle Verbindung zwischen den Stellgliedelementen und der Last 12.
  • Während des normalen Betriebes des Systems liefert der MCU 4 ein Ausgangssignal Vo zum Eingang des ersten Integriergliedes, dessen Ausgang das zweite Integrierglied steuert. Das erste und das zweite Integrierglied bilden eine instabile Schaltung, wie sie hierin vorangehend definiert wird, deren Ausgang einen instabilen Gleichgewichtszustand aufweist. Der Ausgang des zweiten Integriergliedes wird dem Fenstervergleicher 35 zugeführt, der ein Ausgangssignal erzeugt, wenn der Ausgang des zweiten Integriergliedes außerhalb des Vergleichsfensters fällt. In dem Fall, daß Fenstervergleicher 35 einen Ausgang erzeugt, wird die Sperre 36 so eingestellt, daß die Warnlampe 37 leuchtet und ein Abschaltungssignal zur Stromversorgungseinheit 10 und dem Trennschalter 11 zugeführt wird. Die Stromversorgungseinheit 10 wird daher abgeschaltet, und der Trennschalter 11 trennt die Stellgliedelemente von der Last 12, um somit zu gestatten, daß die nicht mit Hilfsenergie durchgeführte Funktion der Fahrzeuglenkung fortgesetzt wird. Die Hilfsenergie wird daher bis zu einem derartigen Zeitpunkt abgeschaltet, zu dem die Sperre 36 durch Entfernen des Stromes von der und erneutes Anlegen des Stromes an die Schaltung zurückgestellt wird.
  • Zusätzlich zur Steuerung der Hilfsenergie des Fahrzeuglenkungssystems führt der MCU 4 ebenfalls eine Funktion durch, die während des richtigen Betriebes des Systems sichert, daß das Ausgangssignal B des zweiten Integriergliedes innerhalb des Fensters des Fenstervergleichers 35 bleibt. Die Funktion, die vom MCU 4 durchgeführt wird, um das zu erreichen, wird schematisch in 2 veranschaulicht. Die Funktion wird digital und sich wiederholend mittels des MCU 4 am abgetasteten und umgewandelten Ausgang B(t) des Analog-Digital-Wandlers innerhalb des MCU 4 durchgeführt. Das Signal B(t) wird bei 40 von einem Zielwert Ta subtrahiert, um einen Fehlerwert E(t) zu bilden. Dieses Fehlersignal wird bei 41 mit einer Proportionalkonstante P multipliziert, um ein Proportionalglied P.E(t) zu bilden. Der Fehler E(t) wird direkt und über eine Einperioden-Zeitverzögerung 42 zu einer Differenziereinrichtung 43 geliefert, die ein Differenzsignal ΔE(t) als (E(t)-E(t-1)) bildet. Das Differenzsignal wird bei 44 mit einer Differentialkonstante D multipliziert, um ein Differentialglied D.ΔE(t) zu bilden. Das Ergebnis der Funktion von der vorhergehenden Periode wird über eine Einperioden-Verzögerung 45 zugeführt und bei 46 mit einer Rückkopplungskonstante F multipliziert, um ein Rückkopplungsglied F.Vo(t-1) zu liefern. Die Proportional-, Differential- und Rückkopplungsglieder werden danach bei 47 summiert, um eine Summe zu bilden, die bei 48 mit einem Grenzwert verglichen wird. Wenn die Summe den Grennzwert Th(t) übersteigt, dann wird der Ausgang Vo(t) auf den Logikpegel 1 bei 49 eingestellt. Anderenfalls wird der Ausgang auf den Logikpegel 0 eingestellt.
  • Der Grenzwert Th(t) kann ein konstanter Grenzwert sein. Um jedoch Toleranzen in anderen Teilen des Steuersystems aufzunehmen, kann ein anpassungsfähiger Grenzwert benutzt werden, und das wird in 2 veranschaulicht. Der Fehler E(t) wird bei 50 mit einer Aktualisierungsrate U multipliziert und danach bei 51 zum vorhergehenden Grenzwert Th(t-1) addiert, um den augenblicklichen Grenzwert zu bilden. Daher wird der Fehler E(t) mit einer Zeitkonstante integriert, die umgekehrt mit U in Beziehung steht, und zum Grenzwert addiert. Wenn das Steuersystem von der Stromzuführung getrennt wird, wird der augenblickliche Grenzwert im leistungsunabhängigen Speicher für eine Verwendung gespeichert, wenn dem System wieder Strom zugeführt wird.
  • Bei einer spezifischen praktischen Anwendung des Steuersystems, das in 1 und 2 veranschaulicht wird, wird die Zielspannung Ta auf 2,5 Volt eingestellt, d.h., auf die Mitte zwischen den Versorgungsleitungen 15 und 16, wobei die 3 Volt Bezugsspannung, die den nichtinvertierenden Eingängen der Operationsverstärker 13 und 14 zugeführt wird, auf diese Weise mit Bezugnahme darauf ausgeglichen wird. Die Proportionalverstärkung P zeigte einen Wert von 0,8, die Vorhaltverstärkung D zeigte einen Wert von 3,1, die Rückkopplungsverstärkung F zeigte einen Wert von –320, und die Aktualisierungsrate U zeigte einen Wert von 0,002. Die Zielspannung Ta wurde als 512 Bits dargestellt. Der Steueralgorithmus, der in 2 veranschaulicht wird, wurde aller 4 Millisekunden durchgeführt, und die Fenstergrenzwerte des Vergleichers 35 wurden auf 1 Volt und 4 Volt eingestellt. Bei den vorangehend angegebenen Werten zeigte das zweite Integrierglied eine Verstärkung von –100 pro Sekunde. Mit der Spannung Vo auf dem Niveau der gemeinsamen Versorgungsleitung 16 zeigt das erste Integrierglied einen effektiven Eingang von –3 Volt und eine Verstärkung von –111 pro Sekunde, um eine Ausgangsspannung A zu liefern, die mit einer Geschwindigkeit von 333 Volt pro Sekunde ansteigt. Wenn die Ausgangsspannung Vo auf einem hohen Niveau ist, wird die Diode 21 durchlaßvorgespannt, so daß das Integrierglied eine Verstärkung von –55,6 pro Sekunde mit einer effektiven Eingangsspannung von +2 Volt aufweist, um eine Anstiegsgeschwindigkeit von –111 Volt pro Sekunde als seinen Ausgang A zu liefern.
  • Mit den hierin vorangehend angegebenen Werten wird der Ausgang B des zweiten Integriergliedes während des normalen Betriebes des MCU 4 eingeschränkt, so daß er zwischen 1,8 und 3,2 Volt liegt. Daher bleibt die Ausgangsspannung des zweiten Integriergliedes innerhalb des Fensters des Fenstervergleichers 35, und das Steuersystem funktioniert normal.
  • Im Fall des Auftretens einer Störung im MCU 4, beispielsweise so, daß eine unveränderliche Frequenz für ein sich wiederholendes Muster im Ausgangstor anstelle des Signals Vo erzeugt wird, wird ein ansteigender Ausgang A im Ausgang des ersten Integriergliedes erzeugt. Nur im unwahrscheinlichen Fall einer genauen Angleichung an die Schaltungsbedingungen wird der Ausgang des ersten Integriergliedes stationär bleiben. Noch unwahrscheinlicher ist eine genaue Angleichung zwischen irgendeinem derartigen stationären Ausgang und der Bezugsspannung des zweiten Integiergliedes. Daher wird sich in der Praxis die Ausgangsspannung B des zweiten Integriergliedes schnell außerhalb des Fensters des Vergleichers 35 bewegen, so daß das Abschaltungssignal über die Sperre 36 zugeführt wird, und das Ausgangssignal B des zweiten Integriergliedes wird nur innerhalb des Fensters des Vergleichers 35 gehalten, wenn ein vollständig funktionstüchtiger Regelkreissteueralgorithmus, wie er in 2 gezeigt wird, richtig im MCU abläuft. Im Fall des Auftretens irgendeines Ausfalles im MCU wird das Ausgangssignal B über einen der Fenstergrenzwerte innerhalb sehr weniger Rechenzyklen ansteigen, in vielen Fällen innerhalb nur eines einzelnen Zyklusses, so daß die Last 12 vom Steuersystem mit einer extrem schnellen Reaktionszeit im Fall einer Störung oder eines Ausfalles getrennt wird.
  • 3 veranschaulicht die Ausgangsspannung Vo, das Ausgangssignal A des ersten Integriergliedes und das Ausgangssignal B des zweiten Integriergliedes während des normalen Betriebes des Steuersystems. Der MCU steuert die in Kaskadenschaltung verbundenen Integrierglieder, so daß das Ausgangssignal B durchaus innerhalb der Fenstergrenzwerte des Vergleichers 35 verbleibt.
  • Verschiedene Modifikationen können innerhalb des Bereiches der Erfindung vorgenommen werden. Um ein sogar höheres Niveau an Sicherheit zu bewirken, daß die Fenstergenzwerte im Fall einer Störung im MCU 4 passiert werden, kann beispielsweise ein zuverlässiges Breitbandgeräuschsignal als ein zusätzlicher Eingang an eines der beiden Integrierglieder angelegt werden. Das Rauschsignal kann von irgendeiner geeigneten beliebigen Geräuschquelle kommen, wie beispielsweise der verstärkten Diodenausführung. Alternativ könnte eine pseudozufällige Geräuschquelle benutzt werden, aber weil das in Binärlogik verwirklicht würde, wäre es nicht so verschieden von der Technologie des MCU 4. Wenn ein Rauschsignal an das zweite Integrierglied angelegt würde, dann wäre es möglich, eine ziemlich hohe Sicherheit des Störungsnachweises mit nur dem einen Integrierglied zu erhalten. In beiden Fällen könnte ein Ausfall der Geräuschquelle durch das verringerte Niveau des Steuervorganges nachgewiesen werden, das erforderlich ist, um das Ausgangssignal B des zweiten Integriergliedes innerhalb des Vergleicherfensters zu halten. In diesem Fall könnte eine Warnung ausgegeben und das Steuersystem abgeschaltet werden, indem ein diagnostischer Kode im MCU 4 läuft, lange bevor ein zweiter Ausfall des MCU das Vorhandensein eines Rauschens erfordern könnte, um seine Erkennung zu verbessern.
  • Die Sicherheitsschaltungssteuer-Task, die als die in 2 veranschaulichte Funktion dargestellt wird, ist so ausgelegt, daß sie mit einer speziellen Repetitionsfrequenz läuft (beim vorangehend beschriebenen spezifischen Beispiel aller 4 Millisekunden). Wenn eine gewisse Fehlfunktion der Anwendungs-Software auftreten sollte, die dazu führen würde, daß die Sicherheitsschaltungssteuer-Task mit einer bedeutend abweichenden Geschwindigkeit läuft, dann wäre die Steuer-Task nicht in der Lage, die Sicherheitsschaltung angemessen zu steuern, und das Ausgangssignal B des zweiten Integriergliedes würde einen der Fenstergrenzwerte übersteigen. Das System wird auf diese Weise vor Auswirkungen geschützt, wenn die Software in eine fehlerhafte Betriebsart eintritt, die bewirken würde, daß es bedeutend von seiner ursprünglichen Zeitsteuerungsspezifikation abweicht. Außerdem wird das System vor der zufälligen Benutzung eines falschen MCU-Zeitsteuerungsquarzes während der Systemherstellung oder einem heftigen Weglaufen der Quarzfrequenz beim Betrieb geschützt.
  • Ein weiteres Niveau des Schutzes vor einer Fehlfunktion der Anwendungs-Software könnte durch Verteilen der Software der Sicherheitsschaltungssteuer-Task durch die verschiedenen Module der Anwendungs-Software bereitgestellt werden. Jede Iteration der Sicherheitsschaltungssteuer-Task würde dann von der Ausführung eines jeden der Module der Anwendungs-Software abhängen, in dem sie verteilt wird. Das würde einen Schutz vor den Auswirkungen eines Ausfalls eines einzelnen Software-Prozesses liefern, was dazu führen könnte, daß andere Prozesse, die die Sicherheitsschaltungssteuer-Task umfassen, weiterhin richtig funktionieren.
  • Eine weitere Systemprüfung kann mittels der Sicherheitsschaltungssteuer-Task durchgeführt werden. Es kann veranlaßt werden, daß die richtige Funktion des Systems von einem kritischen Ereignis abhängig ist, wie beispielsweise einer externen Unterbrechung, die unter normalen Umständen bei einer Frequenz auftritt, die gleich ist oder schneller als die Repetitionsfrequenz der Sicherheitsschaltungssteuer-Task. Es kann dann veranlaßt werden, daß die Ausführung der Sicherheitsschaltungssteuer-Task von dem Ereignis abhängig ist, das erkannt wurde. Wenn das Ereignis nicht auftritt, dann wird die Ausführung der Sicherheitsschaltungssteuer-Task gesperrt, und eine Abschaltung wird eingeleitet. Eine derartige Anordnung prüft schließlich die Zeitsteuerung des externen Ereignisses mittels der Sicherheitsschaltungs-Hardware.
  • Das Steuersystem kann so angeordnet werden, daß der MCU 4 während der Trennung von der Stromzuführung seinen eigenen Ausfall emuliert, um zu kontrollieren, daß die Sicherheitsschaltung und der Abschaltungssignalweg richtig funktionieren. Der MCU 4 führt das durch, indem er damit aufhört, den Ausgang Vo zu steuern, so daß das Signal B die Fenstergrenzwerte übertreten sollte. Der MCU 4 überwacht die Auswirkung dieses emulierten Ausfalls, indem der Ausgang der Stellgliedelement-Stromversorgungseinheit 10 gemessen wird, wie im Stellgliedelement- und Meßfühlerblock 9 gesehen wird. Wenn innerhalb einer vorgeschriebenen sicheren Zeit keine Abschaltung erkannt wird, gibt der MCU 4 einen diagnostischen Kode aus und schaltet das Steuersystem ab, bis eine Reparatur bewirkt ist.
  • Wenn die Selbstkontrolle während des Trennens von der Stromversorgung durchgeführt wird, kann ein Problem darin auftreten, daß, wenn das System sofort wieder mit Strom versorgt wird, die Selbstkontrolle dazu führen kann, daß die Sperre 36 so eingestellt wird, daß die Stellgliedelementstromversorgung 10 und der Trennschalter 11 während der anschließenden Operation abgeschaltet werden. Um dieses Problem zu vermeiden, kann das Steuersystem aus 1 modifiziert werden, wie es in 4 gezeigt wird.
  • Das in 4 gezeigte Steuersystem weicht von dem in 1 gezeigten darin ab, daß der Transistor 25 weggelassen wird, die Sperre 36 eine D-Sperre ist, ein ODER-Gatter 38 bereitgestellt wird, dessen Ausgang die Stellgliedelement-Stromversorgungseinheit 10 und den Trennschalter 11 steuert, und dessen Eingänge mit dem Ausgang der Sperre 36 und dem Ausgang des Vergleichers 35 verbunden sind, und der Kollektor des Transistors 26 über einen Widerstand 39 mit einem asynchronen Rückstelleingang der Sperre 36 und über eine Zener-Diode 40 mit der gemeinsamen Versorgungsleitung 16 verbunden ist. Der Ausgang des Fenstervergleichers 35 ist mit einem Takteingang der Sperre 36 verbunden, die in der Ausführung vorliegt, die Daten vom D-Eingang zum Ausgang am ansteigenden Übergang des Takteinganges überträgt. Der D-Eingang der Sperre ist mit der Versorgungsleitung 15 verbunden.
  • Wenn das Steuersystem aus 4 hochgefahren wird, schaltet die Verzögerungsschaltung, die die Bauteile 26, 27 und 29 bis 34 aufweist, die Sperre 36 über eine vorgegebene Zeitdauer ab. Der Widerstand 39 und die Zener-Diode 40 begrenzen die Spannung, die an den asynchronen Rückstelleingang der Sperre 36 angelegt wird, um so eine Beschädigung der Sperre zu verhindern.
  • Der Ausgang des ODER-Gatters 38 folgt dem Ausgang des Fenstervergleichers 35 während der vorgegebenen Periode, wenn der Ausgang der Verzögerungsschaltung hoch ist. Danach wird irgendein hohes Signal am Takteingang im Ausgang der D-Sperre 36 erfaßt und daher im Ausgang des ODER-Gatters 38, bis die Stromversorgung weggenommen wird.
  • Der MCU 4 kann seinen eigenen Ausfall emulieren, wie es hierin vorangehend beschrieben wird. Die in 4 gezeigte Anordnung gestattet jedoch, daß der MCU die Steuerung der Spannung B wiedergewinnt, bevor die Sperre 36 aktiviert wird, um irgendeine Auslenkung der Spannung B außerhalb der Fenstergrenzwerte des Vergleichers 35 zu sperren.
  • Die Anordnung aus 4 gestattet ebenfalls, daß der MCU einen Test der Sicherheitsschaltungsfunktion während einer vorgegebenen Anfangszeitdauer beim Hochfahren durchführt, wenn es erforderlich ist. Um das zu tun, steuert der MCU die Spannung B so, daß den Grenzwerten des Fenstervergleichers entsprochen wird, beendet die Steuerung der Spannung B, beobachtet die Abschaltung wie vorher und gewinnt danach die Steuerung der Spannung B vor dem Ende der vorgegebenen Periode wieder. In diesem Fall kann es erforderlich sein, daß die vorgegebene Periode in geeigneter Weise verlängert wird. Ein Vorteil eines Hochfahrtests ist, daß er eine frühzeitige Erkennung von Störungen gestattet, die sich selbst erst während der vorhergehenden Nichtbetriebsperiode gezeigt haben.
  • Es ist daher möglich, ein Steuersystem mit einer integrierten Sicherheitsfunktion bereitzustellen, die eine sehr zuverlässige Erkennung von Ausfällen bewirkt und sichert, daß eine sicherheitsbezogene Last abgeschaltet wird, wenn es zu einem Ausfall kommen sollte. Die Sicherheitsschaltung ist billig und einfach zu realisieren, und die vom MCU geforderte zusätzliche Software zur Durchführung dieser Funktion bringt keinen wesentlichen Nachteil hinsichtlich Kosten oder Kompliziertheit mit sich.

Claims (20)

  1. Steuersystem, das aufweist: einen Regler (4) mit einem ersten Ausgang (5), der einen Systemsteuerausgang bildet, und einem zweiten Ausgang (5); eine Schaltung (13, 14, 19-24) mit einem Eingang, der mit dem zweiten Ausgang (5) verbunden ist, und einem Ausgang, der mit einem Eingang (7) des Reglers (4) verbunden ist; und einen Detektor (35), der mit dem Ausgang der Schaltung (13, 14, 19-24) verbunden und angeordnet ist, um einen Fehler zu signalisieren, wenn ein Ausgangssignal (B) der Schaltung (13, 14, 19-24) außerhalb eines akzeptablen Bereiches zu finden ist, wobei der Regler (4) während dessen richtigen Funktion angeordnet ist, um dem zweiten Ausgang (5) ein Signal (Vo) zuzuführen, das bewirkt, daß die Schaltung (13, 14, 19-24), ein Ausgangssignal (B) innerhalb des akzeptablen Bereiches erzeugt, dadurch gekennzeichnet, daß die Schaltung eine instabile Schaltung ist, die für das Bereitstellen einer Ausgangsspannung wirksam ist, die im wesentlichen konstant ist, wenn eine Eingangsspannung bei einem vorgegebenen konstanten Wert liegt, worauf man sich als eingeschwungene Eingangsspannung bezieht, und die sich so verändert, daß die drei Parameter: (1) die Differenz zwischen der Ausgangsspannung und der Gleichgewichtsausgangsspannung, wobei man sich auf die Gleichgewichtsausgangsspannung als die Ausgangsspannung bezieht, die im wesentlichen bei der vorgegebenen konstanten eingeschwungenen Eingangsspannung konstant ist; (2) das erste Zeitdifferential von (1); und (3) das zweite Zeitdifferential von (1) niemals sich gleichzeitig asymptotisch der Null nähern, nachdem sich die Eingangsspannung kurzzeitig von der eingeschwungenen Eingangsspannung verändert hat und zu zurückgekehrt ist.
  2. System nach Anspruch 1, dadurch gekennzeichnet, daß die instabile Schaltung (13, 14, 19-24) aufweist: ein erstes Integrierglied (13, 19-22); und ein zweites Integrierglied (14, 23, 24), die in Kaskadenschaltung verbunden sind.
  3. System nach Anspruch 2, dadurch gekennzeichnet, daß jedes von erstem und zweitem Integrierglied (13, 14, 19-24) angeordnet ist, um eine Bezugsspannung zu empfangen, die mit Bezugnahme auf die Versorgungsspannungen des ersten und zweiten Integriergliedes (13, 14, 19-24) asymmetrisch ist.
  4. System nach Anspruch 2 oder 3, dadurch gekennzeichnet, daß das erste Integrierglied (13, 19-22) eine erste Zeitkonstante für einen ersten Eingangsspannungsbereich und eine zweite Zeitkonstante, die von der ersten Zeitkonstante abweicht, für einen zweiten Spannungsbereich aufweist, der vom ersten Spannungsbereich abweicht.
  5. System nach Anspruch 1, dadurch gekennzeichnet, daß die instabile Schaltung ein Integrierglied aufweist, das mit einer positiven Rückführung versehen ist.
  6. System nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der Detektor (35) einen Fenstervergleicher aufweist.
  7. System nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der Regler (4) ein Digitalregler ist.
  8. System nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die instabile Schaltung (13, 14, 19-24) eine Analogschaltung aufweist.
  9. System nach einem der vorhergehenden Ansprüche, gekennzeichnet durch eine erste Stromversorgung (2) für den Regler (4) und eine zweite Stromversorgung (8) für die instabile Schaltung (13, 14, 19-24).
  10. System nach einem der vorhergehenden Ansprüche, gekennzeichnet durch eine Sperre (36), die mit dem Ausgang des Detektors (35) verbunden ist.
  11. System nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der Regler (4) angeordnet ist, um ein Zweizutandssignal (Vo) am zweiten Ausgang (5) zu liefern, das Impulse aufweist, deren Schwingungszyklus oder Dichte variiert, um so zu bewirken, daß das Ausgangssignal (b) der instabilen Schaltung (13, 14, 19-24) innerhalb des akzeptablen Bereiches während der richtigen Funktion des Reglers (4) bleibt.
  12. System nach einem der vorhergehenden Ansprüche, gekennzeichnet durch eine Einrichtung (10, 11) für das Deaktivieren der Steuerung durch den ersten Ausgang (5) als Reaktion auf einen Fehler, der vom Detektor (35) signalisiert wurde.
  13. System nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der Regler (4) angeordnet ist, um einen Fehlersuchtest der instabilen Schaltung (13, 14, 19-24) durchzuführen.
  14. System nach Anspruch 13, dadurch gekennzeichnet, daß der Regler (4) angeordnet ist, um während des Fehlersuchtests das Signal (Vo) am zweiten Ausgang (5) so zu verändern, daß die instabile Schaltung (13, 14, 19-24) ein Signal außerhalb des akzeptablen Bereiches erzeugt, und um den Detektor (35) für das Signalisieren eines Fehlers zu überwachen.
  15. System nach Anspruch 14, dadurch gekennzeichnet, daß der Regler (4) angeordnet ist, um den ersten Ausgang (5) zu deaktivieren, wenn während des Fehlersuchtests der Detektor (35) nicht einen Fehler signalisiert.
  16. System nach Anspruch 14 oder 15, gekennzeichnet durch ein erstes Zeitrelais (26-34) für das Zuführen eines Zeitsignals während einer Zeitdauer, beginnend mit dem Anlegen des Stromes an das System und eine Deaktivierungsschaltung (25) für das Deaktivieren der instabilen Schaltung (13, 14, 19-24) während der Zeitdauer.
  17. System nach Anspruch 16, wenn er vom Anspruch 2 abhängig ist, dadurch gekennzeichnet, daß die Deaktivierungsschaltung (25) eine Rückstellschaltung für das Rückstellen des zweiten Integriergliedes aufweist.
  18. System nach einem der Ansprüche 13 bis 17, dadurch gekennzeichnet, daß der Regler (4) angeordnet ist, um den Fehlersuchtest während des Anlegens des Stromes an das System durchzuführen.
  19. System nach einem der Ansprüche 13 bis 18, dadurch gekennzeichnet, daß der Regler (4) angeordnet ist, um den Fehlersuchtest während des Wegnehmens des Stromes vom System durchzuführen.
  20. System nach Anspruch 14, dadurch gekennzeichnet, daß der Regler (4) außerdem ageordnet ist, um während des Fehlersuchtests im Anschluß an das Signalisieren eines Fehlers durch den Detektor (35) das Signal (Vo) am zweiten Ausgang zu regenerieren, so daß die intabile Schaltung (13, 14, 19-24) ein Ausgangssignal (B) innerhalb des akzeptablen Bereiches erzeugt, um das Ende des Fehlersuchtests zu definieren, und gekennzeichnet durch ein zweites Zeitrelais (26-34, 36, 39, 40) für das Verhindern des Einklinkens eines Fehlersignals vom Detektor (35) während des Fehlersuchtests.
DE69521379T 1994-09-08 1995-09-04 Fehlererkennungseinrichtung für Regelungssysteme auf Microcontroller-Basis Expired - Lifetime DE69521379T4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB9418135A GB9418135D0 (en) 1994-09-08 1994-09-08 Control system
GB9418135 1994-09-08

Publications (2)

Publication Number Publication Date
DE69521379T2 DE69521379T2 (de) 2002-05-02
DE69521379T4 true DE69521379T4 (de) 2006-12-21

Family

ID=10761057

Family Applications (2)

Application Number Title Priority Date Filing Date
DE69521379T Expired - Lifetime DE69521379T4 (de) 1994-09-08 1995-09-04 Fehlererkennungseinrichtung für Regelungssysteme auf Microcontroller-Basis
DE69521379A Expired - Lifetime DE69521379D1 (de) 1994-09-08 1995-09-04 Fehlererkennungseinrichtung für Regelungssysteme auf Microcontroller-Basis

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE69521379A Expired - Lifetime DE69521379D1 (de) 1994-09-08 1995-09-04 Fehlererkennungseinrichtung für Regelungssysteme auf Microcontroller-Basis

Country Status (5)

Country Link
US (1) US5663713A (de)
EP (1) EP0701207B9 (de)
JP (1) JP3889072B2 (de)
DE (2) DE69521379T4 (de)
GB (1) GB9418135D0 (de)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09235942A (ja) * 1996-02-29 1997-09-09 Tokai Rika Co Ltd モータ駆動制御装置
WO1999000287A1 (fr) * 1997-06-30 1999-01-07 Mitsubishi Denki Kabushiki Kaisha Dispositif de commande pour automobiles
GB0102802D0 (en) 2001-02-03 2001-03-21 Trw Lucas Varity Electric Electrical power-assisted steering systems
FR2848520B1 (fr) * 2002-12-11 2005-12-23 Soc Mecanique Irigny Commande motorisee de valve a assistance variable pour direction assistee hydraulique
US7106221B2 (en) * 2003-04-30 2006-09-12 Harman International Industries, Incorporated Capacitive touch switch system for an audio device
US7133727B2 (en) * 2003-08-01 2006-11-07 Invensys Systems, Inc. System and method for continuous online safety and reliability monitoring
WO2005013098A2 (en) * 2003-08-01 2005-02-10 Invensys Systems, Inc. Continuous online safety and reliability monitoring
US7117119B2 (en) * 2003-08-01 2006-10-03 Invensys Systems, Inc System and method for continuous online safety and reliability monitoring
JP2005324622A (ja) * 2004-05-13 2005-11-24 Nsk Ltd パワーステアリング制御装置、方法、およびプログラム
US7420297B2 (en) * 2005-09-30 2008-09-02 Rockwell Automation Technologies, Inc. Combination control system with intermediate module
US7868487B2 (en) * 2006-04-18 2011-01-11 Rockwell Automation Technologies, Inc. Apparatus and method for restricting power delivery
DE102007049023A1 (de) * 2007-10-11 2009-04-16 Technische Universität Darmstadt Vorrichtung und Verfahren zur Emulation eines Aktors
TWI438604B (zh) 2007-10-26 2014-05-21 Etron Technology Inc 一種具省電功能的時序控制電路及相關方法
TWM335795U (en) * 2007-11-13 2008-07-01 Wistron Neweb Corp Protective circuit for microprocessor
US20120016633A1 (en) * 2010-07-16 2012-01-19 Andreas Wittenstein System and method for automatic detection of anomalous recurrent behavior
DE102011050017A1 (de) 2011-04-29 2012-10-31 Allweiler Gmbh Steuermittel zum Ansteuern eines Frequenzumrichters sowie Ansteuerverfahren
US20140163907A1 (en) * 2012-12-10 2014-06-12 General Electric Company Systems and methods for fault detection
US10175271B2 (en) * 2012-12-31 2019-01-08 Silicon Laboratories Inc. Apparatus for differencing comparator and associated methods
RU2576594C1 (ru) * 2014-12-02 2016-03-10 Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Ивановский государственный энергетический университет имени В.И. Ленина" (ИГЭУ) Способ автоматической компенсации влияния гармонических колебаний момента нагрузки в электромеханической системе и устройство для его осуществления
RU2565490C1 (ru) * 2014-12-16 2015-10-20 Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Ивановский государственный энергетический университет имени В.И. Ленина" (ИГЭУ) Способ адаптивной компенсации влияния гармонических колебаний момента нагрузки в электромеханической системе и устройство для его осуществления
RU2608081C2 (ru) * 2015-06-26 2017-01-13 Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Ивановский государственный энергетический университет имени В.И. Ленина" (ИГЭУ) Способ компенсации влияния гармонических колебаний момента нагрузки в электромеханической системе и устройство для его осуществления
DE102015113110B4 (de) * 2015-08-10 2019-03-14 MAQUET GmbH Ansteuervorrichtung mindestens einer Antriebseinrichtung eines Operationstisches und Verfahren zum Ansteuern
KR102471045B1 (ko) * 2016-12-21 2022-11-25 아싸 아브로이 에이비 전력을 전송하기 위한 전력변환기
RU2659370C1 (ru) * 2017-07-24 2018-06-29 федеральное государственное бюджетное образовательное учреждение высшего образования "Ивановский государственный энергетический университет имени В.И. Ленина" (ИГЭУ) Устройство для управления электромеханической системой

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2851190C3 (de) * 1978-11-27 1981-06-11 Nsm-Apparatebau Gmbh & Co Kg, 6530 Bingen Fehlerschutzanordnung
US4433390A (en) * 1981-07-30 1984-02-21 The Bendix Corporation Power processing reset system for a microprocessor responding to sudden deregulation of a voltage
JPH0798490B2 (ja) * 1986-02-06 1995-10-25 本田技研工業株式会社 電動式パワーステアリング装置
US4916698A (en) * 1988-09-29 1990-04-10 Allied-Signal Inc. Failure detection mechanism for microcontroller based control system
DE3902037C1 (de) * 1989-01-25 1990-06-07 Renk Ag, 8900 Augsburg, De
DE4024287A1 (de) * 1990-07-31 1992-02-06 Porsche Ag Steuergeraet mit einem mikrorechner
EP0638470B1 (de) * 1991-10-10 1997-01-22 Koyo Seiko Co., Ltd. Elektrische Servolenkung
DE4212069C1 (de) * 1992-04-10 1993-05-19 Hella Kg Hueck & Co, 4780 Lippstadt, De
US5519346A (en) * 1994-06-22 1996-05-21 Motorola, Inc. Selective restart circuit for an electronic device
US5581206A (en) * 1995-07-28 1996-12-03 Micron Quantum Devices, Inc. Power level detection circuit

Also Published As

Publication number Publication date
JP3889072B2 (ja) 2007-03-07
EP0701207B1 (de) 2001-06-20
DE69521379T2 (de) 2002-05-02
DE69521379D1 (de) 2001-07-26
US5663713A (en) 1997-09-02
GB9418135D0 (en) 1994-10-26
EP0701207A1 (de) 1996-03-13
EP0701207B9 (de) 2005-11-30
JPH08101701A (ja) 1996-04-16

Similar Documents

Publication Publication Date Title
DE69521379T4 (de) Fehlererkennungseinrichtung für Regelungssysteme auf Microcontroller-Basis
EP2017869B1 (de) Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
DE3234637C2 (de)
EP2817860B1 (de) Sicherheitsschaltvorrichtung mit netzteil
DE69627589T2 (de) Unterspannungsdetektion für mikrocontroller
EP0716781B1 (de) Vorrichtung zum betreiben eines verbrauchers in einem fahrzeug
DE4101598A1 (de) Schaltungsanordnung fuer eine blockiergeschuetzte bremsanlage
DE19806821A1 (de) Gerät zur Feststellung einer Störung in einem Magnetventil
EP1004162B1 (de) Verfahren zur überwachung eines schutzgerätes
EP1254400A1 (de) Schaltungsanordnung zum sicheren abschalten einer anlage, insbesondere einer maschinenanlage
WO2014131822A1 (de) Sicherheitsschaltvorrichtung zum ein- und fehlersicheren ausschalten einer technischen anlage
DE69816975T2 (de) Taktleitungs-überstromschutz und industrielles steuerungssystem damit
EP0521860B1 (de) Verfahren zum überwachen von induktiven lasten auf fehler
DE19841719C2 (de) Schaltungsanordnung zur Flankensteilheitsformung
DE2718798C3 (de) Schutzschaltungsanordnung für einen Gleichstrom-Hauptstromkreis
EP1726085B1 (de) Verfahren zum betreiben einer versorgungseinheit für eine treiberschaltung sowie versorgungseinheit für eine treiberschaltung
EP1024985B1 (de) Schaltungsanordnung zur spannungsüberwachung einer geregelten ausgangsspannung in einem kraftfahrzeug
EP3745596A1 (de) Digitale eingangsschaltung zum empfangen digitaler eingangssignale zumindest eines signalgebers
EP1002366B1 (de) Schaltungsanordnung zum schalten von lasten
WO1998043334A1 (de) Elektronische sicherung
DE19955841A1 (de) Steuervorrichtung für Direkteinspritzer
DE102007052512B3 (de) Steuereinrichtung für eine Sicherheitsschaltvorrichtung, Sicherheitsschaltvorrichtung, Verwendung einer Steuereinrichtung und Verfahren zum Steuern einer Sicherheitsschaltvorrichtung
EP2503669A2 (de) Kommunikationssystem mit überwachtem Abschaltverhalten und Abschalt-Beschleunigungseinrichtung
DE102009050692A1 (de) Sicherheits-Kommunikationssystem zur Signalisierung von Systemzuständen
DE19855143C1 (de) Schaltung und Verfahren zur Aufrechterhaltung der Ansteuerung von Peripherieelementen durch Mikroprozessoren