FR2853966A1 - Procede et dispositif pour augmenter la securite de fonctionnement d'un composant electrique - Google Patents

Procede et dispositif pour augmenter la securite de fonctionnement d'un composant electrique Download PDF

Info

Publication number
FR2853966A1
FR2853966A1 FR0403704A FR0403704A FR2853966A1 FR 2853966 A1 FR2853966 A1 FR 2853966A1 FR 0403704 A FR0403704 A FR 0403704A FR 0403704 A FR0403704 A FR 0403704A FR 2853966 A1 FR2853966 A1 FR 2853966A1
Authority
FR
France
Prior art keywords
microcontroller
load
active
diagnostic
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0403704A
Other languages
English (en)
Other versions
FR2853966B1 (fr
Inventor
Bernhard Forstl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of FR2853966A1 publication Critical patent/FR2853966A1/fr
Application granted granted Critical
Publication of FR2853966B1 publication Critical patent/FR2853966B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05BLOCKS; ACCESSORIES THEREFOR; HANDCUFFS
    • E05B81/00Power-actuated vehicle locks
    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05BLOCKS; ACCESSORIES THEREFOR; HANDCUFFS
    • E05B81/00Power-actuated vehicle locks
    • E05B81/54Electrical circuits
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05BLOCKS; ACCESSORIES THEREFOR; HANDCUFFS
    • E05B77/00Vehicle locks characterised by special functions or purposes
    • E05B77/46Locking several wings simultaneously
    • E05B77/48Locking several wings simultaneously by electrical means
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25413Interrupt, event, state change triggered
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2628Door, window
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Control Of Electric Motors In General (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Procédé et dispositif pour augmenter la sécurité de fonctionnement d'un composant électrique.Le diagnostic d'une charge (M) commutée à haute intensité ou relative à la sécurité est étendu par une détection active d'une modification de l'état de commutation de la charge (M) indépendamment de l'instant de l'excitation active du microcontrôleur ( C) et/ou d'une unité de contrôle de niveau supérieur.Le retour de diagnostic est transmis de préférence à une entrée d'interruption "réveillable" du microcontrôleur ( C). Cela permet un diagnostic actif d'une modification de l'état de la charge (M), même si le contrôleur ( C) se trouve dans un mode de repos.

Description

i
Procédé et dispositif pour augmenter la sécurité d'utilisation d'un composant électrique La présente invention concerne un procédé pour augmenter la sécurité d'utilisation d'un ou plusieurs composants électriques, en particulier de composants 5 électriques dans un véhicule, dans lequel une charge est excitée par un microcontrôleur et un dispositif pour augmenter la sécurité de fonctionnement d'un composant électrique dans un circuit, en particulier de composants électriques dans un véhicule, dans lequel une charge est reliée à un microcontrôleur pour être excitée.
Dans le cadre de la présente invention, le terme de composants électriques 10 désigne aussi les composants électroniques. On connaît depuis longtemps des dispositifs de protection électriques pour augmenter la sécurité d'utilisation des composants électriques. Cependant, toutes les formes de réalisations connues de dispositifs de protection électriques ont en commun qu' elles sont de plus en plus difficiles à intégrer dans des circuits, par exemple sous forme de fusibles, voire de 15 microrupteurs ou de coupe-circuits miniatures pour protéger les fonctions d'alimentation en puissance et de contrôle, à cause de l'espace d'installation réduit.
Une situation particulièrement grave apparaît dans les électroniques de véhicule ou les unités de contrôle de véhicule. Nous allons l'aborder en détail ci-après à titre d'exemple. Dans le secteur automobile, les exigences sont élevées en matière 20 de sécurité des passagers et des conducteurs. L'ampleur des fonctions de puissance à protéger du point de vue électrique va fortement croître d'une manière générale dans un avenir proche, et en particulier dans les voitures, et donc le nombre d'unités de contrôle de véhicule aussi. Cependant, la place disponible pour de telles unités est fortement limitée. Ainsi, l'intégration de dispositifs de protection électriques dans des 25 unités de contrôle pose déjà aujourd'hui d'importants problèmes en termes de place et d'encombrement.
Au-delà des simples protections contre les surcharges, c'est à dire des protections contre les courants, les tensions, les températures élevés etc., il existe des dispositifs de protection encore plus complexes. Dans leur réalisation aussi, les 30 dispositifs de protection de ce type sont plus coûteux qu'un fusible, par exemple. Ces dispositifs de protection sont habituellement réalisés sous forme de circuits à microcontrôleur dont la tâche consiste aussi à surveiller le fonctionnement de charges connectées ou à commuter. Ainsi, les moteurs d'un dispositif de verrouillage centralisé constituent par exemple à l'intérieur d'un véhicule des charges qui ne sont 35 activées que très brièvement, en règle générale pendant environ seulement 400 ms, dans l'application sous forme de charges de basse impédance avec des courants relativement élevés. Ce bref temps d'excitation suffit pour mettre le verrouillage centralisé d'un véhicule dans l'état souhaité. Du fait du bref temps d'excitation, les sections des fils et les composants électriques peuvent cependant bénéficier d'une conception et d'un dimensionnement et, d'une manière générale, d'un coût qui restent faibles pour dissiper la chaleur perdue d'un fort courant électrique.
Sur des dispositifs de sécurité connus et publiés par la Demanderesse, le diagnostic d'une charge de forte impédance à commuter ou d'une charge relative à la sécurité est effectué dans un contrôleur soit avant la mise en circuit de la charge, soit immédiatement après l'activation de la sortie correspondante. Ainsi, le contrôleur n'est pratiquement activé que pendant le laps de temps dans lequel la charge doit être 10 commandée. Un comportement de défaillance ne peut donc en principe pas être détecté temporellement entre les instants mentionnés. Une perturbation non détectée peut donc entraîner des états de fonctionnement critiques pour la sécurité et par exemple provoquer un incendie de câble dans le véhicule, mais aussi produire une activation non souhaitée et incontrôlée d'éléments de commande relatifs à la sécurité. 15 La présente invention a pour objectif de proposer un dispositif amélioré et un procédé pour augmenter la sécurité de fonctionnement d'un ou plusieurs composants électriques en tenant compte du type susmentionné de mécanismes de défaillance.
Cet objectif est atteint selon l'invention par un procédé caractérisé en ce qu'une modification de l'état de commutation d'une charge concernée est détectée de 20 manière active, et un diagnostic se faisant indépendamment de l'instant d'une excitation active de la charge par le microcontrôleur et/ou par une unité de contrôle de niveau supérieur, ainsi que par un système faisant office de dispositif caractérisé en ce qu'il possède des moyens pour détecter de manière active une modification de l'état de commutation de la charge qui sont configurés indépendamment de l'instant 25 d'une excitation active d'un microcontrôleur pour agir sur le microcontrôleur et/ou une unité de contrôle de niveau supérieur. . Un dispositif pour augmenter la sécurité de fonctionnement de composants électriques faisant office de charge présente en conséquence selon l'invention des moyens de détection pour détecter activement une modification de l'état de 30 commutation d'une charge concernée, qui agissent sur un microcontrôleur et/ou une unité de contrôle de niveau supérieur, indépendamment de l'instant d'activation du microcontrôleur.
Dans un perfectionnement de l'invention, le retour de diagnostic est transmis à une entrée d'interruption "réveillable", de préférence une interruption du 35 microcontrôleur faisant office d'organe de contrôle. Dans une forme de réalisation de l'invention, pour le retour de diagnostic, une entrée d'interruption non masquable est utilisée comme port de lecture de retour de diagnostic. Sinon, des messages de retour concernant une modification d'état sont transmis par un bus à une instance de contrôle de niveau supérieur. Dans les véhicules automobiles, le bus CAN peut être utilisé comme bus standard élargi avec la possibilité de donner la priorité à certains messages.
Par ailleurs, un diagnostic est effectué de manière avantageuse. On détermine alors si la défaillance présente peut être éliminée par le microcontrôleur seul. En cas de défaillance grave sans possibilité de correction par le microcontrôleur, une instance de niveau supérieur au microcontrôleur effectue une déconnexion ou prend une autre mesure corrective.
Selon d'autres particularités de l'invention: - le retour de diagnostic est transmis à une entrée d'interruption réveillable du microcontrôleur, le retour de diagnostic est transmis à une entrée d'une interruption non masquable faisant office de port de lecture de retour de 15 diagnostic, l'activation ou la désactivation d'une charge est effectuée par un dispositif de commande de réseau embarqué, un moteur d'un système de verrouillage centralisé étant excité de préférence en tant que charge, le procédé est établi par un moyen de diagnostic si un état de défaillance peut être éliminé par le microcontrôleur, et des mesures correctives étant prises par une unité de contrôle de niveau supérieur en cas de défaillance du microcontrôleur, - le dispositif est configuré pour appliquer le procédé précité, - il est prévu un dispositif de commande de réseau embarqué pour activer ou désactiver la charge après la consigne donnée par le microcontrôleur, - le matériel nécessaire supplémentaire par rapport aux systèmes connus est réuni essentiellement dans le microcontrôleur, 30 - il est prévu des moyens de diagnostic pour constater un état de défaillance qui ne peut pas être éliminé par le microcontrôleur, et que ces moyens de diagnostic disposent aussi de mesures correctives. La présente invention est décrite plus en détail ci-après de manière schématique à l'aide d'exemples de réalisation préférés pour illustrer d'autres 35 caractéristiques et avantages en se référant aux dessins annexés. Ceux-ci montrent: Figure 1: un schéma de principe d'un circuit de commutation selon l'invention; Figure 2: une représentation d'un comportement dans le temps en cas de perturbation; Figure 3: une représentation d'un circuit de commutation étendu avec une perturbation ne pouvant pas être éliminée de manière active; Figure 4 un schéma de principe d'un circuit de commutation selon l'état de la technique et Figure 5 une représentation d'un comportement dans le temps du circuit de commutation selon la figure 4 en cas de perturbation.
Un circuit de commutation 1 selon l'état de la technique comprend comme élément de commande un microcontrôleur pC qui contrôle une charge avec un signal 10 de commande lctrl par le biais d'un amplificateur de puissance ou d'un commutateur L; voir figure 4. La charge, en l'occurrence un moteur M, reçoit un signal d'excitation lact. Ce signal d'excitation lact est renvoyé en partie comme signal de diagnostic Diag au microcontrôleur pC par un diviseur de tension. Cela permet de confirmer que le signal de commande lctrl a aussi été correctement converti en signal d'excitation 15 1 act pour activer le moteur M. Un tel circuit 1 est utilisé de manière connue dans des véhicules automobiles pour exciter et contrôler les moteurs M d'un dispositif de verrouillage centralisé. Les moteurs M constituent alors des charges de basse impédance qui ne sont excitées que brièvement avec des courants élevés. Le bref temps d'excitation, par exemple de 20 400 ms, suffit cependant pour mettre le verrouillage centralisé d'un véhicule dans l'état souhaité. Du fait du bref temps d'excitation, les sections des fils et les composants électriques peuvent rester d'un faible dimensionnement total pour dissiper la chaleur bien que des courants relativement élevés circulent lorsque le circuit est dans un état actif.
Un diagnostic d'un moteur M faisant office de "charge de forte impédance" à commuter est effectué par le microcontrôleur pC dans une fenêtre temporelle qui est entourée d'un trait mixte sur le dessin de la figure 5. Les diagrammes de la figure 5 représentent l'évolution du signal dans le temps dans le microcontrôleur pC en présence d'un courant circulant I et l'évolution du signal d'excitation lact qui est 30 appliqué à la charge M. L'évolution du signal dans le microcontrôleur pC montre qu'il faut distinguer d'une manière générale des périodes TpCrun avec le microcontrôleur pC actif d'intervalles de temps dans lesquels le microcontrôleur pC est commuté dans un mode de repos. Les périodes en mode de repos sont désignées par TpCstop. Ainsi, 35 dans le cas présent, un diagnostic du moteur M a lieu à un instant ti avant l'excitation de la charge et à un instant t2 immédiatement après l'activation de la sortie correspondante du contrôleur pC. Dans les deux cas, le microcontrôleur pC doit être activé. Sinon, un de ces états de diagnostic peut aussi être considéré comme suffisant au moins selon l'état de la technique. Ces possibilités ne seront pas étudiées plus avant ici.
Par le biais de signaux de commande 1 ctrl non représentés, la charge M elle5 même est alors activée de manière contrôlée et régulée pendant un laps de temps Ta avec le microcontrôleur pC activé. Cette phase active Ta d'environ 400 ms du moteur de commande M d'un dispositif de verrouillage centralisé est suivie d'une phase de repos Ti avec la charge M désactivée. Pendant la phase de repos Ti, le microcontrôleur pJC est lui aussi désactivé, comme l'indique la période TpCstop dans 10 le diagramme de la figure 5 avec la faible conduction de courant qui traverse le microcontrôleur pC.
A un instant ts, une perturbation extérieure S provoque alors une activation non désirée de la charge M pendant un intervalle de temps Ta*. On admet ici que cette perturbation S est une impulsion magnétique dans le signal de commande 1ctrl. 15 Cette perturbation S relativement faible est amplifiée dans le circuit selon la figure 4 par un amplificateur de puissance L. Le signal de perturbation S ne peut donc pas être distingué d'un signal de commande 1ctrl souhaité et ainsi active la charge M. Ce comportement de défaillance basé sur une perturbation S magnétique relativement faible ne se produit pas, du point de vue temporel, entre les instants tl et t2, mais 20 pendant une période TpCstop dans laquelle le microcontrôleur pC faisant office d'organe de contrôle est lui-même désactivé. Par conséquent, ce comportement de défaillance ne peut pas être détecté.
Cela peut conduire à un état critique pour la sécurité dans le véhicule: la charge M subit alors durablement un courant élevé. Une énergie électrique importante 25 est alors perdue. D'un autre côté, tout le système électrique du véhicule automobile n'est pas soumis à une telle charge durable en ce qui concerne l'évacuation de la chaleur perdue. Après l'écoulement d'un laps de temps Ata, on peut donc craindre un endommagement durable d'un ou plusieurs dispositifs électriques et électroniques.
Cet endommagement est représenté par l'éclair sur la figure 5. Mais des dommages 30 plus graves, comme par exemple un incendie de câble dans le véhicule ou une activation d'autres éléments de commande relatifs à la sécurité, ne peuvent pas être exclus non plus.
Cette situation est aussi insatisfaisante du point de vue de la sécurité contre l'effraction et le vol: un système de contrôle d'une charge concernant la sécurité, 35 comme ici la commande d'un moteur M d'un système de verrouillage centralisé, peut être désactivé de manière très efficace au moyen d'une impulsion magnétique perturbatrice d'une durée d'environ 400 ms. On pourrait alors par exemple au moins ouvrir une porte du véhicule par une manipulation extérieure. De plus, une telle manipulation pourrait aussi être commise sans effraction, de sorte qu'elle ne pourrait pas être démontrée en particulier pour les assurances.
Jusqu'à présent, la nature des mécanismes de défaillance n'était pas prise en 5 compte. Par conséquent, ces perturbations n'étaient pas couvertes non plus par des dispositifs de sécurité connus. Les exigences de sécurité électrique et une meilleure protection des véhicules contre les manipulations nécessitent ici une mesure corrective.
Le diagnostic des charges M commutées à haute intensité ou relatives à la 10 sécurité est ensuite étendu par une détection active d'une modification de l'état de commutation d'une charge M concernée. Ce diagnostic se fait indépendamment de l'instant d'une excitation active de la charge M par le microcontrôleur pC. Mais la charge M peut aussi en outre être diagnostiquée immédiatement avant l'excitation et/ou immédiatement après l'excitation, ce qui ne sera pas étudié davantage ici.
Le retour de diagnostic est appliqué à une entrée d'interruption dite "réveillable" IRQ du microcontrôleur pC. Cela permet un diagnostic actif d'une modification de l'état de la charge M, même dans le cas o le contrôleur pC se trouve dans un mode d'arrêt ou "power down mode" pCstop pendant un laps de temps TpCstop.
Outre les entrées d'interruption réveillables IRQ sur le contrôleur pC, une entrée/sortie I/O d'interruption dite non masquable, en abrégé NMI, convient comme port de lecture de retour de diagnostic. L'utilisation de l'interruption NMI est extrêmement efficace et avantageuse car cette routine d'interruption ne peut pas être cachée au niveau logiciel, ni supprimée ou désactivée. Elle est donc exécutée dans 25 tous les cas, même en présence éventuellement d'autres défaillances du processeur.
Une modification selon l'invention du schéma de principe d'un circuit de commutation 1 d'après l'état de la technique selon la figure 4 est représentée sur la figure 1. On remarquera à cet égard que des entrées d'interruption réveillables IRQ ainsi que des entrées d'interruptions non masquable NMI sont déjà actuellement 30 présentes sur des microcontrôleurs connus ou leurs familles de puces, et sont donc disponibles pour un surcoût acceptable.
Un comportement dans le temps du circuit selon la figure 1 est représenté sur le dessin de la figure 2. La description de ce comportement dans le temps est dans cet exemple limitée à un cas de perturbation: pendant que le microcontrôleur pC se 35 trouve dans un mode d'arrêt ou "power down mode" pCstop, la perturbation extérieure S, qui est une impulsion magnétique ou autre interférence, agit sur le circuit 1 à l'instant ts. Comme il est indiqué plus haut à propos de la figure 5, la charge M est activée sans consigne du microcontrôleur pC. Cette modification de l'état de la charge M déclenche alors, contrairement aux dispositifs selon l'état de la technique, seulement une interruption IRQ qui est transmise immédiatement à l'entrée correspondante du microcontrôleur pC. Dans un laps de temps très court Atreg entre 5 le déclenchement de l'interruption IRQ et son traitement à l'intérieur du microcontrôleur pC, se trouve un intervalle de temps Ata* o la charge M est à l'état actif sans contrôle du microcontrôleur pC. Ensuite, le microcontrôleur pC est commuté à l'état actif pCrun à partir de l'instant tw. Une nouvelle période TpCrun commence, et de ce fait les états de toutes les charges M qui sont reliées à ce 10 microcontrôleur pC sont maintenant vérifiés. Ainsi, l'état de commutation d'une ou plusieurs charges M en particulier relatives à la sécurité peut être vérifié rapidement.
Un laps de temps qui est prévu de manière maximale pour cette vérification est représenté par At sur le dessin de la figure 2. Dans cet exemple, le laps de temps At est inférieur au délai TpuCrun pendant lequel le microcontrôleur pC reste commuté 15 à l'état actif pCrun avec des tâches de surveillance. Pendant le laps de temps At, le microcontrôleur pC peut à tout moment à nouveau désactiver la charge M et donc mettre fin à la période Ta*. Des durées de commutation d'environ 400 ms nécessaires pour activer un système de verrouillage centralisé ne sont pas atteintes car chaque mesure d'une charge relative à la sécurité M ne dure que quelques millisecondes. En 20 particulier, le laps de temps At est inférieur à la période de chauffage Atd décrite sur la figure 5 après l'écoulement de laquelle on peut craindre un endommagement par surchauffe de composants électriques.
Dans une autre forme de réalisation de l'invention intervient une régulation par des instructions de contrôle selon le standard "controller area network", en abrégé 25 CAN. A l'aide par exemple d'une ligne à deux conducteurs, des consignes de commande selon le standard CAN, des messages dits CAN, sont transmis par un réseau de données. Ces consignes de contrôle sont lues par tous les appareils connectés à ce bus, mais ne sont analysées que par l'appareil auquel elles s'adressent. Ainsi, l'importance d'un message peut en outre être mise en évidence 30 par le choix d'un niveau de priorité. Une haute priorité d'un message CAN qui a été déclenché par la perturbation S et la modification d'état liée à celle-ci garantit une réaction immédiate du microcontrôleur pC après qu'il ait été activé ou que l'état pCrun ait été atteint. Avec l'écoulement du délai de traitement Atreg, la charge M peut ainsi être immédiatement remise de l'état activé à l'état désactivé de manière définie en 35 supprimant l'état de défaillance.
On peut ainsi rapidement identifier et éliminer avec sûreté des états de défaillance qui sont déclenchés par une influence électromagnétique extérieure ou, dans le cas d'une manipulation, par des impulsions à haute énergie. Outre des états de défaillance provoqués de l'extérieur, il peut cependant aussi se produire dans un véhicule des dysfonctionnements qui ne peuvent plus être éliminés de manière active par le microcontrôleur pC lui-même. Par exemple, des défaillances dans le 5 microcontrôleur pC luimême font partie de tels états de défaillance. Elles peuvent se présenter sous la forme de portes ou de ports claqués dans le microcontrôleur pC.
Dans un élément électronique réinscriptible utilisé comme microcontrôleur pC, des erreurs peuvent en outre se produire avec le temps dans sa programmation à cause d'un phénomène appelé "déplacement de bits". Dans le premier cas, le 10 microcontrôleur pC est lui-même défectueux et on ne peut que le remplacer; dans le second cas, on peut y remédier par une nouvelle programmation. Cependant, dans les deux cas, le microcontrôleur pC ne peut pas éliminer lui-même les états de défaillance.
De même, des défaillances dans un câble ou un faisceau de câbles relié à la 15 charge M à commuter avec un court-circuit de la charge M par exemple par une tension d'alimentation +Ubat avec la masse GND peuvent être détectées, mais pas éliminées par le microcontrôleur pC. A cet effet, sur le dessin de la figure 3 est représenté un circuit de commutation 1 avec un dispositif de commande SG et un dispositif de commande de réseau embarqué BS pour exciter un moteur M, dans 20 lequel le dispositif de commande est d'un niveau supérieur au microcontrôleur pC non représenté. Le moteur M présente ici un court-circuit avec la masse comme état de défaillance soudain. Grâce au diagnostic déclenché par la modification d'état à l'aide du signal de diagnostic Diag, cet état de défaillance grave de la charge M est détecté.
Il est aussi de fait que cette défaillance ne peut pas être éliminée par le 25 microcontrôleur pC. Selon la classification de cette défaillance, un message de défaillance est émis par le dispositif de commande SG sur le bus de données et le dispositif de commande de réseau embarqué BS provoque, en guise de mesure corrective, l'interruption de la tension d'alimentation sur le circuit de commutation défaillant et l'activation d'une indication de défaillance.
Une transmission rapide et fiable du message CAN est garantie dans le segment représenté du réseau embarqué par le fait que des messages de différents niveaux de priorité peuvent être émis selon le standard CAN. On peut ainsi préprogrammer une priorité élevée pour des états de défaillance dans des éléments relatifs à la sécurité. Cela permet de prendre des mesures ciblées pour la protection 35 du système, à savoir en l'occurrence une désactivation de la charge défectueuse par l'arrêt actif du circuit de commutation correspondant, car le microcontrôleur pC ne peut pas éliminer cette défaillance. Dans le cas présent selon la figure 3, le contenu du message CAN de haut niveau de priorité est: "Arrêter immédiatement l'alimentation électrique du moteur M". Ce message est établi dans tous les cas et transmis en priorité. Cela permet d'éviter rapidement et efficacement l'incendie de câbles ou la combustion du dispositif de commande, mais aussi le déchargement de la batterie.
Globalement, on a ainsi réalisé ici un procédé fiable pour augmenter la sécurité de fonctionnement de composants électriques qui est basé sur une surveillance de modifications d'état imprévues de charges commutables critiques. Un procédé selon l'invention ne nécessite pas que le microcontrôleur ou un dispositif de commande de niveau supérieur fonctionne en permanence dans un mode 10 d'exploitation actif. On a ainsi obtenu une fonction de sécurité supplémentaire dont l'application n'augmente pas sensiblement le courant consommé par l'unité électrique de commande. La sécurité de fonctionnement a cependant été considérablement augmentée, alors que le coût d'appareillage total est presque resté le même. La transmission est effectuée avec sécurité grâce au codage différent par des 15 interruptions ou par des messages CAN.
Grâce à l'extension des capacités d'évaluation et d'analyse d'un microcontrôleur pC et/ou d'un dispositif de commande SG de niveau supérieur, les possibilités d'application discutées peuvent être utilisées de manière redondante en plus de procédés de sécurité connus pour augmenter la sécurité générale par 20 exemple dans un véhicule. Les frais pour le matériel supplémentaire sont limités essentiellement à un microcontrôleur qui est cependant déjà prévu en soi comme composant dans des dispositifs de sécurité du type mentionné ci-dessus. Par conséquent, un équipement a posteriori peut aussi se faire sous la forme de remplacement d'un microcontrôleur faisant office de composant électronique 25 standardisé dans lequel le matériel nécessaire supplémentaire est réuni.

Claims (9)

REVENDICATIONS
1. Procédé pour augmenter la sécurité de fonctionnement d'un composant électrique, en particulier de composants électriques dans un véhicule dans lequel une charge (M) est excitée par un microcontrôleur (pC), caractérisé en ce que une modification de l'état de commutation d'une charge concernée (M) est détectée de manière active, un diagnostic se faisant indépendamment de l'instant d'une excitation active de la charge (M) par le microcontrôleur (pC) et/ou par une unité de contrôle de niveau 10 supérieur (SG).
2. Procédé selon la revendication 1, caractérisé en ce que le retour de diagnostic est transmis à une entrée d'interruption réveillable (IRQ) du microcontrôleur (pC).
3. Procédé selon une des deux revendications précédentes, caractérisé en ce que le retour de diagnostic est transmis à une entrée (I/O) d'une interruption non masquable (NMI) faisant office de port de lecture de retour de diagnostic.
4. Procédé selon une des revendications précédentes, caractérisé en ce que l'activation ou la désactivation d'une charge (M) est 20 effectuée par un dispositif de commande de réseau embarqué (BS), un moteur d'un système de verrouillage centralisé étant excité de préférence en tant que charge (M).
5. Procédé selon une des revendications précédentes, caractérisé en ce qu'il est établi par un moyen de diagnostic si un état de défaillance peut être éliminé par le microcontrôleur (pC), des mesures correctives étant prises par une unité de contrôle de niveau supérieur (SG) en cas de défaillance du microcontrôleur (pC).
6. Dispositif pour augmenter la sécurité de fonctionnement d'un composant électrique dans un circuit (1), en particulier de composants électriques dans un véhicule, dans lequel une charge (M) est reliée à un microcontrôleur (pC) pour être 30 excitée, caractérisé en ce que le dispositif possède des moyens pour détecter de manière active une modification de l'état de commutation de la charge (M) qui sont configurés indépendamment de l'instant d'une excitation active (pCrun) d'un microcontrôleur (pC) pour agir sur le microcontrôleur (pC) et/ou une unité de contrôle 35 de niveau supérieur (SG).
7. Dispositif selon la revendication précédente caractérisé en ce que le dispositif est configuré pour appliquer un procédé selon une ou plusieurs des revendications précédentes 1 à 5.
8. Dispositif selon une des deux revendications précédentes caractérisé en ce qu'il est prévu un dispositif de commande de réseau embarqué (BS) pour activer ou désactiver la charge (M) après la consigne donnée par le microcontrôleur (pC).
9. Dispositif selon une des revendications précédentes 6 à 8 caractérisé en ce qu'il est prévu des moyens de diagnostic pour constater un état de défaillance qui ne peut pas être éliminé par le microcontrôleur (pC), et que ces moyens de diagnostic disposent aussi de mesures correctives.
FR0403704A 2003-04-11 2004-04-08 Procede et dispositif pour augmenter la securite de fonctionnement d'un composant electrique Expired - Fee Related FR2853966B1 (fr)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10316805A DE10316805B4 (de) 2003-04-11 2003-04-11 Verfahren und Vorrichtung zur Erhöhung der Betriebssicherheit einer elektrischen Komponente

Publications (2)

Publication Number Publication Date
FR2853966A1 true FR2853966A1 (fr) 2004-10-22
FR2853966B1 FR2853966B1 (fr) 2006-11-24

Family

ID=33039059

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0403704A Expired - Fee Related FR2853966B1 (fr) 2003-04-11 2004-04-08 Procede et dispositif pour augmenter la securite de fonctionnement d'un composant electrique

Country Status (3)

Country Link
US (1) US20040216940A1 (fr)
DE (1) DE10316805B4 (fr)
FR (1) FR2853966B1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101937222A (zh) * 2010-08-17 2011-01-05 北京交通大学 板级测试系统

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103713526B (zh) * 2012-10-09 2016-08-17 亚得力科技股份有限公司 智能型电动机控制器、控制方法、外挂电路以及其电动机遥控器

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0611869A1 (fr) * 1993-02-16 1994-08-24 General Motors Corporation Porte de véhicule motorisée
GB2287750A (en) * 1994-03-18 1995-09-27 Siemens Ag Securing system for a motor vehicle
DE4443274A1 (de) * 1994-12-06 1996-06-13 Aeg Sensorsysteme Gmbh Vorrichtung mit wenigstens einem Motorblockschloß
EP0806536A1 (fr) * 1995-10-11 1997-11-12 Faiveley Espanola, S.A. Systeme de commande de portes automatiques
US5973617A (en) * 1996-05-06 1999-10-26 Stmicroelectronics Gmbh Control circuit with adjustable standby oscillator
US6515377B1 (en) * 1999-06-19 2003-02-04 Brose Fahrzeugteile Gmbh & Co. Kg, Coburg Circuit for control of power windows, sun roofs, or door locks in motor vehicles

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4517566A (en) * 1982-09-07 1985-05-14 John H. Bryant True ground speed sensor
US4922224A (en) * 1987-12-28 1990-05-01 Clifford Electronics, Inc. Electronic vehicle security system
JPH05183765A (ja) * 1991-12-27 1993-07-23 Canon Inc データ処理システム及び該システムに用いることが可能な装置
JP2659896B2 (ja) * 1992-04-29 1997-09-30 インターナショナル・ビジネス・マシーンズ・コーポレイション 構造化文書複製管理方法及び構造化文書複製管理装置
US5543776A (en) * 1993-10-19 1996-08-06 Whistler Corporation Vehicle security system
US5455589A (en) * 1994-01-07 1995-10-03 Millitech Corporation Compact microwave and millimeter wave radar
US5564038A (en) * 1994-05-20 1996-10-08 International Business Machines Corporation Method and apparatus for providing a trial period for a software license product using a date stamp and designated test period
US5708307A (en) * 1994-11-02 1998-01-13 Nissan Motor Co., Ltd. Anti-theft car protection system
US6092049A (en) * 1995-06-30 2000-07-18 Microsoft Corporation Method and apparatus for efficiently recommending items using automated collaborative filtering and feature-guided automated collaborative filtering
US5918213A (en) * 1995-12-22 1999-06-29 Mci Communications Corporation System and method for automated remote previewing and purchasing of music, video, software, and other multimedia products
US5889860A (en) * 1996-11-08 1999-03-30 Sunhawk Corporation, Inc. Encryption system with transaction coded decryption key
US6012051A (en) * 1997-02-06 2000-01-04 America Online, Inc. Consumer profiling system with analytic decision processor
US5854551A (en) * 1997-02-26 1998-12-29 Ericsson Inc. Battery charger with low standby current
US6112135A (en) * 1997-03-13 2000-08-29 Emerson Electric Co. Appliance control system
US5959589A (en) * 1997-07-02 1999-09-28 Waveband Corporation Remote fire detection method and implementation thereof
US5996045A (en) * 1997-07-08 1999-11-30 Seagate Technology, Inc. IDE disk drive arrangement that combines the capacity of a master drive and slave drive while hiding the presence of slave drive to a host computer
JPH1171950A (ja) * 1997-08-29 1999-03-16 Honda Motor Co Ltd 自動車用ドアロック装置
US5963939A (en) * 1997-09-30 1999-10-05 Compaq Computer Corp. Method and apparatus for an incremental editor technology
US5929802A (en) * 1997-11-21 1999-07-27 Raytheon Company Automotive forward looking sensor application
US6064980A (en) * 1998-03-17 2000-05-16 Amazon.Com, Inc. System and methods for collaborative recommendations
US6417869B1 (en) * 1998-04-15 2002-07-09 Citicorp Development Center, Inc. Method and system of user interface for a computer
US6545852B1 (en) * 1998-10-07 2003-04-08 Ormanco System and method for controlling an electromagnetic device
SE9804470L (sv) * 1998-12-21 2000-06-22 Volvo Ab Anordning vid ett för ett motorfordon avsett dörrlåssystem
US7103574B1 (en) * 1999-03-27 2006-09-05 Microsoft Corporation Enforcement architecture and method for digital rights management
US6647417B1 (en) * 2000-02-10 2003-11-11 World Theatre, Inc. Music distribution systems
US6697944B1 (en) * 1999-10-01 2004-02-24 Microsoft Corporation Digital content distribution, transmission and protection system and method, and portable device for use therewith
US6665802B1 (en) * 2000-02-29 2003-12-16 Infineon Technologies North America Corp. Power management and control for a microcontroller
JP4459487B2 (ja) * 2000-09-12 2010-04-28 セイコーインスツル株式会社 音楽配信方法
DE10046188C2 (de) * 2000-09-12 2003-10-30 Brose Fahrzeugteile Schließeinrichtung für ein Fahrzeug
US20020042754A1 (en) * 2000-10-10 2002-04-11 Del Beccaro David J. System and method for receiving broadcast audio/video works and for enabling a consumer to purchase the received audio/video works
WO2002061658A2 (fr) * 2001-01-30 2002-08-08 Personal Genie, Inc. Systeme et procede pour apparier les consommateurs aux produits
US6629050B2 (en) * 2001-02-13 2003-09-30 Udt Sensors, Inc. Vehicle safety and security system
US20020147628A1 (en) * 2001-02-16 2002-10-10 Jeffrey Specter Method and apparatus for generating recommendations for consumer preference items
US6925469B2 (en) * 2001-03-30 2005-08-02 Intertainer, Inc. Digital entertainment service platform
US6859024B2 (en) * 2001-05-08 2005-02-22 Telstra New Wave Pty Ltd. Device for detecting an electrically conductive particle
EP1256877A1 (fr) * 2001-05-10 2002-11-13 Hewlett-Packard Company, A Delaware Corporation Fabrication d'ordinateurs
WO2003014867A2 (fr) * 2001-08-03 2003-02-20 John Allen Ananian Profilage de catalogue numerique interactif personnalise
US7080043B2 (en) * 2002-03-26 2006-07-18 Microsoft Corporation Content revocation and license modification in a digital rights management (DRM) system on a computing device

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0611869A1 (fr) * 1993-02-16 1994-08-24 General Motors Corporation Porte de véhicule motorisée
GB2287750A (en) * 1994-03-18 1995-09-27 Siemens Ag Securing system for a motor vehicle
DE4443274A1 (de) * 1994-12-06 1996-06-13 Aeg Sensorsysteme Gmbh Vorrichtung mit wenigstens einem Motorblockschloß
EP0806536A1 (fr) * 1995-10-11 1997-11-12 Faiveley Espanola, S.A. Systeme de commande de portes automatiques
US5973617A (en) * 1996-05-06 1999-10-26 Stmicroelectronics Gmbh Control circuit with adjustable standby oscillator
US6515377B1 (en) * 1999-06-19 2003-02-04 Brose Fahrzeugteile Gmbh & Co. Kg, Coburg Circuit for control of power windows, sun roofs, or door locks in motor vehicles

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101937222A (zh) * 2010-08-17 2011-01-05 北京交通大学 板级测试系统

Also Published As

Publication number Publication date
DE10316805A1 (de) 2004-11-11
US20040216940A1 (en) 2004-11-04
FR2853966B1 (fr) 2006-11-24
DE10316805B4 (de) 2010-04-08

Similar Documents

Publication Publication Date Title
JP6662282B2 (ja) 電源システム
WO2015181112A1 (fr) Transistor a effet de champ et dispositif de detection de defaillance associe
FR2651890A1 (fr) Dispositif de detection et de discrimination de defauts de fonctionnement d'un circuit d'alimentation electrique.
FR2723560A1 (fr) Dispositif de commande electrique de direction assistee
EP1960243B1 (fr) Procede de controle du fonctionnement d'un vehicule base sur une strategie de diagnostic embarque definissant differents types de pannes
FR3084468A1 (fr) Procédé de diagnostic d’un moyen de commutation dans un véhicule automobile
FR3006462A1 (fr) Procede et dispositif de lecture de l'etat de variables de contact d'un vehicule automobile
CA3056877A1 (fr) Architecture de systeme de freinage pour aeronef
EP3900175B1 (fr) Systeme de commande d'un convertisseur de tension
CN111465867A (zh) 用于检验用于操控负载的输出级的方法
FR2853966A1 (fr) Procede et dispositif pour augmenter la securite de fonctionnement d'un composant electrique
WO2021204561A1 (fr) Commande d'une unite electronique de commutation pour l'alimentation electrique d'une charge inductive de puissance
US20100182037A1 (en) Diagnostic Method For Load-Testing Self-Excited Three-Phase Generators in a Motor Vehicle
WO2015015115A1 (fr) Système de gestion d'une tension d'alimentation d'un réseau électrique de bord de véhicule automobile
EP0080425A1 (fr) Dispositif de commande, de sécurité et de diagnostic pour circuit électrique de véhicule
FR2832219A1 (fr) Procede de diagnostic de l'etage de puissance d'un appareil de commande
FR3005804A1 (fr) Procede de gestion d'un circuit electronique comportant un dispositif de protection thermique et circuit electronique correspondant
EP0922855B1 (fr) Perfectionnement aux dispositifs pour la commande d'un démarreur de véhicule automobile
FR3085153A1 (fr) Procede de protection d'une charge associee a une voie de disjonction d'une carte electronique de disjoncteurs statiques
EP1764892A1 (fr) Dispositif pour surveiller l'apparition d'un courant de défaut à la sortie d'une source d'énergie d'un véhicule
US20240322735A1 (en) Control device for a drive system, drive system, method
WO1999048183A1 (fr) Bloc de moteur electrique, notamment pour vehicule automobile, integrant une electronique de commande
EP2230134B1 (fr) Dispositif pour commander un composant de commutation
FR3056032A1 (fr) Dispositif et procede de surveillance de l'activite d'unites de traitement dans un declencheur electirque
EP3740768B1 (fr) Dispositif électronique équipé d'une fonction d'auto-diagnostic

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20091231