FR2944612A3 - Electronic control architecture e.g. braking system, for motor vehicle, has voting device counting number of messages and deactivating actuator when number is higher than or equal to threshold that is equal to number of monitoring units - Google Patents

Electronic control architecture e.g. braking system, for motor vehicle, has voting device counting number of messages and deactivating actuator when number is higher than or equal to threshold that is equal to number of monitoring units Download PDF

Info

Publication number
FR2944612A3
FR2944612A3 FR0952473A FR0952473A FR2944612A3 FR 2944612 A3 FR2944612 A3 FR 2944612A3 FR 0952473 A FR0952473 A FR 0952473A FR 0952473 A FR0952473 A FR 0952473A FR 2944612 A3 FR2944612 A3 FR 2944612A3
Authority
FR
France
Prior art keywords
deactivation
messages
actuator
network
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
FR0952473A
Other languages
French (fr)
Inventor
Van Nhan Christophe Dang
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Renault SAS
Original Assignee
Renault SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Renault SAS filed Critical Renault SAS
Priority to FR0952473A priority Critical patent/FR2944612A3/en
Publication of FR2944612A3 publication Critical patent/FR2944612A3/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T13/00Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems
    • B60T13/74Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems with electrical assistance or drive
    • B60T13/741Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems with electrical assistance or drive acting on an ultimate actuator
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T7/00Brake-action initiating means
    • B60T7/02Brake-action initiating means for personal initiation
    • B60T7/04Brake-action initiating means for personal initiation foot actuated
    • B60T7/042Brake-action initiating means for personal initiation foot actuated by electrical means, e.g. using travel or force sensors
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T7/00Brake-action initiating means
    • B60T7/02Brake-action initiating means for personal initiation
    • B60T7/08Brake-action initiating means for personal initiation hand actuated
    • B60T7/085Brake-action initiating means for personal initiation hand actuated by electrical means, e.g. travel, force sensors
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/404Brake-by-wire or X-by-wire failsafe

Abstract

The architecture has a monitoring unit monitoring operation of an actuator forming unit e.g. brake pedal clamp actuation unit. A host computer (32) drives an actuator (30) e.g. electric motor, in the actuator forming unit. The monitoring unit transmits a deactivation message to the actuator forming unit. The actuator forming unit has a voting device (42) to count the number of deactivation messages and to deactivate the actuator when the number is higher than or equal to a predetermined threshold that is lower than or equal to total number of the monitoring units.

Description

ARCHITECTURE DE COMMANDE ELECTRONIQUE D'UN VEHICULE AUTOMOBILE 5 DOMAINE DE L'INVENTION ELECTRONIC CONTROL ARCHITECTURE OF A MOTOR VEHICLE 5 FIELD OF THE INVENTION

L'invention se rapporte à la commande tout électronique d'organes d'un véhicule automobile, et notamment la commande tout électronique de la direction ou du freinage de celui-ci. ETAT DE LA TECHNIQUE The invention relates to the all-electronic control of parts of a motor vehicle, and in particular the all-electronic control of the steering or braking thereof. STATE OF THE ART

Dans les architectures de contrôle de véhicule automobile dit X-by-wire , tels que par exemple la direction by-wire ( steer-by-wire ), le freinage by-wire ( brake-by- 15 wire ), l'accélération by-wire ( throttle-b-wire ), les systèmes de contrôle mécanique, hydrauliques ou pneumatiques sont remplacés par des organes électroniques. Ainsi dans les architectures de direction et de freinage by-wire , des actionneurs de frein et de directions électriques intelligents sont distribués dans le véhicule et sont couplés au moyen d'un réseau de communication synchrone leur permettant d'échanger 20 des données et de produire une action commune. In motor vehicle control architectures called X-by-wire, such as for example the by-wire (steer-by-wire) direction, by-wire braking (brake-by-wire), acceleration by -wire (throttle-b-wire), mechanical control systems, hydraulic or pneumatic are replaced by electronic devices. Thus in the by-wire steering and braking architectures, intelligent brake and electrical steering actuators are distributed in the vehicle and are coupled by means of a synchronous communication network enabling them to exchange data and produce data. joint action.

Toutefois, alors que les architectures classiques présentent de manière inhérente un degré élevée de sécurité, l'électronique présente dans les architectures X-by-wire est quant à elle sujette à des défaillances multiples pouvant nuire à la sécurité du véhicule et de ses 25 occupants nécessitant la prise de mesures de sécurité spécifiques. However, while conventional architectures inherently have a high degree of security, the electronics present in X-by-wire architectures are subject to multiple failures that can affect the safety of the vehicle and its occupants. requiring the taking of specific safety measures.

Un des intérêts sécuritaires d'une architecture X-by-wire réside cependant dans la possibilité offerte par le réseau de communication synchrone d'échanger des données sur le fonctionnement des organes électroniques raccordés à celui-ci. Ainsi par exemple, 30 chaque actionneur peut donner des indications sur son état de fonctionnement ou des unités de diagnostic peuvent être prévues pour analyser les données émises par les actionneurs (ou l'absence non justifiée d'émission de données) et ainsi diagnostiquer leur état de fonctionnement. One of the security interests of an X-by-wire architecture however lies in the possibility offered by the synchronous communication network to exchange data on the operation of the electronic devices connected to it. Thus, for example, each actuator can give indications on its operating state or diagnostic units can be provided to analyze the data transmitted by the actuators (or the unjustified absence of data transmission) and thus diagnose their state. Operating.

35 De sorte, si un actionneur venait à montrer un état défaillant, une unité du réseau étant en charge de la désactivation de l'actionneur peut désactiver celui-ci, ou le forcer dans un mode dégradé de fonctionnement ne nuisant pas à la sécurité du véhicule, afin d'éviter que ledit actionneur ne génère des actions inappropriées. 10 Il est cependant nécessaire de tenir compte du fait qu'une unité du réseau ayant pour fonction de désactiver un actionneur défaillant peut elle-même être défaillante et ainsi prendre des décisions de désactivation inappropriées, ou bien ne pas prendre une décision de désactivation alors que cela s'avère nécessaire. Une telle défaillance d'une unité de désactivation se propage alors sur le réseau et l'ensemble de l'architecture peut alors se retrouver défaillante. So, if an actuator were to show a failed state, a unit of the network being in charge of the deactivation of the actuator can deactivate it, or force it into a degraded mode of operation that does not affect the security of the actuator. vehicle, in order to prevent said actuator from generating inappropriate actions. However, it is necessary to take into account that a network unit having the function of deactivating a faulty actuator may itself be faulty and thus make inappropriate disabling decisions, or else not make a disabling decision while this is necessary. Such a failure of a deactivation unit then spreads over the network and the entire architecture may then fail.

EXPOSE DE L'INVENTION Le but de la présente invention est de proposer une architecture de commande électronique de véhicule automobile qui soit robuste vis-à-vis des défaillances de ses actionneurs ainsi que des défaillances des unités ayant pour fonction de désactiver des actionneurs défaillants. 15 A cet effet, l'invention a pour objet une architecture de commande électronique de véhicule automobile, comprenant, connectés à un réseau synchrone de communication de données, au moins une unité formant actionneur et au moins une unité de surveillance du fonctionnement de ladite au moins une unité formant actionneur, ladite au moins une 20 unité formant actionneur comprenant un organe d'actionnement, un calculateur de pilotage de l'organe d'actionnement et un contrôleur de communication pour les échanges de données entre le calculateur et le réseau de communication. SUMMARY OF THE INVENTION The object of the present invention is to propose a motor vehicle electronic control architecture that is robust with respect to the failures of its actuators as well as failures of the units whose function is to deactivate faulty actuators. To this end, the subject of the invention is an electronic motor vehicle control architecture, comprising, connected to a synchronous data communication network, at least one actuator unit and at least one unit for monitoring the operation of said unit. least one actuator unit, said at least one actuator unit comprising an actuator, an actuator control computer and a communication controller for data exchange between the computer and the communication network .

Selon l'invention, cette architecture est caractérisée en ce que : 25 ^ plusieurs unités de surveillance du fonctionnement de la au moins une unité formant actionneur sont prévues, lesdites unités de surveillance étant aptes à émettre à destination de l'unité formant actionneur un message de désactivation de celle-ci ; et ^ la au moins une unité formant actionneur comporte un dispositif de vote apte à 30 comptabiliser le nombre de messages de désactivation reçus et à désactiver l'organe d'actionnement lorsque ce nombre est supérieur ou égal à un seuil prédéterminé inférieur ou égal au nombre total des unités de surveillance. According to the invention, this architecture is characterized in that: a plurality of units for monitoring the operation of the at least one actuator unit are provided, said monitoring units being able to transmit a message to the actuator unit deactivating it; and the at least one actuator unit comprises a voting device adapted to count the number of received deactivation messages and to deactivate the actuator when said number is greater than or equal to a predetermined threshold less than or equal to the number of total of surveillance units.

En d'autres termes, l'état de fonctionnement d'une unité formant actionneur est supervisé 35 par plusieurs unités de surveillance, comme par exemple des unités dédiées ou d'autres unités formant actionneur embarquant les outils nécessaires au diagnostic, et la désactivation de l'unité formant actionneur est décidée par vote des unités de surveillance. De fait la décision d'une unité de surveillance défaillante n'emporte pas la10 décision finale de désactivation en raison de l'opposition des autres unités de surveillance qui fonctionnent de manière satisfaisante. On notera également que plusieurs unités de surveillance peuvent être simultanément être défaillantes sans que l'architecture entière ne soit menacée. Selon des modes de réalisation particuliers de l'invention, l'architecture comprend une ou plusieurs des caractéristiques suivantes : In other words, the operating state of an actuator unit is supervised by a plurality of monitoring units, such as, for example, dedicated units or other actuator units carrying the tools necessary for diagnosis, and the deactivation of the actuator unit is decided by vote of the monitoring units. In fact, the decision of a faulty monitoring unit does not carry the final decision of deactivation because of the opposition of the other monitoring units which function satisfactorily. It should also be noted that several surveillance units can be simultaneously failing without the entire architecture being threatened. According to particular embodiments of the invention, the architecture comprises one or more of the following characteristics:

^ les unités de surveillance sont configurées pour émettre leurs signaux de 10 désactivation dans un intervalle temporel prédéfini d'un cycle de communication sur le réseau, et le dispositif de vote est configuré pour compter les messages de désactivation émis uniquement pendant ledit intervalle ; ^ le dispositif de vote comporte un temporisateur et un compteur connectés au contrôleur de communication, le temporisateur étant apte, sur la réception d'un 15 premier message de désactivation, à initialiser le compteur, à autoriser le compteur à compter les messages de désactivation et à bloquer l'initialisation du compteur pendant une durée de comptage prédéterminée ; ^ l'intervalle de temps lors duquel est réalisée l'émission des messages de désactivation présente une durée inférieure à la durée de comptage ; 20 ^ le contrôleur de communication est configuré pour ne pas émettre de signal d'interruption à l'attention du calculateur lors de la réception d'un message en provenance du réseau, le calculateur étant configuré pour interroger régulièrement le contrôleur de communication afin de prendre connaissance des messages reçus par celui-ci ; 25 ^ l'intervalle de temps lors duquel est réalisée l'émission des messages de désactivation est inférieur à la moitié du cycle de communication ; ^ le contrôleur de communication est configuré pour émettre un signal d'interruption à l'attention du calculateur lors de la réception d'un message en provenance du réseau, le calculateur étant configuré pour interroger le contrôleur de 30 communication consécutivement à la réception d'un signal d'interruption ; ^ la durée de comptage est inférieure à tout autre intervalle de temps dans lequel des messages autres que des messages de désactivation sont susceptibles d'être émis sur le réseau en nombre égal ou supérieur au seuil de comptage ; et ^ l'émission d'un message sur le réseau autre qu'un message de désactivation est 35 espacée temporellement de l'émission d'un premier message de désactivation de la part des unités de surveillance d'au moins la durée de comptage.5 BREVE DESCRIPTION DES FIGURES La présente invention sera mieux comprise à la lecture de la description qui va suivre, donnée uniquement à titre d'exemple, et faite en relation avec les dessins annexés, dans lesquels : the monitoring units are configured to transmit their deactivation signals in a predefined time interval of a communication cycle on the network, and the voting device is configured to count the deactivation messages transmitted only during said interval; the polling device comprises a timer and a counter connected to the communication controller, the timer being able, upon receipt of a first deactivation message, to initialize the counter, to allow the counter to count the deactivation messages, and blocking the initialization of the counter during a predetermined counting time; the time interval during which the emission of the deactivation messages is carried out has a duration shorter than the counting time; 20 ^ the communication controller is configured not to issue an interrupt signal to the attention of the computer when receiving a message from the network, the computer being configured to regularly interrogate the communication controller to take knowledge of messages received by the latter; The interval of time during which the emission of the deactivation messages is carried out is less than half the communication cycle; the communication controller is configured to issue an interrupt signal to the computer upon receipt of a message from the network, the computer being configured to interrogate the communication controller upon receipt of the message. an interruption signal; the counting time is less than any other time interval in which messages other than deactivation messages are likely to be transmitted on the network in a number equal to or greater than the counting threshold; and transmitting a message on the network other than a deactivation message is spaced temporally from the transmission of a first deactivation message from the monitoring units of at least the counting time. BRIEF DESCRIPTION OF THE FIGURES The present invention will be better understood on reading the following description, given solely by way of example, and with reference to the accompanying drawings, in which:

10 - la figure 1 est une vue schématique d'une architecture selon l'invention ; et - la figure 2 est une vue schématique d'une unité formant actionneur selon l'invention entrant dans la constitution de l'architecture de la figure 1. FIG. 1 is a schematic view of an architecture according to the invention; and FIG. 2 is a schematic view of an actuator unit according to the invention forming part of the architecture of FIG. 1.

15 DESCRIPTION DETAILLEE DE L'INVENTION DETAILED DESCRIPTION OF THE INVENTION

Sur la figure 1, une architecture X-by-wire de véhicule automobile, par exemple le système de freinage, est illustrée schématiquement sous la référence 10. In FIG. 1, an X-by-wire architecture of a motor vehicle, for example the braking system, is illustrated schematically under the reference 10.

20 L'architecture 10 comporte des unités formant actionneurs 12-18, par exemple les unités en charge de l'actionnement des étriers des plaquettes de frein du véhicule, ainsi que des unités de surveillance 20-26 du fonctionnement des unités formant actionneurs 12-18 et désactivation de celles-ci. Chacune des unités 12-26 est raccordée à un réseau synchrone de communication de données 28, comme par exemple un réseau du type FlexRay. Le 25 terme synchrone renvoie ici à la notion selon laquelle la synchronisation de l'ensemble des éléments du réseau 28 est commandée par une seule source, par exemple l'unité 20, la communication sur le réseau 10 s'organisant notamment en cycles de communication, comme cela est connu en soi dans l'état de la technique. The architecture 10 comprises actuator units 12-18, for example the units in charge of actuating the calipers of the brake pads of the vehicle, as well as monitoring units 20-26 for the operation of the actuator units 12. 18 and deactivating them. Each of the units 12-26 is connected to a synchronous data communication network 28, for example a network of the FlexRay type. The synchronous term refers here to the notion that the synchronization of all the elements of the network 28 is controlled by a single source, for example the unit 20, the communication on the network 10 being organized in particular in communication cycles as is known per se in the state of the art.

30 L'architecture 10 est organisée pour que chaque unité formant actionneurs 12-18 soit associée à une pluralité d'unités aptes à la désactiver en cas de dysfonctionnement. Cela peut être par exemple les unités 20-26 dédiées à cette fonction de surveillance et de désactivation ou par exemple les autres unités formant actionneurs qui sont configurées pour mettre en oeuvre une telle fonction. 35 Chaque unité formant actionneurs 12-18 est par ailleurs apte à émettre sur le réseau 28 des données relatives à son fonctionnement et/ou les unités chargées de la surveiller et, le cas échéant, la désactiver sont aptes à diagnostiquer son état de fonctionnement en 45 fonction des données émises par l'unité formant actionneur, ou l'absence d'une émission attendue de données, et éventuellement d'autres informations disponibles. Le diagnostic du fonctionnement d'une unité formant actionneur est connu en soi de l'état de la technique et ne sera pas décrit plus en détail par la suite pour des raisons de concisions. The architecture 10 is organized so that each actuator unit 12-18 is associated with a plurality of units able to deactivate it in the event of a malfunction. This can be for example the units 20-26 dedicated to this monitoring and deactivation function or for example the other actuator units that are configured to implement such a function. Each actuator unit 12-18 is furthermore capable of transmitting data relating to its operation on the network 28 and / or the units responsible for monitoring it and, if necessary, deactivating it, are able to diagnose its operating state by 45 function of the data transmitted by the actuator unit, or the absence of an expected transmission of data, and possibly other available information. The diagnosis of the operation of an actuator unit is known per se from the state of the art and will not be described in more detail later for reasons of conciseness.

Selon l'invention, il convient seulement que l'architecture 10 soit configurée pour que plusieurs unités indépendantes soient aptes à surveiller l'état de fonctionnement d'une unité formant actionneur et à émettre sur le réseau à l'attention de l'unité formant actionneur un message de désactivation lorsqu'un dysfonctionnement de celle-ci a été détecté. According to the invention, it is only necessary for the architecture 10 to be configured so that several independent units are able to monitor the operating state of an actuator unit and to transmit on the network to the attention of the unit forming actuator a deactivation message when a malfunction thereof has been detected.

La figure 2 est une vue schématique d'une unité formant actionneur selon l'invention. Figure 2 is a schematic view of an actuator unit according to the invention.

Ladite unité comporte : ^ un actionneur 30, comme par exemple le ou les moteurs électriques d'un étrier électro-mécanique associé à une roue du véhicule ; ^ un calculateur hôte 32, comme un système à microprocesseur par exemple, pilotant l'actionneur 30 au travers d'une liaison électrique 34 ; ^ un contrôleur de communication 36 réalisant, via une liaison électrique 38, la fonction d'interface entre le calculateur hôte 32 et le réseau de communication de données 28. Le contrôleur de communication 36 permet notamment un contrôle de l'actionneur 30 qui soit en adéquation avec les états de l'architecture 10 et de diffuser sur le réseau 28 les états de fonctionnement de l'actionneur 30 et du calculateur hôte 32 ; ^ une ligne d'interruption 40 qui permet au contrôleur de communication 36 de prévenir le calculateur hôte qu'un message qui lui est destiné vient d'arriver sur le réseau de communication de données 28. Said unit comprises: an actuator 30, such as for example the electric motor or motors of an electromechanical caliper associated with a wheel of the vehicle; a host computer 32, such as a microprocessor system for example, driving the actuator 30 through an electrical connection 34; a communication controller 36 providing, via an electrical connection 38, the interface function between the host computer 32 and the data communication network 28. The communication controller 36 allows in particular a control of the actuator 30 which is suitability with the states of the architecture 10 and broadcast on the network 28 the operating states of the actuator 30 and the host computer 32; an interrupt line 40 which enables the communication controller 36 to warn the host computer that a message intended for it has just arrived on the data communication network 28.

Les organes venant d'être décrits sont classiques et ne seront donc pas décrits plus en détail. The organs just described are conventional and will not be described in more detail.

Selon l'invention, l'unité formant actionneur comporte en outre un dispositif de vote 42 comprenant : ^ un compteur pilotable 44 qui compte le nombre de messages d'interruption qui se produisent sur la ligne d'interruption 40 ; ^ un temporisateur 46 pilotant le compteur 44 à l'aide d'un signal binaire émis à destination du compteur 44 sur une liaison électrique 48. Lorsque le signal logique en sortie du temporisateur 46 est dans son état bas et qu'un message d'interruption est produit sur la ligne d'interruption 40, le temporisateur 46 bascule alors le signal logique dans l'état haut pendant une durée prédéterminée T , ci-après désignée durée de comptage . Le front montant du créneau ainsi généré par le temporisateur initialise le compteur 44 et le niveau haut du créneau autorise celui-ci à compter le nombre de messages d'interruption produits sur la ligne d'interruption par le contrôleur de communication 36. L'absence de front montant pendant la durée de comptage T du créneau permet ainsi de ne pas réinitialiser le compteur pendant cette période. Le basculement du signal logique à la fin de la durée de comptage T a quant à lui pour effet de stopper le comptage mis en oeuvre par le compteur 44 ; et un comparateur 50 qui compare la valeur du compteur 44, fournie via une liaison électrique 52, à un seuil prédéterminé M-1 , et qui émet un signal de désactivation de l'actionneur 30 via une liaison électrique 54 lorsque la valeur du compteur est supérieure ou égale audit seuil M-1 . According to the invention, the actuator unit further comprises a polling device 42 comprising: a controllable counter 44 which counts the number of interrupt messages which occur on the interrupt line 40; a timer 46 controlling the counter 44 by means of a binary signal sent to the counter 44 on an electrical link 48. When the logic signal at the output of the timer 46 is in its low state and a message of interruption is produced on the interrupt line 40, the timer 46 then switches the logic signal in the high state for a predetermined time T, hereinafter referred counting time. The rising edge of the slot thus generated by the timer initializes the counter 44 and the high level of the slot allows it to count the number of interrupt messages produced on the interrupt line by the communication controller 36. The absence rising edge during the counting period T of the slot thus makes it possible not to reset the counter during this period. The switching of the logic signal at the end of the counting period T has the effect of stopping the counting implemented by the counter 44; and a comparator 50 which compares the value of the counter 44, supplied via an electrical connection 52, to a predetermined threshold M-1, and which emits a deactivation signal of the actuator 30 via an electrical connection 54 when the value of the counter is greater than or equal to said threshold M-1.

Ainsi lorsqu'une défaillance de l'unité formant actionneur, comme une défaillance de son actionneur 30 ou de calculateur hôte 32, est détecté par les unités en charge de la surveiller, ces derniers émettent sur le réseau à destination de l'unité formant actionneur des messages de désactivation. Thus, when a failure of the actuator unit, such as a failure of its actuator 30 or host computer 32, is detected by the units in charge of monitoring it, the latter transmit on the network to the actuator unit deactivation messages.

Le contrôleur de communication 36 reçoit lesdits messages de désactivation et émet pour chacun d'eux un message d'interruption sur la ligne d'interruption 40. Lors de la génération du premier message d'interruption, le temporisateur 46 génère alors en sortie un créneau initialisant le compteur 44 et autorisant celui-ci à compter. Lorsque le nombre d'interruptions comptées par le compteur 44 est supérieur ou égal à M-1, signifiant donc que M messages d'interruption ont été produits sur la ligne 40 (le premier message servant à l'initialisation et au lancement du comptage), le comparateur 50 désactive alors l'actionneur, ou force celui-ci dans un mode de fonctionnement qui ne nuit pas à la sécurité du véhicule. La désactivation de l'actionneur est donc obtenu par un vote des unités en charge de la surveillance de l'unité formant actionneur, et non pas par l'intervention d'une seule de celle-ci. De préférence, le vote est majoritaire, c'est-à-dire que le nombre M est supérieur ou égal à la moitié du nombre d'unité en charge de la surveillance et de la désactivation de l'unité formant actionneur. The communication controller 36 receives said deactivation messages and transmits for each of them an interrupt message on the interrupt line 40. During the generation of the first interrupt message, the timer 46 then generates a slot initializing the counter 44 and allowing it to count. When the number of interrupts counted by counter 44 is greater than or equal to M-1, thus signifying that M interrupt messages have been produced on line 40 (the first message used to initialize and start the count) the comparator 50 then deactivates the actuator, or forces it into an operating mode that does not affect the safety of the vehicle. The deactivation of the actuator is therefore obtained by a vote of the units in charge of monitoring the actuator unit, and not by the intervention of a single one of it. Preferably, the vote is majority, that is to say that the number M is greater than or equal to half the number of units in charge of monitoring and deactivation of the actuator unit.

Dans un premier mode de fonctionnement privilégié de l'architecture 10 selon l'invention : ^ le contrôleur de communication 36 est configuré pour générer un message d'interruption sur la ligne 40 à chaque réception d'un message de désactivation lui étant destiné, et pour ne pas générer de message d'interruption pour des messages d'un autre type ; ^ le calculateur hôte 32 est configuré pour aller lire les messages reçus du réseau 28 par questionnement régulier du contrôleur de communication 36, le calculateur hôte 32 n'étant plus alerté de la réception d'un nouveau message en provenance du réseau par la production d'un message d'interruption sur la ligne 40, la fonction d'interruption étant entièrement dédiée à la gestion des messages de désactivation ; ^ la messagerie du réseau 28, à savoir l'ordonnancement préétabli des messages dictant aux diverses unités à quel moment précis du cycle de communication elles doivent émettre leurs messages, et/ou le contrôleur de communication 36 sont configurés pour que les messages de désactivation exprimés lors d'un cycle de communication soient regroupés dans un intervalle de temps de durée inférieure à la durée de comptage T du temporisateur 46, et la durée de comptage T est elle-même choisie inférieure à la moitié de la durée du cycle de communication. Le vote de désactivation de l'actionneur 30 est ainsi réalisé par le comptage des messages de désactivation générés lors d'un même cycle de communication et non par le comptage de messages de désactivation appartenant à deux cycles de communication consécutifs. In a first preferred mode of operation of the architecture 10 according to the invention: the communication controller 36 is configured to generate an interrupt message on the line 40 each time it receives a deactivation message intended for it, and to not generate an interrupt message for messages of another type; the host computer 32 is configured to read messages received from the network 28 by regular interrogation of the communication controller 36, the host computer 32 is no longer alerted to the receipt of a new message from the network by the production of an interrupt message on line 40, the interrupt function being entirely dedicated to the management of deactivation messages; network messaging 28, namely the predetermined scheduling of the messages dictating to the various units at which precise moment of the communication cycle they must send their messages, and / or the communication controller 36 are configured so that the deactivation messages expressed during a communication cycle are grouped in a time interval of less than the counting duration T of the timer 46, and the counting time T is itself chosen less than half the duration of the communication cycle. The deactivation vote of the actuator 30 is thus performed by counting the deactivation messages generated during the same communication cycle and not by the counting of deactivation messages belonging to two consecutive communication cycles.

Dans un second mode de fonctionnement privilégié de l'architecture 10 selon l'invention : ^ le contrôleur de communication 36 est configuré pour générer sur la ligne 40 un message d'interruption à chaque réception d'un message à son attention, que se soit un message de désactivation ou non ; ^ le calculateur hôte 32 est configuré pour aller lire les messages reçus du réseau à chaque message d'interruption produit sur la ligne 40 ; ^ la messagerie du réseau 28 est configurée pour que les messages de désactivation soient regroupés dans un intervalle de temps de durée inférieure à la durée de comptage T du temporisateur 46 ; ^ la messagerie du réseau 28 et/ou le contrôleur de communication 36 sont configurés pour que M messages d'interruption sur la ligne 40 ne soient pas regroupés dans un intervalle de temps de durée inférieure ou égale à la durée de comptage T , ou bien la durée de comptage T est choisie pour être inférieure à la durée du tout intervalle de temps dans lequel sont susceptibles d'être produit M messages autres que des messages de désactivation. Ainsi, des messages d'interruption produits par la réception de messages autres que des messages de désactivation ne déclenchent pas la désactivation de l'actionneur 30 ; et ^ la messagerie du réseau 28 et/ou le contrôleur de communication 36 sont configurés pour que les messages d'interruption provoqués par des messages autres que des messages de désactivation ne précèdent pas le message d'interruption provoqué par le premier message de désactivation reçu du réseau de moins de la durée de comptage T afin de s'assurer que le temporisateur 46, et par conséquent le compteur 44, soit bien initialisé.10 In a second preferred mode of operation of the architecture 10 according to the invention: the communication controller 36 is configured to generate on the line 40 an interrupt message each time a message is received for its attention, whether a deactivation message or not; the host computer 32 is configured to read messages received from the network at each interrupt message produced on the line 40; the network messaging 28 is configured so that the deactivation messages are grouped together in a time interval of less than the counting duration T of the timer 46; the network messaging 28 and / or the communication controller 36 are configured so that M interrupt messages on the line 40 are not grouped in a time interval of duration less than or equal to the counting time T, or else the counting time T is chosen to be less than the duration of any time interval in which M messages other than deactivation messages are likely to be produced. Thus, interrupt messages produced by the reception of messages other than deactivation messages do not trigger the deactivation of the actuator 30; and the network messaging 28 and / or the communication controller 36 are configured so that the interrupt messages caused by messages other than deactivation messages do not precede the interrupt message caused by the first deactivation message received. less than the counting period T to ensure that the timer 46, and therefore the counter 44, is well initialized.

Claims (9)

REVENDICATIONS1. Architecture (10) de commande électronique de véhicule automobile, comprenant, connectés à un réseau (28) synchrone de communication de données, au moins une unité (12-18) formant actionneur et au moins une unité (12-26) de surveillance du fonctionnement de ladite au moins une unité (12-18) formant actionneur, ladite au moins une unité (12-18) formant actionneur comprenant un organe d'actionnement (30), un calculateur (32) de pilotage de l'organe d'actionnement (30) et un contrôleur de communication (36) pour les échanges de données entre le calculateur et le réseau de communication, caractérisée en ce que : ^ plusieurs unités (12-26) de surveillance du fonctionnement de la au moins une unité formant actionneur (12-18) sont prévues, lesdites unités (12-26) de surveillance étant aptes à émettre à destination de l'unité (12-18) formant actionneur un message de désactivation de celle-ci ; et ^ la au moins une unité (12-26) formant actionneur comporte un dispositif de vote (42) apte à comptabiliser le nombre de messages de désactivation reçus et à désactiver l'organe d'actionnement (30) lorsque ce nombre est supérieur ou égal à un seuil prédéterminé inférieur ou égal au nombre total des unités de surveillance (12-26). REVENDICATIONS1. A motor vehicle electronic control architecture (10) comprising, connected to a synchronous data communication network (28), at least one actuator unit (12-18) and at least one monitoring unit (12-26) of the operation of said at least one actuator unit (12-18), said at least one actuator unit (12-18) comprising an actuating member (30), a control computer (32) for controlling the actuator member actuation (30) and a communication controller (36) for data exchange between the computer and the communication network, characterized in that: a plurality of units (12-26) for monitoring the operation of the at least one forming unit actuator (12-18) are provided, said monitoring units (12-26) being able to transmit to the actuator unit (12-18) a deactivation message thereof; and the at least one actuator unit (12-26) comprises a voting device (42) adapted to count the number of received deactivation messages and to deactivate the actuating member (30) when said number is greater than or equal to a predetermined threshold less than or equal to the total number of monitoring units (12-26). 2. Architecture selon la revendication 1, caractérisée en ce que les unités de surveillance (12-26) sont configurées pour émettre leurs signaux de désactivation dans un intervalle temporel prédéfini d'un cycle de communication sur le réseau (28), et en ce que le dispositif de vote (42) est configuré pour compter les messages de désactivation émis uniquement pendant ledit intervalle. 2. Architecture according to claim 1, characterized in that the monitoring units (12-26) are configured to transmit their deactivation signals in a predefined time interval of a communication cycle on the network (28), and in that the polling device (42) is configured to count the deactivation messages transmitted only during said interval. 3. Architecture selon l'une quelconque des revendications précédentes, caractérisée en ce que le dispositif de vote (42) comporte un temporisateur (46) et un compteur (44) connectés au contrôleur de communication (36), le temporisateur (46) étant apte, sur la réception d'un premier message de désactivation, à initialiser le compteur (44), à autoriser le compteur (44) à compter les messages de désactivation et à bloquer l'initialisation du compteur (44) pendant une durée de comptage prédéterminée. 3. Architecture according to any one of the preceding claims, characterized in that the voting device (42) comprises a timer (46) and a counter (44) connected to the communication controller (36), the timer (46) being able, upon receipt of a first deactivation message, to initialize the counter (44), to allow the counter (44) to count the deactivation messages and to block the initialization of the counter (44) during a counting period predetermined. 4. Architecture selon les revendications 2 et 3, caractérisée en ce que l'intervalle de temps lors duquel est réalisée l'émission des messages de désactivation présente une durée inférieure à la durée de comptage. 4. Architecture according to claims 2 and 3, characterized in that the time interval during which the emission of deactivation messages is performed has a duration less than the counting time. 5. Architecture selon l'une quelconque des revendications précédentes, caractérisée en ce que le contrôleur de communication (36) est configuré pour ne pas émettre de signal d'interruption à l'attention du calculateur (32) lors de la réception d'un message en provenance du réseau (28), le calculateur (32) étant configuré pour interroger régulièrement le contrôleur de communication (36) afin de prendre connaissance des messages reçus par celui-ci. 5. Architecture according to any one of the preceding claims, characterized in that the communication controller (36) is configured not to issue an interrupt signal to the attention of the computer (32) when receiving a message from the network (28), the computer (32) being configured to periodically poll the communication controller (36) to learn the messages received by it. 6. Architecture selon les revendications 3 et 5, caractérisée en ce que l'intervalle de temps lors duquel est réalisée l'émission des messages de désactivation est inférieur à la moitié du cycle de communication. 6. Architecture according to claims 3 and 5, characterized in that the time interval during which the emission of deactivation messages is carried out is less than half the communication cycle. 7. Architecture selon l'une quelconque des revendications 1 à 4, caractérisée en ce que le contrôleur de communication (36) est configuré pour émettre un signal d'interruption à l'attention du calculateur (32) lors de la réception d'un message en provenance du réseau (28), le calculateur (32) étant configuré pour interroger le contrôleur de communication (36) consécutivement à la réception d'un signal d'interruption. 7. Architecture according to any one of claims 1 to 4, characterized in that the communication controller (36) is configured to issue an interrupt signal to the attention of the computer (32) when receiving a message from the network (28), the computer (32) being configured to interrogate the communication controller (36) following receipt of an interrupt signal. 8. Architecture selon les revendications 3 et 7, caractérisée en ce que la durée de comptage est inférieure à tout autre intervalle de temps dans lequel des messages autres que des messages de désactivation sont susceptibles d'être émis sur le réseau en nombre égal ou supérieur au seuil de comptage. 8. Architecture according to claims 3 and 7, characterized in that the counting time is less than any other time interval in which messages other than deactivation messages are likely to be transmitted on the network in equal or greater number at the counting threshold. 9. Architecture selon la revendication 8, caractérisée en ce que l'émission d'un message sur le réseau autre qu'un message de désactivation est espacée temporellement de l'émission d'un premier message de désactivation de la part des unités de surveillance d'au moins la durée de comptage. 9. Architecture according to claim 8, characterized in that the transmission of a message on the network other than a deactivation message is spaced temporally from the transmission of a first deactivation message from the monitoring units. at least the counting time.
FR0952473A 2009-04-15 2009-04-15 Electronic control architecture e.g. braking system, for motor vehicle, has voting device counting number of messages and deactivating actuator when number is higher than or equal to threshold that is equal to number of monitoring units Withdrawn FR2944612A3 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0952473A FR2944612A3 (en) 2009-04-15 2009-04-15 Electronic control architecture e.g. braking system, for motor vehicle, has voting device counting number of messages and deactivating actuator when number is higher than or equal to threshold that is equal to number of monitoring units

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0952473A FR2944612A3 (en) 2009-04-15 2009-04-15 Electronic control architecture e.g. braking system, for motor vehicle, has voting device counting number of messages and deactivating actuator when number is higher than or equal to threshold that is equal to number of monitoring units

Publications (1)

Publication Number Publication Date
FR2944612A3 true FR2944612A3 (en) 2010-10-22

Family

ID=40940404

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0952473A Withdrawn FR2944612A3 (en) 2009-04-15 2009-04-15 Electronic control architecture e.g. braking system, for motor vehicle, has voting device counting number of messages and deactivating actuator when number is higher than or equal to threshold that is equal to number of monitoring units

Country Status (1)

Country Link
FR (1) FR2944612A3 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100030421A1 (en) * 2004-07-15 2010-02-04 Hitachi, Ltd. Vehicle control system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10211279A1 (en) * 2001-03-15 2002-09-26 Bosch Gmbh Robert Operating distributed safety-relevant system involves sending control message via communications system to control defective processor or associated component
EP1374052B1 (en) * 2001-03-30 2006-08-30 Tttech Computertechnik AG Method for operating a distributed computer system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10211279A1 (en) * 2001-03-15 2002-09-26 Bosch Gmbh Robert Operating distributed safety-relevant system involves sending control message via communications system to control defective processor or associated component
EP1374052B1 (en) * 2001-03-30 2006-08-30 Tttech Computertechnik AG Method for operating a distributed computer system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100030421A1 (en) * 2004-07-15 2010-02-04 Hitachi, Ltd. Vehicle control system
US8645022B2 (en) * 2004-07-15 2014-02-04 Hitachi, Ltd. Vehicle control system
US9650038B2 (en) 2004-07-15 2017-05-16 Hitachi, Ltd. Vehicle control system

Similar Documents

Publication Publication Date Title
FR2822562A1 (en) METHOD AND DEVICE FOR MONITORING CONTROL UNITS
EP0611171B1 (en) Synchronization system for redundant tasks
EP0724218A1 (en) Fault tolerant computer architecture
EP2667266B2 (en) Safety detection system with integrated diagnostic functions
WO2006085028A2 (en) Test flight on-board processing system and method
EP3716073B1 (en) On-board system on board an aircraft for detecting and responding to incidents with storage of logs
CA3086426C (en) Unidirectional communication system and method
FR2944612A3 (en) Electronic control architecture e.g. braking system, for motor vehicle, has voting device counting number of messages and deactivating actuator when number is higher than or equal to threshold that is equal to number of monitoring units
FR3014622A1 (en) ARCHITECTURE FOR CRITICAL DATA TRANSMISSION IN AVIONICS SYSTEMS
EP0612016B1 (en) Method and apparatus to protect a serial bus against short circuits
CA3056877A1 (en) Architecture of an aircraft braking system
FR3092953A1 (en) ELECTRONIC DEVICE AND METHOD FOR RECEIVING DATA VIA AN ASYNCHRONOUS COMMUNICATION NETWORK, RELATED COMMUNICATION SYSTEM AND COMPUTER PROGRAM
FR2826745A1 (en) Monitoring of the functioning of a system, especially for motor vehicle use, e.g. for a brake-by-wire system, with monitoring broken down into decentralized monitoring functions for each of the system individual functions
EP2751959B1 (en) Method for the exchange of data between nodes of a server cluster, and server cluster implementing said method
EP3275743A1 (en) An aircraft braking system having a high level of availability
FR3014273A1 (en) SYSTEM FOR TRANSMITTING AVIONIC APPLICATIVE DATA
CN116009510A (en) Vehicle-mounted control system abnormality processing method and device and vehicle
EP0272172A1 (en) Input control circuit, in particular for programmable controllers
EP3513294A1 (en) Device for controlling the reinitialization of a computer on board an automobile
EP3257254B1 (en) Method for synchronising and rendering multimedia streams
FR3102270A1 (en) Method and device for detecting an intrusion on a vehicle data bus
US20050273675A1 (en) Serviceability and test infrastructure for distributed systems
FR3102269A1 (en) Method and device for detecting an intrusion on a vehicle data bus
FR3010554A1 (en) METHOD FOR DETECTING AND PREVENTING FAILURE OF COMPONENT OF MOTOR VEHICLE
EP1426843B1 (en) Local, industrial or domestic network

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20101230