FR2985580A1 - Gestion en securite d'un vehicule - Google Patents
Gestion en securite d'un vehicule Download PDFInfo
- Publication number
- FR2985580A1 FR2985580A1 FR1350176A FR1350176A FR2985580A1 FR 2985580 A1 FR2985580 A1 FR 2985580A1 FR 1350176 A FR1350176 A FR 1350176A FR 1350176 A FR1350176 A FR 1350176A FR 2985580 A1 FR2985580 A1 FR 2985580A1
- Authority
- FR
- France
- Prior art keywords
- vehicle
- electronic control
- vehicles
- communication link
- mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000009434 installation Methods 0.000 claims abstract description 38
- 238000000034 method Methods 0.000 claims abstract description 30
- 238000004891 communication Methods 0.000 claims abstract description 28
- 230000009897 systematic effect Effects 0.000 claims abstract description 11
- 230000007547 defect Effects 0.000 claims description 13
- 238000012986 modification Methods 0.000 claims description 5
- 230000004048 modification Effects 0.000 claims description 5
- 238000012360 testing method Methods 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 230000009849 deactivation Effects 0.000 claims description 2
- 230000007257 malfunction Effects 0.000 description 9
- 238000003745 diagnosis Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000006978 adaptation Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000004171 remote diagnosis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0062—Adapting control system settings
- B60W2050/0075—Automatic parameter input, automatic initialising or calibrating means
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
- B60W2050/0295—Inhibiting action of specific actuators or systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W2556/00—Input parameters relating to data
- B60W2556/45—External transmission of data to or from the vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Transportation (AREA)
- Human Computer Interaction (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Electric Propulsion And Braking For Vehicles (AREA)
- Safety Devices In Control Systems (AREA)
- Small-Scale Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Procédé (200) de gestion d'un véhicule (110) à partir d'un grand nombre de véhicules (115) consistant à : - déterminer par une centrale (105) l'existence d'une fonction de défaut systématique dans le grand nombre (115) de véhicule (110), - réaliser (215) une liaison de communication (120, 125) entre la centrale (105) et le véhicule (110), - faire passer (260) au moins une installation électronique de commande (135, 140) du véhicule (110) dans un mode de fonctionnement de sécurité pour augmenter la sécurité de fonctionnement du véhicule (110).
Description
Domaine de l'invention L'invention concerne un procédé et une installation de gestion en sécurité d'un véhicule automobile. L'invention concerne en particulier un procédé pour la gestion d'une installation de commande électronique embarquée dans un véhicule et l'installation de commande électronique. Etat de la technique Un véhicule est équipé de plusieurs installations de commande électronique (Electronic Control Unit, ECU) montées et re- in liées entre elles. Les liaisons peuvent être des liaisons point par point ou des liaisons par bus. Les installations de commande électronique échangent des informations entre elles pour, en coopération, fournir une meilleure fonction. On peut par exemple prévoir deux installations de commande électronique sous la forme d'un système antiblocage et 15 d'un système de navigation, la vitesse du véhicule étant déterminée par le système antiblocage et mise ensuite à la disposition du système de navigation pour lui permettre un meilleur guidage sur un trajet prédéterminée. En cas de défaut de l'une des installations de commande 20 électronique, alors, les autres installations de commande électronique peuvent le cas échéant être limitées à leur fonctionnement. Cela est souvent plus problématique, lorsque la première installation de commande électronique fournit de fausses informations que lorsque ces informations sont totalement indisponibles. Si cette première installation 25 de commande électronique détecte pour elle-même un défaut irrémé- diable, alors elle peut permuter dans un mode de fonctionnement de sécurité dans lequel elle remplit au moins partiellement la fonction qui lui est assignée. Dans le cas d'un appareil de commande d'un moteur, on peut permettre un fonctionnement d'urgence permettant une vitesse 30 réduite du véhicule. Les autres installations de commande électroniques peuvent réagir à cela en passant également dans des modes de fonctionnement de sécurité selon lesquels elles remplissent leurs tâches à chaque fois avec le risque minimal de panne ou le cas échéant ne les remplis- 35 sent que partiellement. Un bus de données qui relie les installations de commande électronique entre elles peut pour cela être subdivisé en réseaux partiels de sorte que les installations de commande électronique ne fonctionnant pas intégralement puissent être séparées des autres. Ce mode de fonctionnement est limité à des défauts qui apparaissent au cours du fonctionnement du véhicule et qui peuvent être détectées par l'installation de commande électronique elle-même ou réciproquement. But de l'invention La présente invention a pour but de fournir un procédé et un dispositif pour la gestion pro-active d'un défaut de fonction dans une installation de commande électronique embarquée dans un véhicule. Exposé et avantages de l'invention A cet effet l'invention à pour objet un procédé de gestion d'un véhicule à partir d'un grand nombre de véhicules consistant à dé- terminer par une centrale l'existence d'une fonction de défaut systéma- tique dans le grand nombre de véhicule, réaliser une liaison de communication entre la centrale et le véhicule, faire passer au moins une installation électronique de commande du véhicule dans un mode de fonctionnement de sécurité pour augmenter la sécurité de fonction- nement du véhicule et une installation de commande embarquée à bord d'un véhicule issu d'un grand nombre de véhicules comprenant : une interface pour une liaison de communication vers une centrale, dans laquelle, l'installation passe dans un mode de fonctionnement de sécurité pour permettre une conduite en sécurité du véhicule après que la centrale ait déterminé qu'un grand nombre de véhicules se trouve dans une fonction de défaut systématique. Ainsi, on peut supprimer ou remédier à un défaut de fonctionnement provoqué par exemple par un défaut de programmation de l'installation de commande électronique embarquée dans le véhicule. Selon l'invention, le véhicule peut être géré de sorte que le fonctionnement défectueux n'apparaisse même pas. On peut ainsi augmenter la sécurité de fonctionnement du véhicule. Par l'application fréquente du procédé, on peut piloter de la même manière toute une série de véhi- cules qui comportent des installations de commande électroniques comparables. On peut ainsi augmenter de manière générale la sécurité de circulation. La nécessité de soumettre les véhicules isolés à une maintenance peut être décalée dans le temps. Selon un mode de réalisation préférentiel, le procédé se- lon lequel plusieurs installations de commande électronique reliées entre elles du véhicule sont amenées dans un mode de fonctionnement de sécurité pour permettre une coopération des installations de commande électronique. Pour cela, on peut en particulier utiliser une exploitation d'une partie d'un réseau de communication reliant les installations de commande électronique entre elles. Les installations de commande électronique qui ne sont pas concernées par la fonction défectueuse peuvent de cette manière être isolées d'un composant défectueux. Simultanément, les installations de commande électronique qui sont concernées par la fonction défectueuse peuvent être pilotées pour palier une répétition de défaut ou une répétition de dommage. Dans une autre variante, le mode de gestion ou de sécurité consiste à une réduire partiellement les fonctionnalités de l'installation de commande électronique. Cela peut être particulièrement intéressant si l'installation commande une fonction de sécurité d'un vé- hicule comme par exemple une fonction antiblocage des freins qui peut encore agir de manière positive pour la sécurité de fonctionnement du véhicule même lorsque ces fonctionnalités sont réduites. Malgré le maintien d'une fonctionnalité réduite, on évite à l'apparition d'un défaut de fonctionnement.
Selon une variante, le mode de fonctionnement de sécuri- té comprend une désactivation de l'installation de commande électronique, ce qui est notamment avantageux si la fonction implémentée de l'installation de commande électronique est une fonction de confort que le conducteur du véhicule peut effectuer lui-même comme la commande de la température dans l'habitacle. On peut ainsi éviter un état de fonc- tionnement du véhicule ou de l'installation de commande électronique indéfini ou incompréhensible pour le conducteur du véhicule. Selon un mode de réalisation, l'installation de commande électronique n'est basculée dans le mode de fonctionnement de sécurité qu'après avoir déterminé que la fonction de défaut apparaît dans le véhicule relié. Pour cela, on peut déterminer en particulier si les condi- tions aux limites sous lesquelles le défaut de fonctionnement n'apparaît pas seulement potentiellement mais effectivement peuvent être remplies dans le véhicule. Si le défaut de fonctionnement persiste dans l'installation de commande électronique sans que celui-ci ne puisse conduire à induire un défaut des composants du véhicule, alors on peut éviter le mode de fonctionnement en sécurité pour l'installation de commande électronique. On peut ainsi éviter le basculement par erreur ou trop rapide de l'installation de commande électronique dans le mode de fonctionnement de sécurité. Dans un mode de réalisation, on teste si le procédé com- prend en outre un test pour savoir si le véhicule se trouve à l'arrêt avant que l'installation de commande ne soit basculée dans le mode de fonctionnement de sécurité. Selon une variante, le véhicule doit se trouver à l'arrêt même pendant le test décrit ci-dessus pour détecter si le défaut de fonctionnement apparaît dans le présent véhicule. On peut ainsi éviter un état de fonctionnement indéfini ou une situation ambi- guë pour le conducteur dans l'utilisation ou la conduite du véhicule. Dans un mode de réalisation, on transmet des modifications exécutées à l'installation de commande électronique à la centrale. Ainsi, on peut exploiter la reconnaissance des modifications en même temps à un grand nombre de véhicules. On peut ainsi économiser des reconnaissances par des modifications ultérieures à des installations de commande électronique dans des véhicules, ce qui peut éviter des modifications inutiles ou sources de défaut. Un programme d'ordinateur comprend des moyens de programme pour la réalisation du procédé décrit lorsque le programme d'ordinateur est exécuté sur une installation de traitement ou est mé- morisé sur un support de données lisible par un ordinateur. Une installation de commande électronique embarquée dans un véhicule issu d'un ensemble de véhicules comprend une interface pour une liaison de communication vers une centrale et est instal- lée pour être basculée dans un mode de fonctionnement en sécurité pour permettre la sécurisation du véhicule après que la centrale ait déterminée qu'un grand nombre de véhicules aient un défaut systématique. L'installation de commande peut être également installée pour basculer d'autres installations de commande électroniques dans un mode de fonctionnement en sécurité et le cas échéant diviser un réseau de communication entre les différentes installations de commande électroniques en plusieurs réseaux partiels pour séparer les installations de commande électroniques fonctionnant totalement des installa- tions de commande électroniques ne fonctionnant que partiellement. De manière préférentielle, la centrale est fixe et la liaison de communication comprend un segment dans fil. La liaison de communication peut être effectuée sur demande ou commandée dans le temps vers la centrale pour déterminer si le défaut de fonctionnement systématique est déterminé dans un grand nombre de véhicules. Le traitement pro-actif des défauts de fonction à bord du véhicule peut être ainsi simplifié et être réalisé en un temps réduit. Dessins La présente invention sera décrite ci-après de manière plus détaillée à l'aide d'exemples de réalisation représentés dans les dessins annexés dans lesquels : la figure 1 représente un système pour la gestion en sécurité de véhicules automobiles, la figure 2 est un ordinogramme d'un procédé pour la gestion en sécurité d'un véhicule automobile. Description de modes de réalisation de l'invention La figure 1 montre un système 100 pour la gestion en sé- curité de véhicules automobiles. Le système 100 comprend une centrale 105 et un véhicule automobile 110, faisant partie d'un grand nombre de véhicules semblables 115. Une communication entre la centrale 105 et le véhicule 110 se fait au moyen d'une liaison de communication fixe 120 et d'une station radio 122 et à partir de là, au moyen d'une liaison de communication 125 sans fil vers le véhicule 110. De manière optionnelle, un certain nombre de fournisseurs 130 sont reliés avec la cen- traie 105, ceux-ci étant responsables à chaque fois d'un ou plusieurs systèmes partiels embarqués dans le véhicule 110. La centrale 105 peut être une installation de traitement de données qui comprend en particulier une banque de données pour le stockage de données de véhicules automobiles 110 isolés ou de séries 115 de véhicules. La centrale peut, dans le sens d'un service basé sur le système Cloud, être réalisée par un grand nombre d'installations de traitement de données dispersées qui sont en liaison entre elles pour l'échange de données.
Une installation de commande électronique 135 ainsi qu'une ou plusieurs autres installations de commande électronique 140 sont embarquées dans le véhicule 110. Les unités de commande 135, 140 sont reliées entre elles au moyen d'un réseau embarqué 142. La liaison peut être complète ou partielle et comprendre des liaisons point par point ou des bus de données. L'installation de commande électro- nique 135 a une interface 145 reliée à une antenne 150. L'antenne 150 et la station radio 122 représentent les extrémités de la liaison de communication sans fil 125. Des véhicules 110 sont semblables en ce sens qu'ils comportent des installations de commande électroniques 135, 140 iden- tiques ou au moins analogues qui remplissent des fonctions identiques ou analogues à bord de chaque véhicule 110. Si l'on a un défaut systématique dans l'installation de commande 135 d'un premier véhicule 110, alors le même défaut se trouve également dans l'installation de commande électronique 135 correspondant d'un second véhicule car les deux installations de commande électroniques 135 remplissent les mêmes fonctions qui sont affectées par défaut systématique. D'autre part, les deux véhicules 110 peuvent se différen- cier par exemple par leur équipement, la motorisation ou des fonctions autorisées ou du fait d'autres installations de commande électroniques 140 de sorte que le défaut de fonction systématique n'apparaisse pas dans chacun des véhicules 110. Le défaut de fonction peut par exemple être associé à une vitesse de véhicule déterminée qui ne peut pas être atteinte par l'un des véhicules du fait de sa motorisation.
Le défaut de fonctionnement systématique de l'installation de commande électronique 135 est caractérisée en ce que certes l'installation de commande électronique 135 fonctionne encore tel qu'elle a été conçue et le cas échéant, programmée, toutefois sous cer- s taines conditions d'utilisation aux limites prédéfinies ou pour des pa- ramètres déterminés, conduise à une fonction qui n'est pas utilisable pour remplir la tâche de l'installation de commande électronique 135 d'origine ou provoque un effet collatéral non prévu. Un tel défaut de fonction est par exemple un manque de protection contre des données 10 de mesure incohérentes, une fonctionnalité indéfinie pour un service d'utilisation particulier, que ce soit par le conducteur d'un des véhicules 110 ou le manque d'adaptation à une modification du comportement de l'un des autres installations de commande électroniques 140. Dans un mode de réalisation, les fournisseurs 130 sont 15 des fabricants, des responsables de projet ou autres acteurs influençant la fonctionnalité des installations de commande électroniques 135, 140, isolés. Par exemple, la même installation de commande électronique 135, 140 peut être réalisé par un fournisseur 130 et être monté dans les véhicules 110 de différents constructeurs, selon des adaptations 20 particulières des installations de commande 135, 140. Généralement, un défaut de fonction systématique de l'une des installations de commande électroniques 135 peut être déterminée par le fournisseur et retransmise à la centrale 105. Du côté du fournisseur 130 ou par la centrale 105, on peut déterminer de manière plus précise sous quelles 25 conditions le défaut de fonctionnement apparaît, ou pour quel véhicule 110 appartenant au grand nombre de véhicules semblables 115, le défaut apparaît au moins potentiellement. La figure 2 montre un ordinogramme d'un procédé 200 pour la gestion en sécurité d'un véhicule 110 selon la figure 1. Le pro- 30 cédé 200 est réalisé de manière préférentielle à partir de différents com- posants du système 100 de la figure 1. Pour cela, toutes les étapes du procédé 200 ne sont pas nécessaire. Dans un premier pas optionnel 205, le défaut de fonction est annoncé par le fournisseur 130 à la centrale 105. Ensuite, au pas 35 210, du côté du fournisseur 130 ou du côté de la centrale 105, on dé- termine quels sont les véhicules 110 de l'ensemble de véhicules 115 dans lesquels le défaut de fonction peut apparaître au moins potentiellement. D'autre part, on peut déterminer de quelle manière tester si le défaut de fonctionnement au bord d'un véhicule individuel déterminé 110 peut effectivement apparaître ou pas. Dans une variante du procé- dé 200, on peut également déterminer comment l'installation de commande 135 peut être amené à fonctionner sans défaut dans l'ensemble de la fonction, par exemple en appliquant une mise à jour de programme (Software Update) sur une ou plusieurs des installations de commande électroniques 135, 140. De manière idéale, on met à jour en même temps immédiatement le programme. Ensuite, dans un pas 215, on établit une communication entre le véhicule 110 et la centrale 105. La communication se fait avantageusement au moyen d'une liaison de communication 125 sans fil et optionnellement, en plus par la liaison de communication fixe 120 dans le cas où celle-ci existe. La liaison de communication sans fil 125 peut par exemple comprendre un réseau de données tel que WLAN, LTE ou une autre technologie radio mobile. On peut également envisager une transmission au moyen d'une communication véhicule-infrastructure (C21). Dans un autre mode de réalisation, la liaison de communication 125 peut également comprendre, de préférence sans fil, la transmission par un ou plusieurs autres véhicules 110, ce qui est connu sous le nom de communication de véhicule à véhicule (C2C). La liaison de communication 120, 125 peut être com- mandée dans le temps ou commandée par un évènement, par exemple par le démarrage ou la coupure du véhicule 110, et initialisée par une des installations de commande 135, 140 ou par le conducteur du véhicule 110. Dans un pas optionnel 220, on s'assure que le véhicule 110 se trouve à l'arrêt. On peut pour cela transmettre une information au conducteur du véhicule 110 lui indiquant d'arrêter le véhicule 110. Le procédé 200 peut être interrompu jusqu'à ce que le véhicule 110 soit arrêté. Dans un pas ultérieur 225, on réalise avantageusement un diagnostic pour déterminer si le défaut de fonction peut apparaître à bord du véhicule concerné 110. De cette manière, on détermine si le défaut de fonction qui peut apparaître potentiellement à bord du véhicule 105 peut effectivement apparaître. Ce diagnostic est basé de préférence sur les informations du fournisseur 130 ou de la centrale 105 qui sont décrits ci-dessus en référence au pas 210. Le diagnostic peut être réali- sé au moyen de la liaison de communication 120, 125 du côté de la centrale 105 (télé-diagnostic) ou par exemple être transmis au véhicule 110 sous la forme de consigne ou de séquence de consigne pour y être réalisé par une installation de commande 135, 140 (diagnostic local).
Si le diagnostic indique que le défaut ne peut pas appa- raître à bord du véhicule 110, alors le procédé 200 s'arrête au pas 230, auquel on peut transmettre optionnellement une indication au conducteur du véhicule 110 à l'aide de laquelle le conducteur est informé des actions réalisées et de leur résultat. Le cas échéant, il est demandé au conducteur de traiter le problème par exemple en se rendant dans un atelier. Si au contraire, on détermine que le défaut de fonction peut apparaître, alors dans un pas optionnel 235, on détermine si une reconfiguration de l'installation de commande 135 est possible. La re- configuration peut par exemple être une modification d'information de commande ou un échange de partie de programme de l'installation de commande programmable électroniquement 135. Pour cela, on peut de nouveau utiliser les informations obtenues du côté du fournisseur 130 ou de la centrale 105. Si la reconfiguration est possible, alors on l'effectue dans un pas suivant 240 avant que le procédé 200 ne s'arrête dans le pas 230 déjà décrit ci-dessus. Si aucune reconfiguration n'est possible ou prévue, alors à un pas 245, on détermine si le fonctionnement limité de l'installation de commande 135 est possible. Cela dépend du type de fonction réalisée par l'installation de commande 135 et du type de défaut systématique. Si un fonctionnement limité n'est pas possible ou non souhaitable, alors l'installation de commande 135 est coupé dans un pas 250 avant que le procédé 200 ne s'arrête au pas 230. Sinon on détermine à un pas 255 s'il y a d'autres ou quels autres appareils de commande 140 embarqués dans le véhicule 110 sont touchés par un fonctionnement limité de l'installation de commande 135. Ce sont généralement les autres appareils de commande 140 qui échangent des informations avec l'installation de commande 135 ayant des défauts de fonction.
Dans un mode de réalisation, en plus ou en variante du procédé précédent, on peut exécuter le pas 220 dans lequel on s'assure que le véhicule 110 se trouve à l'arrêt. Au pas 260, tous les appareils de commande concernés 135, 140 sont mis dans un mode de gestion de sécurité. En fonction du défaut de fonctionnement présent, on peut choisir pour chacune des installations de commande 135, 140 un mode de fonctionnement en sécurité, approprié. Pour cela, le réseau embarqué 142 est subdivisé en réseaux partiels pour séparer les installations de commande 135, 140 ne fonctionnant plus qu'en mode limité, de la manière appropriée du reste des installations de commande 140. Au pas optionnel 265, on renvoie des informations au sujet des pas de procédé réalisés à bord des véhicules 110 au moyen de la liaison de communication 120, 125, à la centrale 105 ou au fournisseur 130. Les informations concernent des résultats de diagnostic du pas 225, la configuration concrète des installations de commande 135, 140 embarqués dans le véhicule 110, l'équipement du véhicule 110, la puissance, sa localisation et/ou le passage des installations 135, 140 en mode de sécurité exécuté au pas 260, le procédé 200 s'arrête au pas 230.25
Claims (1)
- REVENDICATIONS1°) Procédé (200) de gestion d'un véhicule (110) à partir d'un grand nombre de véhicules (115) consistant à : déterminer (205) par une centrale (105) l'existence d'une fonction de défaut systématique dans le grand nombre (115) de véhicule (110), réaliser (215) une liaison de communication (120, 125) entre la centrale (105) et le véhicule (110), faire passer (260) au moins une installation électronique de com- mande (135, 140) du véhicule (110) dans un mode de fonctionne- ment de sécurité pour augmenter la sécurité de fonctionnement du véhicule (110). 2°) Procédé (200) selon la revendication 1, selon lequel plusieurs instal- lations de commande électroniques (135, 140) reliées entre elles du vé- hicule (110) sont amenées dans un mode de fonctionnement de sécurité pour permettre une coopération des installations de commande électroniques (135, 140). 3°) Procédé (200) selon la revendication 1, selon lequel le mode de fonc- tionnement en sécurité comporte une réduction partielle des fonctionnalités de l'installation de commande électronique (135, 140). 4°) Procédé (200) selon la revendication 1, selon lequel le mode de fonc- tionnement en sécurité comporte une désactivation des installations de commande électroniques (135, 140). 5°) Procédé (200) selon la revendication 1, selon lequel l'installation de commande électronique (135, 140) n'est basculée dans le mode de fonc- tionnement de sécurité qu'après avoir déterminé que la fonction de dé- faut ne peut pas être supprimée par la liaison de communication (120, 125). 6°) Procédé (200) selon la revendication 1, caractérisé en ce quel'installation de commande électronique (135, 140) n'est basculée dans le mode de fonctionnement de sécurité qu'après avoir déterminé que la fonction de défaut apparaît dans le véhicule relié (110). 7°) Procédé (200) selon la revendication 1, caractérisé en ce qu' il comprend en outre un test (220) pour savoir si le véhicule (110) se trouve à l'arrêt avant que l'installation de commande (135, 140) ne soit basculée dans le mode de fonctionnement de sécurité. 8°) Procédé (200) selon la revendication 1, caractérisé en ce qu' il comprend l'étape consistant en outre à transmettre (265) à la centrale (105) des modifications réalisées aux installations de commande élec- tronique (135, 140). 9°) Programme d'ordinateur comprenant des codes de programme pour mettre en oeuvre le procédé (200) selon l'une des revendications 1 à 8, lorsque le programme est exécuté sur une installation de calcul (135, 140) ou est mémorisé sur un support de données lisibles par un ordina- teur. 10°) Installation de commande électronique (135) embarquée à bord d'un véhicule (110) issu d'un grand nombre (115) de véhicules (110) comprenant : une interface (145) pour une liaison de communication (120, 125) vers une centrale (105), dans laquelle, l'installation (135) passe dans un mode de fonctionnement de sécurité pour permettre une conduite en sécurité du véhicule (110) après que la centrale (105) ait déterminé qu'un grand nombre (115) de véhicules (110) se trouve dans une fonction de défaut systématique.11°) Installation de commande selon la revendication 10, dans lequel la position de la centrale (105) est fixe et la liaison de communication comprend un segment (125) sans fil.5
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102012200184A DE102012200184A1 (de) | 2012-01-09 | 2012-01-09 | Sicherer Betrieb eines Kraftfahrzeugs |
| DE102012200184.0 | 2012-01-09 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR2985580A1 true FR2985580A1 (fr) | 2013-07-12 |
| FR2985580B1 FR2985580B1 (fr) | 2020-02-28 |
Family
ID=48652618
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR1350176A Active FR2985580B1 (fr) | 2012-01-09 | 2013-01-09 | Gestion en securite d'un vehicule |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9031713B2 (fr) |
| CN (1) | CN103253273B (fr) |
| DE (1) | DE102012200184A1 (fr) |
| FR (1) | FR2985580B1 (fr) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014130717A1 (fr) | 2013-02-22 | 2014-08-28 | Ellis Frampton | Dispositifs à sécurité intégrée comprenant des véhicules de transport |
| DE102013206746B4 (de) | 2013-04-16 | 2016-08-11 | Ford Global Technologies, Llc | Verfahren und Vorrichtung zum Modifizieren der Konfiguration eines Fahrassistenzsystems eines Kraftfahrzeuges |
| US10901415B1 (en) | 2015-05-26 | 2021-01-26 | Waymo Llc | Non-passenger requests for autonomous vehicles |
| US9368026B1 (en) | 2015-05-26 | 2016-06-14 | Google Inc. | Fallback requests for autonomous vehicles |
| EP3393859B1 (fr) * | 2015-12-21 | 2021-11-17 | Bayerische Motoren Werke Aktiengesellschaft | Procédé de modification d'appareils de commande de sûreté et/ou de sécurité dans un véhicule automobile, et dispositif associé |
| DE102017200301A1 (de) * | 2017-01-10 | 2018-07-12 | Robert Bosch Gmbh | Verfahren zur Fehlererkennung in einem Kraftfahrzeug |
| DE102017215710B4 (de) * | 2017-09-06 | 2023-05-25 | Audi Ag | Verfahren zum Übertragen von Software |
| FR3086054B1 (fr) * | 2018-09-18 | 2020-08-28 | Continental Automotive France | Procede de demande d’arret en zone securisee par simulation de dysfonctionnement d’un vehicule automobile |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7877179B2 (en) * | 2006-09-12 | 2011-01-25 | GM Global Technology Operations LLC | Mechanical and electrical locking coordination security strategy for an active front steer system |
| CN101017601A (zh) * | 2006-12-08 | 2007-08-15 | 天津大学 | 一种用于电控车辆无线远程监控标定及故障诊断的系统 |
| CN201359734Y (zh) * | 2008-12-25 | 2009-12-09 | 万向电动汽车有限公司 | 车辆工况远程监控系统 |
| US9605409B2 (en) * | 2009-03-31 | 2017-03-28 | Caterpillar Inc. | System and method for operating a machine |
| CN201689311U (zh) * | 2010-01-04 | 2010-12-29 | 北汽福田汽车股份有限公司 | 一种用于远程监控的车载控制器 |
-
2012
- 2012-01-09 DE DE102012200184A patent/DE102012200184A1/de active Pending
-
2013
- 2013-01-08 CN CN201310130109.2A patent/CN103253273B/zh active Active
- 2013-01-09 FR FR1350176A patent/FR2985580B1/fr active Active
- 2013-01-09 US US13/737,056 patent/US9031713B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20130179006A1 (en) | 2013-07-11 |
| CN103253273B (zh) | 2017-05-17 |
| FR2985580B1 (fr) | 2020-02-28 |
| US9031713B2 (en) | 2015-05-12 |
| CN103253273A (zh) | 2013-08-21 |
| DE102012200184A1 (de) | 2013-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| FR2985580A1 (fr) | Gestion en securite d'un vehicule | |
| JP7446706B2 (ja) | 運転者支援設計分析システム | |
| JP6864006B2 (ja) | 自動車の安全性及び/又はセキュリティに関連する制御機器の修正方法とそれに関する装置 | |
| CN113176902B (zh) | 车辆ecu的ota升级方法、电子设备、车辆及可读存储介质 | |
| EP2564573A1 (fr) | Procédé de mise à niveau d'un aéronef | |
| FR2957043A1 (fr) | Systemes et procedes pour equipement de test integre destine a un systeme de commande de freinage | |
| CN112666916A (zh) | 用于开发和验证自动驾驶特征的方法和系统 | |
| FR3028068A1 (fr) | Procede, equipement et systeme d’aide au diagnostic | |
| WO2010091787A1 (fr) | Procede de communication entre deux calculateurs electronique automobiles et dispositif associe | |
| WO2020178520A1 (fr) | Module de collecte de données relatives à un équipement d'un véhicule de transport de passagers | |
| FR2851660A1 (fr) | Dispositif et procede de diagnostic embarque decentralises pour vehicules automobiles | |
| EP3513294B1 (fr) | Dispositif de controle de la reinitialisation d'un calculateur embarque automobile | |
| FR3096153A1 (fr) | Procédé et dispositif de retour à un état précédent une mise à jour logicielle d’un calculateur d’un véhicule à distance | |
| FR2974339A1 (fr) | Procede et systeme de commande de l'allumage de feux de stop d'un vehicule automobile, et vehicule equipe d'un tel systeme | |
| FR3018650A1 (fr) | Commutateur ethernet, engin mobile et bus de transport de passagers comprenant ledit commutateur ethernet | |
| WO2021197864A1 (fr) | Dispositifs et procédé de contrôle d'unités de commande électroniques d'un véhicule automobile | |
| FR3041789A1 (fr) | Procede de mise a jour de composants d'un vehicule | |
| EP2251789B1 (fr) | Module d'entrées/sorties pour capteurs et/ou actionneurs échangeant des informations avec deux unités centrales | |
| EP3458968A1 (fr) | Reseau multiplexe avec gestion de perte de trame d'etat | |
| EP3290289B1 (fr) | Véhicule ferroviaire comportant un système de supervision et procédé d'utilisation d'un tel système de supervision | |
| FR3097344A1 (fr) | Procédé de diagnostic d’un calculateur esclave communiquant avec un calculateur maître | |
| US20220300403A1 (en) | Isolated software testing in production vehicles | |
| FR2949865A1 (fr) | Autodiagnostic de calculateurs mecatroniques | |
| CN112309153B (zh) | 故障车辆的停靠方法及装置 | |
| EP3309041B1 (fr) | Procédé d'identification d'une défaillance d'un dispositif de commande d'un véhicule ferroviaire, dispositif de commande d'un véhicule ferroviaire et véhicule ferroviaire comportant ce dispositif |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 4 |
|
| PLSC | Publication of the preliminary search report |
Effective date: 20170113 |
|
| PLFP | Fee payment |
Year of fee payment: 5 |
|
| PLFP | Fee payment |
Year of fee payment: 6 |
|
| PLFP | Fee payment |
Year of fee payment: 7 |
|
| PLFP | Fee payment |
Year of fee payment: 8 |
|
| PLFP | Fee payment |
Year of fee payment: 9 |
|
| PLFP | Fee payment |
Year of fee payment: 10 |
|
| PLFP | Fee payment |
Year of fee payment: 11 |
|
| PLFP | Fee payment |
Year of fee payment: 12 |