FR3033428A1 - Procede de determination de l'origine d'un defaut de securite - Google Patents

Procede de determination de l'origine d'un defaut de securite Download PDF

Info

Publication number
FR3033428A1
FR3033428A1 FR1553152A FR1553152A FR3033428A1 FR 3033428 A1 FR3033428 A1 FR 3033428A1 FR 1553152 A FR1553152 A FR 1553152A FR 1553152 A FR1553152 A FR 1553152A FR 3033428 A1 FR3033428 A1 FR 3033428A1
Authority
FR
France
Prior art keywords
computer
reset
function
test
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR1553152A
Other languages
English (en)
Inventor
Jean-Luc Boyer
Francois Pelissier
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Continental Automotive France SAS
Original Assignee
Continental Automotive GmbH
Continental Automotive France SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH, Continental Automotive France SAS filed Critical Continental Automotive GmbH
Priority to FR1553152A priority Critical patent/FR3033428A1/fr
Publication of FR3033428A1 publication Critical patent/FR3033428A1/fr
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2284Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing by power-on test, e.g. power-on self test [POST]

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

Procédé de détermination de l'origine d'un défaut de sécurité (17), pour un calculateur (10) dont les fonctions critiques sont surveillées par un module de sécurité (12), ledit module de sécurité (12) étant apte à détecter un défaut de sécurité (17), et à déclencher une réinitialisation du calculateur (10), suite à une détection d'un défaut de sécurité (17), où le procédé comprend, après un redémarrage du calculateur (10), une étape de test (33) d'au moins une fonction critique, afin de détecter si ladite fonction testée est défaillante et potentiellement à l'origine du défaut de sécurité (17).

Description

1 La présente invention concerne un système et un procédé de détermination de l'origine d'un défaut de sécurité, pour un calculateur comprenant un module de sécurité. Un tel module de sécurité surveille, pendant que le calculateur fonctionne, au moins les fonctions critiques du calculateur. Le module de sécurité est apte à reprendre la 5 main sur le calculateur, au moins pour les fonctions critiques, suite à une détection de défaillance, afin d'empêcher tout risque. En fonction du ou des défauts détectés, le module de sécurité peut inhiber une fonction critique en interrompant une ligne de commande entre le calculateur et un organe assurant ladite fonction afin que le calculateur ne puisse pas envoyer une commande potentiellement dangereuse audit 10 organe. Dans la panoplie des mesures préventives ou curatives disponibles, le module de sécurité dispose encore, en dernier recours, de la possibilité de déclencher une réinitialisation du calculateur. Dans le domaine automobile, il est ainsi connu, depuis que des automatismes ont été introduits dans les chaînes de commande de certaines fonctions critiques telles 15 que la propulsion, la direction ou le freinage d'un véhicule, de disposer un module de sécurité, dans le calculateur en charge du contrôle de ces fonctions critiques, tel par exemple un calculateur de contrôle moteur. Un tel module de sécurité se présente avantageusement sous forme d'un composant indépendant et est apte à surveiller le calculateur et à le rendre inopérant, ou du moins inoffensif, lorsqu'un défaut de sécurité 20 est détecté. Le principe de la surveillance par le module de sécurité consiste typiquement à comparer les commandes issues du calculateur avec un modèle prédictif afin de détecter toute dérive. De manière classique, un tel module de sécurité est au moins apte à 25 interrompre les vecteurs ou lignes de transmission de commande entre le calculateur et le ou les organes ou actionneurs afin d'isoler le calculateur et ainsi le rendre inoffensif. Une autre action classique du module de sécurité est de commander une réinitialisation du calculateur. Le but d'une telle mesure est double. Il s'agit d'une part, de manière préventive de rendre rapidement le calculateur inopérant afin d'éviter toute 30 commande potentiellement dangereuse. D'autre part, de manière curative, une telle réinitialisation a pour but de replacer le calculateur dans un état de référence connu et initial. Ceci est réalisé dans l'espoir de corriger un dysfonctionnement dont l'origine proviendrait du calculateur et/ou de son logiciel. Une telle mesure de réinitialisation, doit être réalisée très rapidement suite à la 35 détection d'un défaut de sécurité. L'inconvénient de cette rapidité est qu'elle ne laisse pas ou peu de temps pour effectuer un diagnostic de l'origine du défaut de sécurité. Or la 3033428 2 connaissance de l'origine du défaut de sécurité est importante pour réaliser une maintenance éventuellement nécessaire, suite au défaut de sécurité détecté. D'autres facteurs, détaillés plus avant, s'opposent à une détermination détaillée de l'origine précise du défaut de sécurité.
L'invention remédie à ces inconvénients en proposant un mode opératoire permettant, tout en assurant les impératifs de sécurité, dont entre autres une réaction rapide, de déterminer néanmoins l'origine d'un défaut de sécurité. L'invention concerne un procédé de détermination de l'origine d'un défaut de sécurité, pour un calculateur dont les fonctions critiques sont surveillées par un module de sécurité, ledit module de sécurité étant apte à détecter un défaut de sécurité, et à déclencher une réinitialisation du calculateur, suite à une détection d'un défaut de sécurité, où le procédé comprend, après un démarrage du calculateur, une étape de test d'au moins une fonction critique, afin de détecter si ladite fonction testée est défaillante et potentiellement à l'origine du défaut de sécurité.
Selon une autre caractéristique, ladite étape de test est conditionnée à une vérification préalable que ledit démarrage fait suite à une réinitialisation du calculateur déclenchée par le module de sécurité. Selon une autre caractéristique, si le test détecte qu'une fonction testée est défaillante, un code de défaut correspondant est produit et stocké dans une mémoire 20 rémanente. Selon une autre caractéristique, si le test détecte qu'au moins une fonction testée est défaillante, un mode dégradé est activé. Selon une autre caractéristique, si le test ne détecte aucune fonction défaillante, un mode nominal est poursuivi.
25 Selon une autre caractéristique, le procédé comprend encore, préalablement à une réinitialisation du calculateur, une étape de stockage rémanent d'informations d'état indicatives de l'état de fonctionnement, et l'étape de test comprend encore les étapes de récupération desdites informations d'état, et utilisation desdites informations d'état pour réaliser le test dans un état de fonctionnement proche de l'état de fonctionnement 30 immédiatement précédent l'instant où la réinitialisation a été déclenchée. Selon une autre caractéristique, l'étape de stockage est réalisée, une fois, entre la détection du défaut de sécurité et la réinitialisation du calculateur. Selon une autre caractéristique, l'étape de test est réalisée le plus tôt possible après le redémarrage.
35 Selon une autre caractéristique, le procédé comprend encore, en mode maintenance, une étape de relecture dans la mémoire rémanente du (ou des) éventuel(s) code(s) de défaut.
3033428 3 L'invention concerne encore un système comprenant des moyens aptes à implémenter un tel procédé. D'autres caractéristiques, détails et avantages de l'invention ressortiront plus clairement de la description détaillée donnée ci-après à titre indicatif en relation avec des 5 dessins sur lesquels : - la figure 1 illustre le principe de fonctionnement et de sécurisation d'un calculateur, - la figure 2 illustre la séquence des étapes du procédé. La figure 1 illustre le principe d'un calculateur 10 dont les fonctions critiques 10 sont surveillées par un module de sécurité 12. Un tel calculateur 10 est par exemple un calculateur de contrôle moteur apte à commander les fonctions relatives au pilotage d'un moteur 20 d'un véhicule automobile. Ainsi un tel calculateur 10 commande toutes les fonctions nécessaires à contrôler un tel moteur 20. Pour cela ledit calculateur 10 est informé des paramètres d'état du véhicule ainsi que des commandes du conducteur. Un 15 tel calculateur 10 (calculateur de contrôle moteur, en anglais « Engine Control Unit » ou ECU) comprend pour cela un module principal 11 (surveillant de contrôle moteur, en anglais « Engine Control Monitor » ou ECM). En fonction de toutes les entrées, fournies par un ou plusieurs composant(s) 22, qui regroupent des capteurs, ainsi que des organes de commande (par exemple la pédale d'accélérateur), ce module principal 11 est informé de la volonté du conducteur et de l'état du moteur et/ou du véhicule. Il en déduit par calcul une ou plusieurs commande(s) 13 à l'attention d'un ou plusieurs organes ou actionneurs 21 commandant effectivement, via des commande(s) 15, le moteur 20. Certaines parmi ces fonctions, sont critiques en ce qu'elles peuvent causer des dommages au moteur 20, au véhicule, au conducteur ou aux passagers (par exemple en cas de problème de sécurité) ou encore à l'environnement (en cas de problème de pollution). C'est le cas par exemple de la commande d'ouverture du papillon d'entrée d'air (en anglais « throttle » ou TPS) qui conditionne directement le régime de fonctionnement du moteur 20. Afin de surveiller ces fonctions critiques, un module de sécurité 12 (encore nommé ECM2) est en charge de surveiller le fonctionnement du module principal 11. Ce module de sécurité 12 est le plus souvent intégré au calculateur 10. Pour réaliser sa fonction, le module de sécurité 12 reçoit en parallèle du module principal 11, sensiblement les même entrées, fournies par un ou plusieurs composant(s) 22, afin d'être informé de la volonté du conducteur et de l'état du moteur et/ou du véhicule. A partir de ces entrées, le module de sécurité 12 détermine, au moins pour chaque fonction critique, une estimée 14 de la commande 15 que l'organe 21, figurant génériquement un ou plusieurs actionneurs, est censé envoyer au moteur 20.
3033428 4 La commande 15, commande physiquement envoyée au moteur 20, plutôt que la commande 13 issue du module principal 11, est employée, dans la mesure du possible, afin de considérer une information indicative de la commande 15 effectivement réalisée par l'organe ou actionneur 21, par exemple une recopie d'un capteur 5 d'asservissement. Ainsi, pour une fonction, le test de surveillance est probant pour confirmer le bon fonctionnement tant du module principal 11 du calculateur 10 qui produit la commande, que de l'ensemble de la chaîne organique comprenant l'actionneur 21, tous deux susceptibles de dysfonctionner. Un comparateur 16 réalise une comparaison entre l'estimée 14 issue du 10 module de sécurité 12, et la commande 15 issue du module principal 11 et réalisée par l'organe ou actionneur 21. Tant que ces deux grandeurs 14,15 sont comparables, le fonctionnement est réputé être correct. Si une différence notable est observée, un défaut est produit par le comparateur 16. Le ou les défaut(s) de sécurité 17 ainsi produits sont traités, par une stratégie 15 de sécurité, en fonction de leur type (fonction concernée), et/ou de leur occurrence. Un unique défaut, suffisamment majeur, peut, à lui seul, déclencher un défaut de sécurité 17. A contrario, il peut être nécessaire d'observer une répétition, un nombre de fois donné, d'un défaut mineur ou encore une combinaison donnée de plusieurs défaut mineurs, pour déclencher un défaut de sécurité 17.
20 En fonction des défauts et/ou défauts de sécurité présents, le module de sécurité 12 est apte à prendre des mesures correctives, visant à prendre la main sur le module principal 11 afin de l'empêcher de nuire, lorsqu'un dysfonctionnement est ainsi détecté. Les mesures correctives sont au moins de deux types. Selon un premier type, 25 le module de sécurité 12 est apte à inhiber une fonction en interrompant le vecteur transportant une commande 13,15 entre le module principal 11 et le moteur 20. Cette interruption (non représentée) peut être réalisée entre le module principal 11 et l'organe ou actionneur 21 en stoppant la commande 13 ou entre l'organe ou actionneur 21 et le moteur 20 en débrayant l'organe ou actionneur 21 afin de stopper l'actuation de la 30 commande 15. Ainsi dans le cas de la fonction injection, par exemple, l'étage de puissance des injecteurs est mis hors tension, interdisant toute injection de carburant. Selon un deuxième type de mesure corrective, le module de sécurité 12 est apte à déclencher une réinitialisation du calculateur 10. Le problème que l'invention souhaite résoudre, est, à fin de maintenance 35 ultérieure, de déterminer la cause première à l'origine du défaut de sécurité 17, lorsqu'une réinitialisation du calculateur 10 a été déclenchée.
3033428 5 De nombreux facteurs s'opposent aujourd'hui à ce que le défaut d'origine, ayant au final conduit à une réinitialisation du calculateur 10, puisse être déterminé. Un premier facteur est que le but premier du système est d'empêcher une défaillance du calculateur 10 d'avoir des conséquences dangereuses. Aussi, par 5 conception, le calculateur 10 et particulièrement le module de sécurité, n'est pas nécessairement orienté diagnostic. Aussi, tout le système et notamment le diagnostic, ne se préoccupe pas nécessairement de détailler un défaut. L'important est que tout défaut soit efficacement détecté. Ensuite le fait que les remèdes sont en bien plus petit nombre que les causes de défaut n'incite pas à détailler des codes de défaut dont la finalité est de 10 déterminer efficacement un remède. Ainsi, même si des codifications des défauts existent, elles ne détaillent pas nécessairement l'origine. Ainsi un défaut peut être uniquement indicatif de la gravité, par exemple parmi mineur ou majeur ou critique, un défaut majeur ou critique nécessitant une réinitialisation, mais sans nécessairement indiquer la nature ou l'origine du défaut.
15 Un autre facteur est que, selon un autre mode de réalisation, des défauts peuvent être cascadés. Un défaut mineur est sans conséquence, mais sa répétition ou sa combinaison avec un ou plusieurs autres défauts mineurs, peut devenir plus critique et par exemple déclencher un défaut de niveau supérieur. Ainsi, il est possible qu'un défaut déclenche un autre défaut, qui en cascade déclenche un autre défaut, qui au final 20 nécessite une réinitialisation. Le défaut ayant déclenché la réinitialisation, n'est plus directement relié à une cause/origine pouvant être reliée à une fonction. La cascade fait ici perdre le lien de causalité et empêche de remonter au défaut d'origine ou à l'origine du défaut. Selon encore un autre facteur, lorsqu'une condition critique est détectée, le 25 système doit réagir très rapidement. Aussi, dès qu'une réinitialisation est décidée par le module de sécurité 12, elle doit être déclenchée très rapidement. Ceci empêche notamment toute réalisation de tests diagnostiques pouvant nécessiter plus de temps, afin de préciser une origine de défaillance ou à lever un doute. Selon encore un autre facteur, un des objectifs d'une réinitialisation du 30 calculateur 10, est de replacer le calculateur 10 dans un état de référence, afin de tenter de revenir à un fonctionnement de référence nominal et satisfaisant. Afin de réaliser cet état de référence, il est évité au maximum de modifier l'environnement du calculateur 10 et entre autres le contenu de sa mémoire. Aussi, même si l'origine de la défaillance du calculateur 10 est déterminée avant le déclenchement de la réinitialisation, il est 35 préférable de ne pas la stocker dans la mémoire du calculateur 10. Il est ici question de la mémoire rémanente ou non volatile. La mémoire vive ou dynamique est, quant à elle, effacée lors de la réinitialisation du calculateur 10.
3033428 6 Malgré cette dernière remarque, il est néanmoins généralement procédé actuellement, préalablement à une réinitialisation, à une sauvegarde, de manière rémanente à une coupure d'alimentation, de quelques informations dans une page de sauvegarde (encore appelée en anglais : « freeze frame »). Un code de défaut 5 correspondant au défaut de sécurité 17 peut ainsi être stocké, ainsi que des données d'état du système calculateur et/ou moteur. Cette page de sauvegarde est cependant le plus souvent trop peu détaillée ou documentée pour permettre de déterminer l'origine du défaut de sécurité 17. Afin de répondre au problème de détermination de l'origine du défaut de 10 sécurité 17, sans rencontrer les inconvénients de l'art antérieur, l'invention propose un procédé innovant. Ce procédé, illustré par le synoptique de la figure 2, se déroule avantageusement, après un démarrage 30 du calculateur 10. Il comprend une étape de test 33 d'au moins une fonction critique, afin de détecter si ladite fonction critique est défaillante et potentiellement à l'origine du défaut de sécurité 17.
15 Une fonction testée ici comprend toute fonction susceptible, par un défaut, d'être à l'origine d'un défaut de sécurité 17 capable de déclencher une réinitialisation du calculateur 10. Il peut ainsi, et de préférence, s'agir d'un sous-ensemble de fonctions parmi les fonctions critiques surveillées par le module de sécurité 12. Il peut encore s'agir de toutes les fonctions critiques surveillées par le module de sécurité 12. Alternativement, 20 si des fonctions non critiques peuvent, par une conjonction et/ou une répétition de défaut, causer une réinitialisation du calculateur 10, ces fonctions non critiques peuvent avantageusement encore être incluses dans l'ensemble des fonctions testées. Au cours de l'étape de test 33, une fonction est testée, avantageusement sur une chaîne de commande la plus étendue possible et dans la mesure du possible, 25 incluant tous les organes intermédiaires et l'organe final. Afin que ledit test 33 n'occasionne aucun risque relativement au fonctionnement du système, le test 33 est avantageusement réalisé dans une phase de fonctionnement où l'actionnement effectif de l'organe final est sans conséquence ou au moins sans gravité.
30 Ainsi par exemple, la fonction de commande d'un papillon de gaz peut être avantageusement testée avant le démarrage du moteur ou lors d'une décélération pendant laquelle l'injection est coupée. Ainsi l'actionnement effectif du papillon n'aura pas de conséquence sur le régime moteur. Alternativement pour certaines fonctions où cela n'est pas possible, le test 33 35 peut être réalisé en inhibant l'organe final, tel un étage final de puissance, afin de le débrayer ou de le rendre inopérant. Ceci présente l'inconvénient de ne pas inclure ledit organe final dans la fonction testée.
3033428 7 Le test du papillon de gaz peut consister en l'envoi, par le calculateur 10, d'une consigne X, comparée à une recopie Y observée sur le papillon lui-même ou sur le capteur d'asservissement de l'actionneur mobilisant le papillon. Si Y est sensiblement égal à X, il peut être considéré que la fonction papillon, y inclus toute sa chaîne de 5 commande, comprenant une partie interne au calculateur et une chaine organique externe, est fonctionnelle. Dans le cas contraire, si un défaut est détecté, le test produit un code de défaut 17 associé à cette fonction testée. Certaines fonctions peuvent nécessiter une action de l'utilisateur pour être testées. Ainsi un test de la fonction pédale d'accélérateur, demande au conducteur 10 d'actionner ladite pédale afin de vérifier que la pédale fonctionne et que le calculateur 10 reçoit bien une commande. Avantageusement selon l'invention, l'étape de test 33 est déroulée au (re)démarrage du calculateur 10, et donc typiquement dans une phase de fonctionnement du calculateur et du véhicule, où l'on dispose du temps nécessaire à la réalisation des 15 différents tests. L'étape de test 33 précédemment décrite est surtout utile suite à une réinitialisation du calculateur 10 ayant été déclenchée par le module de sécurité 12, puisque le but est de déterminer l'origine du défaut de sécurité 17 ayant conduit à cette réinitialisation. Un démarrage du calculateur 10 peut faire suite à une réinitialisation pour 20 une autre cause qu'une défaillance, par exemple en cours de maintenance ou encore, plus fréquemment, suite à un arrêt normal du calculateur 10, contingent d'un arrêt du moteur 20 et coupure du contact. Aussi, avantageusement, dans le procédé, l'étape de test 33 est conditionnée à une vérification 31 préalable que le démarrage 30 du calculateur 10, soit le plus récent 25 démarrage, fait suite à un arrêt déclenché par le module de sécurité 12 sur un défaut de sécurité 17. Une telle condition peut être vérifiée au moyen d'un indicateur d'état, positionné dans une mémoire rémanente aux coupures d'alimentation électrique. Selon un mode de réalisation, un tel indicateur d'état peut être positionné par le module de sécurité 12, préalablement à la réinitialisation. Un tel indicateur d'état peut 30 ainsi être contenu dans la page de sauvegarde (« freeze frame »), typiquement mise à jour avant le déclenchement de la réinitialisation. Selon un autre mode de réalisation, un indicateur d'état est positionné, dans une mémoire rémanente, avant toute mise hors tension volontaire et nominale du calculateur 10, autre que déclenchée par le module de sécurité 12. L'absence d'un tel 35 indicateur d'état est alors, par défaut, indicative d'une réinitialisation déclenchée par le module de sécurité 12.
3033428 8 La vérification 31 est alors typiquement réalisée en relisant l'un ou l'autre indicateur d'état dans ladite mémoire rémanente et en l'interprétant. Si la vérification 31 conclut que le plus récent démarrage fait suite à une réinitialisation issue du module de sécurité 12, alors il est procédé à l'étape de test 33.
5 Dans le cas contraire, le procédé est terminé, faute d'objet. L'étape de test 33 peut typiquement dérouler toute une série de tests, chacun adapté au diagnostic d'au moins une fonction. Selon les cas ceci peut aboutir à ne détecter aucune fonction en défaut, ou encore une ou plusieurs fonctions en défaut. Pour chaque défaut ainsi éventuellement détecté par le test 33 lors du test d'une fonction, un 10 code de défaut 36 circonstancié est produit. Afin de garder une trace durable de ce code de défaut 36, il est avantageusement inscrit dans une mémoire rémanente. Le procédé se poursuit, en fonction des résultats de l'étape de test 33. Si le test 33 a détecté au moins un défaut associé à au moins une fonction testée, au moins une des fonctions est défaillante. Le système n'est pas complètement 15 opérationnel et il convient d'en tenir compte. En fonction du ou des défauts 36 observé, il est avantageux d'activer un mode dégradé 37 (en anglais « limphome mode »), visant à tenir compte du ou des défauts 36, pour éviter toute mise en danger des occupants et toute détérioration supplémentaire des organes, tout en permettant un usage le plus étendu possible d'un maximum de fonctions, notamment de mobilité, du moteur 20 et du 20 véhicule. Il convient de noter que la connaissance circonstanciée du ou des défauts 36, bien plus détaillée que celle de l'art antérieur, permet ici de définir au mieux un mode dégradé 37 le plus adapté à l'état du système. La connaissance selon l'art antérieur, beaucoup plus globale, voire inexistante, de l'état de défaut du système, limitait plus drastiquement les fonctions laissées utilisables par un mode dégradé.
25 Tel qu'il fonctionne, en surveillant une chaine de commande complète d'une fonction, incluant un organe et le calculateur 10, le module de sécurité 12 est capable de détecter deux origines de défauts : soit un défaut d'un organe 21, tel un actionneur 21 défectueux, soit un défaut du calculateur 10 et/ou de son logiciel, qui cesse de produire des commandes correctes à l'attention du dit organe 21, qui obéit correctement, mais à 30 une commande incorrecte. Cependant cette détection est globale et ne distingue pas les deux origines. Le procédé selon l'invention, permet avantageusement de faire la distinction parmi ces deux origines. Si une fonction, par exemple la fonction d'injection de carburant, est détectée défaillante par le module de sécurité 12, le défaut de sécurité 17 levé ne 35 distingue pas si le défaut est dû à un composant défaillant dans la chaîne organique 21, tel un injecteur, ou si le défaut est dû à la partie du calculateur 11 qui détermine la commande envoyée à ladite chaîne organique 21. Si le défaut de sécurité 17 est 3033428 9 suffisamment grave, ce qui est le cas s'il concerne la fonction d'injection de carburant, le module de sécurité 12 déclenche une réinitialisation du calculateur 10. Suite à cette réinitialisation, le redémarrage suivant démarre le procédé. Au cours de l'étape de test 33, au moins un test est dédié au contrôle au moins de la fonction 5 en cause, dont la chaîne organique 21 est testée, ici la fonction injection. Ici, deux cas sont possibles. Selon un premier cas, le test 33 détecte un défaut de la fonction. En ce qu'il est détectable et qu'il a pu être reproduit durant l'étape de test 33, ce défaut est probablement un défaut d'un des composants de la chaîne organique 21. Il peut être supposé que ce défaut est à l'origine du problème. Aussi, il est judicieux de déclencher un 10 mode dégradé 37, correspondant à un défaut de la fonction en cause, ici la fonction d'injection et plus particulièrement un défaut de sa partie organique 21. Selon un deuxième cas, le test 33 ne détecte aucun défaut pour la fonction testée. Il peut alors être supposé, en ce qu'il n'a pas été reproduit lors de l'étape de test 33, que le problème a pour origine un défaut du calculateur 10,11.
15 Il est ici considéré qu'un défaut ayant pour origine le calculateur 10 est effacé par une réinitialisation du calculateur 10, en ce qu'une telle réinitialisation replace le calculateur 10 dans un état initial de référence connu. Ceci règle les problèmes d'origine logicielle, soit une grande majorité des cas des problèmes de calculateur 10. Aussi, si tel est le cas le calculateur 10 peut poursuivre, en mode nominal 35, en supposant que le 20 problème est traité. Aussi, si l'étape de test 33 ne détecte aucune fonction défaillante, un mode nominal 35 peut être poursuivi. Il convient de noter ici que le module de sécurité 12 est actif en mode nominal 35. Aussi, si le problème du calculateur 10 est récurrent, par exemple du fait d'un problème matériel (hardware), il est détecté à nouveau par le module de sécurité 12. Ici, 25 une éventuelle répétition du défaut peut être considérée par le module de sécurité 12, afin de prendre d'autres mesures conservatives, tel un mode dégradé 37, spécifiquement adapté à une défaillance répétitive et/ou reproductible, donc vraisemblablement matérielle, du calculateur 10. Selon une autre caractéristique, le procédé comprend encore 30 avantageusement, une étape de stockage d'informations d'état indicatives de l'état de fonctionnement. Ces informations d'état sont choisies de telle manière à permettre de définir l'environnement et le contexte d'une fonction testée au cours de l'étape de test 33. Ces informations d'état, à l'instar des fonctions testées, peuvent concerner toutes les fonctions pouvant être testées ou de manière plus ciblée, uniquement la ou les fonctions 35 plus particulièrement concernées par le défaut de sécurité 17. Les valeurs de ces informations d'état sont avantageusement acquises après la détection du défaut de sécurité 17 afin d'être indicatives de l'état du système 3033428 10 immédiatement avant la réinitialisation du calculateur 10. Les valeurs de ces informations d'état sont stockées avant de déclencher la réinitialisation du calculateur 10. Le stockage est réalisé dans une mémoire rémanente, afin que ces informations d'état soient rémanentes de la réinitialisation du calculateur 10.
5 Ces valeurs d'information d'état sont alors accessibles lors de l'étape de test 33. Le procédé comprend alors, au cours ou avant l'étape de test 33, une étape de récupération 32 desdites informations d'état. L'étape de test 33 peut alors avantageusement utiliser ces informations d'état afin d'effectuer le ou les test(s) 33 en simulant un état de fonctionnement proche de l'état de fonctionnement ainsi stocké et qui 10 est indicatif de l'état immédiatement précédent la réinitialisation du calculateur 10. Ainsi, en se rapprochant le plus possible de l'état immédiatement précédent la réinitialisation, le test 33 se rapproche des conditions dans lesquelles le défaut de sécurité 17 s'est produit, afin d'augmenter les chances de reproduire le défaut afin d'en identifier efficacement l'origine.
15 Ledit stockage peut être réalisé selon au moins deux modes de réalisation. Selon un premier mode de réalisation, le stockage est réalisé, régulièrement, dès que le calculateur 10 est en mode nominal. Ainsi, quels que soient les évènements pouvant perturber le fonctionnement du calculateur 10, lors d'un arrêt, les informations d'état dernièrement stockées sont avantageusement celles correspondant à l'instant du dernier 20 stockage immédiatement précédent ledit arrêt. Cette approche, ne connaissant pas la fonction éventuellement en défaut au moment du stockage, nécessite de stocker les informations relatives à toutes les fonctions. Avantageusement un tel stockage régulier est circulaire afin d'économiser la mémoire. Selon un autre mode de réalisation, ledit stockage est réalisé après la 25 détection d'un défaut de sécurité 17. Un avantage de cette approche est qu'un seul stockage est nécessaire. Un autre avantage de cette approche est que, le défaut de sécurité 17 étant connu, le stockage peut éventuellement être limité aux seules informations d'état relatives aux fonctions concernées par ce défaut de sécurité 17 et ainsi être considérablement réduit en taille.
30 Pour des raisons sensiblement identiques au cas précédemment, afin de reproduire des conditions les plus proches possibles de celles rencontrées lors de la survenue du défaut de sécurité 17, l'étape de test 33 est avantageusement réalisée le plus tôt possible après le redémarrage 30. Le but est ici de reproduire des conditions les plus proches possible, ou du moins d'éviter de s'éloigner, des conditions rencontrées lors 35 de la survenue du défaut de sécurité 17, y compris pour les conditions non maitrisables, telles que les grandeurs possédant un historique ou une évolution propre, indépendante des informations d'état et non directement reproductibles. Ceci est le cas, typiquement de 3033428 11 la température, qui n'entre pas explicitement dans les formules de calcul mais qui peut influer sur le résultat d'un test. Comme il a été décrit précédemment, le procédé permet, au cours de l'étape de test 33, de déterminer des codes de défaut 36 spécifiques de l'origine d'un défaut de 5 sécurité 17 et/ou d'une défaillance d'une fonction, nettement plus détaillés que les défauts de sécurité 17 déterminés par le module de sécurité 12, tels que disponibles dans l'art antérieur. Ces codes de défaut 36 sont historisés par un stockage dans une mémoire, avantageusement rémanente. Ceci permet encore, dans un mode maintenance, classiquement réalisé par 10 un concessionnaire, de venir ultérieurement relire, typiquement via une valise de maintenance s'interfaçant avec le calculateur 10, dans ladite mémoire rémanente le (ou les) éventuel(s) code(s) de défaut 36. Ici encore, un niveau de détail, typiquement au niveau de la fonction, voir même le plus souvent au niveau d'un des composants de la fonction, est particulièrement avantageux, en ce qu'il permet au personnel de 15 maintenance de connaitre directement la fonction, l'organe ou le composant de la fonction défectueux et qu'il est judicieux de remplacer. L'invention concerne encore un système comprenant des moyens aptes à implémenter le procédé selon l'un quelconque des modes de réalisation précédents. Ainsi, l'invention concerne encore un calculateur 10 adapté pour mettre en oeuvre ledit 20 procédé, cette adaptation pouvant inclure des modifications tant du matériel que du logiciel, afin d'implémenter les caractéristiques additionnelles.

Claims (10)

  1. REVENDICATIONS1. Procédé de détermination de l'origine d'un défaut de sécurité (17), pour un calculateur (10) dont les fonctions critiques sont surveillées par un module de sécurité (12), ledit module de sécurité (12) étant apte à détecter un défaut de sécurité (17), et à déclencher une réinitialisation du calculateur (10), suite à une détection d'un défaut de sécurité (17), caractérisé en ce que le procédé comprend, après un redémarrage du calculateur (10), une étape de test (33) d'au moins une fonction critique, afin de détecter si ladite fonction testée est défaillante et potentiellement à l'origine du défaut de sécurité (17).
  2. 2. Procédé selon la revendication 1, où ladite étape de test (33) est conditionnée à une vérification (31) préalable que ledit redémarrage (30) fait suite à une réinitialisation déclenchée par le module de sécurité (12).
  3. 3. Procédé selon l'une des revendications 1 ou 2, où si le test (33) détecte qu'une fonction testée est défaillante, un code de défaut (36) correspondant est produit et stocké dans une mémoire rémanente.
  4. 4. Procédé selon la revendication 3, où si le test (33) détecte qu'au moins une fonction testée est défaillante, un mode dégradé (37) est activé.
  5. 5. Procédé selon la revendication 3, où si le test (33) ne détecte aucune fonction défaillante, un mode nominal (35) est poursuivi.
  6. 6. Procédé selon l'une quelconque des revendications 1 à 5, comprenant encore, préalablement à une réinitialisation du calculateur (10), une étape de stockage rémanent d'informations d'état indicatives de l'état de fonctionnement, et où l'étape de test (33) comprend encore les étapes : - de récupération (32) desdites informations d'état, - d'utilisation desdites informations d'état pour réaliser ledit test (33) dans un état de fonctionnement proche de l'état de fonctionnement immédiatement précédent l'instant où la réinitialisation a été déclenchée.
  7. 7. Procédé selon la revendication 6, où l'étape de stockage est réalisée, une fois, entre la détection du défaut de sécurité (17) et la réinitialisation du calculateur (10).
  8. 8. Procédé selon l'une quelconque des revendications 1 à 7, où l'étape de test (33) est réalisée le plus tôt possible après le redémarrage (30). 3033428 13
  9. 9. Procédé selon l'une quelconque des revendications 3 à 8, comprenant encore, en mode maintenance, une étape de relecture dans la mémoire rémanente, du (ou des) éventuel(s) code(s) de défaut (36).
  10. 10. Système comprenant un calculateur (10) et des moyens aptes à implémenter 5 le procédé selon l'une quelconque des revendications précédentes.
FR1553152A 2015-04-10 2015-04-10 Procede de determination de l'origine d'un defaut de securite Pending FR3033428A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1553152A FR3033428A1 (fr) 2015-04-10 2015-04-10 Procede de determination de l'origine d'un defaut de securite

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1553152A FR3033428A1 (fr) 2015-04-10 2015-04-10 Procede de determination de l'origine d'un defaut de securite

Publications (1)

Publication Number Publication Date
FR3033428A1 true FR3033428A1 (fr) 2016-09-09

Family

ID=54199749

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1553152A Pending FR3033428A1 (fr) 2015-04-10 2015-04-10 Procede de determination de l'origine d'un defaut de securite

Country Status (1)

Country Link
FR (1) FR3033428A1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3116352A1 (fr) * 2020-11-19 2022-05-20 Vitesco Technologies Dispositif de contrôle moteur comprenant une mise en sécurité secondaire

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1997007457A1 (fr) * 1995-08-14 1997-02-27 Data General Corporation Systeme informatique a grande disponibilite et procedes connexes
US20110173426A1 (en) * 2010-01-12 2011-07-14 Sun Microsystems, Inc. Method and system for providing information to a subsequent operating system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1997007457A1 (fr) * 1995-08-14 1997-02-27 Data General Corporation Systeme informatique a grande disponibilite et procedes connexes
US20110173426A1 (en) * 2010-01-12 2011-07-14 Sun Microsystems, Inc. Method and system for providing information to a subsequent operating system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3116352A1 (fr) * 2020-11-19 2022-05-20 Vitesco Technologies Dispositif de contrôle moteur comprenant une mise en sécurité secondaire

Similar Documents

Publication Publication Date Title
FR2942001A1 (fr) Systeme de surveillance de l'etat de sante des equipements intervenant dans la capacite de demarrage d'un turboreacteur
FR2886981A1 (fr) Procede de diagnostic de defaut d'un capteur de pression ambiante et d'un capteur de pression de conduite d'admission d'un moteur a combustion interne
FR3006764A1 (fr) Surveillance du clapet de coupure d'alimentation en carburant d'un moteur
EP1934947B1 (fr) Procede d'amelioration d'un diagnostic d'une eventuelle defaillance dans un vehicule
FR2934549A1 (fr) Procede et systeme de diagnostic de l'etat de fonctionnement d'un systeme de demarrage assiste d'un vehicule automobile.
WO2017036584A1 (fr) Procédé de détection d'une erreur non corrigible dans une mémoire non volatile d'un microcontrôleur
FR3033428A1 (fr) Procede de determination de l'origine d'un defaut de securite
FR2958060A1 (fr) Procede et dispositif de detection d'une defaillance electrique affectant un systeme electrique de commande d'un actionneur hydraulique de geometries variables d'un moteur d'aeronef.
FR2993669A1 (fr) Procede de diagnostic d'un mecanisme de coupures intempestives de l'alimentation electrique d'un calculateur de vehicule automobile
EP2219898A1 (fr) Procede de gestion de dysfonctionnements d'un systeme de controle a architecture modulaire d'un groupe motopropulseur de vehicule automobile et systeme de controle correspondant
EP3938910B1 (fr) Localisation de panne dans un système d'acquisition redondant
EP2185986B1 (fr) Procede de traitement d'une requete d'effacement d'un code de defaut stocke en memoire d'un calculateur embarque a bord d'un vehicule automobile, et procede et systeme d'aide a la maintenance d'un tel vehicule
FR2927596A3 (fr) Procede de commande d'un systeme de controle d'un groupe motopropulseur de vehicule et systeme de controle correspondant
FR2982826A1 (fr) Strategie de detection d'une pedale d'accelerateur bloquee.
WO2023083703A1 (fr) Procédé et dispositif de contrôle et commande d'un moteur de véhicule
FR2949865A1 (fr) Autodiagnostic de calculateurs mecatroniques
FR3098316A1 (fr) Procédé de test d’un dispositif de réinitialisation de calculateur
EP4320342A1 (fr) Procede de validation d'un diagnostic de deviation de la richesse sous critere de conditions similaires
FR3100362A1 (fr) Procédé de contrôle d’un dispositif de véhicule
FR3103219A1 (fr) Procédé de gestion des anomalies sporadiques d’un système de motorisation d’un véhicule automobile
EP4257491A1 (fr) Procédé de surveillance de canalisations de prélèvement d'air d'un aéronef
FR3123387A1 (fr) Procede de surveillance d’adaptatifs dans un controle moteur
FR3076633A1 (fr) Procede de gestion de defauts averes pour un calculateur moteur
FR3140652A1 (fr) Procédé de diagnostic de lubrification d’un turbocompresseur de moteur à combustion interne
FR2917202A1 (fr) Dispositif de controle de valeurs de parametre(s) par analyse de fiabilite, et calculateur correspondant.

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20160909