ITMI20001528A1

ITMI20001528A1 - Procedimento e dispositivo per la sorveglianza reciproca di unita' dicomando

Info

Publication number: ITMI20001528A1
Application number: IT2000MI001528A
Authority: IT
Inventors: Bauer Torsten
Original assignee: Bosch Gmbh Robert
Priority date: 1999-07-15
Filing date: 2000-07-06
Publication date: 2002-01-06
Also published as: DE19933086A1; JP4870255B2; DE19933086B4; KR100686664B1; KR20010049782A; JP2001056701A; IT1318131B1; US6628993B1; ITMI20001528A0

Description

STATO DELLA TECNICA

L'invenzione riguarda un procedimento ed un dispositivo per la sorveglianza reciproca di unità di comando.

Un procedimento di tale tipo rispettivamente un dispositivo di tale tipo è noto dal DE 4438 714 Al (Brevetto US 5880 568). Questo descrìve una unità di comando a sicurezza intrinseca, ad esempio in combinazione con sistemi di comando per comandare l'unità motrice di un veicolo. Sicurezza intrinseca significa in particolare che al verificarsi di un errore lo stato di errore rimane limitato al sistema in cui si è sviluppato l'errore ed il sistema verso l'esterno rimane sempre in uno stato sicuro. Ad esempio singoli errori non possono portare all'aumento della potenza dell'unità motrice. Il concetto di sorveglianza descritto nella pubblicazione nota è strutturalmente a due canali,

ossia tutti i rami rilevanti in termini di sicurezza sono protetti da canali ridondanti. Ciò vale anche per le parti rilevanti per la sicurezza del Software operativo (ad esempio del Software per espletare il compito dell'unità di comando). Questo Software.

operativo viene sorvegliato nell'ambito di un secondo piano di programma mediante Software ridondante, che controlla quantitativamente la formazione corretta delle grandezze dei segnali di comando mediante il Software operativo. Lo svolgimento e la funzionalità del Software di questo secondo piano vengono sorvegliati mediante comunicazione con un modulo esterno di sorveglianza nell'ambito di una comunicazione domanda-risposta.

Concretamente nella nota esecuzione il primo piano Software contiene il Software operativo per attuare la funzione di comando nonché funzioni di sorveglianza specifiche del sistema delle grandezze di entrata e degli stadi finali. Il secondo piano è formato dalla sorveglianza funzionale. Nella sorveglianza funzionale mediante funzioni ridondanti si sorveglia la formazione corretta delle grandezze di uscita, specialmente delle grandezze di determinazione della potenza. Inoltre i programmi del secondo piano formano la risposta ad una domanda selezionata, trasmessa dal modulo di sorveglianza nell'ambito di un controllo di svolgimento, con l'ausilio della quale si controlla il calcolo corretto delle funzioni di sorveglianza, ed eseguono una· sorveglianza del calcolatore mediante un test delle funzioni di sorveglianza per mezzo di dati di simulazione. Il terzo piano infine contiene la comunicazione domanda-risposta (sulla base della domanda trasmessa e della risposta formata) con il modulo di sorveglianza, con l'ausilio della quale si sorveglia la modalità di funzionamento dei programmi del secondo piano. A questo piano inoltre sono associate funzioni di sorveglianza, che controllano componenti del calcolatore di funzioni come memoria, convertitore analogico/digitale ecc. Un procedimento di tale tipo è noto dal summenzionato stato della tecnica .

In moderni sistemi di comando di regola si impiegano più unità di comando, che formano componenti separati oppure sono anche costruttivamente combinati in un apparecchio. Così ad esempio nel caso di un moderno comando per veicoli sono presenti apparecchi di comando per comandare un'unità motrice, per comandare il comportamento di marcia (ABS, ASR, ESP) per comandare un cambio di velocità automatico, per comandare i freni delle ruote ecc. Per la sicurezza intrinseca di questi singoli apparecchi di comando andrebbe sorvegliato ogni singolo apparecchio di comando nel senso dello stato della tecnica summenzionato. Ciò comporta dispendio relativamente grande e corrispondentemente vale per almeno due unità di comando combinate in un apparecchio {ad esempio calcolatori) che eseguono queste funzioni.

L' invenzione si pone il compito di indicare accorgimenti per una sorveglianza perfezionata di almeno due unità di comando operanti in un complesso (apparecchi di comando, calcolatori ecc.).

Ciò si ottiene mediante le caratteristiche delle rivendicazioni indipendenti.

VANTAGGI DELL'INVENZIONE

Il procedimento descritto in seguito consente la sorveglianza reciproca di almeno due unità di comando collegate fra di loro in un complesso (ad esempio un complesso di più apparecchi di comando), con cui si effettuano più funzioni di comando con influenzamento reciproco delle unità di comando. Particolarmente vantaggioso è il fatto che la sorveglianza nonostante l'affidabilità usuale va attuata con minore dispendio di quanto si avrebbe per una singola sorveglianza a sicurezza intrinseca di ogni singola unità di comando. Ciò poiché con la sorveglianza reciproca delle unità di comando non occorre il modulo di sorveglianza noto dallo stato della tecnica in relazione alla sorveglianza di un singolo calcolatore. La conseguenza è un considerevole potenziale di risparmio per lo sviluppo di unità di comando a sicurezza intrinseca .

E' particolarmente vantaggioso che per la sorveglianza reciproca delle unità di comando si ricorre al procedimento noto dallo stato della tecnica, affidabile e sperimentato. Ciò fa sì che in maniera usuale sono garantite sicurezza ed affidabilità del sistema di comando, senza che si debba impiegare un maggiore dispendio relativamente alla sorveglianza delle unità di comando.

Ulteriori vantaggi risultano dalla seguente descrizione di esempi di realizzazione rispettivamente dalle rivendicazioni dipendenti.

DISEGNO

L'invenzione viene illustrata più dettagliatamente in seguito in base alle forme di realizzazione rappresentate nel disegno. L'unica figura mostra un esempio di realizzazione preferito della sorveglianza reciproca di due apparecchi dì comando di un complesso di apparecchi di comando, laddove un apparecchio di comando è un apparecchio per comandare l'unità motrice del veicolo.

DESCRIZIONE DI ESEMPI DI REALIZZAZIONE

La figura mostra un primo apparecchio di comando IO, che nell'esempio di realizzazione preferito serve a comandare un motore endotermico, nonché un secondo apparecchio di comando 12 servente a comandare il comportamento di marcia, un impianto frenante, oppure un cambio di velocità automatico. Entrambi gli apparecchi di comando comprendono rispettivamente un calcolatore, che nella figura 1 è rappresentato rispettivamente dai piani di programma I fino a III. A riguardo al piano I sono associate rispettivamente le funzioni serventi a garantire la funzione di comando, ossia i compiti di comando propriamente detti, nonché funzioni di sorveglianza specifiche del sistema delle grandezze di entrata e stadi finali. Ciò è rappresentato in figura 1 rispettivamente mediante i programmi 14 rispettivamente 14'. Gli apparecchi di comando tramite circuiti di entrata 16 rispettivamente 16a da non rappresentati dispositivi misuratori vengono addotte grandezze di entrata tramite le linee di entrata 18 fino a 22 rispettivamente 18a fino a 22a. Questa grandezza di entrata sarà la base del calcolo delle funzioni di comando. Pertanto le grandezze di entrata vengono messe a disposizione dei programmi del piano I. I programmi del primo piano sulla base delle grandezze di entrata formano grandezze di impostazione, che tramite le linee di uscita 24 e 26 nel caso dell'apparecchio di comando 10 e la lìnea di uscita 24a nel caso dell'apparecchio di comando 12 vengono fornite ai rispettivi stadi finali 28 e 30 rispettivamente 28a. Nell'esempio di realizzazione preferito per quanto riguarda l'apparecchio di comando 10 si tratta di un apparecchio per comandare un motore endotermico, laddove lo stadio finale 28 rappresenta stadi finali per comandare valvole di iniezione e dispositivi di accensione ecc., mentre lo stadio finale 30 rappresenta uno stadio finale per azionare una valvola a farfalla azionabile elettricamente del motore endotermico. A seconda del caso d'impiego l'apparecchio di comando 12 comanda stadi finali per azionare innesti di un cambio di velocità automatico, di dispositivi di impostazione di frenatura ecc.

Come è noto dallo stato della tecnica menzionato all'inizio al secondo piano II sono associati programmi 32 rispettivamente 32a che sorvegliano la funzionalità dei programmi del primo piano e quindi la funzionalità della funzione di comando.

Nell'esempio di realizzazione preferito ciò viene attuato sulla base di grandezze di entrata e di uscita, cosicché ai programmi del secondo piano in maniera ridondante rispetto ai programmi del primo piano vengono addotte le grandezze di entrata, e inoltre dal primo piano tramite le linee 34 fino a 38 rispettivamente 34a fino a 38a grandezze di uscita o grandezze intermedie dei programmi del primo piano. Confrontando queste grandezze rispettivamente grandezze da ciò ricavate i programmi del secondo piano rilevano la funzionalità rispettivamente un errato funzionamento dei programmi del primo piano. Per assicurare la sicurezza di esercizio è previsto che almeno uno degli stadi finali (nell'esempio dell'unità di comando 10 lo stadio finale 30) tramite una linea di uscita 40 rispettivamente 40a mediante i programmi dal secondo piano nel caso di assenza di errori viene liberato rispettivamente viene disinserito al verificarsi dell'errore.

Il terzo piano di programma III comprende programmi che controllano la funzionalità dei programmi del piano II nonché di componenti del calcolatore. I programmi di questo piano nell'ambito della sorveglianza comunicano con componenti esterni, nel caso dello stato della tecnica menzionato all'inizio comunicano con un modulo di sorveglianza, conformemente al procedimento in questione comunicano con l'altro rispettivo apparecchio di comando 12 rispettivamente 10. Il piano III comprende programmi come programmi di test di memoria 42 rispettivamente 42a, programmi per il controllo dello svolgimento 44 rispettivamente 44a e programmi per il test di apparecchi esterni 46 rispettivamente 46a. Nello stato della tecnica menzionato all'inizio, descrivente una sorveglianza singola di un apparecchio di comando, i programmi del controllo di svolgimento del piano III sono collegati con un modulo di sorveglianza. Nel caso in questione questo collegamento dei programmi del controllo di svolgimento viene realizzato con i programmi del test di apparecchi esterni dell'altro apparecchio di comando. Così i programmi del test 44a di apparecchi esterni dell'apparecchio di comando 12 tramite il collegamento di comunicazione 48 del controllo di svolgimento 44 dell'apparecchio di comando 10 pongono domande prestabilite, come quelle note dallo stato della tecnica menzionato all'inizio. I programmi 44 di controllo di svolgimento dell'apparecchio di comando 10 tramite i programmi di controllo di memoria 42 inducono i programmi del piano II a formare risposte, che quindi vengono collegate a formare una risposta complessiva e dai programmi del controllo di svolgimento tramite il collegamento di comunicazione 50 vengono trasmesse ai programmi del test degli apparecchi esterni dell'apparecchio di comando 12 per la valutazione. Questi controllano la risposta, prevedibile sulla base della domanda posta, con la risposta effettiva e da ciò Rivelano la funzionalità dei programmi del piano II dell'apparecchio di comando 10. Tramite una linea di uscita 52 i programmi del test degli apparecchi esterni dell'apparecchio di comando 12 intervengono su almeno uno degli stadi finali 28 e 30 serviti dall'apparecchio di comando 10, laddove in caso di errore gli stadi finali vengono disinseriti rispettivamente in caso di assenza di errore vengono liberati .

Un procedimento corrispondente è previsto per sorvegliare l'apparecchio di comando 12 (vedere programmi di test 46 di apparecchi esterni, linee di comunicazione 54 e 56, linea di uscita 58), che nell'ambito della sorveglianza corrispondentemente alla rappresentazione precedente comunicano fra di loro e intervengono su almeno uno stadio finale.

In tal modo è assicurato che i due apparecchi di comando 10 e 12 si sorvegliano reciprocamente e viene limitata l'azione esterna dell'apparecchio, rilevato affetto da errore, dall'altro apparecchio. Un procedimento concreto preferito del controllo di svolgimento viene descritto ad esempio nello stato della tecnica menzionato all'inizio.

Oltre alla sorveglianza di due apparecchi di comando costruttivamente separati, con il procedimento precedentemente descritto si effettua anche una sorveglianza di due unità calcolatrici (in generale unità di - comando) combinate costruttivamente in un apparecchio di comando.

Claims

RIVENDICAZIONI 1. Procedimento per la sorveglianza reciproca di unità di comando, con almeno una prima unità di comando (10) e una seconda unità di comando (12), che presentano rispettivamente almeno un primo piano di programma (I) al quale sono associati programmi calcolanti la funzione di comando, un secondo piano di programma (II) comprendente programmi che sorvegliano la funzionalità dei programmi del primo piano, ed un terzo piano di programma (III), che sorvegliano la funzionalità dei programmi del secondo piano, laddove i programmi (44, 46a) del terzo piano (III) nell'ambito di un controllo di svolgimento in base ad una domanda preassegnata con l'ausilio di programmi del secondo piano formano una risposta, caratterizzato dal fatto che una unità dì comando (10, 12) riceve la domanda dall'altra unità di comando (10, 12) e fornisce la risposta a questa.
2. Procedimento secondo la rivendicazione 1, caratterizzato dal fatto che entrambe le unità di comando formano domande per le altre e trasmettono risposte alle altre.
3. Procedimento secondo la rivendicazione 1, caratterizzato dal fatto che la domanda viene formata da programmi (44, 44a) del terzo piano della seconda unità di comando (10, 12) e viene trasmessa alla prima unità di comando (12, 10), mentre le risposte vengono ricevute e valutate dalla seconda unità di comando (10, 12).
4 . Procedimento secondo una delle rivendicazioni precedenti, caratterizzato dal fatto che programmi (46, 44a) del terzo piano di una unità di comando (10, 12) accedono agli stadi finali (28a, 28, 30) nel senso di un disinserimento rispettivamente libero dell'altra unità di comando (12, 10).
5. Procedimento secondo una delle rivendicazioni precedenti, caratterizzato dal fatto che la prima unità di comando (10) è una unità di comando per comandare un motore endotermico, mentre la seconda unità di comando esegue un comando del comportamento di marcia, dei freni delle ruote, oppure di un cambio di velocità automatico.
6. Dispositivo per sorvegliare reciprocamente unità di comando, con una prima ed una seconda unità di comando (10, 12), che presentano rispettivamente un primo piano di programma (I), al quale sono associati programmi per attuare la rispettiva funzione di comando, un secondo piano di programma (II), al quale sono associati programmi per sorvegliare i programmi del primo piano, e un terzo piano di programma (III), in cui sono contenuti programmi di sorveglianza per sorvegliare i programmi del secondo piano, laddove sotto questi programmi si trova un controllo di svolgimento (44, 46a), che in base ad una domanda preassegnata con l'ausilio di programmi del secondo piano forma una risposta, caratterizzato dal fatto che una unità di comando (10, 12) riceve la domanda dall'altra unità di comando (10, 12) e fornisce la risposta a questa.