ITTO20130646A1 - Implementazione conforme a asil b di funzioni autoveicolistiche relative alla sicurezza tramite un circuito integrato ad elevata diagnosticabilita' progettato secondo standard di qualita' - Google Patents

Implementazione conforme a asil b di funzioni autoveicolistiche relative alla sicurezza tramite un circuito integrato ad elevata diagnosticabilita' progettato secondo standard di qualita'

Info

Publication number
ITTO20130646A1
ITTO20130646A1 IT000646A ITTO20130646A ITTO20130646A1 IT TO20130646 A1 ITTO20130646 A1 IT TO20130646A1 IT 000646 A IT000646 A IT 000646A IT TO20130646 A ITTO20130646 A IT TO20130646A IT TO20130646 A1 ITTO20130646 A1 IT TO20130646A1
Authority
IT
Italy
Prior art keywords
safety
designed
microcontroller
chip
control unit
Prior art date
Application number
IT000646A
Other languages
English (en)
Inventor
Piero Carbonaro
Giovanni Dallara
Alessandro Fusari
Loris Lambertini
Alberto Pezzoli
Francesco Traversi
Original Assignee
Magneti Marelli Spa
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Magneti Marelli Spa filed Critical Magneti Marelli Spa
Priority to IT000646A priority Critical patent/ITTO20130646A1/it
Priority to US14/446,466 priority patent/US9677480B2/en
Priority to EP14179201.0A priority patent/EP2905452B1/en
Priority to CN201410370756.5A priority patent/CN104340143B/zh
Priority to BR102014018752-9A priority patent/BR102014018752B1/pt
Publication of ITTO20130646A1 publication Critical patent/ITTO20130646A1/it

Links

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D29/00Controlling engines, such controlling being peculiar to the devices driven thereby, the devices being other than parts or accessories essential to engine operation, e.g. controlling of engines by signals external thereto
    • F02D29/02Controlling engines, such controlling being peculiar to the devices driven thereby, the devices being other than parts or accessories essential to engine operation, e.g. controlling of engines by signals external thereto peculiar to engines driving vehicles; peculiar to engines driving variable pitch propellers
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/04Conjoint control of vehicle sub-units of different type or different function including control of propulsion units
    • B60W10/06Conjoint control of vehicle sub-units of different type or different function including control of propulsion units including control of combustion engines
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W2050/041Built in Test Equipment [BITE]
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24021Separate processor for monitoring system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24044Second controller monitors diagnostics system of first controller
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24199Recover from fault, malfunction, go to safe state, correct and set new sequence
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/33Director till display
    • G05B2219/33104Tasks, functions are distributed over different cpu
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/33Director till display
    • G05B2219/33273DCS distributed, decentralised controlsystem, multiprocessor

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Transportation (AREA)
  • Human Computer Interaction (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Semiconductor Integrated Circuits (AREA)
  • Oscillators With Electromechanical Resonators (AREA)

Description

DESCRIZIONE
del brevetto per invenzione industriale dal titolo: “IMPLEMENTAZIONE CONFORME A ASIL B DI FUNZIONI AUTOVEICOLISTICHE RELATIVE ALLA SICUREZZA TRAMITE UN CIRCUITO INTEGRATO AD ELEVATA DIAGNOSTICABILITA' PROGETTATO SECONDO STANDARD DI QUALITA'”
SETTORE TECNICO DELL’INVENZIONE
La presente invenzione è relativa all’implementazione conforme a ASIL B, ovvero con livello di integrità di sicurezza autoveicolistica (“Automotive Safety Integrity Level” – ASIL) B, di funzioni autoveicolistiche relative alla sicurezza tramite un circuito integrato ad elevata diagnosticabilità progettato secondo standard di qualità (Quality Managed - QM).
STATO DELL’ARTE
Come è noto, la sicurezza è uno dei temi principali del mercato automobilistico. L'integrazione di sistemi elettrici ed elettronici su veicolo richiede processi di sviluppo e contenuti di sicurezza, nonché la possibilità di fornire la prova che tutti gli obiettivi di sicurezza ragionevoli sono soddisfatti.
Nuove tecnologie, basate su funzionalità distribuite in varie centraline elettroniche di controllo tipicamente sviluppate da fornitori diversi, aumentano la complessità, i contenuti software e l'implementazione meccatronica e, di conseguenza, i rischi di guasti sistematici e guasti casuali dell'hardware.
L'aumento dell’integrazione di apparati elettrici ed elettronici (ivi inclusi i dispositivi programmabili, come pure i componenti elettromeccanici) nei sistemi autoveicolistici ha portato all’introduzione dello standard internazionale ISO 26262, il quale è tratto dallo standard di sicurezza funzionale IEC 61508 per sistemi elettrici/elettronici nell’industria.
Lo standard ISO 26262 fornisce i requisiti di processo e di prodotto per mitigare gli effetti dei guasti sistematici e dei guasti casuali dell'hardware. Questo standard tratta i concetti di sicurezza funzionale applicata al campo automobilistico, perseguendo l'assenza di rischi inaccettabili a causa di pericoli causati da un comportamento indesiderato dei sistemi.
Lo standard ISO 26262 definisce quattro livelli di integrità di sicurezza automobilistica (Automotive Safety Integrity Level – ASIL), specificando i rischi e le esigenze di riduzione del rischio. Per le funzioni relative alla sicurezza l’ASIL può assumere quattro differenti valori, indicati con lettere, dal più basso, indicato dalla lettera D, che rappresenta il livello più critico in termini di integrità di sicurezza, fino al livello più alto, indicato con la lettera A, che rappresenta il livello minimo in termini di integrità di sicurezza. L’ASIL può anche assumere il valore QM (Quality Managed), che viene attribuito, però, solo alle funzioni non relative alla sicurezza.
La valutazione del pericolo e del rischio (“hazard and risk assessment”) prevista dallo standard ISO 26262, così come il documento di riferimento “Standardized E-Gas-Monitoring Concept for Engine Controls of Otto and Diesel Engines”, versione 5.0, pubblicato dalla Associazione Tedesca dell’Industria Automobilistica o VDA (Verband der Automobilindustrie), prevedono che l’implementazione di funzioni autoveicolistiche relative alla sicurezza (“safety-related functions”) coinvolte nella gestione dell’erogazione di coppia da parte di un motore a combustione interna abbiano un ASIL B.
OGGETTO E RIASSUNTO DELL’INVENZIONE
La progettazione, lo sviluppo e la produzione di circuiti integrati che implementino funzioni di sicurezza ASIL B in ambito autoveicolistico richiedono considerevoli risorse. Sarebbe perciò apprezzabile definire una soluzione maggiormente economica, che permetta di soddisfare i requisiti previsti nel succitato standard e nel succitato documento tramite circuiti integrati che, pur essendo progettati, sviluppati e prodotti con criteri di Qualità (Quality Managed), permettano di realizzare funzioni di sicurezza ASIL B, secondo quanto previsto nel succitato standard e nel succitato documento.
Scopo della presente invenzione è quindi quello di fornire una soluzione che permetta di soddisfare la succitata esigenza.
Secondo la presente invenzione, viene quindi realizzata una centralina elettronica autoveicolistica di controllo di un motore a combustione interna, come definita nelle rivendicazioni allegate.
BREVE DESCRIZIONE DEI DISEGNI
La Figura 1 mostra uno schema a blocchi di principio che illustra il modo in cui una funzione autoveicolistica relativa alla sicurezza F possa essere implementata in maniera tale da risultare conforme ai requisiti ASIL B tramite una sua implementazione sviluppata secondo standard di qualità (Quality Managed), una funzione di diagnosi sviluppata secondo standard di qualità (Quality Managed) e una funzione di supervisione MON sviluppata secondo standard ASIL B; l’implementazione della funzione F e della funzione DIAG è allocata a un circuito integrato U-Chip; l’implementazione della funzione MON è invece allocata ad un microcontrollore µC.
La Figura 2 mostra uno schema a blocchi di funzioni eseguite da un circuito integrato.
La Figura 3 mostra uno schema a blocchi di una generica funzione diagnostica DIAG implementata in un circuito integrato U-Chip, secondo quanto già schematizzato dalla Figura 1.
La Figura 4 mostra uno schema a blocchi di un’architettura di sicurezza di una centralina elettronica autoveicolistica di controllo di un motore a combustione interna.
La Figura 5 mostra uno schema a blocchi di come una sovratensione si può propagare all’interno della centralina elettronica autoveicolistica di controllo di un motore a combustione interna di Figura 4.
DESCRIZIONE DETTAGLIATA DI FORME PREFERITE DI REALIZZAZIONE DELL’INVENZIONE
La presente invenzione verrà ora descritta in dettaglio con riferimento alle figure allegate per permettere a una persona esperta di realizzarla e utilizzarla. Varie modifiche alle forme di realizzazione descritte saranno immediatamente evidenti alle persone esperte ed i generici principi descritti possono essere applicati ad altre forme di realizzazione e applicazioni senza per questo uscire dall’ambito protettivo della presente invenzione, come definito nelle rivendicazioni allegate. Pertanto la presente invenzione non deve essere considerata limitata alle forme di realizzazione descritte e illustrate, ma le si deve accordare il più ampio ambito protettivo conforme ai principi e alle caratteristiche qui descritte e rivendicate.
Nella Figura 1 è mostrato uno schema a blocchi di principio che illustra il modo in cui una funzione autoveicolistica relativa alla sicurezza, indicata con F, possa essere implementata in maniera tale da risultare conforme ai requisiti ASIL B tramite un circuito integrato sviluppato secondo standard di Qualità (Quality Managed).
Il circuito integrato, nel seguito indicato per brevità con U-Chip (Umbrella-Chip), dedicato all’esecuzione, fra le altre cose, di F, è alloggiato nella centralina elettronica autoveicolistica di controllo di un motore a combustione interna, indicata con ECU, è un componente elettronico distinto dal e comunicante col microcontrollore, indicato con �C, dell’ECU, ed è progettato per eseguire funzioni secondo standard di qualità (Quality Managed), che, quindi non raggiungono il livello di integrità di sicurezza ASIL B necessario per l’implementazione di F.
Quanto qui di seguito detto a riguardo di F e mostrato nella Figura 1 è valido e ripetibile per ciascuna F eseguita da U-Chip che si vuole sia eseguita dell’ECU in maniera conforme ai requisiti ASIL B.
Con riferimento alla Figura 1, allo scopo di far sì che una F sia implementata dall’ECU con ASIL B, oltre alla funzione F, l’U-Chip esegue anche una funzione di diagnosi, indicata con DIAG, progettata per rilevare guasti (“failures”) tali da pregiudicare la corretta esecuzione di F. Essendo eseguita dall’U-Chip, DIAG viene eseguita ovviamente con il medesimo ASIL QM con cui viene eseguita F.
Una funzione di monitoraggio, indicata con MON e progettata per sorvegliare l’operatività di DIAG ed in particolare per rilevare guasti che possono compromettere l’efficacia della capacità diagnostica di DIAG, viene invece eseguita da �C dell’ECU, il quale è invece progettato per eseguire funzioni con un ASIL B ed è esente da interferenze funzionali derivanti da guasti nell’esecuzione di DIAG o F.
Nella Figura 2 è mostrato uno schema a blocchi delle funzioni F eseguite da U-Chip, le quali comprendono:
• funzioni intelligenti comprendenti:
- gestione intelligente dell’avviamento (“smart crank management”)
- supervisione intelligente (“intelligent watchdog”) - interfaccia ruota fonica (“flying wheel interface”)
- logica di risveglio e di abilitazione di alimentazione (“wake-up and power enable logic“) • alimentazioni elettriche (“power supplies”) comprendenti:
- alimentazioni elettriche dell’ECU (“ECU power supplies”)
- alimentazioni elettriche dei sensori (“sensor power supplies”)
• interfacce di comunicazione (“communication interfaces”) comprendenti:
- interfaccia MSC (“MSC (Micro Second Channel) interface”)
- ricetrasmettitore LIN (“LIN (Local Interconnect Network) transceiver”)
- ricetrasmettitore CAN (“CAN (Controller Area Network) transceiver”)
• Canali di pilotaggio dei carichi (“load driving channels”).
Nella Figura 3 è invece mostrato uno schema a blocchi di come F e DIAG sono implementate nello U-Chip, in cui:
- TC è un controllore del test (“Test Controller”) progettato per abilitare e sincronizzare l’esecuzione di DIAG, - CUT è un circuito da testare (Circuit Under Test) progettato per implementare la funzione F che DIAG deve monitorare,
- TPG è un generatore di pattern di test (“Test Pattern Generator”) progettato per testare la corretta funzionalità di CUT,
- ORA è un analizzatore di risposta di uscita (“Output Response Analyzer”) progettato per confrontare i risultati del test, ed in particolare per confrontare l’uscita di CUT con quella attesa e per fornire un’indicazione circa il passaggio o il fallimento del test
- IIC è un circuito di isolamento di ingresso (“Input Isolation Circuit”) progettato per collegare l’ingresso di CUT a TPG quando DIAG deve essere eseguita
- OIC è un circuito di isolamento di uscita (“Output Isolation Circuit”) progettato per collegare l’uscita di CUT a ORA quando DIAG deve essere eseguita.
In generale, DIAG è gestita dai seguenti segnali:
- MSC_BIST_ENABLE: segnale da �C per l’abilitazione del test
- MSC_BIST_TRIGGER: segnale da�C che scatena (“trigger”) l’esecuzione di DIAG
- MSC_BIST_END: segnale da TC che indica a �C la fine dell’esecuzione di DIAG
- MSC_PASS_FAIL: risultato dell’esecuzione di DIAG.
MON è progettata per rieseguire un insieme ben definito di test eseguiti da DIAG al fine di verificare, da un lato, il corretto funzionamento di F e, dall’altro, il corretto funzionamento di DIAG.
Nel caso in cui MON rilevi o un fallimento di un test ("test failure”) di F o una discrepanza (“mismatch”) fra un risultato di un test riportato da DIAG e un risultato di un test riportato da MON stessa, allora MON scatena una reazione sicura, la quale potrebbe convenientemente essere costituita dalla de-energizzazione dei carichi relativi alla sicurezza (“safety-related loads”), come risulterà più chiaro dalla descrizione della Figura 4.
MON è infine progettata per sorvegliare non solo U-Chip, ed in particolare l’operatività di DIAG, ma anche altri circuiti integrati relativi alla sicurezza (“safety-related integrated circuits”), come risulterà più chiaro dalla descrizione della Figura 4.
Come precedentemente detto, uno degli elementi che garantiscono il corretto funzionamento dell’architettura funzionale dell’invenzione è che il �C dell’ECU sia esente da interferenze funzionali derivanti da guasti nell’esecuzione di DIAG o F.
Una ben nota causa che può compromettere questa assenza di interferenza funzionale è la propagazione di una sovratensione dallo U-Chip al�C che è preposto all’esecuzione di MON.
Nella Figura 4 è mostrato uno schema a blocchi di un’architettura di sicurezza dell’ECU che permette di mitigare questa propagazione, salvaguardando parte dei carichi relativi alla sicurezza.
Come si può notare, lo U-Chip è dotato di propri stadi di pilotaggio integrati per carichi relativi alla sicurezza (“embedded safety-related load drivers”), attraverso i quali pilota certi carichi relativi alla sicurezza, nel seguito indicati con G2, mentre il�C non è dotato di propri stadi di pilotaggio integrati per carichi relativi alla sicurezza, ma comanda stadi di pilotaggio esterni per carichi relativi alla sicurezza (“external safety-related load drivers”) dell’ECU, attraverso i quali pilota altri carichi relativi alla sicurezza, nel seguito indicati con G1.
Gli stadi di pilotaggio esterni comandati dal �C sono provvisti di rispettivi dispositivi di monitoraggio di sovra/sotto tensione integrati (“embedded Over/Under Voltage Monitor” – O/U VM) progettati per rilevare la propagazione di una sovratensione dal�C verso i carichi G1 e per generare in risposta un comando di spegnimento dei carichi G1, causandone così la de-energizzazione e salvaguardandoli da eventuali danneggiamenti da sovratensione.
Inoltre, come si può notare, gli stadi di pilotaggio comandati dal �C, così come il �C stesso, sono alimentati dalle alimentazioni elettriche dell’U-Chip, che risultano pertanto condivise fra lo U-Chip, il �C e gli stadi di pilotaggio esterni comandati dal�C.
Per questo motivo, un’eventuale sovratensione generatasi nello U-Chip e propagantesi nel �C può compromettere la funzionalità di MON, oltre che ovviamente i carichi G2 pilotati dallo stesso U-Chip.
Come mostrato invece nella Figura 5, grazie all’adozione di stadi di pilotaggio esterni provvisti di dispositivi di monitoraggio di sovra/sotto tensione integrati, un’eventuale sovratensione generatasi nello U-Chip e propagantesi al �C e, da questo, ai carichi G1, oppure generatasi direttamente nel�C e propagantesi ai carichi G1, viene rilevata dai dispositivi di monitoraggio di sovra/sotto tensione integrati, i quali scatenano in risposta una reazione sicura comprendente la generazione di un comando di spegnimento dei carichi G1, causandone così la de-energizzazione e salvaguardandoli da eventuali danneggiamenti da sovratensione.

Claims (11)

  1. RIVENDICAZIONI 1. Centralina elettronica autoveicolistica (ECU) di controllo di un motore a combustione interna, alla quale è richiesta l’esecuzioni di funzioni relative alla sicurezza (F) con un certo livello di integrità di sicurezza autoveicolistica (ASIL); in cui la centralina elettronica autoveicolistica (ECU) comprende un microcontrollore (�C) ed un circuito integrato (U-Chip) distinto da e comunicante con il microcontrollore (�C); in cui il microcontrollore (�C) è progettato per eseguire una o più funzioni relative alla sicurezza (F) con il livello di integrità di sicurezza autoveicolistica richiesto alla centralina elettronica autoveicolistica (ECU); in cui il circuito integrato (U-Chip) è progettato per eseguire una o più funzioni relative alla sicurezza (F) con un livello di integrità di sicurezza autoveicolistica inferiore a quello del microcontrollore (�C); in cui il circuito integrato (U-Chip) è inoltre progettato per eseguire, per ciascuna funzione relativa alla sicurezza (F) eseguita, una corrispondente funzione di diagnosi (DIAG) progettata per rilevare guasti nell’esecuzione della funzione relativa alla sicurezza (F); ed in cui il microcontrollore (�C) è progettato per eseguire, per ciascuna funzione di diagnosi (DIAG) eseguita, una corrispondente funzione di monitoraggio (MON) progettata per sorvegliare l’esecuzione della corrispondente funzione di diagnosi (DIAG) da parte del circuito integrato (U-Chip) per rilevare guasti che possono compromettere la capacità diagnostica della funzione di diagnosi (DIAG).
  2. 2. Centralina elettronica autoveicolistica di controllo di un motore a combustione interna secondo la rivendicazione 1, in cui la funzione di monitoraggio (MON) è progettata per rieseguire test eseguiti dalla funzione di diagnosi (DIAG) al fine di verificare il corretto funzionamento sia della funzione relativa alla sicurezza (F) che dalla funzione di diagnosi (DIAG); ed in cui la funzione di monitoraggio (MON) è inoltre progettata per scatenare (“trigger”) una reazione sicura (“safe reaction”) nel caso in cui rilevi o un fallimento di un test ("test failure”) della funzione relativa alla sicurezza (F) o una discrepanza (“mismatch”) fra un risultato di un test riportato dalla funzione di diagnosi (DIAG) e un risultato di un test riportato dalla funzione di monitoraggio (M).
  3. 3. Centralina elettronica autoveicolistica di controllo di un motore a combustione interna secondo la rivendicazione 2, in cui la reazione sicura scatenata dalla funzione di monitoraggio (MON) comprende la deenergizzazione di carichi autoveicolistici relativi alla sicurezza (“safety-related loads”).
  4. 4. Centralina elettronica autoveicolistica di controllo di un motore a combustione interna secondo una qualsiasi delle rivendicazioni precedenti, in cui il livello di integrità di sicurezza autoveicolistica dell’esecuzione delle funzioni relative alla sicurezza (F) richiesto alla centralina elettronica autoveicolistica (ECU) è ASIL B, mentre il livello di integrità di sicurezza autoveicolistica dell’esecuzione delle funzioni relative alla sicurezza (F) richiesto al circuito integrato (U-Chip) è ASIL QM (Quality Managed).
  5. 5. Centralina elettronica autoveicolistica di controllo di un motore a combustione interna secondo una qualsiasi delle rivendicazioni precedenti, in cui le funzioni relative alla sicurezza (F) comprendono una o più delle seguenti: • funzioni intelligenti comprendenti: - gestione intelligente dell’avviamento (“smart crank management”) - supervisione intelligente (“intelligent watchdog”) - interfaccia ruota fonica (“flying wheel interface”) - logica di risveglio e di abilitazione di alimentazione (“wake-up and power enable logic“) • alimentazioni elettriche (“power supplies”) comprendenti: - alimentazioni elettriche dell’ECU (“ECU power supplies”) - alimentazioni elettriche dei sensori (“sensor power supplies”) • interfacce di comunicazione (“communication interfaces”) comprendenti: - interfaccia MSC (“MSC (Micro Second Channel) interface”) - ricetrasmettitore LIN (“LIN (Local Interconnect Network) transceiver”) - ricetrasmettitore CAN (“CAN (Controller Area Network) transceiver”) • Canali di pilotaggio dei carichi (“load driving channels”).
  6. 6. Centralina elettronica autoveicolistica di controllo di un motore a combustione interna secondo una qualsiasi delle rivendicazioni precedenti, in cui il circuito integrato (U-Chip) comprende: • un controllore di test (“Test Controller”) (TC) progettato per abilitare e sincronizzare l’esecuzione della funzione di diagnosi (DIAG); - un circuito da testare (“Circuit Under Test”) che implementa la funzione relativa alla sicurezza (F) da testare; - un generatore di pattern di test (“Test Pattern Generator”) (TPG) progettato per testare la corretta funzionalità del circuito da testare (CUT); - un analizzatore di risposta di uscita (“Output Response Analyzer”) (ORA) progettato per confrontare l’uscita del circuito da testare (CUT) con l’uscita attesa e fornire un’indicazione circa il passaggio o il fallimento del test; - un circuito di isolamento di ingresso (“Input Isolation Circuit”) (IIC) progettato per collegare l’ingresso del circuito da testare (CUT) al generatore di pattern di test (TPG) quando la funzione di diagnosi (DIAG) deve essere eseguita; e - un circuito di isolamento di uscita (“Output Isolation Circuit”) (OIC) progettato per collegare l’uscita del circuito da testare (CUT) all’analizzatore di risposta di uscita dopo che la funzione di diagnosi (DIAG) è stata eseguita.
  7. 7. Centralina elettronica autoveicolistica di controllo di un motore a combustione interna secondo una qualsiasi delle rivendicazioni precedenti, in cui il circuito integrato (U-Chip) comprende inoltre stadi di pilotaggio integrati per carichi relativi alla sicurezza (“embedded safety-related load drivers”), attraverso i quali il circuito integrato (U-Chip) pilota certi carichi relativi alla sicurezza (G2); in cui il microcontrollore (�C) è privo di stadi di pilotaggio integrati per carichi relativi alla sicurezza (“embedded safety-related load drivers”); in cui la centralina elettronica di controllo motore autoveicolistica (ECU) comprende inoltre stadi di pilotaggio esterni per carichi relativi alla sicurezza (“external safety-related load drivers”) separati e comandati dal microcontrollore (�C), attraverso i quali il microcontrollore (�C) pilota altri carichi relativi alla sicurezza (G1); ed in cui gli stadi di pilotaggio esterni per carichi relativi alla sicurezza sono provvisti di rispettivi dispositivi di monitoraggio di sovra/sotto tensione integrati (“embedded Over/Under Voltage Monitor” – O/U VM) progettati per rilevare la presenza di una sovratensione propagantesi dal microcontrollore (�C) verso i rispettivi carichi relativi alla sicurezza (G1) e per generare in risposta un comando di spegnimento dei carichi relativi alla sicurezza (G1) associati.
  8. 8. Centralina elettronica autoveicolistica di controllo di un motore a combustione interna secondo una qualsiasi delle rivendicazioni precedenti, in cui il circuito integrato (U-Chip) comprende inoltre un’unità di alimentazione elettrica utilizzata per alimentare il circuito integrato (U-Chip), il microcontrollore (�C) e gli stadi di pilotaggio esterni per carichi relativi alla sicurezza.
  9. 9. Centralina elettronica autoveicolistica (ECU) di controllo di un motore a combustione interna comprendente un microcontrollore (�C); un circuito integrato (U-Chip) distinto da e comunicante con il microcontrollore (�C) e comprende stadi di pilotaggio integrati per carichi relativi alla sicurezza (“embedded safety-related load drivers”), attraverso i quali il circuito integrato (U-Chip) pilota certi carichi relativi alla sicurezza (G2); e stadi di pilotaggio esterni per carichi relativi alla sicurezza (“external safety-related load drivers”) separati e comandati dal microcontrollore (�C), attraverso i quali il microcontrollore (�C) pilota altri carichi relativi alla sicurezza (G1); ed in cui gli stadi di pilotaggio esterni per carichi relativi alla sicurezza sono provvisti di rispettivi dispositivi di monitoraggio di sovra/sotto tensione integrati (“embedded Over/Under Voltage Monitor” – O/U VM) progettati per rilevare la presenza di una sovratensione propagantesi dal microcontrollore (�C) verso i rispettivi carichi relativi alla sicurezza (G1) e per generare in risposta un comando di spegnimento dei carichi relativi alla sicurezza (G1) associati.
  10. 10. Centralina elettronica autoveicolistica di controllo di un motore a combustione interna secondo la rivendicazione 8, in cui il circuito integrato (U-Chip) comprende inoltre un’unità di alimentazione elettrica utilizzata per alimentare il circuito integrato (U-Chip), il microcontrollore (�C) e gli stadi di pilotaggio esterni per carichi relativi alla sicurezza.
  11. 11. Autoveicolo comprendente una centralina elettronica autoveicolistica di controllo di un motore a combustione interna secondo una qualsiasi delle rivendicazioni precedenti.
IT000646A 2013-07-30 2013-07-30 Implementazione conforme a asil b di funzioni autoveicolistiche relative alla sicurezza tramite un circuito integrato ad elevata diagnosticabilita' progettato secondo standard di qualita' ITTO20130646A1 (it)

Priority Applications (5)

Application Number Priority Date Filing Date Title
IT000646A ITTO20130646A1 (it) 2013-07-30 2013-07-30 Implementazione conforme a asil b di funzioni autoveicolistiche relative alla sicurezza tramite un circuito integrato ad elevata diagnosticabilita' progettato secondo standard di qualita'
US14/446,466 US9677480B2 (en) 2013-07-30 2014-07-30 High diagnosability, quality managed-compliant integrated circuit for implementing ASIL B-compliant automotive safety-related functions
EP14179201.0A EP2905452B1 (en) 2013-07-30 2014-07-30 Asil B-compliant implementation of automotive safety-related functions by means of a high diagnosability, quality managed-compliant integrated circuit
CN201410370756.5A CN104340143B (zh) 2013-07-30 2014-07-30 通过一种高诊断性、与质量管理兼容的集成电路来实现与b级汽车安全完整性(asil b)兼容的汽车安全相关的功能
BR102014018752-9A BR102014018752B1 (pt) 2013-07-30 2014-07-30 Unidade eletrônica de controle de motor a combustão interna automotivo e veículo automotor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT000646A ITTO20130646A1 (it) 2013-07-30 2013-07-30 Implementazione conforme a asil b di funzioni autoveicolistiche relative alla sicurezza tramite un circuito integrato ad elevata diagnosticabilita' progettato secondo standard di qualita'

Publications (1)

Publication Number Publication Date
ITTO20130646A1 true ITTO20130646A1 (it) 2015-01-31

Family

ID=49263376

Family Applications (1)

Application Number Title Priority Date Filing Date
IT000646A ITTO20130646A1 (it) 2013-07-30 2013-07-30 Implementazione conforme a asil b di funzioni autoveicolistiche relative alla sicurezza tramite un circuito integrato ad elevata diagnosticabilita' progettato secondo standard di qualita'

Country Status (5)

Country Link
US (1) US9677480B2 (it)
EP (1) EP2905452B1 (it)
CN (1) CN104340143B (it)
BR (1) BR102014018752B1 (it)
IT (1) ITTO20130646A1 (it)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3034882B1 (fr) 2015-04-07 2018-12-07 Valeo Equipements Electriques Moteur Procede d'implementation d'une fonction d'un vehicule automobile conforme a des niveaux asil standards, systeme correspondant et vehicule automobile comprenant un tel systeme
DE102016105876A1 (de) 2016-03-31 2017-10-05 Connaught Electronics Ltd. Elektronisches Steuergerät für ein Fahrzeug mit separater Datenverbindung, Assistenzsystem, Fahrzeug sowie Verfahren
DE102016106814A1 (de) 2016-04-13 2017-10-19 Infineon Technologies Ag Vorrichtung und Verfahren zum Überwachen eines Signalpfads und Signalverarbeitungssystem
GB2559218A (en) * 2017-08-22 2018-08-01 Daimler Ag A modular safety software architecture for electrified-powertrain control systems
US10482289B2 (en) * 2017-08-24 2019-11-19 Qualcomm Incorporated Computing device to provide access control to a hardware resource
CN108279656B (zh) * 2018-03-27 2023-07-25 杭州泓创新能源有限公司 车辆驱动智能控制装置
IT201900018362A1 (it) * 2019-10-10 2021-04-10 Texa Spa Metodo e sistema di controllo di almeno due motori elettrici di trazione di un veicolo
EP3816741B1 (en) 2019-10-31 2023-11-29 TTTech Auto AG Safety monitor for advanced driver assistance systems
US11171481B1 (en) 2020-11-23 2021-11-09 Ford Global Technologies, Llc Dual-supply automotive electrical system with protection of motion control components

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19605606A1 (de) * 1996-02-15 1997-08-21 Bosch Gmbh Robert Einrichtung zum Rücksetzen eines Rechenelements
US6230094B1 (en) * 1998-04-13 2001-05-08 Denso Corporation Electronic control system and method having monitor program
US20020193935A1 (en) * 2001-06-14 2002-12-19 Mitsubishi Denki Kabushiki Kaisha Intake air quantity control system for internal combustion engine
US20090030587A1 (en) * 2007-07-27 2009-01-29 Mitsubishi Electric Corporation Vehicle-mounted engine control apparatus
US20100036558A1 (en) * 2008-08-08 2010-02-11 Denso Corporation Control apparatus for vehicle
DE102010000397A1 (de) * 2009-02-13 2010-09-09 DENSO CORPORATION, Kariya-shi Fahrzeugsteuersystem mit einer Leerlaufabschaltsteuerungsfunktion, um die Brennkraftmaschine des Fahrzeugs zu stoppen und wieder anlaufen zu lassen
DE102010062476A1 (de) * 2010-12-06 2012-06-06 Robert Bosch Gmbh Verfahren und Vorrichtung zum Ansteuern eines Kfz-Antriebsstranges

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19902049C2 (de) * 1999-01-20 2000-11-09 Continental Ag Niveauregelsystem für ein Kraftfahrzeug
US6523525B1 (en) * 2002-06-11 2003-02-25 Detroit Diesel Corporation Engine control system and method of controlling an internal combustion engine having a mandatory engine warm-up period
DE112004002939B4 (de) * 2004-09-22 2020-09-03 Toyota Jidosha Kabushiki Kaisha Gerät und Verfahren zur Überwachung einer Lastansteuerungsschaltung bezüglich einer Anomalie
US8432118B2 (en) * 2011-05-02 2013-04-30 Deere & Company Inverter and a method for controlling an electric machine
DE102011084669B4 (de) * 2011-05-27 2020-06-04 Continental Teves Ag & Co. Ohg Verfahren zur Überwachung und Steuerung eines pneumatischen Niveauregelsystems eines Fahrwerksystems
CN102642507B (zh) * 2011-10-15 2014-04-30 兰州吉利汽车工业有限公司 一种两线制汽车电子控制系统
CN102707710A (zh) * 2012-06-01 2012-10-03 浙江吉利汽车研究院有限公司杭州分公司 汽车电子控制单元诊断功能验证方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19605606A1 (de) * 1996-02-15 1997-08-21 Bosch Gmbh Robert Einrichtung zum Rücksetzen eines Rechenelements
US6230094B1 (en) * 1998-04-13 2001-05-08 Denso Corporation Electronic control system and method having monitor program
US20020193935A1 (en) * 2001-06-14 2002-12-19 Mitsubishi Denki Kabushiki Kaisha Intake air quantity control system for internal combustion engine
US20090030587A1 (en) * 2007-07-27 2009-01-29 Mitsubishi Electric Corporation Vehicle-mounted engine control apparatus
US20100036558A1 (en) * 2008-08-08 2010-02-11 Denso Corporation Control apparatus for vehicle
DE102010000397A1 (de) * 2009-02-13 2010-09-09 DENSO CORPORATION, Kariya-shi Fahrzeugsteuersystem mit einer Leerlaufabschaltsteuerungsfunktion, um die Brennkraftmaschine des Fahrzeugs zu stoppen und wieder anlaufen zu lassen
DE102010062476A1 (de) * 2010-12-06 2012-06-06 Robert Bosch Gmbh Verfahren und Vorrichtung zum Ansteuern eines Kfz-Antriebsstranges

Also Published As

Publication number Publication date
EP2905452A2 (en) 2015-08-12
EP2905452B1 (en) 2020-06-10
US20150057908A1 (en) 2015-02-26
CN104340143A (zh) 2015-02-11
EP2905452A3 (en) 2016-03-09
CN104340143B (zh) 2019-06-04
US9677480B2 (en) 2017-06-13
BR102014018752A2 (pt) 2015-09-29
BR102014018752B1 (pt) 2022-03-03

Similar Documents

Publication Publication Date Title
ITTO20130646A1 (it) Implementazione conforme a asil b di funzioni autoveicolistiche relative alla sicurezza tramite un circuito integrato ad elevata diagnosticabilita' progettato secondo standard di qualita'
EP2823430B1 (de) Elektronisches regelungssystem
JP3752022B2 (ja) 故障診断機能付き電子制御装置
US8760093B2 (en) Electronic control apparatus for a vehicle
US20100179729A1 (en) Device for controlling passenger protection devices
ITMI20001528A1 (it) Procedimento e dispositivo per la sorveglianza reciproca di unita' dicomando
Wu et al. Safety guard: Runtime enforcement for safety-critical cyber-physical systems
CN108732920B (zh) 在车辆操作期间测试碰撞传感器装置
JP5541246B2 (ja) 電子制御ユニット
DE102012213670A1 (de) Steuervorrichtung zur Ansteuerung einer Laserdiode
CN108146250B (zh) 一种基于多核cpu的汽车扭矩安全控制方法
CN102541713A (zh) 用于监视装备有微处理器的设备的方法和设备
JP6088642B2 (ja) 複数のアナログ信号検出チャネルを有するアナログ信号入力回路
GB2559218A (en) A modular safety software architecture for electrified-powertrain control systems
CN104181914B (zh) 一种汽车故障检测方法及系统
US9754752B2 (en) Auto detection of guard locking device
DE102014112732A1 (de) Systeme und Verfahren zur internen und externen Fehlererkennung in Sensorausgangsschnittstellen
CN107924348A (zh) 用于对车辆的电子的线路单元的状态进行监控的方法和装置
US20160070619A1 (en) Method and apparatus for configuring i/o cells of a signal processing ic device into a safe state
KR101887904B1 (ko) 제어기 단락 이상 감지 장치 및 방법
EP3610276A1 (de) Verfahren und system zur prädiktiven wartung von integrierten schaltungen
US11243257B2 (en) Control system for a battery system
EP4145150B1 (en) On-chip checker for on-chip safety area
CN104281557A (zh) 具有至少两个核的微控制器
US20240072639A1 (en) Junction Box Having Parallel Switch Failure Detection