JP2004519059A - 分配された安全上重要なシステムのコンポーネントの駆動方法 - Google Patents
分配された安全上重要なシステムのコンポーネントの駆動方法 Download PDFInfo
- Publication number
- JP2004519059A JP2004519059A JP2002574008A JP2002574008A JP2004519059A JP 2004519059 A JP2004519059 A JP 2004519059A JP 2002574008 A JP2002574008 A JP 2002574008A JP 2002574008 A JP2002574008 A JP 2002574008A JP 2004519059 A JP2004519059 A JP 2004519059A
- Authority
- JP
- Japan
- Prior art keywords
- communication controller
- process computer
- response
- communication
- pro
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 120
- 238000000034 method Methods 0.000 claims abstract description 104
- 230000008569 process Effects 0.000 claims abstract description 73
- 238000012544 monitoring process Methods 0.000 claims abstract description 29
- 101100322915 Caenorhabditis elegans akt-1 gene Proteins 0.000 claims abstract description 14
- 230000004044 response Effects 0.000 claims description 46
- 230000007246 mechanism Effects 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 abstract 1
- 230000006870 function Effects 0.000 description 30
- 238000012545 processing Methods 0.000 description 6
- 238000011161 development Methods 0.000 description 3
- 125000004122 cyclic group Chemical group 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 239000010453 quartz Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- VYPSYNLAJGMNEJ-UHFFFAOYSA-N silicon dioxide Inorganic materials O=[Si]=O VYPSYNLAJGMNEJ-UHFFFAOYSA-N 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0043—Signal treatments, identification of variables or parameters, parameter estimation or state estimation
- B60W2050/0044—In digital systems
- B60W2050/0045—In digital systems using databus protocols
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24053—Diagnostic of controlled machine
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/26—Pc applications
- G05B2219/2637—Vehicle, car, auto, wheelchair
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Safety Devices In Control Systems (AREA)
- Programmable Controllers (AREA)
- Regulating Braking Force (AREA)
Abstract
【選択図】図1
Description
従来の技術
本発明は,分配された安全上重要なシステムのコンポーネント,特に車両内のX−バイ−ワイヤ−システムのコンポーネントを駆動する方法に関する。コンポーネントは,コンポーネントに対応付けられたプロセスコンピュータによって駆動され,そのプロセスコンピュータは通信コントローラを介して通信システムに接続されている。プロセスコンピュータとは関係のない監視ユニットが設けられており,その監視ユニットによってプロセスコンピュータが監視される。
【0002】
本発明は,さらに,プロセスコンピュータを通信システムに接続するための通信コントローラに関するものであって,その場合にプロセスコンピュータは分配された安全上重要なシステムのコンポーネント,特に車両内のX−バイ−ワイヤ−システムのコンポーネントを駆動するために用いられ,かつ通信コントローラ上ではプロセスコンピュータと通信システムとの間のデータ伝送を実現するために通信プロトコルが遂行される。
【0003】
冒頭で挙げた種類の方法は,例えばDE19826131A1から知られている。この公報においては,分配された安全上重要なシステムは,車両の電気的ブレーキシステムとして記載されている。このシステムのコンポーネントは,車両のブレーキとして,より正確に言うとブレーキを駆動するアクターとして形成されている。この種のシステムは,高度に安全上重要である。これは,コンポーネントのエラーのある駆動,特にブレーキのエラーのある操作は,予測できない安全上のリスクをもたらす可能性があるからである。かかる理由から,コンポーネントのエラーのある駆動は,確実に排除されなければならない。
【0004】
公知のブレーキシステムの本質的な特徴は,中央で運転者意図を検出するためのペダルモジュール,ブレーキアクチュエータを車輪個別に制御するための4つの車輪モジュール及び上位のブレーキ機能を計算するための処理モジュールである。個々のモジュールの互いの通信は,通信システムによって行うことができる。本特許出願の図2には,各種論理的平面を有する車輪モジュールの内部構造が例示されている。その場合に,論理平面L1は,少なくとも車輪ブレーキの開ループ制御及び閉ループ制御機能の計算を有し,論理平面L2からL4は,計算機の監視とL1の機能を検査する各種機能を有している。
【0005】
ブレーキあるいはブレーキシューを操作するための電気モータの駆動は,各車輪モジュールについて同様に次のステップを有している:
a)少なくとも1つの入力信号(a_R2,a_R3,a_R4;a_V,ref;s_R2,s_R3,s_R4;Δs_V,ref;v_F;n_1;d_1;F_1i;a_R1;s_R1)に従って第1のマイクロコンピュータシステム(R_1A)によってブレーキのための少なくとも1つの駆動信号(f_1)を求める。入力信号は,マイクロコンピュータシステム(R_1A)に通信システム(K_1)あるいはバスシステムを介して提供される。
b)少なくとも1つの論理的な駆動信号(e_1H)を求める。論理的な駆動信号(e_1H)は,少なくとも部分的に,第1のマイクロコンピュータシステム(R_1A)とは関係のない監視ユニット(R_1B)によって,少なくとも1つの入力信号に従って求められる。
c)少なくとも1つの駆動信号(f_1)を少なくとも1つの論理的な駆動信号(e_1H)とパワーエレクトロニクス(LE_1K)内で比較する。
d)駆動信号(f_1)と論理的な駆動信号(e_1H)との比較の結果に従って,少なくとも1つのイネーブル信号を求める(パワーエレクトロニクスLEの内部)。そして,
e)少なくとも1つのイネーブル信号が予め設定可能な値を有する場合に,少なくとも1つの駆動信号(f_1)又は駆動信号(f_1)に依存する信号(i_1K)をブレーキ,あるいはブレーキシューのためのアクチュエータAkt_1へ供給する。
【0006】
監視ユニット(R_1B)は,特に系統的な(いわゆるコモンモード)エラーを検出するために用いられる。この種のエラーの例は,電圧供給におけるエラーである。公知のブレーキシステムにおいては,監視ユニット(R_1B)は,自立したマイクロコンピュータシステムとして形成されている。しかし選択的に,監視ユニット(R_1B)を独自のプロセッサを持たないハードウェアモジュールとして形成することができるが,それは具体的な論理機能あるいは,レジスタを有している場合には,特に切換え機能を実施することができる。この種のハードウェアモジュールの例は,例えばASIC(Applied Specific Integrated Circuit),FPGA(Field−Programmable Gate Array)又は監視回路(いわゆるウォッチドッグ)である。
【0007】
従来技術における欠点は,論理的平面L4が常に別体の構成部分内で実現されていることであって,−例えば電気的なブレーキシステムの車輪モジュール内の−その構成部分は,分配された安全上重要なシステムの内部でさらに多重に設けられなければならない。
【0008】
本発明の課題は,分配された安全上重要なシステムの構造を簡略化し,同時にコンポーネントをイネーブルにする際に得られる安全性を少なくとも維持することである。
【0009】
この課題を解決するために,本発明は,冒頭で挙げた種類の方法に基づいて,監視ユニットの課題が通信コントローラによって満たされることを提案する。
【0010】
発明の利点
従って本発明によれば,別体の監視ユニットを省き,その代わりに監視ユニットの課題を,もともとシステム内に設けられている,分配された安全上重要なシステムのユニットによって実施させることが提案される。このユニットは,少なくとも制限された範囲において独自の計算を行うことができる,専用のインテリジェンスを提供しなければならない。本発明に従って監視ユニットの課題を引き受けることのできる,この種のシステムユニットとして,特に通信コントローラが好適であり,その通信コントローラを介してプロセスコンピュータが通信システムに接続されている。
【0011】
車両内で通信システムを使用することは,時の経過と共にほぼ全てのメーカーにおいて標準となってきている。通信システムを介して,データは,例えばCAN(Controller Area Network)−,TTCAN(Time Triggered CAN)−,TTP/C(SAEに基づくTime Triggered Protocol for Class C)−あるいはフレックスレイ−プロトコルに従って伝送される。プロトコルは,通常,システム全体に有効なタイムベースとなる,いわゆるグローバルタイムを提供する。そのグローバルタイムは,通信における(例えば時間制御される通信プロトコルにおいて),そしてアプリケーションにおける(例えば時間制御される駆動システムにおいて)時間制御のためにも,診断機能とエラー認識あるいはエラー処理のためにも,重要な役割を果たす。従って,このことは,この種のシステムの各通信コントローラが専用の時計(クォーツ)を有しており,その時計がグローバルタイムの機構を介して特にシステム内の他の全ての時計と同期化されていることを意味している。これが可能であることに基づいて,通信コントローラはマイクロプロセッサの監視のために問題なく使用することができる。
【0012】
本発明の好ましい展開によれば,通信コントローラに,監視すべきプロセスコンピュータに所定の時点でなされる質問のリストが提供され,その場合にプロセスコンピュータは通信コントローラへ応答を与え,その応答がその後通信コントローラによって評価されることが,提案される。プロセスコンピュータのこの種の監視は,質問−応答−通信とも称される。リストは,好ましくはメモリ素子,特にランダムアクセスメモリ,リードオンリーメモリ又はフラッシュメモリに格納されている。質問は,例えば多数のビットを有する単純な値であって,それがプロセスコンピュータによって予め決定可能な方法で処理される。処理は,質問の単純な反転から,メモリテストを含む複雑な計算にまで及ぶことができる。処理の結果は,なされた質問に対するプロセスコンピュータの応答である。
【0013】
本発明の好ましい実施形態によれば,応答は,それが予め設定可能な期間内に行われたか,について調べられることが提案される。プロセスコンピュータに質問が提供されるとすぐに,タイムカウンタがスタートされる。プロセスコンピュータによる応答が,スタート時点と期間により定められる時間ウィンドウ内に行われなかった場合には,プロセスコンピュータのエラーが推定されて,安全上重要な状況を回避するために好適な対抗措置が導入される。
【0014】
その代わりに,あるいはそれに加えて,応答は,それが正しいかについて調べられることが提案される。この目的のために,応答がリスト内に,なされた質問に対する正しい応答として記入されているか,について調べられる。正しい応答は,それに対応する質問と共に通信コントローラのメモリ素子,特にランダムアクセスメモリ,リードオンリーメモリ又はフラッシュメモリに格納しておくことができる。
【0015】
本発明の好ましい展開によれば,プロセスコンピュータには通信コントローラから周期的に質問がなされる。選択的に,質問を所定の時間的パターンに従って,あるいはランダムに行うこともできる。
【0016】
誤った応答及び/又は予め設定可能な期間内に行われなかった応答における適切な対抗措置として,通信コントローラは本発明の好ましい実施形態によれば,プロセスコンピュータのオフを引き受けることができる。その代わりに,あるいはそれに加えて,通信コントローラは駆動すべきコンポーネントのオフを引き受けることができる。
【0017】
本発明の課題の他の解決として,冒頭で挙げた種類の通信コントローラに基づいて,通信プロトコルは,通信コントローラにプロセスコンピュータを監視することを可能にする機構だけ補足されることが提案される。この補足すべき機構は,特に質問を(周期的に)行うこと,監視すべき時間ウィンドウのためのタイムカウンタをセットすること,時間ウィンドウを監視すること及びプロセスコンピュータの応答を検査することに関する。
【0018】
本発明の好ましい展開によれば,特に,通信プロトコルは,本発明に基づく方法を実施するための機構だけ補足されていることが提案される。
【0019】
そして,通信コントローラは,メモリ素子,特にランダムアクセスメモリ,リードオンリーメモリ又はフラッシュメモリを有し,その上にプロセスコンピュータのための質問及びプロセスコンピュータとの質問−応答−通信のための正しい応答が格納されていることが,提案される。
【0020】
実施例の説明
以下,本発明に基づく方法を電気的なブレーキシステムを用いて詳細に説明する。しかし,本発明は,電気的なブレーキシステムに限定されるものではなく,むしろそのシステムコンポーネントがプロセスコンピュータを介して駆動される,任意の分配された安全上重要なシステムに使用することができる。本発明は,プロセスコンピュータを監視するための付加的な監視ユニットの使用なしで,コンポーネントのより確実なイネーブルを許すものである。監視ユニットの課題は,むしろ,システム内にもともと設けられている,安全上重要なシステムのユニットによって,特に通信コントローラによって引き受けられ,その通信コントローラを介してプロセスコンピュータが通信システムに接続されている。
【0021】
ブレーキシステムは,制動すべき各車輪について車輪モジュールR_1,R_mを有している。各車輪モジュールR_1,R_mは,マイクロコンピュータシステムP_1,P_mとイネーブル回路FS_1,FS_mを有している。マイクロコンピュータシステムP_1,P_mは,それぞれプロセスコンピュータPro_1,Pro_mとインテリジェント通信コントローラS_1,S_mを有している。マイクロコンピュータシステムP_1,P_mのプロセスコンピュータPro_1,Pro_mと通信コントローラS_1,S_mは,半導体モジュール(いわゆるチップ)上にまとめることができる。しかし,それらは常に互いに独立した別体のユニットとして形成されている。各車輪モジュールR_1,R_mは,通信コントローラS_1,S_mを介して物理的なデータバスK_1,K_mに接続されている。データバスを介してデータは,例えばTTCAN−,TTP/C−又はフレックスレイ−プロトコルに従って伝送される。車輪モジュールR_1,R_mは,それぞれアクター技術Akt_1,Akt_mを駆動し,それらアクター技術は例えば車輪ブレーキを操作し,あるいは緩めるための1つ又は複数の電気モータを有している。
【0022】
従来技術(図2)から知られている,いわゆる質問−応答−通信によってプロセスコンピュータ(Pro_1)を監視するための監視コンセプトは,図1に示す本発明に基づくプロセスコンピュータ−通信コントローラ−コンセプトによって代用される。その場合に,通信コントローラS_1は,従来技術に基づく監視ユニットR_1Bの課題を引継ぎ,予め設定可能な時間ウィンドウ内で正しい応答を得るために,プロセスコンピュータへ周期的に質問を行う。時間ウィンドウが維持されず,あるいは質問に対する正しい応答が発生しない場合については,通信コントローラS_1はプロセスコンピュータPro_1(信号A)のオフ及び/又はイネーブル回路FS_1を介して,接続されているコンポーネントAkt_1のオフ(信号B)を引き受ける。
【0023】
本発明に基づくコンセプトを実現するためには,通信コントローラS_1は,質問及び応答のリストだけ補足されるだけで済む。通信コントローラS_1の通信プロトコルは,周期的な照会,時間ウィンドウのための好適なタイマーのセット,この時間ウィンドウの監視及び応答の検査を可能にする機構だけ補足される。そして,通信コントローラS_1は,プロセスコンピュータPro_1をイネーブルにするためのピン(信号出力A)とイネーブル回路FS_1をイネーブルにするためのピン(信号出力B)を有している。これらのピンは,通信コントローラS_1によって操作される。
【0024】
通信コントローラS_1は,プロセスコンピュータPro_1との質問−応答−通信を実施し,それは通常のプロトコルシーケンス(メッセージの本来の送信と受信,メッセージコンファメーション,必要に応じてメンバーシップサービス及びグローバルな時間)に組み込まれている。それに基づいて通信コントローラS_1の僅少な負担増加が生じるが,分配された安全上重要なシステム内部に存在しているユニットを使用する場合の著しい改良が生じる。さらに,通信コントローラS_1は,イネーブル回路FS_1への,あるいはプロセスコンピュータPro_1の適切なピンへの接続を可能にするために,ソフトウェア及びハードウェアインターフェイスを提供する。従ってイネーブル回路FS_1は,一方ではプロセスコンピュータPro_1によって,そして他方では通信コントローラS_1によって操作される。さらに,プロセスコンピュータPro_1自体も通信コントローラS_1に接続することができるので,プロセスコンピュータPro_1自体を,例えばプロセスコンピュータPro_1のリセット線に結合することによって,オフにすることが可能である。
【0025】
質問−応答−通信を実施するための本発明に基づくプロセスコンピュータ−通信コントローラ−コンセプトの実現は,通信コントローラを搭載した各制御装置によって可能であり,その通信コントローラは自立し,かつ独立した時計を有している。理想的な場合においては,この時計は,特に時計同期機構を介して分配された安全上重要なシステム全体のグローバルな時間に同期される。通信コントローラS_1は,質問−応答−通信の機構を変換し,それに必要なコンフィグレーションデータを提供し,あるいはプログラムコンピュータPro_1とイネーブル回路FS_1へのインターフェイスを用意しなければならない。
【0026】
通信コントローラS_1は,その永久的なメモリに質問のリストと正しい応答のリストをプログラミングされていなければならない。そのための例えばフラッシュ−EPROMが特に適しており,その上には少なくとも,本来の通信のための他のコンフィグレーションデータも格納されている。監視すべき時間ウィンドウのタイムアウトを作成するための時計(タイマー)も,予め構成に入れておかなければならない。エラーカウンタ(カウント)を使用する場合には,そのための上方の境界(リミット)も同様に定義されなければならない。
【0027】
通信コントローラS_1は,ハードウェアインターフェイスを提供し,そのハードウェアインターフェイスは,プロセスコンピュータPro_1(信号A)及び付加的なイネーブル回路FS_1(信号B)との質問−応答−通信からもたらされるオフ論理の配線を可能にする。
【0028】
質問と応答は,共通のメモリ領域(デュアルポートRAM)DPRAM_1を介してプロセスコンピュータPro_1と通信コントローラS_1との間で交換される。この共通のメモリ領域DPRAM_1は,通信コントローラS_1とプロセスコンピュータPro_1との間のソフトウェアインターフェイスを形成する。通信コントローラS_1によって,例えば16ビット値がソフトウェアインターフェイス内へセットされ(質問),応答がソフトウェアインターフェイスからタイムアウト内に読み出される。さらに,質問−応答−通信のステータスを外部に向けて提供するために(例えば「タイムアウトを越えた」又は「応答は秩序通りである」),通信コントローラS_1内で他のソフトウェアインターフェイスを提供することができる。
【0029】
通信コントローラS_1は,プロセスコンピュータPro_1から得られた応答の評価と,応答リストに格納されている応答との比較を実施しなければならない。そのために通常の通信プロトコル内で,応答リストが格納されているテーブルのアドレッシング及び2つの値の単純な比較を可能にする,付加的な機構が考慮される。さらに,必要に応じてエラーカウンタ(カウント)を管理することができる。
【0030】
次に,本発明に基づく方法の詳細を,図3と4を用いて説明する。方法は,機能ブロック1において開始される。初期状況は,機能している加入者(通信コントローラS_1,S_mとそのプロセスコンピュータPro_1,Pro_m)を有するアクティブな分配されたネットワークである。プロセスコンピュータPro_1又は駆動すべきコンポーネントAkt_1(イネーブル回路FS_1を介して)をオフする信号は存在していない。
【0031】
機能ブロック2において,システムスタートが実施される。次に機能ブロック3において通信コントローラS_1とプロセスコンピュータPro_1の初期化が実施される。その後,メッセージの送信と受信を有する通常のアプリケーションが開始される(機能ブロック4)。しかし,さらに,通信コントローラは,質問−応答−通信も開始する(機能ブロック5)。機能ブロック4と5によって象徴的にのみ示されている2つのシーケンスは,順次実施できるだけでなく,併存して,即ちほぼ並列に実施できるルーチンである。質問−応答−通信は,図4に詳細に示されており,後で詳しく説明する。
【0032】
その後,判断ブロック6において,方法を終了すべきであるか否かが調べられる。方法は,例えば,該当する加入者又は分配されたシステム全体がセットバックされる場合に,終了される。方法が終了されるべきではない場合には,再び機能ブロック4へ分岐する。そうでない場合には,本発明に基づく方法は,機能ブロック7において終了される。
【0033】
図4には,機能ブロック5に基づく質問−応答−ルーチンが詳細に記載されている。機能ブロック51において,通信コントローラS_1のメモリ素子EPROMに格納されている質問カタログから所定の質問が選択される。質問の選択は,質問カタログのサイクリックな処理又は予め定めることのできるパターンに従った,あるいはランダム方法に従った(例えば通信コントローラS_1の実際のシステム時間に結合された)処理とすることができる。その後,機能ブロック52においてプロセスコンピュータPro_1に,選択された質問がソフトウェアインターフェイスDPRAM_1を介して用意されて,機能ブロック53においてタイムカウンタ(タイマー)が始動される。時間ウィンドウの監視は,通信コントローラS_1の他のプロトコルシーケンスの部分であって,同様に様々に,例えばいわゆるポーリングによって,あるいは通信コントローラS_1内のいわゆるキャプチャーアンドコンペア論理によって作動させることができる。
【0034】
プロセスコンピュータPro_1内には,好適なソフトウェアが設けられており,それが通信コントローラS_1の質問を処理して(機能ブロック54),質問に対する好適な応答を求める(機能ブロック55)。そのために使用されるアルゴリズムあるいは方法は,本発明の対象ではなく,質問のシンプルな反転からメモリテストを含めた複雑な計算にまで及ぶことができる。プロセスコンピュータPro_1内のソフトウェアは,その後機能ブロック56においてソフトウェアインターフェイスDPRAM_1を介して応答を通信コントローラS_1へ伝達する。
【0035】
その後,機能ブロック57において,応答はソフトウェアインターフェイスDPRAM_1から通信コントローラS_1内へ読み込まれる。機能ブロック58において,プロセスコンピュータPro_1の応答と応答リストに記載されている正しい応答との比較が通信コントローラS_1の評価論理を介して実施される。通常場合においては,通信コントローラS_1は,正しい応答を得る(出力「否定」)。質問−応答−通信の結果は,さらに,ステータスレジスタにセットされる(機能ブロック59)。従ってこの場合にはポジティブなステータスがセットされる。ここから質問−応答−ルーチン5は再び図3の機能ブロック6へ分岐する。その場合に次の質問は,例えばタイムアウトの経過後に,プロセスコンピュータPro_1へセットされて,質問−応答−ルーチン5が新たに通過される。それによって,サイクリックな質問−応答−プロトコルが生じる。しかし,次の質問の開始は,予め決定された時点で行うこともできる(これについては,各プロトコルステップを所定の時点の達成に関係付ける,時間制御される通信プロトコルも参照)。
【0036】
エラーの場合には(判断ブロック58の出力が「肯定」),プロセスコンピュータPro_1の応答は,通信コントローラS_1の構成されたリスト内の質問への好適な正しい応答と一致せず,あるいは所定の時間ウィンドウが維持されていない。
【0037】
エラー処理の範囲内で,まずエラーカウンタが増分される(機能ブロック60)。次に,機能ブロック61において,プロセッサPro_1をオフにする信号Aが作動される。同様に,機能ブロック62において,アクター技術Akt_1をオフにする信号Bを,イネーブル回路FS_1を介して送信することができる。ステップ61と62は,各エラー処理において処理することができる。しかし,選択的に,機能ブロック60において増分されたエラーカウンタが予め設定される限界値を越えた場合に初めて,それらを処理することもできる。ステップ61と62によって,オフにされたユニットPro_1,Akt_1の加入者は,整えられたシステム新規スタートが行われるまでは,通信に入れられる。機能ブロック63においては,本発明に基づく方法の終了が設けられているので,方法は次に判断ブロック6を通過した場合に機能ブロック7で終了される。
【図面の簡単な説明】
図面
本発明の他の特徴,利用可能性及び利点は,図面に示す本発明の実施例についての以下の説明から明らかにされる。その場合に全ての記載されている,あるいは図示されている特徴は,それ自体で,あるいは任意の組合わせにおいて,特許請求項におけるその要約又はその帰属に関係なく,かつ詳細な説明あるいは図面におけるその表現あるいは表示に関係なく,本発明の対象を形成する。
【図1】
好ましい実施形態に基づく,本発明方法を実現するための分配された安全上重要なシステムの一部を示し;
【図2】
従来技術から知られた,分配された安全上重要なシステムの駆動モジュールを示し;
【図3】
好ましい実施形態に基づく,本発明方法を示すフローチャートであり;
【図4】
図3に示すフローチャートの,通信コントローラとプロセスコンピュータとの間の質問−応答−通信に該当する部分を示す。
Claims (11)
- 分配された安全上重要なシステムのコンポーネント(Akt_1),特に車両内のX−バイ−ワイヤ−システムのコンポーネント(Akt_1)の駆動方法であって,その場合に前記コンポーネント(Akt_1)は前記コンポーネント(Akt_1)に対応付けられたプロセスコンピュータ(Pro_1)によって駆動され,前記プロセスコンピュータは通信コントローラ(S−1)を介して通信システム(K_1)に接続されており,かつ前記プロセスコンピュータ(Pro_1)に依存しない監視ユニットが設けられており,前記監視ユニットによって前記プロセスコンピュータ(Pro_1)が監視される,前記方法において,
前記監視ユニットの課題が,前記通信コントローラ(S_1)によって満たされる,ことを特徴とする分配された安全上重要なシステムのコンポーネントの駆動方法。 - 前記通信コントローラ(S_1)に,監視すべきプロセスコンピュータ(Pro_1)に予め設定可能な時点でなされる質問を有するリストが提供され,その場合に前記プロセスコンピュータ(Pro_1)は前記通信コントローラ(S_1)に応答を与え,前記応答がその後通信コントローラによって評価される,ことを特徴とする請求項1に記載の方法。
- 前記応答は,それが予め定めることのできる期間内で行われたか,について調べられる,ことを特徴とする請求項2に記載の方法。
- 前記応答は,それが正しいか,について調べられる,ことを特徴とする請求項2に記載の方法。
- 前記応答は,それがなされた質問に対する正しい応答としてリスト内に記入されているか,について調べられる,ことを特徴とする請求項4に記載の方法。
- 前記プロセスコンピュータに,前記通信コントローラによって周期的に質問がなされる,ことを特徴とする請求項2から5のいずれか1項に記載の方法。
- 前記通信コントローラは,応答が誤っている場合及び/又は予め設定可能な期間内に行われなかった場合に,プロセスコンピュータのオフを引き受ける,ことを特徴とする請求項1から6のいずれか1項に記載の方法。
- 前記通信コントローラは,応答が誤っている場合及び/又は予め設定可能な期間内に行われなかった場合に,駆動すべきコンポーネントのオフを引き受ける,ことを特徴とする請求項1から6のいずれか1項に記載の方法。
- 前記プロセスコンピュータ(Pro_1)を通信システム(K_1)に接続するための通信コントローラであって,その場合に前記プロセスコンピュータは分配された安全上重要なシステムのコンポーネント,特に車両内のX−バイ−ワイヤ−システムのコンポーネントを駆動するために用いられ,かつ前記通信コントローラ(S_1)上で,前記プロセスコンピュータ(Pro_1)と前記通信システム(K_1)との間のデータ伝送を実現するために通信プロトコルが遂行される,前記通信コントローラにおいて,
前記通信プロトコルは,前記通信コントローラ(S_1)に前記プロセスコンピュータ(Pro_1)を監視することを可能にする機構だけ補足されている,
ことを特徴とする通信コントローラ。 - 前記通信プロトコルは,請求項2から8のいずれか1項に記載の方法を実施する機構だけ補足されている,
ことを特徴とする請求項9に記載の通信コントローラ。 - 前記通信コントローラは,メモリ素子,特にランダムアクセスメモリ,リードオンリーメモリ又はフラッシュメモリを有しており,前記メモリ上にプロセスコンピュータのための質問及びプロセスコンピュータとの質問−応答−通信のための正しい応答が格納されている,
ことを特徴とする請求項8又は9に記載の通信コントローラ。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10112914 | 2001-03-15 | ||
PCT/DE2002/000914 WO2002075463A1 (de) | 2001-03-15 | 2002-03-14 | Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004519059A true JP2004519059A (ja) | 2004-06-24 |
Family
ID=7677842
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002574008A Pending JP2004519059A (ja) | 2001-03-15 | 2002-03-14 | 分配された安全上重要なシステムのコンポーネントの駆動方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US7269488B2 (ja) |
EP (1) | EP1384122B1 (ja) |
JP (1) | JP2004519059A (ja) |
DE (1) | DE10291112D2 (ja) |
WO (1) | WO2002075463A1 (ja) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8660131B2 (en) * | 2005-06-09 | 2014-02-25 | Nxp B.V. | Storage unit for communication system node, method for data storage and communication system node |
DE102005048581B4 (de) * | 2005-10-06 | 2022-06-09 | Robert Bosch Gmbh | Teilnehmerschnittstelle zwischen einem FlexRay-Kommunikationsbaustein und einem FlexRay-Teilnehmer und Verfahren zur Übertragung von Botschaften über eine solche Schnittstelle |
WO2007044997A2 (en) * | 2005-10-13 | 2007-04-19 | Trw Automotive U.S. Llc | Method and apparatus for providing a safing function in a restraining system |
JP2007307984A (ja) * | 2006-05-17 | 2007-11-29 | Toyota Motor Corp | 電気機器の配線接続構造および電動車両 |
DE102007050708B4 (de) * | 2007-10-22 | 2009-08-06 | Phoenix Contact Gmbh & Co. Kg | System zum Betreiben wenigstens eines nicht-sicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses |
US9156357B2 (en) * | 2013-09-11 | 2015-10-13 | GM Global Technology Operations LLC | Controller for an electric motor, and a method thereof |
CN107132835B (zh) * | 2017-04-14 | 2019-03-01 | 太原钢铁(集团)有限公司 | 一种异型控制系统通讯故障检测判断方法 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4438714A1 (de) * | 1994-10-29 | 1996-05-02 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs |
US5924774A (en) * | 1995-11-30 | 1999-07-20 | Zeftron, Inc. | Electronic pneumatic brake system |
DE19716197A1 (de) | 1997-04-18 | 1998-10-22 | Itt Mfg Enterprises Inc | Mikroprozessorsystem für sicherheitskritische Regelungen |
DE19717686A1 (de) | 1997-04-28 | 1998-10-29 | Itt Mfg Enterprises Inc | Schaltungsanordnung für ein Kraftfahrzeug-Regelungssystem |
US6002970A (en) | 1997-10-15 | 1999-12-14 | International Business Machines Corp. | Method and apparatus for interface dual modular redundancy |
DE19829126A1 (de) | 1997-11-22 | 1999-05-27 | Itt Mfg Enterprises Inc | Elektromechanisches Bremssystem |
DE19826131A1 (de) * | 1998-06-12 | 1999-12-16 | Bosch Gmbh Robert | Elektrisches Bremssystem für ein Kraftfahrzeug |
GB2339869B (en) | 1998-07-20 | 2002-05-15 | Motorola Ltd | Fault-tolerant electronic braking system |
DE19840484A1 (de) * | 1998-09-04 | 2000-03-09 | Bosch Gmbh Robert | Fahrzeugrechneranordnung |
GB2345161A (en) * | 1998-12-23 | 2000-06-28 | Motorola Ltd | Microprocessor module and method |
DE19933086B4 (de) * | 1999-07-15 | 2008-11-20 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten |
DE19937159B4 (de) * | 1999-08-06 | 2019-03-21 | Robert Bosch Gmbh | Elektrisch gesteuertes Bremssystem |
DE19939567B4 (de) | 1999-08-20 | 2007-07-19 | Pilz Gmbh & Co. Kg | Vorrichtung zum Steuern von sicherheitskritischen Prozessen |
-
2002
- 2002-03-14 JP JP2002574008A patent/JP2004519059A/ja active Pending
- 2002-03-14 WO PCT/DE2002/000914 patent/WO2002075463A1/de active Application Filing
- 2002-03-14 DE DE10291112T patent/DE10291112D2/de not_active Expired - Lifetime
- 2002-03-14 EP EP02722009A patent/EP1384122B1/de not_active Expired - Lifetime
- 2002-03-14 US US10/276,603 patent/US7269488B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US20040030482A1 (en) | 2004-02-12 |
US7269488B2 (en) | 2007-09-11 |
WO2002075463A1 (de) | 2002-09-26 |
EP1384122A1 (de) | 2004-01-28 |
DE10291112D2 (de) | 2004-04-15 |
EP1384122B1 (de) | 2011-05-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102704176B1 (ko) | 차량 네트워크에서 웨이크업 신호의 송수신을 위한 방법 및 장치 | |
EP1784693B1 (en) | Method for providing a rapid response to queries on a vehicle bus | |
US10826423B2 (en) | Motor driving apparatus and motor driving method | |
KR101462553B1 (ko) | 이더넷을 이용한 제어기 영역 네트워크 통신들 | |
US5832397A (en) | Integrated wiring systems for a vehicle control system | |
EP1672505A2 (en) | Fail-silent node architecture | |
RU2284929C2 (ru) | Способ управления компонентом важной для обеспечения безопасности распределенной системы | |
JP5715257B2 (ja) | 少なくとも2つのマイクロコントローラを監視する方法 | |
US20100229046A1 (en) | Bus Guardian of a User of a Communication System, and a User of a Communication System | |
KR102286050B1 (ko) | 차량 네트워크에서 진단 오류 방지를 위한 방법 및 장치 | |
CN107526290B (zh) | 用于运行控制器的方法 | |
JP2001056701A (ja) | 制御ユニットの相互監視のための方法並びに装置 | |
Hedenetz et al. | Brake-by-wire without mechanical backup by using a TTP-communication network | |
CN111786862B (zh) | 控制系统及其控制方法、全地形车 | |
US20090292434A1 (en) | Method for Synchronising Components of a Motor Vehicle Brake System and Electronic Brake Control System | |
US7474625B2 (en) | Time-triggered communication system and method for the synchronized start of a dual-channel network | |
US6477140B1 (en) | Multiplex communications system | |
JP2004519059A (ja) | 分配された安全上重要なシステムのコンポーネントの駆動方法 | |
JP2003115847A (ja) | 制御システム及び冗長系信号処理装置 | |
JP2004519060A (ja) | 分配された安全上重要なシステムを駆動する方法 | |
KR101744998B1 (ko) | 리프로그래밍 제어모듈 및 이를 이용한 리프로그래밍 시스템 및 방법 | |
US10541830B2 (en) | Serial communication system | |
US10963354B2 (en) | Control apparatus and recovery processing method for control apparatus | |
CN117002461A (zh) | 一种单边epb冗余的制动控制系统及制动控制方法 | |
Schätz et al. | FlexRay protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050311 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070724 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071024 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071120 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080220 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080325 |