JP4391724B2 - 車両の駆動シーケンス制御の監視方法及びその装置 - Google Patents

車両の駆動シーケンス制御の監視方法及びその装置 Download PDF

Info

Publication number
JP4391724B2
JP4391724B2 JP2002168436A JP2002168436A JP4391724B2 JP 4391724 B2 JP4391724 B2 JP 4391724B2 JP 2002168436 A JP2002168436 A JP 2002168436A JP 2002168436 A JP2002168436 A JP 2002168436A JP 4391724 B2 JP4391724 B2 JP 4391724B2
Authority
JP
Japan
Prior art keywords
monitoring
control
response
function
vehicle drive
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002168436A
Other languages
English (en)
Other versions
JP2003131734A (ja
Inventor
ハーグ ヴォルフガンク
フィッシャー ジョルク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE10205809A external-priority patent/DE10205809A1/de
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of JP2003131734A publication Critical patent/JP2003131734A/ja
Application granted granted Critical
Publication of JP4391724B2 publication Critical patent/JP4391724B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry

Landscapes

  • Engineering & Computer Science (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Control Of Throttle Valves Provided In The Intake System Or In The Exhaust System (AREA)
  • Electrical Control Of Air Or Fuel Supplied To Internal-Combustion Engine (AREA)
  • Regulating Braking Force (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Programmable Controllers (AREA)

Description

【0001】
【発明の属する技術分野】
車両の駆動シーケンス制御の監視方法及びその装置に関し,さらに詳細には,予め設定される基準の範囲内で冗長なハードウェアにより安全上問題のある機能のプログラムシーケンスを監視する車両の駆動シーケンス制御の監視方法及びその装置に関する。
【0002】
【従来の技術】
車両内で駆動シーケンスの制御を安全上問題のある実時間使用する場合には,基礎となるハードウェアを駆動中に監視する必要がある。全ての静的及び動的なハードウェアエラーの全てを簡単には発見できないので,使用の本来の機能を実現するソフトウェアについて,安全上問題のあるデータフロー及びコントロールフローに沿って監視されなければならない。これは,一方ではハードウェア近傍の監視によって,そして他方では機能平面の監視により行われる。
【0003】
ハードウェア近傍の監視は,ハードウェア近傍のテストによるプロセッサの監視により実行され,冗長なハードウェアを使用して行われる。
【0004】
一方,機能平面の監視は,機能の内部状態を表す揮発メモリ(例えばRAM)の領域の監視,及び安全上問題のある機能の本来のプログラムコードを有する不揮発性メモリ(例えばROM)の領域の監視により実行される(メモリテスト)。また,揮発性メモリあるいは不揮発性メモリのメモリテスト以外の機能平面の監視は,安全上問題のある機能を冗長に形成することによる機能平面の監視と,冗長なハードウェアによる安全上問題のある機能の正確なプログラムシーケンスの監視により行われる。
【0005】
全ての点を満たすことによって初めて,走行駆動においてソフトウェアがプロセッサ上で正確に実施されると推定することができる。このような個々の安全コンセプトは,IEC1508スタンダードの,ドラフトスタンダード,パート7,付録C.9.3「プログラムシーケンスのロジカルモニタリング」に記載されている。
【0006】
従来においては,DE19826131A1には,予め設定された監視ラスタに同期して作動するプログラムシーケンスコントロールあるいはプログラムシーケンス監視が記載されている。上記公報においては,冗長なハードウェアから伝達される検査ワードあるいは検査デート(以下,質問という)を使用して,プログラムシーケンス監視により部分応答が計算され,その部分応答がプロセッサをハードウェア近傍で監視する指令テストの部分応答と,冗長なハードウェアへの全応答に結合される。
【0007】
応答は,冗長なハードウェア(以下,監視モジュールという)により検査される。エラーの場合には,エラーディバウンスが能動化されて,その実行後にエラーリアクションが作動される。したがって,部分応答が正しい場合には,プログラムシーケンス監視により個々の部分機能が全て予め設定された頻度で呼び出されて,全て終了されたことが保証される。
【0008】
しかしながら,機能がコントロールフローに関して(即ち,そのシーケンスが所要時間に関して),正しい順序で呼び出されたことは保証されない。このため,プロセッサによるプログラム実施は間欠的にしか監視できない。
【0009】
このことは,DE4111499A1において開示されている,マイクロコンピュータと,好ましくはゲートアレイとして形成された監視モジュールとを有する車両のための制御システムにも該当する。この監視モジュールは,マイクロコンピュータのシーケンスコントロールを実施し,そのために両者は質問−応答−プレイの範囲内で固定の監視ラスタにおいて,プログラムシーケンスコントロールの時間ラスタに同期して信号値を処理する。監視モジュールは,この処理の結果を比較することにより,マイクロコンピュータの正しい作動又はエラーのある作動を推定する。
【0010】
同様に,DE4438714A1は,出力制御するために,制御機能と監視機能を実施するための唯一のマイクロコンピュータが設けられた車両の駆動ユニットの制御方法と装置が開示されている。このマイクロコンピュータ内で少なくとも2つの互いに独立した平面が定められており,第1の平面は制御機能を実施し,第2の平面は監視機能を実施する。その場合に,シーケンスコントロールを質問−応答−プレイとして実施するアクティブなウォッチドッグを使用すると効果的である。
【0011】
【発明が解決しようとする課題】
しかしながら,従来技術に開示されている安全コンセプトにおいては,監視モジュールとプロセッサとの間の通信は,固定の時間ラスタにおいてプログラムシーケンスコントロールに同期して実施される。これは,上記従来技術における方法あるいはその装置が,所定の固定された監視ラスタに同期することを意味している。このため,例えば,監視ラスタに同期しない時点又はタイムラスタ(等間隔の時点の連続)で作動される安全上問題のある機能を,プログラムシーケンス監視あるいはプログラムシーケンスコントロールに取り入れることはできない。特に,散発的に作動される安全上問題のある機能(特に,安全上重要な散発的制御機能)は,監視できない。
【0012】
このように,従来においては,制御機能のプログラムシーケンスの完全で隙間のない監視を行うことができないという問題がある。
【0013】
したがって,本発明の目的は,全ての安全上問題のある機能の連続的で,完全な隙間のない監視を実行することが可能な新規かつ改良された車両の駆動シーケンス制御の監視方法及びその装置を提供することにある。
【0014】
【課題を解決するための手段】
上記課題を解決するため,本発明の第1の観点においては,制御ユニット内で制御機能が実施されると共に,前記制御機能を監視する監視機能が実施される,車両の駆動シーケンス制御の監視方法であって,以下のステップを有する:即ち,−監視モジュール(101)は,少なくとも1つの質問(F)を前記制御ユニット(100)に伝達し,−前記制御ユニット内には第1の監視機能(特にシーケンスコントロール(PAK))が設けられており,前記第1の監視機能(シーケンスコントロール)は前記質問(F)に対して予め設定された第2の時間ラスタにおいて,部分応答(TA3)を計算し,−前記制御ユニット(100)は,少なくとも1つの部分応答から前記監視モジュール(101)への応答(A)を形成し,−かつ前記応答(A)の形成は,予め設定された第1の時間ラスタで作動され,−前記制御ユニット(100)は,前記応答(A)を前記監視モジュール(101)に伝達し,前記監視モジュール(101)は,前記応答(A)に従って制御機能の実施に関するエラーを認識し,−その場合に,前記第1の時間ラスタと前記第2の時間ラスタが相互に非同期である,ことを特徴とする車両の駆動シーケンス制御の監視方法が提供される。
【0015】
上記記載の発明では,相互の時間的監視を可能にするために,監視モジュールとプロセッサとの間の通信は独立した時間基準に基づいている。さらに,与えられた監視ラスタに対して,あるいはプログラムシーケンスコントロールの時間ラスタに対して非同期であるので,全ての安全上問題のある機能の連続的で,完全で隙間のない時間的及び機能的な監視をおこなうことができる。したがって,特に散発的に作動される安全上問題のある機能も監視することができる。なお,機能は散発的であるとは,機能の作動のための上方と下方の時間限界が示されることをいう。
【0016】
また,前記質問(F)は,前記応答形成の作動の前記第1の時間ラスタにおいて伝達される,如く構成すれば,2つの時間ラスタの独立性(即ち,非同期性)によって,応答形成を,予め設定された固定の第1の時間ラスタにおいて作動される。
【0017】
また,前記質問(F)は,予め設定された第3の時間ラスタにおいて伝達される,如く構成すれば,第1及び/又は第2の時間ラスタに依存しない第3の時間ラスタにおいて伝達されるので,時間基準の独立性によって,質問としてほぼランダムな検査ワードをプログラムシーケンス監視の部分応答の計算に取り入れることができる。したがって,プログラムシーケンス監視の変化する部分応答が生成され,監視される機能,特に制御機能の実際の処理が保証される。変化する検査ワード(質問)の取込みなしでは,一定の値における部分応答をそのままにするプロセッサエラーがプログラムシーケンス監視を無効にしてしまうことがありるが,本発明では,質問を取り込むことにより,かつその中で誤った部分応答が初期値として次の部分応答形成に引き継がれるエラー状態のループ通過により,効果的に防止される。
【0018】
また,前記質問(F)は,イベント制御されて伝達される,如く構成すれば,質問はイベント制御され,例えば機能の呼出しによって作動される。
【0019】
また,前記制御機能は,前記制御ユニットの第1の機能平面において実施され,前記監視機能は,前記制御ユニットの第2の機能平面及び第3の機能平面において実施され,その場合に,少なくとも前記第1の機能平面と前記第2の機能平面は,エラーが認識されない間,相互に独立している,如く構成すれば,冗長なデータパスが提供される。
【0020】
また,前記第1の機能平面の制御機能から,少なくとも1つの監視領域が,駆動シーケンスの制御の経過時間に対して一定のシーケンスを形成する選択可能な機能が前記少なくとも1つの監視領域内にまとめられるように,形成される,如く構成するのが効果的である。監視領域を使用して部分応答が形成されるので,監視領域は検査デートあるいは質問によりさらに時間的に監視される。これは,監視領域が監視ラスタの内部で少なくとも1回作動されるからである。このことにより,システム過負荷の場合には部分応答は正しい時間に形成されないので,このような誤った応答は,監視モジュールによりエラーあるいはエラー状態として検出することができる。
【0021】
また,前記少なくとも1つの監視領域は,前記第1の監視機能(シーケンスコントロール(PAK))に取り込まれ,かつ前記監視領域の作動は,前記第1の監視機能(シーケンスコントロール(PAK))に同期して行われ,かつ前記応答形成の作動に非同期で行われる,如く構成するのが好ましい。このように,監視ラスタと応答形成との間の非同期の関係において,安全上問題となる機能の完全かつ連続的な監視が効果的な方法で得ることができる。定められたエラー潜伏時間がプログラムシーケンス監視と応答形成との非同期性によって維持される。機能的に,プログラムシーケンスが正しいことは,機能呼出しの頻度が監視され,シーケンスとしての機能呼出しの頻度が監視され,1及び/又は複数の機能の,正しい開始と正しい終了を有する正しい経過により保証されている。
【0022】
また,前記応答(A)は,前記第3の機能平面において,前記制御ユニットの監視機能の部分応答から形成される,如く構成するのが好ましい。このとき,個々の部分応答を形成する相応する監視機能は,任意の機能平面に含めることができる。
【0023】
また,前記第1の監視機能(シーケンスコントロール)内で,少なくとも1つのテストワード(TW1,TW2,TW3,TW4)が生成され,前記テストワードは,前記少なくとも1つの監視される制御機能の作動の数を示すカウンタと,少なくとも1つの監視される制御機能を同定する識別子からなる,如く構成するのが好ましい。
【0024】
また,チェックサム計算が,ジェネレータ多項式によって,前記少なくとも1つのテストワード(TW1,TW2,TW3,TW4)に対して質問(F)が供給されるように,あるいは質問が存在しない場合には定数が供給されるように,実施され,結果が部分応答として応答形成に利用される,如く構成するのが好ましい。
【0025】
また,前記供給される定数は,プログラムシーケンスにエラーがある場合に,結果がチェックサム計算の初期値に正確に一致するように選択される,如く構成するのが好ましい。
【0026】
また,プログラムシーケンスにエラーがあり,かつ定数が供給された場合に,前記結果は,チェックサム計算の最初の初期値とは異なる,如く構成するのが好ましい。
【0027】
また,前記結果が再び次のチェックサム計算の初期値としてさらに使用されて,1回エラーがあったプログラムシーケンスも誤った結果として最終的な評価まで認識可能であり続ける,如く構成するのが好ましい。
【0028】
上記課題を解決するため,本発明の第2の観点においては,制御機能が実施される制御ユニット(100)と,制御機能を監視する監視機能が共に実施される,少なくとも第1の手段が設けられている監視モジュール(101)とを有する,車両の駆動シーケンス制御の監視装置であって,−前記監視モジュール(101)は,少なくとも1つの質問(F)を前記制御ユニット(100)に伝達する第2の手段を有しており,−前記第1の手段は,第1の監視機能(特にシーケンスコントロール(PAK))を実施し,その場合に前記第1の手段は,予め設定された第2の時間ラスタにおいて,前記質問(F)に対して部分応答(TA3)を計算し,−前記制御ユニット(100)は,少なくとも1つの部分応答から前記監視モジュール(101)への応答(A)を形成する第3の手段を有しており,その場合に,前記第3の手段は予め設定された第1の時間ラスタにおいて応答(A)の形成を作動させ,−前記制御ユニット(100)内の第4の手段が,前記応答(A)を監視モジュール(101)に伝達し,かつ−前記監視モジュール(101)内に,前記応答(A)に従って制御機能の実施に関するエラーを認識する第5の手段が設けられており,−前記第1の手段は第2の時間ラスタで,前記第3の手段は第1の時間ラスタで相互に非同期で作動する,車両の駆動シーケンス制御の監視装置が提供される。
【0029】
上記記載の発明では,相互の時間的監視を可能にするために,監視モジュールとプロセッサとの間の通信は独立した時間基準に基づいている。さらに,与えられた監視ラスタに対して,あるいはプログラムシーケンスコントロールの時間ラスタに対して非同期であるので,全ての安全上問題のある機能の連続的で,完全で隙間のない時間的及び機能的な監視をおこなうことができる。
【0030】
【発明の実施の形態】
以下に添付図面を参照しながら,本発明の好適な実施の形態について詳細に説明する。なお,本明細書及び図面において,実質的に同一の機能構成を有する構成要素については,同一の符号を付することにより重複説明を省略する。
【0031】
(第1の実施の形態)
まず,図1に基づいて,第1の実施の形態にかかる駆動シーケンスを監視する制御システムの構成について説明する。なお,図1は,本実施形態にかかる駆動シーケンス監視制御システムの構成を示すブロック図である。
【0032】
まず,図1に示すように,本実施形態にかかる駆動シーケンス監視制御システムは,制御ユニット100と監視モジュール101とを有する。制御ユニット100は,例えばプロセッサ,マイクロコンピュータなどである。かかる制御ユニット100は,入力データ(あるいは入力量)EGを受け取る。理解を容易にするために,入力量のソースは,ブロック102内に統合している。入力量は,車両における駆動シーケンスの範囲内で,センサ,アクチュエータ及び他の制御ユニットなどに由来し,例えばバスシステム又は各導線を介して制御ユニット100に供給される。
【0033】
内燃機関の制御の範囲内で,この入力量は,例えば運転者意図測定装置の,例えば運転者により操作可能な操作部材(例えばアクセルペダル)の位置を検出する位置検出機構の入力量(例えばペダル目標値)である。また,他の入力量は,例えば走行速度制御FGR又はエンジンドラッグトルク制御MSRの信号及び回転数信号などである。
【0034】
制御ユニット100の出力信号(あるいは出力量)AG1は,その後,アクチュエータ,出力段あるいは他の制御ユニットなどに供給される。これらは,理解を容易にするために,ブロック103に統合されている(上記入力量をブロック102に統合したのと同様である)。
【0035】
これら出力段(あるいはアクチュエータ)の接続は,ここでも各導線,バスシステム,例えばCAN(Controller−Area−Network)によりおこなうことができる。その場合に,入力量あるいは出力量は,各々,ワイヤレス接続とすることもできる。
【0036】
駆動ユニットの制御の範囲内で,かかる出力信号AG(AG1及び/又はAG2)は,例えば点火時点の制御信号,噴射時点の制御信号又は燃料調量の制御信号,あるいは好ましくは電気的に操作可能な絞り弁による空気供給の制御信号などが該当する。同様に,出力信号は,例えばホットフィルム空気質量計の信号によって示される空気質量又は点火角度とすることができる。
【0037】
本実施形態にかかる制御システムを使用して例えばブレーキシステムを制御する場合には,入力量として,走行速度制御の信号,好ましくは運転者により操作可能な操作部材(例えばブレーキペダル)の位置を検出する位置検出機構を有する運転者意図測定装置の信号などが設けられる。同様に,ブレーキシステムの範囲内で,車輪回転数信号のような入力信号を設けることもできる。他の制御の範囲内で,走行動特性制御の範囲内のヨーレート信号ESP,走行速度信号などとすることができる。
【0038】
一方,出力信号は,ブレーキシステムのアクチュエータ,例えば弁又はポンプなどの圧力供給手段のための操作信号などである。したがって,かかる制御は,例えばアンチロックブレーキングシステムABS,駆動スリップ制御ASR又は走行動特性制御ESP及びブレーキ作用及び/又は車両動作を制御する他の閉ループ制御あるいは開ループ制御などにおいて使用することができる。同様に,かかる制御システムは,トランスミッション制御,操舵制御において,例えばステア−バイ−ワイヤなどにおいて,各々,それに応じた好適な入力量と出力量を使用して実施することができる。
【0039】
導線(あるいは信号パス)109,110は,選択的であって,出力段ブロック103(例えば絞り弁出力段)への監視モジュールあるいは機能監視の「イネーブル信号」などを表している。
【0040】
なお,図1に示す制御システムは,一般的な制御システムを象徴的に示したものであって,車両に関する全ての駆動シーケンスを制御する場合に使用することができる。その場合に,制御ユニット100は,各々,上記のように,使用に従って区別できる制御装置ソフトウェア104を有している。通常,制御装置ソフトウェアは,3つの部分(いわゆる機能平面)105,107及び108を有しており,監視モジュールと協働して駆動シーケンスの制御の監視を実現する。
【0041】
相互の時間的監視を可能にするために,制御ユニット100内と監視モジュール101内の機能性は,相互に独立な異なる時間基準に基づいている。このため,例えば振動クォーツ,カウンタ回路,時計などの各種タイミング発生器が使用される。
【0042】
監視モジュール101は,プロセッサを,時間的及び機能的に監視するので,各種監視機能の質問F(検査ワード,検査デート)あるいは好適な部分ワードを使用して監視モジュールへの応答を形成する応答形成は,予め設定された固定のタイムラスタで作動される。但し,応答ラスタの所望の蓋然性検査においてのみ,異なる処理方法が考えられる。
【0043】
検査ワード,検査デート(あるいは質問F)自体は,例えば4ビット幅のデータワードであって,制御ユニット(機能計算機)100に伝達される。質問として,所定数(例えば16個)の検査ワードが,ほぼランダムに生成される。例えば制御ユニット100内で32ビットのビット幅で計算が行われる場合には,各々,4ビット幅のデータワードにおいて(2=16),232の可能性から16検査ワードあるいは16の付属の応答のみが妥当である。
【0044】
質問を使用して,様々な監視機能(特にプログラムシーケンスコントロールPAK)は,各種部分応答を形成する。この部分応答の形成は,唯一の監視ラスタ内で行うことができ,あるいは様々な時間ラスタ内で行うことができる。
【0045】
しかしながら,本実施形態においては,質問/応答−通信と監視機能(特にプログラムシーケンスコントロールPAK)の1つ又は複数の時間ラスタとの間に,時間的な結合は存在しない。このことにより,本実施形態にかかる方法,即ち,応答形成の作動が該当する監視時間ラスタに対して非同期で実施されることが達成される。
【0046】
本実施形態にかかる監視機能を含む制御装置ソフトウェア104は,上記のように,3つの機能平面で構成されている。このとき,第1の機能平面(ブロック105)は制御機能を有し,第2の機能平面(ブロック107)は監視機能(いわゆる機能監視)を有し,第3の機能平面(ブロック108)は監視モジュール101に応答Aを伝達するための応答形成を有する。
【0047】
監視機能は,本実施形態においては,第2の機能平面の以外に,第3の機能平面にも位置付けられている。なお,機能監視の範囲内で,監視すべき機能あるいはプログラム部分においては,制御機能と要素監視などのハードウェア監視機能との間の区別はない。
【0048】
これらの機能は,車両の駆動シーケンスを制御するための,いわゆる一次機能であって,以下においては制御機能に分類される。これら一次機能又はプログラム部分の監視と管理に使用される二次機能は,本実施形態における本来の監視機能である。
【0049】
内燃機関制御の場合には,第1の機能平面は,例えば全てのエンジン制御機能と,絞り弁センサ装置,絞り弁駆動装置のための要素監視と,例えば速度信号を検出するため,又はブレーキに関するセンサ装置のための要素監視も含む。また,駆動制御の場合には,例えば速度とブレーキに関する残りのドライブトレインの信号は,バスシステム例えばCANを介して第1の機能平面内で提供することができる。このように,第1の機能平面は,本実施形態においては,要素故障についての代替機能を有している。
【0050】
第2の機能平面(ブロック107)は,例えば,特に独立したパス(専用のRAMあるいはROM領域)を介しての運転者意図の認識を含んでいる。その場合に,ROMの保護は,プログラムモジュールあるいはプログラム部分又は機能の最初の処理と最後の処理の間でプログラムコードが正しいことを保証するために,所定領域内で別途に行われる。質問/応答−通信のプログラム部分は,保護すべきメモリ領域(特にROM領域)内にあってはならない。これは,エラーのある処理又は処理が実行されないことは誤った応答をもたらし,別の監視モジュールによって冗長なハードウェアとして認識されるからである。
【0051】
同様に,第2の機能平面は,例えば制御ストラテジーの範囲内でオブザーバーによって,エンジン変量からエンジン実際トルクを計算すること,及び運転者意図とエンジン実際トルクを永久的に蓋然化すること,さらに絞り弁出力段(DK電流なし)とSKA要請のための遮断パスを有している。同様に,第2の機能平面内に,部分結果,従って質問−応答−通信のための部分応答を計算するシーケンスコントロールされるプログラムモジュールを含めることができる。その場合にこれらのモジュールは,同様に,第3の機能平面(ブロック108)に含めることもできる。
【0052】
この第3の機能平面(ブロック108)は,機能計算機100の自己監視,例えば揮発性あるいは不揮発性メモリ領域(即ち,上記RAMとROM)のためのメモリテスト,指令テスト,ADCテスト及び少なくとも平面2のプログラムモジュールのプログラムシーケンスコントロールを含む(選択的に,第1の機能平面からの監視領域のプログラムシーケンスコントロールへの取込み)。同様に,第3の機能平面には,冗長な別のハードウェアとして設けられているにもかかわらずハードウェア監視モジュールが機能的に対応付けられており,このことにより,ランダムな質問を有する質問−応答−通信,RAMとROM領域のためのメモリテスト及び独立した遮断パステストを,監視モジュール(機能的な第3の機能平面)の一部として見なすことができる。
【0053】
同様に,第3の機能平面内には,機能計算機と監視モジュールの時間領域と値領域における相互の監視が設けられており,その場合に第3の機能平面内でシーケンスコントロールにエラーが確認された場合には,次のエラー反応を実施することができる。
【0054】
応答がない場合,あるいは応答が誤っている場合には,エラーディバウンス後に,エンジンのトルク生成を確実に阻止するエラー反応,例えばトルクを定める出力段(例えば噴射弁,点火,絞り弁)のオフが,冗長なハードウェア(監視モジュール)を介して実行される。その場合に,同様に,他のエラーストラテジーも考えられる。
【0055】
また,ブロック105内(即ち,第1の機能平面)において,複数の監視領域あるいは少なくとも1つの監視領域が形成される。監視領域と見なされるのは,所定の安全上問題のある機能あるいは制御機能及び/又は,応答内に取り込まれるべき,あるいは応答形成の際に利用される機能ハードウェアの部分領域(ブロック106)である。即ち,第1の機能平面の監視領域は,例えばペダル値発生器PWGの要素監視,又は絞り弁センサ装置の要素監視からなる。その場合に,1又は複数の監視領域は,同様に,プログラムシーケンス監視PAKに取り込まれ,第3の機能平面における全応答形成に部分応答を供給する。
【0056】
プログラムシーケンスコントロールに取り込まれる機能ソフトウェアの監視領域(ブロック106),即ち,第1の機能平面内の制御機能あるいは安全上問題のある機能は,質問を使用して部分応答を形成し,その部分応答は監視モジュールへの最終的な応答の形成に入り込む。かかる関係は,図1には,部分応答TA2として示されている。監視領域は,既に説明したように,純粋な機能監視によっては十分に取り入れられない安全上問題のある機能から構成されている。
【0057】
第2の機能平面(ブロック107)における機能監視は,第1の機能平面内で機能ソフトウェアの入力データと出力データを使用してこの機能ソフトウェアを監視するソフトウェアダイバーシティアルゴリズムである。その場合に,出力段あるいはアクチュエータへも供給される同一の出力データAG1が機能監視に引き継がれるか,あるいは異なる出力量AG2が機能監視に受け入れられるかは,機能性あるいは使用される監視機能に依存する。本実施形態においては,両方とも可能である。第2の機能平面(ブロック107)の機能監視は,同様に,第3の機能平面のプログラムシーケンスコントロールに取り入れられる。
【0058】
次に,図2に基づいて,本実施形態にかかる機能監視についてより具体的に説明する。なお,図2は,本実施形態にかかる駆動シーケンス制御の具体的な機能監視を示すブロック図である。
【0059】
まず,図2に示すように,入力量として,例えばペダル目標値EG1,FGR−信号(走行速度制御)EG2,MSR−信号(エンジンドラッグトルク制御)EG3及びEG4としての回転数が使用される。
【0060】
ブロック202では,機能F1として,ペダル目標値保護あるいはペダル目標値監視が行われる。ブロック203では,機能F2として,FGR−トルク介入保護あるいはトルク介入監視が行われる。ブロック204では,機能F3として,MSR−トルク介入保護あるいはトルク介入監視が行われる。ブロック205では,機能F4として,エンジン回転数が保護され,あるいは監視される。
【0061】
その後,これらのブロック202〜205からのデータに基づいて,ブロック200で,機能F5として,許容されるトルクが計算される。
【0062】
同様に,機能ソフトウェアの制御機能によって出力データあるいは出力量が機能監視へ引き渡される。この出力量AG2は,例えばAG2aとして,ホットフィルム空気質量測定器信号の形式の空気質量であり,例えばAG2bとして,点火角度である。したがって,ブロック207では,機能F8として,負荷信号が保護あるいは監視され,ブロック208では,機能F9として,点火角度が保護あるいは監視される。
【0063】
その後,ブロック206では,機能F7として,ブロック207,208の出力量から実際トルクが計算される。ブロック200(機能F5)及びブロック206(機能F7)に基づく変量よって計算されたトルクは,その後,ブロック201(機能F6)で突き合わされてトルクが比較される。本実施形態にかかる内燃機関制御の例においては,F1〜F10は,機能監視の機能を表している。
【0064】
ブロック209(機能F10)は,エラー反応監視である。各機能FR1〜FR7のエラー反応と回転数監視の値が,このエラー反応監視に取り入れられる。
【0065】
入力データと出力データによる機能監視は,例えば40msの監視サイクルT4で行われる。この時間T4後には,全ての監視機能(例えばF10,F20及びF40)が,固定された順序で少なくとも1回処理されている。
【0066】
このサイクルに,例えば時間ラスタT1(例えば10ms)の機能F10,時間ラスタT2(例えば20ms)の機能F20,時間ラスタT4(例えば40ms)の機能F40のように,様々な時間ラスタの監視機能も含めることができる。このことにより,時間ラスタT4(例えば40ms)に関して固定された周期的な順序が得られる。
【0067】
本実施形態においては,例えばF10(第1の10msラスタに応じて),F10,F20(第2の10msラスタに応じて),F10(第3の10msラスタに応じて)F10,F20,F40(第4の10msラスタに応じて)となる。
【0068】
さらに,監視領域の決定について再び詳細に説明する。安全上問題のあるプログラム部分のプログラムシーケンス及び/又は機能の監視は,連続的に行われるべきである。安全上問題のあるプログラム部分及び/又は機能と,その作動ラスタあるいは作動時点は,例えばシステム要請において決定される。したがって,これは,時間的なラスタであっても,イベント制御される時点であってもよい。
【0069】
プログラム部分について,経過時間に対して時間的及び動的に固定されたコントロールフローが示される場合には,機能を1つの監視領域内にまとめることができる。例えば2つの機能F1と機能F2との間のコントロールフローは,例えばF1,F2;F1,F2,F2;F1,F2,F1,F1,F2などのように,経過時間に対して一定のシーケンスが示される場合に,固定とみなされる。時間的な監視領域は,シーケンスの第2の機能の作動とシーケンスの最後の機能の終了との間の時間長さから得られる。
【0070】
それに対して,経過時間に対して監視される機能の間のコントロールフローが変化する場合(即ち,例えば2つのプログラム部分について1つの時点でF1,F2又はF2,F1が成立する場合)には,機能あるいはシーケンスは,各種監視領域に分割される。各監視領域について,冗長なハードウェアの入力デートに対して部分応答が形成される。
【0071】
全ての監視領域の部分応答は,ハードウェア近傍のプロセッサテストの部分応答と,例えばXOR指令を介して結合される。即ち,例えば機能監視から少なくとも1つの部分応答TA1又はさらに機能ソフトウェアの監視領域からの部分応答TA2(図1に示すブロック106)が応答形成に引き渡される。
【0072】
プロセッサを時間的に監視するために,応答形成自体が,予め設定された固定のラスタで作動される。できるだけ質問に依存するプログラムシーケンスコントロールあるいはプログラムシーケンス監視PAKを可能にするために,質問(即ち,検査デートあるいは検査ワード)が監視領域の監視の最後に部分応答形成に取り込まれる。もたらされた部分応答(TA1あるいはTA2)は,図1に示すブロック108で応答形成に取り込まれる。
【0073】
次に,図3に基づいて,部分応答から応答を形成する工程を説明する。なお,図3は,本実施形態にかかる制御ユニットと監視モジュールを示すブロック図である。
【0074】
まず,図3に示すように,質問Fが,監視モジュール101から機能計算機(制御ユニット)100に伝達される。この検査ワード(質問)は,その後,種々の機能平面及び/又は監視領域内で部分応答形成に利用することができる。
【0075】
第2の機能平面(ブロック107)は,入力量EGを得る。かかる入力量は,まず,入力信号を引き受けるブロック107aに供給されて,その後ブロック107b内の本来の機能監視に伝達される。その後,ブロック107cで,エラー反応出力がエラー反応FRと結合される。上記ブロック107a〜107cは,機能F1,F2などに関する機能監視に相当する。その場合に,各モジュール107a〜107cは,プログラムシーケンスコントロールPAKに結合されている。
【0076】
本実施形態においては,このプログラムシーケンスコントロールは,第3の機能平面(ブロック108)のブロック300に位置付けられており,それが破線で示されている。したがって,ブロック300におけるこのプログラムシーケンスコントロールPAK内で,部分応答TA3が形成される。
【0077】
同様に,ブロック301では,部分応答TA4が形成される。ブロック301は,例えば予め既に挙げた指令テストに相当し,その指令テストにおいては質問固有のテストデータを用いて応答形成のための応答分担TA4が準備される。例えば既に説明したメモリテストが,他のブロック303として,第3の機能平面に含まれている。その後,ブロック302では,取り入れられた部分応答TA3,TA4から監視モジュールのための応答全体Aが形成される。既に説明したように時間的な監視の理由から,応答形成の作動は,監視ラスタに対して非同期の時間ラスタにおいて行われる。
【0078】
したがって,質問/応答−通信とプログラムシーケンスコントロールPAKとの間には,時間的な結合は存在しない。プログラムシーケンスコントロールのプログラムモジュールは,固定の順序に応じて所定の時間ラスタ(例えば10ms)で,周期的に処理される。例えば40ms後には,PAK−サイクルは終了しており,プログラムシーケンスコントロールの全てのプログラムモジュールは少なくとも1回通過されている。質問/応答−通信も,同様の固定の時間ラスタ(例えば10ms)で処理される場合には,状態制御は非同期性を保証する。
【0079】
したがって,質問/応答−通信のためのプログラムモジュールは,例えば早すぎる,遅すぎるなどの異なる出力時点によって,監視モジュールを監視するための状態制御を有する。出力時点あるいは伝達時点によって,監視モジュールの新しい監視サイクルが開始され,固定の時間ウィンドウに的中させるためには,質問/応答−通信はその監視サイクルに各々新たに同期しなければならない。このことにより,質問/応答−入/出力時点は,プログラムシーケンスコントロールPAKに対して浮動状態にされる。
【0080】
PAK−プログラムモジュールは,順番に処理される。各プログラムモジュール内で,開始オペレーションと閉鎖オペレーションが実施されて,完全なモジュールあるいは機能シーケンスが監視される。開始オペレーションにおいては,テストワードが形成される。このテストワードは,各々PAK−サイクル(例えば40ms)毎のモジュール呼出しの数を検出するモジュール呼出しカウンタとモジュール固有の定数から構成される。テストワードフォーマットは,例えば32ビットのデータ幅を有しており,例えばビット31−27が各々PAK−サイクル当たりのモジュール呼出しカウンタに相当し,ビット26−0がモジュール固有の定数に相当する。
【0081】
閉鎖オペレーションにおいては,開始オペレーションにおいて形成されたテストワードによって,検査及びテスト合計計算が実施される。このチェックサム計算は,例えばMISR(multiple input signature register)チェックサム方法において行われる。完全なPAK−サイクルの経過後に,結果としてCRC−チェックサムがレジスタ,特にシグネチャーレジスタに書き込まれる。
【0082】
PAK−サイクルの間に新しい質問が発生しなかった場合には,MISR−方法によるこのチェックサムに,他の定数が加算される。かかる定数は,通過にエラーがなかった場合には結果が初期値に一致するように定められている。この結果によって,次のPAK−サイクルはMISR−方法で加算される。プログラムシーケンスにエラーがある場合には,結果は初期値に一致しないので,以降の正しいプログラムシーケンスにおいても,エラーがループ通過されて,次の応答計算に入り込む。
【0083】
PAK−サイクルの間に新しい質問が生じた場合には,MISR−方法によって定数の代わりに質問が加算されて,結果が部分応答として,例えばレジスタ,部分応答レジスタに格納される。同時に,上記シグネチャーレジスタが初期値にリセットされて,質問がリセットされ,次のPAK−サイクルが続行される。このことにより,質問固有の結果がPAK−部分応答に含まれる。
【0084】
PAKの部分応答TA3は,例えば指令テストの部分応答TA4と共に応答形成のブロック302において応答デコーダに供給され,その応答デコーダはそれに基づいて監視モジュール101のための応答Aを形成する。PAK300と指令テスト301に基づく部分応答が正しい場合には,正しい応答が,そうでない場合にはエラーとして認識可能な応答が準備されて,その後伝達される。
【0085】
次に,図4に基づいて,本実施形態にかかる監視されるプログラムシーケンスついて説明する。なお,図4は,本実施形態にかかる監視されるプログラムシーケンスを具体的に示す説明図である。
【0086】
図4に示すように,質問/応答−通信とPAKの非同期の結合及び異なる時間ラスタにおいて,プログラムシーケンスあるいは機能の連続的な完全な監視が実現される。シーケンスコントロールPAKは,安全上問題のある重要なプログラム部分及び/又は機能が所定の時間ラスタで,かつ定められた順序で周期的に通過されることを保証する。
【0087】
この方法が,二重に形成されたプログラムコード部分の一方のプログラムコード部分が他方の多重実施により入れ替わり置換されたことや,プログラムコード部分を飛び越したことも認識することが保証される。これは,各プログラムモジュールあるいは各安全上問題のあるプログラムコード部分及び/又は各安全上問題のある機能が,最初と最後にテスト個所を有していることによって達成することができる。
【0088】
全ての場合を各種時間ラスタに関してカバーするためには,特に監視領域の,機能の作動に関して高速のラスタと低速のラスタが区別されなければならない。
【0089】
したがって,監視領域が応答形成に対してより高速の時間ラスタあるいは同一の時間ラスタで作動される場合には,各監視サイクルにおいて応答を形成できることが保証されると言える。同様に,質問が監視ラスタの範囲内で正しい時期に存在する限りにおいて,イベント制御される質問設定にも当てはまる。
【0090】
この場合,即ち,より高速又は同一の時間ラスタにおいては,監視領域の作動あるいはそれからもたらされる部分応答が応答形成に取り入れられる。応答形成への取込みによって監視領域の時間的な監視が保証される。システム過負荷の場合には,部分応答はもはや正しい時期には形成されない。このような誤った応答は,監視モジュールによって検出される。したがって,監視時間ラスタ内で応答形成の作動の内部で,監視領域が少なくとも一度作動されたことが,保証される。かかる簡略化されたデッドライン監視は,非常に多くの安全上問題のある使用にとって十分である。
【0091】
監視領域が応答形成に比較して低速の時間ラスタで作動され,あるいは応答形成に取り入れることができない程に質問設定が非常に遅く行われる場合には,各監視サイクル内でこれに関する実際の部分応答を考慮することはできない。その場合に,応答形成のための時間長さはdantwortであって,監視領域の計算のための時間長さはdbereichであり,その場合に
dbereich>dantwort
が成立する。
即ち,時間長さ
n*dantwort,(但し,n*dantwort>2*dbereich)
の内部で部分応答形成が可能である。
【0092】
したがって,部分応答が存在しない応答形成の監視サイクル内では,最後の有効な部分応答を使用することができる。当然ながら,nサイクル後に部分応答が存在しなければならないことは保証されている。その場合に,部分応答は,監視に取り入れられる。監視領域が散発的に作動される場合には,その上方の時間制限は,応答形成を有する同期化の設計とみなされる。したがって,この場合も,上記の場合と同様である。
【0093】
番号は,各機能及び/又は各プログラムモジュールを表している。例えば32ビット幅のテストワードを選択した場合には,0〜26の範囲内にある。その場合に,機能の番号付与と順序関係の間に関係があってはならない。この順序関係については,後に詳細に説明する,上記説明したようにチェックサムアルゴリズム(例えばMISR)を介して保証される。当然ながら,各機能には,一義的な番号が割り当てられなければならない。
【0094】
また,図4には,ブロック400における機能iとブロック403における機能i+1についてのシーケンスが示されている。その場合に,アルゴリズムは,以下のように変換される。
【0095】
テストワードフォーマットあるいはテストワードは,作動の実際の数をカウントするカウンタ(モジュール呼出しカウンタ,上方のm−ビット)とステータスワード(モジュール固有の定数,下方のk−ビット)から構成される。ステータスワード内で,機能の引き渡された実際の番号は,各々ビット−個所によって表される。したがって,テストワードは,m+kビットを有している。
【0096】
機能begin−checkにおいて,中間レジスタにステータスワードの,番号に対応するビット個所がセットされ,作動の数が増分される。ここに示すように,ブロック401においては,機能iについて,ブロック404においては機能i+1についてである。ブロック402とブロック405内の機能end−checkは,ステータスワードの,数に相当するビット個所を中間レジスタに新たにセットする。
【0097】
実際のチェックサムと中間レジスタの内容を使用して,チェックサムアルゴリズムによって新しいチェックサムが計算される。
【0098】
ブロック406のfinish−checkは,実際のチェックサムを補正値と,あるいは高速タイムラスタにおける監視においては,監視モジュールの検査ワードと結合する。
【0099】
上記チェックサム方法において,テストワードのシーケンスあるいは順序(TW1〜TW4)がジェネレータ多項式によって割り算される。
TW1 TW2 TW3 TW4 0:ジェネレータ多項式=余り
余りが計算に算入されると,以下のようになる:
TW1 TW2 TW3 TW4 余り:ジェネレータ多項式=0
【0100】
コードワードの入れ替え又は飛び越しは,上記テストワードフォーマットにおいてこの方法によって認識される。機能の二重形成あるいは機能の飛び越しを確実に発見するために,さらに,機能の作動の数がテストワード計算に取り込まれる。
【0101】
チェックサム計算方法は,例えば上記のように,MISR−方法(Multiple Input Signature Register)を使用することである。選択されたジェネレータ多項式として,同様に標準化された多項式,例えばCRC−32を使用することができる。
【0102】
一般に,エラーの場合には,誤ったチェックサムを形成することが保証されている,ジェネレータ多項式あるいは方法を使用することができる。このことは,提案されているチェックサム方法と提案されているジェネレータ多項式及び上記テストワードフォーマットについて満たされている。
【0103】
次に,図5及び図6に基づいて,本実施形態にかかる少なくとも1つの監視領域に関する高速及び低速のラスタによる監視について説明する。なお,図5は,少なくとも1つの監視領域に関する高速のラスタによる監視を示す説明図である。図6は,少なくとも1つの監視領域に関する低速のラスタによる監視を示す説明図である。
【0104】
まず,図5に示すように,高速のラスタの連続的な監視は,以下の方法により保証される。監視領域の実施の最後に新しいチェックサムあるいは監視モジュールからの質問が存在しない場合には,チェックサム計算のための補正値を使用して結果が形成される。結果は,監視領域を次に作動する際に,スタート値として使用される。監視領域の実施の最後に,新しい検査デートが存在する場合には,結果は検査データを使用して形成される。次の作動の際のスタート値としては,定数が使用される。
【0105】
この関係が,図5に示されている。エラー,例えば検査デートなし,質問なしの作動における過渡的なハードウェアエラーが発生した場合には,エラーは次の作動のための誤ったチェックサム形成とスタート値形成をもたらし,ついにはエラーによって誤ったスタート値に基づいて誤った部分応答が形成される。誤った部分応答は,監視モジュールへの誤った応答をもたらし,従ってエラー状態がループ通過される。
【0106】
一方,図6に示すように,低速の時間ラスタで作動される機能の監視については,この監視において検査デートあるいは質問との直接的な関係がないことがあり得る。これは,監視モジュールへの応答は,監視領域の実施の終了前に与えられなければならないからである。従って一定のスタート値と上述した余りによって,エラーのない場合には一定のチェックサム,例えば0×0が計算される。
【0107】
結果は,応答形成によって部分応答が要求されない場合には,次の作動のためのスタート値に加算される。そうでない場合には,エラーのない推移において一定の結果は,部分応答として返される。各応答形成において,新しい部分応答が計算されるまでは,プログラムシーケンス監視によって最後に形成された部分応答が使用される。このようにして,固定のエラー潜伏時間が保証される。
【0108】
上記のように,散発的に実施される機能においては,散発的な機能呼出しの上方の時間制限を用いて,従って上方の時間限制限応答形成の時間長さより小さいか,等しい場合において,及びそうでない場合(即ち,上方の時間制限が応答形成の時間長さよりも大きい場合)には,各々,上記図5及び図6との関連において説明した方法が使用される。したがって,監視ラスタと応答形成の間の非同期の関係における連続的な監視が,定められたエラー潜伏時間において可能となる。
【0109】
以上,本発明に係る好適な実施の形態について説明したが,本発明はかかる構成に限定されない。当業者であれば,特許請求の範囲に記載された技術思想の範囲内において,各種の修正例および変更例を想定し得るものであり,それらの修正例および変更例についても本発明の技術範囲に包含されるものと了解される。
【0110】
【発明の効果】
相互の時間的監視を可能にするために,監視モジュールとプロセッサとの間の通信は独立した時間基準に基づいている。さらに,与えられた監視ラスタに対して,あるいはプログラムシーケンスコントロールの時間ラスタに対して非同期であるので,全ての安全上問題のある機能の連続的で,完全で隙間のない時間的及び機能的な監視をおこなうことができる。したがって,特に散発的に作動される安全上問題のある機能も監視することができる。
【図面の簡単な説明】
【図1】第1の実施の形態にかかる車両の駆動シーケンス制御の監視モジュールを有する制御ユニットを示すブロック図である。
【図2】第1の実施の形態にかかる駆動シーケンス制御の具体的な機能監視を示すブロック図である。
【図3】第1の実施の形態にかかるプログラムシーケンスコントロールと指令テストに基づく部分応答から応答を形成することを示している。
【図4】第1の実施の形態にかかる監視されるプログラムシーケンスを具体的に示す説明図である。
【図5】プログラムシーケンスコントロールあるいはプログラムシーケンス監視と,高速のラスタにおいて作動される機能についての監視モジュールへの応答形成を示す説明図である。
【図6】プログラムシーケンスコントロールあるいはプログラムシーケンス監視と,低速のラスタにおいて作動される機能についての監視モジュールへの応答形成を示す説明図である。
【符号の説明】
100 制御ユニット
101 監視モジュール
104 制御装置ソフトウェア
109,110 信号パス

Claims (13)

  1. 制御ユニット内で制御機能が実施されると共に,前記制御機能を監視する監視機能が実施される,車両の駆動シーケンス制御の監視方法であって,
    以下のステップを有する:即ち,
    −監視モジュールは,少なくとも1つの質問を前記制御ユニットに伝達し,
    −前記制御ユニット内には、第1の監視機能が設けられており、監視機能においてプログラムシーケンス制御のためのテスト合計(チェックサム)が実行されており、前記プログラムシーケンス制御は、
    −個々の監視機能(PAK)の固定された順序および実行を検出し、チェックサム結果を形成し、
    −個々の監視機能の順序が異なる場合、異なるチェックサム結果が形成され、
    −監視機能が誤作動する場合、異なるチェックサム結果が形成され、
    −更なる計算において、第2時間ラスタ(フレームワーク)で、前記制御ユニットのチェックサムの結果が、質問に対する部分応答 (TA3)を形成しており、
    −前記制御ユニットにおいて、更なる別のチェックサムが実行され、前記チェックサムは、質問に対してコマンドを正確に実行する際に、特定の部分応答を形成し、コマンドを誤って実行する際に、誤った部分応答を形成し、
    −前記制御ユニットは,少なくとも1つの部分応答から前記監視モジュールへの応答を形成し,
    −かつ前記応答の形成は,予め設定された第1の時間ラスタ(フレームワーク)内で行われ,
    −前記制御ユニットは,前記応答を前記監視モジュールに伝達し,前記監視モジュールは,前記応答に従って制御機能の実施に関するエラーを検知し,
    −前記第1の時間ラスタと前記第2の時間ラスタが相互に非同期であり、
    第2時間ラスタが誤って延長されたことが、第2時間ラスタと非同期である第1時間ラスタにおいて形成される誤った応答により検出され
    −第2時間ラスタは、別の独立した時間基準に調整されており、
    −第2時間ラスタの時間が、独立した時間基準を有する別の監視モジュールによって監視されていることを特徴とする車両の駆動シーケンス制御の監視方法。
  2. 前記質問は,前記応答が形成される前記第1の時間ラスタにおいて伝達される,
    ことを特徴とする請求項1に記載の車両の駆動シーケンス制御の監視方法。
  3. 前記質問は,予め設定された第3の時間ラスタにおいて伝達される,ことを特徴とする請求項1に記載の車両の駆動シーケンス制御の監視方法。
  4. 前記質問は,イベント制御されて伝達される,
    ことを特徴とする請求項1に記載の車両の駆動シーケンス制御の監視方法。
  5. 前記制御機能は,前記制御ユニットの第1の機能平面において実施され,
    前記監視機能は,前記制御ユニットの第2の機能平面及び第3の機能平面において実施され,
    少なくとも前記第1の機能平面と前記第2の機能平面は,エラーが認識されない間,相互に独立している,
    ことを特徴とする請求項1に記載の車両の駆動シーケンス制御の監視方法。
  6. 前記第1の機能平面の制御機能から,少なくとも1つの監視領域が選択され、駆動シーケンスの制御の実行経過時間に対して一定のシーケンスを形成する機能が前記少なくとも1つの監視領域内にまとめられる、
    ことを特徴とする請求項1に記載の車両の駆動シーケンス制御の監視方法。
  7. 前記少なくとも1つの監視領域は,前記第1の監視機能に取り込まれ,かつ
    前記監視領域の作動は,前記第1の監視機能に同期して行われ,かつ前記応答形成の作動に非同期で行われる,
    ことを特徴とする請求項6に記載の車両の駆動シーケンス制御の監視方法。
  8. 前記応答は,前記第3の機能平面において,前記制御ユニットの監視機能の部分応答から形成される,
    ことを特徴とする請求項1又は5に記載の車両の駆動シーケンス制御の監視方法。
  9. 前記第1の監視機能内で,最初に少なくとも1つのテストワードが生成され,
    前記テストワードは,前記少なくとも1つの監視される制御機能の動作の数を示すカウンタと,前記少なくとも1つの監視される制御機能を同定する識別子とからなり、
    前記テストワードがチェックサム計算に含まれて計算されることを特徴とする請求項1に記載の車両の駆動シーケンス制御の監視方法。
  10. チェックサム計算が,ジェネレータ多項式によって,前記少なくとも1つのテストワードに対して質問が供給されるように,あるいは質問が存在しない場合には定数が供給されるように,実施され,
    結果が部分応答として応答形成に利用される,
    ことを特徴とする請求項9に記載の車両の駆動シーケンス制御の監視方法。
  11. 前記供給される定数は,プログラムシーケンスにエラーがある場合に,結果がチェックサム計算の初期値に正確に一致するように選択される,ことを特徴とする請求項10に記載の車両の駆動シーケンス制御の監視方法。
  12. プログラムシーケンスにエラーがあり,かつ定数が供給された場合に,前記結果は,チェックサム計算の最初の初期値とは異なる,
    ことを特徴とする請求項10に記載の車両の駆動シーケンス制御の監視方法。
  13. 前記結果が再び次のチェックサム計算の初期値としてさらに使用されて,1回エラーがあったプログラムシーケンスも誤った結果として最終的な評価まで認識可能であり続ける,
    ことを特徴とする請求項10に記載の車両の駆動シーケンス制御の監視方法。
JP2002168436A 2001-06-08 2002-06-10 車両の駆動シーケンス制御の監視方法及びその装置 Expired - Fee Related JP4391724B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE10127833.0 2001-06-08
DE10127833 2001-06-08
DE10205809.1 2002-02-13
DE10205809A DE10205809A1 (de) 2001-06-08 2002-02-13 Verfahren und Vorrichtung zur Überwachung der Steuerung von Betriebsabläufen bei einem Fahrzeug

Publications (2)

Publication Number Publication Date
JP2003131734A JP2003131734A (ja) 2003-05-09
JP4391724B2 true JP4391724B2 (ja) 2009-12-24

Family

ID=26009489

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002168436A Expired - Fee Related JP4391724B2 (ja) 2001-06-08 2002-06-10 車両の駆動シーケンス制御の監視方法及びその装置

Country Status (2)

Country Link
US (1) US6580974B2 (ja)
JP (1) JP4391724B2 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10163655A1 (de) * 2001-12-21 2003-07-03 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung einer Funktionseinheit eines Kraftfahrzeugs
DE10352172A1 (de) * 2003-11-05 2005-06-09 Robert Bosch Gmbh Verfahren und Vorrichtung zur Anpassung von Funktionen zur Steuerung von Betriebsabläufen
EP1723518A1 (de) * 2004-03-09 2006-11-22 Bayerische Motorenwerke Aktiengesellschaft Aktualisierung und/oder erweiterung der funktionalität der ablaufsteuerung mindestens eines steuergeräts
DE102006028695B4 (de) * 2005-06-23 2017-11-30 Denso Corporation Elektronisches Steuersystem mit Fehlfunktionsüberwachung
EP1897214A2 (en) * 2005-06-30 2008-03-12 Siemens VDO Automotive Corporation Controller method, apparatus and article suitable for electric drive
EP2086104B1 (de) * 2008-01-29 2015-08-12 Ebm-Papst St. Georgen GmbH & CO. KG Elektronisch kommutierter Motor
DE102008009652A1 (de) * 2008-02-18 2009-08-27 Robert Bosch Gmbh Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
JP4454672B2 (ja) 2008-06-13 2010-04-21 三菱電機株式会社 監視制御回路を有する車載電子制御装置
DE102008029446A1 (de) * 2008-06-20 2009-12-24 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur Steuerung von Funktionen in einem Kraftfahrzeug mit benachbart liegenden Bedienelementen
DE112010004085A5 (de) * 2009-12-18 2012-10-25 Conti Temic Microelectronic Gmbh Überwachungsrechner in einem Steuergerät
JP6140448B2 (ja) * 2009-12-18 2017-06-07 コンティ テミック マイクロエレクトロニック ゲゼルシャフト ミット ベシュレンクテル ハフツングConti Temic microelectronic GmbH 制御装置内の監視構想
DE102010002478A1 (de) * 2010-03-01 2011-09-01 Robert Bosch Gmbh Verfahren zum Bereitstellen eines zulässigen Sendezeitpunkts für die Antwort bei einer Frage-/Antwort-Kommunikation zwischen einem Überwachungsmodul und einem Funktionsrechner
DE102010041003A1 (de) * 2010-09-20 2012-03-22 Sb Limotive Company Ltd. Verfahren zum Überwachen von mindestens zwei Mikrocontrollern
DE112011102938A5 (de) 2011-01-21 2013-07-18 Continental Automotive Gmbh Schaltungsanordnung mit Überwachungseinrichtung
JP5549665B2 (ja) * 2011-12-28 2014-07-16 株式会社デンソー 車両制御装置及びソフトウェア部品
US9058419B2 (en) * 2012-03-14 2015-06-16 GM Global Technology Operations LLC System and method for verifying the integrity of a safety-critical vehicle control system
JP6131688B2 (ja) * 2013-04-11 2017-05-24 富士電機株式会社 安全関連装置、そのプログラム
US11036573B2 (en) * 2019-05-16 2021-06-15 Ford Global Technologies, Llc Control processor unit (CPU) error detection by another CPU via communication bus
US10936397B2 (en) * 2019-05-23 2021-03-02 Ford Global Technologies, Llc Hybrid control module status communication system and method

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5120982A (en) * 1989-11-14 1992-06-09 Ford Motor Company Fault correcting circuit
DE4114999C2 (de) 1991-05-08 2001-04-26 Bosch Gmbh Robert System zur Steuerung eines Kraftfahrzeuges
DE4438714A1 (de) 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
DE19500188B4 (de) 1995-01-05 2006-05-11 Robert Bosch Gmbh Schaltungsanordnung für eine Bremsanlage
DE19709319A1 (de) * 1997-03-07 1998-09-10 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung eines Fahrzeugs
DE19709317B4 (de) * 1997-03-07 2008-04-30 Robert Bosch Gmbh Verfahren und Vorrichtung zur Steuerung eines Fahrzeugs
DE19826131A1 (de) 1998-06-12 1999-12-16 Bosch Gmbh Robert Elektrisches Bremssystem für ein Kraftfahrzeug
US6292718B2 (en) * 1999-01-28 2001-09-18 International Business Machines Corp. Electronic control system

Also Published As

Publication number Publication date
JP2003131734A (ja) 2003-05-09
US6580974B2 (en) 2003-06-17
US20020198638A1 (en) 2002-12-26

Similar Documents

Publication Publication Date Title
JP4391724B2 (ja) 車両の駆動シーケンス制御の監視方法及びその装置
KR102586265B1 (ko) 중복 휠 속도 감지를 위한 시스템들 및 방법들
US7269762B2 (en) Method for mutual monitoring of components of a distributed computer system
US7286921B2 (en) Vehicle control system for executing a series of processes in electronic control units
US6008604A (en) Electric motor wheel brake for vehicle
US8494708B2 (en) Good checking for vehicle yaw rate sensor
US8401730B2 (en) Good checking for vehicle lateral acceleration sensor
US10023164B2 (en) Validating automotive safety functions
JPH05147477A (ja) 自動車の制御装置
US7418316B2 (en) Method and device for controlling operational processes, especially in a vehicle
US20110071723A1 (en) Good checking for vehicle brake light switch
JP2002529314A (ja) 電気操作可能な駐車ブレーキを制御する装置と方法
US7437218B2 (en) Method and device for controlling the functional unit of a motor vehicle
JP2004518578A (ja) 分配された安全上重要なシステムのコンポーネントの駆動方法
JP3578638B2 (ja) マイコン用メモリの診断装置
US5448480A (en) Fail-safe operation via controller redundancy for steering the back wheels of a road vehicle
US6285933B1 (en) Device and method for monitoring a transverse acceleration sensor located in a vehicle
EP1308811A2 (en) Electronic control device having control and monitoring CPUS
US8160779B2 (en) Monitoring device for the function of an electronic control device, and method for this purpose
CN105313880B (zh) 具有至少两个驱动执行器和提高的失效安全性的机动车
JP2005291173A (ja) 車両制御システム
JPH08247011A (ja) 自動車の電子制御装置
JPH11141391A (ja) 自動車用制御装置
JP6341069B2 (ja) 電子制御装置
JP4349276B2 (ja) 異常判定システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050603

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070807

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20071107

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20071112

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20071207

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20071213

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080107

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080205

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080507

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20080513

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080605

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20080610

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080707

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20080715

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080805

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080909

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090107

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090210

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090511

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090515

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090610

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090615

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090811

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090818

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090908

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091008

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121016

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4391724

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131016

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees