JPH07506912A - 電子制御装置における障害処理方法および装置 - Google Patents
電子制御装置における障害処理方法および装置Info
- Publication number
- JPH07506912A JPH07506912A JP5507253A JP50725393A JPH07506912A JP H07506912 A JPH07506912 A JP H07506912A JP 5507253 A JP5507253 A JP 5507253A JP 50725393 A JP50725393 A JP 50725393A JP H07506912 A JPH07506912 A JP H07506912A
- Authority
- JP
- Japan
- Prior art keywords
- program
- value
- signal
- microcomputer
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B62—LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
- B62D—MOTOR VEHICLES; TRAILERS
- B62D7/00—Steering linkage; Stub axles or their mountings
- B62D7/06—Steering linkage; Stub axles or their mountings for individually-pivoted wheels, e.g. on king-pins
- B62D7/14—Steering linkage; Stub axles or their mountings for individually-pivoted wheels, e.g. on king-pins the pivotal axes being situated in more than one plane transverse to the longitudinal centre line of the vehicle, e.g. all-wheel steering
- B62D7/148—Steering linkage; Stub axles or their mountings for individually-pivoted wheels, e.g. on king-pins the pivotal axes being situated in more than one plane transverse to the longitudinal centre line of the vehicle, e.g. all-wheel steering provided with safety devices
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/076—Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1633—Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2017—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where memory access, memory control or I/O control functionality is redundant
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Steering Control In Accordance With Driving Conditions (AREA)
- Steering-Linkage Mechanisms And Four-Wheel Steering (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
(57)【要約】本公報は電子出願前の出願データであるため要約のデータは記録されません。
Description
【発明の詳細な説明】
電子制御装置における障害処理方法および装置従来の技術
本発明は、請求の範囲第1項の上位概念による電子制御装置における障害処理の
ための方法および装置に関する。電子制御装置における障害処理のための方法お
よび装置はドイツ連邦共和国特許公開第3825280号公報から公知である。
この制御装置は例えば自動車におけるリアアクスル−操舵機構の制御のために設
けられている。この装置では障害が発生した場合に備えて2つの緊急作動手段が
鰻けられている。比較的重大な障害の場合には最後に調整された位置に後輪を保
持する、すなわち障害の発生する直前に調整された位置に後輪を保持する緊急作
動手段が実行される。また比較的軽度の障害の場合には、変位された後輪を所期
のように有限の速度でゼロ位置へ戻す緊急動作手段が実行される。
発明の利点
請求の範囲第1項に記載の本発明による方法は次のような利点を有する。すなわ
ち比較的軽い障害の場合にも、調整部材に対する調整値が主プログラムと同じよ
うに算出され続ける緊急作動プログラムが開始される利点を有する。この調整値
は、緊急作動プログラムの実行の開始と共に時間的に小さくなる係数で乗算され
る。それによって調整部材の調整振幅特性の緩慢な減衰が生ぜしめられる。すな
わち調整部材の変位状態から調整部材のニュートラルポジションへの滑らかな移
行が起こる。これによって比較的軽い障害の際に制御特性の急激な変化を引き起
こすことなく調整部材の制御がソフトに中断され得るものとなる。特に自動車の
後輪操舵機構の制御の場合には緊急作動状態における後輪操舵機構のソフトな遮
断がより確かなものとなる。なぜならこのような場合では車両の走行特性が突然
に変化しないからである。
本発明の有利な実施例は従属請求項に記載される。
特に有利には、検出された廃信器信号の整合性チェックに対して、当該の検出さ
れた発信器信号が所定の値で許容信号領域の超過について検査される、および/
または検出された発信器信号が、さらに設けられた冗長的発信器によって検出さ
れた発信器信号と比較される。これによってどの発信器が欠陥を有しているのか
についての判断が多くの場合において明確となり、さらにその場合の適切な緊急
作動手段が実施され得るようになる。
有利には、検出された発信器信号の整合性チェックに対して当該検出された発信
器信号の変化率が所定の特性員に依存して所定の値と比較される。この手法によ
り障害を早期時点で既に識別することが可能となる。
それによってさらに適切な緊急作動手段が早期に実施されるようになる。
有利には、検出された発信器信号の整合性チェックに対して当該発信器検出信号
が、等価値の情報が供給される発信器の検出信号から導出された値と比較される
。これにより当該発信器に対して冗長的な発信器が何も設けられていなくても、
1つの発信器に対する障害のより確かな識別が可能となる。
さらに有利には、整合性チェックの際に、識別された障害(エラー)の数が所定
の値と比較され、この場合具なる障害が同一の障害原因に基づく場合には当該の
障害が計算に含まれ、また識別された障害の数が所定の値に達した場合に初めて
緊急作動プログラムのうちの1つが実行される。障害識別が繰り返された後で初
めて緊急作動プログラムが実行されることは、例えばEMV−障害等のような短
時間の障害による不必要な緊急作動プログラムの実行が回避され得る。同一の障
害原因に帰属させるべき種々異なる障害を算入することは、関係のない異なった
障害のみの障害評価の場合よりも早期に緊急作動手段の導入が可能となる。
所定の時間の経過後の第2の緊急作動プログラムにおける安全装置の作動とアク
チュエータの制御の中断も同様に有利である。なぜならその後の制御系に対する
1つの確かな状態が達成され、マイクロコンピュータが例えば別のテストプログ
ラムと診断プログラムを実施し得るからである。制御装置が再び障害のない状態
として識別された後では、後輪操舵機構の投入接続をソフトに行うことも有利で
ある。これは算出された操舵振幅を主プログラムと同じような大きさまで緩慢に
増大させることによって行うことが可能である。
自動車の後輪の操舵角の制御のための装置に対しては、主プログラムの場合と同
じように調整値が算出される1つの緊急作動プログラムを設けることが有利であ
る。この調整値も同様に時間と共に小さくなる係数で乗算され、それによって調
整部材の調整振幅の緩慢な減衰が生せしめられる。
さらに有利には、調整部材の制御の急激な中断が行われる第1の緊急作動プログ
ラムが次のような場合に常時実行される。すなわち整合性チェックの際に、調整
部材の位置実際値用の正常に動作している発信器が何もない状態、および/また
はマイクロセンサによって算出された値が所定lを越えて偏移している状態を識
別した場合には常時実行される。この制御の速やかな中断はこのような場合には
、調整部材の被制御式調整移動に対して調整位置が必ず必要になるので有利であ
る。
整合性チェックの際に、正常に動作している操舵角用の発信器が何もない状態が
識別された場合には、有利には第3の緊急作動プログラムの実行が行われる。
この場合では制御系はまだ位置実際値についての制御能力を有している。それに
より良好な走行特性を達成するために調整部材のセツティングをニュートラルポ
ジションに戻すことがまだ可能である。
さらに有利には、後輪操舵機構の制御のための装置における2つのマイクロコン
ピュータに対して、異なる半導体構造および/またはさらなる違いを有する2つ
のマイクロコンピュータが用いられる。これにより2つのマイクロコンピュータ
において識別不能な障害の同時発生の確立が低減される。
さらに有利には、2つのマイクロコンピュータにおける識別不能障害の同時発生
を低減させるために、2つのマイクロコンピュータにおいて異なるプログラムが
設けられる。
図面
本発明の2つの実施例が図面に示されており、これらは以下の明細書で詳細に説
明される。
図1は、後輪操舵制御用の制御装置の概略図である。
図2は、第1のマイクロコンピュータにおいて実行するための主プログラムの簡
単なプログラム構造の第1実施例である。
図3は、第2のマイクロコンピュータにおいて実行するための主プログラムのプ
ログラム構造図である。
図4は、第1のマイクロコンピュータにおいて実行するための第1の緊急作動プ
ログラムのプログラム構造図である。
図5は、第2のマイクロコンピュータにおいて実行するための第1の緊急作動プ
ログラムのプログラム構造図である。
図6は、第1のマイクロコンピュータにおいて実行するための第2の緊急作動プ
ログラムのプログラム構造図である。
図7は、第2のマイクロコンピュータにおいて実行するための第2の緊急作動プ
ログラムのプログラム構造図である。
図8は、2つのマイクロコンピュータにおいて実行するための第3の緊急作動プ
ログラムのプログラム構造図である(これによりリアアクスル調整部の制御の中
断が達成される)。
図9は、第1のマイクロコンピュータにおいて実行するための主プログラムの構
造図の第2実施例である。
図10は、第2のマイクロコンピュータにおいて実行するための主プログラムの
構造図の第2実施例である。
図IIは、最初の障害の発生の際の調整部材の位置絶対値に対する2つの発信器
の信号経過図である。
図12は、第2の障害の発生の際の調整部材の位置絶対値に対する2つの発信器
の信号経過図である。
図13は、第3の障害の発生の際の調整部材の位置絶対値に対する2つの発信器
の信号経過図である。
図14は、第4の障害の発生の際の調整部材の位置絶対値に対する2つの発信器
の信号経過図である。
実施例の説明
図1には後輪操舵制御のための制御装置25の実施例が示されている。この図で
は符号5でマイクロコンピュータが示されている。このマイクロコンピュータ5
は、マイクロコンピュータの主要構成部として例えばRAMおよびROMメモリ
と、中央マイクロプロセッサと、入出力構成要素ならびにインターフェースlO
を有している。ROMメモリには主プログラムと緊急作動プログラムとが含まれ
ている。インターフェース10からはバス接続線路11が第2のマイクロコンピ
ュータ17のインターフェース12に接続されている。インターフェース10.
12を結ぶ2つのマイクロコンピュータの接続線路の代わりに、マイクロコンピ
ュータ5.17の所定のボート、シリアルインターフェースまたはデュアルポー
トRAMを2つのマイクロコンピュータ5.17の接続のために用いることも可
能である。これらも別のRAM及びROMメモリ、中央マイクロプロセッサ、お
よび入出力構成要素を含んでいる。この第2のマイクロコンピュータのROMメ
モリにも別の主プログラムと緊急作動プログラムが記憶されている。バス接続線
路11を介して当該2つのマイクロコンピュータ5,17はデータを交換するこ
とができる@2つのマイクロコンピュータ5,17内に唯1つのRAMメモリ構
成要素を設ける代わりに、2つのマイクロコンピュータ5,17にアクセス可能
なりP−RAM構成要素を用いることも可能である。
操舵角センサlの信号はフィルタ2を用いたフィルタリングとリミッタ3による
制限とA/D変換器4を用いたA/D変換の後でマイクロコンピュータ5に供給
される。車輪回転数センサ26の信号も、例えばフィルタ27とリミッタ28等
の種々異なる信号処理段を介してマイクロコンピュータ5に供給される。リアア
クスル調節器8の位置に対する距離検出器(センサ)13の信号は、フィルタ1
4およびリミッタ15およびA/D変換器16による処理の後でマイクロコンピ
ュータ17に供給される。
所属の信号連鎖を備えた別の発信器を2つのマイクロコンピュータ5.17に接
続することもできる。後輪操舵機構に適した発信器は例えば加速度センサ、別の
車輪回転数センサ、速度センサ、液圧系の温度および圧力の発信器ならびに操舵
角微調整用センサ等である。さらに安全上重要ないくつかのセンサ、例えば操舵
角センサlとリアアクスル調節部材8の位置に対する距離センサ13ならびに速
度センサ26等を2重に含むことも可能である。その他にも自動車の個々の制御
装置がバスシステム例えばCANバスによって相互に結合されている場合にはこ
の制御装置に供給される発信器信号をCAMパス線路を介して制御装置25にも
伝送することも可能である。
リアアクスル調節器8の調節移動のために平衡調整弁として構成された2つのア
クチュエータ7.31が設けられている。これらのアクチュエータには算出され
た調節値がマイクロコンピュータ5内の出力構成要素を介して出力段6,30に
よる増幅の後で供給される。リアアクスル調節器8のロックのために支持ブレー
キ9が設けられている。この支持ブレーキ9はマイクロコンピュータ5からの第
1の接続線路19とマイクロコンピュータ17からの第2の接続線路24とを介
して作動され得る。安全上の理由から液圧系においては遮断弁並びに検査弁も配
置され得る。これらの弁はマイクロコンピュータ5.17に接続され、系圧力の
中断を介して支持ブレーキを作動させる。マイクロコンピュータ5には接続線路
20を介してエラー表示ランプ21が接続され、さらにマイクロコンピュータ1
7には接続線路23を介して接続されている。2つの制御可能なリレー18.3
2は接続線路22と29を用いてマイクロコンピュータ5,17に接続されてい
る。それにより出力段6.30は供給電圧から分離可能である。
図1に示された後輪操舵制御のための装置の作用は図2〜図8に基づき以下に詳
細に説明される。後輪操舵の実施例は自家用車における4輪操舵システムに関す
るものである。この場合の前輪は通常の2輪操舵システムのように機械的装置を
用いて調節される。
リアアクスルの調整は走行速度と走行状況毎に、操舵輪の旋回操舵角に整合させ
なければならない、そのため例えば駐車に対しては、前輪と後輪を平行に調節す
るのが有利である。これに対して比較的小さな旋回円を得るためには前輪と後輪
とを異なる操舵方向に旋回させるのが有利である。また比較的速い走行速度での
走行ならびに後退する場合においてもリアアクスルの調整を旋回操舵角に応じて
異ならせて行わなければならない、従って走行状況毎に異なる算出基準が後輪操
舵機構の制御に用いられるべきである。
図2には示されているフローチャートはマイクロコンピュータ5の主プログラム
のシーケンスを表している。ステップ40においてパワーオン−リセットの後で
はマイクロコンピュータ5がその主プログラムの実行を開始する。それに続いて
プログラムステップ41では最初のステップとして初期化が行われる。
このステップには、例えばROM、RAM、EEFROM、Wa c h d
Og、接続されている弁、調整部材や支持ブレーキ等の当該マイクロコンピュー
タ5内に含まれているかまたはマイクロコンピュータ5に接続されている所定の
機能構成部の検査も含まれる。その後で、操舵角センサ1からの操舵角LWなら
びに接続された車輪回転数センサ26からの車輪回転数値U* A llがステ
ップ42及び43において読み込まれる。
プログラムステップ44においてはマイクロコンピュータ5によって距離検出器
13からのリアアクスル調節器8の位置実際値LGIITが読み込まれる。それ
に対しては2つのマイクロコンピュータ5,17の間でのデータ交換が必要であ
る。マイクロコンピュータ17がこの時点において当該の値をまだ検出していな
い場合にはマイクロコンピュータ5がまずいくつかの待機サイクルにおかれ、そ
の後でマイクロコンピュータ17の位置実際値が新たにめられなければならない
。
このようにして2つのマイクロコンピュータ5,17の同期化が達成される。そ
の後に続く間合わせでは読み込まれた発信器検出値が検査される。
計算機が発信器検出値のうちの1つにおいて障害の存在を識別した直後は、まだ
障害の原因ははっきりしていない。この場合の障害を惹起し得る原因は様々であ
る。その1つには発信器自体の障害が考えられる。
その他には発信器からマイクロコンピュータまでの信号連鎖において障害が生じ
ていることも考えられる。
この下ではEMV−障害による障害も含まれる。また3つめの可能性としては、
2つのマイクロコンピュータ5.17のうちの1つに生じた障害が原因となるこ
ともあり得る。マイクロコンピュータ5.17のうちの1つにおける障害が原因
となっているような場合には、4輪操舵機構の確かな動作がもはや保証されず、
リアアクスルの制御は瞬時に中断されなければならない。当該の障害が発信器内
部および/または発信器からマイクロコンピュータ5.17までの信号連鎖内部
に起因している場合には、発信器毎に補助制御および/または補助機能が実施さ
れなければならない、これらの場合では当該の発信器検出値が調整値の算出に加
味されないものとなる。これらの2つの障害原因の識別は次のことによってなさ
れる。すなわち障害の識別後に、例えば発信器検出値の検査のもとで障害を識別
するマイクロコンピュータにおいて緊急作動プログラムB、Cへの分岐が行われ
、かっこの緊急作動プログラムB、Cにおいてマイクロコンピュータ5,17の
検査がデータ交換によって行われるようなことによってなされる。データ交換を
用いた検査には、特に2つのマイクロコンピュータ5,17によって算出された
調整値の比較および/または所定の中間結果の比較が含まれる。しかしながらそ
の他の、データ交換を用いた検査手段も考えられる0例えば2つのマイクロコン
ピュータ5,17の所定のレジスタ内容の交換及び比較も可能である。このよう
にして1つの障害がマイクロコンピュータの中で他の障害原因から識別された後
では、適切な緊急作動プログラムB、Cが引き続き継続されるかまたはリアアク
スルの制御が中断される。
リアアクスルの制御の中断は走行特性を有意に変化させるので、その他の゛より
確かな”緊急作動プログラムB、Cの1つが可及的に頻繁に実施されるべきであ
る。これはここに記載された方法によって可能となる。
実際には欠陥の生じたマイクロコンピュータによる障害原因はその他の障害原因
のようには頻繁に起こらないものなので、各障害の識別後のリアアクスルの制御
の中断はそれほど必要にはならない。
まず第1に位置実際値が所定の領域限界値と間合せステップ45において比較さ
れる0位置実際値が所定の目標値領域内にない場合には、主プログラムがマイク
ロコンピュータ5における緊急作動プログラムAに分岐される0位置実際値のチ
ェックのもとでの障害識別の後ではさらなる後輪操舵による確かな走行動作はも
はや保証されないので、緊急プログラムAにおいて後輪操舵が直ちに中断される
。これは以下の明細書で図8に基づいて説明される。
間合せステップ46では、読み込まれた操舵角検出値が所定の領域限界値で検査
される。この間合せステップ46において領域限界値の超過が検出された場合に
は当該プログラムが別の緊急作動プログラムBへ分岐される。ここでは操舵角検
出値における障害が検出されているので、操舵角センサlのもとての障害及び/
又は操舵角センサlからマイクロコンピュータまでの信号連鎖における障害が存
在する場合には当該系はまだリアアクスル調節器8の位置実際値にに関するコン
トロール能力を有している。それにより緊急作動プログラム已においてリアアク
スル調節器はこの場合においてもまだコントロールされて中央位置に調整され得
る。それにより自動車の走行特性が突然に変化するようなことはない、この緊急
作動プログラムBは以下の明細書で図6に基づき詳細に説明する。
その後間合せステップ48では読み込まれた車輪回転数値が所定の目標値領域に
あるか否かが検査される。
この読み込まれた車輪回転数値が所定の目標値領域にない場合には別の緊急作動
プログラムCに分岐される。
この障害の原因は、車輪回転数センサ26内部および/または車輪回転数センサ
26からマイクロコンピュータ17までの信号連鎖内部にあるはずである。その
ためリアアクスル調節器8の位置実際値ならびに操舵輪の旋回操舵角についての
コントロール能力はまだ保持されている。それ故緊急動作プログラムCにおいて
は短時間の間(この時間内では走行状況が急激に変化し得ない)リアアクスル調
節器8に対する調整値が、読み込まれた操舵角検出値からさらに算出され、調整
部材7,31に送出され得る。安全性をさらに高めるために当該のリアアクスル
調節器8の調整のための調整値をこの緊急作動プログラムにおいてさらに検査し
、リアアクスル調節器8が中央位置に達するまで所定の期間に亘って緩慢に低減
させることもできる。これによって自動車の走行特性は、緊急作動プログラムA
およびBの場合よりも急激な変化が少ないものとなる。
さらに障害識別のための別の検査も可能である。すなわち例えば発信器値の勾配
特性を他の発信器値の勾配特性と比較することも可能である。冗長的な発信器が
設けられている場合には、この発信器の勾配特性を検査に用いることも可能であ
る。さらに所定の発信器からの情報を他の発信器からの情報と比較し、その結果
に依存する特性員を検出して相互に比較することも可能である0例えば車輪回転
数とタコメータ軸の信号用発信器は自動車の速度に関する2つの情報を提供する
。1つの障害を確実に識別するさらなる可能性として、比較と検査の際に検出さ
れた障害の頻度を監視することも可能である。これは所定頻度の限界を上回った
場合に初めて緊急作動プログラムへ分岐させることを行うためのものである。中
央位置への到達についての検査の際には有利には、リアアクスル調節器が最初の
数回は中央位置に設定されることなく当該中央位置を通過することが許容される
。リアアクスルが当該の中央位置に定まらずにその付近で往復移動するような状
態が完全になくなってしまって初めて、当該リアアクスルはこの中央位置に固定
される。これにより急なカーブのある区間においても走行特性に急激な変化は生
ぜしめられない0間合せステップ45において障害が何も識別されない場合には
、ステップ49において2つの調整部材7.31の調整のための調整値が算出さ
れる。算出基準としては読み込まれた発信器値が用いられる。計算機能は様々な
走行状況において異なるものである。算出された調整値は間合せステップ50に
おいて、マイクロコンピュータ17の算出された調整値と比較される。その際に
は2つのマイクロコンピュータ5,17の間のデータ交換が再び必要である。
このステップにおいても前記プログラムステップ44での場合と同じように2つ
のマイクロコンピュータ5゜17の同期化が達成される。2つのマイクロコンピ
ュータ5,17の算出値が異なる場合には、マイクロコンピュータ5,17にお
ける1つの障害に基づいて緊急作動プログラムAが実行される。その他の場合に
は2つのマイクロコンピュータ5.17において算出された値の平均値が形成さ
れ、am部材7.31に送出される。ここに記載された制御装置ではマイクロコ
ンピュータ5によってのみ調整値の送出が行われる。この実施形態は次のような
安全思想範囲内での要求から生せしめられている。すなわち2つの計算機5,1
7が正常に動作している場合にのみ制御装置によって調整値がアクチュエータに
送出されるという安全思想範囲内での要求から生ぜしぬられている。それにより
2つのマイクロコンピュータ5,17のうちの1つじか送出を行う必要がない。
これはプログラムステップ51において行われる。これによりプログラムは一度
規定通りに作動される。プログラムステップ42〜51までは同様に繰り返され
る。これは点火装置の遮断によって供給電圧が制御装置25に供給されなくなる
まで行われる。
図3に示されているフローチャートにはマイクロコンピュータ17における主プ
ログラムのシーケンスが示されている。これは実質的に図2に示されたプログラ
ム構造図と一致している。ステップ4oでのパワーオン−リセットの後の最初の
プログラムステップも、図2の場合と同じようにプログラムステップ41である
。このステップ41で行われる検査はこの実施例の場合でもマイクロコンピュー
タ17に接続されている機能構成部に関するものである。しがしながらここでは
2つの調整部材7,31の作動検査は省略される。
なぜなら窮節部材はマイクロコンピュータ5にのみ接続されているからである。
その後距離検出器13の位置実際値が読み込まれる。これはプログラムステップ
44において行われる。操舵角と車輪回転数に対する値はプログラムステップ4
2と43においてマイクロプロセッサ5によって行われる。それに必要なデータ
交換に対しては図2のプログラムステップ44における場合と同じように相応し
ている。読み込まれた値の検査は図2のプログラム構造図と全(同じように間合
せステップ45〜48によって行われる。しかしながら緊急作動プログラムBと
Cはマイクロコンピュータ17に含まれていることに注意する必要がある。緊急
作動プログラムAは図2の緊急作動プログラムAと一致する。しかしながらマイ
クロコンピュータ17にも含まれている。問合せの後ではここでも図2のプログ
ラムステップ49における場合と同じように調整値の算出が行われる。2つのマ
イクロコンピュータ5. 17によって検出された調整値の検査はここでも図2
のプログラムステップ50における場合と同じように計算結果のデータ交換の後
で行われる。計算結果が一致していない場合には同様に緊急プログラムAが呼び
出される。規定通りの機能形式ではプログラムステップ42〜50が繰り返され
る。これも同様に制御装置に供給電圧が供給されな(なるまで行われる。
図4のフローチャートにはマイクロコンピュータ5内の緊急作動プログラムCが
示されている。最初のプログラムステップ57としてエラー表示ランプ21が投
入接続される。それに続くプログラムステップ58において変数が値lにセット
される。後続のプログラムステップ59ではマイクロコンピュータ5は特殊なデ
ータ語をマイクロコンピュータ17に送出する。このデータ語はマイクロコンピ
ュータ17に対し、マイクロコンピュータ5において1つのエラーが識別され緊
急作動プログラムCが呼び出されたということを信号化する。マイクロコンピュ
ータ17は引き続きチェックワードをコンピュータ5に返送する。このチェック
ワードはマイクロコンピュータ5によって受け取られる。これはプログラムステ
ップ60において行われる。間合せステップ61ではマイクロコンピュータ17
に送出されたチェックワードとマイクロコンピュータ17から送出されたチェッ
クワードとの間で比較が行われる。この2つのチェックワードが一致していない
場合には、マイクロコンピュータ5はこの結果を次のように解釈する。すなわち
マイクロコンピュータ5゜17の内の1つにエラーが存在し、緊急遮断が緊急作
動プログラムAの実行によって実施されたというように解釈する。このチェック
によって、2つの計算機が同じ緊急作動プログラムを実行したか否かが検査され
る。プログラムステップ62はアクチュエータに対する調整値の規定の計算のた
めに用いられる。これはマイクロコンピュータ5の主プログラムにおけるのと同
じ計算ステップに従って、すなわち障害の含まれた車輪回転数センサの情報を用
いることなく行われる。この計算のベースは操舵角および位置実際値に対して読
み込まれた発信器検出値である。この計算結果はプログラムステップ63におい
て時間に依存する係数で乗算される。この係数はプログラムステップ58におい
て値lにセットされる。この値はプログラムステップ62においてその間の経過
時間に依存して新たに算出される。算出された調整値と、時間と共に1からOへ
変化する係数との乗算によってリアアクスルにおける操舵振幅特性の緩慢な低減
が達成される。ドライバはこのような補償的制御によ・って自動車の走行特性の
変化に落ち着いて対処することができる。プログラムステップ64では別のマイ
クロコンピュータ17において同じ方式で算出された調整値がバス接続線路11
を介したデータ伝送によってマイクロコンピュータ5へ伝送される。後続の間合
せステップ50においては2つの計算機5.17の計算結果が相互に比較される
。
これらの計算結果が一致していない場合には、障害がマイクロコンピュータ5,
17のうちの1つに存在しているはずである。引き続き緊急遮断が緊急作動プロ
グラムAの呼出しによって導入される。2つの計算機が同じ結果の信号を供給し
ている場合には、障害は車輪回転数センサ26および/または車輪回転数センサ
26からマイクロコンピュータ5への信号連鎖のちとに生じている。これには緊
急作動プログラムCの実行で追従し得る。2つの計算機5,17によってめられ
たtlI整値はプログラムステップ51において平均化され、調整部材7.31
に送出される。プログラムステップ42では操舵角が主プログラムにおける場合
と同じように読み込まれる。プログラムステップ44では位置実際値が主プログ
ラムにおける場合と同じようにマイクロコンピュータ17から転送される。その
後は位置実際値と操舵角検出値の領域検査が主プログラムにおける場合と同じよ
うに経過する(間合せステップ45.46)、プログラムステップ65において
はリアアクスル調節器8の中央位置への到達に関して位置実際値が付加的に検査
される。中央位置への到達がなされている場合には、調整部材の制御が緊急作動
プログラムAの呼出しによって中断される。中央位置への到達に関する検査にお
いては有利には、リアアクスル調節器が最初の数回はその中央位置に固定される
ことなく当該中央位置を通過することが許容される。リアアクスル調節器が実際
に中央位置付近で往復移動するようなことが完全になくなって初めて当該リアア
クスル調節器は当該中央位置に固定される。これにより急なカーブのある区間に
おいても走行特性に急激な変化が生せしめられない、それにより緊急作動プログ
ラムCが終了し、この時点からは自動車が前輪操舵システムで操舵される。さら
なる4輪操舵システムの作動は、点火装置のオン/オフの後および効果的な検査
の後で初めて再び行われる。
中央位置への到達がまだなされていない場合には、当該中央位置へ到達するまで
プログラムステップ59〜65が繰り返される0点火装置の遮断の際には障害を
特徴付けるデータ語が場合によって所属の動作データと共にメモリ領域にファイ
ルされる。このファイルされたデータ語は、工場においての診断装置を用いた事
後診断処理の際に用いることができる。
図5にはマイクロフンピユータ17における緊急作動プログラムCに対するフロ
ーチャートが示されている。プログラムステップ57と58は図4の同じプログ
ラムステップに相応している。プログラムステップ66ではマイクロコンピュー
タ17がチェックワードをマイクロコンピュータ5に送出する。プログラムステ
ノブ67ではマイクロコンピュータ17がマイクロコンピュータ5からのチェッ
クワードを読み込む。間合せステップ61では図4のプログラムステップ61と
同じように2つのチェックワードの同一性が検査される。プログラムステップ6
2と63では図4の同様のプログラムステップと同じように調整値の算出が行わ
れる。プログラムステップ68では、図4のプログラムステップ64と同じよう
にマイクロコンピュータ17がマイクロコンピュータ5によって算出された調整
値を読み込む、後続のプログラムステップは図4のプログラム構造図のプログラ
ムステップに相応している。異なっている点は、調整値の問合せが行われるプロ
グラムステップ51が省略されていることである。
その他にはマイクロコンピュータ17における相応の緊急作動プログラムがマイ
クロコンピュータ5に呼び出される。
以下の明細書ではマイクロコンピュータ5の緊急作動プログラムBを説明する。
この説明には図6のプログラム構造図が用いられる。この緊急作動プログラムB
は、障害識別後の後輪操舵のソフトな中断を可能にするさらなる緊急作動プログ
ラムを表すものである。
プログラムステップ57ではエラー表示ランプが投入接続される。プログラムス
テップ59と60では、当該の緊急作動プログラムに対するチェックワードが図
4における緊急作動プログラムCの同様のプログラムステップと同じように交換
され、さらにプログラムステップ61において相互に比較される。緊急作動プロ
グラムCとの実質的な違いは、調整値の算出が発信器信号からの情報なしで行わ
れることである。ここではリアアクスル調節器8が例えば0.5m/sの速度で
中央位置方向へ調節される。それに対して必要となる計算はプログラムステップ
70において行われる。プログラムステップ64ではマイクロコンピュータ17
によって算出された調整値が読み込まれ、プログラムステップ50において図4
の緊急作動プログラムCの場合と同じように相互に比較される。その後では再び
プログラムステップ51において調整値の送出が行われ、プログラムステップ4
4においてマイクロコンピュータ17によって位置実際値の読み込みが行われ、
間合せステップ45において当該の値の検査が行われる9間合せステップ65は
リアアクスル調節器8の中央位置の識別に再び用いられる。中央位置へまだ到達
していない場合には、プログラムステップ59〜65が繰り返される。中央位I
へ到達している場合には再び緊急作動プログラムAの呼出しによって制御が中断
される。緊急作動プログラム乙の場合のように4輪操舵システムのさらなる作動
は点火装置のオン/オフの後及び効果的な検査の後で初めて再び行われる。
マイクロコンピュータ17においての緊急作動プログラムBに対するプログラム
構成は相応の形式で行われており、これは図7に示されている1図6における緊
急作動プログラムBとの違いは調整値の送出が省略されていることと、プログラ
ムステップ66においてチェックワードのマイクロコンピュータ5への送出が行
われることと、プログラムステップ67においてマイクロコンピュータ5からの
チェックワードが読み込まれることと、プログラムステップ68においてマイク
ロコンピュータ5によって算出された値が読み込まれることである。
緊急作動プログラムBまたはCの実行の後では後輪操舵制御としての当該方法の
別の構成も可能である。
それにより例えば緊急作動プログラムの実行後所定の速度を越えた場合に当該後
輪操舵制御を再び付加する方向に切換ることも可能である。これは例えば緊急作
動プログラムCに類似の形式で行ってもよい、すなわちそれによって操舵振幅特
性が主プログラムにおける場合と同じように算出されるまで当該操舵振幅特性が
所定の期間に亘って緩慢に拡大される。障害が生じた場合に再び中断を作用せし
める障害検査はもちろんこのフェーズにおいても行われる。
図8には緊急作動プログラムAに対するプログラム構造図が示されている。この
構想図は2つの計算機に有効である。この緊急作動プログラムは3つのプログラ
ムステップ71,72.73で実行される。プログラムステップ71はエラー表
示ランプ21の投入接続のために用いられる。プログラムステップ72では支持
ブレーキ9が各マイクロコンピュータ5,17によって作動される。その後プロ
グラムステップ73では出力段6.30が制御可能なリレーを用いて遮断される
。二の出力段は主プログラムによって点火装置のオン/オフの後および/または
効果的な安全検査の後で初めて投入接続され得る。
以下ではマイクロコンピュータ5,17における主プログラムの実行に対する2
つの実施例を説明する。
第2の実施例に対する制御装置の構造は第1の実施例に対する制m装置の構造と
一致するものである。しかしながらこの場合いくつかの発信器(例えば調整部材
8の位置実際値に対する発信器13ならびに操舵角に対する発信器l)は倍の数
だけ設けられていることが前提とされる。この場合それぞれ2つの発信器のうち
の一方はマイクロコンピュータ5に接続され、2つの発信器のうちの他方はマイ
クロコンピュータ17に接続されている。マイクロコンピュータ5に接続される
発信器の全ては発信器の第1グループを形成し、マイクロコンピュータ17に接
続される発信器の全ては発信器の第2グループを形成する。
マイクロコンピュータ5の動作は図9に基づき以下に詳細に説明される。プログ
ラム開始の後は、制御装置の初期化フェーズが第1の実施例の場合と同じように
開始される。引き続きプログラムステップ82においてマイクロコンピュータ5
に接続された発信器全ての発信器信号が検出される。検出された測定値はプログ
ラムステップ83においてマイクロコンピュータ17に送出される。その後マイ
クロコンピュータ5はマイクロコンピュータ17によって算出された測定値を受
け取る。すなわちプログラムステップ83においては2つのマイクロコンピュー
タ5及び17の間で測定値のデータ交換が行われる。この測定値のデータ交換に
よって2つのマイクロコンピュータの同期化が達成される。それに続くプログラ
ムステップ84では検出された測定値の検査が行われる。この整合性チェックで
は種々異なる検査基準で問合せが行われる。この検査基準に対する個々の詳細は
、主プログラムに対するプログラム構造図の説明と合わせて詳細に説明される。
整合性チェックによっては主プログラムの継続実行が可能か否かの判定が行われ
る。継続実行が不可能な場合には、3つの異なる緊急作動プログラムが実行され
るべきである。当該整合性チェックの結果はプログラムステップ85において2
つのマイクロコンピュータ5,17の間でデータ交換される。それに続いて間合
せステップ86では2つの計算機が同じ検査結果に至ったか否かの問合せが行わ
れる。同じ検査結果に至っていない場合には緊急作動プログラムAが第1実施例
の場合で説明したように実行される。2つのマイクロコンピュータ5.17の検
査結果が一致する場合tこは、3つの間合せステップ87.88及び89が後続
する3間合せステップ87においては当該の検査結果が次のことについて分析さ
れる。すなわち緊急作動プログラムAの実行が必要か否か分析される。必要な場
合には緊急作動プログラムAに分岐される0間合せステップ88では当該検査結
果が次のことにつ1Xて分析さnる。すなわち緊急作動プログラムBの実行が必
要か否か分析される。必要な場合には緊急作動プログラムBに分岐される0間合
せステップ89では当該検査結果が次のことについて分析される。すなわち緊急
作動プログラムCの実行が必要が否がの分析がなされる。
必要な場合には緊急作動プログラムCに分岐される。
結果として2つのマイクロコンピュータの測定値の整合性チェックによっていず
れの緊急作動プログラムの実行も必要ないことが判明した場合には主プログラム
が継続される。これによりプログラムステップ9oにおいて、検出された発信器
信号を用いた調整値の算出が行われる。
プログラムステップ91においては、算出された調整値が2つのマイクロコンピ
ュータ5.17の間でデータ交換される。それにより再び2つのマイクロコンピ
ュータの同期化が達成される。その後間合せステップ92ではデータ交換された
調整値の比較が行われる。
これらの調整値が一致しない場合には、重大な障害が生じているということに基
づきマイクロコンピュータ5によって緊急作動プログラムAへ分岐される。しか
しながら前ご己調整値が一致している場合には、プログラムステップ93におい
て位置制御が行われる。その場合マイクロコンピュータ5によって、算出された
調整値に応じて調整部材8のアクチュエータ7.31に対する制御信号が生ゼし
のられる。この位置制御で1つの制御サイクルが規定通りに実行されたものとな
る。
次の制御サイクルはプログラムステップ82において発信器信号の検出で開始さ
れる。
図1Oには、マイクロコンピュータ17における主プログラム実行のための図9
に相応する構造のプログラム構造図が示されている。このプログラム構造図は実
買的に図9の構造図と一致している。ただ1つ興なっているのは、プログラムス
テップ94における発信器信号検出の際にマイクロコンピュータ17に接続され
ている発信器(すなわち発信器第2グループ)の信号が検出されることである。
その後はマイクロコンピュータ5における場合と同じプログラムステップ83〜
92が実行される0位置制御の含まれたプログラムステップ93は当該マイクロ
コンピュータ17の主プログラムに対しては省略されている。なぜなら当該マイ
クロコンピュータ17は調整部材8のアクチュエータ7.31の規則的制御のた
めには設計仕様されていないからである。
以下の明細書では図9及び図10の2つのプログラム構造図のプログラムステッ
プ84においての測定値の整合性チェックについて詳細に説明する。
信号は障害の発生の際には基本的に有限の時間内で変化する。そのため許容信号
領域を越える前に次のような際立った値を測定できる。すなわち、例えば冗長的
な発信器信号からのずれは除いてさしあたり過大な勾配の点でのみ際立っている
値も測定することができる0例えば線材の断線、短絡等の場合にそれに続いて起
こるのは通常は許容信号領域の超過(アウトオブレンジ)である0発信器障害像
は以下で構成される。
−障害発生後十分な時間が経過した後の、障害を含んだ信号の最終状態、および
一障害発生直後の同種又は異種の妥当性違反状態の連続
整合性チェックの間は、障害比較のための種々異なる判定基準で問合せが行われ
る。第1の判定基準は、検出された測定値が当該発信器に対する許容測定領域内
に完全に入っているが否がということである。第2の判定基準は、発信器信号が
実際には不可能な(許容外の)速度で変化しているが否かということである。
それに対しては発信器の瞬時の測定値を先行の検出測定値に関連付ける必要があ
る。発信器信号がまだ許容測定領域を越えていない場合でも、発信器信号におけ
る過大な変化は障害の存在を早期時点で既に示唆するものである。
障害の存在に対する別の判定基準は、2つの同じ発信器(このうちの1つは冗長
的なものである)がらのあ定値の間の過大なずれである。この判定基準も1発信
器信号がまだ許容信号領域を越えていない段階で既に障害の存在を示唆し得る。
瞬時の測定値のみでなく先行の測定値も障害の分析に関与させることにより、多
くの場合の正確な障害情報が事前に得られるものとなる0例えば以下のような時
間的な経過から得られる。
−2つの同じ発信器からの2つの値の間のずれ及びセンサ検出値の勾配が過大、
−2つの同じ発信器検出値の間の偏差と許容測定領域外の1つの値が過大
−2つの同じ発信器検出値の間の偏差と許容測定領域外の1つの発信器値が過大
結果としては、過大な勾配ないしは許容外の信号値を有する信号は障害の含まれ
たものであるということがいえる。しかしながらその他の信号はまだ正確であり
そのため引き続き(少なくとも短期間は)利用することが可能である。その後は
当該の障害情報に基づいて適切な緊急作動手段が選定されて導入される。この場
合障害の識別された発信器の情報は調整部材の制御にはもはや用いられない。
非常に短時間の障害(例えばEMV)に対する不要な緊急作動プログラムのトリ
ガを避けるために、順次連続する多数の信号値が評価される。そのため擬似的障
害特性経過(これは必ずしも同一なものではない)の時間的なシーケンスが緊急
作動プログラムのトリガの判断のために用いられる。
緊急作動手段のトリガまでの持続時間ないしは直接順次連続する凝似的な上回り
の数は、一方で短時間の障害が省かれる程度の大きさに選定されるべきだが、し
かしながら他方では特に非常に動的なシステムの場合、緊急作動手段は可及的に
迅速に導入されなければならない、すなわち障害反応時間は最小化されなければ
ならない、そのため本発明では種々異なる擬似的な上回りが同じ障害原因に基づ
いている場合には当該の擬似的上回りを同じ障害として評価する。
以下ではII!1部材8の位置実際値用の2つの同じ発信器の信号経過をい(っ
かの実施例で説明する。
位置実際値に対する情報は、操舵システムにおいては簡素でかつ冗長的に存在す
る9発信器値の検出は各マイクロコンピュータ5,17において周期的に行われ
る(例えばms毎)。
図11には2つの発信器に対する2つの第1の信号経過Xl+ x、が示されて
いる0位置実際値発信器に対する許容測定範囲は0.5〜4.5vの間である。
2つの測定値の間の最大許容偏差は0.2vに定められる。また位置実際値の最
大許容変化は15V/sに選定される。緊急作動手段が導入される前には3つの
順次連続する障害識別が行われなければならない1時点tFでは1つの障害が発
生している。ここにおいて時点t+、t+、tsでの順次連続する信号検出のも
とに以下のような障害像がマイクロコンピュータ5,17に対して形成される。
(テーブルl参照)X、 エラーなし、 エラーなし エラーなし特表平7−5
o6qt2(12)
X、 勾配過大 11!11を轟えている 灘定警域を憩えている(x+ −X
2 ) 偏!!大 偏!i大 1!i大この障害像に基づいてマイクロコンピュ
ータ5,17は次のことを検出する。すなわち発信器X、は欠陥を有し、発信器
X1は継続使用可能であることを検出する。
図12においても同様に時点tFにおいて障害が発生している。マイクロコンピ
ュータに対しては時点時点j1. j=、tsでの信号検出から以下の障害像が
形成される。(テーブル2参照):
Xl エラーなし、 エラーなし エラーなしx2 エラーなし エラーなし
III域を凰えている(x+〜X、) 偏l過大 偏l過大 I!過大この障害
像に基づいて2つのマイクロコンピュータ5.17は、発信器X、が欠陥を有し
発信器x1は継続使用可能であることを検出する。
図13による信号経過の場合は、信号検出による以下のエラー形成図が2つのマ
イクロコンピュータ5゜17に対して形成される。(テーブル3参照):(テー
ブル3)
X、 エラーなし、 エラーなし エラーなしX! エラーなし エラーなし
エラーなしくx、−x、) I運過大 偏差過大 偏差過大この場合この障害像
からは2つのマイクロコンピュータ5.17は障害を同定することができない、
従って安全状態を確保するため緊急作動プログラムAが導入される。
図14には位置実際値用4s器の信号経過に対する第4の例が示されている。こ
の信号経過に基づいて以下の障害像が2つのマイクロコンピュータ5.17に対
して形成される。(テーブル4参照):xl エラーなし、 エラーなし エラ
ーなしX、 +1配過大 エラーなし エラーなしくx、−x、) 1!過火
偏l過大 量!過大この障害像に基づいて信号X2の発信器には欠陥が生じてい
ることが識別され、さらに信号X、の発信器は引き続き使用可能であることがわ
かる。
この障害解析手法は基本的に、直接的な冗長性を有してない発信器に対しても適
するものである。同等の情報を供給する発信器の検出信号に対しても許容勾配な
いしは評容領域の上回りについて監視することが可能である。すなわちこの場合
でも、どの信号経路が確実に障害を生じているものと見做されるかについての判
断が導出される。3@の障害識別の後でどの緊急作動プログラムを実行するかに
ついて判断を行うために、マイクロコンピュータ5,17は整合性チェックの際
に障害の大きさについての評価も行う、後輪操舵制御に対しては以下のような発
信器が用いられる。
−2つの位置実際値発信器(N1部材の位置を検出する)
−2つの操舵角センサ(操舵輪の旋回角度を検出する)−車両速度用センサ(例
えばタコメータ軸の回転数を検出するセンサ、但し同じ目的のために車輪回転数
センサを用いることもできる、例えばABS制御装置に用いられているセンサ等
1.前記タコメータ軸センサは冗長的センサとして、車輪の回転数に対して用い
られるかまたは2つの車輪回転数センサの2つの車輪回転数の平均値算出のため
に用いられる)−車両の荷重負荷状態に対する発信器
−後退ギヤの投入/遮断に関する情報のための発信器−車両のヨーイングレート
に対する発信器−車両の横方向加速度に対する発信器
−車両の横風の影響に対する発信器
−車両の車体傾斜度に対する発信器
調節器の位置情報は、当該調節器を被制御操作させるべき場合には常時必要とな
る。すなわち当該の発信器に障害が生じた場合には、被制御調節移動がもはや不
可能となる。つまり補償機能手段Aのみが考慮される。操舵角センサは車両の動
的な操舵状態を考慮する。
どの個別の信号がまだ正確に動作しているのかについて明確な情報が得られない
場合には、フロントアクスルに同期させた後輪操舵は不可能である。しかしなが
ら位置実際値発信器が同時に故障していない場合は補償機能手段Bが実行され得
る。車両速度、荷重負荷状態、前進走行/後退は動的に緩慢に変化する。エラー
発生の直前に測定され記憶された値は、比較的長い時間に対してのみその有効性
を有しており、リアアクスルの同期操舵を妨害するものではない0例えば車両の
荷重負荷状態と、前進走行および後退の切換による変化は車両の静止状態におい
てのみ生じ、車両走行速度は最大加速度1gによって変化する。この場合誤って
過大に受け取られた車両速度は車両の安全性に対しては悪影響を及ぼさない、そ
のためここでは使用可能な信号として明確に識別された信号がない場合には補償
機能手段Cも可能である。
総括的に以下のテーブル5には、所定のセンサの個々の信号がまだ使用可能か又
は使用不可なものとして見做される場合にどの緊急作動プログラムがそれぞれの
マイクロコンピュータによって実行されるかが示される。
(テーブル5)
個々の信号 個々の信号
使用可 使用不可
位置実際値 CA
操舵角 CB
走行速度 CG
荷重負荷状態 CC
後退(リバース)CG
前記電子側m装置におけるエラー識別方法は多様番使用可能である。そのため制
御装置に対して必ずし÷2つ又はそれ以上のマイクロコンビコータを設けるd要
はない、安全性の要望がそれほど高(ない場合に(可及的に簡素なマイクロコン
ピュータを設けることlできる。
Fiq、2 、、n
Fig、ム
Fig、5
Fig、6
Fig、7
9/]2
PCT/DE 92100909
フロントページの続き
(51) Int、 C1,’ 識別記号 庁内整理番号B 62 D 113
:00
(72)発明者 メーダー、クラウス
ドイツ連邦共和国 D −7257ディツインゲン ツィーラーヴエーク 6
(72)発明者 フィーマン、カール
ドイツ連邦共和国 D −7141ムル フリートホーフスヴエーク 7
(72)発明者 ドリートガ−、ギュンタードイツ連邦共和国 D−7141オ
ーバーリークシンゲン テオドールーシュトルムーシュトラーセ 3
I
(72)発明者 ノイマン、ユルゲン
ドイツ連邦共和国 D−2120リューネブルク プランデンブルガー シュト
ラーセ(72)発明者 アルトホーフ、ハインッーユルゲンドイツ連邦共和国
D−7251ヴアイスアッハーフラハト ローゼンヴ工−り 12(72)発明
者 シュー、ユルゲン
ドイツ連邦共和国 D−7145マルクグレーニンゲン ブルーメンシュトラー
セ 47(72)発明者 ツォルバッハ、ベルトドイツ連邦共和国 D−701
6ゲルリンゲン ホーフヴイーゼンシュトラーセ 46
Claims (20)
- 1.少なくとも1つのマイクロコンピュータを有し、;該マイクロコンピュータ には発信器と、少なくとも1っの調整部材の調整のための少なくとも1つのアク チュエータとが接続されており、この場合所定の発信器は冗長的に構成されてお り、 少なくとも1つの調整部材に設けられ少なくとも1つのマイクロコンピュータに よって制御可能な少なくとも1つの安全装置を有し、 少なくとも1つのマイクロコンピュータ内に主プログラムを有し、;該主プログ ラムにおいては発信器によって信号が検出され、当該の検出信号値からある値が 算出され、当該算出された値および/または検出された発信器信号の整合性チェ ックが行われ、この場合前記算出された値は少なくとも1つの調整部材の調整の ために少なくとも部分的に用いられるものであり、前記算出された値からは相応 の制御信号が生ぜしめられ、少なくとも1つのアクチュエータに送出されるもの であり、 少なくとも2つの緊急作動プログラムを有し、;この場合前記整合性チェックに よっては、主プログラムを継続動作するかまたは2つの緊急作動プログラムのう ちの1つを処理実行させるかの判定を行い、前記2つの緊急作動プログラムのう ちの第1の緊急作動プログラムにおいては少なくとも1つの安全装置が作動され 、少なくとも1つの調整部材の調整用の少なくとも1つのアクチュエータの制御 が中断されるようにした、例えば自動車の後輪操舵角制御装置等の電子制御装置 におけるエラー処理方法において、 第2の緊急作動プログラム(C)において引き続き発信器によって信号を検出し 、当該検出された信号からそれそれ値を算出し、この場合当該算出された値は少 なくとも1つの調整部材の調整のために少なくとも部分的に用いられるものであ り、前記検出された発信器信号と算出された値の整合性チェックを行い、 さらに算出された値を少なくとも1つの調整部材(8)の調整のために、当該第 2の緊急作動プログラム(C)の作動開始と共に時間的に小さくなる係数と乗算 し、該乗算によって前記調整部材(8)の調整振幅の緩慢な減衰を生ぜしめ、さ らに前記算出された値に相応する制御信号を生ぜしめて少なくとも1つのアクチ ュエータ(7、31)に送出することを特徴とする方法。
- 2.前記検出された発信器信号の整合性チェックに対して、各発信器検出信号を 所定の値で許容信号領域の超過について検査する、請求の範囲第1項記載の方法 。
- 3.前記検出された発信器信号の整合性チェックに対して、発信器検出信号値の 変化率を所定の特性量に依存して所定の値と比較する、請求の範囲第1項又は2 項記載の方法。
- 4.前記検出された発信器信号の整合性チェックに対して、当該発信器検出信号 をさらに設けられた冗長的発信器から検出された発信器信号と比較する請求の範 囲第1項〜3項いずれか1項に記載の方法。
- 5.前記検出された発信器信号の整合性チェックに対して、当該発信器検出信号 を等価値の情報が供給される発信器の発信器検出信号から導出された値と比較す る、請求の範囲第1項〜4項いずれか1項に記載の方法。
- 6.前記整合性チェックの際に、識別されたエラーの数を所定の値と比較し、異 なるエラーが同一のエラー原因に基づいている場合には当該の異なるエラーが計 算に含まれ、また識別されたエラーの数が所定の値に達した場合に初めて少なく とも2つの緊急作動プログラムのうちの1つがトリガされる、請求の範囲第1項 から5項いずれか1項に記載の方法。
- 7.前記第2の緊急作動プログラム(C)において、少なくとも1つの安全装置
- (8)が所定の時間経過の後で作動され、少なくとも1つの調整部材(8)の調 整用の少なくとも1つのアクチュエータ(7,31)の制御が中断される、請求 の範囲第1項〜6項いずれか1項に記載の方法。 8.前記少なくとも1つのマイクロコンピュータ(5,17)は第3の緊急作動 プログラム(B)を有しておリ、該第3の緊急作動プログラム(3)においては 発信器信号からの情報が計算に用いられることなく少なくとも1つの調整部材( 8)の調整のための値が所定の固定的計算基準に従って算出される、請求の範囲 第1項〜7項いずれか1項に記載の方法。
- 9.前記第3の緊急作動プログラム(B)において少なくとも1つの調整部材( 8)の位置の検査が行われ、中央位置が識別された場合には第1の緊急作動プロ グラム(A)がトリガされる、請求の範囲第8項記載の方法。
- 10.請求の範囲1項から9項のいずれか1項に記載の方法に従って自動車の後 輪操舵角を制御する装置であって、 少なくとも2つのマイクロコンピュータと、操舵角検出および車両速度検出およ び車両の1つのアクスルの車輸の回転数検出のための少なくとも1つの発信器と 、 車両の1つのアクスルの車輪操舵角の調整用の少なくとも1つの調整部材と、 前記調整部材の位置実際値用の少なくとも1つの発信器と、 前記調整部材に対する安全装置としての支持ブレーキと、 前記調整部材の調整のための少なくとも1つのアクチュエータと、 前記各マイクロコンピュータ内部に入力された少なくとも1つの主プログラムと を有しており、前記主プログラムにおいては、当該マイクロコンピュータが発信 器によって検出された信号を供給されておリ、該検出された信号からはある値が 算出され、当該算出された値および/または検出された発信器信号の整合性チェ ックが行われ、この場合前記算出された値は少なくとも1つの調整部材の調整の ために少なくとも部分的に用いられ、また前記算出された値からは2つのマイク ロコンピュータのうちの1つにおいて相応の制御信号が生ぜしめられて少なくと も1つのアクチュエータに送出されており、さらに各マイクロコンピュータ内部 に入力された少なくとも2つの緊急作動プログラムを有しており、この場合少な くとも2つのマイクロコンピュータ(5,17)は、整合性チェックによって主 プログラムを継続動作するかまたは緊急作動プログラムのうちの1つをトリガす るかについての判定を行い、さらに前記少なくとも2つのマイクロコンピュータ は第1の緊急作動プログラムにおいて少なくとも1つの安全装置を少なくとも作 動させ、前記少なくとも1つの調整部材調整用の少なくとも1つのアクチュエー タの制御を中断させる、装置において、前記少なくとも2つのマイクロコンピュ ータ(5,17)に第2の緊急作動プログラムにおいて発信器によって検出され た信号が供給されており、当該の検出された信号からはそれそれの値が算出され 、当該算出された値は少なくとも1つの調整部材の調整のために少なくとも部分 的に用いられており、前記少なくとも2つのマイクロコンピュータ(5,17) によって、検出された発信器信号と算出された値の整合性チェックが行われてお リ、前記少なくとも2つのマイクロコンピュータによって、さらに算出された値 が少なくとも1つの調整部材(8)の調整のために第2の緊急作動プログラム( C)の処理実行開始と共に時間的に小さくなる係数で乗算されておリ、当該乗算 によリ前記調整部材(8)の調整振幅の緩慢な減衰が得られるものとなリ、 前記少なくとも2つのマクロコンピュータ(5,17)の少なくとも1つによっ て、前記算出された値に相応する制御信号が生ぜしめられ、少なくとも1つのア クチュエータ(7,31)に送出されることを特徴とする装置。
- 11.前記操舵角と位置実際値のための発信器は、少なくとも簡素かつ冗長的に 設計仕様されており、前記発信器と当該の冗長的発信器はそれぞれ異なるマイク ロコンピュータ(5,17)に接続されている、請求の範囲第10項記載の装置 。
- 12.前記少なくとも2つのマイクロコンピュータ(5,17)は、当該マイク ロコンピュータが整合性チェックの際に、調整部材(8)の位置実際値(13) 用の正常に動作している発信器がない状態および/または少なくとも2つのマイ クロコンピュータ(5,17)によって算出された値が所定量を越えて偏移して いる状態を識別した場合には常時第1の緊急作動プログラム(A)をトリガする 、請求の範囲第11項記載の装置。
- 13.前記少なくとも2つのマイクロコンピュータ(5,17)は、当該マイク ロコンピュータが整合性チェックの際に、操舵角(1)用の正常に動作している 発信器がない状態を識別した場合には常時第3の緊急作動プログラム(B)をト リガする、請求の範囲第11項または12項記載の装置。
- 14.前記少なくとも1つのアクチュエータ(7,31)の制御中断のために、 前記マイクロコンピュータ(5,17)によって少なくとも1つのアクチュエー タ(7,31)の供給電圧が遮断される、請求の範囲第10項〜13項いずれか 1項に記載の装置。
- 15.前記供給電圧の遮断に対して相応のマイクロコンピュータ(5,17)に よって少なくとも1つのリレー(18,32)が切換られる、請求の範囲第14 項記載の装置。
- 16.当該装置はエラー表示装置(21)を有しておリ、該エラー表示装置(2 1)は当該の緊急作動プログラム(A,B,C)のうちの1つの呼出し後に作動 される、請求の範囲第10項〜15項いずれか1項に記載の装置。
- 17.前記検出された発信器信号および/またはそれぞれのマイクロコンピュー タ(5,17)における種々異なるプログラムシーケンスによって算出された値 の検査が行われる、請求の範囲第10項〜16項いずれか1項に記載の装置。
- 18.前記それそれのマイクロコンピュータ(5,17)は異なる半導体構造を 有している、請求の範囲第10項〜17項いずれか1項に記載の装置。
- 19.前記それぞれのマイクロコンピュータ(5,17)の監視のために、それ ぞれ監視回路が各マイクロコンピュータ(5,17)に接続されており、該監視 回路は各マイクロコンピュータ(5,17)から信号を供給され、当該の信号が 存在しない場合には少なくとも1つの調整部材(8)の調整用の少なくとも1つ のアクチュエータ(7,31)の制御を中断する請求の範囲第10項〜18項い ずれか1項に記載の装置。
- 20.当該装置はデュアルポートRAMを有しておリ、該デュアルポートRAM には少なくとも2つのマイクロコンピュータ(5,17)がアクセス可能である 、請求の範囲第10項〜19項いずれか1項に記載の装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE4136338A DE4136338A1 (de) | 1991-11-05 | 1991-11-05 | Verfahren und vorrichtung zur fehlerbehandlung in elektronischen steuergeraeten |
| DE4136338.8 | 1991-11-05 | ||
| PCT/DE1992/000909 WO1993009020A1 (de) | 1991-11-05 | 1992-10-31 | Verfahren und vorrichtung zur fehlerbehandlung in elektronischen steuergeräten |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH07506912A true JPH07506912A (ja) | 1995-07-27 |
Family
ID=6444088
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP5507253A Pending JPH07506912A (ja) | 1991-11-05 | 1992-10-31 | 電子制御装置における障害処理方法および装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US5440487A (ja) |
| EP (1) | EP0610316B1 (ja) |
| JP (1) | JPH07506912A (ja) |
| DE (2) | DE4136338A1 (ja) |
| WO (1) | WO1993009020A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000053012A (ja) * | 1998-08-01 | 2000-02-22 | Robert Bosch Gmbh | 操舵制御装置 |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4341082A1 (de) * | 1993-12-02 | 1995-06-08 | Teves Gmbh Alfred | Schaltungsanordnung für sicherheitskritische Regelungssysteme |
| JPH0966851A (ja) * | 1995-08-31 | 1997-03-11 | Mitsubishi Electric Corp | 車両用制御装置 |
| DE19611944C2 (de) * | 1996-03-26 | 2003-03-27 | Daimler Chrysler Ag | Integrierter Schaltkreis zur Kopplung eines mikrokontrollierten Steuergerätes an einen Zweidraht-Bus |
| JP3554841B2 (ja) * | 1997-02-07 | 2004-08-18 | 光洋精工株式会社 | 自動車の舵取装置 |
| DE19716197A1 (de) * | 1997-04-18 | 1998-10-22 | Itt Mfg Enterprises Inc | Mikroprozessorsystem für sicherheitskritische Regelungen |
| DE19743463A1 (de) | 1997-10-01 | 1999-04-08 | Itt Mfg Enterprises Inc | Verfahren zur Fehlerkennung von Mikroprozessoren in Steuergeräten eines Kfz. |
| EP0985988A1 (en) * | 1998-09-11 | 2000-03-15 | Sck.Cen | An adaptive fuzzy controller and simulation method |
| DE19849787C1 (de) | 1998-10-28 | 2000-02-24 | Fresenius Medical Care De Gmbh | Blutbehandlungsgerät |
| DE19902049C2 (de) * | 1999-01-20 | 2000-11-09 | Continental Ag | Niveauregelsystem für ein Kraftfahrzeug |
| SE521749C2 (sv) * | 1999-07-02 | 2003-12-02 | Inmotion Technologies Ab | Servostyrsystem för fordon innefattande en digital vinkelavkännande anordning |
| KR100352023B1 (ko) * | 1999-09-03 | 2002-09-11 | 가야바코교 가부시기가이샤 | 페일세이프기구 |
| DE10163010B4 (de) * | 2001-04-25 | 2007-01-25 | Siemens Ag | Verfahren und Einrichtung zur sicheren Überwachung der Drehzahl einer elektrischen Maschine |
| US6760653B2 (en) * | 2001-05-15 | 2004-07-06 | Trw Inc. | Electric power assisted steering system having a single integrated circuit with two processors |
| DE10235163A1 (de) * | 2002-08-01 | 2004-02-19 | Robert Bosch Gmbh | Verfahren zur Überwachung wenigstens eines Sensors |
| DE10244070A1 (de) * | 2002-09-06 | 2004-03-11 | Volkswagen Ag | Vorrichtung und Verfahren zur Lenkunterstützung für Fahrzeuge mit elektromechanischer Lenkung |
| DE10248214A1 (de) | 2002-10-16 | 2004-05-13 | Siemens Ag | Schaltung mit mindestens einem Piezoaktor |
| JP4007203B2 (ja) * | 2003-01-23 | 2007-11-14 | 株式会社デンソー | 電子制御装置 |
| JP4379793B2 (ja) * | 2004-03-12 | 2009-12-09 | 株式会社デンソー | 車両用電子制御装置 |
| US7653641B2 (en) * | 2004-05-04 | 2010-01-26 | Accruent, Inc. | Abstraction control solution |
| US7367918B2 (en) * | 2005-11-08 | 2008-05-06 | Zf Friedrichshafen Ag | Method for self-configuring automated mechanical transmission and electronic controller |
| FR2928219B1 (fr) * | 2008-02-29 | 2010-05-28 | Renault Sas | Procede et dispositif de diagnostic d'un systeme de commande utilisant un modele dynamique |
| JP5126393B2 (ja) * | 2011-06-29 | 2013-01-23 | 日本精工株式会社 | 車載電子制御装置 |
| DE102011109257B4 (de) * | 2011-08-02 | 2016-03-10 | Audi Ag | Verfahren zur Niveauregelung des Kraftfahrzeugaufbaus eines Kraftfahrzeuges und Vorrichtung zur Durchführung dieses Verfahrens |
| DE102012015988A1 (de) | 2012-08-11 | 2014-10-30 | Volkswagen Aktiengesellschaft | Lenksystem mit Vorderachslenkung und Hinterachslenkung sowie Verfahren zur Steuerung eines derartigen Lenksystems |
| US20150046031A1 (en) * | 2013-08-07 | 2015-02-12 | Honda Motor Co., Ltd. | Switchable Mount System For A Vehicle And Methods For Controlling The System |
| DE102013217427B4 (de) * | 2013-09-02 | 2023-04-27 | Volkswagen Aktiengesellschaft | Lenkungssteuergerät, Verfahren zum Betreiben eines Lenkungssteuergeräts sowie Lenksystem |
| DE102017217100B4 (de) | 2017-09-26 | 2022-11-10 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Betreiben eines Stellmotors eines Lenksystems |
| CA3035597C (en) * | 2018-04-26 | 2022-07-26 | 1593417 Alberta Ltd. | Method and system for fail-safe control of electric actuators |
| EP3670297B1 (en) * | 2018-12-17 | 2022-05-11 | Volvo Car Corporation | Steering system monitoring |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA1026850A (en) * | 1973-09-24 | 1978-02-21 | Smiths Industries Limited | Dual, simultaneously operating control system with fault detection |
| DE3225455C2 (de) * | 1982-07-07 | 1986-07-17 | Siemens AG, 1000 Berlin und 8000 München | Verfahren zum sicheren Betrieb eines redundanten Steuersystems |
| DE3234637A1 (de) * | 1982-09-18 | 1984-03-22 | Alfred Teves Gmbh, 6000 Frankfurt | Verfahren und schaltungsanordnung zur steuerung einer bremsschlupfregelanlage |
| US4621327A (en) * | 1984-06-13 | 1986-11-04 | Nartron Corporation | Electronic power steering method and apparatus |
| JPS6234861A (ja) * | 1985-08-06 | 1987-02-14 | Nissan Motor Co Ltd | 車両の4輪操舵装置 |
| JPS62251277A (ja) * | 1986-04-22 | 1987-11-02 | Mitsubishi Electric Corp | 電動式後輪操舵装置 |
| FR2629145B1 (fr) * | 1988-03-25 | 1990-11-30 | Bendix France | Dispositif de commande d'un verin hydraulique a double effet |
| US4976328A (en) * | 1988-04-11 | 1990-12-11 | Mazda Motor Corporation | Rear wheel turning system |
| DE3816254A1 (de) * | 1988-05-11 | 1989-11-23 | Siemens Ag | Steuereinheit zur lenkung der hinterraeder eines strassenfahrzeuges |
| DE3825280A1 (de) * | 1988-07-26 | 1990-02-01 | Bayerische Motoren Werke Ag | Steuersystem fuer stelleinrichtungen eines kraftfahrzeugs |
| JPH02283571A (ja) * | 1989-04-25 | 1990-11-21 | Nissan Motor Co Ltd | 車両用補助操舵装置 |
-
1991
- 1991-11-05 DE DE4136338A patent/DE4136338A1/de active Granted
-
1992
- 1992-10-31 JP JP5507253A patent/JPH07506912A/ja active Pending
- 1992-10-31 WO PCT/DE1992/000909 patent/WO1993009020A1/de active IP Right Grant
- 1992-10-31 EP EP92922296A patent/EP0610316B1/de not_active Expired - Lifetime
- 1992-10-31 DE DE59202559T patent/DE59202559D1/de not_active Expired - Fee Related
- 1992-10-31 US US08/240,687 patent/US5440487A/en not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000053012A (ja) * | 1998-08-01 | 2000-02-22 | Robert Bosch Gmbh | 操舵制御装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP0610316B1 (de) | 1995-06-14 |
| DE4136338C2 (ja) | 1993-08-05 |
| EP0610316A1 (de) | 1994-08-17 |
| DE59202559D1 (de) | 1995-07-20 |
| DE4136338A1 (de) | 1993-05-06 |
| WO1993009020A1 (de) | 1993-05-13 |
| US5440487A (en) | 1995-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH07506912A (ja) | 電子制御装置における障害処理方法および装置 | |
| US5107425A (en) | Control system for control devices of a motor vehicle | |
| US8332114B2 (en) | Braking system for an aircraft and a method of monitoring braking for an aircraft | |
| JPH04310459A (ja) | 制御装置 | |
| JP3923517B2 (ja) | 車両制御系用のマイクロプロセッサ装置 | |
| JP4594741B2 (ja) | 安全拘束システムにおいて車両状態情報を使用する装置および方法 | |
| US6173229B1 (en) | Microprocessor arrangement for a vehicle-control system | |
| JPH06249039A (ja) | スロットル制御装置 | |
| JP2513878B2 (ja) | 自動車の後輪操舵用制御装置 | |
| US6243629B1 (en) | Electronic control unit for automotive vehicles | |
| US6540309B1 (en) | Fault tolerant electronic braking system | |
| JPH06144153A (ja) | 車両用安全装置 | |
| EP0719689A3 (en) | Controller having a fail safe function, automatic train controller, and system using the same | |
| US4709341A (en) | Self-monitoring system for detecting error at output port during cold start of microprocessor system | |
| US7437231B2 (en) | Brake system providing at least one enable signal to brake controllers and method of using same | |
| JP2001142504A (ja) | 車両内の調節要素の操作方法および装置 | |
| GB2255422A (en) | Monitoring device for an i.c. engine control system. | |
| JP2877912B2 (ja) | 内燃機関の電子制御装置 | |
| KR101649893B1 (ko) | 차량의 운행상태를 분석하는 급가속 방지 전자식 가속페달 및 이를 이용한 급가속 방지 방법 | |
| RU2538337C2 (ru) | Способ и система для управления по меньшей мере одним исполнительным органом | |
| US9244750B2 (en) | Method and control system for carrying out a plausibility check of a first driver input sensor with regard to a second driver input sensor which is different from the first driver input sensor of a motor vehicle | |
| JPH03201752A (ja) | 信号障害識別用回路装置 | |
| US11472390B2 (en) | Method for monitoring an ABS control procedure in an electrically controllable brake system and electronically controllable brake system | |
| US11144327B2 (en) | Method for operating a control unit, and device having an associated control unit | |
| GB2547985A (en) | Vehicle subsystem communication arbitration |