专利名称:特别是在车辆中,控制工作进程的方法和装置的制作方法
技术领域:
本发明涉及一种特别是在车辆中控制和/或管理工作进程的方法。在此一个功能单元通过一个与至少一个总线系统连接的连接单元发送和接收信息。所述的功能单元由一个监测单元监测,如果识别出功能单元的故障就通过所述监测单元禁止功能单元通过所述至少一个总线系统发送信息。
此外,本发明还涉及一种特别是在车辆中控制和/或管理工作进程的装置。所述装置包含至少一个通过一个与至少一个总线系统连接的连接单元发送和接收信息的功能单元。此外,所述装置包含至少一个监测所述的功能单元的监测单元。如果识别出功能单元的错误,所述监测单元就禁止功能单元通过所述至少一个总线系统发送信息。
最后本发明还涉及一种特别是在车辆中控制和/或管理工作进程的控制设备。所述控制设备包含至少一个通过一个连接单元与至少一个总线系统连接以发送和接收信息的功能单元以及一个监测所述的功能单元的监测单元。如果识别出功能单元的错误,所述监测单元就中断功能单元通过所述至少一个总线系统发送信息。
现有技术由DE198 33 462A1公知一种于断开汽车中的数据线路的电子装置的电路安排。在所述电子装置运行时,电子装置和至少一个另外的电系统通过数据线路交换信息。尽管一个连接在数据线路上的电子装置出故障后也能够维持车辆的电路安排中的电子装置与一个故障识别装置连接。在通过所述故障识别装置确定电子装置的故障以后,通过所述电路安排把该电子装置与数据线路脱开连接,由此保持电系统的运行能力。
在DE198 33 462A1中特别涉及到监测数据线路并且涉及到识别可能有损于连接在数据线路上的电子装置的数据线路的故障。为了在发生故障的情况下从数据线路断开电子装置的连接,在数据线路中接入故障识别装置,并且包含电子开关器件,以能够在故障情况下断开数据线路。但是,这样的前提是,所述电子装置与之连接并且在故障的情况下应当在断开连接的每个数据线路中都必须安排有开关元件。
由DE100 30 996A1公知一种前序部分所述技术的方法和装置。在该文中提出,可以通过功能单元借助于一种开关器件启动及关闭监测单元进行的对功能单元的功能监测。所述开关器件例如可以通过设定或者删除一个字位实现。在启动了监测功能时可以通过访问从总线系统断开功能单元的连接。为此监测单元控制另一个开关器件,通过所述开关器件从总线系统断开功能单元的连接。在此出现的问题在于,同样必须设置连接在功能单元与总线系统之间的分开的开关器件,以能够在出故障的情况下从总线系统断开功能单元的连接。
从现有技术公知特别是用于汽车控制设备的功能单元的监测方案,其中在故障的情况下监测单元触发一个复位。在复位以后,功能单元重新开动并且然后达到其运行状态。如果功能单元的故障还一如既往,在运行状态中监测单元才识别该故障,并且这时才重新触发功能单元的复位。在不允许复位状态的期间,功能单元通过总线系统发送信息只是短时间的,因为只有在此状态下功能单元的输入/输出连接位置(所谓的端口)才无效。也就是,在公知的方法中有故障的功能单元可能通过总线系统发送错误的信息,尽管监测单元检测出功能单元的故障。由此可能在工作进程的控制中出现可行性相关联的情况。
本发明的任务在于以简单的方式安全可靠地阻止功能单元发送信息。
为了完成所述任务,本发明从前序部分所述的方法着眼提出,通过监测单元发出一个出错信号,所述出错信号依据是否识别出功能单元的故障而取值,并且,如果识别出功能单元的故障,就把出错信号加在至少一个连接单元上,而且通过所施加的出错信号关闭所述至少一个连接单元。
本发明的优点通过本发明的方法,在由监测单元识别出功能单元的故障时不触发复位,而是简单地关闭一个安排在功能单元与总线之间的连接单元。所述连接单元例如构成为一种信号放大装置,特别是构成总线系统的一种总线驱动电路(所谓的总线驱动器)。总线驱动电路特别地用于在通过总线传输由总线控制装置(所谓的总线控制器)产生的总线信号以前放大所述总线信号,以及用于进行无反作用的信号匹配。也就是根据本发明,功能单元保持处在可以运行的状态,并且可以照旧产生信息。这些信息可能不再通过总线系统传输,因为关闭了发送信息所需要的连接单元。
通过如本发明所述的方法,可以用简单的方式防止损害通过总线系统与出故障的功能单元连接的其它功能单元。在出故障的情况下出故障的功能单元可以不经过总线系统发送可能错误的或者不希望的信息。由此可以得到在网络连接中的可靠的各个系统。
特别有利的是,可以通过功能单元不用附加的开关器件安全可靠地禁止在功能单元和总线系统之间或者在总线系统本身中发送信息。此外,用所述的方法可以持续地禁止通过功能单元发送信息,这相对复位功能单元具有的优点是,出故障的功能单元不再能够在任何时间点经过总线系统发送信息。只要容忍功能单元的故障,功能单元就还完全正常地工作,就是说,它还产生控制和/或调节工作进程的信息,其中这些信息却可能是错误的。然而这些信息不能够通过总线系统传输。通过功能单元的继续运行使之可能,在出故障的情况下也能够继续监测功能单元,并且只要功能单元的故障不再出现,就可以重新允许直接通过功能单元发送信息。
在出故障的情况下禁止通过功能单元发送信息的必要性的理由在于,出了故障的功能单元有可能不再有自行控制和通过正确产生要发送的信息的控制,并且由于本身的故障不能够可靠和安全地自行关闭。在一个其中多个功能单元通过一个总线系统相互连接的网络连接中,由于失效的功能单元可能出现以下风险在总线系统上的其余的接收功能单元得到错误的信息并且由此执行所发起的意外的动作。这种由错误信息触发的动作还可能可靠性相关地作用在要控制的工作进程上。例如一个汽车控制设备的例子可以是内燃机的一个控制设备在故障的情况下使得传动装置控制设备转换到低档,由此可能让车辆进入不稳定的行驶状态。
根据本发明的一个有利的扩展提出,出错信号被施加在至少一个连接单元的复位输入端,所述复位输入端也称作为reset输入端。在出故障时可以通过加在复位输入端上的出错信号关闭连接单元。
根据本发明的一个优选实施方式提出,功能单元与多个总线系统连接并且出错信号被施加在多个总线系统的连接单元上。在出故障的功能单元不仅与一个而且与多个总线连接通过它们向其它功能单元发送信息时,本发明的、可以不需要附加的硬件、例如附加的开关器件安全可靠地禁止通过出故障的功能单元发送信息以中断出故障的功能单元与总线系统之间的连接的这样的优点特别起作用。所有连接在出故障的功能单元上的并且在出故障的情况下应当关闭总线系统中,监测单元的出错信号都被输送到连接单元中。只用于传输非可靠性相关的工作进程(例如舒适性功能的)的总线系统,在功能单元出故障的情况下不必关断。
此外还提出,出错信号加在其工作进程由出故障的功能单元控制或者调节的部件的末级上。所述部件例如是一个内燃机的点火、喷油和/或节流活门的末级。该措施的目的是,在控制或者调节功能单元出故障的情况下可靠地使内燃机停车。
特别有利地提出,在识别出功能单元的故障以后继续由监测单元监测功能单元,并且在识别出功能单元的正常功能以后,重新启动所述至少一个连接单元。这种重新启动连接单元在本发明的方案中随时可以进行。在出故障时进行出故障的功能单元的复位的现有技术中,只有功能单元复位和开动之后才能够识别功能单元的正常功能。从而,使用本发明不仅能够提高包含多个通过一个总线系统相互连接的功能单元的网络连接的可靠性,而且还可以提高网络连接的可支配性,因为可以特别快速地识别功能单元的正常功能。
作为本发明的任务的另一个解决方案,从前序部分所述的技术着眼提出,监测单元具有构成和输出出错信号的装置,所述出错信号根据监测单元是否识别出功能单元的故障而取不同的值,并且提出向至少一个连接单元施加出错信号,且在识别出功能单元的故障时,可以通过加上的出错信号关闭至少一个连接单元。例如所述装置对应于包含通过一个总线系统彼此连接的多个功能单元的一个网络连接。
根据本发明的一个有利的扩展提出,向至少一个连接单元的允许/禁止输出端引入所述出错信号。作为可供选择的替代方案还提出,向至少一个连接单元的复位输入端施加所述出错信号。
有利地,所述装置包含通过一个总线系统互相连接的多个功能单元以及至少一个监测单元,其中在所述监测单元识别出一个功能单元的故障的情况下,禁止该功能单元通过所述至少一个总线系统发送信息。这样的装置相应于最近越来越多地在汽车中使用的所谓多控制设备方案,其中为了提高计算性能相互并行使用多个控制设备,其中各个控制设备分别控制工作进程的一定的部分。例如,在用于控制8缸内燃机的双控制设备设计中,使用第一控制设备控制四个汽缸,并且使用第二控制设备控制其余的四个汽缸。这两个控制设备通过一个总线系统相互连接。关于内燃机或者汽车的运行状态的信息只被引入到第一控制设备,第一控制设备通过总线向第二控制设备转发所述信息。如果第一控制设备的监测单元识别该控制设备的故障,该监测单元关闭该总线系统对第二控制设备的连接,以防止第一控制设备向第二控制设备发送错误的信息然后第二控制错误地控制内燃机的其余四个缸并且有可能出现与安全性相关的事故。
最后从前序部分所述的技术的控制设备着眼,作为本发明的任务的另一个解决方案提出,监测单元具有构成和输出出错信号的装置,所述信号根据监测单元是否识别出功能单元的故障取不同的值,并且提出向至少一个连接单元引入出错信号并且在识别出功能单元的故障时,可以通过加上的出错信号关闭至少一个连接单元。
本发明的其它特征、应用可能性和优点从下面对附图中所示的实施例的说明中给出。在此所有说明的或者图示的特征本身或者任意组合构成本发明的主题,与其在权利要求书中的概括或者其引用无关,并且与其在说明和附图中的阐述和表达无关。在附图中
图1示出根据一个优选的实施例的一个本发明的控制设备;图2示出含有两个通过一个总线系统相互连接的根据本发明的控制设备的根据本发明的装置;以及图3示出现有技术的控制设备(图3b至图3d)的不同状态和信号的过程与根据本发明的控制设备(图3e和图3f)的比较。
在图1中示出一个根据本发明的控制设备SG,其总体上用标号1标出。该控制设备1例如用作在汽车中控制和/或调节工作进程。下面举例详细地说明关于控制设备1用于控制和/或调节在汽车的内燃机中的工作进程。然而,本发明可以普遍地用于所有控制设备SG,例如,通过总线2相互连接并且通过总线2彼此交换信息的传动控制、动态调节、驱动转差调节(ASR)、自动距离调节(EDC电子距离控制)、自适应车速控制(ACC)等等的控制设备。总线系统2例如构成为CAN(控制器局域网)。
控制设备1包含一个功能计算机FR3,所述功能计算机构成为一个微处理器或者一个微控制器。在功能计算机3上运行一种计算机程序,所述的计算机程序用作完成控制设备1的控制功能和/或调节功能。功能计算机3通过连接单元4与总线系统2连接以发送和接收信息。也就是,连接单元4构成为控制器和外部的控制设备传输总线之间的带有信号放大装置的硬件接口,特别是构成为总线驱动电路,例如构成为CAN总线系统的CAN驱动器。CAN驱动器4也称为CAN-Driver。
在功能计算机3中处理完成控制设备1的控制功能和/或调节功能用的计算机程序处理范畴内产生的信息,通过一个数据总线5首先传输到一个CAN控制装置6,所述CAN控制装置6也称为CAN控制器。在CAN控制装置6中,把由功能计算机3产生的信息转变成与CAN协议对应的形式,并且准备通过CAN总线系统2传输。在传输处理了的信息以前必须使信号与CAN总线的电气特性匹配。为此把准备好的信息通过一个双芯数据线路7从CAN控制部署6向CAN驱动器4传输,CAN驱动器4把信号加在CAN总线系统2上。
向功能计算机3划分一种独立的硬件用于功能计算机3的功能监测。所述独立硬件称为监测模块8。监测模块8周期地向功能计算机3提出问题,所述的问题在功能计算机中执行广泛的控制机制,例如程序进程控制或者发出指令,并且构成结果。所述的结果作为对所述问题的回答向监测模块8返回传输。在可规定的时间窗内出故障的监测模块8通过分析回答确定是否有功能计算机3的故障。所述的通过监测模块8进行的所述的监测方案也称为问答通信。监测模块8与功能计算机2之间的通信通过一个SPI(串并行接口)接口9进行。
通过分析功能计算机3的回答在监测模块8中产生一个出错信号WDA,所述的出错信号依据是否识别出功能计算机的故障而取不同的值。优选地在识别出功能计算机3的故障以后增加一个故障计数器的计数。
只有当故障计数器计数超过一个阈值,才输出出错信号WDA。出错信号WDA通过信号线路10被施加在由控制设备1控制和/或调节工作进程的汽车部件K1至Kn的末级E1至En上。例如在控制和/或调节内燃机的汽车控制设备1中,所述末级是点火、喷油和/或节流活门的末级。用出错信号WDA控制末级E1至En的作用是,在出故障的情况下安全地使内燃机停车,并且避免与安全相关的事故。
据本发明,所述出错信号WDA还加在CAN驱动器4的复位输入端RST上。如果识别出功能计算机3的故障就通过加上的出错信号WDA关闭CAN驱动器。由此在功能计算机3故障的整个持续时间可靠、有效地并且首先是持续地禁止损坏的功能计算机3通过CAN总线系统2发送信息。由此还以简单的方式防止通过出故障的功能计算机3通过CAN总线系统2向其它功能计算机发送可能的错误的信息。从而根据本发明的控制设备1在控制设备连接中提供一个可靠的独特系统。这达到了对设备连接中对控制设备要求,也就是说每个控制设备1对从之发送的信息自行负责。
本发明的另一个优点在于,出故障的功能计算机3继续正常工作,并且,尽管可能出了故障却继续地得到控制工作进程的信息。从而所述监测模块8也可以在识别功能计算机3的故障以后继续监测功能计算机3的工作性能。只要监测模块8识别出功能计算机3的故障,CAN驱动器4就保持关闭,从而从出故障的功能计算机3得出的错误信息达不到CAN总线系统2从而不能损害控制设备连接的其它功能计算机。然而只要监测模块识别出功能计算机2的正常功能,CAN驱动器4就重新启动,从而控制设备1就可以完全地正常工作。在本发明中有利的是,可以没有长的时延地重新识别功能计算机3的正常工作。
本发明的另一个优点在于,可以用简单的方式禁止通过出故障的功能计算机3发送信息,并且没有附加硬件,例如没有安排在CAN总线系统2中并且在出故障的情况下开路把功能计算机3从CAN总线系统2分开的附加开关器件。
在图2中示出一个多控制设备方案,准确地说是一种双控制设备方案,其中使用两个控制设备SG1、SG2用于控制一定的工作进程。在所示的实施例中使用两个控制设备SG1、SG2控制一个1 2缸内燃机BM11的工作进程。在此第一控制设备SG1控制前六个缸ZYL12而第二控制设备SG2控制其余六个缸ZYL13。第一控制设备SG1用相应的传感器得到关于行驶要求(风门设定)的信息和/或关于内燃机11和汽车的运行状态的信息。这两个控制设备SG1和SG2通过一个CAN总线系统2相互连接。第二控制设备SG2从第一控制设备SG1得到设定值参数(例如行驶要求)。为了防止在第一控制设备SG1的功能计算机FR1出故障时向第二控制设备SG2传输错误的设定值参数,根据本发明,通过监测单元UeM1禁止通过功能计算机FR1发送信息。为此把监测模块UeM1的出错信号WDA加在CAN驱动器4的复位输入端RST上。
借助于当到不到的数据传输(消息中断或者刷新短缺)控制设备SG2可以识别SG1中的缺陷,并且启动SG2中的相对替代措施或者故障反应。
在图3a至3f中示出各种控制设备状态和控制设备量在时间t上的进程。特别是在图3a中示出监测模块8的出错计数器的状况。所述计数器状态从零开始上升直到超过一个阈值SW。只要出错计数器计数超过阈值SW,在时间点t1触发故障反应。这意味着出错信号WDA取相应的值。出错信号WDA的值特别可以为考虑高或者低。
在图3b、3c和3d中示出的进程相应于现有技术。在图3b中示出复位信号的进程,复位信号根据现有技术从监测模块UeM8加在功能计算机FR3的复位输入端上。在时间点t1触发故障反应,故障反应在现有技术能够触发计算机FR2的复位。在图3c中示出量“自由发出CAN”的进程。所述信号具有“自由”或者“禁止”的值。从图3c可见,CAN信号只在复位(RST=1)期间禁止而在其余的情况下自由。只要自由发出CAN信号,出故障的功能计算机FR3本身就可能通过CAN总线系统2传输可能出错的信息。在一定的情况下可以触发控制设备连接的其它功能计算机FR。
在图3d中示出从现有技术公知的控制设备SG的各种状态。在t1触发故障反应以前控制设备SG运行完全正常的行驶程序A。然后在时间点t 1接着是一个复位状态B。接着控制设备SG进行初始化时相C并且然后再重新改变到正常程序A。而行驶程序A使监测模块UM与受监测的功能计算机FR进行问答通信并且在时间点t2识别出还总是存在功能计算机FR的故障。然后用问答通信D重新进行规定的状态复位B、初始化C和行驶程序A。
在图3e和3f中示出根据本发明的控制设备1的信息和状态进程。通过图3e可以清楚地直接在故障反应以后在时间点t1起在故障存在期间禁止CAN信号。功能计算机3在故障反应以后处在完全正常行驶程序A中,而周期性地进行问答通信D,并且末级通过WDA信号处于关闭的状态(E)。然而由功能计算机3得到的信息不通过CAN总线2传输,因为关闭了CAN驱动器4并且从而禁止了CAN信号。在本发明中,在故障情况下功能计算机3从不处在可能不通过问答通信检验功能计算机3的工作性能的状态。相反在现有技术中,不在状态复位B和状态初始化C时进行功能计算机3的工作性能检验。由此在本发明可以比现有技术更早识别功能计算机3的正常功能。
权利要求
1.一种特别是在车辆中控制和/或管理工作进程的方法,其中,一个功能单元(3)通过至少一个与至少一个总线系统(2)连接的连接单元(4)发送和接收信息,所述的功能单元(3)由一个监测单元(8)监测,并且,如果识别出功能单元(3)的故障就通过所述监测单元(8)禁止功能单元(3)经所述至少一个总线系统(2)发送信息,其特征在于,通过监测单元(8)发出一个出错信号(WDA),所述出错信号(WDA)依据是否识别出功能单元(3)的故障而取不同的值,并且,如果识别出功能单元(3)的故障,就把出错信号(WDA)施加在至少一个连接单元(4)上,而且通过所施加的出错信号(WDA)关闭所述至少一个连接单元(4)。
2.如权利要求1所述的方法,其特征在于,出错信号(WDA)被施加在至少一个连接单元(4)的复位输入端(RST)。
3.如权利要求1或2所述的方法,其特征在于,功能单元(3)与多个总线系统(2)连接并且出错信号(WDA)被施加在多个总线系统(2)的连接单元(4)上。
4.如权利要求1至3之一所述的方法,其特征在于,出错信号(WDA)被施加在其工作进程被控制或者被调节的部件(K1、...Kn)的末级(E1、...En)上。
5.如权利要求1至4之一所述的方法,其特征在于,在识别出功能单元(3)的故障以后由监测单元(8)继续监测功能单元(3),并且在识别出功能单元(3)的功能正常以后,重新启动所述至少一个连接单元(4)。如权利要求1至4之一所述的方法,其特征在于,在识别出功能单元(3)的故障以后,不复位所述功能单元(3),继续有效地运行一个计算机程序,并且通过启动或关闭连接单元(4)来控制监测单元(8)的发送和接收运行。
6.一种特别是在车辆中控制和/或管理工作进程的装置,包含至少一个功能单元(3),所述功能单元(3)通过至少一个与至少一个总线系统(2)连接的连接单元(4)发送和接收信息,并且包含至少一个监测单元(8),所述监测单元(8)监测所述的功能单元(3),其中,如果监测单元(8)识别出功能单元(3)的故障,所述监测单元(8)就禁止功能单元(3)经所述至少一个总线系统(2)发送信息,其特征在于,监测单元(8)具有构成和发出一个出错信号(WDA)的装置,所述出错信号(WDA)依据是否识别出功能单元(3)的故障而取不同的值,并且,如果功能单元(3)的故障被识别出,就把出错信号(WDA)施加到至少一个连接单元(4)上,而且通过所施加的出错信号(WDA)关闭所述至少一个连接单元(4)。
7.如权利要求5所述的装置,其特征在于,出错信号(WDA)被施加在至少一个连接单元(4)的允许/禁止输入端上。
8.如权利要求5所述的装置,其特征在于,出错信号(WDA)被施加在至少一个连接单元(4)的复位输入端(RST)上。
9.如权利要求5至7之一所述的装置,其特征在于,所述装置包含多个通过总线系统(2)相互连接的功能单元(3),以及至少一个监测单元(8),其中,如果监测单元(8)识别出功能单元(3;FR1)的故障,所述监测单元就禁止所述功能单元(3;FR1)经所述至少一个总线系统(2)发送信息。
10.特别是在车辆中控制和/或管理工作进程的控制设备(1),包含至少一个功能单元(3),所述功能单元(3)通过至少一个与至少一个总线系统(2)连接的连接单元(4)发送和接收信息,并且包含至少一个监测单元(8),所述监测单元(8)监测所述的功能单元(3),其中,如果监测单元(8)识别出功能单元(3)的故障,所述监测单元(8)就禁止功能单元(3)经所述至少一个总线系统(2)发送信息,其特征在于,监测单元(8)具有构成和发出一个出错信号(WDA)的装置,所述出错信号(WDA)依据是否识别出功能单元(3)的故障而取不同的值,并且,如果识别出功能单元(3)的故障,就把出错信号(WDA)施加到至少一个连接单元(4)上,而且通过所施加的出错信(WDA)号关闭所述至少一个连接单元(4)。
11.如权利要求9所述的控制设备(SG),其特征在于,出错信号(WDA)被施加在至少一个连接单元(4)的复位输入端(RST)上。
全文摘要
本发明涉及特别是在车辆中控制和/或管理工作进程的一种方法和一种装置。其中一个功能单元(3)通过至少一个连接单元(4)与至少一个总线系统(2)连接以发送和接收信息。所述的功能单元(3)由一个监测单元(8)监测,并且,如果识别出功能单元(3)的故障就通过所述监测单元(8)禁止功能单元(3)通过所述至少一个总线系统(2)发送信息。为了以尽可能简单的方法却能够在出故障的能够下安全可靠地禁止通过所述功能单元(8)发送信息,本发明提出,通过监测单元(8)发出一个出错信号(WDA),所述出错信号依据是否识别出功能单元(3)的故障而取不同的值,并且,如果识别出功能单元(3)的故障,就把出错信号(WDA)加在至少一个连接单元(4)上,而且通过加上的出错信号(WDA)关闭所述至少一个连接单元(4)。
文档编号B60R16/023GK1659484SQ03813246
公开日2005年8月24日 申请日期2003年7月10日 优先权日2002年8月7日
发明者S·凯勒, W·哈格, M·米勒, R·普福伊菲尔 申请人:罗伯特-博希股份公司