用于提高助力转向装置的失效安全性的计算和功能架构系统的制作方法

本发明涉及一种用于运行电的助力转向装置以便提高失效安全性和可用性的计算和功能架构系统。

背景技术：

电的助力转向装置(Electric Power Steering(EPS))用于给机械控制系统施加助力。在此，通常存在如下的控制器(Electronic Control Unit(ECU))，该控制器发送相应的控制信号，从而在转向柱上的机械致动器(例如伺服电机)或者具有被驱动的齿轮的齿杆运动。在此希望确保特定的失效安全性或可用性，以便确保特定的质量准则，例如在汽车领域中常见的汽车安全完整性等级(Automotive Safety Integrity Level，ASIL)，其例如为了自动驾驶而规定。

而失效也被称为系统功能突然丧失(Sudden Loss of System Functionality)。这样的系统功能丧失也可能超出单纯的助力辅助丧失，即：当助力转向装置施加反向于期望的转向运动的力时，该力可能导致过度转向或可能导致转向卡住。

所述可用性通过倒转的标准尺度来给出，该倒转的标准尺度称为每单位时间的失效(failure in time(FIT))。这是关于时间间隔十亿小时的失效率，即，每10⁹小时的失效数。按照用于安全相关的系统的标准ISO 26262的可用性表明：设备在给定的条件下在特定的时间或特定的时间段期间实施功能的能力以所需的外部资源可用为前提。

尝试提高失效安全性的现有技术可以分为两种不同的类别：

1.在控制器内部的监控的冗余

2.在控制器外部的系统的一部分的冗余

第一种类别是现今的用于EPS的控制器的现有技术，这些控制器满足ASIL-D标准的要求。根据必要时实现有限的运行模式的软件措施，这些控制器具有针对辅助突然丧失的在1600至500FTT的范围内的FTT水平。然而不能够实现达到更低的FTT水平、例如100。这样的尝试的设计可以以在例如32位锁步模式中运行主安全性控制和副安全性控制为基础。其它构想、例如电子油门(EGAS)同样是可能的。

第二种类别的系统涉及电子系统的部分冗余或完全冗余。因此，在控制器的电流供应冗余的情况下，仅在电流供应中的故障被该控制器所覆盖，但针对辅助突然丧失的FTT水平根据软件措施和有限的运行模式的可能实现而仍然保持在1600至500FTT的范围内。在控制器完全冗余的情况下，针对辅助突然丧失的FTT水平下降到100FIT之下，但该解决方案引起非常高的复杂性、高的成本并且因此引起该系统在车辆中的不同结构。

第一种类别的示例在文献EP2755881A1、US7165646B2中找到，这些文献都不实现FTT水平为100的目标。

现有技术的下列文件属于第二种类别：

DE19832506A1教导一种用于助力转向系统的电气的电流供应，该电流供应具有主电流供应和单独的备份电池。US8593084B2示出一种用于助力转向的第二辅助性电流供应。这些解决方案不实现100的FTT水平，因为这些发明聚焦于冗余的电流供应，但控制器本身仍然具有1600至500的FTT水平。

文献US6693405B2教导一种电气的助力转向系统，该助力转向系统同样应属于第二种类别。该解决方案成功实现低于100的FIT水平，因为控制器功能全部都双重设置。然而，该解决方案具有下列缺点：

-使用具有6相的电机，这意味着用于将电机集成在控制器中的附加耗费，

-需要冗余的电流供应，这导致车辆的电气架构的改变，例如对至电池的连接器或对电缆束的改变，

-不能实现大量生产，在可预见的时间内非一次地具有小的件数，

-高成本。

技术实现要素：

本发明所基于的任务在于定义一种用于控制器的架构系统(计算和功能架构系统)，该架构系统将助力转向的辅助由于在控制器本身中的故障而出现突然丧失的概率从500FIT减小至100FIT之下。在此应该致力于如下的解决方案，该解决方案是成本低廉的并且能够容易地被集成到现有系统中。

按照本发明，前述任务利用独立权利要求特征来解决。进一步的有利的实施方案在从属权利要求中说明。

提出一种用于运行电的助力转向装置的计算和功能架构系统，所述计算和功能架构系统具有失效概率高的第一组模块和失效概率低的第二组模块。在此，所述第一组模块具有比所述第二组模块高的失效概率。所述第一组模块在此保持冗余并且由此被划分为主模块和冗余构造形式的所谓副模块。所述主模块被设置在主控制路径上且所述副模块被相应设置在副控制路径上。这些控制路径中的每条控制路径最终产生控制信号、即主控制信号和副控制信号。经由多路复用器决定将这两个控制信号的哪个控制信号传递给所述第二组中的模块。该第二组模块仅以单重构造形式存在并且非冗余地存在。

控制路径用于产生控制信号。所产生的控制信号与处理状态并且与该控制路径中的输入参量、例如传感器信号有关。所产生的控制信号此外可以对数据路径、其它控制路径或致动器产生影响。在当前情况下，用于电气的助力转向装置的控制器基于传感器或外围模块(例如转矩传感器)的输入信号或输入参量或者电池电压或CAN接口的数据信号进行计算。控制器、尤其是计算单元从这些参量确定转向系统的状态和所期望的转向力辅助。这些必要时作为数据信号存在的信息经由功率开关传递给位于控制器之外的伺服电机。该伺服电机引起力施加到转向器上。

按照本发明，贯穿控制器的整个控制路径的一部分冗余地设置。从共同的输入信号出发，在主控制路径上的模块以与在副控制路径上的模块相同的方式确定一定的状态参量。这两条控制路径中的一条控制路径经由在控制器中的多路复用器在内部被传递，而另一条路径的控制信号被拒绝。被传递的控制信号在第二组模块中被进一步处理，从而最终产生从控制器中出来的输出控制信号、尤其是操控外部致动器的输出控制信号。

一种决定多路复用器传递所述两个控制信号的哪个控制信号的可能性在于故障信号的条件，该故障信号表明主控制路径是否提供无故障的信号。如果主控制路径没有提供无故障的信号，则多路复用器可以传递副控制路径的信号。

通过所提出的在控制器内的部分硬件冗余，该控制器被划分为对应于第一组模块和第二组模块的冗余部分和非冗余部分。

划分为第一模块和第二组模块是基于已经实施的用于提高或降低失效概率的措施的考虑，其中，所述第二组具有低的失效概率。因此，在控制器中实现的软件策略能够导致第二组模块总体上首先获得低的失效概率。该软件可以包含察觉在这些模块中的故障的并且采取措施来补偿或绕过这些故障的功能。一种可能的解决方案例如是提供有限的运行模式。

通过本发明能够得到下列优点：

-接口中立(schnittstellenneutrale)的解决方案(全内解决方案，all-inside solution)，该解决方案不需要使控制器的外围设备或接口相对于传统的控制器发生改变。在现有技术的可能继续生产的解决方案与所提出的解决方案之间的灵活过渡。

-能够实现在相同的车辆中的集成，因为不需要附加的连接器、附加的电流供应或电缆束。

-克服有缺陷的控制功能以及避免辅助突然丧失。

-从主控制路径到副控制路径以柔和的过渡的快速转换引起对于驾驶员的由于辅助丧失的危险降低并且引起舒适的驾驶感觉。

-低的成本，因为不需要两个电机或两个控制器。例如，不强制需要这样一个六相BLDC电机或附加冗余用于实现期望的FIT水平。

-适用于各种不同类型的EPS系统，例如转向柱EPS和齿杆(齿条)EPS(乘客舱/发动机舱)。

在一种特别的实施方式中，冗余的所述两个控制路径可以并行地在任何时刻实施相同的计算，从而随时存在两个控制信号。这也称为“热冗余”并且能够有利于快速的转换亦及可能的故障校正。

在一种备选的实施方式中，可以仅部分计算或甚至不计算副控制路径，并且副控制路径可以仅当在主控制路径上存在故障时才完全承担和接管计算。根据副控制路径能够承担其任务的快速程度，在识别出故障与通过副控制路径承担功能之间的时间对于助力转向系统的连贯功能来说是足够的。在该变型方案中，可能能够节省用于副控制路径的资源、例如电流消耗。

在所述计算和功能架构系统的一种特别的实施方式中，所述第一组模块包括模块——电流监控器或计算单元中的至少一个模块。所述第二组模块中包括模块——驱动器、末级或相切(Phasenschnitt)/相位控制装置中的至少一个模块。

控制器可以沿着其控制路径具有下列模块：承担能量管理的集成电路(能量管理集成电路，Power-Management integrated circuit(PMIC))，该集成电路与实施主要计算的计算单元(微控制器(MCU)的【核心】)交互，所述计算单元接受传感器和外围设备信号、实现监控任务并且最后确定各信号：应该如何操控电机或从控制器发出的输出信号应该看起来如何。来自计算单元的控制信号经由已经说明的多路复用器被输送给驱动器级(门驱动单元，Gate-Driver-Unit GDU)，该驱动器级又驱控末级(功率级，Power-Stage PS)，该末级与控制器的输出端经由相切控制装置(Phase-Cut-Off PCO)连接。该输出端通常与伺服电机连接。所述相切控制装置可以包括沿相角控制装置(Phasenanschnittsteuerung)和后缘相位控制装置(Phasenabschnittsteuerung)。所述末级可以构造为所谓的B6桥，而所述驱动器单元可以构造为门驱动单元。

最可能对导致辅助突然丧失的故障做出贡献的模块可以包括能量管理系统或电流监控器和计算单元。如果仅这些模块冗余地构造，则产生部分的硬件冗余，其中，恰好电流监控器和计算单元双重地存在、可选地甚至更多重地存在。作为附加的模块还需要多路复用器，该多路复用器选择并且接通相应的控制信号。尽管该多路复用器是附加的构件或模块，但是几乎不增加易受故障影响性(FIT)，因为该多路复用器是相对简单的易受故障影响性低的构件。

该考虑可以以如下为前提：采用软件措施，以便这样影响非冗余的模块、即例如第二组模块，使得在这些模块中的可能故障不导致辅助完全丧失。

这样的不必总是局限于软件实现的措施例如是使用一个具有至少两个计算单元的微控制器，所述至少两个微控制器在锁步运行中实施相同的程序并且进行相同的计算。这典型地发生在一个具有两个计算核心的微控制器中，所述两个计算核心的计算结果例如可以被相互比较，以便发现故障。

在这样的情况下，所提出的结构具有带有总共四个计算核心的两个微控制器，其中一个微控制器为主模块，而另一个微控制器为副模块。软件在锁步模式中在每个微控制器上的计算并非一定用于按照本发明的冗余，即存在主控制路径和副控制路径。而是这些计算可以尝试探测在其它地方的进一步的故障原因，例如计算结果或传感器值的确证。

当然，同样也可想到使用不在锁步模式中运行的微控制器。在该情况下，在主微控制器上存在一个计算单元，并且在副微控制器上存在一个第二计算单元。计算单元和微控制器在此在一定程度上是等同的。

使用锁步模式的另一原因在于针对每条所述路径达到所述标准(ASIL-D)，以便因此尽可能排除转向卡住或转向过度。所述两条控制路径在此可以尽可能无关地运行，以便避免一条控制路径由于在另一条控制路径上的故障而受到影响。

另一优点是，这样实现第一组模块的冗余设计，使得通过多路复用器接通低电压信号、即例如在3至6伏特的范围内的信号，这与具有较高电压的信号不同地能够实现较快速的切换时间和较低的能量损失。

在所述计算和功能架构系统的一种特别的实施方式中，主模块在主模块故障时设定主故障信号，而副模块在副模块故障时设定副故障信号。

这样的故障信号可以是逻辑值为0或1的信号、即数字信号，其中，该逻辑也可以颠倒，即，该逻辑不表示故障，而是表示正常工作状态或者说无故障状态。

故障信号设定的所谓类型有利地这样设计，使得每条路径或相应路径的各模块自我监控并且独立地经由该信号报告故障。

在所述计算和功能架构系统的一种特别的实施方式中，在主控制路径与副控制路径之间来回的唯一通信包括主故障信号从主模块至副模块的传输和/或副故障信号从副模块至主模块的传输。

主故障路径与副故障路径之间的通信当前表明：相应一条故障路径的至少一个模块与另一条路径的相应至少一个模块通信、例如交换数据，所述数据由另一条控制路径的模块来分析。这样的通信尤其是涉及表示状态的数字信号(例如上述故障信号)的交换。

在该实施方式中，在此除这些故障信号、例如故障状态之外不设置另外的通信或另外的信息交换。

以该方式限制通信的优点用于避免系统性的多重故障，这些系统性的多重故障可能在两条信号路径之间广泛交互的情况下出现。这两条控制路径在此尽可能无关地运行，以便避免控制路径被由于数据交换导致的故障所影响。

换言之：一条路径的一个模块经由另一条路径的一个模块获得的唯一信息是表示在所述另一条路径上或在所述另一条路径的另一模块中出现故障的信号。这意味着，故障信号按照较早的说明仅基于一条路径的各模块的计算和基于两条路径的模块或信号无交互而产生。

在所述计算和功能架构系统的一种特别的实施方式中，主模块在副模块故障时设定副故障信号，而副模块在主模块故障时设定主故障信号。

这是对已经阐述的说明内容的一种备选或附加的实施方式，在此，一条路径也可以探测在相应另一条路径(或其模块)中的故障并且设置所述相应另一条路径的相应故障信号。由此，每条路径能够监控相应另一条路径。这可以附加或备选于自身路径的监控地实现。

例如，在副控制路径中可以设置监控主控制路径的模块的监控部件/模块(看门狗)。附加地或备选地，在主控制路径中可以存在监控副控制路径的模块并且必要时设定副控制路径的故障路径的看门狗。

通过该措施必要时能够实现更好地识别故障，该识别允许采用总体上降低易受故障影响性的措施。

在所述计算和功能架构系统的一种特别的实施方式中，所述第一组模块由电流监控器和计算单元组成或者包括电流监控器和计算单元，尤其是包括主电流监控器、主计算单元并且与之并行地包括冗余的副电流监控器和冗余的副计算单元。当主电流监控器识别出主电流监控器或主计算单元的故障时，主电流监控器设定第二主故障信号。当主计算单元识别出主计算单元的故障时，主计算单元设定第一主故障信号。当副电流监控器识别出副电流监控器或副计算单元的故障时，副电流监控器设定第二副故障信号。当副计算单元识别出副计算单元的故障时，副计算单元设定第一副故障信号。

换言之：主电流监控器、例如能量管理集成电路生成用于在主控制路径上的模块中的故障的故障信号，尤其是当主电流监控器识别出主电流监控器或主计算单元自身的缺陷时，其中，该故障信号称为第二主故障信号。主计算单元、尤其是主微控制器生成用于在主控制路径上的模块中的故障的、尤其是用于主计算单元自身的缺陷的故障信号，其中，该故障信号称为第一主故障信号。

副电流监控器、例如能量管理集成电路生成用于在副控制路径上的模块中的故障的故障信号，尤其是当副电流监控器识别出副电流监控器或副计算单元自身的缺陷时，其中，该故障信号称为第二副故障信号。副计算单元、尤其是副微控制器生成用于在副控制路径上的模块中的故障的、尤其是用于副计算单元自身的缺陷的故障信号，其中，该故障信号称为第一副故障信号。

相应计算单元的所谓故障当前可以涉及计算单元自身的缺陷或者涉及计算单元所确认的故障状态。这可以包括：计算单元或者说微控制器的内部或外部故障；PWM信号的真实性检查故障；计算单元的外围设备(如ADC、电机计时器、点火和转速信号或其它模块/传感器)的所确认的故障；尤其是这样的可能导致辅助突然丧失的故障。外围模块或传感器的故障数据或错误数据可能导致不再能够如此准确地确定系统状态以确保可靠的助力转向。

在所述计算和功能架构系统的一种特别的实施方式中，所述多路复用器在设定了主故障信号时传递副控制路径的控制信号，否则传递主控制路径的控制信号。

尤其是，所述多路复用器可以在设定了第二主故障信号时传递副控制路径的控制信号。

在备选的实施方式中，所述多路复用器也可以在设定了副故障信号或者设定了各故障信号的组合时相应地传递或接通所述两条路径之一。

在一个示例中发生如下内容：主计算单元设定第一主故障信号，接着主电流监控器设定第二主故障信号，这基于主计算单元的SPI(串行外围接口)命令所触发。在另一示例中，主电流监控器设定第二主故障信号，因为主电流控制器的看门狗不再被主计算单元操控。

这样的设计允许：仅在所述两条路径之间发生故障信号的交换并且两条路径的控制信号或其它数据的比较最多是附加的、然而是不必要的。通过第一和第二主故障信号或副故障信号的唯一交换，能够实现区分故障状态与正常的运行状态、例如断电序列(Power-off-Sequence)。

例如：第一主故障信号的设定可以表明已经在主计算单元中发现故障，该故障导致辅助丧失。副计算单元等待第二主故障信号，以便一旦多路复用器转换至副控制路径则获得对驱动器级和末级的控制。另一方面，第一主故障信号的设定也可以表明将断开控制器，因为例如点火信号(例如端子15)消失。在该情况下，副计算单元可以检查点火信号的状态是怎样的，以便必要时启动断开序列，而不是接管控制信号的另外计算。

在所述计算和功能架构系统的一种特别的实施方式中，在设定了主故障信号并且同时设定了副故障信号时激活紧急运行状态。

这样的紧急运行状态可以是安全模式、是系统的断开或是具有受限功能的继续运行。

尤其是，所谓的故障信号是第二主故障信号或第二副故障信号。

通过该冗余能够还更准确地区分故障，从而也能够实现更多个不同的紧急运行状态并且这样系统总体上较不容易受到突然完全失效的影响。

此外提出一种根据所提出的计算和功能架构系统的控制器或者组合的电机/控制器单元。

在所述控制器或者组合的电机/控制器单元的一种特别的实施方式中，其不具有冗余的接口。

换言之：控制器的外部接口非冗余地存在。

通过该措施，按照本发明的控制器能够容易地取代传统的控制器，但不必实施对外围设备、尤其是对外部接口的较大的结构性改变。

在一种备选的实施方式中，也可以冗余地设置外部接口，但所述外部接口必要时仅需单一地被连接，以便由此也获得所提及的优点。

此外提出一种助力转向装置(也称为伺服转向装置)，该助力转向装置装备有所提出的控制器或组合的电机/控制器单元。

这样的控制器可以用于助力转向装置、例如转向柱EPS或齿条EPS的电机操控。

在另一种构造方案中，紧接着的相切控制装置(PCO Phase-Cut-Off/控制电源)可以设计成冗余的并且相应地由故障信号来激活。当既不存在第一主故障信号也不存在第二主故障信号时，主相切控制装置例如可以是激活的。同样地，当即不存在第一副故障信号也不存在第二副故障信号时，副相切控制装置例如也可以是激活的。

可以存在各种不同的故障类型。所属于此的有：传感器或外部的外围设备的故障；此外在控制器自身的故障、例如一些模块的缺陷；以及在操控装置中的或在电机自身中的故障。在故障情况下可以以各种不同的方式进行反应：

1.通过由冗余的系统接管功能而继续全辅助，该系统可以如所说明的那样维持冗余的和/或通过合适的软件措施以其它方式得到故障信息。这例如当在控制器中的主微控制器失效并且副微控制器接管其功能时可以是这样的情况。这按照本发明伴随着从主控制路径至副控制路径的控制变换。

2.在有限的运行模式(限制的或降级的模式)中尝试至少部分地维持辅助。要么尝试尽可能好地维持辅助并且例如评估或内插故障信息，要么有意识地限制功能，以便驾驶员给出关于问题或即将来临的失效的反馈。

3.当不再能够实现受控的可用性时，切断辅助(切断/安全模式)。这例如可以在双故障的情况下发生，当在主控制路径中的模块和在副控制路径中的模块失效时。无论如何都应该避免不受控制地继续辅助，该不受控制的继续辅助可能例如由于转向卡住或过渡转向而将车辆置于危急状态下。

所提出的系统也可以与其它故障处理方法或其它冗余的系统组合。这样，软件安全措施能够实现有限的运行模式，或者可以使用两个串联连接的电容器(陶瓷电容器)以避免意外的硬件故障，所述电容器可以被构造在B6桥或传感器数据检测单元或驱动器中。

附图说明

以下借助附图详细说明本发明的实施例。

其中：

图1示出用于操控助力转向装置的控制器，

图2示出基于故障信号状态的状态图。

具体实施方式

在图1中示出控制器(ECU)，在该控制器中，信号流基本上从左向右发生。利用粗实线表征主控制路径的模块和路径(上方路径)。主控制路径的模块和信号具有前缀“MAIN”或后缀“_M”。

利用虚线表征副控制路径的模块和路径(下方路径)。这些模块和路径连同同样用虚线表征的多路复用器(DMUX)一起附加地被安装在控制器(ECU)中，以便能够实现部分冗余。副控制路径的模块和信号具有前缀“AUX”(或可选地也为“SUB”)或具有后缀“_S”。

在进一步的自多路复用器(DMUX)起的走向中，用点线或包络线(Umrandung)表征进一步的共同的控制路径及其模块(第二组)。最后提供用于连接电机的接口，在此用三相U/V/W表示。

此外示出其它输入参量或处理这样输入参量的模块，如点火(IGN)、转速或转矩(Torque)、电机位置(Motor Position)或总线连接(CAN)。这些用点划线示出。

另外的内部的状态参量和信号流是例如从相应的计算单元(MCU)或者说微控制器通至电流监控单元(PMIC)、从驱动器(GDU)通至相应的计算单元(MCU)的电流测量(分支电流Shunt current)或者是关于末级(PS)的被传达至驱动器(GDU)的信息。根据所说明的从属关系，这些信号也用实线、虚线或点线表示。

示出从外部的电流供应KL30/31(端子30–持续电流)出发通至主电流监控器(MAIN PMIC)的主控制路径(粗实线)，所述主电流监控器确保紧接着的主计算单元(MAIN MCU)的正确电压供应和确保该主计算单元的诊断。同样的布置结构适用于具有副电流监控器(AUX PMIC)和副计算单元(AUX MCU)的副控制路径(粗虚线)。

在下面说明的故障信号用简单的、即细的实线和附加的箭头来表征。在此，主电流监控器提供第二主故障信号(2^nd_Safety_M)，当在主电流监控器(MAIN PMIC)或主计算单元(MAIN MCU)中发现故障时设定所述第二主故障信号。而主计算单元提供第一主故障信号(1^st_Safety_M)，该第一主故障信号表明已经由主计算单元发现的或已经在主计算单元中被发现的故障。

相同的情况适用于在副控制路径上的模块的故障。副电流监控器(AUX PMIC)提供第二副故障信号(2^nd_Safety_S)，该第二副故障信号表明已经在副电流监控器(AUX PMIC)或副计算单元(AUX MCU)中被识别出的故障。副计算单元(AUX MCU)提供第一副故障信号(1^st_Safety_S)，该第一副故障信号显示已经由副计算单元(AUX MCU)识别出的或在副计算单元中被识别出的故障。

主计算单元(MAIN MCU)从由副计算单元(AUX MCU)发出的第一副故障信号(1^st_Safety_S)获得知识。相反地，副计算单元(AUX MCU)从由主计算单元(MAIN MCU)发出的第一主故障信号(1^st_Safety_M)获得知识。此外，主计算单元(MAIN MCU)经由第二副故障信号(2^nd_Safety_S)获得知识。同样地，副计算单元(AUX MCU)经由第二主故障信号(2^nd_Safety_M)获得知识。第二主故障信号(2^nd_Safety_M)由主电流监控器(MAIN PMIC)提供。同样地，第二副故障信号(2^nd_Safety_S)由副电流监控器(AUX PMIC)提供。

主控制路径和副控制路径两者及其模块获得来自各种不同的传感器的、来自车辆接口、电机、驱动器、转矩、电机位置传感器、CAN总线接口和电流反馈或分支电流的所有数据。利用这些数据实施计算，这些计算提供必要的辅助，即尤其是用于驱动器(GDU)的并且最终用于电机控制的控制信号。在一种构造方案中，主控制路径和副控制路径两者都是有效的并且能够在任何时刻接管对电机的操控或者说控制。

相应的计算单元(MCU)分别生成PWM信号(MAIN PWM ENA和AUX PWM ENA)，所述PWM信号被输送给多路复用器(DMux)。该多路复用器接通所述两个控制信号中的一个控制信号并且将该一个控制信号传递给驱动器(GDU)。在所示图中，多路复用器(DMux)根据第二主控制信号(2^nd_Safety_M)被接通。如果不存在故障，则主故障路径的控制信号被传递，而在故障情况下由多路复用器(DMux)传递副控制路径的控制信号。

接着的接收所述两个控制信号之一的驱动器级(GDU)同样可以在存在第二主故障信号和第二副故障信号时、尤其是在两个故障信号的“与”组合的情况下被切断。

驱动器(GDU)的信号到达末级(PS)并且接着最后到达相位控制装置(PCO)。后者同样可以设计成冗余的，其中，主相位控制装置在存在第一或第二主故障信号时被切断，而副相位控制装置与其无关地在存在第一或第二副故障信号的情况下被切断。由此，如果两条路径——主控制路径和副控制路径——提供有缺陷的信号，则相位控制装置(PCO)构成安全开关。通过这种类型的切断，中断电机的辅助的分离，即中断力施加。然后电机不再能够将力施加到转向装置上，从而该转向装置能够继续被手动操作，但也不经历任何错误的力作用。

在图2中示出状态图，该状态图根据故障信号示出控制器(ECU)的各种不同的状态。从启动状态(Start-up)出发，检查是否既没有第二主故障状态也没有第二副故障状态被设定。在该图中，逻辑是颠倒的，即逻辑值零将表明故障。因此，在此从故障信号中看出使能信号，但这对于进一步的考虑没有任何区别。

如果存在故障，则不提供任何辅助并且将系统设定在断开状态(OFF Mode)下。然而，如果系统没有故障并且因此可投入运行，则将该系统设定在基于主控制信号(MAIN Control Signals)的运行状态(RUN Mode)下。

如果当正在运行(RUN Mode)时出现故障，则进行如下的处理：

在存在第二副故障信号、但不存在第二主故障信号时，保留在基于主控制信号(MAIN Control Signals)的运行模式(RUN Mode)中。

在存在第二主故障信号的故障并且不存在在第二副故障信号中的故障时，则如下地转换运行状态(RUN Mode)，使得继续地取代主控制信号(MAIN Control Signals)地接通副控制信号(AUX Control Signals)并且副控制路径的信号此时实现对电机的操控。

只要既没有设定第二主故障信号、也没有设定第二副故障信号或者如果回到这些故障状态，则停留在基于主控制信号(MAIN Control Signals)的运行状态(RUN Mode)下或者切换回到该运行状态。

如果通过第二主故障信号并且同时通过第二副故障信号表明故障，则结束运行状态并且激活安全状态(SAFE Mode)。该安全状态能够导致完全切断辅助。在此不进一步提及关于有限运行模式的特别实施方案。

这些过渡在低压范围、即在汽车工业中为直至大约6伏特的电压内切换。这具有显著的优点并且允许在各控制路径之间的快速变换并且因此允许电机控制的柔和过渡。

附图标记列表

ECU 控制器

MAIN 主-

AUX 副-/辅助

PMIC 电流控制装置

MCU 计算单元

DMux 多路复用器

GDU 驱动器

PS 末级

PCO 相切控制装置(Phasenschnittsteuerung)

KL30/31 端子30-电流供应

IGN 点火

Torque 转矩

Motor Position 电机位置

CAN CAN总线

U/V/W 用于电机操控的相位

PWM ENA PWM控制信号

Shunt Current 电流测量

1^st_Safety_M 第一主故障信号

2^nd_Safety_M 第二主故障信号

1^st_Safety_S 第一副故障信号

2^nd_Safety_S 第二副故障信号

Startup 启动序列

OFF Mode 断开状态

RUN Mode 运行状态

MAIN Control Signals 主控制

AUX Control Signals 副控制

SAFE Mode 紧急运行状态