用于动力传动系部件的方法和控制器的制造方法

用于动力传动系部件的方法和控制器的制造方法
【专利摘要】一种用于操控机动车(10)的动力传动系(12)的部件(22，24)的方法(68)，其中部件(22，24)以机械的方式预紧到安全状态下，所述方法具有下述步骤：检测(S12)故障状态；检测(S14)故障状态是第一故障状态类型还是第二故障状态类型；当故障状态为第一故障状态类型时，立即中断(S16)对部件(22，24)的操控，使得部件(22，24)通过机械的预紧(30，32)被动地转移到安全状态下，或者当故障为第二故障状态类型时，操控(S22)部件(22，24)，使得部件(22，24)主动地转移到安全状态下(图2)。
【专利说明】用于动力传动系部件的方法和控制器
【技术领域】
[0001]本发明涉及一种用于控制机动车的动力传动系的部件的方法，其中部件以机械的方式预紧到安全状态下，并且还涉及一种用于执行这种方法的控制器。
【背景技术】
[0002]在用于机动车的动力传动系领域中存在下述趋势:借助于电子控制的执行器操作可调节部件。部件能够是驱动发动机的部件(例如节气门)，然而尤其是在功率流方向上设置在驱动发动机下游的部件，例如起动机离合器、变速器、差速器等。
[0003]在此，执行器能够是流体的或机电的执行器。
[0004]因为在机动车动力传动系中可提出对于安全性的提高的要求，所以通常设有安全系统，所述安全系统在电子执行装置中出现故障的情况下应当将相关的部件或动力传动系转移到安全状态下。在此，根据部件在安全方面期望或者需要:在安全时间段(处理安全时间)之内将部件转移到安全状态下。当操作部件例如能够引起动力传动系中的张紧时，能够通过转移到安全状态下防止失去在驱动轮和路面之间的附着。
[0005]在此，安全状态例如能够表示:断开部件，使得不再能够经由其传递驱动功率。然而在一些情况下，安全状态与闭合部件联系在一起。例如由此能够在一些情况下防止牵引力的损失，这在超车过程中可能在安全方面出现问题(例如见DElO 2004 018 962B3)。从该文献中已知的是，在双离合变速器中出现故障类型的情况下，能够经由其传递较高转矩的离合器保持闭合。
[0006]文献DElO 2006 054 253A1中提出，在出现干扰信号时首先断开双离合变速器的两个离合器并且在达到安全的基本状态时再次用压力加载这两个变速器。必要时，干预驱动发动机的控制。
[0007]在处理器故障的情况下，重设(Reset)用于控制部件的控制器，这通常引起断开控制器的输出端。在这种情况下，通过机械预紧部件实现安全状态。从文献W02008/049606A1中已知:与控制器无关地设有安全硬件，所述安全硬件并行于控制器地与执行器装置连接并且设计用于:在故障状态的情况下与控制器无关地对执行器装置供给电功率，以便将呈分离离合器形式的部件转移到安全状态下(例如断开)。
[0008]只要执行器装置具有电动马达，那么机械的预紧在故障状态下就不带动地拖曳电动马达。更确切地说，通过倒转电动马达的转动方向实现安全状态，所述安全状态有助于用于实现安全状态的机械预紧。

【发明内容】

[0009]出于上述背景，本发明的目的是，提供一种用于操控机动车的动力传动系的部件的方法或一种相关联的控制器，借助其能够以低耗费实现高的处理安全性。
[0010]该目的通过一种用于操控机动车的动力传动系的部件的方法来实现，其中所述部件以机械的方式预紧到安全状态下，所述方法具有下述步骤:首先检测故障状态，并且检测故障状态是第一故障状态类型还是第二故障状态类型，其中当故障状态为第一故障状态类型时，立即中断对部件的操控，使得部件通过机械的预紧被动地转移到安全状态下，或者当故障为第二故障状态类型时，操控部件，使得部件主动地转移到安全状态下。
[0011]此外，上述目的通过一种控制器、尤其是用于控制机动车的动力传动系的部件的控制器来实现，其中在控制器中实施根据本发明的方法。
[0012]因此，根据本发明，在不同的故障状态之间进行区分。在此，故障状态能够是严重程度不同的和/或需要安全方面不同的措施。
[0013]在出现第一故障状态类型时，立即中断操控，使得在安全时间段(处理安全时间)之内可以将部件单独地通过机械预紧被动地转移到安全状态下，更确切地说优选即使当在此必须带动地拖曳执行机构时也如此。
[0014]当相反地出现第二故障状态类型时，能够主动地操控部件，使得其转移到安全状态下。这在此能够通过该方法或控制器本身进行，使得不需要附加的和耗费的安全硬件。
[0015]实际上，相对少地出现第一故障状态类型，使得在这种情况下，能够表明提早断开部件的控制是正确的。
[0016]在频繁出现第二故障状态类型的情况下，相反能够更长地“容忍”故障状态，因为部件由于主动的操控而能够相对快速地转移到安全状态下。
[0017]因此，由于该较高的公差阈值能够避免不必要地重设控制器。在控制器中，除了控制软件之外优选执行安全软件，所述安全软件能够独立于控制软件地识别安全临界状态。在此，安全软件一定程度上检查控制软件的功能并且例如能够在出现第二故障状态类型时由本身在绕开控制软件的情况下启动部件的操控，使得部件主动地转移到安全状态下。
[0018]换而言之，能够通过根据本发明的方法在安全临界的故障的情况下在允许的安全时间段(过程安全时间)之内实现安全状态。大体上(在第二故障安全类型的情况下)，在此借助于执行机构来操控部件，使得部件主动地转移到安全状态下。引起不再能够进行软件方面执行的这种故障(例如第一故障状态类型)，在此能够提早地被识别，使得也能够被动地(借助于机械预紧)达到安全状态。
[0019]在此，在识别到安全临界的故障时，不是在任何情况下都中断操控(断开控制器的输出端)，而是必要时有针对性地进行将动力传动系快速地引入到安全状态的动作。在此，少量的动态执行器装置(例如电动马达)也是合适的。取消单独的安全硬件的耗费。在出现第二故障状态类型时，部件的主动操控优选能够关于信号大小和持续时间自由编程。
[0020]安全软件优选能够与控制软件无关地在控制器上执行，并且优选与下述标准无关地执行:在安全软件中不应当出现软件故障。控制软件通常是耗费的软件，其在考虑动力传动系的其他部件的状态和不同行驶状态的情况下具有用于控制部件的复杂的控制算法。控制软件不仅能够操控动力传动系的一个部件而且必要时能够操控动力传动系的多个部件。
[0021]由于控制软件的复杂性，不排除所述控制软件处于故障状态(“本身挂起”)。这由安全软件来识别。用于达到安全状态的部件的主动操控甚至也需要:安全软件能够控制部件。然而，为此在安全软件中实现的功能范围能够是显著更小的并且例如限制于用于将部件转移到安全状态下的简单的流程。用于控制部件的功能范围因此在安全软件中小于在控制软件中。
[0022]因此，完全地实现所述目的。[0023]第一故障状态类型优选包含不再能够由安全软件所控制的这种故障状态。
[0024]根据一个实施方式，第一故障状态类型因此包括控制器的处理器故障，更确切地说尤其包括下述控制器的处理器故障，借助于所述控制器执行控制方法并且必要时在所述控制器上也执行安全软件。
[0025]根据另一实施方式，第一故障状态类型包含供电故障，其中对于控制器的供电是有故障的。
[0026]这通常借助于单独的供电监控装置来询问。
[0027]因此有利的是，由监控装置检测第一和/或第二故障状态类型，所述监控装置监控控制器的处理器和/或控制器的供电。
[0028]用于监控处理器的监控装置例如能够是“看门狗(Watchdog)”模块。用于监控供电的监控装置能够是单独的模块，所述模块必要时与看门狗模块处于连接。
[0029]根据另一优选的实施方案，第二故障状态类型包含控制软件部分中的软件故障。
[0030]在此，控制软件部分优选是上级的控制软件部分(高级软件)并且优选在控制器的处理器上执行。
[0031]根据另一优选的实施方案，由安全软件部分检测第一故障类型和/或第二故障类型。
[0032]在此，安全软件部分优选同样是上级的软件(高级软件)，并且优选安装在处理器上，优选安装在与控制软件部分相同的处理器上。
[0033]处理器当然理解为任何类型的结构，即具有单核或多核的处理器、多处理器系统等。尤其优选的是，处理器为单独的模块，并且尤其优选为微控制器。
[0034]此外有利的是，控制软件部分与输出软件部分处于连接，所述输出软件部分在至少一个处理器输出端处输出信号。
[0035]这种输出软件部分能够实现为下级软件(低级软件)。然而，输出软件部分优选实现为安全相关的软件部分，其与安全软件部分形式类似。因此，输出软件部分优选即使当控制软件部分处于故障状态(被“困住”)时在处理器上也是起作用的(“运行的”)。
[0036]优选地将用于操作动力传动系的部件的信号由输出软件部分输出。
[0037]在此尤其优选的是，安全软件部分与输出软件部分处于连接，以便执行到安全状态下的主动的状态转移。
[0038]换而言之，在出现第二安全状态类型时，通过安全软件部分将用于达到安全状态的指令传送给输出软件部分的方式来执行到安全状态的主动转移，所述输出软件部分然后在至少一个处理器输出端处输出用于将部件转移到安全状态下的相应的信号。
[0039]在此，根据一个实施方案可行的是，输出软件部分在至少一个处理器输出端处输出控制信号，所述控制信号借助于操控器硬件转换成用于操作部件的执行器装置的操控信号。
[0040]对于执行器装置包含电动马达的情况而言，控制信号例如能够是用于电动马达的功率电子装置(输出级)的三相信号，所述功率电子装置例如包含半导体桥式电路。
[0041]控制信号在此能够是在转速和/或转动方向方面电动马达特定的预设。操控器硬件优选实现为单独的硬件模块，例如呈ASIC(为专门目的而设计的集成电路)形式的硬件模块，并且例如以电动马达特定的方式实现，使得特定于所应用的电动马达将在转速和/或转动方向方面的指令转换成用于功率电子装置的相应的三相信号。
[0042]在这种情况下，在控制器的处理器之内优选放弃这种复杂的逻辑转换装置。
[0043]输出软件部分在该情况下例如产生涉及部件(例如离合器的调节路径)的信号，并且将其转换成相应的控制信号，所述控制信号在处理器输出端处输出。
[0044]根据一个替选的实施方案，所述实施方案与第一和第二故障状态类型之间的开始提出的区别无关地是单独的发明，在用于操作动力传动系的部件的控制器的处理器上安装输出软件部分，所述输出软件部分设计和/或构建用于将控制信号转换成操控信号，所述操控信号能够直接地用于操控用于操作部件的执行器装置。
[0045]在该实施方案中，不在单独的模块(ASIC)之内而是在输出软件部分之内进行将如电动马达的转速和转动方向的控制信号转换成操控信号。在此，在至少一个处理器输出端处能够输出操控信号(例如用于电动马达的输出级的三相信号)。
[0046]在该实施方案中，不需要用于将控制信号转换成操控信号的单独的模块，从而降低硬件耗费。
[0047]整体上优选的是，机械预紧构建成，使得在第一预设时间段之内进行到安全状态的被动的状态转移，所述第一预设时间段小于安全时间段减去第一故障识别时间段。
[0048]在此，第一故障识别时间段能够相对短。
[0049]根据另一优选的实施方案，部件的操控动态性能构建成，使得在第二预设时间段之内进行到安全状态的主动的状态转移，所述第二预设时间段小于安全时间段(处理器安全时间)减去第二故障识别时间段。
[0050]在此，第二故障识别时间段能够大于第一故障识别时间段，使得在出现第二故障状态类型的情况下得出对于故障的较高的容忍度，或者说能够在较长的时间间隔(第二故障识别时间段)内时间长地舍弃安全措施。这能够引起，机动车的驾驶员被更少的失效、干扰或干扰警报打扰。这整体上提高机动车的舒适性。
[0051]如上面提及的，用于操作部件的执行器装置能够包含流体的执行器装置(液动的或气动的)或者包含机电的执行器。机电的执行器能够为电磁执行器。然而尤其优选的是，执行器是电动马达。
[0052]部件能够是动力传动系的变速器中的制动器或离合器，例如双离合变速器中的分离离合器或自动的换档变速器中的分离离合器。然而，部件也能够安置在原本的变速器之内，所述变速器例如呈用于接合和分离挡位的和/或用于接合和分离驻车锁止机构的换档离合器形式。然而部件例如也能够在全驱动力传动系中为纵向锁止离合器和/或为横向锁止离合器，如扭矩矢量离合器(Torque-Vectoring-Kupplung)。
[0053]主要在处理器上执行控制软件部分、安全软件部分和输出软件部分，安全软件部分在实现输出软件部分时优选相对于控制软件部分是高优先级的。
[0054]要理解的是，上面提出的和下面还要阐明的特征不仅能够分别以所说明的组合应用，而且也能够单独地或以其他组合应用，而没有偏离本发明的范围。
【专利附图】

【附图说明】
[0055]在附图中示出本发明的实施例并且在下面的描述中详细阐明。其示出:
[0056]图1示出具有控制装置的机动车动力传动系的示意图；[0057]图2示出用于示出根据本发明的方法的一个实施方案的示意流程图；
[0058]图3示出在检测到第一故障状态类型的故障时安全特征变量关于时间的图表；
[0059]图4示出在检测到第二故障状态类型的故障时安全特征变量的相应于图3的视图；
[0060]图5示出图1的控制器的替选的执行方案的视图；和
[0061]图6示出图1的控制器的另一替选的执行方案的示意图。
【具体实施方式】
[0062]在图1中示出机动车10的示意图,所述机动车的动力传动系总体上设有附图标记12。
[0063]驱动器12具有驱动发动机14，例如内燃机或混合动力发动机。驱动发动机14的驱动轴与双离合变速器16的输入端连接。双离合变速器16的输出端与差速器18连接，所述差速器将驱动功率分布到机动车10的被驱动的轮20L、20R上。差速器18能够是机械的差速器，然而也能够是具有两个可彼此独立控制的摩擦离合器的双离合差速器。 [0064]双离合变速器16包含摩擦离合器22和第二摩擦离合器24，所述摩擦离合器和所述第二摩擦离合器的共用的输入元件与驱动发动机14的输出轴连接。此外，双离合变速器16具有第一子变速器26，所述第一子变速器例如与奇数挡位1、3、5……相关联。双离合变速器16的第二子变速器28因此例如与偶数挡位2、4、6……相关联。第一子变速器26的输入元件与第一摩擦离合器22的输出元件连接。第二子变速器28的输入元件与第二摩擦离合器24的输出元件连接。子变速器26、28的共用的输出端与差速器18的输入元件连接。
[0065]第一摩擦离合器22借助于第一预紧弹簧30预紧到安全状态下，其中所述安全状态能够为摩擦离合器22的闭合状态，然而优选为摩擦离合器22的断开状态，其中所述摩擦离合器不能够或基本上不能够传递驱动转矩(“常开”)。第二摩擦离合器24以相应的方式借助于第二预紧弹簧32预紧到安全状态下。
[0066]摩擦离合器22、24能够构成为干式摩擦离合器或也能够构成为湿运行摩擦离合器。
[0067]第一摩擦离合器22借助于第一执行器装置34来操作。第二摩擦离合器24借助于第二执行器装置36操作。执行器装置34、36能够是流体的执行器装置，然而优选是机电执行器装置。在当前的情况下，第一执行器装置34包含电动马达形式的第一执行器38，所述执行器借助于第一输出级40 (第一功率电子装置)控制。第二执行器装置36以相应的方式包含电动马达形式的第二执行器42，所述第二执行器借助于第二输出级44控制。电动马达38、42优选是无刷马达，例如永磁激励的直流马达。此外，电动马达38、42优选能够以两个转动方向被驱动。
[0068]动力传动系12还包含控制装置50。控制装置50具有控制器52，借助于所述控制器控制执行器装置34、36。在此,将第一操控信号ASl由控制器52输出给第一输出级40,并且将第二操控信号AS2由控制器52输出给第二输出级44。操控信号AS1、AS2例如能够将是三相信号，借助于所述三相信号控制输出级40、44中的晶体管-桥式电路或晶闸管-桥式电路。
[0069]控制器52在当前的情况下包含处理器54，所述处理器当前构成为微处理器μ C。此外，控制器52包含电压监控装置56，借助于所述电压监控装置监控控制装置的和/或另外的电组件50的供电或者说电力供应。控制器52还包含总体的监控装置58，所述总体的监控装置例如能够构成为看门狗模块。监控装置58尤其监控处理器54的功能(通过已知的询问机构，例如由看门狗模块来实施)。监控装置58必要时也能够与电压监控装置56处于连接，这在图1中以虚线示出。
[0070]在处理器54上执行多个软件部分，所述软件部分能够在安全方面具有不同的复杂性、不同的等级和/或不同的相关性。在当前的情况下，在处理器54上执行控制软件部分62，所述控制软件部分包含用于摩擦离合器22、24的控制算法或调节算法。控制软件部分62能够为了该目的而供应有适当的输入端信号(例如摩擦离合器的实际位置、摩擦离合器的当前的转矩传递等)，这在图1中出于可视性的理由而没有示出。控制软件部分62是高级部分，然而优选不是安全相关的。
[0071]在处理器54上还执行输出软件部分64，所述输出软件部分64构成为低级部分。输出软件部分64优选是安全相关的。
[0072]安全相关的软件部分在本文中优选如下地理解。安全相关的软件部分优选负责识别安全目标受损并且能够在特定的时间之内将系统转移到安全状态下。在此，安全目标受损优选是严重的故障，例如沿错误的行驶方向行驶。其他严重的故障例如能够是通过自发的给气、不期望的行驶等引起的不期望的发动机转矩提高。与此相反，不严重的故障例如是过于平缓或过于猛烈的换档、过早或过晚的换档连带着相应的转速下降的或不期望高的转速。此外，安全相关的软件部分能够是以特定措施检查是否不存在故障的软件。低级软件部分优选包含接近硬件的软件，例如操作系统、B10S、V10S、驱动器等。高级软件部分是通常基于低级软件的、接近功能部件的软件。高级软件部分优选能够实现全部可通过软件显示的功能。例如，低级软件部分能够读取传感器信号，控制执行器等。特别地，由低级软件部分监控传感器信号(短路、中断)。其中在复杂的诊断中评估多个信号的复杂的主题与高级软件部分相关联。复杂的主题例如是识别错误的行驶方向，其中评估车辆中的换挡杆是否在行驶方向上向前被调整，是否在变速器中挂上了倒档并且是否所属的离合器传递大于特定阈值的力矩。严重的故障不仅能够通过低级软件部分而且也能够通过高级软件部分来识另O。这两个软件部分优选是安全相关的。
[0073]输出软件部分64从控制软件部分62获得上级控制信号US1、US2，所述控制信号例如包含期望离合器位置或类似的期望值。输出软件部分64将该上级控制信号US1、US2转换成例如包含用于第一电动马达38的转速和转动方向和用于第二电动马达42的转速和转动方向的控制信号。在当前的情况下，输出软件部分64还设计用于，将所述控制信号转换成操控信号AS1、AS2，所述操控信号例如能够是用于输出级40、44的三相信号。
[0074]在处理器54上还执行安全软件部分66。所述安全软件部分优选是高级部分并且优选是安全相关的高级部分。安全软件部分66通过适当的措施监控在处理器54上所执行的另外的软件部分和/或整个系统(具有或没有驱动发动机14的动力传动系12)。在此，安全软件部分66例如能够管理故障特征变量，所述故障特征变量是用于干扰或故障的严重程度的度量。
[0075]安全软件部分66优选监控功能，并且尤其优选监控控制软件部分62的故障特征变量，并且在需要时能够导入不同的措施。此外，安全软件部分66与输入软件部分64处于连接。安全软件部分66在此相对于控制软件部分62具有更高优先级，这涉及输出软件部分64的访问。输出软件部分64管理重设输出端R，在所述重设输出端R上安全软件部分66具有直接的访问。这种重设输出端R还同样设置在电压监控装置56上和在监控装置58上。如果在该重设输出端R上出现重设信号(例如从I向O切换)，那么具有重设输入端的输出级40、44立即被切换到无电流状态。尤其当需要重新启动或重设处理器54时输出重设信号。这通常仅当出现严重的故障时是需要的，所述故障当前称作第一故障状态类型。
[0076]在处理器54和线路R上的重设信号被重设的情况下，立即无电流地切换输出级40、44，这引起，电动马达38、42不再能够传递驱动功率。在该情况下，摩擦离合器22、24借助于预紧弹簧30、32转移到安全状态下。在此必要时需要带动地拖曳电动马达38、42。
[0077]到安全状态的这种转移当前称作被动转移。
[0078]当由安全软件部分66检测到在本文中称作第二故障状态类型的故障状态的另外的严重故障时，安全软件部分66也能够经由输出软件部分64进行将摩擦离合器22、24中的至少一个主动地转移到安全状态下。在此，如所提及的那样，安全软件部分66相对于控制软件部分具有更高优先级。
[0079]因此，安全软件部分66在检测到第二故障类型的故障状态的情况下将输出软件部分64带入至:独立于控制软件部分62的输出端将摩擦离合器22、24快速地转移到安全状态下。为了该目的，输出软件部分64在该情况下优选产生下述信号:借助所述信号将两个摩擦离合器22、24的电动马达38、42快速地转移到安全状态下，这例如能够伴随着转动方向的切换。也能够提出的是，安全软件部分66不将这两个摩擦离合器22、24同时转移到安全状态下。在出现仅涉及这两个摩擦离合器中的一个的第二故障状态类型的故障状态的情况下，也能够可行的是:安全软件部分66仅指定输出软件部分64将相关的摩擦离合器转移到安全状态下，即仅将两个摩擦离合器22、24中的一个主动地转移到安全状态下。然后，在这种动作结束时，优选进行处理器54或控制器52的重设。
[0080]在一个不同的实施方案中，动力传动系12也能够仅具有一个摩擦离合器，例如与自动的换档变速器连接。此外，动力传动系12也能够在差速器18的双离合器装置中包含一个或多个摩擦离合器。也可行的是，动力传动系12包含用于锁止车桥的横向锁止离合器和/或用于锁止机动车的两个被驱动的车桥的纵向锁止离合器。通常可行的是，在该情况下，仅设有一个用于操作单独的这种的摩擦离合器的执行器装置(例如34)。替选地可行的是，对于多个这种摩擦离合器而言设有相应的执行器装置，所述执行器装置与控制器连接。
[0081]最后也可行的是，以相同的或相应的方式方法借助于控制器54监控或操控另外的执行器装置，其中另外的执行器装置例如操作变速器中的或子变速器26、28中的一个或多个换档变速器和/或变速器中的或子变速器26、28中的驻车锁止机构。
[0082]在图2中示出用于操控机动车的动力传动系的部件的方法的示意图，其中所述部件以机械的方式预紧到安全状态下。方法68从启动状态SlO开始，在步骤S12中在启动状态询问是否存在故障状态。当不是这种情况时，方法返回开始步骤S12。在检测到故障状态(步骤S12中的J)的情况下，在步骤S14中进一步询问故障状态是第一还是第二故障状态类型。当故障状态为第一故障状态类型时(I)，优选在步骤S20中直接重设控制器。在替选的方法中，方法转移至步骤S16。在步骤S16中，立即中断部件的控制，使得部件通过机械的预紧被动地转移到安全状态下。紧随步骤S16，在步骤S18中询问是否能够消除故障状态并且同时进行消除。当是这种情况时(步骤S18中的J)，方法返回至步骤S12的输入。在其他的情况下，首先触发重设处理器，更确切地说，在步骤S20中触发重设处理器。如所提出的那样，然而优选当故障状态为第一故障状态类型时(I)，直接在步骤S14之后在步骤S20中进行重设，其中不执行步骤S16和S18。在步骤S20中进行重设之后，立即再次起动控制器。
[0083]当在步骤S14中检测到第二故障状态类型时(2)，方法转移至步骤S22。在步骤S22中，操控部件，使得部件主动地转移到安全状态下。在步骤S22之后，然后优选在任何情况下在步骤S20中执行重设。在一个替选的变型形式中，能够紧随步骤S22进行相应于步骤S18的询问S24，所述询问或者引导至方法开始时但是或者引导至重设控制器(S20)。在重设控制器之后，在步骤S26中询问，在控制器上执行的重设的数量是否小于预设数量。当是这种情况时，方法返回步骤S12。当重设的数量超过预设的重设数量时，方法转移至步骤S28。在步骤S28中，处理器或动力传动系持久地断开，使得机动车保持静止并且必须进行维修措施。
[0084]在图3中示出故障特征变量F_SZ关于时间t的图表。
[0085]故障特征变量F_SZ是在安全软件部分66中被管理的特征变量，所述特征变量相应于所出现的故障的程度或者说严重性。在当前的情况下，在图表70中示出故障特征变量？_32 (I)，所述故障特征变量与第一故障状态相关联。在此，为特征变量限定第一安全阈值SK1。只要特征变量F_SZ(1)低于阈值SK1，那么存在不需要开始安全方面的措施的可容忍的故障。在图3中从时间点^至^是这种情况。当超过阈值SKl时，在故障识别时间tDet_pas完成之后在时间点t2实现部件被动地转移到安全状态下。这引起借助于机械预紧将部件转移到安全状态下 ，这可见地能够持续相对长，这在图3中从t2至t3(或在处)示出。然后，在时间点&将部件转移至安全状态，使得再次低于阈值SKl。
[0086]从tl至t3限定所谓的安全时间段72。这是与车辆类型和/或不同的边界条件相关的预设的时间段，在所述时间段之内动力传动系在识别到故障(在时间点U之后再次必须转移到安全状态下(在时间点t3)。因为被动地转移到安全状态下能够持续相对长(在该情况下特征值？_52的斜率小)，所以时间h至t2必须保持相对短。
[0087]例如，时间h至t2位于5ms至10ms的区域中，其中安全时间段72例如能够位于150ms至500ms的范围中。
[0088]在图4中示出相应于图3的图表74,所述图表示出特征变量？_52(2),所述特征变量与第二故障状态类型相关联。在此也设有阈值SK2。当特征值？_52(2)在时间点tl超过阈值SK2时，还能够在相对长的故障识别时间tDrt_art期间容忍该故障状态，更确切地说，容忍至时间点t2a。在该时间点，才进行将部件主动地转移到安全状态下，更确切地说通过主动地控制相关联的执行器将部件主动地转移到安全状态下。由此，部件能够极其快速地转移到安全状态下(在从t2a至&的时间间隔中的时间段之内)。因此，在更长地容忍特征值F_SZ(2)的情况下也还能够在安全时间段(处理安全时间)72之内达到安全状态，所述安全时间段等于图3中示出的安全时间段。
[0089]特征值F_SZ(1)和F_SZ⑵也能够通过唯一的特征值来形成。阈值SK1、SK2也能够是相同的。
[0090]在该情况下经由其他没有示出的特征值来区分:所出现的故障是第一还是第二故障状态类型的故障。
[0091]在图5和6中示出图1的控制装置50的变型形式，其中所述变型形式在图1的简图中具有连接点A、B。
[0092]在图5的变型形式中，处理器54包含输出软件部分64’，所述输出软件部分的结构和功能相应于图1的输出软件部分64。在当前的情况下，控制信号SS1、SS2始于输出软件部分64’，所述控制信号例如分别代表相应的电动马达的转速和转动方向。所述控制信号SSUSS2当前输送给第一控制模块76或第二控制模块78，其将所述控制信号SS1、SS2转换成相应的操控信号AS1、AS2。操控模块76、78例如能够为ASIC模块，所述ASIC模块优选以特定于马达的方式实现。
[0093]在图6中示出处理器54具有输出软件部分64”的变型形式，所述变型形式在结构和功能方面总体上相应于图5的输出软件部分64’。当前，仅信号SS1”由输出软件部分64”输出，所述信号被输送给单独的、共用的操控模块80。信号SS1”在此能够包含一个或多个电动马达的转速和转动方向。共用的操控模块80又将控制信号SS1”转换成操控信号ASl、AS2。
[0094]控制装置50的将部件转移到安全状态下所需的其他功能(例如评估传感器信号等)或者能够由智能模块(ASIC、处理器等)或者由软件部分转换。这种软件部分在该情况下是安全相关的进而优选在安全相关的低级软件部分中进行转换。
【权利要求】
1.一种用于操控机动车(10)的动力传动系(12)的部件(22，24)的方法(68)，其中所述部件(22，24)以机械的方式预紧到安全状态下，所述方法具有下述步骤: -检测(S12)故障状态； -检测(S14)所述故障状态是第一故障状态类型还是第二故障状态类型； -当所述故障状态为所述第一故障状态类型时，立即中断(S16)对所述部件(22，24)的操控，使得所述部件(22，24)通过机械的预紧(30，32)被动地转移到所述安全状态下，或者当所述故障状态为所述第二故障状态类型时，操控(S22)所述部件(22，24)，使得所述部件(22，24)主动地转移到所述安全状态下。
2.根据权利要求1所述的方法，其中所述第一故障状态类型包含控制器(52)的处理器故障。
3.根据权利要求1或2所述的方法，其中所述第一故障状态类型包含供电故障，其中对于控制器(52)的供电是有故障的。
4.根据权利要求2或3所述的方法，其中由监控装置(58)检测所述第一故障状态类型和/或所述第二故障状态类型，所述监控装置监控所述控制器(52)的处理器(54)和/或所述控制器(52)的供电。
5.根据权利要求1至4中的任一项所述的方法，其中所述第二故障状态类型包含控制软件部分(62)中的软件故障。
6.根据权利要求1至 5中的任一项所述的方法，其特征在于，所述第一故障类型和/或第二故障类型由安全软件部分(66)检测。
7.根据权利要求5或6所述的方法，其中所述控制软件部分(62)与输出软件部分(64)处于连接，所述输出软件部分在至少一个处理器输出端处输出信号(AS1，AS2 ;SS1’，SS2’ ；SSl”)。
8.根据权利要求7所述的方法，其中所述安全软件部分(66)与所述输出软件部分(64)处于连接，以便执行到所述安全状态下的主动的状态转移。
9.根据权利要求7或8所述的方法，其中所述输出控制部分(64’;64”)在所述至少一个处理器输出端处输出控制信号(SS1，SS2;SS1”)，所述控制信号借助于操控器硬件(76，78 ；80)转换成用于操作所述部件(22，24)的执行器装置(34，36)的操控信号(AS1，AS2)。
10.一种方法，尤其是根据权利要求1至9中的任一项所述的方法，其中在用于操作动力传动系(12)的部件(22 ；24)的控制器(52)的处理器(54)上安装有输出软件部分(64),所述输出软件部分设计用于，将控制信号(US1，US2)转换成操控信号(AS1，AS2)，所述操控信号能够直接用于操控执行器装置(34，36)，所述执行器装置用于操作所述部件(22;24)。
11.根据权利要求1至10中的任一项所述的方法，其中所述机械的预紧(30，32)设计成，使得在第一预设时间段之内进行到所述安全状态的被动的状态转移，所述第一预设时间段小于安全时间段(72)减去第一故障识别时间段(tDet_pJ。
12.根据权利要求1至11中的任一项所述的方法，其中所述部件(22，24)的操控动态性能构建成，使得在第二预设时间段(tCon_act)之内进行到所述安全状态的主动的状态转移，所述第二预设时间段小于安全时间段(72)减去第二故障识别时间段(tDrt_art)。
13.根据权利要求1至12中的任一项所述的方法，其中用于操作所述部件(22，24)的执行器装置(34，36)具有电动马达(38，42)。
14.一种控制器(52)，所述控制器尤其用于控制机动车(10)的动力传动系(12)的部件(22，24)，其中在所述控制器( 52)中实施根据权利要求1至13中的任一项所述的方法(68)。
【文档编号】F16H61/12GK104040224SQ201380004764
【公开日】2014年9月10日 申请日期:2013年2月12日 优先权日:2012年2月15日
【发明者】马丁·索伊弗特, 拉尔夫·赫蒂奇, 托比亚斯·卡利施, 迈克尔·路德维格, 海科·泽纳 申请人:格特拉格传动机构和齿轮工厂赫尔曼·哈根迈尔有限公司&两合公司