专利名称:用于监控技术系统的方法
技术领域:
本发明涉及一种用于监控技术系统的方法。
背景技术:
当前存在不同的方案将控制仪构成为单个不安全型(einzelsicherfrei)或者本质安全型。例如目前汽车中的ESP/ABS-控制仪是用2-计算机方案监视的,其中将功能软件在第二个,常常是同样的计算机上进行并行计算并且将两个计算机的结果进行相互比较。这种方法适用于本质安全型的,然而由于使用两个计算机是比较贵的。
达到控制器本质安全型适合的方法是用3-平面方案进行监视,其中将第二个计算机用比较适合的监视模块代替。
在DE44 38 714A1中已知用于控制汽车驱动单元的一种方法和一种装置。其中用于功率控制的控制仪只有唯一的一个计算单元,所谓的微计算机。该计算单元不仅进行控制而且进行监视。
驱动安全性和有效性是这样保证的,为了进行控制和监视,在唯一的计算单元(微计算机)上安排至少两个,相互至少在故障情况之外独立的平面,其中在第一个平面是计算功率控制的功能和第二个平面有时与一个监视模块(watchdog监视器)合作,因此自己监视这些功能和自己监视计算单元的功能能力。此外在DE44 38 714A1中已知对第二个平面过程进行检查的第三个平面。通过第三个平面的监视非常大地提高了运行安全性和有效性。已知使用一种监视模块(watchdog监视器)将过程检查作为询问-应答-游戏进行。
现实的汽车发动机控制器是按照3-平面方案监视电子发动机充气控制系统(EGAS)的。其中发动机控制器是由所谓的功能计算机和监视模块(watchdog监视器)组成的。功能计算机和监视模块通过询问/应答-通信进行通信并且具有分开的关断路径。平面1代表发动机运行必须的真正的功能软件。将平面1制作在功能计算机上。在同样制作在功能计算机上的第二个平面上借助于简化的发动机模型将允许扭矩与一个发动机实际扭矩进行比较。将这个平面建立在由平面3保护的硬件区域。平面3的组成部分是指令测试,程序过程检查,A/D变换器-测试以及循环的和完全的存储器测试。在现实的电子发动机充气控制系统中整个功能软件和监视软件存在于一个控制器中。
在一个系统例如在一个汽车中常常存在两种控制器。这些控制器大部分是相互独立工作。被一个控制器发现的故障导致同一个控制器的故障反应。
其缺点是,不能够将单个控制器任意相互连接。也就是说不可能把被第一个控制器发现的故障引导为另一控制器上的故障反应。
随着特别是汽车内控制器数量的增加,搭接控制器软件向不同系统的智能化的,整体的调节,控制和监视的需求增加。
发明内容
本发明的目的是建立一种搭接控制器的监视方案,可以将一个系统所有的控制器连接在这个监视方案中,以便对整个系统进行最佳,简单和廉价的监视或者调节成为可能。此外本发明应该使故障识别和随后的故障反应可以在不同的控制器上完成。
本发明的优点这个目的按照本发明是通过具有权利要求1特征的一种方法达到的。通过按照本发明的措施,对控制器应用软件的监视和/或调节是通过实现在控制器,特别是在控制器计算单元上的一个搭接控制器的软件框架(Softwarerahmen)执行监视重要的控制过程以及监视过程,建立一个监视方案,一个系统的所有控制器可以连接在这个监视方案上。一个最佳的,简单的和最廉价的整个系统的监视或者调节将成为可能。
其优点是,如果将搭接控制器的软件框架实现在控制器计算单元之后,至少安排两个相互独立的平面,其中第一个平面进行控制,第二个平面进行监视。通过将控制软件或者用户软件和监视软件分开有可能将一个系统的每个控制器构成为单个故障安全的或者是本质安全型的。第一个平面,也就是说控制器的功率控制存在在所有的控制器上。通过实现搭接控制器的软件框架,该第一个平面被软件框架组成部分的第二个平面监视。
另外的优点是,如果搭接控制器的软件框架的第三个平面通过执行监视的平面的监视检查计算单元的功能方式。第三个平面同样是软件框架的组成部分,并且与第二个平面和第一个平面的功能软件或者用户软件共同构成监视方案。从而在具有多个控制器的一个总系统中可以实现3-平面方案。
通过使用搭接控制器的软件框架,使得由多个控制器组成的总系统的整体监视方案成为可能。如同在单个控制器中已经熟悉的,总系统优异地被3-平面方案监视。与监视单个控制器相反,整体监视提供了可能性,可以将功能或者软件自由地分布在控制器上,不会有监视质量的损失或者故障反应可能性的损失。
本发明使得故障识别与故障反应分开成为可能。于是可以识别第一个控制器的部件故障并且引起另外控制器上的故障反应。将故障反应可以抽象为不同要求,例如不继续加速,不要刹车啮合或者不继续提高发动机转速。
进一步优异的处理步骤是,如果连接在搭接控制器的软件框架第二个平面上的至少一个监视模块的所谓的平面2模块是可以替换的,这个软件框架是用被它使用的计算单元的中央单元(CPU)的指令语句测试的。此外功能监视是用模块式的程序过程检查和用模块式的指令测试进行的。
监视模块测试第二个平面的功能过程并且对要控制的量的额定值/实际值进行比较,例如将发动机额定扭矩与发动机实际扭矩进行比较。对额定值/实际值的比较是在搭接控制器的软件框架的第二个平面上进行的。将监视模块制作在这样的控制器上,在其上至少存在一个可能性,即在故障情况下对所要求的故障反应的转换。
另一个优异的方法步骤为,搭接控制器的软件框架的至少一个通信部件协调各个控制器之间的通信。在这种情况下通信部件放入所有来自总线系统和对每个控制器重要的监视量和将它们提供给第二个平面的所有模块和部件。其中包括真正的功能监视的量以及其他控制器的故障反应要求。此外通信部件还负责准备好向外输出的量以及对其他控制器的故障反应要求。其中除了功能量之外还包括来自有关控制器的故障反应要求。通过输送和接收来自平面2的重要的量以及故障反应要求用简单的方法协调各个控制器之间的通信。
搭接控制器的软件框架的至少一个故障反应处理器可以适当地协调在控制器之间的故障反应要求和通过对相应执行器(Aktor)的控制,例如汽车中的喷油嘴,节流阀,凸轮轴控制或者点火线圈对故障反应要求进行转换。将返回到内部或外部的故障反应要求用一个故障反应处理器进行协调和转换。为每个控制器制作一个矩阵,什么样的执行器可以转换什么样的故障反应要求和必须如何选择控制性能以达到所期望的故障反应(例如对于内部发动机扭矩=0喷射器控制持续时间=0)。对应于在这之前制作的矩阵,故障反应处理器对各个执行器进行控制。
此外优异的是,如果搭接控制器的软件框架的故障反应处理器监视故障反应,此时将执行器所要求的性能与执行器的实际性能进行比较。如果故障反应监视确认,故障反应没有被转换,它就请求局部关断路径和控制器相应地关断。
一个优异的处理步骤是搭接控制器的软件框架的至少一个询问/应答部件在可以更换的监视模块,通信部件,故障反应处理器以及其他部件之间进行询问/应答通信。也就是说询问/应答部件的任务是进行与第二个平面的监视模块和搭接控制器的软件框架的其余模块和部件之间进行询问/应答通信。该种询问/应答部件这样将控制器的硬件连接在一起,始终对监视模块提出与控制器无关同样的问题和与之相适应的正确应答始终与控制器无关是同样的。因此促进了自由更换监视模块。
此外,这个询问/应答部件依赖于控制器硬件的重要性可以非常不同。最简单的情况下,即在相应的控制器中已经实现了一个询问/应答通信和这个部件只展示与第二个平面的功能接口,直到这样的情况,其中真正的控制器监视是通过两个计算机实现的和这个部件必须模拟询问/应答通信。通过询问/应答通信将所有故障引导到零位置或者引导到关断相应的控制器。该询问/应答通信可以由一个监视模块(ASIC)或者第二个计算机执行。
搭接控制器的软件框架的询问/应答部件适宜于检查程序过程,当确认故障时将控制器关断或者将第二个平面的功能量调整为零。
优异的是至少一个测试部件对由第二个平面的模块或者部件所使用的存储器区域进行监视和当确认一个故障时请求一个故障反应。对所使用存储器区域的监视可以循环地进行。
搭接控制器的软件框架优异地允许通过通信部件放入经过总线系统被发送的其他控制器的故障反应和功能量,通信部件将这些提供给搭接控制器的软件框架的其余模块和部件和将它们在检查之后经过总线系统又传送给其他控制器。因此在各个控制器之间的最佳通信成为可能。
一个另外的优点是,如果为了监视各个控制器计算单元的功能安排一个监视器,该监视器在询问/应答通信框架内检查计算单元的功能方式和检查监视的功能方式。
此外优异的是按照上述步骤之一,在一个控制器中,特别是在控制器的计算单元中实现搭接控制器的软件框架。搭接控制器的软件框架有一个模块式结构和至少一个可以更换的监视模块和适当地有至少一个通信部件,至少一个故障反应处理器,至少一个测试部件和/或至少一个询问/应答部件。在一个控制器的搭接控制器的软件模块中将第二个平面的监视模块可以可变地引入和取下。从而一个控制器有可能有很多不同的监视模块和因此可以灵活地对故障反应要求进行反应。一个控制器可以排除由另外控制器确定的故障,不必要由另外的控制器排除这个故障。
监视方案和搭接控制器的软件框架是可以使用在每个任意的技术系统中,但是特别是可以使用在汽车中。
附图描述借助于附图叙述按照本发明用于监视和/或调节一种技术系统的方法或者按照本发明搭接控制器的软件框架方法的进一步细节和优点。附图表示附
图1具有表示各个处理步骤的搭接控制器的软件框架的简图,附图2具有三个控制器的汽车按照本发明的监视方案。
具体实施例方式
附图1示出搭接控制器的软件框架1的优异的实施形式以及由搭接控制器的软件框架1执行的各个处理步骤。将搭接控制器的软件框架1实现在控制器3,30,40上和与已经位于控制器3,30,40上的功能软件或者应用软件15相连接。通信部件7放入所有对于第二个平面重要的量13,14和将这些提供给本地平面2的监视模块6。监视模块6是可变地在搭接控制器的软件框架1上使用。也就是说不仅相应控制器3的监视模块6可以使用在搭接控制器的软件框架1上,而且负责其他的控制器30,40监视模块6也可以使用。监视模块6可以自由分配给所有连接在网络组合上的控制器3,30,40。于是负责驾驶踏板的控制器的监视模块也可以使用在负责发动机控制的控制器上和相反。
提供给监视模块6的重要量是由原本监视的功能量14以及来自其他控制器3,30,40的故障反应要求13组成的。控制器3的通信部件7也将该重要量提供给其他的控制器30,40。其中除了功能量14之外还有来自该控制器3的故障反应要求13。
故障反应处理器8不仅协调控制器内部的而且还协调外部的故障反应要求13。为此为每个控制器制作一个矩阵,哪个执行器9,例如驾驶踏板,喷油嘴或者节流阀,可以将哪些故障反应要求13进行转换。此外故障反应处理器8决定控制性能达到所期望的故障反应。根据找到的最佳解决方法故障反应处理器8控制各个执行器9。此时根据要求可以同时或者先后控制执行器。
搭接控制器的软件框架1的故障反应处理器8进行故障反应监视,此时将执行器9所要求的性能与执行器9实际性能进行比较。如果故障反应监视确认,故障反应13没有被转换,它请求本地关断路径和相应地关断控制器3,30,40。
测试部件11监视被监视模块6所使用的存储器区域12,例如RAM-存储器或者ROM-存储器。对这种监视可以适当地循环进行,但是也可以其他方式地进行。
借助于询问/应答部件10进行与第二个平面5的监视模块6以及搭接控制器的软件框架1的模块和部件7,8,11进行询问/应答通信。询问/应答部件10将内部询问18提给搭接控制器的软件框架1的各个模块和部件6,7,8,10。为此每个监视模块6或者每个部件7,8,11有一个程序过程检查16。此外每个监视模块6或者每个部件7,8,11有一个指令测试部分17。在监视模块6的指令测试部分17或者搭接控制器的软件框架1其他部件7,8,11的指令测试部分17上将进行比较,是否实际性能与所要求的性能一致。也就是说当内部询问经过所有模块或者部件之后,这些各自给出涉及程序过程19以及指令测试20的一个应答返回给询问/应答部件10。
附图2示出了具有3个控制器3,30,40的汽车的一种优异的监视方案。也就是说附图2表示了具有三个参与的控制器的上述监视方案的可能应用情况。
在例子中将驾驶踏板模块50连接在控制器3上。发动机控制模块60连接在控制器30上。对驾驶踏板50的监视是实现在控制器3上。将驾驶踏板位置作为功能量和经过总线系统2传送给第一个平面4和第二个平面5。在控制器30中进行驾驶期望准备及发动机控制。如果驾驶踏板模块50的部件监视确认在驾驶踏板上的故障时,由它请求一个抽象的故障反应,例如一个加速限制或者一个最高速度的限制。
将故障反应要求13通过总线系统2传送给发动机控制模块60的控制器30。控制器3不具备转换这个故障反应的可能性。为了限制汽车加速,不仅可以降低发动机扭矩而且还可以进行刹车制动。制动踏板模块70的控制器40根据提供的初始数据获得安全的汽车纵向加速度和将它经过总线系统2提供给其他的控制器。控制器30的故障反应处理器8于是对于发动机控制降低了发动机扭矩。如果这种措施还不够,制动踏板模块70的控制器40采取积极制动。通过适当的应用软件保证了相互支持地采取了两个措施。
所介绍的监视方案的优点是,这个方案的步进式的转换是与对现有系统影响很小相联系的。
参考符号表1 搭接控制器的软件框架2 总线系统3 控制器4 第一个平面5 第二个平面6 监视模块7 通信部件8 故障反应处理器9 执行器10 询问/应答部件11 测试部件12 存储区域13 故障反应要求14 功能量15 应用软件16 程序过程检查17 指令测试部分18 内部询问19 程序过程检查的应答20 指令测试部分的应答30 控制器40 控制器50 驾驶踏板模块60 发动机控制模块70 制动踏板模块
权利要求
1.监视和/或调节一种技术系统特别是汽车的方法,具有至少两个通过总线系统(2)相互连接的控制器(3,30,40),这些控制器各自具有至少一个计算单元和各自进行监视重要的控制过程以及监视过程,其中在控制器(3,30,40)特别是在控制器(3,30,40)的计算单元上实现的一个搭接控制器的软件框架(1)进行控制器(3,30,40)应用软件(15)的监视和/或调节。
2.按照权利要求1的方法,其中在实现搭接控制器的软件框架(1)之后在控制器(3,30,40)的计算单元上安排至少两个相互无关的平面(4,5),此时第一个平面(4)进行控制,第二个平面(5)进行监视。
3.按照上述权利要求之一的方法,其中在实现搭接控制器的软件框架(1)之后在控制器(3,30,40)的计算单元上安排一个第三个平面,该第三个平面通过监视进行监视的平面(2)检查计算单元的功能方式。
4.按照上述权利要求之一的方法,其中可以更换地连接在搭接控制器的软件框架(1)的第二个平面(5)上的至少一个监视模块(平面2模块)(6)测试由它使用的计算单元的中央单元(CPU)的指令语句。
5.按照上述权利要求之一的方法,其中监视模块(6)测试第二个平面(5)的功能过程和对要控制量的额定值/实际值进行比较。
6.按照上述权利要求之一的方法,其中搭接控制器的软件框架(1)的至少一个通信部件(7)协调各个控制器(3,30,40)之间的通信。
7.按照上述权利要求之一的方法,其中搭接控制器的软件框架(1)的至少一个故障反应处理器(8)协调控制器(3,30,40)之间的故障反应要求(13)和通过控制相应的执行器(9)将其进行转换。
8.按照上述权利要求之一的方法,其中搭接控制器的软件框架(1)的故障反应处理器(8)进行故障反应监视,此时将一个执行器(9)所要求的性能与执行器(9)的实际性能进行比较。
9.按照权利要求7或8的方法,其中故障反应处理器(8)当确定一个没有被转换的一个故障反应时关断控制器(3,30,40)。
10.按照权利要求7至9之一的方法,其中搭接控制器的软件框架(1)的至少一个询问应答部件(10)在可以更换的监视模块(6),通信部件(7)以及故障反应处理器(8)之间进行询问应答通信。
11.按照上述权利要求之一的方法,其中搭接控制器的软件框架(1)的询问应答部件(10)检查程序过程和当确定了故障时关断控制器(3,30,40)和/或将第二个平面(5)的功能量(14)调整为零。
12.按照上述权利要求之一的方法,其中至少一个测试部件(11)对被第二个平面(5)的模块或者部件(6,7,8)使用的存储器区域(12)进行监视和当确定一个故障时要求一个故障反应(13)。
13.按照上述权利要求之一的方法,其中搭接控制器的软件框架(1)的通信部件(7)经过总线系统(2)放入其他控制器(3,30,40)的故障反应要求(13)和功能量(14),提供给搭接控制器的软件框架(1)的模块和部件(6,7,8)和经过总线系统(2)又传送给其他的控制器(3,30,40)。
14.按照上述权利要求之一的方法,其中为了监视各个控制器(3,30,40)的计算单元的功能安排了一个监视器(watchdog),监视器在询问应答通信框架内检查计算单元的功能方式和监视的功能方式。
15.用于执行按照上述权利要求之一的方法的搭接控制器的软件框架(1)是可以实现在一个控制器(3,30,40)上的,特别是可以实现在一个控制器(3,30,40)的计算单元上的。
16.按照权利要求15的搭接控制器的软件框架(1)有一个模块式的结构和至少一个可以更换的监视模块(6)。
17.按照权利要求15或16的搭接控制器的软件框架(1)有至少一个通信部件(7),至少一个故障反应处理器(8)和/或至少一个询问/应答部件(10)。
全文摘要
本发明涉及一种用于监控和/或调节技术系统,特别是汽车的一种方法,具有至少两个经过一个总线系统相互连接的控制器,这些控制器各自有至少一个计算单元和各自进行监控重要的控制过程以及监视过程,其中可实现在控制器,特别是可实现在控制器的计算单元上的搭接控制器的软件框架进行控制器应用软件的监控和/或调节。
文档编号G05B23/02GK1577197SQ20041007121
公开日2005年2月9日 申请日期2004年7月14日 优先权日2003年7月14日
发明者G·E·冯施维尔特费雷尔 申请人:罗伯特-博希股份公司