专利名称:用于操控至少一个执行器的方法和系统的制作方法
技术领域:
本发明涉及根据权利要求1和8的前序部分所述的用于操控至少一个执行器的方法以及系统。
背景技术:
公知有所谓的1οο2系统(1οο2 = 2取1 (1 out of 2)),其中由选择逻辑来判定 应当激活两个控制设备中的哪个。在此,该判定根据输送给选择逻辑的激活信号来作出。该激活信号由上级的诊断和监视设备来生成,所述上级的诊断和监视设备持续地对两个控制设备在其运行能力方面进行检查。尤其是,所述诊断和监视设备的构型是与高的硬件和软件成本相联系的。
发明内容
本发明所基于的任务是,提供一种开头所述类型的系统,该系统在持续监视方面要求较小的成本。本发明通过根据权利要求1所述的方法以及根据权利要求8所述的系统来解决。在本发明中,由控制设备中的每一个执行自我诊断。然后,由控制设备中的每一个根据自我诊断生成至少一个说明应当激活这些控制设备中的哪一个的激活信号。然后,由选择逻辑根据激活信号激活两个控制设备之一以用于影响执行器。根据本发明,两个控制设备执行自我诊断。因此不需要用于上级的诊断和监视设备的附加硬件成本。相反,可以基本上仅仅通过相应控制设备中的附加软件来实现自我诊断。这在根据本发明的系统中表现出显著的简化和成本降低。在本发明的一个有利的改进方案中,两个控制设备中的至少一个具有处理器和监控设备(Watchdog),其中该处理器由该监控设备持续地对可能的故障进行检查,并且其中在故障情况下由监控设备生成故障信号,根据该故障信号生成所属控制设备的一个/多个激活信号。所谓的监控设备是一种可以不需较高成本实现的设备。
本发明的另外的特征、应用可能和优点从下面对附图的图中所示的本发明实施例的描述中得出。在此,所有描述或示出的特征本身或者以任意组合的形式构成本发明的主题,而与其在权利要求书或其回引中的概括无关,以及与其在说明书或附图中的表达或描
绘无关。图1示出了根据本发明的用于操控至少一个执行器的系统的实施例的示意性框图,并且图2示出了应用在图1的系统中的表。
具体实施例方式在图1中示出了系统10,该系统10被设置为操控至少一个执行器11。系统10具有两个控制设备A、B以及选择逻辑13。控制设备A生成两个激活信号AA、AB,该激活信号被输送给选择逻辑13,并且控制设备B生成两个激活信号BA、BB,该激活信号同样被输送给选择逻辑13。此外,控制设备A、B中的每一个都生成操控信号A0Ut、B0Ut,该操控信号被设置为操控执行器11。操控信号Aout、Bout被输送给转换开关14的两个输入端,该转换开关的输出端与执行器11连接。转换开关14的开关位置通过选择逻辑13的转换信号U来预先给定。以未示出的方式给两个控制设备A、B施加一个或多个输入信号。优选地,在此给两个控制设备A、B施加相同的输入信号。输入信号以及两个操控信号A0Ut、B0Ut可以是数字或模拟信号。两个控制设备A、B中的每个都被构造为根据输入信号影响执行器11。在此,两个控制设备A、B中的每个都能够与分别另一控制设备B、A完全无关地以所期望的方式操控执行器11。此外,两个控制设备A、B中的每个都被构造为对自身进行检查。因此,两个控制设备A、B中的每个都可以执行自我诊断。在此,两个控制设备A、B之一的自我诊断与分别另一控制设备B、A无关。根据其自我诊断,两个控制设备A、B中的每个都生成其激活信号ΑΑ、ΑΒ、ΒΑ、BB。 所有四个激活信号AA、AB、BA、BB都被选择逻辑13接收。借助于图2的表,选择逻辑13生成转换信号U,并且因此操控转换开关14。这所造成的结果是,转换开关14被转换到分配给两个控制设备A、B之一的确定开关位置。因此,由转换开关14仅仅将借助于转换信号U 所选择的那个控制设备A、B的操控信号iVout、Bout转送给执行器11。四个激活信号ΑΑ、ΑΒ、BA、BB分别可以具有逻辑值“L”或“H”,其中在本实施例中从这样的逻辑出发,其中值“L”表征所期望的状态。如果激活信号AA例如具有值“H”并且激活信号AB具有值“L”,则这意味着,控制设备A本来想要作为期望状态激活控制设备B。控制设备A的该期望状态例如可以在控制设备A在自我诊断时确定其自身不是完全无故障地工作时得出。在这种情况下,控制设备 A自身不希望是活跃的,并且因此生成具有值“H”的激活信号AA。反之,控制设备A希望的是,控制设备B变为活跃的并且因此生成具有值“L”的激活信号AB。在图2的表中绘出了四个激活信号AA、AB、BA、BB的所有可能的组合,并且给这些组合配备了数字1至16。此外,对于每个组合给定两个控制设备A、B中的哪个分别借助于转换开关14的转换信号U或开关位置来激活。在图2的表中例如在组合6的情况下存在控制设备A生成激活信号AA = H和AB =L的前述情况。在组合6中,控制设备B生成激活信号BA = H和BB = L。这意味着,两个控制设备A、B—致地期望控制设备A不是活跃的,而是控制设备B是活跃的。这因此表示用于控制设备B的激活的正常状态。在组合5中,控制设备A期望控制设备B的激活。但是控制设备B生成激活信号 BA = BB = H。控制设备B想要停用自身以及控制设备A的事实是不可信的并且表明了控制设备B不再是能够运行的。出于该原因,在这种情况下即使控制设备A根本不想要激活自身也仍然转换到控制设备A。在组合8中有类似的表现。在组合8中,控制设备B由于激活信号BA = BB = L而想要激活自身并且同时激活控制设备Α。这是不可信的并且表明了控制设备B不再是能够运行的。出于该原因,在这种情况下也是即使控制设备A根本不想要激活自身也仍然转换到控制设备A。在组合7中,控制设备A、B生成彼此相反的激活信号。因此,控制设备A想要停用自身并且激活控制设备B,而控制设备B恰好不想要激活自身,而是想要激活控制设备A。 根据图2的表,在这种情况下根据定义激活控制设备B。在组合11中,两个控制设备A、B都期望控制设备A被激活。该组合因此表示用于控制设备A的激活的正常状态。在组合9和12中,控制设备B的激活信号是不可信的。出于该原因,在这些情况下激活控制设备A,该控制设备A自身也期望其自己的激活。以类似的方式,在组合13中也激活控制设备A。在组合10中,控制设备A、B生成彼此相反的激活信号。根据图2的表,在这种情况下根据定义激活控制设备B。在组合2、3和4中,至少控制设备A的激活信号是分别不可信的。因此在这些情况下,即使当控制设备B根本不想激活自身时,仍然总是转换到控制设备B。以类似的方式, 在组合14和15中,控制设备A的激活信号是分别不可信的。因此,在这些情况下也激活控制设备B。在组合1和16中,所有4个激活信号都是不可信的。这导致在两种情况下根据定义激活控制设备B。因此在激活信号的所有可能的组合AA、AB、BA、BB中分别激活两个控制设备A、B 之一。这借助于转换信号U通过转换开关14的相应开关位置来实现。于是,执行器11受到所选控制设备A、B的操控信号Aout、Bout影响。如上所述,存在激活两个控制设备A、B之一的组合,尽管该设备根本不想要激活自身。例如,在组合5中情况如此。如果出现这样的或类似的组合,则附加地可能的是,向上级控制装置或应用者通知该状态。于是,该上级控制装置或应用者可以以校正方式干预图1的系统10,并且可以与图2的表相反地根据完全不同的标准选择和激活两个控制设备 A、B 之一。在图1中示例性地在控制设备B的情况下示出了两个控制设备A、B的构型,并且下面根据控制设备B来阐述该构型。能够理解,可以相应地构造控制设备A。控制设备B具有处理器21和所谓的监控设备22。处理器21尤其是负责操控信号 Bout的生成。监控设备所具有的任务是,持续地检查处理器21的运行能力。这在图1中用箭头23标出。相反,处理器21持续地检查监控设备22的运行能力。这在图1中用箭头 M标出。如果监控设备22确定了处理器21的故障运行,则监控设备22生成故障信号F。 在此,该故障信号F必要时可以包含关于处理器21的故障类型的信息。如果处理器21确定了监控设备22的故障运行,则处理器21将其运行方式改变为使得在监控设备22看来就好像处理器21有误地工作一样。由于处理器21的该假定的故障运行,于是监控设备22生成已经提到的故障信号F。可替代地或附加地可能的是,处理器 21生成与监控设备22无关地被转送的故障信号F’。
故障信号F以及必要时故障信号F’被输送给电路25,该电路25根据故障信号F、 F,生成控制设备B的两个激活信号ΒΑ、BB。在此,激活信号BA、BB的值“L”、“H”可以与关于故障类型的可能包含在故障信号 F、F’中的信息有关。如果监控设备22例如确定了处理器21的完全失灵,则这可以导致与监控设备22的过去的检查能力干扰情况下不同的激活信号BA、BB的值“L”、“H”。通过控制设备B的所述构型实现的是,例如处理器21的完全失灵被监控设备22 识别并且通过电路25被进一步报告给选择逻辑13。在此,电路25可以被构造为使得即使在处理器21和监控设备22都不能运行时仍然生成激活信号BA、BB的值“L”、“H”,使得控制设备B被停用。
权利要求
1.一种用于操控至少一个执行器(11)的方法,其中存在两个控制设备(A,B)和选择逻辑(13),并且其中控制设备(A,B)中的每个被构造为影响执行器(11),其特征在于,由控制设备(A,B)中的每个执行自我诊断,由控制设备(A,B)中的每个根据自我诊断生成至少一个激活信号(AA,AB, ΒΑ, BB),所述激活信号(AA,AB, ΒΑ, BB)说明应当激活控制设备(A,B) 中的哪个,以及由选择逻辑(13)根据激活信号(AA,AB, ΒΑ, BB)激活两个控制设备(A,B)之一以影响执行器(11)。
2.根据权利要求1所述的方法,其中由两个控制设备(A,B)中的每个分别生成两个激活信号(AA,AB, ΒΑ, BB),其中所述两个激活信号(AA,AB, ΒΑ, BB)中的每个被分配给所述两个控制设备(A,B)之一,并且其中所述两个激活信号(AA,AB, ΒΑ, BB)说明是否应当分别激活所属的控制设备(A,B)。
3.根据前述权利要求之一所述的方法,其中由选择逻辑(13)检查从所述两个控制设备(A,B)接收的激活信号是否为可信的,并且其中由选择逻辑(13)在一个控制设备的一个 /多个激活信号不可信时激活另一控制设备。
4.根据权利要求3所述的方法,其中所述另一控制设备即使在其自身不期望激活时仍然被激活。
5.根据前述权利要求之一所述的方法,其中由选择逻辑(13)检查从所述两个控制设备(A,B)接收的激活信号是否为可信的,并且其中由选择逻辑(13)在所有激活信号都不可信时激活所述两个控制设备之一。
6.根据前述权利要求之一所述的方法,其中激活由所述两个控制设备(A,B)一致地给定为要激活的控制设备的那个控制设备。
7.根据前述权利要求之一所述的方法,其中所述两个控制设备(A,B)中的至少一个具有处理器(21)和监控设备(22),其中处理器(21)由监控设备(22)持续地对可能的故障进行检查,并且其中在故障情况下由监控设备(22)生成故障信号(F),根据该故障信号(F)生成所属控制设备的一个/多个激活信号。
8.一种用于操控至少一个执行器(11)的系统(10),其中存在两个控制设备(A,B)和选择逻辑(13),并且其中控制设备(A,B)中的每个被构造为影响执行器(11),其特征在于,能由控制设备(A,B)中的每个执行自我诊断,能由控制设备(A,B)中的每个根据自我诊断生成至少一个激活信号(AA,AB, ΒΑ, BB),所述激活信号(AA,AB, ΒΑ, BB)说明应当激活控制设备(A,B)中的哪个,以及能由选择逻辑(13)根据激活信号(AA,AB, ΒΑ, BB)激活两个控制设备(A,B)之一以影响执行器(11)。
9.根据权利要求8所述的系统(10),其中在选择逻辑(13)中存在表,在所述表中针对激活信号(AA,AB, ΒΑ, BB)的每个组合说明要激活的控制设备。
10.根据权利要求8或9之一所述的系统(10),其中所述两个控制设备(A,B)中的至少一个具有处理器(21)和监控设备(22),其中处理器(21)能由监控设备持续地对可能的故障进行检查,并且其中能在故障情况下由监控设备(22)生成故障信号(F),根据该故障信号(F)生成所属控制设备的一个/多个激活信号。
11.根据权利要求8至10之一所述的系统(10),其中控制设备(A,B)被设置为控制和 /或调节尤其是内燃机的执行器。
全文摘要
本发明描述了一种用于操控至少一个执行器(11)的方法。存在两个控制设备(A,B)和选择逻辑(13),其中控制设备(A,B)中的每个都被构造为影响执行器(11)。由控制设备(A,B)中的每个执行自我诊断。由控制设备(A,B)中的每个根据自我诊断生成至少一个激活信号(AA,AB,BA,BB)。所述激活信号(AA,AB,BA,BB)说明应当启用控制设备(A,B)中的哪个。由选择逻辑(13)根据激活信号(AA,AB,BA,BB)激活两个控制设备(A,B)之一以影响执行器(11)。
文档编号G05B19/042GK102473004SQ201080029690
公开日2012年5月23日 申请日期2010年6月1日 优先权日2009年7月1日
发明者海尔 A., 福伊希特 W. 申请人:罗伯特·博世有限公司