国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      用于對內(nèi)燃機的發(fā)動機控制系統(tǒng)的功能能力進行監(jiān)控的方法和裝置的制作方法

      文檔序號:5183323閱讀:154來源:國知局
      專利名稱:用于對內(nèi)燃機的發(fā)動機控制系統(tǒng)的功能能力進行監(jiān)控的方法和裝置的制作方法
      技術領域
      本發(fā)明涉及一種對控制系統(tǒng)的功能能力進行監(jiān)控的方法,該控制 系統(tǒng)在具有多個執(zhí)行單元的系統(tǒng)上運行。
      背景技術
      在尤其在汽車技術中或在自動化技術中的嵌入式系統(tǒng)的領域中, 有許多應用或者說應用程序,其中在硬件中的故障會引起潛在的對安 全來說非常嚴重的后果。因此為了避免這種后果或者減少其影響,使 用對所述的故障進行探測的監(jiān)控措施。存在一些應用,在這樣的應用 中需要幾乎永久地進行這樣的監(jiān)控。在其它的應用中使用監(jiān)控功能, 所述監(jiān)控功能定期地比如周期性地或者根據(jù)特定的要求檢查,數(shù)據(jù)處 理系統(tǒng)或者其它的硬件-部件是否還正確地起作用。
      圖1示出了發(fā)動機控制領域中一種傳統(tǒng)的監(jiān)控方法的結(jié)構(gòu)。在發(fā) 動機控制系統(tǒng)中,通過噴射系統(tǒng)將燃料噴入燃燒室中。從安全方面看,
      這種在發(fā)動機控制領域中的示范性的應用結(jié)構(gòu)化為三個層面El、 E2、 E3。噴射控制系統(tǒng)的應用程序形成了基礎或者說基礎層面El,該基礎 層面E1包含真正有待執(zhí)行的功能。所述噴射控制系統(tǒng)表明,應該準確 地在何時將多少燃料噴入燃燒室中。在所述噴射控制系統(tǒng)失靈時可能 會出現(xiàn)這樣的情況,即所述噴射控制系統(tǒng)朝燃燒室中噴射太多燃料或 者說持續(xù)噴射燃料,使得汽車非常強烈地加速并且可能導致事故。因 此,在傳統(tǒng)的系統(tǒng)中設置了監(jiān)控層面E2,該監(jiān)控層面監(jiān)控,所述噴射 控制系統(tǒng)在層面El上是否無故障地工作。所述監(jiān)控層面E2由附加的 程序或者說附加的軟件-代碼構(gòu)成,該軟件代碼必要時動用額外的傳感 器。在傳統(tǒng)的發(fā)動機控制系統(tǒng)中,所述監(jiān)控層面E2通常由連續(xù)的力矩 監(jiān)控裝置構(gòu)成,在該力矩監(jiān)控裝置中監(jiān)控,當前由發(fā)動機產(chǎn)生的力矩 是否沒有超過特定的閾值。在傳統(tǒng)的發(fā)動機控制系統(tǒng)中,所述噴射控 制層面El和監(jiān)控層面E2的程序在相同的硬件上或者說在相同的執(zhí)行 單元上運行。因為在層面E1中的噴射控制系統(tǒng)的應用程序以及在層面 E2中的力矩監(jiān)控裝置的應用程序在相同的執(zhí)行單元或者說CPU上運行,所以執(zhí)行單元中的硬件故障會導致不僅噴射控制系統(tǒng)而且力矩監(jiān) 控裝置同時失靈。因此,出于安全原因,在傳統(tǒng)的發(fā)動機控制系統(tǒng)中
      設置另外的安全層面E3,該安全層面E3本身檢查,所述監(jiān)控層面E2 是否正常工作。所述安全層面E3實施所述執(zhí)行單元與外部的硬件-部 件比如ASIC之間的問-答-通訊,其中原則上對所述執(zhí)行單元或者說微 型控制器的功能能力尤其對所述監(jiān)控層面E2內(nèi)部的應用程序的功能 進行檢查。所述監(jiān)控層面E2的應用程序則實施可信度檢查。比如所述 監(jiān)控層面E2的監(jiān)控程序讀入油門操縱踏板的角度位置oc。如果由所述 噴射控制層面El的應用程序所表明的燃料量超過特定的、依賴于通過 傳感器監(jiān)控的油門操縱踏板位置的閾值,那么所述在層面E2上運行的 監(jiān)控程序就發(fā)現(xiàn),在噴射控制系統(tǒng)中出現(xiàn)了故障并且通常出于安全原 因促使切斷發(fā)動機。所述監(jiān)控層面E2比如額外地包括力矩監(jiān)控程序,
      使發(fā)動機不起作用。為實施所述監(jiān)控功能,所述監(jiān)控程序的代碼雙重 地作為E2,來保存。在此用缺省-數(shù)據(jù)或者說檢測數(shù)據(jù)對E2,的算法或者 說程序進行核對。所述安全層面E3的比如在ASIC上也就是說在使用 者所特有的集成線路上運行的程序?qū)⑻囟ǖ奈?模式作為問題加載到所 述執(zhí)行單元或者說CPU上,所述執(zhí)行單元用這個缺省值對所述以副本 形式存在的、按層面E2,的監(jiān)控程序進行核對并且在所述使用者所特有 的集成線路ASIC中將應答-位-模式發(fā)送給所述層面E3的安全程序。 所述安全程序?qū)⑦@個應答-位-模式與基準-位-模式進行比較,以便確定 在CPU內(nèi)部的監(jiān)控程序是否還在無故障地工作。在使用者所特有的集 成線路內(nèi)部的安全程序在另外的硬件也就是在ASIC上運行,這不同于 在執(zhí)行單元或者說CPU上運行的監(jiān)控程序。因此這種傳統(tǒng)的處理方式 構(gòu)成相對于CPU內(nèi)部的硬件故障的一定程度的安全性。
      不過,所述傳統(tǒng)的如在圖1中示出的一樣的安全方案的缺點在于, 所述用于指令測試的監(jiān)控程序為了用缺省值或者說測試值進行核對必 須以副本的形式存在。因此需要存儲空間用于存放所復制的在所述監(jiān) 控層面E2,上的程序指令。
      在所述傳統(tǒng)的指令測試中缺省數(shù)據(jù)或者說測試數(shù)據(jù)用作用于所復 制的監(jiān)控程序E2,的輸入數(shù)據(jù),這種傳統(tǒng)的指令測試的另一個缺點在 于,沒有探測依賴于運算對象的故障。

      發(fā)明內(nèi)容
      因此,本發(fā)明的任務是,提供一種用于對控制系統(tǒng)的功能能力進 行監(jiān)控的方法,該方法也可以探測依賴于運算對象的故障。
      本發(fā)明提供一種用于對控制系統(tǒng)的功能能力進行監(jiān)控的方法,其 中所述控制系統(tǒng)在具有多個執(zhí)行單元的系統(tǒng)上運行。其中在比較-運行
      模式VM中在所述系統(tǒng)的多個執(zhí)行單元上執(zhí)行監(jiān)控程序并且其中將在 執(zhí)行所述監(jiān)控程序時由這些執(zhí)行單元輸出的信號彼此進行比較,以識 別故障。
      按本發(fā)明的方法的優(yōu)點在于,沒有浪費任何用于監(jiān)控程序的所復 制的程序指令的存儲空間。
      在按本發(fā)明的方法的一種實施方式中,所述監(jiān)控程序由用于對由 發(fā)動機產(chǎn)生的力矩進行監(jiān)控的力矩監(jiān)控程序構(gòu)成。
      在按本發(fā)明的方法的一種實施方式中,所述控制系統(tǒng)由發(fā)動機控 制系統(tǒng)構(gòu)成。
      在按本發(fā)明的方法的一種實施方式中,所述監(jiān)控程序同步地在所 述執(zhí)行單元上執(zhí)行。
      在按本發(fā)明的方法的一種作為替代方案的實施方式中,所述監(jiān)控 程序異步地在所述執(zhí)行單元上執(zhí)行。
      在按本發(fā)明的方法的一種實施方式中,所述系統(tǒng)在執(zhí)行所述監(jiān)控 程序之后切換為執(zhí)行-運行模式,在該執(zhí)行-運行模式中所述執(zhí)行單元執(zhí) 行不同的程序。
      在按本發(fā)明的方法的一種實施方式中,所述在執(zhí)行-運行模式中執(zhí) 行的程序?qū)嵤┛刂啤?br> 在按本發(fā)明的方法的一種實施方式中,周期性地執(zhí)行所述監(jiān)控程序。
      在按本發(fā)明的方法的一種實施方式中,在執(zhí)行所述監(jiān)控程序時識 別出故障,如果由執(zhí)行單元在執(zhí)行監(jiān)控程序時發(fā)出的信號彼此間有偏 差。
      在按本發(fā)明的方法的 一種實施方式中,在執(zhí)行監(jiān)控程序時識別出 故障之后切斷由所述控制系統(tǒng)控制的單元。
      此外,本發(fā)明提供一種具有多個執(zhí)行單元的控制系統(tǒng),其中在比 較-運行模式VM中在多個執(zhí)行單元上執(zhí)行監(jiān)控程序,并且將在執(zhí)行監(jiān)控程序時由所述執(zhí)行單元發(fā)出的信號彼此進行比較,以識別出故障。
      在按本發(fā)明的控制系統(tǒng)的一種實施方式中,所述監(jiān)控程序是用于
      對由發(fā)動機產(chǎn)生的力矩進行監(jiān)控的力矩監(jiān)控程序。
      在按本發(fā)明的控制系統(tǒng)的一種實施方式中,所述控制系統(tǒng)是發(fā)動
      才幾控制系統(tǒng)。
      在按本發(fā)明的控制系統(tǒng)的一種實施方式中,所述執(zhí)行單元由微處
      理器、協(xié)處理器(Co-Prozessor)、數(shù)字式信號-處理器DSP、浮點計 算單元FPU或者由算術邏輯單元ALU構(gòu)成。


      下面,在參照用于對那些對本發(fā)明來說十分重要的特征進行解釋 的附圖的情況下對按本發(fā)明的方法及按本發(fā)明的控制系統(tǒng)的優(yōu)選的實 施方式進行說明。其中
      圖1是一張圖表,該圖表用于表示傳統(tǒng)的具有三個層面的安全方
      案;
      圖2是在按本發(fā)明的方法中使用的轉(zhuǎn)換和比較單元的框圖3是一張框圖,該框圖用于表示按本發(fā)明的控制系統(tǒng)的一種可
      能的實施方式;
      圖4是用于對按本發(fā)明的方法進行解釋的流程圖5是用于對按本發(fā)明的方法的一種可能的實施方式進行解釋的
      時間流程圖。
      具體實施例方式
      如可以從圖2中看出的一樣,轉(zhuǎn)換和比較電路1在輸入側(cè)連接到 N+l個執(zhí)行單元2上并且從所述執(zhí)行單元2-i上得到邏輯的輸入信號 E0、 Ep E2、 E3...EN。所述轉(zhuǎn)換和比較單元l包括比較邏輯電路1A和 開關邏輯電路1B。
      所述在圖2中示出的系統(tǒng)可以在至少兩種運行模式中運行。在一 種用于提高功率的、也稱為執(zhí)行-運行模式PM的第一運行模式中,所 述執(zhí)行單元l-i或者說核心(Cores)平行地處理不同的程序或者說任 務。所述執(zhí)行單元2-i可以是用于執(zhí)行計算指令的任意的執(zhí)行單元2-i, 比如是處理器、浮點計算單元FPU、數(shù)字式信號處理器DSP、協(xié)處理 器(Co-Prozessor)或者是算術邏輯計算單元ALU。可以在執(zhí)行模式 PM中通過不同的執(zhí)行單元2-i同步或異步地執(zhí)行程序的處理。在功率
      7模式中,不進行任何冗余的處理,而是所述執(zhí)行單元2-i平行地執(zhí)行不 同的計算或者說程序。在純粹的執(zhí)行-運行模式PM中,將所有的輸入 信號Ej轉(zhuǎn)換到或者說引到相應的輸出信號Ai上。
      除了超標量的計算系統(tǒng)的使用之外,用于多核的架構(gòu)的第二原因 在于,提高信號處理的安全性,方法是多個執(zhí)行單元2-i冗余地處理相 同的程序。在這種也稱為安全模式或者說Safety Mode或者比較-運行 模式VM的第二運行模式中,通過所述轉(zhuǎn)換和比較電路1對所述執(zhí)行 單元的結(jié)果或者說邏輯的輸出信號彼此進行比較,從而可以通過在一 致性方面的比較來識別出現(xiàn)的故障或者說信號偏差。因此,在純粹的 比較-運行模式VM中,將所有輸入信號Ei引到或者說變換到(abbilden ) 剛好一個唯一的輸出信號Ai。也可以考慮混合形式。在可配置的開關 邏輯電路1B中說明,設置了多少輸出接頭或者說輸出信號Ai。此外, 在所述開關邏輯電路1B中記錄,哪些輸入信號Ei有助于哪一個輸出信 號Ai。由此,在所述開關邏輯電路1B中保存了變換函數(shù),該變換函數(shù) 將輸入信號Ei分配給不同的輸出信號A"
      所述處理邏輯電路1A在每個輸出信號Ai上確定,所述輸入信號 以何種形式有助于相應的輸出信號。比如,所述輸出信號Ao由所述輸 入信號E,、 ...、 EN所產(chǎn)生。對于m-l來^兌,這簡單地相當于一個輸入 信號的轉(zhuǎn)換。對于M-2來說,將兩個輸入信號Ep E2彼此進行比較。 這種比較可以同步或者異步地通過所述電路1進行。在這種情況下, 按位進行這種比較或者作為替代方案僅僅將重要的位彼此進行比較。 在M^3時存在不同的方案。第一方案在于,將所有信號彼此進行比 較并且在存在至少兩個不同的數(shù)值時探測到故障,該故障可選通過所 述轉(zhuǎn)換和比較電路1表示出來。另一種方案在于,執(zhí)行"Kausm,,選 擇(從m個中選出K個),其中K>M/2。這在一種實施方式中通過比 較器的設置來實現(xiàn)。在此如果所述輸入信號中的一個輸入信號被發(fā)現(xiàn) 與其它的輸入信號有偏差,就可選地產(chǎn)生第一故障信號。在第二故障 信號不同于所述第一故障信號時,所有三個輸入信號彼此間都有偏差。 在另一種實施方式中,將所述輸入信號值輸送給另外的計算單元,該 另外的計算單元比如計算一個平均值或者說一個中位值或者說實施一 種容錯的算法FTA。在容錯的算法中,刪除或者說忽略所述輸入信號 值的極限值,并且將剩余的信號值求平均。在一種實施方式中,將剩余的信號值的整個量求平均。在一種作為替代方案的實施方式中,將 剩余的信號值的在硬件中可輕易形成的部分量求平均。在形成平均值
      時僅僅必須進行加法和除法運算,而FTM、 FTA或者中位值形成則部 分地要求對所述輸入信號值進行分類。在一種實施方式中,在出現(xiàn)足 夠大的信號偏差或者說極限值時可選輸出或者說顯示故障信號。所提 到的將信號處理成信號的不同的方案就是比較運算。所述處理邏輯電 路1A為每個輸出信號Ai以及由此也為所述輸入信號Ei確定有待進行 的比較運算的精確結(jié)構(gòu)。在所述開關邏輯電路1B內(nèi)部的信息的組合, 也就是說每個輸出信號或者說每個函數(shù)值的在處理邏輯電路1A中說 明的比較運算的分配函數(shù)表示一種運行模式信息并且確定所述運行模 式。這個信息通常是多值的并且通過多于一個的邏輯位來表示。對于 僅僅設置了兩個執(zhí)行單元2-i并且由此僅僅存在一個比較模式這種情況 來說,可以將全部信息在所述運行模式中補償?shù)揭粋€唯一的邏輯位上。
      通常通過以下方法將系統(tǒng)從所述執(zhí)行-運行模式PM轉(zhuǎn)換為比較-運行模式VM,即將所述在執(zhí)行-運行模式PM中變換或者說轉(zhuǎn)換成不 同的信號輸出的執(zhí)行單元2-i在所述比較-運行模式VM中變換或者說 轉(zhuǎn)換成相同的信號輸出。這一點優(yōu)選通過以下方式來實現(xiàn),即設置部 分量的執(zhí)行單元2-i,在這些執(zhí)行單元2-i上在所述執(zhí)行-運行模式PM 中將所有要在所述部分量中加以考慮的輸入信號Ei直接轉(zhuǎn)換為相對應 的輸出信號Ai,而在所述比較模式VM中的輸入信號則全部變換為一 個唯一的信號輸出或者轉(zhuǎn)換成這個唯一的信號輸出。作為替代方案, 可以通過改變配對這種方式來實現(xiàn)轉(zhuǎn)換。
      在所述不同的運行模式之間,可以在通過軟件進行控制的情況下 動態(tài)地在連續(xù)的運行過程中進行轉(zhuǎn)換。在一種實施方式中,通過特殊 的轉(zhuǎn)換指令或者說轉(zhuǎn)換指示、特殊的指示序列、明確表示出來的指示 的執(zhí)行或者通過所述系統(tǒng)的至少其中一個執(zhí)行單元2-i來訪問特定的地 址這種方式來觸發(fā)轉(zhuǎn)換。
      在所述安全模式VM中進行冗余的處理和檢查并且在所述功率或 者說執(zhí)行-運行模式PM中通過單獨的程序處理來提高功率,在這兩種 模式之間的轉(zhuǎn)換通過轉(zhuǎn)換裝置1進行。在一種實施方式中,為進行轉(zhuǎn) 換,通過一個特征標記來標記出程序、應用程序、程序部分或者也標 記出程序指令,通過該特征標記可以發(fā)現(xiàn),這些程序指令是否對安全來說十分重要,也就是說是否必須在所述安全運行模式或者說比較-運
      行模式VM中進行處理,或者是否可以供所述功率或者說執(zhí)行-運行模 式PM使用??梢酝ㄟ^在程序指令中的位進行標識。作為替代方案, 可以通過特殊的程序指令來標記出緊隨其后的序列。
      在所述安全運行模式或者說Safety Mode VM中,在不同的執(zhí)行單 元2-i上進行同步處理時所述執(zhí)行單元2-i的結(jié)果或者說輸出信號的計 算持續(xù)相同時間。而后所述結(jié)果在安全運行模式VM中同步處理時同 時提供給所述轉(zhuǎn)換裝置l。如果結(jié)果一致,那就釋放相應的數(shù)據(jù)。在有 信號偏差時,則進行預先給定的故障反應。
      如果所述系統(tǒng)處于執(zhí)行-運行模式PM中,那就平行處理所述程序 并且沒有觸發(fā)在所述轉(zhuǎn)換和比較電路1內(nèi)部的比較器。
      在按本發(fā)明的用于對在具有多個執(zhí)行單元2的系統(tǒng)上運行的控制 系統(tǒng)的功能能力進行監(jiān)控的方法中,在比較-運行模式VM中在所述系 統(tǒng)的多個或者甚至所有的執(zhí)行單元上執(zhí)行至少一個監(jiān)控程序。將在執(zhí) 行該監(jiān)控程序時由這些執(zhí)行單元2輸出的信號彼此進行比較,以識別 故障。在按本發(fā)明的控制系統(tǒng)的一種優(yōu)選的實施方式中,該控制系統(tǒng) 具有至少三個執(zhí)行單元2。那個和其余的信號之間具有最大的信號偏差 的信號比如借助于多數(shù)決定被識別為有故障的。所述信號在一種實施 方式中是數(shù)字的邏輯信號,尤其是二進制的信號。按本發(fā)明的控制系 統(tǒng)4在一種優(yōu)選的實施方式中是用于控制內(nèi)燃機的發(fā)動機控制系統(tǒng)。 在作為替代方案的實施方式中,所述控制系統(tǒng)4是用于觸發(fā)電動機的 控制系統(tǒng)。所述監(jiān)控程序比如由對通過內(nèi)燃機或電動機產(chǎn)生的力矩進 行監(jiān)控的力矩監(jiān)控程序構(gòu)成。在此,所述監(jiān)控程序可以同步地或異步 地在所述執(zhí)行單元2上執(zhí)行。
      在按本發(fā)明的方法中,用于發(fā)動機控制的標準的應用程序在所述 執(zhí)行-運行模式PM中執(zhí)行,也就是說所述系統(tǒng)的每個執(zhí)行單元2為提 高功率而執(zhí)行用于控制的程序,而其它的執(zhí)行單元2方面則執(zhí)行與此 不同的應用程序。在層面E2上運行的監(jiān)控程序在按本發(fā)明的方法的一 種可能的實施方式中周期性地被調(diào)用。在按本發(fā)明的方法中,所述監(jiān) 控程序在比較-運行模式VM中在所述系統(tǒng)的多個執(zhí)行單元2上執(zhí)行。 在所述比較-運行模式VM中,所述系統(tǒng)的多個或者說所有的執(zhí)行單元 2執(zhí)行相同的監(jiān)控程序,其中將在這過程中產(chǎn)生的輸出信號彼此進行比
      10較,以識別故障。在一種可能的實施方式中,在層面E2上執(zhí)行多個監(jiān) 控程序,這些監(jiān)控程序比如全部周期性地被調(diào)用。所有被調(diào)用的監(jiān)控 程序在所述比較-運行模式VM中執(zhí)行。在一種作為替代方案的實施方 式中,所述監(jiān)控程序根據(jù)特定的要求或者說要求指令被調(diào)用,并且隨 后在比較-運行模式VM中由所述系統(tǒng)的多個或者說至少兩個執(zhí)行單元 2來執(zhí)行。所述的用于執(zhí)行所述監(jiān)控程序的要求指令可以比如通過中斷 (Interrupt)來觸發(fā)。
      在執(zhí)行所述監(jiān)控程序之后,所述系統(tǒng)換回到執(zhí)行-運行模式PM中, 在該執(zhí)行-運行模式PM中所述執(zhí)行單元2優(yōu)選執(zhí)行第一層面El的不 同的程序比如控制程序。
      在按本發(fā)明的方法的一種實施方式中,在所述層面E2中執(zhí)行監(jiān)控 程序時識別出故障,如果由執(zhí)行單元2在所述比較-運行模式VM中執(zhí) 行監(jiān)控程序時輸出的信號彼此有偏差。在這種情況下,優(yōu)選在執(zhí)行監(jiān) 控程序時識別出故障之后切斷由所述控制系統(tǒng)4所控制的單元5比如 發(fā)動機。
      圖3示出了按本發(fā)明的控制系統(tǒng)的一種可能的實施方式的框圖。 在圖3所示的實施方式中,按本發(fā)明的控制系統(tǒng)4具有兩個執(zhí)行單元 2A、 2B。所述執(zhí)行單元2A、 2B可以是完整的微處理器或者說CPU, 可以是協(xié)處理器、數(shù)字式信號處理器DSP、浮點計算單元FPU或者可 以是算術邏輯單元ALU。在按本明的控制系統(tǒng)4的其它實施方式中, 設置了兩個以上的執(zhí)行單元2。在圖3所示的簡單的實施方式中,由執(zhí) 行單元2A、 2B產(chǎn)生的信號相應地中間保存在中間存儲器3A、 3B中。 每個執(zhí)行單元2優(yōu)選在輸出端具有自己的中間存儲器3。所述執(zhí)行單元 2A、 2B的中間存儲的結(jié)果或者說輸出信號被輸送給比較單元1。所述 比較單元4可以比如由如在圖2中示出的一樣的轉(zhuǎn)換和比較電路1構(gòu) 成。所述中間保存的輸出信號的比較可以通過相應的比較程序和軟件 的運行或者以固定布線的方式在硬件中執(zhí)行。
      圖4示出了按本發(fā)明的用于對控制系統(tǒng)的功能能力進行監(jiān)控的方 法的一種可能的實施方式的流程圖。
      在第二個層面E2中調(diào)用監(jiān)控程序之后,在步驟Sl中將系統(tǒng)從所 述執(zhí)行-運行模式PM切換為比較-運行模式VM。隨后激活所述兩個如 在圖3中所示的執(zhí)行單元2A、 2B用于在步驟S2、 S3中執(zhí)行相同的監(jiān)控程序,并且執(zhí)行相同的監(jiān)控程序比如力矩監(jiān)控程序。在圖4所示的 實施方式中,所述兩個執(zhí)行單元2A、 2B在步驟S2、 S3中異步地計算 相應的結(jié)果信號,該結(jié)果信號在步驟S4、 S5中被中間保存在相應的中 間存儲器3A、 3B中。在一種作為替代方案的實施方式中,所述兩個執(zhí) 行單元2A、 2B在步驟S2、 S3中彼此同步地計算相應的輸出信號或者 說結(jié)果值。在存在兩個結(jié)果值或者說輸出信號之后,在步驟S6中優(yōu)選 通過所述切換和比較電路1在這兩個輸出信號之間進行比較。如果這 兩個信號彼此有偏差,那就識別出故障并且隨后進行相應的故障處理。 在一種對安全來說十分重要的應用中,切斷由所述控制系統(tǒng)4觸發(fā)的 單元5,比如發(fā)動機。在步驟S6中的比較要么可以在隨后讀出所述中 間存儲器3A、 3B之后通過相應的借助于軟件進行的比較運算來進行, 要么在一種作為替代方案的實施方式中通過固定布線的線路來進行比 較。
      圖5示出了用于對按本發(fā)明的方法的一種可能的實施方式進行解 釋的時間流程圖。在該實施方式中,所述監(jiān)控程序在層面E2中周期性 地被調(diào)用,并且在所述比較-運行模式VM中通過多個執(zhí)行單元2同時 執(zhí)行。在執(zhí)行所述監(jiān)控程序之后,系統(tǒng)返回到所述執(zhí)行-運行模式PM 中并且在層面El中執(zhí)行真正的控制程序。
      在按本發(fā)明的控制系統(tǒng)4的一種作為替代方案的實施方式中,所 述控制系統(tǒng)4始終在執(zhí)行-運行模式PM中工作,其中用至少兩個執(zhí)行 單元2異步地計算所述監(jiān)控程序。在此將由執(zhí)行單元在這過程中輸出 的結(jié)果或者說輸出信號彼此進行比較,以識別故障。當然,在該實施 方式中,必須相應地中間保存所述結(jié)果并且隨后將所述結(jié)果彼此比較 兩次,也就是一次在第一執(zhí)行單元2A上進行比較并且一次在第二執(zhí)行 單元2B上進行比較,以便對所述兩個執(zhí)行單元2的可能的硬件故障加 以考慮。因此,這種實施方式比一種在所述比較-運行模式VM中執(zhí)行 監(jiān)控程序的實施方式更加麻煩。
      按本發(fā)明的方法也允許探測依賴于運算對象的故障。除此以外, 按本發(fā)明的方法與傳統(tǒng)的在圖1中示出的安全方案相比也明顯地節(jié)省 了存儲空間。
      在按本發(fā)明的控制系統(tǒng)4的一種可能的實施方式中,該控制系統(tǒng)4 具有至少三個執(zhí)行單元2,其中借助于多數(shù)決定在出現(xiàn)信號偏差時可以確定,哪個執(zhí)行單元2可能在有故障的情況下工作。這個執(zhí)行單元2 隨后優(yōu)選進行自測,以便確定這個執(zhí)行單元2是否實際上已失靈。在 一種實施方式中,如果所述自測表明所述執(zhí)行單元2實際上已失靈, 就使所述執(zhí)行單元2不起作用。在這種實施方式中,系統(tǒng)由此甚至在 容錯的情況下進行工作。
      為防止在兩個核心或者說執(zhí)行單元2中出現(xiàn)比如因制造誤差而產(chǎn) 生的永久故障,在按本發(fā)明的方法的一種可能的實施方式中,所述執(zhí) 行單元2分別進行自測。
      在按本發(fā)明的方法的一種可能的實施方式中,在層面E2中在所述 比較-運行模式VM中執(zhí)行監(jiān)控程序,其中為進一步保險起見額外地設 置了安全層面E3,該安全層面E3繼續(xù)執(zhí)行用于對所述監(jiān)控程序的功 能能力進行監(jiān)控的指令測試。 一種所述的實施方式在對安全來說特別 關鍵的應用中是可能的。
      權(quán)利要求
      1. 用于對在具有多個執(zhí)行單元(2)的系統(tǒng)上運行的控制系統(tǒng)的功能能力進行監(jiān)控的方法,其中,在比較-運行模式(VM)中在所述系統(tǒng)的多個執(zhí)行單元(2)上執(zhí)行監(jiān)控程序,并且其中,將在執(zhí)行監(jiān)控程序時由這些執(zhí)行單元(2)發(fā)出的信號彼此進行比較,以識別故障。
      2. 按權(quán)利要求1所述的方法,其中,所述監(jiān)控程序由對由發(fā)動機產(chǎn)生的力矩進行監(jiān)控的力矩監(jiān) 控程序構(gòu)成。
      3. 按權(quán)利要求l所述的方法,其中,所述控制系統(tǒng)由發(fā)動機控制系統(tǒng)構(gòu)成。
      4. 按權(quán)利要求l所述的方法,其中,所迷監(jiān)控程序同步地在所述執(zhí)行單元(2)上執(zhí)行。
      5. 按權(quán)利要求l所述的方法,其中,所述監(jiān)控程序異步地在所述執(zhí)行單元(2)上執(zhí)行。
      6. 按權(quán)利要求l所述的方法,其中,所述系統(tǒng)在執(zhí)行所述監(jiān)控程序之后切換為執(zhí)行-運行模式 (PM ),在該執(zhí)行-運行模式(PM )中所述執(zhí)行單元(2 )執(zhí)行不同的 程序。
      7. 按權(quán)利要求6所述的方法,其中,所述在執(zhí)行-運行模式(PM)中執(zhí)行的程序?qū)嵤┛刂啤?br> 8. 按權(quán)利要求l所述的方法, 其中,周期性地執(zhí)行所述監(jiān)控程序。
      9. 按權(quán)利要求l所述的方法,其中,如果由執(zhí)行單元(2)在執(zhí)行監(jiān)控程序時發(fā)出的信號彼此有 偏差,則在執(zhí)行所述監(jiān)控程序時識別出故障。
      10. 按權(quán)利要求9所述的方法,其中,在執(zhí)行所述監(jiān)控程序時識別出故障之后切斷由所述控制系 統(tǒng)(4)控制的單元(5)。
      11. 具有多個執(zhí)行單元的控制系統(tǒng)(4),其中,在比較-運行模式(VM)中在多個執(zhí)行單元(2)上執(zhí)行監(jiān) 控程序并且將在執(zhí)行監(jiān)控程序時由所述執(zhí)行單元(2)發(fā)出的信號彼此進行比較以識別故障。
      12. 按權(quán)利要求11所述的控制系統(tǒng),其中,所述監(jiān)控程序是對由發(fā)動機產(chǎn)生的力矩進行監(jiān)控的力矩舉 控程序。
      13. 按權(quán)利要求11所述的控制系統(tǒng),其中,所述控制系統(tǒng)(4)是發(fā)動機控制系統(tǒng)。
      14. 按權(quán)利要求11所述的控制系統(tǒng),其中,所述執(zhí)行單元(2)由CPU、協(xié)處理器、數(shù)字式信號處理器 DSP、浮點計算單元FPU構(gòu)成或者由算術邏輯單元ALU構(gòu)成。
      全文摘要
      本發(fā)明涉及一種用于對內(nèi)燃機的發(fā)動機控制系統(tǒng)的功能能力進行監(jiān)控的方法,其中,所述發(fā)動機控制系統(tǒng)具有多個執(zhí)行單元(2A、2B)。在此在比較-運行模式(VM)中在所述系統(tǒng)的多個執(zhí)行單元(2)上執(zhí)行力矩監(jiān)控程序并且將在執(zhí)行所述監(jiān)控程序時由所述執(zhí)行單元(2)輸出的信號彼此進行比較以識別故障。
      文檔編號F02D41/22GK101523038SQ200780037760
      公開日2009年9月2日 申請日期2007年9月19日 優(yōu)先權(quán)日2006年10月10日
      發(fā)明者B·米勒, R·格梅利克, V·皮特扎爾 申請人:羅伯特·博世有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1