Stand der Technik
[0001] Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Steuerung einer Antriebseinheit
eines Fahrzeugs.
[0002] Ein derartiges Verfahren und eine derartige Vorrichtung wird in der nicht vorveröffentlichten
deutschen Patentanmeldung P 44 38 714.8 vom 29.10.1994 beschrieben. Dort ist eine
Steuereinheit vorgesehen, welche einen Mikrocomputer aufweist, der sowohl die Steuerung
der Leistung der Antriebseinheit (im Falle einer Brennkraftmaschine über Luftzufuhr,
Kraftstoffzumessung und/oder Zündwinkel) als auch die Überwachung der korrekten Funktion
dieser Steuerungsprogramme durchführt. Die Programmstruktur dieses Mikrocomputers
besteht dabei im wesentlichen aus drei voneinander getrennten Ebenen (vgl. auch nachfolgende
Beschreibung zur Figur 1). In einer ersten Ebene werden die Steuerungsfunktionen berechnet.
In einer zweiten Ebene wird das korrekte Arbeiten der Steuerfunktionen der ersten
Ebene anhand von ausgewählten Ein- und Ausgangssignalen geprüft. In einer dritten
Ebene ist eine Überprüfung der in der zweiten Ebene durchgeführten Überwachung im
Rahmen einer Ablaufkontrolle realisiert, die im Zusammenspiel mit einem Überwachungsmodul
(Watch-Dog oder Sicherheitsrechner) die korrekte Abarbeitung der Überwachungsschritte
überprüft. Dazu stellt das Überwachungsmodul eine aus vorbestimmten Fragen ausgewählte
Frage, die durch Bildung einer aus Teilantworten der Programme der zweiten Ebene beantwortet
und dem Überwachungsmodul zur Fehlererkennung zurückgeschickt wird. Im bevorzugten
Ausführungsbeispiel überwacht die zweite Ebene die Lufteinstellung der Brennkraftmaschine
und schaltet im Fehlerfall diese Lufteinstellung ab bzw. leitet einen Notlauf ein.
Das Überwachungsmodul greift in diesem Ausführungsbeispiel sowohl auf die Endstufe
für den die Luftzufuhr steuernden Steller als auch auf die Endstufen für Kraftstoffzumessung
und Zündung ein. Maßnahmen zur Überprüfung der im Rahmen der Funktionsüberwachung
in der zweiten Ebene durchgeführten Berechnungen neben der Kontrolle des Programmablaufes
werden bei der bekannten Lösung nicht beschrieben.
[0003] Eine andere Fehlerüberwachung von Steuerrechnern von Brennkraftmaschinen ist aus
der EP-A-512 240 bekannt.
[0004] Es ist Aufgabe der Erfindung, Maßnahmen zur Überprüfung der im Rahmen der Funktionsüberwachung
anzugeben.
[0005] Dies wird durch die Merkmale der unabhängigen Patentansprüche erreicht.
Vorteile der Erfindung
[0006] Die erfindungsgemäße Lösung erlaubt die Erkennung von Fehlern des Mikrocomputers,
die sich gleichartig sowohl auf die Berechnung der Steuerungsfunktionen als auch auf
die Berechnung der Überwachungsfunktionen auswirken. Daher werden in vorteilhafter
Weise auch schlafende Fehler erkannt, beispielsweise eine quantitative nicht richtig
rechnende Überwachungsfunktion.
[0007] Dabei ist besonders vorteilhaft, daß im Rahmen der erfindungsgemäßen Lösung nicht
Operationen verwendet werden, die getrennt von den zu überwachenden Programmen vorliegen,
sondern der zu überwachende Programmcode. Damit erlaubt die erfindungsgemäße Lösung
eine nahezu hundertprozentige Überprüfung der Funktionsüberwachung einer Steuerung
für eine Antriebseinheit.
[0008] Besonders vorteilhaft ist, daß bei geeigneter Wahl der Testdatensätze in allen relevanten
Wertebereichen repräsentative Tests durchgeführt werden können. Somit wird eine bitgenaue
Überprüfung einer Überwachungsfunktion einer Leistungssteuerung einer Antriebseinheit
geschaffen.
[0009] Weitere Vorteile ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen
bzw. aus den abhängigen Patentansprüchen.
Zeichnung
[0010] Die Erfindung wird nachstehend anhand der in der Zeichnung dargestellten Ausführungsformen
näher erläutert. Dabei zeigt Figur 1 ein Strukturbild einer Steuereinrichtung für
eine Antriebseinheit, während in den Figuren 2 und 3 anhand von Flußdiagrammen ein
erstes Ausführungsbeispiel der erfindungsgemäßen Lösung dargestellt ist. Figur 4 zeigt
Signalverläufe für dieses Ausführungsbeispiel. In den Figuren 5, 6 und 7 ist ein zweites
Ausführungsbeispiel der erfindungsgemäßen Lösung als Blockschaltbild bzw. als Flußdiagramme
dargestellt.
Beschreibung von Ausführungsbeispielen
[0011] In Figur 1 ist eine Steuereinheit 10 zur Steuerung einer Antriebseinheit eines Fahrzeugs,
vorzugsweise einer Brennkraftmaschine, dargestellt. Die Steuereinheit 10 umfaßt unter
anderem eine Eingangsschaltung 12, der Eingangsleitungen 14 und 16 von Meßeinrichtungen
18 und 20 zugeführt sind. In der Eingangsschaltung 12 werden die Eingangssignale der
Steuereinheit aufbereitet und einem Mikrocomputer 22 zugeführt. Im bevorzugten Ausführungsbeispiel
einer Leistungssteuerung handelt es sich bei den Meßeinrichtungen 18 und 20 um zwei
Meßeinrichtungen zur Erfassung des Betätigungsgrades eines vom Fahrer betätigbaren
Bedienelements, beispielsweise eines Fahrpedals. Die beiden Meßeinrichtungen können
dabei redundant aufgebaut sein oder in einem anderen Ausführungsbeispiel als kontinuierliche
Meßeinrichtung (zum Beispiel Potentiometer) und diskontinuierliche Meßeinrichtung
(zum Beispiel Schalter) ausgeführt sein. Deren über die Leitungen 14 und 16 zugeführten
Meßsignale werden in der Eingangsschaltung 12 getrennt voneinander aufbereitet und
vorzugsweise auf getrennten Wegen 24 und 26, beispielsweise über zwei Eingangsports
oder zwei A/D-Kanäle, dem Mikrocomputer 22 zugeführt. Neben diesen Meßsignalen werden
der Steuereinheit bzw. dem Mikrocomputer weitere Meßgrößen der Antriebseinheit und/oder
des Fahrzeugs zugeführt, z.B. Motordrehzahl, Stellung eines Leistungsstellelements,
etc., was aus Übersichtlichkeitsgründen in Figur 1 nicht dargestellt ist. Der Mikrocomputer
22 ist bezüglich seiner Programmstruktur im wesentlichen in drei Ebenen aufgeteilt.
In einer ersten Ebene 28 sind die Programme 30 zur Durchführung der Steuerung für
die Antriebseinheit zusammengefaßt. Im bevorzugten Ausführungsbeispiel handelt es
sich dabei um Programme, die auf der Basis des Betätigungsgrades des Bedienelements
(zugeführt über Verbindungen 44 und 46) und weiterer Betriebsgrößen das Drehmoment
der Antriebseinheit einstellen, in bevorzugten Ausführungsbeispiel einer Brennkraftmaschine
die Luftzufuhr über eine elektrisch betätigbare Drosselklappe, die Kraftstoffzumessung
und den Zündzeitpunkt berechnen. Entsprechend weist der Mikrocomputer 22 Ausgangsleitungen
32 und 34 auf, die auf Endstufen 36 und 38 führen, die wiederum über entsprechende
Ausgangsleitungen 40 und 42 Zündzeitpunkt, Kraftstoffzumessung und Luftzufuhr einstellen.
In einer zweiten Ebene 48 sind die Programme 50 zusammengefaßt, die zur Funktionsüberwachung
der Steuerfunktionen 30 dienen. Dabei werden in einem bevorzugten Ausführungsbeispiel
ein vom Fahrerwunsch abgeleitetes zulässiges Moment der Antriebseinheit mit dem eingestellten
Moment verglichen und bei Überschreiten ein Fehlerzustand erkennt. Im bevorzugten
Ausführungsbeispiel der Steuerung einer Brennkraftmaschine können auch Plausibilitätsüberprüfungen
bezüglich des Betätigungsgrades des Bedienelements und der Einstellung der Drosselklappe
oder entsprechender Werte für die Motorlast durchgeführt werden. Der Ebene 2, dort
den Programmen 50 für die Funktionsüberwachung, werden demnach zum einen die Eingangssignale
bezüglich des Betätigungsgrades des Bedienelements zugeführt (Verbindungen 52 und
54), zum anderen Berechnungsergebnisse der Programme 30 für die Steuerfunktionen (Verbindungen
56 und 58). In einem anderen Ausführungsbeispiel werden zusätzlich oder alternativ
zu den Berechnungsergebnisse Meßgrößen für die Motorlast, die Drosselklappenstellung
und/oder des Drehmoments zugeführt. Über die Ausgangsleitung 60 des Mikrocomputers
22 nimmt die Funktionsüberwachung 50 im bevorzugten Ausführungsbeispiel Einfluß auf
die Endstufe 38 zur Steuerung der Drosselklappe. Neben der ersten und zweiten Ebene
weist die Programmstruktur des Mikrocomputers 22 eine dritte Ebene 62 auf, in denen
die Programme 64 zur Ablaufkontrolle der Funktionsüberwachung 50 zusammengefaßt sind.
Die Programme 64 kommunizieren dabei über Verbindungsleitungen 66 und 68 mit einem
Überwachungsmodul 70 eines vom Mikrocomputer getrennten Watch-Dogs bzw. Sicherheitsrechners
72. Über die Verbindungsleitung 66 wählt das Überwachungsmodul 70 in den Programmen
64 zur Ablaufkontrolle vorbestimmte Sequenzen aus. Diese bestehen im wesentlichen
darin, daß die Ablaufkontrolle 64 in der Funktionsüberwachung 50 die Durchführung
einer Rechenoperation (Antwort) auf der Basis von Teilantworten, die nach ausgewählten
Programmschritten gebildet werden, auslöst (über Verbindung 74), deren Ergebnis von
der Ablaufkontrolle 64 wieder zugeführt wird (über Verbindung 76). Das Ergebnis bzw.
eine aus diesem abgeleitete Größe leitet die Ablaufkontrolle 64 über die Verbindung
68 zum Überwachungsmodul 70 weiter, welches die Antwort mit seiner über die Leitung
66 abgegebenen Frage vergleicht. Im Fehlerfall nimmt das Überwachungsmodul 70 über
die Ausgangsleitung 68 Einfluß auf die Endstufen 36 und 38.
[0012] Im bevorzugten Ausführungsbeispiel wird aus dem Betätigungsgrad des Bedienelements
ein Sollwert für das Drehmoment der Antriebseinheit abgeleitet. Das tatsächliche Drehmoment
wird diesem Sollwert durch Einstellen der Luftzufuhr, der Kraftstoffzumessung und
des Zündwinkels angenähert.
[0013] Erfindungsgemäß ist zur erweiterten Überwachung der Funktion des Mikrocomputer, zumindest
im kritischen Fall des losgelassenen Bedienelements (Leerlauf), in einem ersten Ausführungsbeispiel
folgendes vorgesehen: Das Überwachungsmodul 70 setzt zyklisch (z.B. alle 200 msec)
zumindest in vorbestimmten Betriebszuständen, wenn z.B. das Bedienelement losgelassen
ist, stationär gehalten wird, der Betätigungsgrad sich in einem vorgegebenen Wertebereich
befindet und/oder nach Ablauf einer vorbestimmten Betriebsdauer oder Anzahl von Betriebszyklen
eine Reizinformation über die serielle Schnittstelle oder ein Portpin an den Mikrocomputer
22. Dieser reagiert auf dieses Reizsignal, indem er zumindest für Teile der Überwachungsfunktion
(vorzugsweise für die Istmomentenberechnung oder für die Berechnung des zulässigen
Moments) nicht die in den Speicherzellen abgelegten, der Überwachungsfunktion zugrunde
liegenden Größen (z.B. tatsächlichen momentenbestimmenden Größen wie Lastsignal und
eingestellter Zündwinkel oder Betätigungsgrad) zugrundeliegt, sondern Testsignale,
die im entsprechenden Betriebszustand die Überwachungsfunktion verletzen (z.B. ein
hohes Istmoment zur Folge haben oder ein niedriges zulässiges Moment). Wenn die Programme
der Ebene 2 richtig funktionieren, muß in diesem Fall ein Fehler erkannt werden. Der
in der Ebene 2 vorhandene Fehlerzähler wird demnach hochlaufen. Bei einem gewissen
Stand des Fehlerzählers erwartet das Überwachungsmodul eine spezielle Reaktion des
Mikrocomputers 22, beispielsweise die Übermittlung eines Fehler- oder Reset-Signals.
Empfängt das Überwachungsmodul 70 ein derartiges Signal, so wird das Reizsignal zurückgenommen
und eine funktionstüchtige zweite Ebene erkannt. Wird das entsprechende Signal innerhalb
einer vorgegebenen Zeitspanne (Hochlaufzeit des Zählers) nicht erkannt, so ist entweder
eines der Programme der Ebene 2 fehlerbehaftet oder eine Funktion aktiv, in der der
Fahrer das Pedal nicht betätigt (z.B. Fahrgeschwindigkeitsregler, Schleppmomentenregler)
und die das Motormoment über den Fahrerwunsch hinaus erhöhen (zumindest dann, wenn
durch die Testsignale das Istmoment beeinflußt wird). Um dies zu prüfen, hält das
Überwachungsmodul 70 das Reizsignal aufrecht. Der Mikrocomputer 22 rechnet nun im
Rahmen seiner Funktionsüberwachung die Momentenüberwachung auf der Basis des Fahrerwunsches
Leerlauf und nicht wie für den erhöhenden Eingriff vorgesehen mit anderen zulässigen
Momenten. In diesem Fall muß der Fehlerzähler auf jeden Fall hochlaufen, so daß das
entsprechende Reaktionssignal des Mikrocomputers 22 ausgelöst wird. Wird ein solches
Signal vom Überwachungsmodul 70 nicht empfangen, so wird auf einen Fehler im Bereich
der Funktionsüberwachung erkannt und die entsprechenden Abschalt- bzw. Notlaufmaßnahmen
über die Ausgangsleitung 78 eingeleitet.
[0014] Ein erstes Ausführungsbeispiel der erfindungsgemäßen Lösung ist in den Figuren 2
und 3 anhand von Flußdiagrammen dargestellt. Diese skizzieren die Realisierung der
Lösung als Programme im Überwachungsmodul und der Funktionsüberwachung.
[0015] Das in Figur 2 dargestellte Flußdiagramm stellt ein Programm des Überwachungsmoduls
70 dar. Dieses wird bei Vorliegen einer der oben genannten Betriebssituationen in
vorgegebenen Zeitintervallen (z.B. alle 200 msec) durchlaufen. Im ersten Schritt 100
wird das Reizsignal an den Mikrocomputer 22 (FR = Funktionsrechner) ausgegeben. Das
Reizsignal wird dabei beispielsweise durch eine Pegeländerung, durch ein Signal mit
vorgegebenem Tastverhältnis oder vorgegebener Spannungshöhe auf einer Eingangsleitung
des Mikrocomputers 22 realisiert. Im darauffolgenden Schritt 102 wird überprüft, ob
nach Ablauf einer vorbestimmten Zeitspanne, während der Fehlerzähler sicher seinen
Maximalwert erreicht hat, das entsprechende Reaktionssignal vom Mikrocomputer 22 erkannt
wurde. Ist dies der Fall, so wird gemäß Schritt 104 der Test als abgeschlossen betrachtet
und der Programmteil beendet. Er wird bei Vorliegen der nächsten vorgegebenen Betriebssituation
wieder eingeleitet.
[0016] In einem anderen vorteilhaften Ausführungsbeispiel wird anstelle des Reaktionssignals
des Mikrocomputers 22 der aktuelle Fehlerzählerstand an das Überwachungsmodul 70 übertragen.
Dieses erkannt dann anhand des zeitlichen Verlaufs des Fehlerzählers bzw. am Überschreiten
des Grenzwerts die korrekte Funktion bzw. ein fehlerbehaftetes Arbeiten des Mikrocomputers
22.
[0017] Erkennt das Überwachungsmodul nicht das aufgrund des Reizsignals zu erwartende Arbeiten
des Mikrocomputers im Schritt 102, so wird gemäß Schritt 106 die Ausgabe des Reizsignals
beibehalten. Daraufhin wird gemäß Schritt 108 erneut überprüft, ob die Reaktion vom
Mikrocomputer 22 bzw. das erwartete Verhalten des Fehlerzählers des Mikrocomputers
22 vorliegt. Ist dies der Fall, so wird gemäß Schritt 110 der Test als abgeschlossen
betrachtet und das Programm beendet, während im gegenteiligen Fall gemäß Schritt 112
von einem Fehler im Bereich der Funktionsüberwachung des Mikrocomputers 22 ausgegangen
wird und entsprechende Fehlerreaktionen vom Überwachungsmodul eingeleitet. Diese bestehen
im wesentlichen in einer Abschaltung der Endstufen für die Kraftstoffzumessung, den
Zündwinkel und die Luftzufuhr oder in einem Notlauf, der eine eingeschränkte insbesondere
leistungsbegrenzte Steuerung der Antriebseinheit zur Folge hat. Nach Schritt 112 wird
das Programm beendet.
[0018] In Figur 3 ist das entsprechende Programm der Ebene 2, der Funktionsüberwachung des
Mikrocomputers 22 dargestellt. Dieses wird in vorgegebenen Zeitintervallen (z.B. einige
Millisekunden) eingeleitet. Nach Start des Programmteils werden im ersten Schritt
200 der Betätigungsgrad des Bedienelements β sowie die Motordrehzahl N
mot eingelesen und gemäß Schritt 202 auf der Basis eines vorgegebenen Kennfeldes, einer
vorgegebenen Tabelle oder vorgegebener Berechnungsschritte aus Betätigungsgrad β und
Motordrehzahl N
mot ein zulässige Motormoment MIZUL bestimmt. Dieses zulässige Moment ist dabei derart
bemessen, daß es im fehlerfreien Betrieb des Mikrocomputers unter Berücksichtigung
aller Toleranzen von tatsächlichen Moment der Antriebseinheit nicht überschritten
wird. Daraufhin wird im Schritt 204 überprüft, ob vom Überwachungsmodul ein Reizsignal
vorliegt. Ist dies nicht der Fall, wird mit den Schritten 206 und 208 die Funktionsüberwachung
eingeleitet. Dazu wird das Lastsignal TL (z.B. aus Luftmasse und Motordrehzahl gebildet)
und der eingestellte Zündwinkel ZW eingelesen (Schritt 206) und auf der Basis dieser
beiden Größen sowie der Motordrehzahl nach Maßgabe eines vorbestimmten Kennfeldes,
einer vorbestimmten Tabelle oder vorbestimmter Berechnungsschritte das von der Brennkraftmaschine
abgegebene Moment MI
Ist bestimmt. Im darauffolgenden Abfrageschritt 210 wird überprüft, ob gerade ein gegenüber
dem vom Fahrer vorgegebenen Sollmoment momentenerhöhender Eingriff beispielsweise
durch einen Fahrgeschwindigkeitsregler (FGR) oder einen Motorschleppmomentenregler
(MSR) aktiv ist. Ist dies der Fall, wird gemäß Schritt 212 das zulässige Moment MIZUL
auf einen für diese Betriebszustände vorbestimmten Maximalwert Mi
max, der z.B. drehzahl- oder geschwindigkeitsabhängig ist, gesetzt. Nach Schritt 212
wird wie im Falle einer "NEIN"-Antwort im Schritt 210 nach Schritt 214 ein Vergleich
zwischen Istmoment MI
1st und zulässigem Moment MIZUL durchgeführt. Ist das berechnete Istmoment größer als
das berechnete zulässige Moment, wird gemäß Schritt 216 der Fehlerzähler F inkrementiert,
im gegenteiligen Fall gemäß Schritt 218 dekrementiert. Im darauffolgenden Abfrageschritt
220 wird überprüft, ob der Fehlerzähler seinen Maximalwert erreicht hat. Ist dies
der Fall, wird gemäß Schritt 222 ein entsprechendes Signal an das Überwachungsmodul
70 (Sicherheitsrechner SR) abgegeben und das Programm wie im Falle einer "NEIN"-Antwort
im Schritt 220 beendet.
[0019] Ergab Schritt 204, daß ein Reizsignal vorliegt, wird ein in diesem Teil des Programms
mitlaufender Zähler i gemäß Schritt 224 inkrementiert. Daraufhin werden im Schritt
226 ausgewählte Testsignale für die Motorlast TLT und den Zündwinkel ZWT vorgegeben
und gemäß Schritt 228 entsprechend Schritt 208 ein Istmoment bestimmt. Im darauffolgenden
Abfrageschritt 230 wird der Zähler i mit einem Maximalwert i
max verglichen. Ist dieser Maximalwert nicht erreicht, wird mit Schritt 210 fortgefahren,
im anderen Fall direkt in Schritt 214 gesprungen. Der Zähler i stellt dabei sicher,
daß bei weiterhin vorhandenem Reizsignal und aktivem Fahrgeschwindigkeitsregler oder
aktivem Schleppmomentenregler die gewünschte Testsituation erzeugt wird. Der Maximalwert
i
max ist dabei mit Blick auf die Zeitspanne bemessen, die der Fehlerzähler zum Erreichen
seines Maximalwerts benötigt (z.B. 2-3 Programmdurchläufe) . Überschreitet das Istmoment
das zulässige Moment und läuft der Fehlerzähler ordnungsgemäß hoch, so wird gemäß
Schritt 222 bei korrekt funktionierender Überwachungsfunktion das Reaktionssignal
an das Überwachungsmodul abgegeben.
[0020] In einem anderen vorteilhaften Ausführungsbeispiel wird zumindest bei einer Testsituation
der Fehlerzählerstand übermittelt.
[0021] In Figur 4 ist die erfindungsgemäße Lösung anhand von Zeitdiagrammen dargestellt.
Dabei zeigt Figur 4a den Zeitverlauf des Reizsignals, Figur 4b den des Ist- und des
zulässigen Moments, Figur 4c den des Fehlerzählers, Figur 4d den Eingriff eines Fahrgeschwindigkeits-
oder Schleppmomentenreglers und Figur 4e den Zeitverlauf des Rückmeldesignals des
Mikrocomputers 22 an das Überwachungsmodul 70.
[0022] Zu einem ersten Zeitpunkt T0 empfängt der Mikrocomputer 22 das vom Überwachungsmodul
ausgesetzte Reizsignal (vgl. Figur 4a). Das daraufhin nach Testdaten ermittelte Istmoment
(Figur 4b, durchgezogene Linie) überschreitet unmittelbar danach das auf der Basis
des Betätigungsgrades berechnete zulässige Moment (Figur 4b, strichlierte Linie) .
Entsprechend läuft der Fehlerzähler hoch, bis zum Zeitpunkt T1 der Maximalfehlerstand
F
max erreicht ist (vgl. Figur 4c). Dies führt zur Ausgabe eines entsprechenden Fehlersignals
gemäß Figur 4e an das Überwachungsmodul, zum Rücksetzen des Reizsignals und zur Beendigung
der Testsituation (vgl. Figur 4a, 4b). In diesem Beispiel arbeitete die Überwachung
korrekt. Nach dem Zeitpunkt T1 wird der Fehlerzähler wieder dekrementiert.
[0023] Zu einem weiteren Zeitpunkt T2 wird ein Fahrgeschwindigkeitsregler aktiviert (Figur
4d). In dieser Betriebssituation wird das zulässige Moment erhöht (vgl. Figur 4b).
Zum Zeitpunkt T3 setzt das Überwachungsmodul ein Reizsignal an den Mikrocomputer 22
ab. Dies führt entsprechend Figur 4b zur Berechnung des Istmoments nach Testdaten.
In diesem Fall überschreitet das Istmoment nach Testdaten das zulässige Moment nicht.
Dies bedeutet, daß zum Zeitpunkt T4 das Reizsignal beibehalten wird und das zulässige
Moment so bestimmt wird, als wäre der Fahrgeschwindigkeitsregler nicht im Eingriff.
Dadurch überschreitet bei funktionierender Überwachung das Istmoment wie in der vorhergehenden
Situation das zulässige Moment (vgl. Figur 4b), so daß ab dem Zeitpunkt T4 bis zum
Zeitpunkt T5 der Fehlerzähler inkrementiert wird. Das Erreichen des maximalen Fehlerzählerstandes
führt zum Zeitpunkt T5 zur Ausgabe des Fehlersignals an das Überwachungsmodul, so
daß auch hier die korrekte Funktionsweise der Überwachung nachgewiesen ist. Ab dem
Zeitpunkt T5 wird der Fehlerzähler gemäß Figur 4c wieder dekrementiert.
[0024] Ein zweites Ausführungsbeispiel der erfindungsgemäßen Lösung wird anhand der Figuren
5 bis 7 dargestellt. Auch dieses Ausführungsbeispiel dient zur Überprüfung, ob die
Überwachungsaufgaben eines Mikrocomputers ordnungsgemäß und zuverlässig durchgeführt
werden und wird insbesondere bei Steuersystemen eingesetzt, in der die Steuerungsfunktionen
und die Überwachungsfunktionen auf demselben Mikrocomputer implementiert sind. Durch
die Übertragung des Fehlerzählers bzw. eines daraus abgeleiteten Signals gemäß dem
ersten Ausführungsbeispiel wird zwar eine direkte Überprüfung der Überwachungsfunktion
gewährleistet, eine bitgenaue Überprüfung der Überwachungsfunktion findet jedoch nicht
statt. Vielmehr wird eine Art Schwellwertüberwachung durchgeführt. Zur bitgenauen
Überprüfung der Berechnungen im Rahmen der Überwachung der Ebene 2 wird daher gemäß
dem zweiten Ausführungsbeispiel die Überwachungsfunktion der Ebene 2 zumindest in
vorbestimmten Betriebssituationen abwechselnd mit realen Daten und mit Testdaten gerechnet.
Vorzugsweise wird bei der Berechnung mit Testdaten das Originalprogramm der Ebene
2 mit veränderten Daten verwendet. In einem anderen vorteilhaften Ausführungsbeispiel
wird eine Kopie des Programms verwendet.
[0025] Bei der Berechnung der Überwachung mit realen Daten wird aus den tatsächlichen Werten
von Pedalstellung und Motordrehzahl ein zulässiges Motormoment ermittelt, aus den
Werten für Füllung, Drehzahl und Zündwinkel ein Istmoment. Durch Differenzbildung
wird eine Plausibilitätsverletzung geprüft. Im Falle einer Verletzung, vorzugsweise
im Falle eines im Vergleich zum zulässigen Motormoment zu großen Istmoments, läuft
ein Fehlerzähler los. Auf diese Berechnung folgend gibt das Überwachungsmodul ein
Testsignal aus, worauf diese Berechnung nicht mit realen, sondern mit Testdaten (für
Motordrehzahl, Pedalstellung, Füllung und Zündwinkel) erfolgt. Diese Testdaten sind
entweder im Überwachungsmodul abgelegt und werden über eine Schnittstelle dem Mikrocomputer
22 übermittelt oder sind im Mikrocomputer 22 als verschiedene Testdatensätze gespeichert,
die das Überwachungsmodul über einen übermittelten Index auswählt. Zu einem festen
Testdatensatz gibt es nur eine einzige richtige Lösung für die Differenz zwischen
zulässigem Moment und Istmoment. Diese zu jedem Testdatensatz gehörende richtige Lösung
ist dem Überwachungsmodul bekannt. Der Mikrocomputer 22 übermittelt diese Differenz
dem Überwachungsmodul, das die Korrektheit des Ergebnisses prüft. Dabei werden die
Testdatensätze so gewählt, daß sowohl plausible Ergebnisse als auch unplausible Ergebnisse
ermittelt werden. Daher kann auch geprüft werden, ob die Überwachungsebene noch in
der Lage ist, plausible Zustände von unplausiblen zu unterscheiden.
[0026] Dieses zweite Ausführungsbeispiel ist in Figur 5 anhand eines Blockschaltbilds dargestellt,
welches symbolisch die Programmstruktur in der Ebene 2 des Mikrocomputers 22 darstellt.
Der Überwachungsfunktion werden über die Verbindungen 300 die Motordrehzahl N
mot, 302 die Pedalstellung β, 304 die Füllung TL und 306 der eingestellte Zündwinkel
ZW zugeführt. Diese Signale werden jeweils über Schaltelemente 308, 310, 312 und 314
weitergeführt. Die Motordrehzahl wird dabei auf ein erstes Kennfeld 316 zur Bestimmung
des zulässigen Motormoments, auf ein zweites Kennfeld 318 zur Bestimmung des optimalen
Motormoments und auf ein Kennfeld 320 zur Bestimmung des optimalen Zündwinkels geführt.
Die Pedalstellung β wird über ein Filter 322 zum ersten Kennfeld 316, die Füllung
auf das zweite Kennfeld 318 und das dritte Kennfeld 320 geführt. Der im Kennfeld 320
bestimmte optimale Zündwinkel (höchster Wirkungsgrad der Brennkraftmaschine) wird
auf eine Additionsstufe 322 geführt, in der die Differenz zwischen dem optimalen Zündwinkel
und dem tatsächlich eingestellten gebildet wird. Diese Differenz wird über eine Kennlinie
324 zu einer Multiplikationsstelle 326 geführt. Die Kennlinie 324 setzt die Abweichung
des Zündwinkels in eine Abweichung des Moments vom optimalen Moment (höchster Wirkungsgrad)
um. In der Multiplikationsstelle 326 wird das optimale Motormoment nach Maßgabe der
Momentenkorrektur durch die Zündwinkelabweichung korrigiert. Ergebnis ist ein Maß
für das Istmoment. Dieses wird einer Additionsstelle 328 zugeführt, der ferner vom
Kennfeld 316 das zulässige Moment zugeführt wird. Durch Subtraktion des zulässigen
Moments vom Istmoment wird die Momentendifferenz gebildet, die über die Verbindungsleitung
330 zum Überwachungsmodul geführt wird. Ferner wird die Momentendifferenz auf einen
Schwellwertschalter 332 geführt, der im Falle eines Überschreitens des zulässigen
Moments durch das Istmoment den Fehlerzähler 334 inkrementiert. Im bevorzugten Ausführungsbeispiel
wird der Fehlerzählerstand zumindest bei Erreichen seines Maximalwertes über die Verbindung
336 zum Überwachungsmodul übermittelt. Vom Überwachungsmodul wird eine Verbindung
338 zugeführt, welche die Schaltelemente 308 bis 314 von der Normalstellung in die
strichliert dargestellte Teststellung überführt. In dieser Stellung sind die Verbindungen
für Motordrehzahl, Pedalstellung, Füllung und Zündwinkel mit Tabellen oder Speicher
340, 342, 344 und 346 verbunden, die verschiedene Testdatensätze enthalten. Diese
werden in Abhängigkeit des über die Verbindung 348 vom Überwachungsmodul zugeführte
Auswahlsignal ausgewählt.
[0027] Beispiele für die Realisierung der erfindungsgemäßen Lösung im Rahmen des zweiten
Ausführungsbeispiels als Rechnerprogramme sind anhand der Flußdiagramme nach den Figuren
6 und 7 dargestellt. Dabei beschreibt Figur 6 ein im Überwachungsmodul ablaufendes
Programm, während Figur 7 ein im Mikrocomputer 22 ablaufendes Programm beschreibt.
[0028] Das in Figur 6 dargestellte Programm des Überwachungsmoduls wird in vorgegebenen
Zeitintervallen aufgerufen, wobei in einem vorteilhaften Ausführungsbeispiel der Programmteil
nur in wenigstens einer der obengenannten, bestimmten Betriebssituationen aufgerufen
wird. Im ersten Schritt 400 des dargestellten Programmteils wird das Testsignal gebildet
und an den Mikrocomputer 22 ausgegeben und ein Testdatensatz bzw. ein einen Testdatensatz
festlegender Index übertragen. Die Testdaten werden im bevorzugten Ausführungsbeispiel
anhand des aktuellen Betriebszustandes (beschrieben durch Fahrpedalstellung und Motordrehzahl
oder Füllung), ausgelesen und abwechselnd als plausible und unplausible Kombination
ausgewählt. Im Rahmen der Realisierung der erfindungsgemäßen Lösung werden bezüglich
der Einleitung des Test, der Auswahl und Vorgabe der Testdaten auch andere Strategien
eingesetzt (z.B. nur plausible Daten, nur unplausible Daten). Im darauffolgenden Schritt
102 wird dann die vom Mikrocomputer 22 errechnete Momentendifferenz MI
Diff sowie ggf. der Fehlerzählerstand eingelesen und im Schritt 404 anhand gespeicherter
Differenzenwerte überprüft, ob das errechnete Ergebnis korrekt ist. Ist das Ergebnis
korrekt, wird das Programm mit anderen Testdaten erneut gestartet. Stimmt das Ergebnis
nicht überein, wird gemäß Schritt 406 ein Fehlerzustand erkannt und der Programmteil
beendet. Je nach gewählter Strategie kann bei bereits einmalig erkanntem oder erst
bei mehrmalig erkanntem Fehler die entsprechenden Reaktionen (Abschalten der Endstufen)
durchgeführt werden. In anderen vorteilhaften Ausführungsbeispielen läuft im Überwachungsmodul
ein Fehlerzähler, wobei bei Erreichen dessen Maximalwertes Fehlermaßnahmen ergriffen
werden. Bei Übertragen des Fehlerzählerstand überprüft das Überwachungsmodul den zeitlichen
Verlauf des Zählerstandes und/oder das Erreichen des Maximalwerts.
[0029] Der in Figur 7 dargestellte Programmteil zeigt ein Programm, das im Mikrocomputer
22 in vorgegebenen Zeitintervallen gestartet wird. Nach Start des Programms werden
im ersten Schritt 500 bei Vorliegen eines Testsignals die Testgrößen für die Pedalstellung,
die Motordrehzahl, den Zündwinkel und die Füllung ausgewählt bzw. eingelesen. Liegt
kein Testsignal vor, werden die gemessenen bzw. errechneten tatsächlichen Größen eingelesen.
Im folgenden wird eine Situation geschildert, in der ein Testsignal vorliegt. Im Normalbetrieb
läuft das Programm entsprechend ab, nur daß anstelle der Testdaten die tatsächlichen
Betriebsgrößenwerte verwendet werden. Im Schritt 205 wird der Signalwert für die Pedalstellung
einer vorgegebenen Filterung unterworfen. Daraufhin werden gemäß Schritt 504 auf der
Basis der Testwerte für Pedalstellung und Motordrehzahl das zulässige Moment MIZUL
und auf der Basis der Testgrößen für Füllung, Zündwinkel und Motordrehzahl das Istmoment
MI
Ist bestimmt. Im darauffolgenden Schritt 506 wird das Differenzmoment MI
Diff als Differenz des Istmoments und des zulässigen Moments gebildet und nach Schritt
508 an das Überwachungsmodul ausgegeben. Im darauffolgenden Schritt 510 wird überprüft,
ob das Differenzmoment größer 0 ist. Ist dies der Fall, wird der Fehlerzähler 512
um 1 erhöht, andernfalls dekrementiert (Schritt 514). Daraufhin wird im Schritt 516
überprüft, ob der Fehlerzähler seinen Maximalwert erreicht hat, wobei bei positiver
Antwort gemäß Schritt 518 ein Fehler erkannt und gegebenenfalls ein entsprechendes
Signal an das Überwachungsmodul ausgegeben wird. Hat der Fehlerzähler seinen Maximalwert
noch nicht erreicht, wird das Programm beendet und zu vorgegebener Zeit erneut gestartet.
Alternativ wird der aktuelle Fehlerzählerstand übertragen.
[0030] Besonders vorteilhaft ist eine Kombination des ersten und zweiten Ausführungsbeispiels.
Dabei wird vom Mikrocomputer 22 dem Überwachungsmodul sowohl die Differenz zwischen
den Momentengrößen als auch der Fehlerzähler übertragen. Auf der Basis dieser Größen
überwacht das Überwachungsmodul sowohl die bitgenaue Berechnung der Momentendifferenz
als auch die Funktionsweise der Fehlerermittlung, insbesondere die Unterscheidung
zwischen plausiblen und unplausiblen Abweichungen des zulässigen vom berechneten Moment.
[0031] Die Steuerfunktion zur Momenteneinstellung läuft ungeachtet der Testphasen für die
Funktionsüberwachung immer auf der Basis der tatsächlichen Werte ab, so daß durch
den Test der Betrieb der Antriebseinheit nicht beeinträchtigt wird.
[0032] Die erfindungsgemäße Lösung wird in gleicher Weise unter Berücksichtigung der entsprechenden
Betriebsgröße auch bei Dieselmotoren eingesetzt.
[0033] Die Überwachungsfunktion wird im geschilderten bevorzugten Ausführungsbeispiel auf
der Basis des indizierten Moments, d.h. des von der Brennkraftmaschine in der durch
Verbrennung erzeugten Drehmoments, beschrieben. In anderen Ausführungsbeispielen wird
der Überwachung und damit auch dem Test ein anderer Momentenwert (z.B. das abgegebene
Moment), ein Füllungs- oder Lastwert, ein Leistungswert oder Pedalstellung und Drosselklappenstellung
zugrunde gelegt. Die erfindungsgemäße Lösung mit der Vorgabe von Testdatensätzen wird
dann entsprechend durchgeführt.
[0034] Neben der Berechnung des zulässigen Moments auf der Basis der Fahrpedalstellung werden
in den entsprechenden Betriebszuständen auch die Einstellung anderer Bedienelemente
(z.B. eines Fahrgeschwindigkeitsreglers), Sollwerte externer Eingriffe, die einen
Sollmomentenwert vorgeben (z.B. Fahrgeschwindigkeitsregler, Motorschleppmomentenregler,
Antriebsschlupfregler, etc.) und/oder spezielle Betriebsgrößen (z.B. Fahrgeschwindigkeit,
Schlupf, Drehzahl etc.) in diesen Betriebszuständen bei der Bestimmung des zulässigen
Moments berücksichtigt und auf diese Weise die Überwachung und deren Überprüfung auch
in diesen oder für diese Betriebszustände gewährleistet.
[0035] Wird die erfindungsgemäße Lösung bei Dieselmotoren eingesetzt, so ist anstelle von
Füllung Kraftstoffmenge und anstelle von Zündung Spritzbeginn zu lesen.
[0036] Neben der Übermittlung der Differenz zwischen zulässigem und Istmoment und/oder des
Fehlerzählerstandes werden in anderen Ausführungsbeispielen andere Zwischengrößen,
z.B. das zulässige Moment und das Istmoment, eine bewertete Differenz bei Überschreiten
von Schwellwerten etc. übermittelt.
1. Verfahren zur Steuerung einer Antriebseinheit eines Fahrzeugs, wobei ein Mikrocomputer
vorgesehen ist, der mittels erster Programme abhängig von Betriebsgrößen der Antriebseinheit
und des Fahrzeugs die Leistung der Antriebseinheit steuert und diese Leistungssteuerung
mittels zweiter Programme anhand ausgewählter Betriebsgrößen überwacht, wobei die
im Mikrocomputer ablaufende Programme zur Überwachung durch ein Überwachungsmodul
auf Funktionsfähigkeit überprüft werden, wobei der Mikrocomputer vom Überwachungsmodul
ein Testsignal in wenigstens einem Betriebszustand empfängt, worauf dieser die vorgesehene
Überwachungsfunktion auf der Basis von ausgewählten Testdaten durchführt und das Ergebnis
der Überwachung und/oder Zwischengrößen an das Überwachungsmodul übermittelt.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß das Überwachungsmodul durch
Vergleich des übermittelten Ergebnisses mit einem erwarteten Wert die Funktionsfähigkeit
der Überwachungsfunktion im Mikrorechner überprüft.
3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die
Überwachungsfunktion auf der Basis eines abhängig von der Stellung von Bedienelementen
oder externen Vorgaben errechneten zulässigen Motormoments und eines errechneten Istmotormoments
durchgeführt wird.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die
Antriebseinheit eine Brennkraftmaschine ist, das zulässige Moment auf der Basis von
Motordrehzahl, Fahrpedalstellung und der Einstellung sonstiger Bedienelemente oder
externen Vorgaben, das Istmoment auf der Basis der Füllung und/oder Kraftstoffmenge,
der Motordrehzahl und des eingestellten Zündwinkels bzw. Spritzbeginns berechnet wird.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß zur
Überprüfung der Überwachungsfunktion ein zulässiges Moment und ein Istmoment auf der
Basis von Testdaten ermittelt und miteinander verglichen wird.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß zur
Überprüfung der Überwachungsfunktion auf das Testsignal hin ein Istmoment auf der
Basis von Testsignalen ermittelt und mit dem auf der Basis von Meßwerten ermittelten
zulässigen Moments verglichen wird.
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die
Differenz zwischen Istmoment und zulässigem Moment dem Überwachungsmodul übermittelt
wird, welches auf der Basis von gespeicherten, den Testdaten zugeordneten Meßgrößen
die Richtigkeit der Berechnung der Differenz im Mikrocomputer überprüft.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß bei
Überschreiten des zulässigen Moments durch das Istmoment ein Fehlerzähler inkrementiert
wird, dessen Zählerstand oder dessen Überschreiten eines maximalen Zählerstandes dem
Überwachungsmodul mitgeteilt wird, welches auf der Basis des übermittelten Signals
die Funktionsfähigkeit der Überwachung feststellt.
9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß bei
einem Eingriff, welcher das Drehmoment über den Fahrerwunsch hinaus erhöhen kann,
das maximal zulässige Moment auf einen höheren, vom Fahrerwunsch unabhängigen Wert
gesetzt wird, wobei das Überwachungsmodul bei nicht erkannter Reaktion des Mikrocomputers
auf fehlerhafte Testdaten den Mikrocomputer veranlaßt, auch in diesem Betriebszustand
das vom Pedal abgeleitete zulässige Moment der Überprüfung der Überwachung heranzuziehen.
10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß bei
erkanntem Fehlerfall durch die Überwachungsfunktion die Endstufe für die Lufteinstellung,
durch das Überwachungsmodul die Endstufe für die Lufteinstellung und/oder die Endstufen
für Kraftstoffzumessung gegebenenfalls auch Zündung gesperrt werden.
11. Vorrichtung zur Steuerung einer Antriebseinheit eines Fahrzeugs, mit einem Mikrocomputer,
welcher mittels erster Programme die Leistung der Antriebseinheit in Abhängigkeit
von Betriebsgrößen der Antriebseinheit und des Fahrzeugs steuert und die zur Leistungssteuerung
durchgeführten Steuerfunktionen mittels zweiten Programmen anhand ausgewählter Betriebsgrößen
überwacht, mit einem Überwachungsmodul, welches die Überwachung im Mikrocomputer überprüft,
wobei das Überwachungsmodul in wenigstens einem Betriebszustand ein Testsignal für
den Mikrocomputer erzeugt, der aufgrund dieses Testsignals die Überwachung der Steuerfunktionen
auf der Basis von vorbestimmten Testdaten durchführt und das Ergebnis der Berechnung
und/oder Zwischengrößen dem Überwachungsmodul übermittelt.
1. Method of controlling a drive unit of a vehicle, a microcomputer being provided which
controls the power of the drive unit by means of first programs as a function of operating
parameters of the drive unit and of the vehicle and monitoring this power control
by means of second programs using selected operating parameters, the programs running
in the microcomputer for monitoring purposes being checked for functional capability
by a monitoring module, the microcomputer receiving a test signal from the monitoring
module in at least one operating condition, whereupon the microcomputer carries out
the specified monitoring function on the basis of selected test data and transmits
the result of the monitoring and/or intermediate parameters to the monitoring module.
2. Method according to Claim 1, characterized in that the monitoring module checks the
functional capability of the monitoring function in the microcomputer by comparing
the result transmitted with an expected value.
3. Method according to one of the preceding claims, characterized in that the monitoring
function is carried out on the basis of a permissible engine torque calculated as
a function of the position of operating elements or external specifications and of
a calculated actual engine torque.
4. Method according to one of the preceding claims, characterized in that the drive unit
is an internal combustion engine and that the permissible torque is calculated on
the basis of engine speed, accelerator pedal position and the setting of other operating
elements or external specifications and the actual torque is calculated on the basis
of the charge and/or fuel quantity, the engine speed and the set ignition angle or
beginning of injection.
5. Method according to one of the preceding claims, characterized in that a permissible
torque and an actual torque are determined and compared with one another on the basis
of test data in order to check the monitoring function.
6. Method according to one of the preceding claims, characterized in that in order to
check the monitoring function when the test signal has been given, an actual torque
is determined on the basis of test signals and is compared with the permissible torque
determined on the basis of measured values.
7. Method according to one of the preceding claims, characterized in that the difference
between actual torque and permissible torque is transmitted to the monitoring module
which, on the basis of stored measured parameters associated with the test data, checks
the correctness of the calculation of the difference in the microcomputer.
8. Method according to one of the preceding claims, characterized in that when the actual
torque exceeds the permissible torque, a fault counter is incremented whose counter
reading, or the fact that a maximum counter reading has been exceeded, is transmitted
to the monitoring module which determines the functional capability of the monitoring
on the basis of the signal transmitted.
9. Method according to one of the preceding claims, characterized in that, in the case
of an intervention which can raise the torque beyond that demanded by the driver,
the maximum permissible torque is set to a higher value independent of the demand
of the driver, the monitoring module then causes the microcomputer - where no reaction
of the microcomputer to faulty test data is detected - to employ the permissible torque
derived from the pedal for checking the monitoring in this operating condition also.
10. Method according to one of the preceding claims, characterized in that when a fault
case is detected by the monitoring function, the final stage for the air setting is
blocked, and when a fault case is detected by the monitoring module, the final stage
for the air setting and/or the final stages for fuel metering and also ignition, if
necessary, are blocked.
11. Appliance for controlling a drive unit of a vehicle, having a microcomputer which
controls the power of the drive unit by means of first programs as a function of operating
parameters of the drive unit and of the vehicle and which monitors the control functions
carried out for power control purposes by means of second programs using selected
operating parameters, having a monitoring module which checks the monitoring in the
microcomputer, the monitoring module generating a test signal for the microcomputer
in at least one operating condition, the microcomputer carrying out the monitoring
of the control functions on the basis of predetermined test data because of this test
signal and transmitting the result of the calculation and/or intermediate parameters
to the monitoring module.
1. Procédé de commande d'une unité motrice d'un véhicule comprenant un micro-ordinateur
qui commande à l'aide d'un premier programme et selon les paramètres de fonctionnement
de l'unité motrice et du véhicule, la puissance de cette unité motrice et surveille
cette commande de puissance à l'aide d'un second programme et de paramètres de fonctionnement
sélectionnés,
- les programmes se déroulant dans le micro-ordinateur pour assurer la surveillance
étant eux-mêmes contrôlés par un module de surveillance qui en vérifie l'aptitude
au fonctionnement,
- le micro-ordinateur recevant du module de surveillance, un signal de test dans au
moins un état de fonctionnement, puis celui-ci effectuant la fonction de surveillance
prévue sur la base de données de test sélectionnées et transmettant le résultat de
la surveillance et/ou des grandeurs intermédiaires au module de surveillance.
2. Procédé selon la revendication 1,
caractérisé en ce que
par comparaison du résultat transmis avec une valeur prévisible, le module de surveillance
contrôle l'aptitude au fonctionnement de la fonction de surveillance dans le micro-ordinateur.
3. Procédé selon l'une des revendications précédentes,
caractérisé en ce que
la fonction de surveillance est exécutée sur la base d'un couple moteur autorisé,
calculé après des prédéterminations externes ou selon la position d'éléments de manoeuvre
et d'un couple moteur réel, calculé.
4. Procédé selon l'une quelconque des revendications précédentes,
caractérisé en ce que
l'unité motrice est un moteur à combustion interne, le couple autorisé se calcule
sur la base du régime du moteur, de la position de la pédale d'accélérateur et du
réglage d'autres éléments de manoeuvre ou d'éléments prédéterminés de manière externe,
le couple moteur sur la base du remplissage et/ou de la quantité de carburant, du
régime du moteur et de l'angle d'allumage réglé ou du début des injections.
5. Procédé selon l'une quelconque des revendications précédentes,
caractérisé en ce que
pour contrôler la fonction de surveillance, on compare un couple autorisé et un couple
réel sur la base de données de test.
6. Procédé selon l'une quelconque des revendications précédentes,
caractérisé en ce que
pour contrôler la fonction de surveillance on détermine par rapport à un signal de
test, un couple réel sur la base de signaux de test, et on compare avec le couple
autorisé déterminé sur la base des valeurs mesurées.
7. Procédé selon l'une quelconque des revendications précédentes,
caractérisé en ce qu'
on transmet la différence entre le couple réel et le couple autorisé au module de
surveillance qui, sur la base de grandeurs de mesure mémorisées, associées aux données
de test, vérifie l'exactitude du calcul de la différence dans le micro-ordinateur.
8. Procédé selon l'une quelconque des revendications précédentes,
caractérisé en ce qu'
en cas de dépassement du couple autorisé par le couple réel, on incrémente un compteur
de défauts dont l'état de comptage ou le dépassement d'un état de comptage maximum
est transmis au module de surveillance qui, sur la base du signal ainsi transmis,
constate l'aptitude au fonctionnement de la surveillance.
9. Procédé selon l'une quelconque des revendications précédentes,
caractérisé en ce qu'
en cas d'intervention qui pourrait augmenter le couple au-delà du souhait du conducteur,
le couple maximum autorisé est fixé à une valeur plus élevée indépendante du souhait
du conducteur, et le module de surveillance, en cas de réaction non connue du micro-ordinateur
pour des données de test défectueuses, commande le micro-ordinateur pour utiliser
également, pour ce mode de fonctionnement, le couple autorisé déduit de la pédale
d'accélérateur pour contrôler la surveillance.
10. Procédé selon l'une quelconque des revendications précédentes,
caractérisé en ce qu'
en cas de situation d'erreur reconnue par la fonction de surveillance, l'étage de
sortie du réglage d'air est bloqué par le module de surveillance, l'étage de sortie
du réglage d'air et/ou les étages de sortie du dosage de carburant et le cas échéant
l'allumage, sont également bloqués.
11. Dispositif de commande de l'unité motrice d'un véhicule, comprenant un micro-ordinateur
qui à l'aide d'un premier programme commande la puissance de l'unité motrice en fonction
de paramètres de fonctionnement de l'unité motrice et du véhicule et surveille la
commande de puissance en effectuant des fonctions de commande à l'aide de seconds
programmes utilisant des grandeurs de fonctionnement choisies, un module de surveillance
qui vérifie la surveillance d'un micro-ordinateur, le module de surveillance générant,
au moins dans un état de fonctionnement, un signal de test pour le micro-ordinateur
qui sur la base de ce signal de test, exécute la surveillance des fonctions de commande
sur la base de données de test prédéterminées et transmet le résultat du calcul et/ou
des grandeurs intermédiaires au module de surveillance.