-
Diese
Erfindung bezieht sich auf ein ausfallsicheres bzw. ein Ausfallsicherungssystem,
das bei einer integrierten Steuerung eines Fahrzeugs wie etwa eines
Automobils bzw. Kraftfahrzeugs verwendet wird. Zusätzlich bezieht
sich diese Erfindung auf ein Verfahren zur Ausfallsicherung.
-
Ein
integriertes Steuersystem für
ein Fahrzeug umfasst eine Vielzahl von computerbasierten Steuerungen,
die zur Steuerung von Bauelementen (strukturellen Komponenten) des
Fahrzeugs ausgelegt sind. Zwischen den Steuerungen können Daten übertragen
werden. Die Datenübertragung
zwischen den Steuerungen ermöglicht
dem integrierten Steuersystem, eine stabile Steuerung des Fahrzeugs
bereit zu stellen.
-
Die
Bauelemente des Fahrzeugs umfassen zum Beispiel einen Motor, ein
Getriebe und eine Klimaanlage. Die Steuerungen sind Stellgliedern
in den Bauelementen zugeordnet. In dem Fall, dass eine der Steuerungen
ausfällt
bzw. versagt, kann das zugeordnete Stellglied oder können die
zugeordneten Stellglieder nicht angesteuert und gesteuert werden. In
diesem Fall besteht die Möglichkeit,
dass sich das Fahrzeug überhaupt
nicht fortbewegen kann und keine Notheimkehr durchgeführt werden
kann.
-
Die
japanische Patentanmeldung mit
Offenlegungsnummer P2000-14709A offenbart ein Multi-CPU-System,
bei dem der Ausfall einer CPU von einer anderen, normal arbeitenden
CPU erfasst werden kann. Die normale CPU erhält Systeminformationen über die
ausgefallene CPU. Die normale CPU extrahiert aus den Systeminformationen
ein Programm, das der ausgefallenen CPU zugeordnet ist. Die normale
CPU lädt
das extrahierte Programm in einen Speicher darin oder einen Speicher
in einer Reserve-CPU. Auf diese Weise funktioniert die normale CPU
oder die Reserve-CPU im Einklang mit dem geladenen Programm, und
arbeitet sie für
die ausgefallene CPU.
-
Die
japanische Patentanmeldung mit Offenlegungsnummer
53-114630 offenbart ein erstes Datenautobahnsystem, das
eine Hauptstation und eine Unterhauptstation umfasst. Die Hauptstation
weist eine CPU auf. Gleichermaßen
weist die Unterhauptstation eine CPU auf. Die CPU der Hauptstation
und die CPU der Unterhauptstation sind über ein Datenanschlussmodul
verbunden. In dem Fall, dass die CPU der Hauptstation ausfällt, wird
die CPU der Unterhauptstation über
das Datenanschlussmodul bezüglich
des CPU-Ausfalls benachrichtigt. Die CPU der Unterhauptstation gibt
eine Besitzergreifungsanweisung an die CPU der Hauptstation aus,
und die Unterhauptstation dient als Hauptstation. Die CPU der Unterhauptstation
wird mit Daten von einer externen Speichervorrichtung geladen, um
eine Sicherung bzw. ein Backup des Datenautobahnsystems online bzw.
in Echtzeit durchzuführen.
Die
japanische Anmeldung 53-114630 offenbart
auch ein zweites Datenautobahnsystem, das eine Hauptstation und
eine Unterhauptstation umfasst, die physikalisch unabhängig voneinander
sind. Eine externe Speichervorrichtung der Unterhauptstation weist
einen speziellen Bereich auf, der die gleichen Daten speichert wie
diejenigen in einer externen Speichervorrichtung der Hauptstation.
In dem Fall, dass die Hauptstation ausfällt, greift eine CPU der Unterhauptstation
auf den speziellen Bereich der externen Speichervorrichtung von
dieser zu, so dass die Unterhauptstation als Hauptstation dient.
-
Das
US-Patent mit der Nummer 4,532,594 bezieht
sich auf ein elektronisches Steuersystem für ein Kraftfahrzeug, welches
ein Motorsteuersystem und ein Fahrzeugantriebsinformationssystem
umfasst. Das Motorsteuersystem arbeitet zur Steuerung des Motorbetriebs
durch Verwendung eines Mikrocomputers. Das Fahrzeugantriebsinformationssystem
arbeitet zur Vorbereitung und Anzeige von verschiedenen Antriebsinformationen
durch Verwendung eines weiteren Mikrocomputers. Die beiden Mikrocomputer
sind Partner. In jedem Mikrocomputer ist ein Sicherungs- bzw. Backup-Programm gespeichert,
um bei Ausfall des Partnermikrocomputers zumindest die kritischen
Aufträge
des Partnermikrocomputers abzusichern, um die Fortsetzung eines
sicheren Betriebs des Fahrzeugs zu gewährleisten.
-
Die
japanische Patentanmeldung mit Offenlegungsnummer
64-13601 offenbart eine elektronische Steuervorrichtung
für ein
Fahrzeug, welche einen Hauptspeicher und einen Zweitspeicher umfasst. Der
Zweitspeicher ist von batteriegepufferter Bauart. Wenn ein Motor
anhält,
werden Informationen aus einem vorgeschriebenen Bereich des Hauptspeichers übermittelt
und in dem Zeitspeicher abgespeichert. Nachdem die Abspeicherung
der Informationen bestätigt
ist, wird eine Energieversorgung abgeschaltet. Wird die Energieversorgung
eingeschaltet, werden die Informationen von dem Zweitspeicher zurück in den
vorgeschriebenen Bereich des Hauptspeichers übermittelt.
-
Das
US-Patent mit der Nummer 5,957,985 , welches
die Druckschrift des nächstliegenden
Standes der Technik darstellt und den Oberbegriff von unabhängigem Anspruch
1 offenbart, bezieht sich auf ein fehlerausgleichendes Automobilsteuersystem, welches
unterschiedliche und getrennte Automobilkomponenten integriert und
Fehlertoleranz gegenüber
Komponentenausfall bereitstellt. Das Automobilsteuersystem umfasst
eine Hauptsteuereinheit (MCU: "Master
Control Unit"),
die über
einen primären
Datenkommunikationsbus elektrisch mit den elektronischen Automobilkomponenten
gekoppelt ist. Die MCU ist ein Master von dem Bus und verwaltet einen
Datenfluss über
den Bus zwischen den elektronischen Automobilkomponenten. Die MCU
kann mit einer Leitweglenkungstabelle konfiguriert sein, um in einer
Komponente beobachtete Daten an eine oder mehrere andere Komponenten
zu lenken. Die MCU ist auch zur Durchführung der gleichen Funktionen wie
denjenigen fähig,
die von lokalen Steuerungen an den elektronischen Komponenten durchgeführt werden.
Während
einer Initialisierung wird Treibersoftware für alle lokalen Steuerungen
heruntergeladen und an der MCU gespeichert. In dem Fall, dass eine lokale
Steuerung ausfällt,
führt die
MCU die Treibersoftware für
die ausgefallene Steuerung aus, um die elektronische Automobilkomponente
an Stelle der ausgefallenen lokalen Steuerung fernzusteuern. An jeder
der elektronischen Komponenten ist eine Schalt- bzw. Vermittlungslogik
installiert, um Daten selektiv an den primären Bus zu lenken, wobei die ausgefallene
Steuerung umgangen wird. Das Automobilsteuersystem weist eine sekundäre Steuereinheit
(SCU: „Secondary
Control Unit") auf,
die über den
primären
Bus elektrisch mit der MCU gekoppelt ist. Die SCU ist ein eigenständiger Computer,
der Clients und andere Vorrichtungen auf einem sekundären Unterstützungsbus
unterstützt.
Die SCU ist auch konfiguriert, die MCU abzusichern. Während eines normalen
Betriebs ist die SCU der MCU untergeordnet und wird sie von dieser
auf dem primären
Bus gesteuert. In dem Fall, dass die MCU ausfällt, übernimmt die SCU eine Steuerung
des Datenkommunikationsnetzwerks und verwaltet sie den Datenfluss zwischen
den elektronischen Automobilkomponenten.
-
Die
japanische Patentanmeldung mit Offenlegungsnummer
4-279836 offenbart ein Master-Slave-Mehrprozessorsystem
für eine
Steuerung und eine Diagnosevorrichtung in einem Motorfahrzeug. Für eine separate
und optional gleichzeitige übergreifende
Ausführung
von verschiedenen Programmen verwendet das Mehrprozessorsystem nur
einen ROM, der auf einfache Weise ersetzt werden kann, oder einen
RAM mit Inhalten, die über
eine Schnittstelle neuerlich geladen oder überschrieben werden können. Das
Mehrprozessorsystem ermöglicht
die optionale Verwendung von zumindest einem Slave-Prozessor für beliebig
unterschiedliche oder veränderbare
Aufgaben. Daten in einem Speicherbereich des Slave-Prozessors können im
Einklang mit den Inhalten von dem ROM oder dem RAM durch einen schnellen
Zugriff von einem Master-Prozessor modifiziert oder einem Überschreiben
unterzogen werden.
-
Es
ist eine erste Aufgabe dieser Erfindung, ein verbessertes ausfallsicheres
bzw. Ausfallsicherungssystem bei einer integrierten Steuerung eines Fahrzeugs
bereit zu stellen.
-
Es
ist eine zweite Aufgabe dieser Erfindung, ein verbessertes Verfahren
zur Ausfallsicherung bereit zu stellen.
-
Gemäß einem
ersten Aspekt der Erfindung ist ein ausfallsicheres bzw. Ausfallsicherungssystem wie
in Anspruch 1 definiert bereit gestellt.
-
Gemäß einem
zweiten Aspekt der Erfindung ist ein Verfahren wie in Anspruch 17
definiert bereit gestellt.
-
Weitere
Aspekte der Erfindung sind in den abhängigen Ansprüchen dargelegt.
-
1 ist
ein Blockschaltbild eines integrierten Fahrzeugsteuersystems gemäß dem Stand
der Technik.
-
2 ist
ein Blockschaltbild eines ausfallsicheren Systems gemäß einem
speziellen Ausführungsbeispiel
dieser Erfindung.
-
3 ist
eine Darstellung der Verarbeitungsgeschwindigkeiten, der Speicherkapazitäten und
der Prioritätsgrade
von elektronischen Steuereinheiten (ECUs) gemäß 2.
-
4 ist
eine Darstellung der minimalen Verarbeitungsgeschwindigkeiten, die
für die
Ausführung von
Grundprogrammen notwendig sind, die den Grundfunktionen von ECUS
entsprechen, der Größen der
Grundprogramme und der Prioritätsgrade von
den ECUs.
-
5 ist
ein Blockschaltbild des ausfallsicheren Systems gemäß 2,
bei dem eine der ECUS ausfällt.
-
6 ist
ein Ablaufdiagramm eines Segments eines Steuerprogramms für eine Leiter-ECU gemäß 2.
-
7 ist
ein Ablaufdiagramm eines Blocks gemäß 6.
-
8 ist
ein Ablaufdiagramm eines Segments eines Steuerprogramms für jede ECU
gemäß 2 mit
Ausnahme der Leiter-ECU.
-
Zum
besseren Verständnis
dieser Erfindung wird nachstehend ein System gemäß dem Stand der Technik erläutert.
-
1 zeigt
ein integriertes Fahrzeugsteuersystem gemäß dem Stand der Technik, das
elektronische Steuereinheiten (ECUS) 110, 120 und 130 umfasst.
Die ECUs 110, 120 und 130 sind über Kommunikationsleitungen
LN miteinander verbunden. Die ECUs 110, 120 und 130 können über die
Kommunikationsleitungen LN miteinander kommunizieren. Mit der ECU 110 sind
Sensoren 111 und 112, sowie Stellglieder 113 und 114 verbunden.
Gleichermaßen
sind mit den ECUs 120 und 130 andere Sensoren
und Stellglieder verbunden.
-
Die
ECU 110 steuert die Stellglieder 113 und 114 an
und steuert diese in Erwiderung auf Signale, die von den Sensoren 111 und 112 zugeführt werden, ebenso
wie auf Signale, die über
die Kommunikationsleitungen LN von den anderen ECUS zugeführt werden.
Gleichermaßen
arbeitet jede der ECUs 120 und 130 bezüglich der
mit diesen verbundenen Stellgliedern. Dementsprechend werden alle
Stellglieder auf einer integrierten Grundlage gesteuert.
-
Jede
der ECUS 110, 120 und 130 ist nur den Stellgliedern
zugeordnet, die mit dieser verbunden sind. Daher können die
Stellglieder 113 und 114 in dem Fall, dass die
ECU 110 ausfällt,
nicht angesteuert und gesteuert werden. In diesem Fall besteht die Möglichkeit,
dass sich das zugehörige
Fahrzeug überhaupt
nicht fortbewegen kann und keine Notheimkehr durchgeführt werden
kann.
-
Grundlegende Ausführungsbeispiele
-
Ein
erstes grundlegendes Ausführungsbeispiel
dieser Erfindung bezieht sich auf ein ausfallsicheres bzw. Ausfallsicherungssystem,
das bei einer integrierten Steuerung für ein Fahrzeug verwendet wird.
An dem Fahrzeug ist eine Vielzahl von Bauelementen (strukturellen
Komponenten) bereit gestellt. Beispiele der Bauelemente sind ein
Motor, ein Automatikgetriebe, eine Bremsvorrichtung und eine Klimaanlage.
Das integrierte Steuersystem implementiert eine integrierte Steuerung
der Bauelemente, wodurch eine stabile Steuerung des Fahrzeugs bereit gestellt
wird.
-
Das
integrierte Steuersystem für
das Fahrzeug umfasst eine Vielzahl von Stellgliedern bzw. Stellern
zum jeweiligen Betätigen
der Bauelemente, eine Vielzahl von Sensoren zum jeweiligen Erfassen von
Zustandsgrößen, die
bei einer Steuerung eines Betriebs der Bauelemente verwendet werden,
eine Vielzahl von Bauelement-Steuerabschnitten
zum jeweiligen Ansteuern und Steuern der Stellglieder bzw. Steller
auf Grundlage der von den Sensoren erfassten Zustandsgrößen gemäß voreingestellten
Steuerprogrammen, und einen Manager- bzw. Leiter-Steuerabschnitt zum Überwachen von Betriebsbedingungen
der Bauelement-Steuerabschnitte. Solche unter den Stellgliedern
bzw. Stellern und den Sensoren, die für eine Fortbewegung des Fahrzeugs
notwendig sind, die Bauelement-Steuerabschnitte und der Leiter-Steuerabschnitt sind
mit einer Kommunikationsleitung verbunden, um Kommunikationen unter
diesen zu implementieren. Dadurch wird das Fahrzeug auf einer integrierten
Grundlage gesteuert.
-
Vorzugsweise
sind solche unter den Stellgliedern und den Sensoren, die nicht
für eine
Fortbewegung des Fahrzeugs notwendig sind, direkt mit den entsprechenden
Bauelement-Steuerabschnitten verbunden,
ohne mit der Kommunikationsleitung verbunden zu sein. Diese Auslegung
ist im Hinblick auf Kosten vorteilhaft, da es nicht notwendig ist,
diese Stellglieder und Sensoren mit Funktionen zur Kommunikation über die
Kommunikationsleitung zu versehen. Wahlweise können solche unter den Stellgliedern
und den Sensoren, die nicht für
eine Fortbewegung des Fahrzeugs notwendig sind, direkt mit der Kommunikationsleitung
verbunden sein.
-
Bei
dem ausfallsicheren System, das mit dem ersten grundlegende Ausführungsbeispiel
dieser Erfindung in Beziehung steht, sind den Bauelement-Steuerabschnitten
jeweils voreingestellte Prioritätsgrade
gegeben. Der Leiter-Steuerabschnitt speichert ein oder mehrere Ersatzprogramme,
die zur Implementierung von Funktionen von solchen unter den Bauelement-Steuerabschnitten
ausgelegt sind, die für
eine Fortbewegung des Fahrzeugs notwendig sind. In dem Fall, dass
einer unter den Bauelement-Steuerabschnitten ausfällt, der
für eine
Fortbewegung des Fahrzeugs notwendig ist, kann das Bauelement, welches
ein von dem ausgefallenen Bauelement-Steuerabschnitt zu steuerndes Objekt darstellt,
gemäß dem Ersatzprogramm
gesteuert und betrieben werden, das dem ausgefallenen Bauelement-Steuerabschnitt
entspricht.
-
Im
Speziellen wählt
in dem Fall, dass der Leiter-Steuerabschnitt
einen Ausfall von einem unter den Bauelement-Steuerabschnitten erfasst,
der für eine
Fortbewegung des Fahrzeugs notwendig ist, eine Herunterladeeinrichtung
einen aus nicht ausgefallenen der Bauelement-Steuerabschnitte als
Herunterladeziel gemäß den Prioritätsgraden
aus und lädt
sie das Ersatzprogramm, das dem ausgefallenen Bauelement-Steuerabschnitt
entspricht, in den ausgewählten
Herunterladeziel-Bauelement-Steuerabschnitt
herunter. Der ausgewählte Herunterladeziel-Bauelement-Steuerabschnitt
weist einen niedrigeren Prioritätsgrad
als der ausgefallene Bauelement-Steuerabschnitt auf.
-
Der
Herunterladeziel-Bauelement-Steuerabschnitt treibt und steuert das
Stellglied, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht, auf
Grundlage der Zustandsgröße, die
von dem Sensor erfasst wird, der dem ausgefallenen Bauelement-Steuerabschnitt
entspricht, gemäß dem heruntergeladenen
Ersatzprogramm.
-
In
dem Fall, dass einer unter den Bauelement-Steuerabschnitten ausfällt, der
für eine
Fortbewegung des Fahrzeugs notwendig ist, dient daher ein anderer
Bauelement-Steuerabschnitt für
die Funktion des ausgefallenen Bauelement-Steuerabschnitts. Dementsprechend
wird dem Fahrzeug ermöglicht, eine
Fortbewegung fortzusetzen. Demnach kann das Fahrzeug an einen sicheren
Ort oder zu einem Kundendienst bewegt werden.
-
Vorzugsweise
speichert der Leiter-Steuerabschnitt ein oder mehrere Ersatzprogramme,
die zur Implementierung von Funktionen von nur solchen unter den
Bauelement-Steuerabschnitten
ausgelegt sind, die für
eine Fortbewegung des Fahrzeugs notwendig sind. Diese Auslegung
ist im Hinblick auf Programmverwaltung und Kosten vorteilhaft. Der
Leiter-Steuerabschnitt kann Ersatzprogramme speichern, die zur Implementierung
der Funktionen von allen Bauelement-Steuerabschnitten ausgelegt
sind.
-
Der
Herunterladeziel-Bauelement-Steuerabschnitt kann das Stellglied,
das dem ausgefallenen Bauelement-Steuerabschnitt
entspricht, auf Grundlage der Zustandsgröße, die von dem Sensor erfasst wird,
der nicht dem ausgefallenen Bauelement-Steuerabschnitt entspricht,
gemäß dem heruntergeladenen
Ersatzprogramm ansteuern und steuern. Der Herunterladeziel-Bauelement-Steuerabschnitt
kann das Stellglied, das nicht dem ausgefallenen Bauelement-Steuerabschnitt
entspricht, auf Grundlage der Zustandsgröße, die von dem Sensor erfasst
wird, der dem ausgefallenen Bauelement-Steuerabschnitt entspricht,
gemäß dem heruntergeladenen
Ersatzprogramm ansteuern und steuern.
-
Ein
zweites grundlegendes Ausführungsbeispiel
dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel
von dieser. Das zweite grundlegende Ausführungsbeispiel dieser Erfindung zeichnet
sich dadurch aus, dass die Ersatzprogramme Grundprogramme umfassen,
die zur Implementierung von Grundfunktionen von solchen unter den Bauelement-Steuerabschnitten
ausgelegt sind, die für
eine Fortbewegung des Fahrzeugs notwendig sind. In dem Fall, dass
der Leiter-Steuerabschnitt einen Ausfall von einem unter den Bauelement-Steuerabschnitten
erfasst, der für
eine Fortbewegung des Fahrzeugs notwendig ist, lädt die Herunterladeeinrichtung
das Grundprogramm, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht,
in den ausgewählten
Herunterladeziel-Bauelement-Steuerabschnitt herunter.
-
Die
Grundfunktionen der Bauelement-Steuerabschnitte meinen vereinfachte
Funktionen von diesen, die für
eine Fortbewegung des Fahrzeugs notwendig sind. Programmsegmente
zur Implementierung von Korrekturen und anderen feinen Vorgängen in
der allgemeinen Fahrzeugsteuerung sind aus den Grundprogrammen weggelassen.
Daher sind die Größen der
Grundprogramme relativ klein. Dementsprechend kann jedes der Grundprogramme
in solche der Bauelement-Steuerabschnitte installiert werden, die
nur geringe Speicherkapazitäten
aufweisen. Daher können
mehr der Bauelement-Steuerabschnitte
als Herunterladeziel ausgewählt
werden.
-
Ein
drittes grundlegendes Ausführungsbeispiel
dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel
von dieser. Das dritte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet
sich dadurch aus, dass solche unter den Bauelement-Steuerabschnitten,
die für
eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische
Steuereinheit zur Steuerung des Motors als ein Bauelement umfassen.
-
Ein
viertes grundlegendes Ausführungsbeispiel
dieser Erfindung beruht auf dem zweiten grundlegenden Ausführungsbeispiel
von dieser. Das vierte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet
sich dadurch aus, dass solche unter den Bauelement-Steuerabschnitten,
die für
eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische
Steuereinheit zur Steuerung des Motors als ein Bauelement umfassen
und eine Grundfunktion der elektronischen Steuereinheit eine Kraftstoffeinspritzrate
und eine Zündzeitsteuerung
festlegt. Gemäß der Grundfunktion
der elektronischen Steuereinheit ist es möglich, ein solches Achsmoment
zu erzeugen, um zu ermöglichen,
dass sich das Fahrzeug bewegt.
-
Ein
fünftes
grundlegendes Ausführungsbeispiel
dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel
von dieser. Das fünfte grundlegende
Ausführungsbeispiel
dieser Erfindung zeichnet sich dadurch aus, dass solche unter den Bauelement- Steuerabschnitten,
die für
eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische
Steuereinheit zur Steuerung des Automatikgetriebes als ein Bauelement
umfassen.
-
Ein
sechstes grundlegendes Ausführungsbeispiel
dieser Erfindung berruht auf dem zweiten grundlegenden Ausführungsbeispiel
von dieser. Das sechste grundlegende Ausführungsbeispiel dieser Erfindung
zeichnet sich dadurch aus, dass solche unter den Bauelement-Steuerabschnitten,
die für
eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische
Steuereinheit zur Steuerung des Automatikgetriebes als ein Bauelement
umfassen und eine Grundfunktion der elektronischen Steuereinheit ein Übersetzungsverhältnis in
dem Automatikgetriebe festlegt. Wird das Übersetzungsverhältnis in
dem Automatikgetriebe auf einen Wert festgelegt, der einer niedrigen
Geschwindigkeit bzw. Drehzahl entspricht, kann verhindert werden,
dass der Motor abgewürgt
wird bzw. zum Stillstand kommt.
-
Ein
siebtes grundlegendes Ausführungsbeispiel
dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel
von dieser. Das siebte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet
sich dadurch aus, dass solche unter den Bauelement-Steuerabschnitten,
die für
eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische
Steuereinheit zur Steuerung der Bremsvorrichtung als ein Bauelement
umfassen.
-
Ein
achtes grundlegendes Ausführungsbeispiel
dieser Erfindung beruht auf dem zweiten grundlegenden Ausführungsbeispiel
von dieser. Das achte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet
sich dadurch aus, dass solche unter den Bauelement-Steuerabschnitten,
die für
eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische
Steuereinheit zur Steuerung der Bremsvorrichtung als ein Bauelement
umfassen und eine Grundfunktion der elektronischen Steuereinheit
eine Steuerung der Bremsvorrichtung lediglich in Erwiderung auf
einen Grad eines Herabdrückens
eines Bremspedals implementiert. Hochleistungs-Bremssteuerschritte
wie etwa ein Antiblockier-Bremssteuerschritt sind aus der Grundfunktion
der elektronischen Steuereinheit weggelassen. Gemäß der Grundfunktion
der elektronischen Steuereinheit ist es möglich zu verhindern, dass die
Bremsvorrichtung unter allgemeinen bzw. gewöhnlichen Fahrzeugfortbewegungsbedingungen
deaktiviert bzw. betriebsunfähig
wird.
-
Ein
neuntes grundlegendes Ausführungsbeispiel
dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel
von dieser. Das neunte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet
sich dadurch aus, dass die Prioritätsgrade voreingestellt sind
in einer Reihenfolge von Bauelement-Steuerabschnitten, die für eine Fortbewegung des
Fahrzeugs notwendig sind, Bauelement-Steuerabschnitten, die Fahrleistungen
des Fahrzeugs verbessern, Bauelement-Steuerabschnitten, die einen Komfort
des Fahrzeugs erhöhen,
und anderen Bauelement-Steuerabschnitten.
-
Die
Bauelement-Steuerabschnitte, die für eine Fortbewegung des Fahrzeugs
notwendig sind, umfassen eine elektronische Steuereinheit zur Steuerung
des Motors, eine elektronische Steuereinheit zur Steuerung des Automatikgetriebes,
eine elektronische Steuereinheit zur Steuerung der Bremsvorrichtung
und eine elektronische Steuereinheit zur Steuerung von Instrumenten
wie etwa einem Geschwindigkeitsmesser. Die elektronische Steuereinheit
zur Steuerung des Motors, die elektronische Steuereinheit zur Steuerung
des Automatikgetriebes und die elektronische Steuereinheit zur Steuerung der
Bremsvorrichtung sind für
eine Fortbewegung des Fahrzeugs notwendiger bzw. wichtiger, und
ihnen ist ein höherer
Prioritätsgrad
gegeben.
-
Die
Bauelement-Steuerabschnitte, die Fahrleistungen des Fahrzeugs verbessern,
umfassen eine elektronische Steuereinheit zur Steuerung einer Navigationsvorrichtung,
welche Navigationsdienste an einen Fahrzeugfahrer bereit stellt.
Die Bauelement-Steuerabschnitte, die einen Komfort des Fahrzeugs
erhöhen,
umfassen eine elektronische Steuereinheit zur Steuerung der Klimaanlage,
welche die Temperatur im Innenraum des Fahrzeugs abstimmt. Die anderen
Bauelement-Steuerabschnitte
umfassen eine elektronische Steuereinheit zur Steuerung von elektrischen
Fahrzeugfenstern.
-
Ein
zehntes grundlegendes Ausführungsbeispiel
dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel
von dieser. Das zehnte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet
sich dadurch aus, dass der durch die Herunterladeeinrichtung ausgewählte Herunterladeziel-Bauelement-Steuerabschnitt
eine Verarbeitungsgeschwindigkeit aufweist, die zur Implementierung
der Funktion des ausgefallenen Bauelement-Steuerabschnitts notwendig
ist, und eine Speicherkapazität
aufweist, die zum Speichern des Ersatzprogramms notwendig ist, das
dem ausgefallenen Bauelement-Steuerabschnitt entspricht. Es ist möglich, das
Ersatzprogramm auf sichere Weise in den Herunterladeziel-Bauelement-Steuerabschnitt herunterzuladen.
Außerdem
kann das Ersatzprogramm mit einer vorgeschriebenen Verarbeitungsgeschwindigkeit
ausgeführt
werden und ist dem Fahrzeug eine Fortbewegung möglich.
-
Ein
elftes grundlegendes Ausführungsbeispiel
dieser Erfindung beruht auf dem zehnten grundlegenden Ausführungsbeispiel
von dieser. Das elfte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet
sich dadurch aus, dass der durch die Herunterladeeinrichtung ausgewählte Herunterladeziel-Bauelement-Steuerabschnitt
den niedrigsten Prioritätsgrad
aufweist. Das Ersatzprogramm wird in einen von nicht ausgefallenen
Bauelement-Steuerabschnitten heruntergeladen, der den niedrigsten
Prioritätsgrad
aufweist. Es ist möglich,
dass Funktionen übrig
bleiben, die für
eine Fortbewegung des Fahrzeugs notwendiger bzw. wichtiger sind.
-
Ein
zwölftes
grundlegendes Ausführungsbeispiel
dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel
von dieser. Das zwölfte grundlegende
Ausführungsbeispiel
dieser Erfindung zeichnet sich dadurch aus, dass die Herunterladeeinrichtung
eine Einrichtung zum Löschen
eines Hauptsteuerprogramms aus einem Speicherbereich in dem Herunterladeziel-Bauelement-Steuerabschnitt und zum
Schreiben des Ersatzprogramms dort hinein aufweist. Es ist nicht
notwendig, die Speicherkapazität
von jedem der Bauelement-Steuerabschnitte
zu erweitern. Daher ist das zwölfte
grundlegende Ausführungsbeispiel
dieser Erfindung im Hinblick auf Kosten vorteilhaft. Vorzugsweise
wird bei einem Kundendienst das Hauptsteuerprogramm erneut in den Herunterladeziel-Bauelement-Steuerabschnitt
installiert.
-
Ein
dreizehntes grundlegendes Ausführungsbeispiel
dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel
von dieser. Das dreizehnte grundlegende Ausführungsbeispiel dieser Erfindung
zeichnet sich dadurch aus, dass der Leiter-Steuerabschnitt Informationen über den
ausgefallenen Bauelement-Steuerabschnitt abspeichert und die Herunterladeeinrichtung
ein Herunterladen des Ersatzprogramms, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht,
bei Motorstart in Erwiderung auf die Informationen ausführt, die
durch den Leiter-Steuerabschnitt
abgespeichert werden. Da von einem Wechselstromgenerator bzw. einer Lichtmaschine
in dem Fahrzeug zugeführte
elektrische Energie bei Motorstart verwendet werden kann, ist es
möglich,
das Herunterladen des Ersatzprogramms auf sichere Weise auszuführen, ohne
eine zusätzliche
Energieeinspeiseschaltung bereit zu stellen.
-
Ein
vierzehntes grundlegendes Ausführungsbeispiel
dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel
von dieser. Das vierzehnte grundlegende Ausführungsbeispiel dieser Erfindung
zeichnet sich dadurch aus, dass der Herunterladeziel-Bauelement-Steuerabschnitt
einen vorhergehenden Steuervorgang unterbricht, wenn die Herunterladeeinrichtung
ein Herunterladen des Ersatzprogramms ausführt, das dem ausgefallenen Bauelement-Steuerabschnitt
entspricht. Es ist möglich,
das Herunterladen des Ersatzprogramms auf sichere Weise auszuführen.
-
Spezielles Ausführungsbeispiel
-
2 zeigt
eine ausfallsicheres bzw. Ausfallsicherungssystem gemäß einem
speziellen Ausführungsbeispiel
dieser Erfindung. Das ausfallsichere System gemäß 2 ist in
einem integrierten System zur Implementierung einer integrierten
Steuerung von Bauelementen (strukturellen Komponenten) eines Fahrzeugs
enthalten. Die Bauelemente des Fahrzeugs umfassen zum Beispiel einen
Motor, ein Automatikgetriebe, eine Bremsvorrichtung, eine Klimaanlage
und eine Navigationsvorrichtung (wobei diese nicht gezeigt sind).
-
Das
ausfallsichere System gemäß 2 enthält elektronische
Steuereinheiten (ECUS) 1, 2, 3, 4, 5, 6 und 7.
Die ECU 1 ist zur Steuerung des Motors gemäß einem
voreingestellten Steuerprogramm ausgelegt. Die ECU 1 wird
als die Motor-ECU 1 bezeichnet. Die ECU 2 ist
zur Steuerung des Automatikgetriebes gemäß einem voreingestellten Steuerprogramm
ausgelegt. Die ECU 2 wird als die Getriebe-ECU 2 bezeichnet.
Die ECU 3 ist zur Steuerung der Bremsvorrichtung gemäß einem
voreingestellten Steuerprogramm ausgelegt. Die ECU 3 wird
als die Fahrsteuerung-ECU 3 bezeichnet. Die ECU 4 ist
zur Steuerung der Klimaanlage gemäß einem voreingestellten Steuerprogramm
ausgelegt. Die ECU 4 wird als die Klimaanlage-ECU 4 bezeichnet.
Die ECU 5 ist zur Steuerung der Navigationsvorrichtung
gemäß einem
voreingestellten Steuerprogramm ausgelegt. Die ECU 5 wird
als die Navigation-ECU 5 bezeichnet. Die ECU 6 ist
zur Steuerung von Instrumenten wie etwa einem Geschwindigkeitsmesser
gemäß einem voreingestellten
Steuerprogramm ausgelegt. Die ECU 6 wird als die erste
Karosserie-ECU 6 bezeichnet. Die ECU 7 ist zur
Steuerung von elektrischen Fenstern und einem Türverriegelungsschlüssel gemäß einem
voreingestellten Steuerprogramm ausgelegt. Die ECU 7 wird
als die zweite Karosserie-ECU 7 bezeichnet. Das ausfallsichere
System gemäß 2 enthält auch
eine Leiter-ECU 10, die als Leiter- bzw. Manager-Steuerung
dient und die Betriebsbedingungen von den ECUs 1 bis 7 überwacht.
-
Jede
der ECUs 1 bis 7 umfasst einen Mikrocomputer mit
einer Kombination eines Eingabe/Ausgabe-Anschlusses, eines Verarbeitungsteils
und eines Speichers. Jede der ECUs 1 bis 7 arbeitet
im Einklang mit einem Programm, das in ihrem Speicher gespeichert
ist. Der Speicher enthält
zum Beispiel einen elektrisch löschbaren
programmierbaren ROM und einen RAM. Die Leiter-ECU 10 umfasst
einen Mikrocomputer mit einer Kombination eines Eingabe/Ausgabe-Anschlusses,
eines Verarbeitungsteils und eines Speichers. Die Leiter-ECU 10 arbeitet
im Einklang mit einem Steuerprogramm, das in ihren Speicher gespeichert
ist. Der Speicher enthält
zum Beispiel einen ROM und einen RAM. Der Speicher enthält auch
einen nichtflüchtigen
Speicher wie etwa einen Flash-Speicher. Die ECUS 1 bis 7 und 10 sind für eine Datenübermittlung über Kommunikationsleitungen
L miteinander verbunden. Jede der ECUs 1 bis 7 und 10 umfasst
auch eine Kommunikationseinheit (eine Kommunikationsschnittstelle), über die
ihr Mikrocomputer mit den Kommunikationsleitungen L verbunden ist.
-
Im
Speziellen umfasst die Motor-ECU 1 einen Mikrocomputer 1a und
eine Kommunikationseinheit (eine Kommunikationsschnittstelle) 1b.
Der Mikrocomputer 1a hat eine Verarbeitungsgeschwindigkeit
von 25 MIPS und eine Speicherkapazität von 320 KB. Die Kommunikationseinheit 1b ist
mit den Kommunikationsleitungen L verbunden. Die Motor-ECU 1 kann
Datenkommunikationen über
die Kommunikationseinheit 1b durchführen. Mit der Motor-ECU 1 sind Sensoren
und Schalter verknüpft
oder verbunden. Die Sensoren und Schalter umfassen einen Gaspedalpositionssensor
zum Erfassen des Grads eines Herabdrückens eines Gaspedals, einen
Luftmengenmesser zum Erfassen des Luftströmungsdurchsatzes in den Motor,
einen Ansauglufttemperatursensor zum Erfassen der Temperatur von
Ansaugluft, einen Drosselpositionssensor zum Erfassen des Grad einer Öffnung eines
Drosselventils, einen Sauerstoffkonzentrationssensor zum Erfassen
einer Sauerstoffkonzentration in Abgas, einen Kühlmitteltemperatursensor zum
Erfassen der Temperatur eines Motorkühlmittels, einen Kurbelwinkelsensor
zum Erfassen der Winkelposition und Drehgeschwindigkeit einer Kurbelwelle
und einen Zündschalter
(einen Zündschlüssel). Außerdem sind
mit der Motor-ECU 1 Stellglieder zur Steuerung des Motors
verknüpft
oder verbunden. Die Stellglieder umfassen Kraftstoffeinspritzdüsen, die
für Zylinder
des Motors bereitgestellt sind, einen Zünder zum Erzeugen einer hohen
Zündspannung,
eine Kraftstoffpumpe zum Zuführen
von Kraftstoff von einem Kraftstofftank an die Kraftstoffeinspritzdüsen und
einen Drosselantriebsmotor zum Öffnen
und Schließen
des Drosselventils.
-
Ausführlicher
ausgedrückt
umfassen die mit der Motor-ECU 1 verknüpften oder verbundenen Sensoren
solche 11, die für
die Fortbewegung des Fahrzeugs notwendig sind. Ein Beispiel eines
solchen Sensors 11 ist der Kurbelwinkelsensor. Die Sensoren 11 sind
direkt mit den Kommunikationsleitungen L verbunden. Im Speziellen
umfassen die Sensoren 11 Kommunikationseinheiten (Kommunikationsschnittstellen) 11a,
die mit den Kommunikationsleitungen L verbunden sind. Signale werden
von den Sensoren 11 über
die Kommunikationsleitungen L an die Motor-ECU 1 übertragen.
Die mit der Motor-ECU 1 verknüpften oder verbundenen Stellglieder umfassen
solche 12, die für
die Fortbewegung des Fahrzeugs notwendig sind. Beispiele der Stellglieder 12 sind
die Kraftstoffeinspritzdüsen,
der Zünder
und die Kraftstoffpumpe. Die Stellglieder 12 sind direkt mit
den Kommunikationsleitungen L verbunden. Im Speziellen umfassen
die Stellglieder 12 Kommunikationseinheiten (Kommunikationsschnittstellen) 12a, die
mit den Kommunikationsleitungen L verbunden sind. Signale werden
von der Motor-ECU 1 über
die Kommunikationsleitungen L an die Stellglieder 12 übertragen.
-
Die
Getriebe-ECU 2 umfasst einen Mikrocomputer 2a und
eine Kommunikationseinheit (eine Kommunikationsschnittstelle) 2b.
Der Mikrocomputer 2a hat eine Verarbeitungsgeschwindigkeit
von 25 MIPS und eine Speicherkapazität von 320 KB. Die Kommunikationseinheit 2b ist
mit den Kommunikationsleitungen L verbunden. Die Getriebe-ECU 2 kann Datenkommunikationen über die
Kommunikationseinheit 2b durchführen. Mit der Getriebe-ECU 2 sind Sensoren
und Schalter verknüpft
oder verbunden. Die Sensoren und Schalter umfassen einen Drehgeschwindigkeitssensor
zum Erfassen der Drehgeschwindigkeit einer Antriebswelle zwischen
einem Drehmomentwandler und dem Automatikgetriebe, einen Fahrzeuggeschwindigkeitssensor
zum Erfassen der Geschwindigkeit des Fahrzeugs aus der Drehgeschwindigkeit
einer Fahrzeugantriebswelle, die mit einer Abtriebswelle des Automatikgetriebes
gekoppelt ist, einen Hydraulikflüssigkeitstemperatursensor zum
Erfassen der Temperatur einer Arbeitsmittels bzw. -mediums in dem
Automatikgetriebe und einen Schaltungspositionsschalter zum Erfassen
der Betriebsposition (Schaltungsposition) einer durch einen Fahrzeugfahrer
bedienten Schalthebel. Außerdem sind
mit der Getriebe-ECU 2 Stellglieder zur Steuerung des Automatikgetriebes
verknüpft
oder verbunden. Die Stellglieder umfassen Schaltungssolenoide zum Ändern des
Getriebeübersetzungsverhältnisses,
ein Leitungsdrucksolenoid zum Steuern der Kraft eines Eingriffes
von Gangverbindungs-/-trennungskupplungen und ein Sperrdrucksolenoid
zum Steuern der Sperrkraft einer Sperrkupplung, die fungiert, um
die Antriebs- und Abtriebswellen des Drehmomentwandlers zu koppeln.
-
Ausführlicher
ausgedrückt
umfassen die mit der Getriebe-ECU 2 verknüpften oder
verbundenen Sensoren solche 21, die für die Fortbewegung des Fahrzeugs
notwendig sind. Beispiele der Sensoren 21 sind der Drehgeschwindigkeitssensor
und der Fahrzeuggeschwindigkeitssensor. Die Sensoren 21 sind
direkt mit den Kommunikationsleitungen L verbunden. Im Speziellen
umfassen die Sensoren 21 Kommunikationseinheiten (Kommunikationsschnittstellen) 21a,
die mit den Kommunikationsleitungen L verbunden sind. Signale werden
von den Sensoren 21 über
die Kommunikationsleitungen L an die Getriebe-ECU 2 übertragen.
Die mit der Motor-ECU 2 verknüpften oder verbundenen Stellglieder
umfassen solche 22, die für die Fortbewegung des Fahrzeugs notwendig
sind. Beispiele der Stellglieder 22 sind die Schaltungssolenoide
und das Leitungsdrucksolenoid. Die Stellglieder 22 sind
direkt mit den Kommunikationsleitungen L verbunden. Im Speziellen
umfassen die Stellglieder 22 Kommunikationseinheiten (Kommunikationsschnittstellen) 22a,
die mit den Kommunikationsleitungen L verbunden sind. Signale werden von
der Getriebe-ECU 2 über
die Kommunikationsleitungen L an die Stellglieder 22 übertragen.
-
Die
Fahrsteuerung-ECU 3 umfasst einen Mikrocomputer 3a und
eine Kommunikationseinheit (eine Kommunikationsschnittstelle) 3b.
Der Mikrocomputer 3a hat eine Verarbeitungsgeschwindigkeit
von 15 MIPS und eine Speicherkapazität von 128 KB. Die Kommunikationseinheit 3b ist
mit den Kommunikationsleitungen L verbunden. Die Fahrsteuerung-ECU 3 kann
Datenkommunikationen über
die Kommunikationseinheit 3b durchführen. Die Fahrsteuerung-ECU 3 implementiert
die Steuerung der Bremsvorrichtung, die eine Antiblockierbremseinheit
(ein Antiblockierbremssystem, ABS) umfasst, um zu verhindern, dass die
Antriebsräder
des Fahrzeugs blockieren, wenn das Fahrzeug abrupt abgebremst wird.
Die Fahrsteuerung-ECU 3 und die Motor-ECU 1 arbeiten
zusammen, um eine Zwischenfahrzeugsteuerung oder einen automatischen
Fahrtregler (ACC: „Automatic Cruise
Control") zum Messen
der Entfernung zwischen einem vorausfahrenden Fahrzeug und dem vorliegenden
Fahrzeug durch einen Laserradar und zum Steuern der Zwischenfahrzeugentfernung
auf einen konstanten Wert, eine Fahrzeugstabilisierungssteuerung
(VSC: „Vehicle
Stabilizing Control") zum
Stabilisieren des Körpers
bzw. der Karosserie des Fahrzeugs, wenn sich das Fahrzeug entlang
einer kurvigen Straße
fortbewegt, und eine Traktionssteuerung (TRC: „Traction Control") zum Verhindern, dass
die Antriebsräder
des Fahrzeugs während
einer Beschleunigung durchdrehen, zu implementieren. Mit der Fahrsteuerung-ECU 3 sind
Sensoren und Schalter verknüpft
oder verbunden. Die Sensoren und Schalter umfassen einen Hauptzylinderdrucksensor
zum Erfassen des hydraulischen Drucks in einem Hauptzylinder der
Bremsvorrichtung, einen Lenkungssensor zum Erfassen des Lenkungswinkels des
Fahrzeugs und einen Giergeschwindigkeitssensor zum Erfassen der
Giergeschwindigkeit des Körpers
bzw. der Karosserie des Fahrzeugs. Außerdem sind mit der Fahrsteuerung-ECU 3 Stellglieder
verknüpft
oder verbunden. Die Stellglieder umfassen ein Bremsstellglied zum
Erzeugen des hydraulischen Drucks in dem Hauptzylinder und zum Ausführen einer
Bremssteuerung.
-
Ausführlicher
ausgedrückt
umfassen die mit der Fahrsteuerung-ECU 3 verknüpften oder
verbundenen Sensoren solche 31, die für die Fortbewegung des Fahrzeugs
notwendig sind. Ein Beispiel eines solchen Sensors 31 ist
der Hauptzylinderdrucksensor. Die Sensoren 31 sind direkt
mit den Kommunikationsleitungen L verbunden. Im Speziellen umfassen die
Sensoren 31 Kommunikationseinheiten (Kommunikationsschnittstellen) 31a,
die mit den Kommunikationsleitungen L verbunden sind. Signale werden
von den Sensoren 31 über
die Kommunikationsleitungen L an die Fahrsteuerung-ECU 3 übertragen.
Die mit der Fahrsteuerung-ECU 3 verknüpften oder verbundenen Stellglieder
umfassen solche 32, die für die Fortbewegung des Fahrzeugs
notwendig sind. Ein Beispiel eines solchen Stellglieds 32 ist
das Bremsstellglied. Die Stellglieder 32 sind direkt mit
den Kommunikationsleitungen L verbunden. Im Speziellen umfassen
die Stellglieder 32 Kommunikationseinheiten (Kommunikationsschnittstellen) 32a,
die mit den Kommunikationsleitungen L verbunden sind. Signale werden
von der Fahrsteuerung-ECU 3 über die Kommunikationsleitungen
L an die Stellglieder 32 übertragen.
-
Die
Klimaanlage-ECU 4 umfasst einen Mikrocomputer 4a und
eine Kommunikationseinheit (eine Kommunikationsschnittstelle) 4b.
Der Mikrocomputer 4a hat eine Verarbeitungsgeschwindigkeit
von 5 MIPS und eine Speicherkapazität von 128 KB. Die Kommunikationseinheit 4b ist
mit den Kommunikationsleitungen L verbunden. Die Klimaanlage-ECU 4 kann
Datenkommunikationen über
die Kommunikationseinheit 4b durchführen. Mit der Klimaanlagensteuerung-ECU 4 sind
Sensoren und Schalter verbunden. Die Sensoren und Schalter umfassen
einen Atmosphärentemperatursensor,
einen Fahrzeuginnenlufttemperatursensor und einen von dem Fahrzeugfahrer
betätigten
Klimaanlagenschalter. Außerdem
sind mit der Klimaanlage-ECU 4 Stellglieder verbunden.
Die Stellglieder umfassen einen Gebläsemotor zum Antreiben von Luft
und eine Luftmischklappe zum Ändern
der Luftmischungsbedingungen. Die Klimaanlage-ECU 4 kann übertragene
Daten über
die Kommunikationsleitungen L empfangen. Die übertragenen Daten stellen zum
Beispiel die Fahrzeuggeschwindigkeit, die Motordrehgeschwindigkeit und
die Motorkühlmitteltemperatur
dar. Die Klimaanlage-ECU 4 treibt
und steuert die zugehörigen
Stellglieder in Erwiderung auf die Ausgabesignale von den zugehörigen Sensoren
und Schaltern und die über
die Kommunikationsleitungen L empfangenen Daten.
-
Die
Navigation-ECU 5 umfasst einen Mikrocomputer 5a und
eine Kommunikationseinheit (eine Kommunikationsschnittstelle) 5b.
Der Mikrocomputer 5a hat eine Verarbeitungsgeschwindigkeit
von 25 MIPS und eine Speicherkapazität von 4000 KB. Die Kommunikationseinheit 5b ist
mit den Kommunikationsleitungen L verbunden. Die Navigation-ECU 5 kann
Datenkommunikationen über
die Kommunikationseinheit 5b durchführen. Mit der Navigation-ECU 5 sind
Sensoren und Schalter verbunden. Die Sensoren und Schalter umfassen
eine Positionserfassungsvorrichtung, eine Kartendateneingabevorrichtung,
Sensoren zum Erfassen von Positionsinformationen und Bedienungs-
bzw. Betriebsschalter. Die Positionserfassungsvorrichtung enthält einen
GPS- („Global
Positioning System")
Empfänger.
Mit der Navigation-ECU 5 sind Stellglieder verbunden. Die Stellglieder
umfassen solche zum Angeben der momentanen Position des Fahrzeugs
auf einer Anzeige.
-
Die
Navigation-ECU 5 kann über
die Kommunikationsleitungen L Informationen über die Parameter wie etwa
die Fahrzeuggeschwindigkeit empfangen, die bei der Berechnung der
momentanen Position des Fahrzeugs verwendet werden.
-
Die
erste Karosserie-ECU bzw. Erstkörper-ECU 6 umfasst
einen Mikrocomputer 6a und eine Kommunikationseinheit (eine
Kommunikationsschnittstelle) 6b. Der Mikrocomputer 6a hat
eine Verarbeitungsgeschwindigkeit von 3 MIPS und eine Speicherkapazität von 64
KB. Die Kommunikationseinheit 6b ist mit den Kommunikationsleitungen
L verbunden. Die erste Karosserie-ECU 6 kann Datenkommunikationen über die
Kommunikationseinheit 6b durchführen. Die erste Karosserie-ECU 6 ist
zum Steuern der Instrumente wie etwa des Geschwindigkeitsmessers
in dem Fahrzeugarmaturenbrett ausgelegt. Mit der ersten Karosserie-ECU 6 sind
Stellglieder verbunden. Die Stellglieder umfassen solche zum Aktivieren
der Instrumente. Die erste Karosserie-ECU 6 kann übertragene
Daten über
die Kommunikationsleitungen L empfangen. Die übertragenen Daten stellen zum
Beispiel die Fahrzeuggeschwindigkeit und die Motorkühlmitteltemperatur
dar. Die erste Karosserie-ECU 6 treibt und steuert die
zugehörigen
Stellglieder in Erwiderung auf die über die Kommunikationsleitungen
L empfangenen Daten.
-
Die
zweite Karosserie-ECU bzw. Zweitkörper-ECU 7 umfasst
einen Mikrocomputer 7a und eine Kommunikationseinheit (eine
Kommunikationsschnittstelle) 7b. Der Mikrocomputer 7a hat
eine Verarbeitungsgeschwindigkeit von 1 MIPS und eine Speicherkapazität von 16
KB. Die Kommunikationseinheit 7b ist mit den Kommunikationsleitungen
L verbunden. Die zweite Karosserie-ECU 7 kann Datenkommunikationen über die
Kommunikationseinheit 7b durchführen. Die zweite Karosserie-ECU 7 ist zum
Steuern der elektrisch betriebenen Fenster und des Türverriegelungsschlüssels ausgelegt.
Mit der zweiten Karosserie-ECU 7 sind Sensoren und Schalter
verbunden. Die Sensoren und Schalter umfassen Sensoren zum Erfassen
der Drehgeschwindigkeiten von Antriebsmotoren der elektrisch betriebenen Fenster,
Schalter für
elektrisch betriebene Fenster und Türverriegelungsschalter. Außerdem sind
mit der zweiten Karosserie-ECU 7 Stellglieder verbunden. Die
Stellglieder umfassen solche zum Aktivieren der Antriebsmotoren
der elektrisch betriebenen Fenster und der Türverriegelungsmotoren. Die
zweite Karosserie-ECU 7 kann übertragene Daten über die
Kommunikationsleitungen L empfangen. Die übertragenen Daten stellen zum
Beispiel die Fahrzeuggeschwindigkeit dar. Die zweite Karosserie-ECU 7 bestimmt,
ob die Fahrzeuggeschwindigkeit gleich oder größer einem vorgeschriebenen
Wert wird oder nicht. Wird die Fahrzeuggeschwindigkeit gleich oder
größer dem
vorgeschriebenen Wert, aktiviert die zweite Karosserie-ECU 7 die
Türverriegelungsmotoren,
um die Fahrzeugtüren
automatisch zu verriegeln.
-
Die
Leiter-ECU 10 umfasst einen Mikrocomputer 10a und
eine Kommunikationseinheit (eine Kommunikationsschnittstelle) 10b.
Die Kommunikationseinheit 10b ist mit den Kommunikationsleitungen L
verbunden. Die Leiter-ECU 10 kann Datenkommunikationen über die
Kommunikationseinheit 10b durchführen. Der Speicher in der Leiter-ECU 10 speichert
ein Grundprogramm oder Grundprogramme, das/die ausgelegt ist/sind,
um welchen unter den ECUs 1 bis 7 zu ermöglichen,
für die
Fortbewegung des Fahrzeugs notwendige Grundfunktionen zu implementieren.
Die Leiter- ECU 10 bestimmt,
ob jede der ECUS 1 bis 7 ausfällt oder nicht. In dem Fall,
dass eine der ECUs 1 bis 7 ausfällt, die
für die
Fortbewegung des Fahrzeugs notwendig ist, überträgt die Leiter-ECU 10 das
der ausgefallenen ECU entsprechende Grundprogramm über die
Kommunikationsleitungen L an eine der anderen normalen ECUs.
-
Um
das Fahrzeug optimal zu steuern, werden Daten zwischen den ECUS 1 bis 7 und 10,
den Sensoren 11, 21 und 31, sowie den
Stellgliedern 12, 22 und 32 über die
Kommunikationsleitungen L und die Kommunikationseinheiten 1b bis 7b, 10b, 11a, 21a, 31a, 12a, 22a und 32a übertragen.
-
Das
ausfallsichere System gemäß 2 zeichnet
sich durch den folgenden Ausfallsicherungsvorgang aus. In dem Fall,
dass eine der ECUS 1 bis 7 ausfällt, wird
verhindert, dass das Fahrzeug vollständig angehalten oder betriebsunfähig wird.
Im Speziellen arbeitet in einem solchen Fall eine normale ECU (eine
nicht ausgefallene ECU) unter den ECUs 1 bis 7 zur
Ausführung
der notwendigen Funktion der ausgefallenen ECU. Auf diese Weise
wird dem Fahrzeug ermöglicht,
an einen sicheren Ort oder zu einem Kundendienst zu fahren.
-
Der
Speicher in der Leiter-ECU 10 speichert Grundprogramme
zur Implementierung der vereinfachten Grundfunktionen der Motor-ECU 1,
der Getriebe-ECU 2 und der Fahrsteuerung-ECU 3,
die zum Fortbewegen des Fahrzeugs notwendig sind. In dem Fall, dass
eine von der ECU 1, der Getriebe-ECU 2 und der
Fahrsteuerung-ECU 3 ausfällt, wird das mit dem ausgefallenen
Programm in Beziehung stehende Grundprogramm von einer der anderen
ECUs (normalen ECUs) ausgeführt.
Aus den Grundprogrammen sind Programmsegmente zur Implementierung
von Diagnosen und Korrekturen bei der allgemeinen Fahrzeugsteuerung
weggelassen. Dementsprechend sind die Größen der Grundprogramme relativ
gering.
-
Im
Speziellen speichert der Speicher in der Leiter-ECU 10 ein
Grundprogramm, das einer Grundfunktion der Motor-ECU 1 entspricht.
Das Grundprogramm ist zur Implementierung einer grundlegenden Einspritz-/Zündsteuerung
ausgelegt, durch welche die Rate einer Kraftstoffeinspritzung in
den Motor und die Zündzeitsteuerung
auf vorbestimmte Werte festgelegt werden. Programmsegmente zur Implementierung
von Korrekturen der Kraftstoffeinspritzrate und der Zündzeitsteuerung
sind aus dem Grundprogramm weggelassen. Gemäß der Ausführung des Grundprogramms werden
die Kraftstoffeinspritzdüsen
angewiesen, Kraftstoff mit der festgelegten Rate einzuspritzen,
während
der Zünder
angewiesen wird, eine Zündung
mit der festgelegten Zündzeitsteuerung
bereit zu stellen. Auf diese Weise ermöglicht die Ausführung des
Grundprogramms, dass der Motor ein Drehmoment ausgibt, das für die Fortbewegung des
Fahrzeugs notwendig ist.
-
Zusätzlich speichert
der Speicher in der Leiter-ECU 10 ein Grundprogramm, das
einer Grundfunktion der Getriebe-ECU 2 entspricht.
Das Grundprogramm ist zur Implementierung einer Steuerung eines
festgelegten Übersetzungsverhältnisses
ausgelegt, durch die die im Eingriff stehenden Gänge in dem Automatikgetriebe
festgelegt werden oder das Getriebeübersetzungsverhältnis auf
einen vorbestimmten Wert festgelegt wird. Vorzugsweise entsprechen
die im Eingriff stehenden Gänge
und das festgelegte Getriebeübersetzungsverhältnis einer niedrigen
Geschwindigkeit bzw. Drehzahl. Programmsegmente zur Implementierung
einer feinen Übersetzungsverhältnissteuerung
sind aus dem Grundprogramm weggelassen. Gemäß der Ausführung des Grundprogramms wird
das Automatikgetriebe angewiesen, ein festgelegtes Achsmoment in
einer Beziehung zu dem Motordrehmoment bereit zu stellen, das durch
die Grundfunktion der Motor-ECU 1 hervorgerufen wird. Auf
diese Weise ermöglicht
die Ausführung
des Grundprogramms, dass sich das Fahrzeug fortbewegt, während verhindert
wird, dass der Motor abgewürgt
wird bzw. zum Stillstand kommt.
-
Außerdem speichert
der Speicher in der Leiter-ECU 10 ein Grundprogramm, das
einer Grundfunktion der Fahrsteuerung-ECU 3 entspricht. Das Grundprogramm
ist zur Implementierung einer festgelegten Grundbremssteuerung ausgelegt,
durch die das Bremsen lediglich ansprechend auf den Grad eines Herabdrückens eines
Bremspedals durchgeführt wird.
Programmsegmente zur Implementierung von Steuervorgängen auf
hoher Ebene, die ABS, ACC, VSC und TRC entsprechen, sind aus dem
Grundprogramm weggelassen. Gemäß der Ausführung des Grundprogramms
wird verhindert, dass die Bremsvorrichtung unter allgemeinen bzw.
gewöhnlichen Fahrzeugfortbewegungsbedingungen
deaktiviert bzw. betriebsunfähig
wird. Dadurch wird die Sicherheit des Fahrzeugs sichergestellt.
-
Den
ECUS 1 bis 7 sind jeweils voreingestellte Prioritätsgrade
(voreingestellte Prioritätsniveaus) gegeben.
Der Speicher in der Leiter-ECU 10 speichert Informationen über die
Prioritätsgrade,
die den ECUS 1 bis 7 gegeben sind. Die Leiter-ECU 10 bestimmt
das Ziel, an das jedes der Grundprogramme heruntergeladen wird,
im Einklang mit der durch die Prioritätsgrade gegebenen Reihenfolge.
Die Leiter-ECU 10 überträgt das Grundprogramm
an das bestimmte Ziel.
-
Wie
gemäß 3 gezeigt
ist der höchste
Prioritätsgrad „A" der Motor-ECU 1,
der Getriebe-ECU 2 und der Fahrsteuerung-ECU 3 gegeben,
die für
die Fortbewegung des Fahrzeugs notwendig sind. Der zweithöchste Prioritätsgrad „B" ist der ersten Karosserie-ECU 6 gegeben,
die für
die Fortbewegung des Fahrzeugs notwendig ist. Der mittlere Prioritätsgrad „C", der niedriger ist
als der zweithöchste
Prioritätsgrad „B", ist der Navigation-ECU 5 gegeben,
die die Fahrleistungen des Fahrzeugs verbessert. Der zweitniedrigste
Prioritätsgrad „D", der niedriger ist
als der mittlere Prioritätsgrad „C", ist der Klimaanlage-ECU 4 gegeben,
die den Komfort des Innenraums des Fahrzeugs verbessert. Der niedrigste
Prioritätsgrad „E" ist der zweiten
Karosserie-ECU 7 gegeben. Die Verarbeitungsgeschwindigkeiten
und Speicherkapazitäten der
Mikrocomputer 1a bis 7a in der ECU 1 bis 7 sind ebenfalls
in 3 angegeben. Der Speicher in der Leiter-ECU 10 speichert
Informationen über
die Verarbeitungsgeschwindigkeiten und Speicherkapazitäten der
Mikrocomputer 1a bis 7a in der ECU 1 bis 7.
-
Wie
vorstehend erwähnt
speichert der Speicher in der Leiter-ECU 10 die Grundprogramme,
die den Grundfunktionen von der Motor-ECU 1, der Getriebe-ECU 2 und
der Fahrsteuerung-ECU 3 entsprechen. Wie gemäß 4 gezeigt
ist die minimale Verarbeitungsgeschwindigkeit, die für die Ausführung des
Grundprogramms notwendig ist, das der Grundfunktion der Motor-ECU 1 entspricht,
gleich 7 MIPS und ist die Größe des Grundprogramms
gleich 32 KB. Die minimale Verarbeitungsgeschwindigkeit, die für die Ausführung des
Grundprogramms notwendig ist, das der Grundfunktion der Getriebe-ECU 2 entspricht,
ist gleich 5 MIPS und die Größe des Grundprogramms
ist gleich 16 KB. Die minimale Verarbeitungsgeschwindigkeit, die
für die Ausführung des Grundprogramms
notwendig ist, das der Grundfunktion der Fahrsteuerung-ECU 3 entspricht,
ist gleich 3 MIPS und die Größe des Grundprogramms
ist gleich 16 KB. Der Speicher in der Leiter-ECU 10 speichert Informationen über die
minimalen Verarbeitungsgeschwindigkeiten, die für die Ausführung der Grundprogramme notwendig
sind, die den Grundfunktionen von der Motor-ECU 1, der
Getriebe-ECU 2 und der Fahrsteuerung-ECU 3 entsprechen.
Außerdem
speichert der Speicher in der Leiter-ECU 10 Informationen über die
Größen der
Grundprogramme, die den Grundfunktionen von der Motor-ECU 1,
der Getriebe-ECU 2 und der Fahrsteuerung-ECU 3 entsprechen.
-
Unter
Bezugnahme auf 5 bezieht sich die Leiter-ECU 10 in
dem Fall, dass die Getriebe-ECU 2 ausfällt, auf die minimale Verarbeitungsgeschwindigkeit
(5 MIPS), die für
die Ausführung
des Grundprogramms notwendig ist, das der Grundfunktion der Getriebe-ECU 2 entspricht,
und auch auf die Größe (16 KB)
des Grundprogramms, und wählt
sie auf Grundlage der minimalen Verarbeitungsgeschwindigkeit und
der Grundprogrammgröße eine aus
den ECUS 1 und 3 bis 7 als Ersatz für die ausgefallene
Getriebe-ECU 2 aus. Die Ersatz-ECU muss eine Kapazität zur Speicherung
des Grundprogramms basierend auf einem Herunterladen und eine Fähigkeit
zur Ausführung
des Grundprogramms aufweisen. Ausführlicher ausgedrückt ist
es erforderlich, dass die Ersatz-ECU eine Verarbeitungsgeschwindigkeit
aufweist, die gleich oder größer der
minimalen Verarbeitungsgeschwindigkeit (5 MIPS) ist, und eine Speicherkapazität aufweist,
die gleich oder größer der
Grundprogrammgröße (16 KB)
ist. Die Ersatz-ECU entspricht einem Ziel, an das das Grundprogramm
von der Leiter-ECU 10 heruntergeladen wird.
-
Im
Speziellen ist es erforderlich, dass das auszuwählende Herunterladeziel einen
niedrigeren Prioritätsgrad
aufweist als die Getriebe-ECU 2 (Prioritätsgrad „A"). Daher werden die
erste Karosserie-ECU 6 (Prioritätsgrad „B"), die Navigation-ECU 5 (Prioritätsgrad „C"), die Klimaanlage-ECU 4 (Prioritätsgrad „D") und die zweite
Karosserie-ECU 7 (Prioritätsgrad „E") vorläufig ausgewählt, die in ihrem Prioritätsgrad niedriger
sind als die Getriebe-ECU 2. Unter den ECUs 4 bis 7 werden
weiterhin die Navigation-ECU 5 und die Klimaanlage-ECU 4 als
welche ausgewählt,
die die Anforderungen bezüglich
der minimalen Verarbeitungsgeschwindigkeit und der Grundprogrammgröße erfüllen. Es
wird eine der ECUs 4 und 5 ausgewählt, die
den niedrigsten Prioritätsgrad
aufweist. Daher wird schließlich
die Klimaanlage-ECU 4 als das Herunterladeziel ausgewählt.
-
Anschließend überträgt die Leiter-ECU 10 das
Grundprogramm, das der Grundfunktion der Getriebe-ECU 2 entspricht,
an die Klimaanlage-ECU 4, so dass das Grundprogramm in
die Klimaanlage-ECU 4 heruntergeladen wird. Die Klimaanlage-ECU 4 führt das
heruntergeladene Grundprogramm aus. Gemäß dem heruntergeladenen Grundprogramm
empfängt
die Klimaanlage-ECU 4 über
die Kommunikationsleitungen L die Sensorausgabesignale, die ursprünglich an
die Getriebe-ECU 2 gerichtet sind, und erzeugt sie Ansteuersignale
in Erwiderung auf die empfangenen Sensorausgabesignale. Die Klimaanlage-ECU 4 überträgt die Ansteuersignale
an die Stellglieder, die ursprünglich
der Getriebe-ECU 2 zugeordnet sind. Als Ergebnis hiervon
arbeitet die Klimaanlage-ECU 4 für die Grundfunktion der Getriebe-ECU 2,
was notwendig ist, um dem Fahrzeug eine Fortbewegung zu ermöglichen.
Daher kann das Fahrzeug an einen sicheren Ort oder zu einem Kundendienst
bewegt werden.
-
In
dem Fall, dass die Motor-ECU 1 ausfällt, bezieht sich die Leiter-ECU 10 auf
die minimale Verarbeitungsgeschwindigkeit (7 MIPS), die für die Ausführung des
Grundprogramms notwendig ist, das der Grundfunktion der Motor-ECU 1 entspricht,
und auch auf die Größe (32 KB)
des Grundprogramms, und wählt
sie auf Grundlage der minimalen Verarbeitungsgeschwindigkeit und
der Grundprogrammgröße eine
aus den ECUS 2 bis 7 als Ersatz für die ausgefallene
Motor-ECU 1 aus. Die Ersatz-ECU muss eine Kapazität zur Speicherung
des Grundprogramms basierend auf einem Herunterladen und eine Fähigkeit zur
Ausführung
des Grundprogramms aufweisen. Ausführlicher ausgedrückt ist
es erforderlich, dass die Ersatz-ECU eine Verarbeitungsgeschwindigkeit aufweist,
die gleich oder größer der
minimalen Verarbeitungsgeschwindigkeit (7 MIPS) ist, und eine Speicherkapazität aufweist,
die gleich oder größer der Grundprogrammgröße (32 KB)
ist. Die Ersatz-ECU entspricht einem Ziel, an das das Grundprogramm von
der Leiter-ECU 10 heruntergeladen wird.
-
Im
Speziellen ist es erforderlich, dass das auszuwählende Herunterladeziel einen
niedrigeren Prioritätsgrad
aufweist als die Motor-ECU 1 (Prioritätsgrad „A"). Daher werden die erste Karosserie-ECU 6 (Prioritätsgrad „B"), die Navigation-ECU 5 (Prioritätsgrad „C"), die Klimaanlage-ECU 4 (Prioritätsgrad „D") und die zweite
Karosserie-ECU 7 (Prioritätsgrad „E") vorläufig ausgewählt, die in ihrem Prioritätsgrad niedriger
sind als die Motor-ECU 1. Unter den ECUS 4 bis 7 wird
weiterhin die Navigation-ECU 5 als eine ausgewählt, die
die Anforderungen bezüglich
der minimalen Verarbeitungsgeschwindigkeit und der Grundprogrammgröße erfüllt. Daher
wird schließlich
die Navigation-ECU 5 als das Herunterladeziel ausgewählt.
-
Anschließend überträgt die Leiter-ECU 10 das
Grundprogramm, das der Grundfunktion der Motor-ECU 1 entspricht,
an die Navigation-ECU 5, so dass das Grundprogramm in die
Navigation-ECU 5 heruntergeladen wird. Die Navigation-ECU 5 führt das
heruntergeladene Grundprogramm aus. Gemäß dem heruntergeladenen Grundprogramm
empfängt die
Navigation-ECU 5 über
die Kommunikationsleitungen L die Sensorausgabesignale, die ursprünglich an
die Motor-ECU 1 gerichtet sind, und erzeugt sie Ansteuersignale
in Erwiderung auf die empfangenen Sensorausgabesignale. Die Navigation-ECU 5 überträgt die Ansteuersignale
an die Stellglieder, die ursprünglich
der Motor-ECU 1 zugeordnet sind. Als Ergebnis hiervon arbeitet
die Navigation-ECU 5 für
die Grundfunktion der Motor-ECU 1, was notwendig ist, um
dem Fahrzeug eine Fortbewegung zu ermöglichen. Dadurch kann das Fahrzeug
an einen sicheren Ort oder zu einem Kundendienst bewegt werden.
-
In
dem Fall, dass die Fahrsteuerung-ECU 3 ausfällt, bezieht
sich die Leiter-ECU 10 auf die minimale Verarbeitungsgeschwindigkeit
(3 MIPS), die für die
Ausführung
des Grundprogramms notwendig ist, das der Grundfunktion der Fahrsteuerung-ECU 3 entspricht,
und auch auf die Größe (16 KB)
des Grundprogramms, und wählt
sie auf Grundlage der minimalen Verarbeitungsgeschwindigkeit und
der Grundprogrammgröße eine
aus den ECUs 1 bis 2 und 4 bis 7 als
Ersatz für
die ausgefallene Fahrsteuerung-ECU 3 aus. Die Ersatz-ECU
muss eine Kapazität
zur Speicherung des Grundprogramms basierend auf einem Herunterladen
und einer Fähigkeit
zur Ausführung
des Grundprogramms aufweisen. Ausführlicher ausgedrückt ist
es erforderlich, dass die Ersatz-ECU eine Verarbeitungsgeschwindigkeit
aufweist, die gleich oder größer der
minimalen Verarbeitungsgeschwindigkeit (3 MIPS) ist, und eine Speicherkapazität aufweist,
die gleich oder größer der Grundprogrammgröße (16 KB)
ist. Die Ersatz-ECU entspricht einem Ziel, an das das Grundprogramm von
der Leiter-ECU 10 heruntergeladen wird.
-
Im
Speziellen ist es erforderlich, dass das auszuwählende Herunterladeziel einen
niedrigeren Prioritätsgrad
aufweist als die Fahrsteuerung-ECU 3 (Prioritätsgrad „A"). Daher werden die
erste Karosserie-ECU 6 (Prioritätsgrad „B"), die Navigation-ECU 5 (Prioritätsgrad „C"), die Klimaanlage-ECU 4 (Prioritätsgrad „D") und die zweite
Karosserie-ECU 7 (Prioritätsgrad „E") vorläufig ausgewählt, die in ihrem Prioritätsgrad niedriger
sind als die Fahrsteuerung-ECU 3. Unter den ECUS 4 bis 7 werden
weiterhin die Navigation-ECU 5 und die Klimaanlage-ECU 4 als
welche ausgewählt,
die die Anforderungen bezüglich
der minimalen Verarbeitungsgeschwindigkeit und der Grundprogrammgröße erfüllen. Eine
der ECUS 4 und 5, die den niedrigsten Prioritätsgrad aufweist,
wird ausgewählt.
Daher wird schließlich
die Klimaanlage-ECU 4 als das Herunterladeziel ausgewählt.
-
Anschließend überträgt die Leiter-ECU 10 das
Grundprogramm, das der Grundfunktion der Fahrsteuerung-ECU 3 entspricht,
an die Klimaanlage-ECU 4, so dass das Grundprogramm in
die Klimaanlage-ECU 4 heruntergeladen wird. Die Klimaanlage-ECU 4 führt das
heruntergeladene Grundprogramm aus. Gemäß dem heruntergeladenen Grundprogramm
empfängt
die Klimaanlage-ECU 4 über
die Kommunikationsleitungen L die Sensorausgabesignale, die ursprünglich an
die Fahrsteuerung-ECU 3 gerichtet sind, und erzeugt sie
Ansteuersignale in Erwiderung auf die empfangenen Sensorausgabesignale.
Die Klimaanlage-ECU 4 überträgt die Ansteuersignale
an die Stellglieder, die ursprünglich
der Fahrsteuerung-ECU 3 zugeordnet sind. Als Ergebnis hiervon
arbeitet die Klimaanlage-ECU 4 für die Grundfunktion der Fahrsteuerung-ECU 3,
was notwendig ist, um dem Fahrzeug eine Fortbewegung zu ermöglichen.
Demnach kann das Fahrzeug an einen sicheren Ort oder zu einem Kundendienst
bewegt werden.
-
Die
Leiter-ECU 10 arbeitet im Einklang mit einem Steuerprogramm,
das in ihrem internen Speicher gespeichert ist. 6 ist
ein Ablaufdiagramm eines Segments des Steuerprogramms, das gestartet wird,
wenn der Zündschalter
in seine EIN-Stellung umgeschaltet wird.
-
Unter
Bezugnahme auf 6 liest ein erster Schritt S110
des Programmsegments Informationen (Ausfallinformationen) über Ausfälle von
den ECUS 1 bis 7 oder ruft diese ab, welche gespeichert
wurden, als der Motor zuletzt angehalten wurde, oder als der Zündschlüssel zuletzt
in seine AUS-Stellung umgeschaltet wurde.
-
Ein
Schritt S120, der auf Schritt S110 folgt, bestimmt, ob die ECUS 1 bis 7 eine
ausgefallene ECU beinhalten oder nicht, indem auf die Ausfallinformationen
Bezug genommen wird. Beinhalten die ECUs 1 bis 7 keine
ausgefallene ECU, schreitet das Programm von dem Schritt S120 zu
einem Schritt S180 fort. Beinhalten die ECUS 1 bis 7 andererseits eine
ausgefallene ECU, schreitet das Programm von dem Schritt S120 zu
einem Block S130 fort, um eine Herunterladeziel-ECU auszuwählen.
-
Folglich
wird die Ausführung
der Bestimmung dahingehend, ob die ECUS 1 bis 7 eine
ausgefallene ECU beinhalten oder nicht, durch die Umschaltung des
Zündschlüssels in
seine EIN-Stellung veranlasst. Dementsprechend kann ein Herunterladen
eines Grundprogramms zu einem Zeitpunkt des Anlassens des Motors
durchgeführt
werden, für
den Lasten auf den ECUs 1 bis 7 relativ gering
sind.
-
Der
Schritt S180 überträgt Signale
an die ECUs 1 bis 7, die diese anweisen, in übliche bzw.
gewöhnlichen
Steuermodi zu arbeiten. Mit anderen Worten weist der Schritt S180
die ECUS 1 bis 7 an, in den üblichen Steuermodi zu arbeiten.
In Erwiderung auf die Anweisungssignale beginnen die ECUs 1 bis 7 mit
einem Betrieb in den üblichen
Steuermodi. In diesem Fall implementieren die ECUs 1 bis 7 übliche Steuervorgänge. Nach
dem Schritt S180 schreitet das Programm zu einem Schritt S190 fort.
-
Der
Schritt S190 implementiert eine gewöhnliche Überwachungsbetriebsart. Der
Schritt S190 überwacht
Betriebsbedingungen der ECUS 1 bis 7, um Informationen über Ausfälle von
diesen zu erhalten.
-
Ein
Schritt S200, der dem Schritt S190 nachfolgt, bestimmt, ob Informationen
vorhanden sind oder nicht, die einen Ausfall von zumindest einer
der ECUs 1 bis 7 darstellen. Sind keine Informationen vorhanden,
die einen Ausfall von zumindest einer der ECUS 1 bis 7 darstellen,
kehrt das Programm von dem Schritt S200 zu dem Schritt S190 zurück. Sind andererseits
Informationen vorhanden, die einen Ausfall von zumindest einer der
ECUS 1 bis 7 darstellen, schreitet das Programm
von dem Schritt S200 zu einem Schritt S210 fort.
-
Der
Schritt S210 überträgt Anweisungssignale
an die ECUS 1 bis 7, die diese zwingen, ihre Steuervorgänge zu unterbrechen
bzw. einzustellen, um die Sicherheit des Fahrzeugs aufrecht zu erhalten.
Mit anderen Worten weist der Schritt S210 die ECUs 1 bis 7 an,
ihre Steuervorgänge
zu unterbrechen. In Erwiderung auf die Anweisungssignale unterbrechen
die ECUs 1 bis 7 ihre Steuervorgänge. Vorzugsweise
aktiviert der Schritt S210 einen Sprachgenerator (einen Sprachsynthesizer),
um den Fahrzeugfahrer hörbar
zu informieren, dass sich der Ausfall einer ECU ereignet.
-
Ein
Schritt S220, der auf den Schritt S210 folgt, speichert die Informationen über die
ausgefallene ECU in dem nichtflüchtigen
Speicher. Nach dem Schritt S220 endet der aktuelle Ausführungszyklus des
Programmsegments.
-
Wie
gemäß 7 gezeigt
weist der Herunterladeziel-Auswahlblock
S130 Schritte S310, S320, S330 und S340 auf. Der Schritt S310 folgt
dem Schritt S120 gemäß 6.
Der Schritt S310 identifiziert im Einklang mit den Ausfallinformationen
die ausgefallene ECU unter den ECUS 1 bis 7. Der Schritt
S310 liest die Informationen über
die minimale Verarbeitungsgeschwindigkeit, die für die Ausführung des Grundprogramms notwendig
ist, das der Grundfunktion der ausgefallenen ECU entspricht, aus
dem Speicher. Zusätzlich
liest der Schritt S310 die Informationen über die Größe des Grundprogramms, das
der Grundfunktion der ausgefallenen ECU entspricht, aus dem Speicher.
-
Der
Schritt S320, der dem Schritt S310 folgt, liest die Informationen über die
Prioritätsgrade,
die den ECUs 1 bis 7 gegeben sind, aus dem Speicher. Der
Schritt S320 gruppiert die ECUS 1 bis 7 durch Bezugnahme
auf die Ausfallinformationen in eine ausgefallene und normale. Der
Schritt S320 wählt normale
ECUS aus den ECUS 1 bis 7 aus, die in ihrem Prioritätsgrad niedriger
sind als die ausgefallene ECU.
-
Der
Schritt S330, der dem Schritt S320 nachfolgt, liest die Informationen über die
Verarbeitungsgeschwindigkeiten und Speicherkapazitäten der
normalen ECUs, die durch den Schritt S320 ausgewählt werden, aus dem Speicher.
Unter den normalen ECUs, die durch den Schritt S320 ausgewählt werden,
wählt der
Schritt S330 solche aus, die Speicherkapazitäten aufweisen, die gleich oder
größer der Größe des Grundprogramms
sind, das der Grundfunktion der ausgefallenen ECU entspricht, und
die Verarbeitungsgeschwindigkeiten aufweisen, die gleich oder größer der
minimalen Verarbeitungsgeschwindigkeit sind, die für die Ausführung des
Grundprogramms notwendig ist, das der Grundfunktion der ausgefallenen
ECU entspricht.
-
Der
Schritt S340 folgt dem Schritt S330. Unter den ECUS, die durch den
Schritt S330 ausgewählt
werden, wählt
der Schritt S340 eine, die den niedrigsten Prioritätsgrad aufweist,
als eine Herunterladeziel-ECU aus. Der Schritt S340 wird von einem Schritt
S140 gemäß 6 gefolgt.
-
Unter
Bezugnahme auf 6 bestimmt der Schritt S140,
ob von dem Herunterladeziel-Auswahlblock S130 eine Herunterladeziel-ECU
erfolgreich gefunden wurde oder nicht. Wurde eine Herunterladeziel-ECU
erfolgreich gefunden, schreitet das Programm von dem Schritt S140
zu einem Schritt S150 fort. Andernfalls schreitet das Programm von
dem Schritt S140 zu dem Schritt S180 fort.
-
Der
Schritt S150 überträgt ein Signal
an die Herunterladeziel-ECU, welches anweist, dass der Betrieb der
Herunterladeziel-ECU in einen Programmschreibmodus wechselt. Mit
anderen Worten weist der Schritt S150 die Herunterladeziel-ECU an, ihren
Betrieb in den Programmschreibmodus zu wechseln. In Erwiderung auf
das Anweisungssignal beginnt die Herunterladeziel-ECU damit, in
dem Programmschreibmodus zu arbeiten.
-
Ein
Schritt S160, der dem Schritt S150 nachfolgt, überträgt das Grundprogramm, das der
Grundfunktion der ausgefallenen ECU entspricht, als ein Ersatzprogramm
an die Herunterladeziel-ECU. Das übertragene Grundprogramm, (das übertragene
Ersatzprogramm) wird in die Herunterladeziel-ECU installiert. Ist
die Installation des Grundprogramms abgeschlossen, überträgt die Herunterladeziel-ECU
ein Schreibendesignal. Nach dem Schritt S160 schreitet das Programm
zu einem Schritt S170 fort.
-
Der
Schritt S170 bestimmt, ob das Schreibendesignal von der Herunterladeziel-ECU
empfangen wurde oder nicht. Wurde das Schreibendesignal empfangen,
schreitet das Programm von dem Schritt S170 zu dem Schritt S180
fort. Andernfalls wird der Schritt S170 wiederholt.
-
Wie
vorstehend erwähnt
weist der Schritt S180 die ECUS 1 bis 7 an, in
den üblichen
Steuermodi zu arbeiten. Daraufhin implementiert der Schritt S190
die gewöhnliche Überwachungsbetriebsart. Der
Schritt S190 überwacht
Betriebsbedingungen der ECUs 1 bis 7, um Informationen über Ausfälle von
diesen zu erhalten. Im Speziellen überträgt der Schritt S190 Testsignale
an die ECUS 1 bis 7. Der Schritt S190 erhält Informationen über Ausfälle der ECUS 1 bis 7 aus
ihren Antworten auf die Testsignale. Wahlweise kann der Schritt
S190 Informationen über
Ausfälle
der ECUS 1 bis 7 auf der Grundlage von einem Ausfall
angebenden Signalen erhalten, die spontan von den ECUS 1 bis 7 ausgegeben
werden.
-
Anschließend bestimmt
der Schritt S200, ob Informationen vorhanden sind oder nicht, die
einen Ausfall von zumindest einer der ECUs 1 bis 7 darstellen.
Sind keine Informationen vorhanden, die einen Ausfall von zumindest
einer der ECUS 1 bis 7 darstellen, kehrt das Programm
von dem Schritt S200 zu dem Schritt S190 zurück. Sind andererseits Informationen
vorhanden, die einen Ausfall von zumindest einer der ECUS 1 bis 7 darstellen,
schreitet das Programm von dem Schritt S200 zu dem Schritt S210 fort.
Wie vorstehend erwähnt
weist der Schritt S210 die ECUS 1 bis 7 an, ihre
Steuervorgänge
zu unterbrechen, um die Sicherheit des Fahrzeugs aufrecht zu erhalten.
Vorzugsweise aktiviert der Schritt S210 den Sprachgenerator (den
Sprachsynthesizer), um den Fahrzeugfahrer hörbar zu informieren, dass sich der
Ausfall einer ECU ereignet. Danach speichert der Schritt S220 die
Informationen über
die ausgefallene ECU in den nichtflüchtigen Speicher. Nach dem Schritt
S220 endet der aktuelle Ausführungszyklus des
Programmsegments.
-
In
dem Fall, dass die ausgefallene ECU die Fortbewegung des Fahrzeugs
nicht behindert, kann der Schritt S210 eine Ausgabe der Anweisungssignale
zum Zwingen der ECUs 1 bis 7, ihre Steuervorgänge zu unterbrechen,
unterlassen.
-
Jede
der ECUs 1 bis 7 arbeitet im Einklang mit einem
Steuerprogramm, das in ihrem internen Speicher des elektrisch löschbaren
programmierbaren Typs gespeichert ist. 8 ist ein
Ablaufdiagramm eines Untersegments des Steuerprogramms, das gestartet
wird, wenn der Zündschalter
in seine EIN-Stellung umgeschaltet wird. Das Steuerprogramm hat
ein Hauptsegment zur Implementierung der Hauptarbeit (des Steuervorgangs),
die der vorliegenden ECU zugeordnet ist.
-
Unter
Bezugnahme auf 8 bestimmt ein erster Schritt
S410 des Programmuntersegments, ob ein Anweisungssignal zum Wechseln
des Betriebs der vorliegenden ECU in den Programmschreibmodus von
der Leiter-ECU 10 empfangen wurde oder nicht. Wurde das
Anweisungssignal empfangen, schreitet das Programm von dem Schritt
S410 zu einem Schritt S420 fort. Andernfalls schreitet das Programm
von dem Schritt S410 zu einem Schritt S450 fort.
-
Der
Schritt S420 löscht
das Hauptsegment des Steuerprogramms aus dem Speicher, um einen nutzbaren
Bereich darin bereit zu stellen. Im Speziellen initialisiert der
Schritt S420 einen Teil des Speichers, der das Hauptsegment des
Steuerprogramms speichert.
-
Ein
Schritt S430, der dem Schritt S420 nachfolgt, empfängt das
Grundprogramm (das Ersatzprogramm) von der Leiter-ECU 10.
Der Schritt S430 schreibt das empfangene Grundprogramm in den nutzbaren
Bereich in dem Speicher als ein neues Hauptsegment des Steuerprogramms.
Wenn das Schreiben des Grundprogramms abgeschlossen ist, schreitet
das Programm von dem Schritt S430 zu einem Schritt S440 fort.
-
Der
Schritt S440 überträgt ein Schreibendesignal
an die Leiter-ECU 10. Nach dem Schritt S440 schreitet das
Programm zu einem Schritt S460 fort.
-
Der
Schritt S460 weist die Ausführung
des Hauptsegments des Steuerprogramms an. Als Ergebnis hiervon wird
das Hauptsegment des Steuerprogramms von der vorliegenden ECU ausgeführt. Demnach
arbeitet die vorliegende ECU in dem Fall, dass das ursprüngliche
Hauptsegment des Steuerprogramms durch das Ersatzprogramm ersetzt
wurde, für
die ausgefallene ECU. Somit wird dem Fahrzeug eine Fortbewegung
ermöglicht.
Andererseits implementiert die vorliegende ECU in dem Fall, dass das
ursprüngliche
Hauptsegment des Steuerprogramms bleibt, den dadurch festgesetzten
Steuervorgang. Nach dem Schritt S460 endet der aktuelle Ausführungszyklus
des Programmuntersegments.
-
Der
Schritt S450 bestimmt, ob von der Leiter-ECU 10 ein Signal
empfangen wurde oder nicht, das die vorliegende ECU anweist, in
dem üblichen Steuermodus
zu arbeiten. Wurde das Anweisungssignal empfangen, schreitet das
Programm von dem Schritt S450 zu dem Schritt S460 fort. Andernfalls kehrt
das Programm von dem Schritt S450 zu dem Schritt S410 zurück.
-
Wie
vorhergehend erwähnt
weist der Schritt S460 die Ausführung
des Hauptsegments des Steuerprogramms an. Daher wird das Hauptsegment
des Steuerprogramms ausgeführt
und wird der zugehörige
Steuervorgang implementiert. Nach dem Schritt S460 endet der aktuelle
Ausführungszyklus
des Programmuntersegments.
-
Das
ausfallsichere System gemäß 2 weist
die folgenden Merkmale auf. Die voreingestellten Prioritätsgrade
werden jeweils den ECUS 1 bis 7 gegeben. Die ECUS 1 bis 7 weisen
vorbestimmte Verarbeitungsgeschwindigkeiten und Speicherkapazitäten auf.
Die Motor-ECU 1, die Getriebe-ECU 2 und die Fahrsteuerung-ECU
sind für
die Fortbewegung des Fahrzeugs notwendig. In dem Fall, dass die Leiter-ECU 10 einen
Ausfall von einer der ECUS 1 bis 3 erfasst, bestimmt
die Leiter-ECU 10 normale der ECUS 1 bis 7 und
wählt sie
eine aus den normalen ECUS gemäß den Prioritätsgraden,
den Verarbeitungsgeschwindigkeiten und den Speicherkapazitäten aus.
Die Leiter-ECU 10 lädt
das Grundprogramm, das der Grundfunktion der ausgefallenen ECU entspricht,
in die ausgewählte
ECU herunter. Somit arbeitet die ausgewählte ECU für die ausgefallene ECU, und
treibt und steuert sie die der ausgefallenen ECU zugeordneten Stellglieder.
-
Dadurch
wird in dem Fall, dass eine der ECUS 1 bis 3 ausfällt, dem
Fahrzeug ermöglicht,
eine Fortbewegung fortzusetzen. Dementsprechend kann das Fahrzeug
an einen sicheren Ort oder zu einem Kundendienst bewegt werden.
-
Durch
die Leiter-ECU 10 können
nicht nur die ECUs 1 bis 7, sondern auch andere
ECUS gesteuert werden. Beliebige unter den ECUs 1 bis 7 können von
einem Systemdesigner bzw. -gestalter willkürlich als ECUs bezeichnet werden,
die für
die Fortbewegung des Fahrzeugs notwendig sind. Der Speicher in der
Leiter-ECU 10 kann ferner die Grundprogramme speichern,
die den Grundfunktionen von anderen ECUs als denjenigen entsprechen,
die für die
Fortbewegung des Fahrzeugs notwendig sind. Das Grundprogramm kann
in einen ungenutzten Bereich des Speichers in der Herunterladeziel-ECU
geschrieben werden. Ausfälle
von den ECUS 1 bis 7 können durch wechsel- bzw. gegenseitige Überwachungsvorgänge erfasst
werden, die durch die ECUS 1 bis 7 implementiert
werden. Vorzugsweise weisen die Kommunikationsleitungen L zwei Drähte auf.
Die Kommunikationsleitungen L können
durch eine eindrahtige Kommunikationsleitung ersetzt werden. Die Verarbeitungsgeschwindigkeiten
und Speicherkapazitäten
von den ECUs 1 bis 7 können gleich Werten sein, die
sich von denjenigen gemäß 3 unterscheiden.
-
Ein
ausfallsicheres bzw. Ausfallsicherungssystem, das bei einer integrierten
Steuerung eines Fahrzeugs verwendet wird, umfasst Bauelement-Steuerabschnitte.
Voreingestellte Prioritätsgrade
werden jeweils den Bauelement-Steuerabschnitten gegeben. Ein Leiter-Steuerabschnitt speichert
ein oder mehrere Ersatzprogramme, die zur Implementierung von Funktionen
von solchen unter den Bauelement-Steuerabschnitten ausgelegt sind,
die für eine
Fortbewegung des Fahrzeugs notwendig sind. Eine Herunterladeeinrichtung
fungiert, wenn einer der Bauelement-Steuerabschnitte ausfällt, der
für eine
Fortbewegung des Fahrzeugs notwendig ist, zum Auswählen von
einem aus nicht ausgefallenen der Bauelement-Steuerabschnitte als
Herunterladeziel gemäß den Prioritätsgraden
und zum Herunterladen des Ersatzprogramms, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht,
in den ausgewählten
Herunterladeziel-Bauelement-Steuerabschnitt. Der ausgewählte Herunterladeziel-Bauelement-Steuerabschnitt
weist einen niedrigeren Prioritätsgrad
auf als der ausgefallene Bauelement-Steuerabschnitt. Der Herunterladeziel-Bauelement-Steuerabschnitt
arbeitet gemäß dem heruntergeladenen Ersatzprogramm
für den
ausgefallenen Bauelement-Steuerabschnitt.