EP1740815B1 - Elektronische steuereinrichtung und verfahren zur steuerung des betriebs von kraftfahrzeugkomponenten - Google Patents

Elektronische steuereinrichtung und verfahren zur steuerung des betriebs von kraftfahrzeugkomponenten Download PDF

Info

Publication number
EP1740815B1
EP1740815B1 EP05731759A EP05731759A EP1740815B1 EP 1740815 B1 EP1740815 B1 EP 1740815B1 EP 05731759 A EP05731759 A EP 05731759A EP 05731759 A EP05731759 A EP 05731759A EP 1740815 B1 EP1740815 B1 EP 1740815B1
Authority
EP
European Patent Office
Prior art keywords
modulation
control device
release
signal
release signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
EP05731759A
Other languages
English (en)
French (fr)
Other versions
EP1740815A1 (de
Inventor
Norman Marenco
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Publication of EP1740815A1 publication Critical patent/EP1740815A1/de
Application granted granted Critical
Publication of EP1740815B1 publication Critical patent/EP1740815B1/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • F02D41/221Safety or indicating devices for abnormal conditions relating to the failure of actuators or electrically driven elements
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/28Interface circuits

Definitions

  • the present invention relates to a control device and a method for controlling the operation of motor vehicle components, in particular an internal combustion engine or a transmission of a motor vehicle, according to the preamble of claim 1 or 8.
  • control unit electronic module in which diverse control and / or monitoring functions for electronic or electrical components are summarized.
  • control unit electronic module in which diverse control and / or monitoring functions for electronic or electrical components are summarized.
  • the steadily increasing requirements in the past regarding the functionalities of such control devices have meant that the desired functions are nowadays largely implemented by using a microcontroller.
  • microcontroller here refers to an electronic program-controlled control device, which typically, like a PC, has a CPU, a RAM, a ROM and I / O ports, but, unlike a PC, is designed for a very specific application.
  • the components to be controlled by the control device can be components that are directly attributable to the internal combustion engine, such as a fuel pump, a throttle valve, a fuel injector or a lambda probe, and also other components of the vehicle.
  • the control device On the input side, the control device is required for control Sensor signals or measured variables entered, z. B. relating to the crankshaft rotational speed and position, the engine temperature, the intake air temperature and quantity, the accelerator pedal position, etc.
  • This list of the components to be controlled or sensed is by no means exhaustive and serves only to illustrate the variety of conceivable functions of a control device.
  • a microcontroller or its I / O ports are technologically not usually suitable for direct control of vehicle components of interest here, these components are usually controlled by associated amplifiers, which receive on the input side corresponding control signals of the microcontroller and the output side for activation and deactivation provide the components required voltages or currents, for example, the charging and discharging of a piezaketätigten fuel injection valve.
  • the power amplifiers are usually supplied in addition to the control signals and a digital, so-called enable signal, by means of which depending on the enable signal state, a blocking or release of the activation is signaled.
  • release control which is integrated in known control devices in a monitoring device which monitors the proper operation of the microcontroller to take appropriate measures in case of failure, for example, reset the microcontroller (Reset ) and / or set one or more enable signals to the first enable signal state with which each associated power amplifier is disabled.
  • Such a monitoring device can in this case be integrated in the microcontroller or arranged separately from it.
  • the function of such a monitoring device is based, for example, on the fact that this device provides the microcontroller from time to time with tasks and determines from the results returned by the microcontroller, whether the microcontroller is working correctly or not.
  • the electrical connections which are provided for the transmission of enable signals to the relevant output stages (shutdown paths), can be designed multiple times (redundantly) for reasons of increased security. Furthermore, the ability to shut down power amplifiers by means of the digital enable signals can be checked by means of a self-test in the inactive system state, i. H. at least once per usage cycle. However, erroneously deviating operating conditions from the allowable range, particularly any errors within the microcontroller, including faults caused by faulty software, are most likely to occur during active system operation.
  • the control device is characterized by a modulation device for periodically modulating the enable signal provided by the enable control device and an evaluation device for analyzing the output signal supplied to the output stage with respect to the periodic modulation and for putting the output stage in a predetermined error state in the absence of the periodic modulation.
  • the modulation of the enable signal provided by the enable control device and the evaluation of the enable signal in the direction of the output stage with respect to this modulation ensure that an error due to an error in the area of the enable signal generation and / or enable signal transmission is reliable (based on the absence of the modulation). is recognized.
  • the relevant output stage can thus be brought reliably even in such a case in a predetermined error condition, the z. B. is provided as a shutdown or Resetschreib the power amplifier.
  • the evaluation device may include an evaluation stage upstream of the output stage, which input the enable signal from the modulation stage and which analyzes the input enable signal for the presence of the corresponding in accordance with the modulation pulse sequence inverted enable signal sections and in the presence of these inverted enable signal sections, the enable signal passes to the power amplifier and at Absence of these inverted enable signal sections offset the output stage in the predetermined error state.
  • the evaluation device is provided such that when a transition of the input enable signal from one to the other enable signal state passed to the power amplifier enable signal is only passed if it can be excluded from the evaluation that the transition of the input signal was only due to the modulation, so was not caused by a corresponding transition of the release control provided by the enable signal.
  • This check of the evaluation device before a change of the issued enable signal state may require a certain amount of time, which is often acceptable in practice.
  • this evaluation of the evaluation device which is usually associated with a delay, can only be provided if the enable signal changes from the first into the second or from the second into the first enable signal state.
  • the evaluation device is designed such that the modulation of the input enable signal is removed, that is, the output to the output stage enable signal contains no such modulation. It is also conceivable, however, to leave the modulation in the enable signal, be it that the temporal signal curve relatively short-term modulation sections do not significantly affect the control of the relevant output stage or the modulations are filtered away in the final stage.
  • the pulse generator can be used together with the modulation level z. B. may be provided integrated in the monitoring device, ie in particular together with the other circuit parts of the monitoring device in a common integrated circuit, which may also include the microcontroller.
  • the release control device is integrated in a monitoring device (such as the watchdog mentioned above) which monitors the proper operation of the microcontroller and provides the enable signal in the second enable signal state only upon detection of proper operation.
  • a monitoring device such as the watchdog mentioned above
  • the monitor including the enable controller and including at least a portion of the modulator (eg, without the pulse generator described below) in a common integrated circuit, which is arranged separately from the microcontroller chip in an electronic module (control unit).
  • the evaluation device is preferably integrated in an output stage device containing the output stage, that is to say in particular implemented in a common integrated circuit. Apart from the advantage of a cost-effective implementation the evaluation, z. B. without additional electronic components, this results in practice another, very significant advantage in connection with an overvoltage monitoring or in connection with the "failsafe" behavior of the entire system in the special case of error overvoltage.
  • the monitoring device exceeds a certain complexity, then in practice it makes economic sense to carry out this technology in one of the final stages, which are mostly power stages, different technology, namely expediently in a low-voltage technology (such the microcontroller).
  • this monitoring device also takes on the task of overvoltage detection, since the required precision in the switched off power output stages can not be achieved in the rule, it may happen that the permissible voltage range of the monitoring device is exceeded, even if the power amplifier still in their permissible range works, so that a transition to the desired predetermined error state can no longer be guaranteed.
  • the evaluation has a higher dielectric strength than the microcontroller or those circuit parts of the control device, which are required to provide the enable signal, so the evaluation z. B. in a final stage containing power amplifier device is integrated with a relatively high dielectric strength, the overvoltage failure in the area of the microcontroller or the monitoring device or the release control device can still be reliably detected as long as the overvoltage does not cause a failure of the power amplifier.
  • the latter can be easily ensured by appropriate dimensioning of the dielectric strength of the output stage, which in practice anyway must at least be designed at least for the vehicle electrical system voltage of the vehicle plus a certain safety margin.
  • the modulation of the enable signal used according to the invention should affect the normal operation of the system as little as possible.
  • the period of the modulation is predetermined such that it is selected to be at most as large as an error reaction time specified for the monitoring device, preferably smaller than this error reaction time.
  • B periods of less than 100 ms well suited.
  • the duty cycle of the modulation is less than 10%, z. On the order of 1%.
  • the pulse duration should be proportional to the period So be chosen relatively small and the period itself also be short enough for the application in question to ensure a reaction of the evaluation in case of error considering all tolerances within predetermined error reaction times.
  • z. B. issued in the first enable signal state release signal to the subsequent output stage or the subsequent output stages to inhibit activation of the controlled components (at least as long as the modulation is absent and / or at least for a predetermined period of time).
  • the failure state in which the final stage is to be offset is to release the activation. It is crucial that in the event of an error that is detected by the absence of modulation, the relevant power amplifier is placed in a predetermined error state.
  • Fig. 1 3 shows essential components of an engine control device, generally designated 10, for a direct injection engine of a motor vehicle, comprising a microcontroller 12 for providing a control signal S for controlling the fuel injection system to be controlled during operation of the internal combustion engine, not shown, a release unit 14 for providing a digital enable signal b, by means of which a first logical enable signal state “Low” (L) is signaled a blocking and by a second logic enable signal state “High” (H) a release of the activation of the fuel injection system, and an output stage 16 for activating and deactivating the component to be controlled, here the fuel injection system, based on the control signal S taking into account one of these output stage 16 input enable signal d.
  • the release signal b outputted from the release unit 14 is directly input to the output stage 16, or the signals b and d are identical. Not so in the illustrated controller 10, as will be described below.
  • the final stage 16 initiates fuel injection by outputting corresponding drive signals to the various fuel injectors (located at the right edge of FIG Fig. 1 drawn signal lines symbolize the control of four fuel injectors) only if the output signal 16 input to the enable signal d is in the H state.
  • the injection timing and the injection quantities are essentially determined by the control signal S output by the microcontroller 12.
  • the transmission of the control signal S is symbolized here only by a line. In fact, depending on the final stage to be driven, this connection can be designed as a more complicated line arrangement. Furthermore, in the presentation of Fig.
  • controller 10 omits all circuit parts of the controller 10 which are not essential to the understanding of the invention and which may be designed in a conventional manner (eg power supply (s), input signals to the microcontroller for receiving various sensor signals needed in the context of vehicle component control or engine control) ,
  • a special feature of the illustrated control unit 10 is the generation, transmission and use of a special release signal and will be explained below with reference to only to be understood as an example output stage 16 for a fuel injection system.
  • the engine control unit 10 in practice further power amplifiers for controlling further vehicle components, in particular engine components, for which the method described below of a particularly "safe" enable signal can also be used.
  • a modulation device formed by a modulation stage 18 and a pulse generator 20 is immediately downstream of the release unit 14 and provides for a periodic modulation of the release signal b provided by the release control device. If several release units, such as the illustrated release unit 14 are provided, for. B. in a monitoring device, it can be advantageously used a common pulse generator for the modulation of the individual enable signals.
  • the in Fig. 2 the uppermost (first) curve represents the modulation pulse signal a generated by the pulse generator 20.
  • This signal a consists of a periodic sequence of rectangular modulation pulses having a period Tpuls of a pulse duration of tpuls.
  • the in Fig. 2 second course represents an example of an output from the release unit 14 enable signal b, which changes at a time t1 from L to H and at a time t2 back to L again.
  • the modulation stage 18 is inputted these signals a and b, to form therefrom a "modulated" enable signal c, whose course is also in Fig. 2 is shown. It can be seen that the modulation stage 18, the H-state, which signals the release of the activation of the fuel injection system, is interrupted periodically by comparatively short modulation pulses, during which the signal c to a certain extent signals the blocking of the injection system activation. In the example shown, this periodic modulation takes place only in the signal sections in which the signal b is in the H state.
  • an evaluation stage 22 which is implemented in the same technology (here on the same chip) as the output stage 16 and together with it forms an output stage device 24.
  • the evaluation signal 22 input to the evaluation stage 22 is analyzed by the evaluation unit 22 with regard to the presence of the periodic modulation in the signal c and, in simplified terms, passed on as the enable signal d to the output stage 16 only when the modulation in the input signal c is detected.
  • the evaluation stage 22 interprets a failure of the modulation as an error case and then puts the output stage 16 in a previously defined error state. In the illustrated embodiment, this is done by permanent output of the enable signal d in the low state, regardless of the state of the signal c.
  • the fuel injection is forcibly terminated.
  • Fig. 2 This shows that the signal transition taking place at time t1 from L to H (in signal c) is not passed on directly to the output stage (in signal d) but rather to the lowest level only after expiration of a fixed increase delay ⁇ t1.
  • the evaluation unit 22 in the illustrated example initially excludes the case in which this transition was caused by a "static" error in the signal c (or the transmission line provided for this purpose).
  • the time period ⁇ t1 is waited to determine the arrival of a modulation pulse. Only if this pulse is actually detected, the evaluation unit 22 also leaves the signal d in go over the H state.
  • ⁇ t1 is slightly larger than the pulse period Tpuls and fixed.
  • the transition in the signal c from time to time t2 from H to L is not reflected directly in the output signal d, but only after a certain time delay (deceleration delay ⁇ t2).
  • the evaluation stage 22 in the present example initially excludes the case in which this transition is caused only by the arrival of a modulation pulse. Accordingly, the time period ⁇ t2 is long-awaited. Only if the signal c does not change back to H within this period, the evaluation stage 22 causes the signal d to go to L.
  • This deceleration ⁇ t2 is also fixed here and slightly larger than the pulse width tpuls.
  • the pulse period Tpuls, the pulse width tpuls and the "filter times" .DELTA.t1, .DELTA.t2 are suitable to choose according to the relevant system requirements.
  • the duty cycle (tpuls / Tpuls) should be as small as possible in most applications, z. B. less than 10%, in particular less than 1%.
  • the shortest possible period Tpuls is advantageous. In the example shown for the fuel injection z. B. a Tpuls in the order of about 10 ms conceivable.
  • the evaluation stage 22 also checks the time interval between successive pulses when pulses are detected in the signal to determine whether it is in line with the predetermined modulation period.
  • a proper modulation pulse train z. B. be more accurately demarcated by a caused by a fault pulse sequence.
  • the release unit 14 is contained in a monitoring device 26 which communicates via a communication link 28 with the microcontroller 12, in particular to monitor its proper operation and depending on the result of this monitoring z. B. set the enable signal b accordingly.
  • the evaluation stage 22 due to its microelectronic integration in the area of the output stage device 24, has a relatively high dielectric strength (eg 36 V) in comparison to the microcontroller 12 and / or the monitoring device 26.
  • the evaluation stage 22 can therefore also advantageously still reliably take fallback measures, in particular block or switch off the output stage 16, if circuit parts of the control unit 10 were impaired or destroyed by an overvoltage that is involved in the provision of the enable signal.
  • the fail-safe behavior of the overall system is therefore due to the modulation not only particularly reliable but somewhat autonomous, which concerns a caused by overvoltage failure of logic devices such as the microcontroller.
  • the additional logic in the output stage device 24 results in an automatic, permanent shutdown of the output stage 16 as soon as a static state of the shutdown path is detected, which transmits the signal c.
  • the required dynamics must be generated only in error-free system operation, so that a limited operating mode is made possible if only the Abschaltpfad is faulty, but not the control logic. In the event of a fault, the power amplifier behaves under the critical operating conditions as specified.

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Mechanical Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Safety Devices In Control Systems (AREA)

Description

  • Die vorliegende Erfindung betrifft eine Steuereinrichtung sowie ein Verfahren zur Steuerung des Betriebs von Kraftfahrzeugkomponenten, insbesondere einer Brennkraftmaschine oder eines Getriebes eines Kraftfahrzeugs, nach dem Oberbegriff des Anspruchs 1 bzw. 8.
  • Derartige Steuereinrichtungen und Steuerverfahren sind an sich bekannt( DE 40 04 427 A1 , DE 42 31 432 A1 , DE 44 38 714 A1 , DE 3728 561 A1 ) und werden hierbei durch eine üblicherweise als "Steuergerät" bezeichnete elektronische Baueinheit realisiert, in welcher vielfältige Steuer- und/oder Überwachungsfunktionen für elektronische bzw. elektrische Komponenten zusammengefasst sind. Die in der Vergangenheit stetig gestiegenen Anforderungen hinsichtlich der Funktionalitäten solcher Steuergeräte haben dazu geführt, dass die gewünschten Funktionen heutzutage größtenteils durch Einsatz eines Mikrocontrollers implementiert werden. Der Begriff "Mikrocontroller" bezeichnet hierbei eine elektronische programmgesteuerte Steuereinrichtung, die typischerweise wie ein PC eine CPU, einen RAM, einen ROM und I/O-Ports aufweist, im Gegensatz zu einem PC jedoch für eine sehr spezielle Anwendung ausgelegt ist.
  • Bei den von der Steuereinrichtung zu steuernden Komponenten kann es sich neben unmittelbar der Brennkraftmaschine zuzuordnenden Komponenten wie einer Kraftstoffpumpe, einem Drosselklappenventil, einem Kraftstoffinjektor oder einer Lambdasonde auch um andere Komponenten des Fahrzeugs handeln. Eingangsseitig werden der Steuereinrichtung zur Steuerung benötigte Sensorsignale bzw. Messgrößen eingegeben, z. B. betreffend die Kurbelwellendrehgeschwindigkeit und -stellung, die Motortemperatur, die Einlasslufttemperatur und -menge, die Fahrpedalstellung etc. Diese Aufzählung der zu steuernden bzw. sensierenden Komponenten ist keineswegs abschließend und dient lediglich der Veranschaulichung der Vielzahl denkbarer Funktionen einer Steuereinrichtung.
  • Da ein Mikrocontroller bzw. dessen I/O-Ports technologiebedingt zumeist nicht zur direkten Ansteuerung der hier interessierenden Fahrzeugkomponenten geeignet sind, werden diese Komponenten üblicherweise durch zugeordnete Endstufen gesteuert, welche zu diesem Zweck eingangsseitig entsprechende Steuersignale des Mikrocontrollers erhalten und ausgangsseitig die zur Aktivierung und Deaktivierung der Komponenten erforderlichen Spannungen oder Ströme bereitstellen, beispielsweise den Lade- und Entladestrom eines piezobetätigten Kraftstoffeinspritzventils. Insbesondere im Hinblick auf die sicherheitskritischen Funktionen wird den Endstufen üblicherweise neben den Steuersignalen auch ein digitales, so genanntes Freigabesignal zugeführt, mittels welchem je nach Freigabesignalzustand eine Sperrung oder eine Freigabe der Aktivierung signalisiert wird. Diese von der eigentlichen Ansteuerung der Endstufe unabhängige Freigabe wird hierbei von einer Freigabesteuereinrichtung gegeben, die bei bekannten Steuereinrichtungen in einer Überwachungseinrichtung integriert ist, welche den ordnungsgemäßen Betrieb des Mikrocontrollers überwacht, um im Falle eines Fehlers geeignete Maßnahmen zu treffen, beispielsweise den Mikrocontroller zurückzusetzen (Reset) und/oder ein oder mehrere Freigabesignale auf den ersten Freigabesignalzustand zu setzen, mit welchem jede zugeordnete Endstufe gesperrt bzw. abgeschaltet wird.
  • Eine solche Überwachungseinrichtung, oftmals als "Watchdog" bezeichnet, kann hierbei im Mikrocontroller integriert oder separat von diesem angeordnet sein. Die Funktion einer solchen Überwachungseinrichtung beruht beispielsweise darauf, dass diese Einrichtung dem Mikrocontroller von Zeit zu Zeit Aufgaben stellt und anhand der vom Mikrocontroller zurückgelieferten Resultate feststellt, ob der Mikrocontroller korrekt arbeitet oder nicht.
  • Die elektrischen Verbindungen, welche zur Übertragung von Freigabesignalen zu den relevanten Endstufen vorgesehen sind (Abschaltpfade), können aus Gründen erhöhter Sicherheit mehrfach (redundant) ausgelegt werden. Ferner kann die Fähigkeit zur Abschaltung von Endstufen mittels der digitalen Freigabesignale anhand eines Selbsttests im inaktiven Systemzustand überprüft werden, d. h. mindestens einmal pro Nutzungszyklus. Ein fehlerhaftes Abweichen der Betriebsbedingungen vom erlaubten Bereich, insbesondere irgendwelche Fehler innerhalb des Mikrocontrollers, einschließlich von fehlerhafter Software hervorgerufene Fehler, sind jedoch im aktiven Betrieb des Systems am wahrscheinlichsten.
  • Wenn im aktiven Betrieb des Systems ein Fehler auftritt, der durch die Überwachungseinrichtung erkannt werden sollte, und Endstufen mittels des digitalen Freigabesignals in einen als "sicher" definierten Zustand überführt werden sollten, so ergeben sich bei den bekannten Steuereinrichtungen in der Praxis jedoch Unzulänglichkeiten.
  • Insbesondere kann es vorkommen, dass im Fehlerfall ein Freigabesignal deshalb nicht in den ersten, eine Sperrung der zugeordneten Endstufe bewirkenden Signalzustand überführt wird, weil der Fehler in der Überwachungseinrichtung selbst bzw. deren Freigabesteuereinrichtung vorliegt oder der Fehler die ordnungsgemäße Funktion dieser letzteren Einrichtungen beeinträchtigt.
  • Zur Lösung dieses Problems der oftmals unzulänglichen Sicherheit der Überwachung ist es zwar denkbar, die Redundanz der Überwachung weiter zu erhöhen und im Hinblick auf Fehler, die durch eine Überspannung (z. B. durch Kurzschluss) entstehen, robuster auszuführen. Solche Lösungen sind jedoch teuer, verringern unter Umständen die Zuverlässigkeit im Normalbetrieb und dürften sich in der Praxis wieder auf mehr oder weniger spezifische Fehlerfälle beschränken, für die sie konzipiert werden.
  • Es ist daher eine Aufgabe der vorliegenden Erfindung, eine Steuereinrichtung sowie ein Verfahren zur Steuerung des Betriebs einer Brennkraftmaschine eines Kraftfahrzeugs mit einem besseren Verhalten im Fehlerfall bereitzustellen.
  • Diese Aufgabe wird gelöst mit einer Steuereinrichtung nach Anspruch 1 bzw. einem Motorsteuerverfahren nach Anspruch 8. Die abhängigen Ansprüche betreffen vorteilhafte Weiterbildungen der Erfindung.
  • Die erfindungsgemäße Steuereinrichtung ist gekennzeichnet durch eine Modulationseinrichtung zur periodischen Modulation des von der Freigabesteuereinrichtung bereitgestellten Freigabesignals und eine Auswerteeinrichtung zum Analysieren des der Endstufe zugeführten Freigabesignals hinsichtlich der periodischen Modulation und zum Versetzen der Endstufe in einen vorbestimmten Fehlerfallzustand bei einem Ausbleiben der periodischen Modulation.
  • Durch die Modulation des von der Freigabesteuereinrichtung bereitgestellten Freigabesignals und die Auswertung des in Richtung zur Endstufe hin geführten Freigabesignals hinsichtlich dieser Modulation ist sichergestellt, dass ein auf Grund eines Fehlers im Bereich der Freigabesignalerzeugung und/oder Freigabesignalübertragung vorliegender Fehler zuverlässig (anhand des Ausbleibens der Modulation) erkannt wird. Die betreffende Endstufe kann somit zuverlässig auch in einem solchen Fall in einen vorbestimmten Fehlerfallzustand gebracht werden, der z. B. als Abschaltzustand oder Resetzustand der Endstufe vorgesehen ist.
  • Insbesondere werden Fehler, bei welchen das Freigabesignal statisch (dauerhaft) einen bestimmten der beiden Freigabesignalzustände annimmt, zuverlässig und zutreffend als Fehler erkannt.
  • Mit der Erfindung wird somit ein "Failsafe-Abschaltpfad" realisiert, welcher die Sicherheit des Systems erhöht.
  • In einer bevorzugten Ausführungsform umfasst die Modulationseinrichtung:
    • einen Pulsgenerator zur Erzeugung einer periodischen Folge von Modulationspulsen, und
    • eine der Freigabesteuereinrichtung nachgeschaltete Modulationsstufe, welcher das Freigabesignal von der Freigabesteuereinrichtung sowie die periodische Folge von Modulationspulsen von dem Pulsgenerator eingegeben wird und welche zumindest bei Vorliegen des zweiten Freigabesignalzustands das Freigabesignal jeweils für die Dauer eines Modulationspulses invertiert.
  • In diesem Fall kann die Auswerteeinrichtung eine der Endstufe vorgeschaltete Auswertestufe umfassen, welcher das Freigabesignal von der Modulationsstufe eingegeben wird und welche das eingegebene Freigabesignal hinsichtlich des Vorliegens der entsprechend der Modulationspulsfolge invertierten Freigabesignalabschnitte analysiert und bei Vorliegen dieser invertierten Freigabesignalabschnitte das Freigabesignal an die Endstufe weitergibt und bei Ausbleiben dieser invertierten Freigabesignalabschnitte die Endstufe in den vorbestimmten Fehlerfallzustand versetzt.
  • In einer bevorzugten Ausführungsform ist die Auswerteeinrichtung derart vorgesehen, dass bei einem Übergang des eingegebenen Freigabesignals von dem einen zu dem anderen Freigabesignalzustand das an die Endstufe weitergegebene Freigabesignal erst dann übergehen gelassen wird, wenn von der Auswerteeinrichtung ausgeschlossen werden kann, dass der Übergang des eingegebenen Signals lediglich auf Grund der Modulation erfolgte, also nicht durch einen entsprechenden Übergang des von der Freigabesteuereinrichtung bereitgestellten Freigabesignals hervorgerufen wurde. Diese Überprüfung der Auswerteeinrichtung vor einem Wechsel des ausgegebenen Freigabesignalzustands erfordert unter Umständen eine gewisse Zeit, was in der Praxis jedoch oftmals hinnehmbar ist. Alternativ kann diese in der Regel mit einer Verzögerung verbundene Überprüfung der Auswerteeinrichtung nur dann vorgesehen sein, wenn das Freigabesignal vom ersten in den zweiten oder vom zweiten in den ersten Freigabesignalzustand wechselt.
  • Bevorzugt ist die Auswerteeinrichtung derart ausgebildet, dass die Modulation des eingegebenen Freigabesignals entfernt wird, d. h. das an die Endstufe ausgegebene Freigabesignal keine solche Modulation enthält. Denkbar ist jedoch auch, die Modulation im Freigabesignal zu belassen, sei es dass die im zeitlichen Signalverlauf relativ kurzzeitigen Modulationsabschnitte die Ansteuerung der betreffenden Endstufe nicht wesentlich beeinträchtigen oder die Modulationen in der Endstufe weggefiltert werden.
  • Der Pulsgenerator kann zusammen mit der Modulationsstufe z. B. in der Überwachungseinrichtung integriert vorgesehen sein, also insbesondere zusammen mit den übrigen Schaltungsteilen der Überwachungseinrichtung in einer gemeinsamen integrierten Schaltung, die gegebenenfalls auch den Mikrocontroller einbeziehen kann.
  • Bevorzugt ist die Freigabesteuereinrichtung in einer Überwachungseinrichtung (wie etwa dem eingangs erwähnten Watchdog) integriert, welche den ordnungsgemäßen Betrieb des Mikrocontrollers überwacht und nur bei Feststellung eines ordnungsgemäßen Betriebs das Freigabesignal im zweiten Freigabesignalzustand bereitstellt. In vielen Anwendungsfällen, etwa wenn ein kommerziell erhältlicher Mikrocontrollerchip verwendet werden soll, ist es von Vorteil, die Überwachungseinrichtung einschließlich der Freigabesteuereinrichtung und einschließlich wenigstens eines Teils der Modulationseinrichtung (z. B. ohne den unten noch beschriebenen Pulsgenerator) in einer gemeinsamen integrierten Schaltung vorzusehen, die separat von dem Mikrocontrollerchip in einer elektronischen Baueinheit (Steuergerät) angeordnet ist.
  • Bevorzugt ist die Auswerteeinrichtung in einer die Endstufe enthaltenden Endstufeneinrichtung integriert, also insbesondere in einer gemeinsamen integrierten Schaltung ausgeführt. Abgesehen von dem Vorteil einer kostengünstigen Implementierung der Auswerteeinrichtung, z. B. ohne zusätzliche elektronische Bauteile, ergibt sich daraus in der Praxis ein weiterer, ganz wesentlicher Vorteil im Zusammenhang mit einer Überspannungsüberwachung bzw. im Zusammenhang mit dem "Failsafe"-Verhalten des Gesamtsystems im speziellen Fehlerfall einer Überspannung.
  • Dieser Vorteil bedarf einer detaillierteren Erläuterung:
    • Jegliches Verhalten der in der Steuereinrichtung verwendeten elektronischen Bauteile kann nur innerhalb eines begrenzten, technologiebedingten Betriebsbereiches garantiert werden. Sobald dieser Bereich verlassen wird, z. B. bei Vorliegen unzulässig hoher Spannungen an irgendeiner Stelle des Systems, ist jede beliebige Konfiguration der Freigabesignale vorstellbar.
  • Wenn die Überwachungseinrichtung eine gewisse Komplexität übersteigt, so ist es in der Praxis wirtschaftlich sinnvoll, diese Einrichtung in einer von den Endstufen, bei denen es sich zumeist um Leistungsendstufen handelt, verschiedenen Technologie auszuführen, nämlich zweckmäßigerweise in einer Niedervolt-Technologie (wie z. B. den Mikrocontroller).
  • Wenn nun diese Überwachungseinrichtung auch die Aufgabe einer Überspannungserkennung übernimmt, da die dafür erforderliche Präzision in den abzuschaltenden Leistungsendstufen in der Regel nicht erreicht werden kann, so kann der Fall eintreten, dass der zulässige Spannungsbereich der Überwachungseinrichtung überschritten wird, selbst wenn die Endstufe noch in ihrem erlaubten Bereich arbeitet, so dass ein Übergang in den gewünschten vorbestimmten Fehlerfallzustand nicht mehr gewährleistet werden kann.
  • Wenn jedoch die Auswerteeinrichtung eine höhere Spannungsfestigkeit besitzt als der Mikrocontroller bzw. diejenigen Schaltungsteile der Steuereinrichtung, welche zur Bereitstellung des Freigabesignals erforderlich sind, also die Auswerteeinrichtung z. B. in einer die Endstufe enthaltenden Endstufeneinrichtung mit relativ hoher Spannungsfestigkeit integriert ist, so kann der überspannungsbedingte Ausfall im Bereich des Mikrocontrollers oder der Überwachungseinrichtung oder der Freigabesteuereinrichtung dennoch zuverlässig erkannt werden, solange die Überspannung nicht einen Ausfall der Endstufeneinrichtung bewirkt. Letzteres ist jedoch durch entsprechende Dimensionierung der Spannungsfestigkeit der Endstufe leicht zu gewährleisten, die in der Praxis ohnehin oftmals zumindest für die Bordnetzspannung des Fahrzeugs zuzüglich einer gewissen Sicherheitsreserve ausgelegt werden muss.
  • Die gemäß der Erfindung eingesetzte Modulation des Freigabesignals sollte den Normalbetrieb des Systems möglichst wenig beeinträchtigen. In dieser Hinsicht ist es vorteilhaft, wenn die Periode der Modulation derart vorgegeben wird, dass diese höchstens so groß gewählt ist wie eine für die Überwachungseinrichtung spezifizierte Fehlerreaktionszeit, bevorzugt kleiner als diese Fehlerreaktionszeit. Bei Steuereinrichtungen für die Brennkraftmaschine und/oder das Getriebe eines Kraftfahrzeugs sind in der Regel z. B. Perioden von weniger als 100 ms gut geeignet. Auch ist es von Vorteil, wenn das Tastverhältnis der Modulation kleiner als 10% ist, z. B. in der Größenordnung von 1%. Wenn, wie oben bereits erwähnt, das Freigabesignal von der Freigabesteuereinrichtung jeweils für die Dauer eines Modulationspulses invertiert bzw. unterbrochen wird, so sollte die Pulsdauer im Verhältnis zur Periode also relativ klein gewählt werden und die Periode selbst ebenfalls für die betreffende Anwendung kurz genug sein, um unter Betrachtung aller Toleranzen innerhalb vorgegebener Fehlerreaktionszeiten eine Reaktion der Auswerteeinrichtung im Fehlerfall zu gewährleisten.
  • Falls die Auswerteeinrichtung ein Ausbleiben der Modulation und somit einen Fehlerfall festgestellt hat, so wird z. B. ein im ersten Freigabesignalzustand befindliches Freigabesignal an die nachfolgende Endstufe oder die nachfolgenden Endstufen ausgegeben, um eine Aktivierung der gesteuerten Komponenten zu sperren (wenigstens solange die Modulation ausbleibt und/oder wenigstens für eine vorgegebene Zeitdauer). Abhängig von der Art der gesteuerten Komponenten ist es jedoch nicht grundsätzlich ausgeschlossen, dass der Fehlerfallzustand, in welchen die Endstufe zu versetzen ist, gerade darin besteht, die Aktivierung freizugeben. Entscheidend ist, dass im Falle eines Fehlers, der durch das Ausbleiben der Modulation detektiert wird, die betreffende Endstufe in einen vorgegebenen Fehlerfallzustand versetzt wird. Wenngleich es sich bei den meisten Endstufen anbietet, zu diesem Zweck das Freigabesignal dauerhaft in einen definierten Zustand zu bringen, so ist es alternativ oder zusätzlich möglich, den Zustand der Endstufe in anderer Weise gezielt zu beeinflussen, z. B. durch irgendeine Art von Fehlerfallsignal, wie z. B. einem Resetsignal, welches für die betreffende Endstufe vorgesehen ist. Schließlich kann bei Erfassung eines Fehlerfalles dies auch an andere Schaltungsteile der Steuereinrichtung gemeldet werden, insbesondere an den Mikrocontroller und/oder eine Versorgungsspannungseinheit mit Resetfunktionen, die bei Inbetriebnahme der Steuereinrichtung die einzelnen Einrichtungskomponenten in definierter Weise zunächst zurücksetzt bzw. startet.
  • Die Erfindung wird nachfolgend anhand eines Ausführungsbeispiels mit Bezug auf die beigefügten Zeichnungen näher beschrieben. Es stellen dar:
    • Fig. 1
    ist ein schematisches Blockschaltbild eines Motorsteuergeräts zur Steuerung des Betriebs eines Einspritzmotors eines Kraftfahrzeugs, und
    Fig. 2
    ist eine Darstellung des zeitlichen Verlaufs verschiedener, im Motorsteuergerät nach Fig. 1 vorkommender Signale.
  • Fig. 1 zeigt wesentliche Komponenten eines insgesamt mit 10 bezeichneten Motorsteuergeräts für einen Direkteinspritzmotor eines Kraftfahrzeugs, umfassend einen Mikrocontroller 12 zur Bereitstellung eines Steuersignals S zur Steuerung der im Betrieb der nicht dargestellten Brennkraftmaschine zu steuernden Kraftstoffeinspritzanlage, eine Freigabeeinheit 14 zur Bereitstellung eines digitalen Freigabesignals b, mittels welchem durch einen ersten logischen Freigabesignalzustand "Low" (L) eine Sperrung und durch einen zweiten logischen Freigabesignalzustand "High" (H) eine Freigabe der Aktivierung der Kraftstoffeinspritzanlage signalisiert wird, und eine Endstufe 16 zur Aktivierung und Deaktivierung der zu steuernden Komponente, hier der Kraftstoffeinspritzanlage, basierend auf dem Steuersignal S unter Berücksichtigung eines dieser Endstufe 16 eingegebenen Freigabesignals d. Bei herkömmlichen Motorsteuergeräten wird das von der Freigabeeinheit 14 ausgegebene Freigabesignal b direkt der Endstufe 16 eingegeben bzw. sind die Signale b und d identisch. Nicht so bei dem dargestellten Steuergerät 10, wie es unten noch beschrieben wird.
  • Die Endstufe 16 initiiert eine Kraftstoffeinspritzung durch Ausgabe von entsprechenden Ansteuersignalen an die verschiedenen Kraftstoffinjektoren (die am rechten Rand der Fig. 1 eingezeichneten Signalleitungen symbolisieren die Ansteuerung von vier Kraftstoffinjektoren) nur dann, wenn das der Endstufe 16 eingegebene Freigabesignal d im H-Zustand ist. Das Einspritztiming und die Einspritzmengen werden hierbei im Wesentlichen durch das vom Mikrocontroller 12 ausgegebene Steuersignal S bestimmt. Der Einfachheit der Darstellung halber ist die Übertragung des Steuersignals S hier nur durch eine Leitung symbolisiert. Tatsächlich kann diese Verbindung je nach anzusteuernder Endstufe als kompliziertere Leitungsanordnung ausgeführt sein. Des weiteren sind in der Darstellung von Fig. 1 alle Schaltungsteile des Steuergeräts 10 weggelassen, die zum Verständnis der Erfindung nicht wesentlich sind und in herkömmlicher Weise gestaltet sein können (z. B. Spannungsversorgung(en), Eingangssignale am Mikrocontroller zur Aufnahme diverser Sensorsignale, die im Rahmen der Fahrzeugkomponentensteuerung oder Motorsteuerung benötigt werden).
  • Eine Besonderheit des dargestellten Steuergeräts 10 besteht in der Erzeugung, Übertragung und Verwendung eines besonderen Freigabesignals und wird nachfolgend anhand der lediglich beispielhaft zu verstehenden Endstufe 16 für eine Kraftstoffeinspritzanlage erläutert. Selbstverständlich weist das Motorsteuergerät 10 in der Praxis weitere Endstufen zur Steuerung weiterer Fahrzeugkomponenten, insbesondere Motorkomponenten, auf, für welche die nachfolgend beschriebene Methode eines besonders "sicheren" Freigabesignals ebenso eingesetzt werden kann.
  • Eine aus einer Modulationsstufe 18 und einem Pulsgenerator 20 gebildete Modulationseinrichtung ist der Freigabeeinheit 14 unmittelbar nachgeschaltet und sorgt für eine periodische Modulation des von der Freigabesteuereinrichtung bereitgestellten Freigabesignals b. Wenn mehrere Freigabeeinheiten, wie die dargestellte Freigabeeinheit 14 vorgesehen sind, z. B. in einer Überwachungseinrichtung, so kann vorteilhaft ein gemeinsamer Pulsgenerator zur Modulation der einzelnen Freigabesignale verwendet werden.
  • Der in Fig. 2 oberste (erste) Verlauf stellt das vom Pulsgenerator 20 erzeugte Modulationspulssignal a dar. Dieses Signal a besteht aus einer periodischen Folge von rechteckigen Modulationspulsen mit einer Periode Tpuls einer Pulsdauer von tpuls.
  • Der in Fig. 2 zweite Verlauf stellt beispielhaft ein von der Freigabeeinheit 14 ausgegebenes Freigabesignal b dar, welches zu einem Zeitpunkt t1 von L auf H wechselt und zu einem Zeitpunkt t2 wieder zurück auf L wechselt.
  • Der Modulationsstufe 18 werden diese Signale a und b eingegeben, um daraus ein "moduliertes" Freigabesignal c zu bilden, dessen Verlauf ebenfalls in Fig. 2 dargestellt ist. Daraus ist ersichtlich, dass die Modulationsstufe 18 den H-Zustand, welcher die Freigabe der Aktivierung der Kraftstoffeinspritzanlage signalisiert, periodisch durch vergleichsweise kurze Modulationspulse unterbrochen wird, während welcher das Signal c gewissermaßen die Sperrung der Einspritzanlagenaktivierung signalisiert. Im dargestellten Beispiel erfolgt diese periodische Modulation lediglich in den Signalabschnitten, in welchen das Signal b im H-Zustand ist.
  • Der Endstufe 16 unmittelbar vorgeschaltet ist eine Auswertestufe 22, welche in gleicher Technologie (hier auf demselben Chip) wie die Endstufe 16 implementiert ist und mit dieser zusammen eine Endstufeneinrichtung 24 bildet.
  • Das der Auswertestufe 22 eingegebene Freigabesignal c wird von der Auswerteeinheit 22 hinsichtlich des Vorliegens der periodischen Modulation im Signal c analysiert und, vereinfacht ausgedrückt, nur dann als Freigabesignal d an die Endstufe 16 weitergegeben, wenn die Modulation im eingegebenen Signal c detektiert wird. Demgegenüber interpretiert die Auswertestufe 22 ein Ausbleiben der Modulation als Fehlerfall und versetzt die Endstufe 16 dann in einen zuvor definierten Fehlerfallzustand. Beim dargestellten Ausführungsbeispiel erfolgt dies durch dauerhafte Ausgabe des Freigabesignals d im L-Zustand, und zwar unabhängig vom Zustand des Signals c. Damit wird im dargestellten Beispiel, auch unabhängig vom Steuersignal S, die Kraftstoffeinspritzung zwangsweise beendet.
  • Der in Fig. 2 unterste Verlauf stellt das an die Endstufe 16 im ordnungsgemäßen Betrieb weitergegebene Freigabesignal d dar. Daraus ist ersichtlich, dass der zum Zeitpunkt t1 stattfindende Signalübergang von L auf H (in Signal c) nicht unmittelbar an die Endstufe (im Signal d) weitergegeben wird, sondern erst nach Ablauf einer fest vorgegebenen Anstiegsverzögerung Δt1. Dies deshalb, weil die Auswerteeinheit 22 im dargestellten Beispiel zunächst den Fall ausschließt, bei welchem dieser Übergang durch einen "statischen" Fehler im Signal c (oder der hierfür vorgesehenen Übertragungsleitung) hervorgerufen wurde. Zu diesem Zweck wird die Zeitdauer Δt1 abgewartet, um das Eintreffen eines Modulationspulses festzustellen. Nur wenn dieser Puls auch tatsächlich detektiert wird, so lässt die Auswerteeinheit 22 auch das Signal d in den H-Zustand übergehen. Δt1 ist hierbei geringfügig größer als die Pulsperiode Tpuls und fest vorgegeben.
  • In ähnlicher Weise spiegelt sich der zum Zeitpunkt t2 stattfindende Übergang im Signal c von H auf L nicht unmittelbar im Ausgangssignal d wider, sondern erst nach einer gewissen zeitlichen Verzögerung (Abfallsverzögerung Δt2). Dies deshalb, weil die Auswertestufe 22 im vorliegenden Beispiel zunächst den Fall ausschließt, bei welchem dieser Übergang lediglich durch das Eintreffen eines Modulationspulses hervorgerufen wird. Dementsprechend wird die Zeitdauer Δt2 lang gewartet. Nur wenn innerhalb dieser Zeitdauer das Signal c nicht wieder auf H wechselt, lässt die Auswertestufe 22 das Signal d auf L übergehen. Auch diese Abfallverzögerung Δt2 ist hier fest vorgegeben und geringfügig größer als die Pulsbreite tpuls.
  • Die Pulsperiode Tpuls, die Pulsbreite tpuls sowie die "Filterzeiten" Δt1, Δt2 sind entsprechend den relevanten Systemanforderungen geeignet zu wählen. Das Tastverhältnis (tpuls/Tpuls) sollte in den meisten Anwendungsfällen möglichst klein sein, z. B. kleiner als 10%, insbesondere kleiner 1%. Im Hinblick auf kurze Fehlerreaktionszeiten der Auswertestufe 22 ist andererseits eine möglichst kurze Periode Tpuls vorteilhaft. Im dargestellten Beispiel für die Kraftstoffeinspritzung ist z. B. ein Tpuls in der Größenordnung von etwa 10 ms denkbar.
  • Die Auswertestufe 22 kann beispielsweise einen H-Zustand (enable) oder L-Zustand (disable) des Signals d bewirken anhand von bestimmten Kriterien:
    • Das Signal c ist im H-Zustand und ein erster Modulationspuls von voller Länge (Pulsbreite tpuls) wird daraufhin erfasst. (-> enable)
    • Das Signal c ist länger als die maximal zu erwartende Pulsbreite im L-Zustand. (-> disable)
    • Das Signal c ist im H-Zustand und innerhalb des doppelten der zu erwartenden Periode Tpuls bleibt ein Modulationspuls aus. (-> disable)
    • Das Signal c besitzt einen undefinierten Pegel. Dies kann z. B. durch eine Unterspannung im Bereich der Freigabesignalerzeugung hervorgerufen werden. (-> disable)
  • Für die meisten Anwendungen ist es bevorzugt, dem Übergang nach L (disable) Priorität gegenüber dem Übergang nach H (enable) einzuräumen.
  • In einer denkbaren Weiterbildung kann vorgesehen sein, dass die Auswertestufe 22 bei Erfassung von Pulsen im Signal auch den zeitlichen Abstand aufeinanderfolgender Pulse daraufhin überprüft, ob dieser im Einklang mit der vorgegebenen Modulationsperiode steht. Damit kann eine ordnungsgemäße Modulationspulsfolge z. B. von einer durch eine Störung hervorgerufenen Pulsfolge genauer abgegrenzt werden.
  • In an sich bekannter Weise ist die Freigabeeinheit 14 in einer Überwachungseinrichtung 26 enthalten, welche über eine Kommunikationsverbindung 28 mit dem Mikrocontroller 12 kommuniziert, um insbesondere dessen ordnungsgemäßen Betrieb zu überwachen und abhängig vom Ergebnis dieser Überwachung z. B. das Freigabesignal b entsprechend zu setzen.
  • Im dargestellten Beispiel besitzt die Auswertestufe 22 auf Grund deren mikroelektronischer Integration im Bereich der Endstufeneinrichtung 24 eine im Vergleich zum Mikrocontroller 12 und/oder zur Überwachungseinrichtung 26 technologiebedingt relativ hohe Spannungsfestigkeit (z. B. 36V). Die Auswertestufe 22 kann daher vorteilhaft auch dann noch zuverlässig Fehlerfallmaßnahmen treffen, insbesondere die Endstufe 16 sperren bzw. abschalten, wenn Schaltungsteile des Steuergeräts 10 durch eine Überspannung beeinträchtigt oder zerstört wurden, die an der Bereitstellung des Freigabesignals beteiligt sind. Das Failsafe-Verhalten des Gesamtsystems ist daher auf Grund der Modulation nicht nur besonders zuverlässig sondern gewissermaßen autonom, was einen durch Überspannung hervorgerufenen Ausfall von Logikbausteinen wie dem Mikrocontroller anbelangt. Die zusätzliche Logik in der Endstufeneinrichtung 24 führt zu einer automatischen, dauerhaften Abschaltung der Endstufe 16, sobald ein statischer Zustand des Abschaltpfades erkannt wird, welcher das Signal c überträgt. Bei der beschriebenen Lösung muss die geforderte Dynamik nur im fehlerfreien Systembetrieb erzeugt werden, so dass ein eingeschränkter Betriebsmodus ermöglicht wird, wenn lediglich der Abschaltpfad fehlerhaft ist, nicht jedoch die Kontrolllogik. Im Fehlerfall verhält sich die Endstufe unter den kritischen Betriebsbedingungen wie hierfür spezifiziert.
  • Vorteilhaft ergibt sich eine Absicherung des Freigabe- bzw. Abschaltsignals von der Ansteuerung eines Signaltreibers in der Freigabesteuereinrichtung bis hin zum Auslesen dieses Signals durch einen Eingangskomparator einer Leistungsendstufe (d. h. beispielsweise vollständig von einem IC zu einem anderen IC). Nur die Funktion selbst innerhalb der Leistungsendstufe (im Fehlerfall) ist sicherzustellen. Die erfindungsgemäße Lösung deckt jegliche Grundursache für einen fehlerhaften Abschaltpfad ab. Zur Realisierung sind zusätzliche, insbesondere diskrete zusätzliche Bauteile, nicht zwingend erforderlich, was günstig hinsichtlich der Kosten und der Ausfallrate ist. Die Wirksamkeit der Absicherung im Betrieb kann kontinuierlich gewährleistet werden, wobei gewisse Logikfunktionen nutzbar bleiben können, sofern nur eine Abschaltleitung defekt ist. Die erfindungsgemäße Lösung kann seitens der Überwachungseinrichtung bzw. eines Überwachungsmoduls abwärtskompatibel zu herkömmlichen Endstufen realisiert werden (gegebenenfalls mit geringfügigen Anpassungsmaßnahmen). Eine Rückkehr von einem unerlaubten in einen erlaubten Betriebsbereich der Überwachungseinrichtung ändert nichts an der Effektivität der gemäß der Erfindung realisierten Abschaltung hinsichtlich des Abschaltpfads.
  • Zusammenfassend wird bei der Steuerung des Betriebs einer Brennkraftmaschine unter Verwendung eines Mikrocontrollers mit zugeordneten Endstufen zur Ansteuerung von Motorkomponenten einer Endstufe neben dem eigentlichen Steuersignal auch ein digitales Freigabesignal zugeführt, mittels welchem je nach Signalzustand eine Sperrung oder eine Freigabe der Endstufe signalisiert wird. Im Falle eines Fehlers im Bereich des Mikrocontrollers kann die Endstufe damit abgeschaltet werden. Durch eine Modulation des Freigabesignals und die Auswertung des zur Endstufe hin geführten Freigabesignals wird sichergestellt, dass ein Fehler im Bereich der Freigabesignalerzeugung und/oder Freigabesignalübertragung anhand des Ausbleibens der Modulation erkannt wird und die Endstufe im Fehlerfall sehr zuverlässig abgeschaltet werden kann.

Claims (8)

  1. Elektronische Steuereinrichtung zur Steuerung des Betriebs von Kraftfahrzeugkomponenten, insbesondere einer Brennkraftmaschine oder eines Getriebes eines Kraftfahrzeugs, umfassend
    - einen Mikrocontroller (12) zur Bereitstellung wenigstens eines Steuersignals (S) zur Steuerung wenigstens einer im Betrieb des Kraftfahrzeuges zu steuernden Komponente,
    - eine Überwachungseinrichtung (26) zur Überwachung des ordnungsgemäßen Betriebs des Mikrocontrollers (12),
    - eine Freigabesteuereinrichtung (14) zur Bereitstellung eines digitalen Freigabesignals (b), mittels welchem
    bei Feststellung eines nicht ordnungsgemäßen Betriebs des Mikrocontrollers (12) durch die Überwachungseinrichtung (26) durch einen ersten Freigabesignalzustand (L) eine Sperrung und
    bei Feststellung eines ordnungsgemäßen Betriebs des Mikrocontrollers (12) durch die Überwachungseinrichtung (26) durch einen zweiten Freigabesignalzustand (H) eine Freigabe der Aktivierung der zu steuernden Komponente signalisiert wird, und
    - eine Endstufe (16) zur Aktivierung und Deaktivierung der zu steuernden Komponente basierend auf dem Steuersignal (S) unter Berücksichtigung des Freigabesignals (b, c, d),
    wobei die Steuereinrichtung ferner umfasst:
    - eine Modulationseinrichtung (18, 20) zur periodischen Modulation des von der Freigabesteuereinrichtung (14) bereitgestellten Freigabesignals (b), und
    - eine Auswerteeinrichtung (22) zum Analysieren des zur Endstufe (16) zugeführten Freigabesignals (c) hinsichtlich der periodischen Modulation und zum Versetzen der Endstufe (16) in einen vorbestimmten Fehlerfallzustand bei einem Ausbleiben der periodischen Modulation.
  2. Steuereinrichtung nach Anspruch 1, wobei die Modulationseinrichtung (18, 20) umfasst:
    - einen Pulsgenerator (20) zur Erzeugung einer periodischen Folge von Modulationspulsen, und
    - eine der Freigabesteuereinrichtung (14) nachgeschaltete Modulationsstufe (18), welcher das Freigabesignal (b) von der Freigabesteuereinrichtung (14) sowie die periodische Folge von Modulationspulsen von dem Pulsgenerator (20) eingegeben wird und welche zumindest bei Vorliegen des zweiten Freigabesignalzustands (H) das Freigabesignal jeweils für die Dauer (tpuls) eines Modulationspulses invertiert,
    und wobei die Auswerteeinrichtung (22) als der Endstufe (16) vorgeschaltete Auswertestufe ausgebildet ist, welcher das Freigabesignal (c) von der Modulationsstufe (18) eingegeben wird und welche das eingegebene Freigabesignal (c) hinsichtlich des Vorliegens der entsprechend der Modulationspulsfolge invertierten Freigabesignalabschnitte analysiert und bei Vorliegen dieser invertierten Freigabesignalabschnitte das Freigabesignal (d) an die Endstufe (16) weitergibt und bei Ausbleiben dieser invertierten Freigabesignalabschnitte die Endstufe (16) in den vorbestimmten Fehlerfallzustand versetzt.
  3. Steuereinrichtung nach Anspruch 1 oder 2, wobei die Freigabesteuereinrichtung (14) in der Überwachungseinrichtung (26) integriert ist.
  4. Steuereinrichtung nach Anspruch 1, 2 oder 3, wobei die Auswerteeinrichtung (22) in einer die Endstufe (16) enthaltenden Endstufeneinrichtung (24) integriert ist.
  5. Steuereinrichtung nach Anspruch 4, wobei die Auswerteeinrichtung (22) eine höhere Spannungsfestigkeit besitzt als die Überwachungseinrichtung (26) und/oder der Mikrocontroller (12).
  6. Steuereinrichtung nach einem der vorangehenden Ansprüche, wobei die Periode (Tpuls) der Modulation derart vorgegeben wird, dass diese höchstens so groß, bevorzugt kleiner, als eine für die Überwachungseinrichtung (26) der Steuereinrichtung spezifizierte Fehlerreaktionszeit ist.
  7. Steuereinrichtung nach einem der vorangehenden Ansprüche, wobei das Tastverhältnis (tpuls/Tpuls) der Modulation kleiner als 10% ist.
  8. Verfahren zur Steuerung des Betriebs von Kraftfahrzeugkomponenten, insbesondere einer Brennkraftmaschine oder eines Getriebes eines Kraftfahrzeugs, mittels einer Steuereinrichtung, welche umfasst:
    - einen Mikrocontroller (12) zur Bereitstellung wenigstens eines Steuersignals (S) zur Steuerung wenigstens einer im Betrieb des Kraftfahrzeugs zu steuernden Komponente,
    - eine Überwachungseinrichtung (26) zur Überwachung des ordnungsgemäßen Betriebs des Mikrocontrollers (12),
    - eine Freigabesteuereinrichtung (14) zur Bereitstellung eines digitalen Freigabesignals (b), mittels welchem
    bei Feststellung eines nicht ordnungsgemäßen Betriebs des Mikrocontrollers (12) durch die Überwachungseinrichtung (26) durch einen ersten Freigabesignalzustand (L) eine Sperrung und
    bei Feststellung eines ordnungsgemäßen Betriebs des Mikrocontrollers (12) durch die Überwachungseinrichtung durch einen zweiten Freigabesignalzustand (H) eine Freigabe der Aktivierung der zu steuernden Komponente signalisiert wird, und
    - eine Endstufe (16) zur Aktivierung und Deaktivierung der zu steuernden Komponente basierend auf dem Steuersignal (S) unter Berücksichtigung des Freigabesignals (b, c, d),
    wobei das Verfahren umfasst:
    - periodisches Modulieren des von der Freigabesteuereinrichtung (14) bereitgestellten Freigabesignals (b),
    - Analysieren des zur Endstufe (16) zugeführten Freigabesignals (c) hinsichtlich der periodischen Modulation, und
    - Versetzen der Endstufe (16) in einen vorbestimmten Fehlerfallzustand, falls die periodische Modulation ausbleibt.
EP05731759A 2004-04-27 2005-03-21 Elektronische steuereinrichtung und verfahren zur steuerung des betriebs von kraftfahrzeugkomponenten Expired - Fee Related EP1740815B1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102004020538A DE102004020538B4 (de) 2004-04-27 2004-04-27 Elektronische Steuereinrichtung und Verfahren zur Steuerung des Betriebs von Kraftfahrzeugkomponenten
PCT/EP2005/051294 WO2005106229A1 (de) 2004-04-27 2005-03-21 Elektronische steuereinrichtung und verfahren zur steuerung des betriebs von kraftfahrzeugkomponenten

Publications (2)

Publication Number Publication Date
EP1740815A1 EP1740815A1 (de) 2007-01-10
EP1740815B1 true EP1740815B1 (de) 2012-10-31

Family

ID=34963663

Family Applications (1)

Application Number Title Priority Date Filing Date
EP05731759A Expired - Fee Related EP1740815B1 (de) 2004-04-27 2005-03-21 Elektronische steuereinrichtung und verfahren zur steuerung des betriebs von kraftfahrzeugkomponenten

Country Status (7)

Country Link
US (1) US7444226B2 (de)
EP (1) EP1740815B1 (de)
JP (1) JP4331778B2 (de)
KR (1) KR101166594B1 (de)
CN (1) CN100436792C (de)
DE (1) DE102004020538B4 (de)
WO (1) WO2005106229A1 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006020793A1 (de) * 2006-05-03 2007-11-08 Ab Skf Schaltungsanordnung und Verfahren zum Betrieb einer Schaltungsanordnung
EP1887444B1 (de) * 2006-08-10 2008-12-03 Sick Ag Prozesssteuerung
DE102007033365A1 (de) * 2007-07-16 2009-01-22 Huf Hülsbeck & Fürst Gmbh & Co. Kg Eine ein temperaturabhängiges Signal liefernde Watchdog-Schaltung für einen Mikrocontroller einer ELV
JP4968099B2 (ja) * 2008-02-14 2012-07-04 株式会社アドヴィックス 駐車ブレーキ制御装置
EP3534226B1 (de) * 2018-03-02 2022-02-09 Emm! solutions GmbH Modulares steuersystem

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5589639A (en) * 1986-02-28 1996-12-31 D'antonio; Nicholas F. Sensor and transducer apparatus
DE3728561C2 (de) 1987-08-27 1997-08-21 Vdo Schindling Verfahren zur Überprüfung einer Überwachungseinrichtung für einen Mikroprozessor
US4932246A (en) * 1989-02-22 1990-06-12 Motorola, Inc. Diagnostic fault test system and circuit
DE4004427C2 (de) * 1989-02-22 1995-02-09 Motorola Inc Diagnostisches Störungsmeldesystem
DE4231432A1 (de) * 1992-09-19 1994-03-24 Vdo Schindling Verfahren und Einrichtung zur digitalen Steuerung eines Leistungs-Stellgliedes einer Brennkraftmaschine
DE4237198A1 (de) 1992-11-04 1994-05-05 Bosch Gmbh Robert Verfahren und Vorrichtung zur Überprüfung einer Überwachungseinheit
JPH079883A (ja) * 1993-06-24 1995-01-13 Jidosha Denki Kogyo Co Ltd 自動定速走行装置
DE4438714A1 (de) * 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
US6249737B1 (en) * 1997-03-12 2001-06-19 Kuster & Co. Gmbh Vehicle parking brake system
US6213259B1 (en) * 1998-02-25 2001-04-10 Dura Automotive Systems, Inc. Device, method and system for control of an electrically powered parking brake
DE10057916C2 (de) * 2000-11-21 2003-04-17 Bosch Gmbh Robert Steuergerät für ein Rückhaltesystem in einem Kraftfahrzeug
US20040263099A1 (en) * 2002-07-31 2004-12-30 Maslov Boris A Electric propulsion system
US6997299B2 (en) * 2003-07-28 2006-02-14 Magna Powertrain, Inc. Hydraulic clutch actuation system

Also Published As

Publication number Publication date
CN1946924A (zh) 2007-04-11
EP1740815A1 (de) 2007-01-10
US7444226B2 (en) 2008-10-28
DE102004020538A1 (de) 2005-12-01
KR101166594B1 (ko) 2012-07-18
JP2007535049A (ja) 2007-11-29
DE102004020538B4 (de) 2008-04-10
JP4331778B2 (ja) 2009-09-16
KR20070006927A (ko) 2007-01-11
US20080033626A1 (en) 2008-02-07
WO2005106229A1 (de) 2005-11-10
CN100436792C (zh) 2008-11-26

Similar Documents

Publication Publication Date Title
DE102015222530B4 (de) Fahrzeugelektroniksteuervorrichtung
EP0101850B1 (de) Sicherheits-Notlaufeinrichtung für den Leerlaufbetrieb von Kraftfahrzeugen
DE3315049C2 (de) Überwachungsschaltung für ein Steuersystem mit Mikrocomputer
EP0826102A1 (de) Verfahren und vorrichtung zur steuerung einer antriebseinheit eines fahrzeugs
WO1986000155A1 (en) Resetting circuit for a microprocessor
WO2005106230A1 (de) Elektronische steuereinrichtung und verfahren zur steuerung des betriebs von kraftfahrzeugkomponenten
EP1740815B1 (de) Elektronische steuereinrichtung und verfahren zur steuerung des betriebs von kraftfahrzeugkomponenten
DE4329919A1 (de) Verfahren zum Betreiben eines Verbrauchers in einem Fahrzeug
WO2007025844A1 (de) Verfahren zur verfügbarkeitserhöhung von kraftfahrzeugmotoren
DE10339464A1 (de) Kommunikationsfehler-Detektionsverfahren für ein Buskommunikationsnetz in einem Fahrzeug
DE10345424A1 (de) Motorluftansaugsteuervorrichtung und Motorluftansaugsteuerverfahren
EP1277095B1 (de) System und verfahren zur überwachung einer einrichtung zum messen, steuern und regeln
WO2005093240A1 (de) Vorrichtung und verfahren zur verringerung der verschmutzung eines sensors
EP1679729B1 (de) Vorrichtung zur sicheren Signalerzeugung
EP1305509B1 (de) Elektronische schaltungsanordnung und zugehöriges verfahren zur ansteuerung eines stellglieds , zum beispiel für ventile oder injektoren
EP0596297B1 (de) Verfahren und Vorrichtung zur Überprüfung einer Überwachungseinheit von Motorsteuersystem
DE10148646A1 (de) Brennkraftmaschinensteuerung sowie Verfahren zum Betrieb einer Brennkraftmaschinensteuerung
DE19755311B4 (de) Verfahren und Vorrichtung zur Informationsübertragung in Kraftfahrzeugen
DE102009050692A1 (de) Sicherheits-Kommunikationssystem zur Signalisierung von Systemzuständen
EP0508081B1 (de) Schaltungsanordnung und Verfahren zum Überwachen eines brennstoffbeheizten Gerätes
EP2435915B1 (de) Verringerung der reaktionszeit in einem system zur überwachung eines funktionsrechners
DE19854306A1 (de) Steller mit kapazitivem Element
EP0326693A1 (de) Sicherheitssystem für Brennkraftmaschinen
DE102007018003A1 (de) Überwachungseinheit und Auswerteeinheit zum Überprüfen einer Fehlerfreiheit eines Systems
DE29824062U1 (de) Sicherheitsvorrichtung für eine speicherprogrammierbare Steuerung

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20061005

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): DE FR GB IT

DAX Request for extension of the european patent (deleted)
RBV Designated contracting states (corrected)

Designated state(s): DE FR GB IT

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: CONTINENTAL AUTOMOTIVE GMBH

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): DE FR GB IT

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: DE

Ref legal event code: R096

Ref document number: 502005013229

Country of ref document: DE

Effective date: 20121227

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

26N No opposition filed

Effective date: 20130801

REG Reference to a national code

Ref country code: DE

Ref legal event code: R097

Ref document number: 502005013229

Country of ref document: DE

Effective date: 20130801

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: DE

Payment date: 20140331

Year of fee payment: 10

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: FR

Payment date: 20140319

Year of fee payment: 10

Ref country code: IT

Payment date: 20140326

Year of fee payment: 10

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: GB

Payment date: 20140319

Year of fee payment: 10

REG Reference to a national code

Ref country code: DE

Ref legal event code: R119

Ref document number: 502005013229

Country of ref document: DE

GBPC Gb: european patent ceased through non-payment of renewal fee

Effective date: 20150321

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IT

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20150321

REG Reference to a national code

Ref country code: FR

Ref legal event code: ST

Effective date: 20151130

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GB

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20150321

Ref country code: DE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20151001

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: FR

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20150331