+

FR2811779A1 - Dispositif et procede de commande des deroulements de fonctionnement - Google Patents

Dispositif et procede de commande des deroulements de fonctionnement Download PDF

Info

Publication number
FR2811779A1
FR2811779A1 FR0108620A FR0108620A FR2811779A1 FR 2811779 A1 FR2811779 A1 FR 2811779A1 FR 0108620 A FR0108620 A FR 0108620A FR 0108620 A FR0108620 A FR 0108620A FR 2811779 A1 FR2811779 A1 FR 2811779A1
Authority
FR
France
Prior art keywords
unit
access
functional unit
configuration
monitoring unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0108620A
Other languages
English (en)
Other versions
FR2811779B1 (fr
Inventor
Horst Wagner
Jens Graf
Edwin Eberlein
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of FR2811779A1 publication Critical patent/FR2811779A1/fr
Application granted granted Critical
Publication of FR2811779B1 publication Critical patent/FR2811779B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Debugging And Monitoring (AREA)
  • Safety Devices In Control Systems (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Abstract

Proc ed e et dispositif de commande de d eroulement de fonctionnement, notamment d'un v ehicule, par une unit e fonctionnelle (101) reli ee à un système de bus (105), l'unit e fonctionnelle et/ ou le système de bus etant surveill es par une unit e de surveillance (102). Cette unit e (102) peut couper la liaison (108, 104) de l'unit e fonctionnelle avec le système de bus (105) dans un cas de s ecurit e par un accès; l'accès de l'unit e de surveillance est configur e par l'unit e fonctionnelle pour qu'un moyen de configuration (103) puisse interrompre le chemin d'accès (110) de l'unit e de surveillance.

Description

Etat de la technique
L'invention concerne un dispositif et un procédé de com-
mande des déroulements de fonctionnement notamment d'un véhicule, selon lequel une unité fonctionnelle est reliée à un système de bus, l'unité fonctionnelle et/ou le système de bus étant surveillés par une unité de surveillance et l'unité de surveillance séparant par accès la liaison de
l'unité fonctionnelle avec le système de bus dans un cas de sécurité.
Selon le document EP 0 983 905 A2, on connaît un circuit de découplage d'une installation électronique par rapport à une ligne de données d'un véhicule automobile. L'installation électronique et au moins
un autre système électrique échangent des informations pendant le fonc-
tionnement à travers cette ligne de données. Dans ce circuit qui, malgré la défaillance d'une installation électronique reliée à la ligne de données,
permet de maintenir le fonctionnement du véhicule, l'installation électri-
que est reliée à une installation de détection de défauts. Lorsque l'installation de détection de défauts constate un défaut de l'installation
électronique, cette installation électronique est coupée de la ligne de don-
nées par le circuit pour maintenir le fonctionnement du système électri-
que.
Le document VDI Numéro 687, 1988 " Antriebsschlu-
pfregelung - Realisierung bei Audi ", pages 219-222 décrit une électroni-
que avec deux microprocesseurs qui se surveillent réciproquement et dont l'un commande l'étage de puissance. Chaque processeur peut activer un
circuit de sécurité en cas de défaillance et ce circuit active la ligne de re-
mise à l'état initial des microprocesseurs en assurant un traitement dé-
terminé des programmes. Un éventuel défaut qui se produit dans l'étage de puissance peut être recueilli par un signal de retour aux processeurs
par désactivation de la commande de l'étage de puissance; si cela ne de-
vait aboutir, l'actionnement du relais principal du circuit de sécurité peut
être assuré par l'un des deux processeurs.
Dans les systèmes connus selon l'état de la technique, il n'est pas prévu de coupler de nouveau l'installation électrique au système électrique, ni d'éviter la coupure dans certaines situations. En particulier, lorsque le défaut est réparé, il serait souhaitable de pouvoir de nouveau coupler facilement l'installation électronique au système électrique ou
d'éviter une coupure immédiate.
De plus, un cas de sécurité qui assure la coupure de l'unité électronique par rapport au système électrique par un circuit de sécurité
peut être sans problème ou même souhaité pour certains types ou cer-
tains états de fonctionnement. La coupure forcée selon l'état de la techni-
que serait dans ces conditions plutôt gênante. Par un simple
rebranchement ou en interdisant la coupure pour de tels états de fonc-
tionnement, on pourrait facilement traiter une telle situation. Le cas de sécurité conduirait alors, contrairement à l'état de la technique, non pas à la coupure, car les causes de ce cas de sécurité ne sont pas critiques pour
la sécurité dans ce cas.
C'est pourquoi la présente invention se propose de dévelop-
per un procédé et un dispositif permettant d'optimiser la fonctionnalité d'une commande de déroulement de fonctionnement pour la coupure dans
un cas de sécurité selon un développement indiqué ci-dessus.
Avantages de l'invention La présente invention concerne à cet effet un procédé et un dispositif de commande des déroulements de fonctionnement, notamment d'un véhicule du type défini ci-dessus, caractérisés en ce que l'accès de
l'unité de surveillance peut être configuré par l'unité fonctionnelle.
Ainsi une unité fonctionnelle est reliée à un système de bus et cette unité fonctionnelle et/ou le système de bus sont surveillés par une unité de surveillance. L'unité de surveillance coupe la liaison de l'unité
fonctionnelle et du système de bus dans un cas de sécurité, en accédant.
Cet accès de l'unité de surveillance doit avantageusement être configuré par une unité fonctionnelle. Cela permet dans certaines situations, d'éviter la coupure de l'unité fonctionnelle par rapport au système de bus. De
même cela permet de brancher de nouveau une unité fonctionnelle éven-
tuellement déjà coupée dans une situation ou dans un état de fonction-
nement lorsqu'on est dans une autre situation ou un autre état de fonctionnement. De façon avantageuse, l'accès est configuré pour que l'unité fonctionnelle reliée à une zone de mémoire ou contenant celle-ci, inscrive dans cette zone de mémoire au moins une valeur de configuration ou l'efface de cette zone de mémoire et l'accès de l'unité de surveillance n'est
possible que lorsqu'une valeur de configuration est inscrite.
Comme autre développement avantageux, on peut prévoir
qu'indépendamment de valeurs de configuration différentes que l'on con-
trôle, dans des modes de fonctionnement différents ou des états de fonc-
tionnement, l'accès de l'unité de surveillance est possible ou est bloqué.
Avantageusement, on distingue différents modes de fonc-
tionnement dans un système qui comporte au moins l'unité fonctionnelle
ou l'unité de commande et l'unité de surveillance, l'accès de l'unité de sur-
veillance étant alors configuré selon les modes de fonctionnement.
De manière avantageuse, on distingue les modes de fonc-
tionnement suivants et l'accès est configuré selon au moins deux des mo-
des de fonctionnement: fonctionnement du système, veille du système,
lancement du système, programmation du système et simulation du sys-
tème ou application du système.
Selon un développement avantageux de l'objet de l'invention, l'unité de surveillance, une unité de liaison pour la connexion à un système de bus notamment sous forme de pilote de bus, et un moyen
de configuration notamment un moyen de mémoire ou une zone de mé-
moire ou un registre pour la configuration de l'accès de l'unité de sur-
veillance, sont intégrés comme unités intégrées en étant regroupés dans
l'espace ou sous la forme d'un circuit intégré.
Ainsi dans un cas de sécurité, avantageusement dans le
fonctionnement du système, on n'utilisera pas de valeurs CAN, potentiel-
lement fausses ou non souhaitées, ce qui crée des systèmes séparés, pro-
tégés en eux-mêmes dans la combinaison du réseau.
Il est de plus intéressant que par exemple pour le contrôle et la programmation de l'appareil de commande et le cas échéant en mode de veille ou autre mode de fonctionnement, le calculateur de fonctions ou l'unité de fonctions se dégage par une procédure appropriée. Pour cela, selon un mode de réalisation, on efface avantageusement par exemple la
valeur de configuration par un calculateur de fonctions, si bien que celui-
ci, malgré la mise en oeuvre du module de surveillance ou de l'unité de
surveillance, peut continuer d'envoyer d'autres messages CAN.
Dessins La présente invention sera décrite ci-après de manière plus détaillée à l'aide des dessins annexés, dans lesquels: - la figure 1 montre schématiquement un dispositif selon l'invention avec une unité de surveillance, une unité fonctionnelle, une unité de liaison et une zone de mémoire,
- la figure 2 montre un procédé selon l'invention sous la forme d'un ordi-
nogramme.
Description des exemples de réalisation
La figure 1 montre une unité fonctionnelle 101 par exemple une unité de commande des opérations dans un véhicule. Cette unité
fonctionnelle 101 est reliée par un système de ligne de données notam-
ment un système de bus à d'autres unités fonctionnelles notamment d'autres unités de commande, actionneurs et capteurs. D'autres unités
fonctionnelles sont reliées au système de bus 105 comme d'autres partici-
pants au bus mais ceux-ci ne sont pas représentés. La somme des autres
unités fonctionnelles et des lignes de données pourrait également être re-
groupée dans le système de bus 105.
La liaison avec le système de bus 105 est représentée schématiquement à la figure 1 sous la forme d'une liaison bidirectionnelle 108 et d'une unité de liaison 104. L'unité de liaison 104 représente par exemple une installation d'amplification de signal notamment un circuit
pilote de bus par exemple un pilote CAN pour le système de bus CAN.
L'unité fonctionnelle 101 ou le système de bus 105 et/ou le pilote de bus 104 se contrôlent par une unité de surveillance 102. Par exemple à l'aide de signaux du système de bus 105 de l'unité de liaison 104 ou de l'unité
fonctionnelle 101, cette unité de surveillance 102 reconnaît des fonction-
nements erronés ou autres causes créant un cas de sécurité.
Un tel cas de sécurité peut se produire en cas de défaut dans le système mais également par exemple en veille du système lors des réglages de paramètres, ou par exemple par des opérations d'initialisation
dans le lancement du système. Ces opérations d'initialisation dans le lan-
cement du système peuvent également être souhaitées par exemple pour une programmation, une simulation, une application ou un contrôle. Un cas de sécurité par exemple déclenché dans le lancement du système ne
doit pas avoir pour conséquence la coupure de la liaison de l'unité fonc-
tionnelle et du système de bus par l'accès du circuit de surveillance. De même certaines opérations pour la programmation du système, le contrôle du système ou la simulation du système ou l'application du système, et qui en fait dans un fonctionnement normal du système par exemple le fonctionnement d'un véhicule, devraient déclencher un cas de sécurité,
mais ne sont pas souhaitées dans ces modes de fonctionnement, ne doi-
vent pas produire d'intervention du module de surveillance. Dans le fonc-
tionnement du système lui-même, c'est-à-dire par exemple en mode de déplacement, l'émission de message par l'unité fonctionnelle dans un tel cas de sécurité est interdite par l'unité de surveillance ou le module de surveillance. Ainsi dans un cas de sécurité, dans le fonctionnement du système, on ne peut envoyer de valeurs CAN potentiellement fausses ou non souhaitées, ce qui crée des systèmes séparés, autoprotégés dans la
combinaison du réseau.
De plus, il est assuré que par exemple pour le contrôle de l'appareil de commande ou sa programmation ou le cas échéant en veille ou dans d'autres modes de fonctionnement, le calculateur de fonctions ou l'unité de fonctions sont libérés par une procédure appropriée. Dans un mode de réalisation, par exemple la valeur de configuration sera effacée par le calculateur de fonctions et celui-ci, malgré la mise en oeuvre du
module de surveillance, pourra continuer d'envoyer des messages CAN.
On peut également prévoir une seule unité de surveillance et chaque fois une unité de surveillance pour une ou plusieurs unités
fonctionnelles, mais alors le dispositif représenté à la figure 1, serait utili-
sé en principe pour chaque participant au bus ou pour chaque groupe de
tels participants au bus.
L'unité de surveillance 102 commande un premier élément d'accès 106 par lequel dans un cas de sécurité, on peut couper la liaison 108. Dans un autre mode de réalisation, l'accès de l'unité de surveillance peut également se faire directement par l'unité de liaison 104 et alors dans
l'unité de liaison 104, on lance directement l'interruption de l'unité fonc-
tionnelle 101 vers le système de bus 105, par exemple par un élément
d'accès dans l'unité de liaison 104.
A côté du premier élément d'accès 106, dans le chemin
d'accès 110 de l'unité de surveillance pour la liaison de l'unité fonction-
nelle 101 vers le système de bus 105, on a un second élément d'accès 107.
Ce second élément d'accès 107 traite le chemin d'accès 111 par un moyen de configuration 103. Le moyen de configuration 103 est lui-même sollicité
par le chemin 109 par l'unité fonctionnelle 101.
Selon un exemple de réalisation préférentiel, le moyen de configuration 103 est uniquement réalisé sous la forme d'un moyen de mémoire ou d'une zone de mémoire dans laquelle est inscrite au moins une valeur de configuration o dont on peut l'effacer. L'inscription ou l'effacement de la valeur de configuration dans le moyen de mémoire 103 est effectué par l'unité fonctionnelle 101 par l'intermédiaire du chemin 109. Suivant la valeur de configuration dans le moyen de mémoire 103, on
configure l'accès ou le chemin d'accès 110 de l'unité de surveillance 102.
Dans le cas le plus simple, la configuration est telle qu'une valeur de con-
figuration inscrite TDI (transmettre interdiction) interdit l'accès de l'unité
de surveillance 102 à la liaison entre l'unité fonctionnelle 101 et le sys-
tème de bus 105, c'est-à-dire le chemin de liaison 108 ou l'unité de liaison 104. Cela peut se faire d'une part en ce que l'unité de surveillance 102, avant chaque accès, examine la zone de mémoire ou le moyen de mémoire comme moyen de configuration 103 quant à la présence de la valeur de
configuration TDI et ce n'est qu'en l'absence de la valeur TDI que l'on ef-
fectue un accès ou qu'une valeur de configuration inscrite TDI entraîne dès le début le blocage à l'accès, c'est-à-dire du chemin d'accès 110 de
l'unité de surveillance 102. Le second élément d'accès 107 doit être com-
pris symboliquement dans ce sens. Cela peut être d'une part un véritable moyen de commutation pour ouvrir et fermer le chemin d'accès ou d'autre part il peut s'agir d'une fonction également dans le programme de l'unité de surveillance 102 ou dans le chemin d'accès 110 ou encore réalisée
dans le moyen de configuration 103.
La même remarque s'applique en principe également au
premier élément d'accès 106; pour des raisons de sécurité, il est intéres-
sant d'avoir une réalisation sous la forme d'un moyen de commutation pour avoir une coupure galvanique entre l'unité fonctionnelle 101 et le
système de bus 105 ou l'unité de liaison 104.
Selon un développement avantageux de l'objet de l'invention, l'unité de surveillance 102, l'unité de liaison 104 notamment un pilote de bus et/ou le moyen de configuration 103 notamment comme moyen de mémoire ou zone de mémoire ou registre, sont réunis sous la
forme d'un ensemble intégré 100 ou d'un circuit intégré.
Le calculateur de fonctions ou l'unité fonctionnelle 101 peuvent fixer et effacer la valeur de configuration TDI par une liaison de données 109 par exemple de type série. Un déroulement donné à titre d'exemple est le suivant notamment pour un véhicule: Lorsqu'on branche le système qui comporte au moins une
unité fonctionnelle 101 et une unité de surveillance 102, on efface la va-
leur de configuration TDI. L'unité fonctionnelle 101 peut envoyer sans condition posée par l'unité de surveillance 102, c'est-à-dire que l'accès à l'unité de surveillance est bloqué. Avant le fonctionnement notamment le mouvement dans le cas d'un véhicule, on fixe la valeur de configuration TDI. Ainsi pour le fonctionnement notamment pour le fonctionnement d'un véhicule, on garantit la sécurité dans la mesure o on peut interdire l'émission de messages par le système bus notamment de messages dans le bus CAN, dans un cas de sécurité, par l'unité de surveillance 102. Dans
le cadre d'un mode de fonctionnement particulier ou d'un état de fonc-
tionnement particulier, par exemple en veille du système ou dans le lancement d'une programmation de système, d'un contrôle de système ou
d'une simulation de système, on peut de nouveau effacer la valeur de con-
figuration TDI. Cela permet par exemple sans utiliser l'unité de sur-
veillance 102, de faire une nouvelle programmation ou un changement de
io programmation de l'appareil de commande notamment de l'unité fonc-
tionnelle 101 ou aussi d'une autre unité de commande couplée sur le bus
par l'unité fonctionnelle 101 par l'intermédiaire du système de bus 105.
La procédure d'enregistrement ou d'effacement de la valeur de configuration TDI peut en outre être protégée. Par exemple, il faut tout d'abord enregistrer d'autres zones de mémoire ou registres appropriés
et/ou lever une protection d'enregistrement notamment codée.
La présentation d'un tel procédé selon l'invention est don-
née dans le cadre de l'ordinogramme de la figure 2. Le bloc 200 concerne le démarrage en particulier la mise en route du système. Dans l'interrogation 201, on vérifie si le fonctionnement du système notamment
le fonctionnement d'un véhicule est prévu.
Cette vérification peut se faire avec des grandeurs de fonc-
tionnement (paramètres de fonctionnement) effectives telles que le régime du moteur, la vitesse ou d'autres paramètres. De plus, une vérification est possible à l'aide de valeurs spéciales ou de grandeurs de fonctionnement
du système, qui sont présentes ou qui prennent certaines valeurs particu-
lières pour certains états de fonctionnement comme le fonctionnement du
véhicule, et qui pour d'autres états de fonctionnement comme un fonc-
tionnement de programme, manquent ou prennent d'autres valeurs. Des parties entières de programme, qui doivent être chargées ou doivent être présentes pour certains états de fonctionnement, peuvent manquer pour d'autres états de fonctionnement, ce qui permet également de conclure à
priori également de manière spéciale sur le fonctionnement.
Si dans l'interrogation 201, on reconnaît qu'un fonctionne-
ment est prévu, on arrive sur le bloc 202; dans celui-ci, l'unité fonction-
nelle 201 met à l'état la valeur de configuration TDI dans le moyen de configuration 103 notamment dans le moyen de mémoire. Dans l'interrogation 203 suivante, on vérifie de nouveau si l'on est en présence d'un mode de fonctionnement. Si cela est le cas, on arrive à l'interrogation 204 par laquelle l'unité de surveillance contrôle le cas de sécurité. Si l'on n'est pas en présence d'un cas de sécurité, on passe au bloc 205 o l'on
exécute les fonctions et les programmes souhaités dans le cadre du fonc-
tionnement du véhicule. A partir du bloc 205, on revient à l'interrogation 203 et on contrôle si le fonctionnement existe ou s'il se poursuit. Dans la négative, on arrive à l'interrogation 207 à laquelle on arrive également par l'interrogation 201 si dans cette dernière on constate qu'il n'y a pas de
fonctionnement.
Dans la description de cet ordinogramme, on utilisera par
convention la lettre N pour désigner une réponse négative à une question
et la lettre Y pour désigner une réponse positive.
Dans l'interrogation 207, on vérifie si l'on est dans un autre état de fonctionnement. A la figure 2, on a choisi par exemple qu'un autre état de fonctionnement pour des raisons de clarté. On pourrait également vérifier d'autres états de fonctionnement ou cas de fonctionnement, les uns à la suite des autres, de manière analogue à ce qui a été présenté. Ces autres états de fonctionnement sont par exemple la veille du système ou le fonctionnement en veille, le lancement du système ou le fonctionnement de démarrage, la programmation du système, le contrôle du système ou la
simulation du système ou l'application du système.
En l'absence d'autres cas de fonctionnement dans l'interrogation 207, on arrive au bloc 215 dans lequel on efface la valeur
de configuration TDI par l'unité fonctionnelle ou le calculateur de fonc-
tions 101 et on arrive alors à la fin du procédé dans le bloc 216. Si l'on est en présence d'au moins un cas de fonctionnement, on arrive dans le bloc 212 et en option dans le bloc 208o. Dans le bloc 212, on efface la valeur
de configuration TDI par le calculateur de fonctions ou l'unité fonction-
nelle. Puis dans le bloc 213, on effectue l'autre cas de fonctionnement
pour lequel dans l'interrogation 207, on a vérifié les fonctions et program-
mes nécessaires.
Dans l'interrogation 214, on contrôle s'il y a un autre cas de
fonctionnement ou si celui-ci doit être exécuté. Si cela est le cas, on re-
vient au bloc 213 o d'autres fonctions et programmes de l'autre cas de fonctionnement ont été exécutés. Si cet autre cas de fonctionnement est
terminé, on arrive au bloc 216 correspondant à la fin du procédé.
Grâce à la valeur de configuration effacée TDI dans le bloc 212, on garantit en outre (213, 214) que l'unité de surveillance 102 ne
peut desservir le premier élément d'accès 106 par le chemin d'accès 110.
Cela garantit que par exemple pour la programmation/contrôle de l'appareil de commande ou en veille, c'est-à-dire dans l'un des autres mo- des de fonctionnement, on peut libérer par une procédure appropriée,
l'unité fonctionnelle ou le calculateur de fonctions. Pour cela, le calcula-
teur de fonctions 101 efface la valeur de configuration TDI et peut alors envoyer des messages par le bus, malgré l'unité de surveillance 102 qui
reste mise en oeuvre.
En cas de sécurité, par exemple par l'interrogation 204 lorsque la valeur de configuration TDI est enregistrée (bloc 202), l'unité de surveillance 102 coupe la liaison de l'unité fonctionnelle ou du calculateur
de fonctions 101 avec le système de bus 105 ou l'unité de liaisons 104.
Cela est effectué à la détection d'un cas de sécurité par l'interrogation 204 dans le bloc 206. Un autre mode de fonctionnement est alors néanmoins
possible en général et sera demandé de nouveau dans l'interrogation 203.
En option, on a introduit le bloc 2080. Ce bloc peut être prévu en plus pour augmenter la sécurité. Dans ce bloc, à partir de l'interrogation 207, pour le cas o on a un autre fonctionnement, on arrive à l'interrogation 209o. On vérifie alors si l'on est ou non en présence d'un cas de sécurité en procédant par l'interrogation 204. En l'absence de cas
de sécurité, on revient au bloc 212.
Mais si un cas de sécurité s'est produit, on demande dans
l'interrogation 210o si la valeur de configuration TDI doit être ou non en-
registrée. La raison en est qu'un cas de sécurité, reconnu, comme indiqué
ci-dessus n'a pas nécessairement la même signification en mode de fonc-
tionnement d'un véhicule que dans un mode différent d'un cas de marche du système ou du véhicule. Précisément dans les cas de fonctionnement
évoqués, les conditions ou des états qui aboutiraient dans le fonctionne-
ment du système, immédiatement à une coupure de la liaison, peuvent
être parfaitement souhaités.
Si l'on constate que certes l'unité de surveillance a détecté
un cas de sécurité, mais que la valeur de configuration TDI n'a pas été en-
registrée ou ne le doit pas à cause de l'autre mode de fonctionnement on souhaite la combinaison d'état, on arrive alors également dans le bloc 212
et on efface la valeur de configuration dans la mesure o celle-ci était en-
registrée. Si l'interrogation 210o constate que le cas de sécurité était par-
O10
faitement critique, par exemple à cause d'un défaut grave qui est égale-
ment délicat pour l'autre mode de fonctionnement, le bloc 21 lo enregistre
la valeur de configuration TDI ou dans la mesure o celle-ci est déjà enre-
gistrée, il ne l'efface pas; on passe ensuite au bloc 206 et on coupe de nouveau la liaison par l'unité de surveillance 102. On interdit ainsi l'émission de messages de bus notamment
de messages CAN, dans le cas de sécurité par l'unité de surveillance 102.
Cette interdiction est configurée par l'unité fonctionnelle ou le calculateur
de fonctions 101 en ce que celui-ci enregistre ou efface la valeur de confi-
guration TDI.
Selon un autre développement avantageux, on peut envisa-
ger une différentiation plus fine dans le cadre de la valeur de configura-
tion. Dans ce cas, l'enregistrement ou le non enregistrement de la valeur
de configuration n'est pas uniquement important mais la valeur de confi-
guration elle-même est importante. C'est ainsi que par exemple, on peut
distinguer selon les modes de fonctionnement avec des valeurs de configu-
ration différentes en différentiant selon le mode de fonctionnement, pour mettre l'unité fonctionnelle en mesure de configurer ou non l'accès de l'unité de surveillance. C'est ainsi qu'une valeur de configuration vaut par exemple exclusivement pour la programmation du système. L'effacement de cette valeur de configuration ne permet pas une vérification du système malgré le cas de sécurité et de plus il faudrait effacer une autre valeur de
configuration ou il faudrait que la valeur de configuration soit différente.
En utilisant un compteur d'erreurs, on peut par exemple envisager que celui-ci bloque de la valeur de configuration TDI I pour que celui-ci puisse atteindre sa valeur maximale qui ne représente pas le cas de sécurité. Une seconde valeur de configuration TDI2 court-circuite le compteur de défauts et n'autorise pas l'accès du module de surveillance malgré la valeur maximale atteinte depuis longtemps. Cela offre l'avantage qu'en effaçant TDI2, on accède directement à l'unité de surveillance alors que dans le premier cas, pour TDI1, il faut d'abord atteindre la valeur maximale du compteur après l'effacement de TDI1. Plusieurs valeurs de
configuration TDI 1, TDI", peuvent être utilisées suivant le mode de fonc-
tionnement ou en commun pour tous les modes de fonctionnement.
Ainsi, l'invention permet dans un cas de sécurité, d'éviter qu'aucune valeur de bus ou de CAN erronée potentielle ne soit émise. Il s'agit d'une propriété importante pour des systèmes séparés autoprotégés dans un réseau. En même temps, on peut également faire une correction il par exemple du défaut qui s'est produit, car par exemple une nouvelle
programmation reste ouverte malgré la mise en oeuvre de l'unité de sur-
veillance.

Claims (7)

REVEND I CATIONS
1 ) Procédé de commande des déroulements de fonctionnement notam-
ment d'un véhicule, selon lequel une unité fonctionnelle est reliée à un
système de bus, l'unité fonctionnelle et/ou le système de bus étant sur-
veillés par une unité de surveillance et l'unité de surveillance séparant par accès la liaison de l'unité fonctionnelle avec le système de bus dans un cas de sécurité, caractérisé en ce que
l'accès de l'unité de surveillance peut être configuré par l'unité fonction-
nelle. 2 ) Procédé selon la revendication 1, caractérisé en ce que l'accès est configuré de façon que l'unité fonctionnelle est reliée à un moyen de configuration, notamment une zone de mémoire, et enregistre dans ce moyen de configuration au moins une valeur de configuration ou l'efface du moyen de configuration, et l'accès à l'unité de surveillance n'est
possible que lorsqu'une valeur de configuration est enregistrée.
3 ) Procédé selon la revendication 1, caractérisé en ce que dans un système qui comporte au moins l'unité fonctionnelle et l'unité de surveillance, on peut distinguer entre différents modes de fonctionnement et on configure selon les modes de fonctionnement, l'accès de l'unité de
surveillance.
4 ) Procédé selon la revendication 3, caractérisé en ce qu' on configure l'accès selon au moins l'un des modes de fonctionnement suivants: fonctionnement du système, veille du système, lancement du système, programmation du système, contrôle du système, simulation du
système et/ou application du système.
) Procédé selon les revendications 1 et 3,
caractérisé en ce qu'
on utilise plusieurs valeurs de configuration et suivant le mode de fonc-
tionnement, on utilise une valeur de configuration propre et/ou par mode
de fonctionnement, on distingue différentes valeurs de configuration.
6 ) Dispositif de commande des déroulements de fonctionnement, notam-
ment d'un véhicule, comprenant une unité fonctionnelle, notamment une unité de commande qui comporte une liaison avec un système de bus, ainsi qu'une unité de surveillance qui surveille l'unité fonctionnelle et/ou le système de bus, l'unité de surveillance séparant la liaison entre l'unité de commande et le système de bus par un accès, dans un cas de sécurité, caractérisé en ce que le dispositif comporte d'autres moyens par lesquels l'unité fonctionnelle
configure l'accès de l'unité de surveillance.
7 ) Dispositif de commande des déroulements de fonctionnement, notam-
ment d'un véhicule relié à une unité fonctionnelle notamment une unité de commande, le dispositif ayant une liaison avec un système de bus, ce
dispositif comportant une unité de surveillance qui surveille l'unité fonc-
tionnelle et/ou le système de bus, tandis que l'unité de surveillance coupe la liaison de l'unité fonctionnelle avec le système de bus dans un cas de sécurité par un accès, caractérisé en ce que
le dispositif comporte en outre des moyens par lesquels l'unité fonction-
nelle configure l'accès de l'unité de surveillance.
8 ) Dispositif selon les revendications 6 et 7,
caractérisé en ce que les moyens comprennent comme moyens de configuration, une zone de
mémoire dans laquelle est enregistrée au moins une valeur de configura-
tion et l'accès est configuré selon la valeur de configuration.
9 ) Dispositif selon la revendication 8, caractérisé en ce que la liaison de l'unité fonctionnelle avec le système de bus est réalisée par une unité de liaison notamment un circuit pilote, et l'unité de surveillance et/ou les moyens notamment la zone de mémoire et/ou l'unité de liaison
sont intégrés dans une unité de circuit.
FR0108620A 2000-06-30 2001-06-29 Dispositif et procede de commande des deroulements de fonctionnement Expired - Fee Related FR2811779B1 (fr)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10030996A DE10030996B4 (de) 2000-06-30 2000-06-30 Vorrichtung und Verfahren zur Steuerung von Betriebsabläufen, insbesondere bei einem Fahrzeug

Publications (2)

Publication Number Publication Date
FR2811779A1 true FR2811779A1 (fr) 2002-01-18
FR2811779B1 FR2811779B1 (fr) 2005-03-04

Family

ID=7646785

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0108620A Expired - Fee Related FR2811779B1 (fr) 2000-06-30 2001-06-29 Dispositif et procede de commande des deroulements de fonctionnement

Country Status (4)

Country Link
US (1) US6650976B2 (fr)
JP (1) JP4880135B2 (fr)
DE (1) DE10030996B4 (fr)
FR (1) FR2811779B1 (fr)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10065118A1 (de) * 2000-12-28 2002-07-04 Bosch Gmbh Robert System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes
DE10236080A1 (de) * 2002-08-07 2004-02-19 Robert Bosch Gmbh Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug
US7467029B2 (en) * 2004-12-15 2008-12-16 General Motors Corporation Dual processor supervisory control system for a vehicle
US8831821B2 (en) 2010-12-17 2014-09-09 GM Global Technology Operations LLC Controller area network message transmission disable testing systems and methods
US9894050B1 (en) * 2014-08-11 2018-02-13 Google Llc Server based settings for client software with asymmetric signing

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19813964A1 (de) * 1998-03-28 1999-08-19 Telefunken Microelectron Bussystem mit einer Zentraleinheit eine Mehrzahl von Steuermodulen, insbesondere für Insassenschutzsysteme in Kraftfahrzeugen
WO1999050101A1 (fr) * 1998-03-28 1999-10-07 Robert Bosch Gmbh Procede permettant de faire fonctionner un systeme de retenue connecte par une ligne de bus en cas d'alimentation en courant defectueuse
EP0983905A2 (fr) * 1998-07-24 2000-03-08 Mannesmann VDO Aktiengesellschaft Circuit permettant de déconnecter un appareil électronique d'une ligne de données dans un véhicule à moteur
US6081044A (en) * 1996-03-08 2000-06-27 Siemens Aktiengesellschaft Method for tripping a restraint device in a vehicle

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4118558A1 (de) * 1991-06-06 1992-12-10 Bosch Gmbh Robert System zur steuerung einer brennkraftmaschine
JP3991384B2 (ja) * 1996-07-15 2007-10-17 株式会社デンソー 電子制御装置
US5957985A (en) * 1996-12-16 1999-09-28 Microsoft Corporation Fault-resilient automobile control system
JP3566517B2 (ja) * 1997-11-11 2004-09-15 三菱電機株式会社 車両用エンジンの駆動制御装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6081044A (en) * 1996-03-08 2000-06-27 Siemens Aktiengesellschaft Method for tripping a restraint device in a vehicle
DE19813964A1 (de) * 1998-03-28 1999-08-19 Telefunken Microelectron Bussystem mit einer Zentraleinheit eine Mehrzahl von Steuermodulen, insbesondere für Insassenschutzsysteme in Kraftfahrzeugen
WO1999050101A1 (fr) * 1998-03-28 1999-10-07 Robert Bosch Gmbh Procede permettant de faire fonctionner un systeme de retenue connecte par une ligne de bus en cas d'alimentation en courant defectueuse
EP0983905A2 (fr) * 1998-07-24 2000-03-08 Mannesmann VDO Aktiengesellschaft Circuit permettant de déconnecter un appareil électronique d'une ligne de données dans un véhicule à moteur

Also Published As

Publication number Publication date
FR2811779B1 (fr) 2005-03-04
DE10030996A1 (de) 2002-01-10
US20020080026A1 (en) 2002-06-27
JP2002108403A (ja) 2002-04-10
US6650976B2 (en) 2003-11-18
JP4880135B2 (ja) 2012-02-22
DE10030996B4 (de) 2010-07-22

Similar Documents

Publication Publication Date Title
WO1993024884A1 (fr) Systeme logiciel a objets repliques exploitant une messagerie dynamique, notamment pour installation de controle/commande a architecture redondante
EP1960243B1 (fr) Procede de controle du fonctionnement d'un vehicule base sur une strategie de diagnostic embarque definissant differents types de pannes
EP0724218B1 (fr) Dispositif calculateur à tolérance de fautes
US8035505B2 (en) Monitor control system
FR2472674A1 (fr) Installation pour commander des processus repetitifs dependants de parametres de fonctionnement pour des moteurs a combustion interne
FR2985580A1 (fr) Gestion en securite d'un vehicule
EP0977098B1 (fr) Système redondant de contrôle de procédé
FR2768839A1 (fr) Systeme d'affichage d'informations pour vehicule automobile
FR2811779A1 (fr) Dispositif et procede de commande des deroulements de fonctionnement
FR2845169A1 (fr) Procede et dispositif destines a ameliorer la fonctionnalite d'un dispositif de commande electronique, notamment a actionner un embrayage et/ou une boite de vitesses dans une cinematique de transmission d'un vehicule
WO2016055730A1 (fr) Systeme de reseau embarque de vehicule et procede de detection d'intrusion sur le reseau embarque
WO2020259956A1 (fr) Procédé de dialogue avec un calculateur sur bus embarqué de véhicule
WO2010091787A1 (fr) Procede de communication entre deux calculateurs electronique automobiles et dispositif associe
FR2826745A1 (fr) Procede et dispositif de surveillance du fonctionnement d'un systeme
FR2749697A1 (fr) Procede de mise en oeuvre d'un appareil de commande avec une memoire programmee par un dispositif de programmation
EP3513294B1 (fr) Dispositif de controle de la reinitialisation d'un calculateur embarque automobile
EP2215580A1 (fr) Procede de masquage de passage en fin de vie d'un dispositif electronique et dispositif comportant un module de controle correspondant
CN116009510A (zh) 车载控制系统异常处理方法、装置和车辆
EP1630761B1 (fr) Système et procédé d'appel automatique, moteur d'alerte et poste d'activation mis en oeuvre dans le système
CN113905226B (zh) 机顶盒播放故障修复方法、服务器、系统及存储介质
FR2906592A1 (fr) Procede et dispositif de gestion de defaillances d'une vanne asservie en position.
FR3099835A1 (fr) Procédé d’écriture dans une zone de données sécurisée d’un calculateur sur bus embarqué de véhicule.
FR2776103A1 (fr) Ensemble de securite notamment pour des equipements de protection electrosensible
WO2022084592A1 (fr) Gestion de la supervision d'un composant électronique d'un véhicule terrestre à moteur
FR3131785A1 (fr) Procédé de surveillance d’un système électronique

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 16

PLFP Fee payment

Year of fee payment: 17

PLFP Fee payment

Year of fee payment: 18

PLFP Fee payment

Year of fee payment: 19

ST Notification of lapse

Effective date: 20210206

点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载