WO1996013657A1

WO1996013657A1 - Verfahren und vorrichtung zur steuerung der antriebseinheit eines fahrzeugs

Info

Publication number: WO1996013657A1
Application number: PCT/DE1995/001376
Authority: WO
Inventors: Frank Bederna; Thomas Zeller
Original assignee: Robert Bosch Gmbh
Priority date: 1994-10-29
Filing date: 1995-10-07
Publication date: 1996-05-09
Also published as: DE59507752D1; BR9509451A; JPH10507805A; KR970707373A; US5880568A; AU685323B2; JP3957749B2; EP0788581A1; EP0788581B1; DE4438714A1; AU3603795A; KR100377502B1

Abstract

Es wird ein Verfahren und eine Vorrichtung zur Steuerung der Antriebsleistung eines Fahrzeugs vorgeschlagen, wobei zur Leistungssteuerung lediglich ein Rechenelement (Mikrocomputer) zur Durchführung von Steuerungsfunktionen und Überwachungsfunktionen vorgesehen ist. Im Mikrocomputer sind dabei wenigstens zwei voneinander unabhängige Ebenen festgelegt, wobei eine erste Ebene die Steuerfunktionen und eine zweite Ebene die Überwachungsfunktionen durchführt.

Description

Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs

Stand der Technik

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs.

Ein derartiges Steuerverf hren bzw. eine derartige Steuer¬ vorrichtung ist aus der DE-A 42 20 247 bekannt. Dort ist zur Steuerung der Antriebseinheit ein erster Mikroprozessor bzw. -Computer vorgesehen, welcher im bevorzugten Ausführungsbei- spiel Berechnungen zur Kraftstoffzumesεung, Zündzeitpunk - seinstellung und zur Steuerung der Luftzufuhr zur Brenn¬ kraftmaschine in Abhängigkeit des Fahrerwunsches durchführt. Da dieses Rechenelement vor allem durch die Berechnung der Luftzufuhr die Möglichkeit besitzt, die Leistung der Brenn¬ kraftmaschine zu erhöhen, ist zur Überwachung der korrekten Funktion dieses Rechenelements ein zweites Rechenelement vorgesehen. Dieses überwacht die Funktionsweise des ersten Rechenelements und schaltet im Fehlerfall die Leistungs- steuerung durch das erste Rechenelement ab oder leitet einen Notlaufbetrieb ein. Im bevorzugten Ausführungsbeispiel wird die Überwachung der Funktionsweise des ersten Rechenelements durch einen Vergleich des Fahrerwunsches mit der Stellung des die Luftzufuhr beeinflussenden Elements durchgeführt. Dieses bekannte System gewährleistet zwar einen sicheren Be¬ trieb einer Antriebseinheit mit hoher Verfügbarkeit, ist al¬ lerdings durch das zweite Rechenelement mit großen Aufwand und damit Kosten verbunden, so daß diese Lösung für andere Ausführungsbeispiele unbefriedigend sein kann.

Es ist daher Aufgabe der Erfindung, ein Verfahren und eine Vorrichtung zur Steuerung der Antriebseinheit eines Fahr¬ zeugs zu schaffen, welche bei hoher Verfügbarkeit und Be¬ triebssicherheit einen deutlich geringeren Aufwand benöti¬ gen.

Dies wird dadurch erreicht, daß lediglich ein Rechenelement (handelsüblicher Mikroprozessor bzw. -Computer) vorgesehen ist, welches sowohl die Funktionen bzw. Berechnungen zur Leistungssteuerung als auch deren Überwachung durchführt. Betriebssicherheit und Verfügbarkeit werden dabei dadurch gewährleistet, daß zur Durchführung dieser Aufgaben wenig¬ stens zwei, voneinander zumindest außerhalb des Fehlerfalls unabhängige Ebenen in dem einzigen Rechenelement vorgesehen sind, wobei in einer ersten Ebene die Funktionen zur Lei- stungssteuerung berechnet und in einer zweiten Ebene, ggf. in Zusammenarbeit mit einem Watch-Dog, diese Funktionen und somit die Funktionsfähigkeit des Rechenelements selbst über¬ wacht wird.

Aus der DE-A 41 14 999 ist ein Steuersystem für ein Fahrzeug mit einem Mikrorechner und einem Überwachungsmodul, welches vorzugsweise als Gate-Array ausgeführt ist, bekannt, welches eine Ablaufkontrolle des Mikrorechners durchführt. Dazu ver¬ arbeiten beide im Rahmen eines Frage-Antwort-Spiels Signal- werte, wobei das Überwachungsmodul durch Vergleich der Er¬ gebnisse dieser Verarbeitung auf das korrekte oder fehler¬ hafte Arbeiten des Mikrorechners schließt. Durch diese Ab¬ laufkontrolle mittels einer einfach aufgebauten Überwa- chungseinrichtung läßt sich der Aufwand für ein solches Steuersystem zwar erheblich reduzieren, eine vollständige Überwachung der vom Mikrorechner berechneten Funktionen kann dadurch jedoch nicht erfolgen.

Vorteile der Erfindung

Die erfindungsgemäße Vorgehensweise führt zu einer Steuer¬ einheit zur Steuerung der Antriebseinheit eines Fahrzeugs, welche einen wesentlich geringeren Aufwand erfordert und so¬ mit kostengünstiger ist. Dabei wird insbesondere die Anzahl der Bauelemente eingeschränkt, so daß eine geringere Aus¬ fallwahrscheinlichkeit und auch eine geringere Fehleranfäl¬ ligkeit des Systems erreicht wird.

Besonders vorteilhaft ist, daß durch die Bereitstellung we¬ nigstens zweier Ebenen, einer Funktions- und einer Überwa¬ chungsebene, zwei sich zumindest außerhalb des Fehlerfalls gegenseitig in ihrer Funktion nicht beeinflussende Kanäle innerhalb des Rechenelements geschaffen werden und so eine mit einem Steuersystem mit zwei Recheneinheiten vergleich¬ bare Betriebssicherheit und Verfügbarkeit erreicht wird.

Dabei ist von besonderer Bedeutung, daß das aus nur einem Rechenelement bestehende Steuersystem leichter an verschie¬ dene Randbedingungen angepaßt werden kann, da die einzelne (Programm-)Module getrennt voneinander behandelt werden kön¬ nen.

Besondere Vorteile ergeben sich durch eine dritte Ebene, die eine Ablaufkontrolle der zweiten Ebene durchführt. Diese Überwachung erhöht Betriebssicherheit und Verfügbarkeit er¬ heblich. Dabei ist es von Vorteil, einen aktiven atch-Dog zu verwenden, der die Ablaufkontrolle als Frage-Antwort- Spiel durchführt. Weitere Vorteile ergeben sich im Rahmen der folgenden Be¬ schreibung von Ausführungsbeispielen bzw. aus den abhängigen Patentansprüchen.

Zeichnung

Die Erfindung wird nachstehend anhand der in der Zeichnung dargestellten Ausführungsformen näher erläutert. Dabei zeigt Figur l ein Übersichtsblockschaltbild des erfindungsgemäßen Steuersytems, während in Figur 2 eine detailliertere Dar¬ stellung in Form eines Blockschaltbildes dargestellt ist. Figur 3 schließlich zeigt eine bevorzugte Ausführung der er¬ findungsgemäßen Vorgehensweise.

Beschreibung von Ausführungsbeispielen

In Figur 1 ist ein Übersichtsblockschaltbild eines Steuer¬ sytems für die Leistung einer Brennkraftmaschine eines Fahr¬ zeugs dargestellt. Dabei ist mit 10 ein handelsübliches Re¬ chenelement, beispielsweise ein Mikrocomputer, dargestellt. Der Mikrocomputer 10 ist dabei in drei Ebenen organisiert. Eine erste Ebene 12 führt die Berechnungen zur Durchführung der Leistungsteuerung durch, während eine zweite Ebene 14 diese Funk ionsebene 12 überwacht. Eine dritte Ebene 16 schließlich bildet eine Kontrollebene, welche die Überwa¬ chungsebene 14 und damit den Mikrocomputer 10 selbst auf der Basis einer Ablaufkontrolle kontrolliert. Als Ausgangslei¬ tungen weist der Mikrocomputer 10 eine Ausgangsleitung 18 zur Steuerung des Zündzeitpunkts, eine Ausgangsleitung 20 zur Steuerung der Kraftstoffzumessung und eine Ausgangslei¬ tung 22 zur Steuerung der Luftzufuhr, vorzugsweise über eine elektrisch betätigbare Drosselklappe, auf. Die Ausgangslei¬ tungen 18 bis 22 gehen dabei von der Funktionsebene 12 aus und werden von dieser angesteuert. Als Eingangsleitung ist eine Leitung 24 von einer Fahrerwunschmeßeinrichtung 26, vorzugsweise einem Stellungserfassungsorgan für die Stellung eines vom Fahrer betätigbaren Bedienelements, z.B. eines Fahrpedals, vorgesehen, die der Funktionsebene 12 und der Überwachungsebene 14 zugeführt ist. Eine weitere Eingangs¬ leitung bildet die Leitung 28, welche die Funktions- und die Überwachungsebene des Mikrocomputers 10 mit den Meßeinrich¬ tungen 30 bis 32 verbindet. Diese erfassen Betriebsgrößen der Brennkraftmaschine und/oder des Kraftfahrzeugs. In einem bevorzugten Ausführungsbeispiel stellt die Eingangsleitung 28 ein Bussystem, z.B. CAN, dar. Eine weitere Eingangslei¬ tung ist die Leitung 34, welche auf die Funktions- und die Überwachungsebene geführt ist und welche den Mikrocomputer mit einer Meßeinrichtung 36 zur Erfassung der Luftzufuhr, vorzugsweise der Stellung der elektrisch betätigbaren Dros¬ selklappe, verbindet. Ferner ist ein Watch-Dog 38 vorgese¬ hen, welcher über die Leitungen 40 und 42 mit dem Mikrocom¬ puter 10, dort mit der Kontrollebene 16, kommuniziert. Eine Ausgangsleitung 44 des Watch-Dogs führt auf den Rücksetzein¬ gang 45 des Mikrocomputers 10 und beispielsweise auf die Endstufen für die Luftzufuhreinstellung bzw. die Kraftstoff- zumessung zum Stillsetzen der Antriebseinheit im Fehlerfall.

In der Funktionsebene wird im bevorzugten Ausführungsbei- spiel wie bekannt wenigstens auf der Basis von Motordrehzahl und Motorlast, deren Meßwerte über das Bussystem 28 zuge¬ führt werden, aus vorbestimmten und gespeicherten Kennfel¬ dern die zuzumessende Kraftstoffmenge und der einzustellende Zündzeitpunkt bestimmt und ausgegeben. Ferner wird auf der Basis des über die Leitung 24 zugeführten Fahrerwunsches ein Sollwert für die Luftzufuhr, im bevorzugten Ausführungsbei- spiel für die Stellung der Drosselklappe der Brennkraftma¬ schine, bestimmt. Dieser Sollwert wird unter Vergleich mit dem von der Meßeinrichtung 36 und über die Leitung 34 zuge¬ führten Istwert, vorzugsweise der Iststellung der Drossel- klappe, im Rahmen eines Regelkreises von einem digitalen Regler, im Falle der Regelung der Drosselklappenstellung ein Lageregler, eingeregelt. Die Funktionsebene 12 übernimmt da¬ bei wie aus dem Stand der Technik bekannt die Steuerung der Leistung der Brennkraftmaschine abhängig von dem durch die Stellung des Bedienelements vom Fahrer vorgegebenen Fahrer¬ wunsch.

Im bevorzugten Ausführungsbeispiel eines Systems mit elek¬ trischer Beeinflussung der Luftzufuhr können Fehlerzustände direkt durch Vergleich der Ausgangsgröße des Systems (Luftzufuhr, Drosselklappenwinkel) mit der Eingangsgröße (Fahrerwunsch) erkannt werden. Die Luftzufuhr bzw. der Dros¬ selklappenwinkel darf in Betriebszuständen, in denen aus¬ schließlich der Fahrerwusch die Leistung der Brennkraftma¬ schine steuert, nicht größer sein als die Fahrervorgabe. Diese für sich bekannte Überwachungsmaßnahme findet in der zweiten Ebene, der Überwachungsebene statt. Dazu werden die¬ ser der Fahrerwunsch über die Leitung 24 und die Ausgangs¬ größe über die Leitung 34 zugeführt. Wird ein Fehlerzustand erkannt, führt dies in der Funktionsebene zu einem Notlauf- betrieb und/oder über die dritte Ebene und den Watch-Dog zur Leistungsbegrenzung. Die Kontrollebene umfaßt Maßnahmen zum Testen der Speicherelemente sowie eine Ablaufkontrolle, wel¬ che im Zusammenspiel mit dem Watch-Dog die korrekte Durch¬ führung der Sof warefunktionen der zweiten Ebene überprüft und im Fehlerfall ggf. den Rechner zurücksetzt, die Lei¬ stungssteuerung unterbricht und/oder die Leistung der Brenn¬ kraftmaschine begrenzt.

Neben der dargestellten Ausführung findet in vorteilhaf er Weise die Erfindung überall dort Anwendung, wo durch Ver¬ gleich der Ein- und Ausgangsgröße des Steuersystems Fehler¬ zustände abgeleitet werden können. Figur 2 zeigt eine detailliertere Darstellung der drei Ebe¬ nen des Mikrocomputers im Rahmen des bevorzugten Ausfüh- rungsbeispiels der elektrischen Steuerung einer Drossel¬ klappe einer Brennkraftmaschine. Dabei sind die bereits an¬ hand von Figur 1 bezeichneten und beschriebenen Elemente im folgenden nicht mehr näher erläutert.

In der ersten Ebene, der Funktionsebene 12, umfaßt ein Funk¬ tionsblock 100 die Funktionen, welche Kraftstoffzumessung und Zündzeitpunktseinstellung bestimmen. In einem Funktions- block 102 werden die über die Leitungen 24 und 28 zugeführ¬ ten Signale eingelesen und ausgewertet. So wird der über die Leitung 24 zugeführte Stellungswert des Fahrpedals, Signale zur Fahrgeschwindigkeitsregelung (Signale vom Bedienelement, Bremsschalter, etc) und Eingriffe anderer Funktionen, wie eine Antriebsschlupfregelung (ASR) , eine Motorschleppmomen¬ tregelung (MSR) , die Getriebesteuerung, etc., die über das Bussystem 28 Vorgabewerte für Drosselklappeneinεtellung zu¬ führen, eingelesen und ausgewertet. Ferner werden auch Meß¬ größen wie Motordrehzahl, Motortemperatur, etc. eingelesen. Die ausgewerteten Signale werden über die Leitungen 103, 104 und 105 an den Block 106 übertragen, in welchem aus den zu¬ geführten Signalen der Sollstellungswert für die Drossel¬ klappe berechnet wird. Dieser wird über die Ausgangsleitung 108 zum digitalen Lageregler 110 geführt. Im digitalen Lage¬ regler 110 wird der Sollwert mit der über die Leitung 34 zu¬ geführten Iststellung der Drosselklappe verglichen und ein Ansteuersignal für den elektrischen Motor, welcher die Dros¬ selklappe betätigt, gebildet. Dieses wird über die Leitung 112 und die Endstufenschaltung 114 zum Drosselklappen- Stellelement 116 geführt. Dieses besteht aus einem Stellmo¬ tor 118, welcher die nicht dargestellte Drosselklappe betä¬ tigt, und wenigstens einem Stellungsgeber 36 für Drossel¬ klappe. Entsprechend ist in der zweiten Ebene, der Überwa¬ chungsebene 14, ein Block 120 vorgesehen, in welchem der Fahrerwunsch, die Eingrifffe vom Fahrgeschwindigkeitsregler oder von den sonstigen Funktionen überprüft werden. Es wird festgestellt, ob das Fahrpedal losgelassen ist (durch Schwellenvergleich) , das heißt ob der Fahrer Leerlauflei- stung wünscht, ob der Fahrgeschwindigkeitsregler und/oder die sonstigen Eingriffe aktiv sind oder nicht. Diese Signale werden über die Leitungen 121, 123 bzw. 125 dem Block 122 übermittelt, in welchem der Fahrerwunsch mit der über die Leitung 34 zugeführte Drosselklappenstellung verglichen und auf Übereinstimmung geprüft wird. Alternativ kann zur Über¬ wachung anstelle der Drosselklappestellung, wie strichliert angedeutet (Pfeil 124) , ein Motorlastsignal für den Ver¬ gleich mit dem Fahrerwunsch herangezogen werden. Parallel zum Block 122 ist ein Block 126 vorgesehen, in welchem eine Überwachung der Lage der Drosselklappe vorgenommen wird, in dem der Drosselklappensollwert mit dem Drosselklappenistwert verglichen wird. Bleibt eine Abweichung bestehen, so ist von einer Fehlfunktion des Reglerbausteins 110 oder des Stelle¬ lements 116 auszugehen. Die einzelnen Funktionselemente der zweiten Ebene sind mit der Kontrollebene 16 verbunden. Dort ist ein Überwachungsblock 128 dargestellt, welcher die Ele¬ mente RAM-Test 130, ROM-Test 132 sowie Ablaufkontrolle 134 umfaßt. Durch diese Elemente wird, wie nachfolgend beschrie¬ ben, in Zusammenarbeit mit dem aktiven Watch-Dog 38 die kor¬ rekte Ausführung der Programmteile der zweiten Ebene über¬ prüft. Wird hier ein Fehler festgestellt, setzt der Watch-Dog 38 über die Leitung 44 das Rechenelement 10 zurück und/oder schaltet die Endstufe 114 ab.

In einem bevorzugten Ausführungsbeispiel wird zur Überwa¬ chung des Fahrerwunsches dieser mittels zwei voneinander un¬ abhängigen Meßeinrichtungen erfaßt. Dabei wird eine Meßein¬ richtung als Sicherheitsmeßeinrichtung definiert und zur Überwachung des Fahrerwunsches im Block 120 mit einem vorge¬ gebenen Schwellwert verglichen. Unterschreitet der Fahrer- wunschwert den Schwellwert, so wird von einem Leerlaufwünsch des Fahrers ausgegangen. Zur Überwachung des Fahrgeschwin¬ digkeitsreglers ist wie im eingangs genannten Stand der Technik vorgesehen, daß bei Bremsbetätigung, bei Unter¬ schreiten einer minimalen Geschwindigkeitsbegrenzung oder bei Betätigen des Aus-Schalters der Fahrgeschwindigkeitsreg¬ ler deaktiviert wird bzw. bei Betätigen eines Ein-Schalters der Fahrgeschwindigkeitsregler aktiviert wird. Dies wird dem Block 122 mitgeteilt, da in diesem Betriebszustand die im Block 122 vorgenommene Überwachung nicht durchgeführt werden kann bzw. in modifizierter Form durchgeführt wird. Entspre¬ chend wird im Block 120 die ASR/MSR-Funktion anhand von ent¬ sprechenden Informationen festgestellt, ob diese Funktionen aktiv oder inaktiv sind. Eine entsprechende Mitteilung geht an den Block 122, da auch in diesem Fall die Überwachung nicht durchgeführt werden kann bzw. in modifizierter Form durchgeführt wird.

Zur Sicherstellung der korrekten Funktionsweise des Mikro¬ computers 10 wird durch die dritte Ebene 16, die Kontroll- ebene, die korrekte Abarbeitung der in der zweiten Ebene 14 und ggf ergänzend in der dritten Ebene vorgesehenen Pro¬ grammteile durch eine Ablaufkontrolle 134 überwacht. Dazu ist ein Watch-Dog 38 vorgesehen, der mittels des in der Ebene 16 des Mikrocomputers 10 vorgesehenen Programmteils 128 über die Leitungen 40 bzw. 42 kommuniziert. Die Ebene 16 umfaßt dabei Programmteile wie ein Testprogramm für den Schreib-/Lesespeicher 130, in dem in einem bevorzugten Aus- führungsbeispiel vorbestimmte Speicher- und Leseaktionen durchgeführt werden und die korrekte Durchführung dieser Ak¬ tionen überprüft wird, ein Testprogramm 132 für den Le¬ se-Speicher, wobei in einem bevorzugtem Ausführungsbeispiel vorgegebene Leseoperationen durchgeführt und überprüft wer¬ den, sowie die nachfolgend beschriebene Ablaufkontrolle 134. Zur Ablaufkontrolle sendet der Watch-Dog 38 über die Leitung 40 an den Mikrocomputer eine durch einen Zufallsgenerator ermittelte Frage, die im bevorzugten Ausführungsbeispiel aus einer Impulsfolge mit von dem Zufallsgenerator ausgewählten Impulslängen besteht. Das Ablaufkontrollprogramm 134 wertet diese Frage, das heißt dieses Impulssignal, aus und bestimmt die Programmteile bzw. die Programme, welche zur Beantwor¬ tung der vom Watch-Dog 38 gestellten Frage herangezogen wer¬ den. Dabei ist in einem bevorzugten Ausführungsbeispiel vor¬ gesehen, daß alle Programmmodule (120, 122, 126, 130 und 132) bzw. Teile davon zur Überwachung herangezogen werden. Bei Aufruf bzw. Eintritt in die ausgewählten Programmmodule bzw. -teile wird ein erster Zähler der Abiaufkontrolle um einen vorgegebenen Betrag inkrementiert bzw. dekrementiert, beim Verlassen dieser ausgewählten Programmteile wird ein zweiter Zähler mit einem unterschiedlichen Betrag inkremen¬ tiert bzw. dekrementiert. Sind alle von der Ablaufkontrolle ausgewählten Programmmodule bzw. -teile abgearbeitet, ergibt sich ein Zählerstand des ersten und ein Zählerstand des zweiten Zählers, welcher von der Ablaufkontrolle 134 in ein Impulssignal umgesetzt wird, dessen Impulslängen diesen Zäh¬ lerständen entsprechen. Dieses Impulssignal wird über die Leitung 42 an den Watch-Dog 38 gesendet, der diese Antwort des Mikrocomputers 10 mit seiner über die Leitung 40 ge¬ stellten Frage vergleicht. Erkennt der Watch-Dog 38 Abwei¬ chungen, geht er von einem Fehlerzustand des Mikrocomputers 10 aus und setzt diesen über die Leitung 44 zurück und schaltet ggf. die Endstufe 114 ab bzw. begrenzt die Leistung der Brennkraftmaschine. In einem bevorzugten Ausführungsbei- spiel wird der erste Zähler immer um 1, der zweite Zähler immer um 2 inkrementiert.

Dabei sind zur Ablaufkontrolle eine nahezu beliebige Anzahl von Fragen/Antwort-Paaren denkbar. In einem bevorzugten Aus- führungsbeispiel läßt sich der Aufwand im Watch-Dog 38 auf ein Minimum begrenzen, wenn lediglich zwei Fragen/Antwort- Paare vorgesehen sind. Es hat sich gezeigt, daß die Begren¬ zung auf zwei Paare keine Einbußen hinsichtlich der Be¬ triebssicherheit des Systems mit sich bringt.

Fig. 2 zeigt ein bevorzugtes Ausführungsbeispiel der Erfin¬ dung. Selbstverständlich läßt sich die Erfindung auch dann vorteilhaft einsetzen, wenn die Leistung auf elektrischem Wege lediglich durch einen Fahrgeschwindigkeitsregler (FGR) , eine Kombination aus FGR und ASR und/oder MSR, mit oder ohne Getriebeeingriff gesteuert wird, oder wenn die fahrer- wunschabhängige Einstellung der Drosselklappe mit einer oder mehrere dieser Funktionen kombiniert ist.

Ein bevorzugtes Ausführungsbeispiel der ersten und zweiten Ebene ist am Beispiel einer fahrerwunschabhängigen Steuerung der Drosselklappe einer Brennkraftmaschine in Figur 3 darge¬ stellt. Dabei wurden die bereits in Figur 1 und 2 bezeichne¬ ten Elemente mit den gleichen Bezugszeichen versehen. Sie werden im folgenden nicht näher beschrieben. Im bevorzugten Ausführungsbeispiel sind zur Erfassung des Fahrerwunsches in der Meßeinrichtung 26 zwei Sensoren 200 und 202, vorzugs¬ weise Potentiometer oder berührungslose Stellungsgeber, vor¬ gesehen, deren Signalleitungen 204 bzw. 206 zum Mikrocompu¬ ter 10 geführt sind. Dabei führt die Leitung 204 des Sensors 200 zur Funktionsebene 12, dort zu einem Ana- log-/Digital-Wandler (ADC, 208) . Die Signalleitung 206 des zweiten Sensors 202 führt einerseits auf diesen Wandler 208, andererseits zu einem Port-Eingang 210 des Mikrocomputers 10, welcher der zweiten Ebene 14 zugeordnet ist. Ferner wer¬ den Meßsignale über das Kommunikationssystem 28 dem Mikro¬ computer 10 zugeführt. Das Kommunikationssystem 28 ist dabei sowohl an den Wandler 208 als auch an die Port-Eingänge 210 angeschlossen. Der Wandler 208 der Funktionsebene 12 ist über eine Leitung 212, welche Teil des internen Bussystems des Mikrocomputers 10 ist, mit einem Teil 214 des Speicher- bausteins des Mikrocomputers 10 verbunden. Aus den im Spei¬ cherteil 214 symbolhaft eingezeichneten Speicherzellen 216, 217, 218 und weiteren liest das Programmodul 220 die vom Wandler 208 bzw. einer nicht dargestellten Software gespei¬ cherten Werte aus. Dies ist symbolhaft durch die Leitungen 222 und 224 skizziert. Die Ergebnisse der Berechnungen spei¬ chert das Programmodul 220 in einem weiteren Teil 226 des Speicherbausteins. Diese Funktion ist in Figur 3 durch die Leitung 228 und die Speicherzelle 230 symbolisiert. Ein wei¬ teres Programmodul 232 der Funktionsebene 12 arbeitet auf der Basis der vom Programmodul 220 berechneten und gespei¬ cherten Werten. Dies ist durch die die Speicherzelle 230 und das Programmodul 232 verbindende Leitung 234 symbolisiert. Der vom Programmodul 232 berechnete Wert wird über die Lei¬ tung 22 vom Mikrocomputer 10 ausgegeben. Dem Mikrocomputer 10 ist ferner die Leitung 34, auf der ein die Stellung der Drosselklappe repräsentierender Meßwert zugeführt ist, zuge¬ führt . Diese Leitung ist auf einen weiteren Ana- log-/Digital-Wandler 234 (oder vorzugsweise auf der. Wandler 208) geführt, dessen Ausgangsleitung 236 ggf über t:r.τr. w- . - teren Teil des Speichers zum Programmodul 232 σefür.r*. : :

Der Überwachungsebene 14 sind die Port-Emgänα* :: c- . v.- krocomputers 10 zugeordnet. Diesen Port-Eingänge:. 21- .r:: das Kommunikationssystem 28 sowie die Leitung 206 von-. Sensor 202 zugeführt. Diese Werte werden im Speicherteil 214 ge¬ speichert, was in Figur 3 symbolhaft durch die Leitung 238 und das Speicherelement 240 dargestellt ist. Ein Programmo¬ dul 232 liest die über die Port-Eingänge 210 eingelesenen und im Speicherteil 214 der Überwachungsebene 14 gespeicher¬ ten Werte aus. Dies wird durch die Leitung 244 dargestellt. Ferner kann in einem bevorzugten Ausführungsbeispiel das Programmodul 214 eingelesene und gespeicherte Werte der Funktionsebene 12 auswerten. Dies ist durch die strichlierte Verbindungslinie 246 dargestellt. Die Berechnungsergebnisse des Programmoduls 242 werden im Speicherteil 226 in dem der Überwachungsebene 14 zugeordnetem Bereich gespeicher . Dies ist symbolisiert durch die Leitung 248 und das Speicherele¬ ment 250. Ein weiteres Programmodul 252 wertet die im Spei¬ cher gespeicherten Berechnungsergebnisse aus. Dies ist durch die Leitung 254 symbolisiert. Dem Programmodul 252 wird fer¬ ner die Leitung 236, die auch Teil des internen Bus-Systems des Mikrocomputers 10 ist, (ggf. über einen der Ebene 14 zu¬ geordneten Speicherteil) zugeführt. Ausgangsleitung des Pro¬ grammoduls 252 ist die strichlierte Leitung 256, die je nach Ausführung auf das Programmodul 220, das Programmodul 232 oder an nicht dargestellte Programmteile zur Berechnung von Zündwinkel oder Kraftstoffzumessung einwirkt. Ferner ist in Figur 3 die Ebene 16 skizziert, deren bevorzugte Ausgestal¬ tung oben beschrieben wurde.

Dabei wurden in Figur 3 nur die wesentlichsten Elemente der bevorzugten Ausführungsform dargestellt. Auf Programmodule, welche technisch zur Verarbeitung und Speicherung der Meß¬ werte notwendig sind, wurde aus Übersichtlichkeitsgründen verzichtet. In Figur 3 sind lediglich die für die Funktion und Überwachung der elektrischen Steuerung der Drosselklappe notwendigen Elemente dargestellt.

Die Meßeinrichtung 26 bzw. die Sensoren 200 und 202 erfassen die Stellung eines vom Fahrer betätigbaren Bedienelements, im bevorzugten Ausführungsbeispiel des Fahrpedals. Die Meß¬ werte werden dem Mikrocomputers 10 zugeführt. Dabei wird in der Funktionsebene 12 die Meßsignale beider Sensoren dem Wandler 208 zugeführt. Dieser wandelt die analogen Spannun¬ gen in digitale Werte, die in Speicherzellen des Speichers des Mikrocomputers 10 abgelegt werden. Dabei ist wie in Fi¬ gur 3 symbolhaft dem digitalen Meßsignal des Sensors 200 die Speicherzelle 216, den Meßwert des Sensors 202 die Speicher¬ zelle 217 zugeordnet. In entsprechender Weise werden vom Analog-/Digital-Wandler 208 die über die Kommunikationslei¬ tung 28 zugeführten Meßwerte gewandelt und im Speicherbau¬ stein abgespeichert. Die gespeicherten Meßwerte ließt bei Aufruf das Programmodul 220 ein. In diesem Programmodul wird in bekannter Weise der Drosselklappenstellungssollwert ge¬ bildet. Dazu wird auf der Basis der beiden eingelesenen Meß¬ werte ein Vergleich dieser Meßwerte durchgeführt, um so Ab¬ weichungen zwischen den Meßwerten der beiden Sensoren fest¬ zustellen. Wurde keine Abweichung erkannt, wird auf der Ba¬ sis des Meßwertes des Sensors 200, auf der Basis eines Mit¬ telwertes und/oder auf der Basis des kleinsten Meßwertes aus einer Kennlinie der Drosselklappenstellungssollwert ausgele¬ sen. Dabei können andere Betriebsgrößen, wie Motordrehzahl, Gangstellung, etc., die über die Leitung 28 zugeführt wur¬ den, berücksichtigt werden. Das Berechnungsergebnis, der Drosselklappensollwert, wird gespeichert (Zelle 230) . Neben der Berechnung des Drosselklappensollwerts findet im Pro¬ grammodul 220 die Auswertung von weiteren Fahrervorgaben, wie beispielsweise das Signal eines Bedienhebels eines Fahr¬ geschwindigkeitsreglers oder Eingriffe von anderen Steuerge¬ räten auf die Drosselklappensteuerung, wie beispielsweise einer Antriebsschlupfregelung, einer Motorschleppmomentenre- gelung oder einer Getriebesteuerung während des Schaltvor¬ gangs statt. Ferner wird hier im Notlauf eine Begrenzung des Sollwertes durchgeführt. Durch Minimalwertauswahl wird der Drosselklappensollwert bestimmt. Dieser wird vom Programmo¬ dul 232, welches einen digitalen Lageregler für die Drossel¬ klappe darstellt, ausgelesen, mit dem über die Leitung 236 zugeführten Drosselklappenstellungsistwert in Beziehung ge¬ setzt und mittels einer vorgegebenen Regelstrategie, bei¬ spielsweise PID, in ein Ansteuersignal für die Drosselklappe umgerechnet. Dieses wird über die Leitung 22 ausgegeben und die Drosselklappe im Sinne einer Übereinstimmung zwischen Soll- und Istwert eingestellt. Werden Abweichungen in den Sensorsignalen der Fahrpedalstel¬ lung erkannt, wird von einem Fehlerfall ausgegenagen und dier Sollwert begrenzt.

In der Überwachungsebene wird das Meßsignal des Sensors 202 den Port-Eingängen 210 des Mikrocomputers zugeführt. Dabei wird aus dem Meßsignal des Sensors 202 beispielsweise durch einen Komparator ein Schaltsignal abgeleitet, welches im Be¬ reich des losgelassenen Fahrpedals seinen Spannungspegel wechselt. Dieses eingelesene Signal wird gespeichert und vom Programmteil 242 ausgewertet. Entsprechend werden zweiwerti¬ ge Informationen bezüglich des Status der zusätzlichen Ein¬ griffe auf die Drosselklappe und/oder bezüglich des Fahrge- schwindigkeitsreglerε über die Eingänge 210 eingelesen und gespeichert. Auch diese werden vom Programmteil 242 ausge¬ wertet. In einem bevorzugten Ausführungsbeispiel wird ferner ein Meßwert aus der Funktionsebene für die Fahrpedalstellung eingelesen. Dieser Meßwert kann beispielsweise der aus de~. Meßsignal des Sensors 202 bestimmte sein. Ein Vergleich zwi¬ schen den beiden ermittelten Meßwerten kann Fe lerz r r.-^ erkennen oder im Falle, daß das Meßwertsignal αeε Ser.εrrr 200 ausgewertet wird im Fehlerfall des Sensors 2T2 c «=- Ver¬ fügbarkeit des Systems sicherstellen. Durch Ver~i r:. » : eingelesenen Informationen bildet der Programm e 1 2-^ einer. Vergleichswert für die Fahrpedalstellung, der gespeichert wird. Dieser Vergleichswert, welcher ein Maß dafür gibt, ob der Fahrer einen Leerlaufwünsch vorgibt, wird vom Programm¬ teil 252 mit der Information über die Stellung der Drossel¬ klappe in Beziehung gesetzt. Bei Leerlaufw nsch darf dabei die Drosselklappe nicht über einen vorbestimmten Grenzwert geöffnet sein. Ist dies der Fall, wird ein Fehler erkannt und über die Leitung 256 der Sollwert für die Drosselklap¬ penstellung begrenzt, die Endstufe für die Drosselklappen¬ stellung abgeschaltet und/oder die Kraftstoffzumessung zu- mindest teilweise unterbrochen, etc. Sind fahrerwuschunab- hängige Funktionen aktiv, wird die Überwachung ausgesetzt.

Zusammenfassend ist festzustellen, daß bei der erfindungsge¬ mäßen Vorgehensweise sowohl die Berechnung der Steuerfunk¬ tionen als auch deren Überwachung in nur einem einzigen Mi¬ krocomputer durchgeführt werden. Dazu ist wie oben ausge¬ führt, ein aktiver Watch-Dog vorgesehen, welcher mittels ei¬ nes Frage-/Antwortspiels die Funktionsweise der Überwa¬ chungsmaßnahmen überprüft. Ferner sind wenigstens zwei Ebe¬ nen, eine Funktions- und eine Überwachungsebene, vorgesehen, welche im Mikrocomputer 10 voneinander getrennt ausgeführt sind und die sich außerhalb des Fehlerfalls gegenseitig nicht beeinflussen. Dabei ist vorgesehen, daß die von den beiden Ebenen ausgewerteten Informationen den Mikrocomputer auf zwei verschiedenen, voneinander unabhängigen Wegen zuge¬ führt werden und intern durch unterschiedliche Programmteile unabhängig voneinander ausgewertet werden. Dadurch entstehen im Mikrocomputer zwei Kanäle, deren gegenseitige Unabhängig¬ keit der Verwendung von zwei Rechenelementen entsprechen.

Neben den dargestellten Ausführungsformen ist eine Vielzahl von Modifikationen der erfindungsgemäßen Vorgehensweise mög¬ lich. Beispielsweise kann in einem vorteilhaften Ausfüh¬ rungsbeispiel anstelle des einen Drosselklappenstellungssen¬ sors 2 vorgesehen sein, welche beide eingelesen und beide dem Programmteil 252 zugeführt werden. Ferner ist eine Über¬ wachung der Einstellung der Drosselklappe durch Überwachung des Steuerstroms für den Motor bwz. des Ausgangssignals des Reglers, der im Fehlerfall einen Maximalwert überschreitet, vorgesehen. Auch derartige Überwachungsmaßnahmen sind be¬ kannt.

Die erfindungsgemäße Vorgehensweise läßt sich auch auf Sy¬ steme anwenden, welche die Drosselklappe in Sonderbetriebs- zuständen einstellen. Ein solches Beispiel ist der Fahrge¬ schwindigkeitsregler. Dazu wird im Rahmen der Funktionsebene 12 die Fahrgeschwindigkeitsreglerfunktion und die Steuerung der Drosselklappe vorgenommen, während in der Überwachungs¬ ebene 14 die Überwachung des Fahrgeschwindigkeitsreglers durchgeführt wird. Dazu wird beispielsweise über die Überwa¬ chungsebene 14 das Bremssignal, der Aus-Schalter, die Fahr¬ geschwindigkeitsschwelle, etc. verarbeitet, während im Rah¬ men der Funktionsebene die Fahrgeschwindigkeitsregelkreise und Stellungsregelkreise berechnet werden.

Darüber hinaus ist die erfindungsgemäße Vorgehensweise auf alle die Steuersysteme für eine Antriebseinheit eines Fahr¬ zeugs anwendbar, bei denen durch einen Vergleich der Vorga¬ be- und Auεgangssignale zur Steuerung der Leistung der An- triebεeinheit eine Aussage über Fehlfunktionen gemacht wer¬ den kann.

Ferner kann in einem vorteilhaften Ausführungεbeiεpiel auf die Einbeziehung des Meßsignals deε Sensors 202 in die Funk¬ tionsebene 12 verzichtet werden.

Anstelle der Port-Eingänge 210 kann zum Einlesen kontinuier¬ licher Signale ein weiterer Analog-/Digital-Wandler vorgese¬ hen sein und so die Überwachung verfeinert werden.

Unter Ebenen werden Elemente einer Organisationstruktur im Rechenelement verstanden, die auf verschiedenen Hardware- und Softwareelementen aufgebaut sind und voneinander insoweit unabhängig sind, daß wenigstenε zewi voneinander unabhängige Verarbeitungskanäle im Rechenelement entstehen.

Claims

Ansprüche

1. Verfahren zur Steuerung einer Antriebseinheit eines Fahr¬ zeugs, wobei die Leistung der Antriebseinheit abhängig von Vorgabewerten zumindest in einem Betriebszustand des Fahr¬ zeugs gesteuert wird und Funktionen zur Leistungsteuerung sowie zur Überwachung der korrekten Funktionsweise der Lei- stungsteuerung durchgeführt werden, dadurch gekennzeichnet, daß zur Leistungsteuerung nur ein einziges Rechenelement (Mikrocomputer) vorgeεehen ist, das sowohl die Steuerung als auch die Überwachung durchführt.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß wenigstens zwei zumindest außerhalb des Fehlerfalls vonein¬ ander unabhängige Ebenen im Mikrocomputer vorgesehen sind, wobei eine erste Ebene die Steuerung, eine zweite Ebene die Überwachung durchführt.

3. Verfahren nach einem der vorhergehenden Ansprüche, da¬ durch gekennzeichnet, daß eine dritte Ebene vorgesehen ist, welche die Funktionsweise des Rechners durch Überwachung der die Überwachung durchführenden Ebene überprüft.

4. Verfahren nach einem der vorhergehenden Ansprüche, da¬ durch gekennzeichnet, daß die erste Ebene wenigstens zur elektrischen Steuerung einer Droεselklappe abhängig von Vor¬ gabewerten dient.

5. Verfahren nach einem der vorhergehenden Ansprüche, da¬ durch gekennzeichnet, daß die zweite Ebene die Steuerfunk¬ tion zur Steuerung der Drosselklappe durch Vergleich von Vorgabewerten und Einstellwerten der Leistung bzw. aus diesen abgeleiteten Werten überwacht.

6. Verfahren nach einem der vorhergehenden Ansprüche, da¬ durch gekennzeichnet, daß die auszuwertenden Größen der er¬ sten Ebene und der zweiten Ebene durch voneinander getrennte Eingänge des Mikrocomputers zugeführt werden und innerhalb des Mikrocomputers getrennt voneinander ausgewertet werden.

7. Verfahren nach einem der vorhergehenden Ansprüche, da¬ durch gekennzeichnet, daß zur Überwachung der Rechnerfunk¬ tion ein Watch-Dog vorgesehen ist, welcher im Rahmen eines Frage-Antwortspiels die Funktionsweise des Rechners und die der Überwachung überprüft.

8. Verfahren nach einem der vorhergehenden Ansprüche, da¬ durch gekennzeichnet, daß der Watch-Dog eine vorgegebene Frage mittels eines Impulssignals mit zufällig ausgewählten Impulslängen stellt, anhand des Impulssignals vorgegebene Programmodule bzw. -teile ausgewählt werden und wenigstens zwei Zähler bei Start und bei Verlassen der ausgewählten Programmodule bzw. -teile unterschiedlich verändert werden, wobei nach Abschluß der Überprüfung anhand der Zählerstände ein Impulssignal mit aus den Zählerständen abgeleiteten Im¬ pulslängen abgegeben wird, anhand derer der Watch-Dog Fehl- funktionen durch Vergleich dieser Antwort mit seiner Frage feststellt .

9. Verfahren nach einem der vorhergehenden Ansprüche, da¬ durch gekennzeichnet, daß der Fahrerwunsch durch wenigstenε zwei Stellungssensoren erfaßt wird, welche dem Mikrocomputer zugeführt werden, wobei der für die Funktion der Drossel- klappensteuerung abhängig vom Fahrerwunsch auszuwertende Sensor lediglich der ersten Ebene zugeführt wird, während der der Überwachung dienende Sensor wenigstens der zweiten Ebene zugeführt wird.

10. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die zugeführten Informationen in der Funktionsebene und in der Sicherheitsebene durch voneinander unabhängige Programme bzw. Programmodule ausgewertet werden.

11. Vorrichtung zur Steuerung einer Antriebseinheit eineε Fahrzeugs, die die Leistung der Antriebseinheit abhängig von Vorgabewerten zumindest in einem Betriebszustand des Fahr¬ zeugs steuert und Funktionen zur Leiεtung teuerung εowie zur Überwachung der korrekten Funktionsweise der Leistungsteue¬ rung durchführt, dadurch gekennzeichnet, daß zur Leistung- εteuerung nur ein einziges Rechenelement (Mikrocomputer) vorgesehen ist, das sowohl die Steuerung als auch die Überwachung durchführt.