Область техники, к которой относится изобретение
Настоящее изобретение относится к способу контроля работоспособности устройства управления, функционирующего на основе системы с несколькими исполнительными блоками.
Уровень техники
В области встроенных систем, в частности в автомобильной технике или технике автоматизации, существует множество приложений или прикладных программ, в которых неисправность или сбой в работе аппаратных средств потенциально способна повлечь за собой последствия, влияющие на безопасность. Во избежание таких последствий или для уменьшения тяжести их проявления принимаются меры контроля, направленные на обнаружение неисправностей или сбоев в работе. В некоторых приложениях такой контроль должен быть практически непрерывным. В других случаях применяются функции контроля, которые регулярно, например, периодически или по определенному запросу, проверяют систему обработки данных или другие аппаратные компоненты на предмет правильности их функционирования.
На фиг.1 показано структурирование обычного метода контроля, применяемого в области управления двигателями. При управлении двигателем топливо впрыскивается системой впрыска в камеру сгорания. С точки зрения обеспечения безопасности структура этого рассматриваемого в качестве примера приложения в области управления двигателями имеет трехуровневую структуру с тремя уровнями E1, E2, E3. Прикладные программы управления впрыском образуют базис, или базовый уровень E1, который включает в себя собственно выполняемые функции. Устройство управления впрыском указывает, сколько топлива в какой именно момент времени нужно впрыскивать в камеру сгорания. При отказе устройства управления впрыском может возникнуть ситуация, когда устройство управления впрыском начнет впрыскивать в камеру сгорания слишком много топлива или будет впрыскивать топливо постоянно, что вызовет слишком сильное ускорение автомобиля и может привести к аварии. Поэтому в обычной системе предусмотрен уровень Е2 контроля, наблюдающий за тем, функционирует ли устройство управления впрыском на уровне Е1 безошибочно. Уровень Е2 контроля образован дополнительными программами, или дополнительным программным кодом, который при необходимости обращается к дополнительным датчикам. В обычном блоке управления двигателем уровень Е2 контроля, как правило, обеспечивается непрерывным контролем крутящего момента, предусматривающим наблюдение за тем, чтобы крутящий момент, развиваемый в данный момент времени двигателем, не превышал порогового значения. В обычном блоке управления двигателем программы уровня Е1 управления впрыском и уровня Е2 контроля выполняются одними и теми же аппаратными средствами, т.е. в одних и тех же исполнительных блоках. Поскольку прикладные программы управления впрыском на уровне Е1 и прикладные программы контроля крутящего момента на уровне Е2 выполняются в одних и тех же исполнительных блоках или центральных процессорах, аппаратная неисправность в исполнительном блоке может привести к одновременному выходу из строя как устройства управления впрыском, так и устройства контроля крутящего момента. Поэтому из соображений обеспечения безопасности в обычных блоках управления двигателем предусмотрен еще один уровень - уровень E3 обеспечения безопасности, который со своей стороны проверяет уровень Е2 контроля на предмет его безупречного функционирования. Уровень E3 обеспечения безопасности осуществляет взаимодействие исполнительного блока с внешним аппаратным компонентом, например специализированной микросхемой, по схеме "запрос-ответ", причем в принципе проверяется работоспособность исполнительного блока, или микроконтроллера, в частности функционирование прикладных программ, на уровне Е2 контроля. Прикладные программы уровня Е2 контроля выполняют проверку на достоверность. Например, программы контроля уровня Е2 контроля считывают угловое положение α педали газа. Если количество топлива, указываемое прикладными программами уровня Е1 управления впрыском, превышает заданное пороговое значение, которое зависит от контролируемого датчиком положения педали газа, программа контроля, выполняемая на уровне Е2, определит, что в устройстве управления впрыском возникла неисправность или произошел сбой, и, как правило, инициирует выключение двигателя из соображений безопасности. Уровень Е2 контроля содержит, например, дополнительную программу контроля крутящего момента, которая контролирует развиваемый двигателем крутящий момент и при превышении порогового значения отключает двигатель. Для реализации функции контроля код программ контроля сохраняют как Е2', дублируя его. При этом алгоритм, или программа уровня Е2' выполняется с помощью данных по умолчанию, или тестовых данных. Программа уровня E3 обеспечения безопасности, которая выполняется, например, на специализированной микросхеме, вводит в качестве запроса определенную битовую комбинацию в исполнительный блок, или центральный процессор, который с помощью этого значения по умолчанию выполняет программу контроля, находящуюся в виде копии на уровне Е2', и выдает программе обеспечения безопасности, действующей на уровне E3 в специализированной микросхеме, ответную битовую комбинацию. Программа обеспечения безопасности сравнивает ответную битовую комбинацию с эталонной битовой комбинацией, чтобы определить, функционирует ли программа контроля в центральном процессоре по-прежнему безошибочно. Программа обеспечения безопасности, находящаяся в специализированной микросхеме, выполняется в ином аппаратном средстве - специализированной микросхеме, нежели программа контроля, которая выполняется в исполнительном блоке или центральном процессоре. При этом такая обычная схема действий обеспечивает известную степень защиты в отношении аппаратных неисправностей в центральном процессоре.
Однако обычной концепции обеспечения безопасности в том виде, как она представлена на фиг.1, присущ тот недостаток, что для отработки теста команд с помощью данных по умолчанию, или контрольных данных, нужно иметь копию программы контроля. Поэтому для хранения скопированных программных команд на уровне E2' контроля необходимо выделять область памяти.
Еще один недостаток обычного теста команд, в котором данные по умолчанию, или контрольные данные, служат входными данными для скопированной программы E2' контроля, заключается в том, что не поддаются обнаружению зависящие от операндов сбои и неисправности.
Раскрытие изобретения
Поэтому в основу настоящего изобретения положена задача разработки способа контроля работоспособности устройства управления, способного обнаруживать также зависящие от операндов сбои и неисправности.
Объектом изобретения является способ контроля работоспособности устройства управления, функционирующего на основе системы с несколькими исполнительными блоками, при осуществлении которого в нескольких исполнительных блоках системы в режиме VM сравнения выполняют программу контроля, и для распознавания сбоя или неисправности сигналы, выдаваемые этими исполнительными блоками при выполнении программы контроля, сравнивают друг с другом.
Преимущество предлагаемого в изобретении способа заключается в том, что не приходится тратить объем памяти для скопированных программных команд программы контроля.
В варианте осуществления предлагаемого в изобретении способа программа контроля представляет собой программу контроля развиваемого двигателем крутящего момента.
В варианте осуществления предлагаемого в изобретении способа устройство управления представляет собой блок управления двигателем.
В варианте осуществления предлагаемого в изобретении способа программу контроля выполняют в исполнительных блоках синхронно.
В альтернативном варианте осуществления предлагаемого в изобретении способа программу контроля выполняют в исполнительных блоках асинхронно.
В варианте осуществления предлагаемого в изобретении способа после завершения выполнения программы контроля систему переключают в режим повышенной производительности, в котором исполнительные блоки выполняют различные программы.
В варианте осуществления предлагаемого в изобретении способа программы, выполняемые в режиме повышенной производительности, осуществляют управление.
В варианте осуществления предлагаемого в изобретении способа программу контроля выполняют периодически.
В варианте осуществления предлагаемого в изобретении способа сбой или неисправность при выполнении программы контроля распознают, если сигналы, выдаваемые исполнительными блоками при выполнении программы контроля, отличаются друг от друга.
В варианте осуществления предлагаемого в изобретении способа после распознавания сбоя или неисправности при выполнении программы контроля отключают блок или узел, управляемый устройством управления.
Объектом изобретения является также устройство управления с несколькими исполнительными блоками, причем в режиме VM сравнения в нескольких исполнительных блоках выполняется программа контроля, и сигналы, выдаваемые исполнительными блоками при выполнении программы контроля, сравниваются друг с другом для распознавания сбоя или неисправности.
В варианте выполнения предлагаемого в изобретении устройства управления программа контроля представляет собой программу контроля развиваемого двигателем крутящего момента.
В варианте выполнения предлагаемого в изобретении устройства управления оно представляет собой блок управления двигателем.
В варианте выполнения предлагаемого в изобретении устройства управления исполнительные блоки образованы центральным процессором (ЦП), сопроцессором, процессором для цифровой обработки сигналов (ЦОС), блоком арифметики с плавающей запятой или встроенным сопроцессором или арифметико-логическим устройством (АЛУ).
Краткое описание чертежей
Другие преимущества и предпочтительные варианты осуществления предлагаемых в изобретении способа и устройства управления раскрыты ниже при описании существенных признаков изобретения со ссылкой на чертежи, на которых показано:
на фиг.1 - схема, представляющая обычную трехуровневую концепцию обеспечения безопасности,
на фиг.2 - структурная схема блока переключения и сравнения, используемого при осуществлении предлагаемого в изобретении способа,
на фиг.3 - структурная схема, характеризующая возможный вариант выполнения предлагаемого в изобретении устройства управления,
на фиг.4 - блок-схема, поясняющая сущность предлагаемого в изобретении способа,
на фиг.5 - временной график, поясняющий возможный вариант осуществления предлагаемого в изобретении способа.
Осуществление изобретения
Как показано на фиг.2, к N+1 исполнительных блоков 2 своими входами подключена схема 1 переключения и сравнения, получающая логические входные сигналы E0, E1, E2, E3…EN от исполнительных блоков 2-i. Блок 1 переключения и сравнения содержит логику (логическую схему) 1A сравнения и комбинационную, или коммутирующую, логику (логическую схему) 1B.
Представленная на фиг.2 система способна работать по меньшей мере в двух режимах. В первом режиме работы, предназначенном для повышения производительности и именуемом также режимом PM повышенной производительности, исполнительные блоки 2-i, или ядра, параллельно выполняют (отрабатывают) различные программы или задачи. В случае исполнительных блоков 2-i речь может идти о любых исполнительных блоках 2-i, предназначенных для выполнения вычислительных инструкций, например, о процессоре, блоке арифметики с плавающей запятой, процессоре для цифровой обработки сигналов (ЦОС), сопроцессоре, или арифметико-логическом устройстве (АЛУ). Выполнение программ различными исполнительными блоками 2-i в режиме РМ повышенной производительности может осуществляться синхронно или асинхронно. В режиме повышенной производительности обработка данных ведется без дублирования (избыточности), и исполнительные блоки 2-i параллельно выполняют разные вычисления или программы. В чистом режиме PM повышенной производительности все входные сигналы Ei коммутируются или направляются на соответствующие выходные сигналы Ai.
Помимо применения суперскалярной вычислительной системы, вторая причина использования многоядерной архитектуры заключается в том, чтобы повысить безопасность обработки сигналов за счет выполнения несколькими исполнительными блоками 2-i одной и той же программы в режиме дублирования. В этом втором режиме работы, который также именуется безопасным режимом или режимом VM сравнения, результаты или логические выходные сигналы исполнительных блоков сравниваются друг с другом схемой 1 переключения и сравнения, что позволяет путем сравнения сигналов на соответствие распознавать возникшую неисправность или несовпадение сигналов. Поэтому в чистом режиме VM сравнения все входные сигналы Ei выводятся или отображаются ровно на один единственный выходной сигнал Ai. Возможны и смешанные формы. В конфигурируемой комбинационной логике (логической схеме) 1B указывается, сколько предусмотрено выводов или выходных сигналов Ai. Кроме того, в комбинационной логике 1B хранится информация о том, какие входные сигналы E вносят вклад в формирование какого из выходных сигналов Ai. Таким образом, в комбинационной логике 1 В заложена функция отображения, которая ставит входные сигналы Ei в соответствие различным выходным сигналам Ai.
Логика 1A обработки для каждого выходного сигнала Ai устанавливает, в какой форме входные сигналы вносят вклад в формирование соответствующего выходного сигнала. Например, выходной сигнал A0 формируется входными сигналами E1, …, EN. В случае m=1 это просто соответствует коммутации входного сигнала. В случае m=2 два входных сигнала E1, E2 сравниваются друг с другом. Это сравнение может выполняться схемой 1 синхронно или асинхронно. При этом может осуществляться побитовое сравнение, или же между собой могут сравниваться только значимые биты. В случае m≥3 существуют различные возможности. Одна возможность состоит в том, чтобы сравнивать все сигналы и при наличии по меньшей мере двух разных значений обнаруживать ошибку или сбой, о чем в случае необходимости схемой 1 переключения и сравнения выдается сигнал. Еще одна возможность состоит в выборе некоторого числа k из m, где k>m/2. В одном из вариантов осуществления изобретения это можно реализовать путем использования компараторов. При этом, как возможный вариант, генерируется первый сигнал ошибки, если один из входных сигналов распознается как отличающийся от других входных сигналов. В случае второго сигнала ошибки, отличного от первого сигнала ошибки, все три входных сигнала могут отличаться друг от друга. В еще одном варианте осуществления изобретения значения входных сигналов вводят в дополнительное вычислительное устройство, которое, например, вычисляет среднее значение, значение медианы распределения или выполняет отказоустойчивый алгоритм определения среднего значения (FTA). При использовании отказоустойчивого алгоритма экстремальные значения входных сигналов исключаются или игнорируются, а усреднение проводится по остальным значениям сигналов. В одном варианте осуществления изобретения усреднение проводится по всему множеству оставшихся значений сигналов. В другом варианте усреднение проводится по подмножеству оставшихся значений сигналов, которое легко формируется аппаратными средствами. Если при формировании среднего значения достаточно выполнять только сложение и деление, то применение алгоритмов FTM (сокр. от англ. Fault Tolerant Midpoint), FTA или определение значения медианы отчасти требует сортировки значений входных сигналов. В одном варианте осуществления изобретения при достаточных больших различиях сигналов или экстремальных значениях может быть выдаваться или индицироваться сигнал ошибки. Различные названные возможности обработки сигналов в один сигнал представляют собой операции сравнения. Логика 1A обработки устанавливает для каждого выходного сигнала Ai, а значит, и для входных сигналов Ti, точную форму выполняемых операций сравнения. Комбинация данных в пределах комбинационной логики 1B, т.е. функция соответствия указанной в логике 1A обработки операции сравнения на каждый выходной сигнал или на каждое значение функции, представляет информацию о режиме работы и определяет режим работы. Эта информация является, как правило, многоразрядной и выражается более чем одним логическим битом. В том случае, если предусмотрено только два исполнительных блока 2-i, и поэтому существует только один режим сравнения, всю информацию в этом режиме работы можно сжать до единственного бита.
Переключение системы из режима РМ повышенной производительности в режим VM сравнения в общем случае осуществляется за счет того, что исполнительные блоки 2-i, которые в режиме РМ повышенной производительности отображаются или коммутируются на различные сигнальные выходы, в режиме VM сравнения отображаются или коммутируются на один и тот же сигнальный выход. В предпочтительном случае это реализуется тем, что предусматривается подмножество исполнительных блоков 2-i, у которых в режиме РМ повышенной производительности все входные сигналы Ei, подлежащие учету в этом подмножестве, коммутируются прямо на соответствующие выходные сигналы Ai, тогда как в режиме VM сравнения все входные сигналы отображаются или коммутируются на единственный сигнальный выход. В другом варианте осуществления изобретения такое переключение также может реализовываться изменением пар.
Переключение между различными режимами работы может осуществляться под управлением программного обеспечения во время работы динамически. В одном варианте осуществления изобретения это переключение инициируется, например, выполнением специальных команд переключения, специальных последовательностей команд, явно описанных команд или путем обращения по меньшей мере одного из исполнительных блоков 2-i системы к определенным адресам в памяти.
Переключение между безопасным режимом VM, предусматривающим резервирование обработки сигналов и проверку результатов, и режимом РМ повышенной производительности, в котором раздельным выполнением программ достигается повышение производительности, осуществляется устройством 1 переключения. В одном варианте осуществления изобретения для переключения предусмотрено обозначение программ, прикладных программ, программных фрагментов или программных команд с помощью метки, позволяющей сделать вывод о том, являются ли эти программные команды важными для обеспечения безопасности, т.е. должны выполняться в безопасном режиме, или режиме VM сравнения или могут быть доступны для режима РМ повышенной производительности. Такое обозначение может быть реализовано с помощью одного бита в программной команде. В альтернативном варианте осуществления изобретения с помощью специальной программной команды можно обозначить или пометить следующую за ней последовательность.
В безопасном режиме VM при синхронном выполнении программы в различных исполнительных блоках 2-i вычисление результатов или выходных сигналов исполнительных блоков 2-i длится одинаковое время. Тогда в безопасном режиме VM при синхронном выполнении эти результаты оказываются в распоряжении устройства 1 переключения одновременно. Если результаты совпадают или соответствуют друг к другу, то выдается разрешение на выдачу соответствующих данных. В случае несовпадения сигналов предпринимается заданная реакция на сбой или неисправность.
Если система находится в режиме РМ повышенной производительности, программы выполняются параллельно, и компараторы в схеме 1 переключения и сравнения не включаются.
В предлагаемом в изобретении способе контроля работоспособности устройства управления, функционирующего на основе системы с несколькими исполнительными блоками 2, в нескольких или даже во всех исполнительных блоках системы в режиме VM сравнения выполняется по меньшей мере одна программа контроля. Сигналы, выдаваемые этими исполнительными блоками 2 при выполнении программы контроля, для распознавания сбоя или неисправности сравниваются друг с другом. В предпочтительном варианте выполнения в изобретении устройства управления оно содержит по меньшей мере три исполнительных блока 2. Тот сигнал, который в наибольшей мере отличается от остальных сигналов, расценивается как ошибочный, например, с помощью мажоритарной логики. В одном варианте осуществления изобретения в случае сигналов речь идет о цифровых логических сигналах, в частности двоичных сигналах. В предпочтительном варианте осуществления изобретения в случае предлагаемого в изобретении устройства 4 управления речь идет о блоке управления двигателем для управления двигателя внутреннего сгорания. В других вариантах осуществления изобретения устройством 4 управления может быть устройство управления электродвигателем. Программа контроля представляет собой, например, программу контроля крутящего момента, контролирующую крутящий момент, развиваемый двигателем внутреннего сгорания или электродвигателем. При этом программа контроля может выполняться в исполнительных блоках 2 синхронно или асинхронно.
При осуществлении предлагаемого в изобретении способа обычные прикладные программы по управлению двигателем выполняются в режиме РМ повышенной производительности, т.е. каждый исполнительный блок 2 системы для повышения производительности выполняет программу по управлению, тогда как другие исполнительные блоки 2, в свою очередь, выполняют каждый иную прикладную программу. В возможном варианте осуществления предлагаемого в изобретении способа выполняемая на уровне Е2 программа контроля вызывается периодически. При осуществлении предлагаемого в изобретении способа программа контроля выполняется в нескольких исполнительных блоках 2 системы в режиме VM сравнения. В режиме VM сравнения несколько исполнительных блоков или все исполнительные блоки 2 системы выполняют одну и ту же программу контроля, а для распознавания сбоя или неисправности генерируемые при этом выходные сигналы сравнивают друг с другом. В возможном варианте осуществления изобретения на уровне E2 выполняется несколько программ контроля, например, все из которых вызываются периодически. Все вызываемые программы контроля выполняются в режиме VM сравнения. В альтернативном варианте осуществления изобретения программы контроля вызываются по определенному запросу или команде запроса и затем выполняются в режиме VM сравнения несколькими или по меньшей мере двумя исполнительными блоками 2 системы. Такого рода команда запроса на выполнение программы контроля может инициироваться или запускаться, например, прерыванием.
После завершения выполнения программы контроля система переключается обратно в режим РМ повышенной производительности, в котором исполнительные блоки 2 предпочтительно выполняют различные программы первого уровня E1, например, управляющие программы.
В одном варианте осуществления предлагаемого в изобретении способа неисправность или сбой при выполнении программы контроля на уровне E2 распознают, если сигналы, выдаваемые исполнительными блоками 2 при выполнении программы контроля в режиме VM сравнения, отличаются друг от друга. При этом после распознавания сбоя или неисправности при выполнении программы контроля предпочтительно отключать устройство 5, управляемое устройством 4 управления, например, двигатель.
На фиг.3 показана структурная схема возможного варианта выполнения предлагаемой в изобретении системы управления. В показанном на фиг.3 варианте предлагаемого в изобретении устройства 4 управления содержит два исполнительных блока 2A, 2B. В случае исполнительных блоков 2A, 2B речь может идти о полнокомплектных микропроцессорах или центральных процессорах, сопроцессорах, процессорах для цифровой обработки сигналов (ЦОС), блоках арифметики с плавающей запятой или арифметико-логическом устройстве (АЛУ). В других вариантах осуществления предлагаемого в изобретении устройства 4 управления предусмотрено более двух исполнительных блоков 2. В простом варианте осуществления изобретения, который показан на фиг.3, сигналы, генерируемые исполнительными блоками 2A, 2B, временно сохраняют в соответствующих буферных запоминающих устройствах 3А, 3В. Предпочтительно, чтобы каждый исполнительный блок 2 имел со стороны выхода собственное буферное запоминающее устройство 3. Временно сохраненные результаты вычислений или выходные сигналы исполнительных блоков 2A, 2B подаются в блок 1 сравнения. Блок сравнения 4 может быть образован, например, схемой 1 переключения и сравнения, представленной на фиг.2. Сравнение временно сохраненных выходных сигналов может осуществляться программными средствами, путем выполнения соответствующей программы, или может быть "зашито" на аппаратном уровне.
На фиг.4 показана блок-схема возможного варианта осуществления предлагаемого в изобретении способа контроля работоспособности устройства управления.
После вызова программы контроля на втором уровне E2 на шаге S1 производится переключение системы из режима РМ повышенной производительности в режим VM сравнения. Затем оба исполнительных блока 2A, 2B, представленных на фиг.3, приводятся в действие для выполнения одной и той же программы контроля на шагах S2, S3 и выполняют одинаковую программу контроля, например, программу контроля крутящего момента. В представленном на фиг.4 варианте осуществления оба исполнительных блока 2A, 2B на шагах S2, S3 асинхронно выдают соответствующий сигнал результата вычисления, который на шагах S4, S5 временно сохраняется в соответствующих буферных запоминающих устройствах 3A, 3B. В альтернативном варианте осуществления изобретения оба исполнительных блока 2A, 2B на шагах S2, S3 выдают соответствующий выходной сигнал, или значение результата вычисления, синхронно друг с другом. После появления в наличии обоих результатов или выходных сигналов, на шаге S6 выполняется сравнение обоих выходных сигналов, предпочтительно осуществляемое схемой 1 переключения и сравнения. Если два сигнала отличаются друг от друга, делается вывод о наличии ошибки (сбоя или неисправности), после чего предпринимаются соответствующие действия по обработке ошибки. В приложении, важном с точки зрения обеспечения безопасности, агрегат 5, управляемый устройством 4 управления, например, двигатель, выключается. Сравнение на шаге S6 может выполняться либо программными средствами - в виде соответствующей операции сравнения после предшествующего чтения содержимого буферного запоминающего устройства 3A, 3B, или жестко смонтированной схемой.
На фиг.5 показан временной график, поясняющий возможный вариант осуществления предлагаемого в изобретении способа. В этом варианте периодически вызывается программа контроля на уровне E2, которая выполняется одновременно несколькими исполнительными блоками 2 в режиме VM сравнения. После выполнения программы контроля система возвращается в режим РМ повышенной производительности и выполняет на уровне E1 собственные программы управления.
В альтернативном варианте выполнения предлагаемого в изобретении устройства 4 управления это устройство 4 всегда работает в режиме РМ повышенной производительности, причем программы контроля вычисляются с помощью по меньшей мере двух исполнительных блоков 2 асинхронно. При этом результаты вычислений, или выходные сигналы, выдаваемые в этом случае исполнительными блоками, сравниваются друг с другом для распознавания неисправности сбоя или неисправности. Однако, в этом варианте осуществления изобретения результаты вычислений необходимо временно (в буферной памяти) сохранять и затем сравнивать друг с другом дважды, а именно один раз в первом исполнительном блоке 2A, а другой раз - во втором исполнительном блоке 2B, чтобы учесть возможные аппаратные неисправности обоих исполнительных блоков 2. Поэтому этот вариант осуществления изобретения более сложен, чем вариант, в котором программа контроля выполняется в режиме VM сравнения.
Предлагаемый в изобретении способ также позволяет обнаруживать зависящие от операндов сбои и неисправности. Кроме того, предлагаемый в изобретении способ дает существенную экономию объема памяти по сравнению с обычной концепцией обеспечения безопасности, представленной на фиг.1.
В возможном варианте осуществления предлагаемого в изобретении устройства 4 управления оно содержит по меньшей мере три исполнительных блока 2, причем установить в случае различия сигналов, какой исполнительный блок 2 предположительно дал сбой или неисправен, можно с помощью мажоритарной логики. Затем в предпочтительном случае этот исполнительный блок 2 выполняет самотестирование, позволяющее определить, действительно ли этот исполнительный блок 2 отказал. Если в результате самотестирования установлено, что исполнительный блок 2 действительно отказал, в одном варианте осуществления изобретения исполнительный блок 2 отключают. Таким образом, в этом варианте система работает даже с защитой от сбоев и неисправностей.
Для реализации в обоих ядрах, или исполнительных блоках 2, защиты от постоянных отказов, возникающих, например, из-за производственных дефектов, в возможном варианте осуществления предлагаемого в изобретении способа самотестирование проводится для каждого исполнительного блока 2.
В возможном варианте осуществления предлагаемого в изобретении способа выполнение программ контроля на уровне E2 осуществляется в режиме VM сравнения, причем помимо этой дополнительной защиты предусмотрен уровень E3 обеспечения безопасности, на котором для контроля работоспособности программ контроля выполняется также тест команд. Применение подобного варианта осуществления изобретения возможно в приложениях, особенно критичных в отношении безопасности.
Использование: в области автоматизации и управления. Технический результат - повышение точности и надежности обнаружения неисправностей. Способ заключается в том, что в нескольких исполнительных блоках (2А, 2В) системы в режиме (VM) сравнения выполняют с избыточностью одну и ту же программу контроля, представляющую собой программу контроля развиваемого двигателем крутящего момента, и для распознавания сбоя или неисправности сигналы, выдаваемые этими исполнительными блоками (2А, 2В) при выполнении программы контроля, сравнивают друг с другом, причем после завершения выполнения программы контроля систему переключают в режим (РМ) повышенной производительности, в котором исполнительные блоки (2А, 2В) выполняют различные программы, причем программы, выполняемые в режиме (РМ) повышенной производительности, осуществляют управление двигателем. 2 н. и 6 з.п. ф-лы, 5 ил.
1. Способ контроля работоспособности устройства управления двигателем, выполняемого на основе системы с несколькими исполнительными блоками (2), характеризующийся тем, что в нескольких исполнительных блоках (2) системы в режиме (VM) сравнения выполняют с избыточностью одну и ту же программу контроля, представляющую собой программу контроля развиваемого двигателем крутящего момента, и для распознавания сбоя или неисправности сигналы, выдаваемые этими исполнительными блоками (2) при выполнении программы контроля, сравнивают друг с другом, причем после завершения выполнения программы контроля систему переключают в режим (РМ) повышенной производительности, в котором исполнительные блоки (2) выполняют различные программы, причем программы, выполняемые в режиме (РМ) повышенной производительности, осуществляют управление двигателем.
2. Способ по п.1, в котором программу контроля выполняют в исполнительных блоках (2) синхронно.
3. Способ по п.1, в котором программу контроля выполняют в исполнительных блоках (2) асинхронно.
4. Способ по п.1, в котором программу контроля выполняют периодически.
5. Способ по п.1, в котором сбой или неисправность при выполнении программы контроля распознают, если сигналы, выдаваемые исполнительными блоками (2) при выполнении программы контроля, отличаются друг от друга.
6. Способ по п.5, в котором после распознавания сбоя или неисправности при выполнении программы контроля отключают блок или узел (5), управляемый устройством (4) управления.
7. Устройство (4) управления двигателем, содержащее несколько исполнительных блоков, причем в режиме (VM) сравнения в нескольких исполнительных блоках (2) выполняется с избыточностью одна и та же программа контроля, представляющая собой программу контроля развиваемого двигателем крутящего момента, и сигналы, выдаваемые исполнительными блоками (2) при выполнении программы контроля, сравниваются друг с другом для распознавания сбоя или неисправности, а после завершения выполнения программы контроля система переключается в режим (РМ) повышенной производительности, в котором исполнительные блоки (2) выполняют различные программы, причем программы, выполняемые в режиме (РМ) повышенной производительности, осуществляют управление двигателем.
8. Устройство управления по п.7, в котором исполнительные блоки (2) образованы центральным процессором (ЦП), сопроцессором, процессором для цифровой обработки сигналов (ЦОС), блоком арифметики с плавающей запятой или встроенным сопроцессором или арифметико-логическим устройством (АЛУ).
WO 2005045664 A2, 19.05.2005 | |||
US 6615366 B1, 02.09.2003 | |||
УСТРОЙСТВО ДЛЯ КОНТРОЛЯ И РЕКОНФИГУРАЦИИ ДУБЛИРОВАННОЙ ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЫ | 1991 |
|
RU2015542C1 |
Способ и устройство для управления работой и для контроля за работой двигателя внутреннего сгорания | 1999 |
|
RU2220307C2 |
US 2004055568 A1, 25.03.2004. |
Авторы
Даты
2012-06-20—Публикация
2007-09-19—Подача