ES2282683T3 - Unidad de control para activar un dispositivo de proteccion de ocupantes en un vehiculo automovil y procedimiento para vigilar el correcto funcionamiento de una unidad de control, ventajosamente de este tipo. - Google Patents
Unidad de control para activar un dispositivo de proteccion de ocupantes en un vehiculo automovil y procedimiento para vigilar el correcto funcionamiento de una unidad de control, ventajosamente de este tipo. Download PDFInfo
- Publication number
- ES2282683T3 ES2282683T3 ES03767420T ES03767420T ES2282683T3 ES 2282683 T3 ES2282683 T3 ES 2282683T3 ES 03767420 T ES03767420 T ES 03767420T ES 03767420 T ES03767420 T ES 03767420T ES 2282683 T3 ES2282683 T3 ES 2282683T3
- Authority
- ES
- Spain
- Prior art keywords
- unit
- calculation
- signal
- activation
- pulses
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 15
- 238000012544 monitoring process Methods 0.000 title claims description 10
- 230000004913 activation Effects 0.000 claims abstract description 111
- 101100003180 Colletotrichum lindemuthianum ATG1 gene Proteins 0.000 claims abstract description 19
- 101100113692 Caenorhabditis elegans clk-2 gene Proteins 0.000 claims abstract description 17
- 230000007257 malfunction Effects 0.000 claims description 10
- 230000009849 deactivation Effects 0.000 claims description 4
- 101150105354 sae1 gene Proteins 0.000 claims description 3
- 101150099366 uba2 gene Proteins 0.000 claims description 3
- 102100029469 WD repeat and HMG-box DNA-binding protein 1 Human genes 0.000 abstract description 23
- 101710097421 WD repeat and HMG-box DNA-binding protein 1 Proteins 0.000 abstract description 23
- 101100194363 Schizosaccharomyces pombe (strain 972 / ATCC 24843) res2 gene Proteins 0.000 abstract description 13
- 101100194362 Schizosaccharomyces pombe (strain 972 / ATCC 24843) res1 gene Proteins 0.000 abstract description 12
- 230000003213 activating effect Effects 0.000 abstract description 2
- 230000002950 deficient Effects 0.000 description 13
- 239000011159 matrix material Substances 0.000 description 6
- 238000001208 nuclear magnetic resonance pulse sequence Methods 0.000 description 6
- 230000000052 comparative effect Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000006378 damage Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R21/00—Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
- B60R21/01—Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R21/00—Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
- B60R21/01—Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
- B60R2021/01122—Prevention of malfunction
- B60R2021/01184—Fault detection or diagnostic circuits
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Air Bags (AREA)
- Lock And Its Accessories (AREA)
- Protection Of Generators And Motors (AREA)
Abstract
Unidad de control para activar un dispositivo de protección de ocupantes en un vehículo automóvil, que incluye una primera unidad de cálculo (R1) y una segunda unidad de cálculo (R2) y además una unidad de activación (AE), recibiendo impulsos de reloj la primera unidad de cálculo (R1) y la segunda unidad de cálculo (R2) y la unidad de activación (AE), asíncronamente entre sí, y - la unidad de control incluye una primera y una segunda puertas lógicas Y (AND1, AND2), - la primera unidad de cálculo (R1) de la unidad de control presenta una primera unidad comparadora de cantidad de impulsos (PZVE1) y un primer dispositivo de puesta a cero (RES1), - la segunda unidad de cálculo (R2) de la unidad de control presenta una segunda unidad comparadora de la cantidad de impulsos (PZVE2) y un segundo dispositivo de puesta a cero (RES2), - a la primera puerta lógica Y (AND1) se lleva por el lado de entrada tanto la señal de reloj (clk1) de la primera unidad de cálculo (R1) como también la señal de reloj(clk3) de la unidad de activación (AE), - una salida (clk13) de la primera puerta lógica Y (AND1) está conectada con la entrada de la segunda unidad comparadora de la cantidad de impulsos (PZEV2), - una salida de la segunda unidad comparadora de la cantidad de impulsos (PZVE2) está conectada con la entrada del segundo dispositivo de puesta a cero (RES2), - una salida del segundo dispositivo de puesta a cero (RES2) está conectada directamente o indirectamente con una entrada de reset (RESET1) de la primera unidad de cálculo (R1), y - a la segunda puerta lógica Y (AND2) se lleva por el lado de la entrada tanto la señal de reloj (clk2) de la segunda unidad de cálculo (R2) como también la señal de reloj (clk3) de la unidad de activación (AE), - una salida (clk23) de la segunda puerta lógica Y (AND2) está conectada con la entrada de la primera unidad comparadora de la cantidad de impulsos (PZVE1), - una salida de la primera unidad comparadora de la cantidad de impulsos (PZEV1) está conectada conuna entrada del primer dispositivo de puesta a cero (RES1), - una salida del primer dispositivo de puesta a cero (RES1) está conectada directa o indirectamente con una entrada de reset (RESET2) de la segunda unidad de cálculo (R2), con lo que el primer dispositivo de puesta a cero (RES1) pone a cero la segunda unidad de cálculo (R2) mediante la emisión de una primera señal de reset (sr1) cuando en la primera unidad comparadora de la cantidad de impulsos (PZVE1) detecta una cantidad de impulsos por unidad de tiempo inadmisible en la señal de salida de la segunda puerta Y (AND2) y el segundo dispositivo de puesta a cero (RES2) pone a cero la primera unidad de cálculo (R1) emitiendo una segunda señal de reset (sr2) cuando la segunda unidad comparadora de la cantidad de impulsos (PZVE2) detecta una cantidad inadmisible de impulsos por unidad de tiempo en la señal de salida de la primera puerta Y (AND1).
Description
Unidad de control para activar un dispositivo de
protección de ocupantes en un vehículo automóvil y procedimiento
para vigilar el correcto funcionamiento de una unidad de control,
ventajosamente de este tipo.
La invención se refiere a una unidad de control
para activar un dispositivo de protección de ocupantes en un
vehículo automóvil y a un procedimiento para la vigilancia del
correcto funcionamiento de una unidad de control, ventajosamente de
este tipo. La unidad de control incluye entonces una primera unidad
de cálculo, una segunda unidad de cálculo y una unidad de
activación, que reciben impulsos en cada caso asíncronos entre sí.
Además, incluye la unidad de control una primera y una segunda
puerta lógica Y (AND). La primera y la segunda unidad de cálculo
incluyen en cada caso una unidad comparadora de la cantidad de
impulsos y un dispositivo de puesta a
cero.
cero.
En cada caso se lleva a una puerta lógica Y
(AND) por el lado de entrada la señal de reloj de la unidad de
cálculo a ella asociada y además la señal de reloj de la unidad de
activación. La salida de la señal de la correspondiente puerta
lógica Y se lleva a la entrada de la unidad comparadora de la
cantidad de impulsos de la respectiva unidad de cálculo y la salida
de la unidad comparadora de la cantidad de impulsos a la entrada
del correspondiente dispositivo de puesta a cero de una unidad de
cálculo.
El dispositivo de puesta a cero de cada unidad
de cálculo está conectado con la entrada de reset (puesta a cero)
de la correspondiente otra unidad de cálculo, con lo que el
dispositivo de puesta a cero asociado pone a cero entonces la
correspondiente otra unidad de cálculo cuando la unidad de
comparación de la cantidad de impulsos asociada detecta una
cantidad inadmisible de impulsos por unidad de tiempo en la señal de
salida de la correspondiente puerta Y conectada con la misma.
La JP 11330931 describe un circuito con tres
unidades de cálculo asíncronas, que pueden detectar en cada caso
errores en las señales de reloj de las otras unidades. Cada unidad
de cálculo lee y evalúa, para la detección de errores, el estado de
un contador en la correspondiente otra unidad. Las señales de error
se transmiten a una "unidad supervisora" adicional.
Corresponde al estado de la técnica la
vigilancia con ayuda de circuitos de las secuencias funcionales en
unidades de cálculo y, cuando se detectan errores en las secuencias
funcionales, la puesta a cero de las unidades de cálculo afectadas
por el error. En los folletos DE 100 56 408 C1, DE 100 30 991 A1, DE
100 49 440 A1 y DE 40 39 355 A1, se utiliza para ello un llamado
circuito watchdog (vigilante), que evalúa los impulsos emitidos por
la unidad de cálculo en cuanto a su longitud de impulso, longitud de
pausa o la cantidad de impulsos por unidad de tiempo.
En muchos sistemas de control se prevé hoy en
día, además una primera unidad de cálculo, una segunda unidad de
cálculo. La segunda unidad de cálculo sirve entonces la mayoría de
las veces como unidad de cálculo de seguridad para la vigilancia
del funcionamiento correcto de la primera unidad de cálculo y, dado
caso, al fallar la misma, para asumir al menos parcialmente las
funciones de cálculo y control de la primera unidad de cálculo.
Es especialmente importante la utilización de
tales unidades de cálculo de seguridad en relación con una primera
unidad de cálculo principal en sistemas de control cuyo fallo
implicaría al menos el peligro de daños a personas. Un sistema de
control relevante para la seguridad como el indicado es por ejemplo
la unidad de control que sirve para el control de un dispositivo de
protección de ocupantes en un vehículo automóvil. Allí calcula la
unidad de cálculo principal el instante de disparo para la
activación del dispositivo adecuado para la protección de
ocupantes, que en el caso de un accidente con choque ofrece a un
ocupante del vehículo la mejor protección posible frente a heridas.
A continuación del cálculo del mejor instante de disparo, libera la
unidad de cálculo principal la activación del dispositivo adecuado
para la protección de ocupantes, por ejemplo un airbag para el
conductor.
Ya cuando hay un fallo sólo parcial de la
prestación de cálculo de la unidad de cálculo principal, no puede
asegurarse la activación a tiempo del dispositivo adecuado para la
protección de ocupantes por parte de la unidad de control. Por esta
razón debe ser asumida la funcionalidad decisiva de la primera
unidad de cálculo por la segunda unidad de cálculo, la unidad de
cálculo de seguridad. Para ello debe detectar la unidad de cálculo
de seguridad un posible funcionamiento incorrecto de la primera
unidad de cálculo, para en una segunda etapa poner a cero la
primera unidad de cálculo o incluso desconectarla por completo y
dado el caso asumir al menos parcialmente las tareas de la primera
unidad de cálculo.
Un sistema de dos ordenadores como el indicado
en una aplicación relevante para la seguridad en un vehículo
automóvil se describe por ejemplo en el documento alemán de
publicación DE 37 00 986 A1. Los procesadores allí mostrados se
vigilan al mismo nivel. Al respecto, emite en cada caso una unidad
de cálculo una señal de watchdog (vigilante) 33, 37, que se
comprueba en la correspondiente otra unidad de cálculo mediante un
reconocimiento de watchdog 14, 22. Si una unidad de cálculo recibe
de la respectiva otra unidad de cálculo una señal de watchdog
defectuosa, 33, 35, entonces emite la correspondiente unidad de
cálculo que funciona correctamente una señal de reset (puesta a
cero) 40, 36 a la otra unidad de cálculo afectada por el error.
Sistemas de control similares con en cada caso
dos unidades de cálculo en aplicaciones críticas para la seguridad
en vehículos automóviles, se conocen también por los folletos DE 101
51 012 A1 y DE 40 04 709 C2, realizándose también aquí la
vigilancia mutua de las dos unidades de cálculo con ayuda del
respectivo reconocimiento de watchdog en cada unidad de
cálculo.
La vigilancia mutua del correcto funcionamiento
de unidades de cálculo mediante un sistema watchdog como el
indicado es no obstante a menudo demasiado lenta. Pero precisamente
en sistemas de protección de ocupantes es muy importante detectar
un funcionamiento incorrecto de una unidad de cálculo dentro de una
unidad de control de un sistema de protección de ocupantes muy
rápidamente y de forma fiable, para poder desencadenar sin demora
medidas para limitar posibles peligros para un ocupante del
vehículo.
La tarea de la presente invención es por lo
tanto lograr las premisas técnicas necesarias para lograr una
detección muy rápida del funcionamiento incorrecto de al menos una
unidad de cálculo dentro de una unidad de control de un dispositivo
de protección de ocupantes para un vehículo automóvil.
La tarea se resuelve mediante una unidad de
control según la reivindicación 1.
La unidad de control correspondiente a la
invención presenta, además de la unidad de cálculo principal, que
es la primera unidad de cálculo, también una unidad de cálculo de
seguridad, la segunda unidad de cálculo, así como una unidad de
activación para activar el dispositivo de protección de ocupantes,
por ejemplo un airbag. La primera unidad de cálculo, la segunda
unidad de cálculo y la unidad de activación reciben impulsos, en
cada caso asíncronos entre sí, mediante un reloj interno o
externo.
La primera unidad de cálculo incluye una primera
unidad comparadora de la cantidad de impulsos y un primer
dispositivo de puesta a cero y la segunda unidad cálculo una segunda
unidad comparadora de la cantidad de impulsos y un segundo
dispositivo de puesta a cero. La unidad de control presenta además,
asociado en cada caso a la primera o bien segunda unidad de
cálculo, una primera y una segunda puerta (Gatter) Y lógica.
A la entrada de la primera puerta Y lógica se
llevan tanto la señal del reloj de la primera unidad de cálculo
como también la señal del reloj de la unidad de activación y su
salida por el contrario está conectada con la entrada de la segunda
unidad comparadora de la cantidad de impulsos. La salida de la
segunda unidad comparadora de la cantidad de impulsos está
conectada con una entrada del segundo dispositivo de puesta a cero,
cuya salida a su vez esta conducida a la entrada de reset de la
primera unidad de cálculo.
El circuito de la primera puerta lógica Y de la
unidad de control es tal que el segundo dispositivo de puesta a
cero pone a cero la primera unidad de cálculo emitiendo una señal de
reset cuando la segunda unidad comparadora de la cantidad de
impulsos detecta una cantidad de impulsos inadmisible por unidad de
tiempo en la señal de salida de la primera puerta Y.
El circuito de la segunda puerta lógica Y
resulta análogo al del circuito de la primera puerta lógica Y cuando
se sustituye la primera unidad de cálculo por la segunda unidad de
cálculo e igualmente la primera por la segunda unidad comparadora
de la cantidad de impulsos, el primer dispositivo de puesta a cero
por el segundo dispositivo de puesta a cero y la entrada de reset
de la primera unidad de cálculo por la entrada de reset de la
segunda unidad de cálculo.
En consecuencia, el circuito de la segunda
puerta Y es tal que el primer dispositivo de puesta a cero pone a
cero la segunda unidad de cálculo emitiendo una señal de reset
cuando la primera unidad comparadora de la cantidad de impulsos
detecta una cantidad inadmisible de impulsos por unidad de tiempo en
la unidad de salida de la segunda puerta Y.
En el contexto de la invención que describimos
se denomina unidad comparadora de la cantidad de impulsos de una
unidad de cálculo de la unidad de control correspondiente a la
invención, una unidad funcional que por ejemplo cuenta la cantidad
de niveles altos (High) por unidad de tiempo de una secuencia de
impulsos y la compara con un valor comparativo previamente
determinado. En función de esta comparación puede emitir la unidad
comparadora de la cantidad de impulsos distintas señales de
control.
Evidentemente, podría contar una unidad
comparadora de la cantidad de impulsos alternativamente también una
cantidad de niveles bajos (Low) o la cantidad de cambios de nivel
por unidad de tiempo de una secuencia de impulsos.
En un perfeccionamiento ventajoso, presenta la
unidad de control una primera y una segunda puerta lógica
ODER(O), estando conectada la segunda puerta ODER por la
parte de entrada con la salida de un segundo dispositivo de puesta
a cero y por el lado de salida con la entrada de reset (puesta a
cero) de la primera unidad de cálculo y correspondientemente
estando conectada la primera puerta ODER por el lado de entrada con
el primer dispositivo de puesta a cero, y por el lado de salida con
la entrada de reset de la segunda unidad de cálculo. Esto ofrece la
ventaja de que a una segunda entrada en cada caso de la puerta
lógica ODER pueden llevarse otras señales de reset de otras partes
de circuitos de la unidad de control, con lo que una unidad de
control no solamente puede ser puesta a cero por la decisión de en
cada caso la otra unidad de control, sino también en base a otra
decisión de otra unidad funcional de la unidad de control.
En otra forma constructiva ventajosa, está
conectado el primer dispositivo de puesta a cero de la primera
unidad de cálculo o el segundo dispositivo de puesta a cero de la
segunda unidad de cálculo con una entrada de reset de la unidad de
activación. Así puede el primer dispositivo de puesta a cero o bien
el segundo dispositivo de puesta a cero, cuando se ha detectado un
funcionamiento incorrecto de la segunda o bien la primera unidad de
cálculo, no sólo poner a cero la correspondiente otra unidad de
cálculo, sino también la unidad de activación. Esto ofrece una
seguridad adicional en cuanto al correcto funcionamiento del sistema
de protección de ocupantes, ya que cuando hay un funcionamiento
incorrecto de al menos una de ambas unidades de cálculo, también se
desconecta con seguridad la unidad de activación. De esta manera se
evita con seguridad una activación posiblemente peligrosa del
dispositivo de protección de ocupantes.
La unidad de control posee en consecuencia un
grado especialmente elevado de seguridad, sobre todo también cuando
ambos dispositivos de puesta a cero de la unidad de cálculo están
conectados con la entrada de reset de la unidad de activación, con
lo que ambas unidades de cálculo pueden poner a cero dado el caso la
unidad de activación. Además, es ventajoso entonces que la unidad
de control presente una tercera puerta ODER, que recibe en el lado
de entrada las señales de los dispositivos de puesta a cero de ambas
unidades de cálculo y por el lado de salida está conectado con la
entrada de reset de la unidad de activación.
En otra forma constructiva ventajosa de la
invención, presenta la unidad de control una tercera puerta Y, a la
que se llevan por el lado de entrada las señales de reloj de la
primera y segunda unidad de cálculo y cuya salida de señal se lleva
tanto a la primera como también a la segunda unidad comparadora de
la cantidad de impulsos de la primera o bien de la segunda unidad
de cálculo. Si detecta la primera o bien la segunda unidad
comparadora de la cantidad de impulsos una señal de salida
incorrecta de la tercera puerta Y, entonces señaliza la
perturbación al dispositivo de puesta a cero asignado a la misma,
que pone a cero la correspondiente otra unidad de cálculo y dado el
caso también la unidad de activación.
Además, es ventajoso que la unidad de control
presente un llamado primer circuito watchdog (vigilante). Para ello
está conectada una primera entrada de watchdog de la unidad de
activación con una salida de watchdog de la primera unidad de
cálculo y una salida de puesta a cero de la unidad de cálculo de la
unidad de activación directa o indirectamente con la primera unidad
de cálculo. Cuando detecta la unidad de activación un error en el
watchdog -señal de la salida del watchdog– de la primera unidad de
cálculo, entonces emite la unidad de activación una señal de puesta
a cero de la unidad de cálculo directa o indirectamente a la primera
unidad de cálculo. Un circuito redundante como el indicado, en
forma de un primer circuito watchdog, aumenta adicionalmente la
seguridad de desconexión de una primera unidad de cálculo que
funciona defectuosamente dentro de la unidad de control del sistema
de protección de ocupantes.
Un segundo circuito watchdog análogo para la
puesta a cero de una segunda unidad de cálculo defectuosa por parte
de la unidad de activación, aporta una seguridad adicional, sobre
todo cuando la segunda unidad de cálculo contribuye al mismo nivel
al funcionamiento del sistema de seguridad.
Un procedimiento adecuado para la solución de la
tarea se indica en la reivindicación independiente 7.
El procedimiento correspondiente a la invención
sirve para vigilar el correcto funcionamiento de una unidad de
control correspondiente a la invención para activar un sistema de
protección de ocupantes en un vehículo automóvil. La secuencia de
un procedimiento correspondiente a la invención de este tipo se
describe ya suficientemente en base a las particularidades
descritas más arriba en su contexto funcional de un dispositivo
correspondiente a la invención. Para evitar en este lugar
repeticiones, sólo entraremos aquí en las características del
procedimiento correspondientes a la invención que van más allá del
marco de lo ya explicado.
Por ejemplo, no es importante para un
procedimiento correspondiente a la invención de qué manera se
combinan las señales de reloj de ambas unidades de cálculo y de la
unidad de activación para formar señales combinadas lógicamente
entre sí de la manera más diversa. En el dispositivo antes descrito
correspondiente a la invención, se logra una función lógica de
combinación como la indicada mediante puertas lógicas Y, que pueden
estar configuradas - al igual que las puertas ODER dadas igualmente
a conocer, como componentes eléctricos, pero también como
secuencias del programa dentro de un microprocesador. Más bien es
decisivo para un procedimiento correspondiente a la invención que
una combinación lógica de las citadas señales de reloj se realice de
tal manera que se genere una secuencia de impulsos que a
continuación puede ser evaluada mediante cómputo de los impulsos
individuales y comparación del valor calculado con un valor de
consigna en cuanto a si una de las unidades funcionales a las que
se emiten impulsos de reloj de la unidad de control que la contiene
funciona correctamente o no.
Ventajosamente se ponen entonces a cero al menos
una vez las unidades funcionales identificadas como defectuosas,
para que a una unidad funcional que trabaja defectuosamente de la
unidad de control se le dé la oportunidad mediante un rearranque de
alcanzar un estado de funcionamiento previsto. Si no se puede
provocar un tal estado de funcionamiento correcto tras una puesta a
cero por una sola vez o varias veces de la unidad funcional,
entonces se desactiva al menos la parte defectuosa del aparato de
control y, caso de que sea posible, se sustituye por otra unidad
funcional del aparato de control. Dado el caso, se desactiva la
unidad de control completa.
La desactivación parcial o completa del aparato
de control del sistema de protección de ocupantes se visualiza
entonces de la manera correspondiente a un ocupante del vehículo,
por ejemplo luciendo una lámpara de alarma, usualmente en el cuadro
de instrumentos del vehículo.
A continuación se describirá la invención en
base a varios ejemplos de ejecución.
Se muestra en:
Figura 1 una unidad de control correspondiente a
la invención con dos puertas Y (AND1, AND2),
figura 2 una unidad de control correspondiente a
la invención con tres puertas Y (AND1, AND2, AND3),
figura 3 un diagrama esquemático del tiempo de
recorrido de las señales de impulsos (c1k1, c1k2, c1k3) de la
primera y de la segunda unidad de cálculo (R1, R2), así como de la
unidad de activación (AE) y de las señales de reloj compuestas a
partir de las mismas (c1k13, c1k23, c1k12) a la salida de la
primera, segunda y tercera puerta Y (AND1, AND2, AND3), n
figura 4 un diagrama esquemático del tiempo de
recorrido de la señales de reloj (c1k1, c1k2) de la primera y la
segunda unidad de cálculo (R1, R2) y de la correspondiente señal de
salida (clk12) de la tercera puerta Y (AND3), con impulsos
síncronos de ambas unidades de cálculo (R1, R2) y
figura 5 una matriz de decisión esquemática para
la puesta a cero de las unidades de cálculo (R1, R2) o de la unidad
de activación (AE) de una unidad de control correspondiente a la
invención.
La figura 1 muestra unidad una unidad de control
correspondiente a la invención con una primera y una segunda unidad
de cálculo R1, R2 y una unidad de activación AE, así como una
primera y una segunda puertas Y, AND1, AND2 y una primera, segunda
y tercera puerta ODER, OR1, OR2, OR3.
A la primera entrada de señal de la primera
puerta Y AND1 se lleva la señal de reloj clk1 de la primera unidad
de cálculo R1. A la segunda entrada de señal de la primera puerta Y
AND1 se lleva la señal de reloj clk3 de la unidad de activación AE.
A la salida de la señal de la primera puerta Y AND1 se encuentra una
señal lógica sumatoria clk13 de ambas señales de reloj llevadas al
lado de entrada clk1 y clk3, que se lleva a una unidad comparativa
de la cantidad de impulsos PZVE2 de la segunda unidad de cálculo R2.
La salida de la señal de la segunda unidad comparadora de la
cantidad de impulsos PZVE2 está conectada con un segundo dispositivo
de puesta a cero RES2 dentro de la segunda unidad de cálculo R2. El
segundo dispositivo de puesta a cero RES2 está conectado por el
lado de salida con una entrada de señal de la segunda puerta ODER
OR2. La salida de la señal de la segunda puerta ODER OR2 está
conectada a su vez con la primera entrada de reset RESET1 de la
primera unidad de cálculo R1.
Análogamente al circuito de la primera puerta Y
AND1, está conectada también la segunda puerta Y. A la primera
entrada de señal de la segunda puerta Y AND2 se lleva la señal de
reloj clk2 de la segunda unidad de cálculo R2 y a su segunda
entrada de señales igualmente la señal de reloj clk3 de la unidad de
activación AE. La señal de salida clk23 de la segunda puerta lógica
Y AND2 es una señal lógica sumatoria de ambas señales de reloj clk2
y clk3 llevadas al lado de la entrada y se lleva a la primera unidad
comparadora de la cantidad de impulsos PZVE1 de la primera unidad
de cálculo R1. La primera unidad comparadora de la cantidad de
impulsos PZVE1 conduce una señal de salida al primer dispositivo de
puesta a cero RES1, que está conectado por el lado de salida con la
entrada de señal de la primera puerta ODER OR1. La salida de señal
de la primera puerta ODER OR1 se lleva a la entrada de reset RESET2
de la segunda unidad de cálculo R2.
Una segunda salida de señal en cada caso del
primer dispositivo de puesta a cero RES1 o bien del segundo
dispositivo de puesta a cero RES2 está conectada con en cada caso
una entrada de señal de una tercera puerta ODER o OR3. La salida de
señal de la tercera puerta ODER OR3 está conectada con una entrada
de reset RESETAE de la unidad de activación AE.
Además, se lleva desde una salida de watchdog
WD1 de la primera unidad de cálculo R1 una primera señal de
watchdog wd1 a una primera entrada de watchdog AE1 de la unidad de
activación AE. Análogamente se lleva también una segunda señal de
watchdog wd2 de una segunda salida de watchdog WD2 de la segunda
unidad de cálculo R2 a una segunda entrada de watchdog AE2 de la
unidad de activación AE.
Finalmente, está conectada adicionalmente una
salida de puesta a cero de la unidad de cálculo SAE de la unidad de
activación AE con las correspondientes segundas entradas de señal de
la primera puerta ODER OR1 y de la segunda puerta ODER OR2.
El circuito representado en la figura 1 funciona
como sigue:
La primera puerta Y AND1 genera en el lado de
salida una señal de reloj modificada clk13 a partir de ambas
señales de reloj llevadas por el lado de entrada de la primera
unidad de cálculo clk1 y de la señal de reloj de la unidad de
activación clk3. Tal como se representa en la figura 3, presenta la
señal de salida clk13 de la primera puerta Y AND1 sólo un nivel
lógico alto (High) cuando las señales de reloj clk1 y clk3 llevadas
por el lado de entrada presentan igualmente a la vez un nivel lógico
alto. Puesto que en el ejemplo de ejecución representado de la
figura 3 la señal de reloj clk1 de la primera unidad de cálculo R1
con una frecuencia de impulsos de reloj de por ejemplo 1 KHz posee
un periodo entre impulsos bastante superior a la señal de reloj
clk3 de la unidad de activación AE con una secuencia de impulsos de
por ejemplo 50 KHz, presenta la señal de impulsos modificada clk13
una secuencia de impulsos repetitiva con el periodo de la primera
señal de reloj clk1 con impulsos individuales dentro de las
secuencias de impulsos con la periodicidad de la señal de reloj
clk3 de la unidad de activación AE.
En función del desplazamiento de los períodos
entre impulsos de reloj de ambas señales de reloj clk1 y clk3 entre
sí, presenta la señal de salida clk13 de la primera puerta Y AND1
una cantidad fija de impulsos individuales durante un periodo. En
el ejemplo de la figura 3 presenta la señal de reloj clk13 por
ejemplo entre 49 y 50 impulsos de alto nivel (High) durante de un
periodo de la secuencia de impulsos.
Cuando la emisión de impulsos de reloj de ambas
señales de reloj clk1 y clk3 fuese síncrona, sería siempre igual la
cantidad de impulsos individuales dentro de una secuencia de
impulsos por unidad de tiempo. El caso correspondiente se
representa por ejemplo en la figura 4 para ambas señales de impulsos
clk1 y clk2 con frecuencias de impulsos de reloj de por ejemplo 1
KHz o bien 2 KHz.
La segunda unidad comparadora de la cantidad de
impulsos PZVE2 de la segunda unidad de cálculo R2 cuenta la
cantidad de impulsos individuales en la señal de salida clk13 de la
primera puerta Y AND1 y compara este valor con un valor comparativo
que está archivado en la segunda unidad de cálculo R2, por ejemplo
en una memoria RAM. Si se desvía de manera inadmisible la cantidad
de impulsos calculada en la señal de salida clk13 de la primera
puerta Y AND1 de este valor memorizado, entonces activa la segunda
unidad comparadora de la cantidad de impulsos PZVE2 el segundo
dispositivo de puesta a cero RES2, que emite una segunda señal de
reset sr2 a través de la segunda puerta ODER OR2 a la entrada de
reset RESET1 de la primera unidad de cálculo R1. De esta manera se
pone a cero eléctricamente la primera unidad de cálculo R1.
En el ejemplo de ejecución mostrado en la figura
1 puede retransmitir opcionalmente el segundo dispositivo de puesta
a cero RES2 simultáneamente otra señal de puesta a cero sae2 a
través de la tercera puerta ODER OR3 a la unidad de activación AE,
con lo que también se pone a cero la unidad de activación AE a su
estado eléctrico de
partida.
partida.
En el estado de puesta a cero, no puede un
dispositivo de protección de ocupantes conectado a la unidad de
activación AE ni ser controlado por la primera unidad de cálculo R1
ni activado por la unidad de activación AE.
Tras la puesta a cero de la primera unidad de
cálculo R1 y de la unidad de activación AE, recorren ambas un
arranque funcional, durante el cual se restablece de nuevo por
completo la funcionalidad plena de ambas unidades funcionales R1 y
AE dentro del aparato de control del dispositivo de protección de
ocupantes. Sólo tras realizarse y realizarse con éxito el arranque
funcional de ambas unidades funcionales R1 y AE puede activarse de
nuevo dado el caso del dispositivo de protección de ocupantes
conectado a la unidad de activación AE.
Desde luego, si detecta la segunda unidad
comparadora de la cantidad de impulsos PZVE2 de la segunda unidad
central R2 de nuevo un funcionamiento incorrecto bien de la primera
unidad de cálculo R1 o de la unidad de activación AE en base a la
señal de salida clk13 de la primera puerta Y AND1, entonces se ponen
a cero de nuevo ambas unidades funcionales R1 y AE o bien se
desactivan permanentemente.
Una desactivación permanente de la primera
unidad de cálculo R1 o de la unidad de activación AE del dispositivo
de protección de ocupantes se visualiza entonces usualmente al
propietario del vehículo mediante una llamada de alarma de airbag
en el cuadro de instrumentos del vehículo.
El funcionamiento del circuito de la segunda
puerta Y AND2 resulta totalmente análogo al funcionamiento del
circuito de la primera puerta Y AND1:
La segunda puerta Y AND2 genera en el lado de
salida una señal de reloj modificada clk23 a partir de ambas
señales de reloj llevadas por el lado de entrada clk2 de la segunda
unidad de cálculo R2 y de la señal de reloj clk3 de la unidad de
activación AE. Al igual que en el caso de la primera puerta Y AND1,
presenta la señal de salida clk23 de la segunda puerta Y AND2 sólo
un nivel lógico alto cuando las señales de reloj llevadas por el
lado de entrada clk2 y clk3 también presentan simultáneamente un
nivel lógico alto. Usualmente es también aquí el periodo de la
segunda señal de reloj clk2 menor que el periodo de la señal de
reloj clk3 de la unidad de activación AE. Por lo tanto se presentan
también en la señal de salida de la segunda puerta Y clk23
secuencias de impulsos que están moduladas con el periodo más lento
de la señal de reloj de la segunda unidad de cálculo clk2 y en
función del decalaje del periodo de ambas señales de reloj clk2 y
clk3 reunidas, presentan una cantidad fija de impulsos individuales
por unidad de tiempo en un estrecho marco de tolerancia.
La primera unidad comparadora de la cantidad de
impulsos PZVE1 de la primera unidad de cálculo R1 computa la
cantidad de impulsos individuales en la señal de salida clk23 de la
segunda puerta Y AND2 y compara el valor calculado con otro valor
comparativo, que ha sido archivado en la primera unidad de cálculo
R1, por ejemplo en una memoria RAM. Si se desvía el número
calculado de impulsos en la señal de salida clk23 de la segunda
puerta Y AND2 de este otro valor comparativo, entonces activa en
este caso la primera unidad comparadora de la cantidad de impulsos
PZVE1 el primer dispositivo de puesta a cero RES1, que emite una
señal de reset sr1 a través de la primera puerta ODER OR1 a la
entrada de reset RESET2 de la segunda unidad de cálculo R2. De esta
manera se pone a cero eléctricamente la segunda unidad de cálculo R2
mediante la primera unidad de cálculo R1.
En el ejemplo de ejecución mostrado de la figura
1, puede retransmitir igualmente a la vez el primer dispositivo de
puesta a cero RES1 una señal de puesta a cero sae1 a través de la
tercera puerta ODER OR3 a la unidad de activación AE, con lo que
también se repone la unidad de activación AE a su estado eléctrico
de partida.
Por lo demás, rige en el ejemplo de ejecución
mostrado de la figura 1 para la puesta a cero de la segunda unidad
de cálculo R2 y de la unidad de activación AE por parte del primer
dispositivo de puesta a cero RES1 y un nuevo arranque funcional
originado de esta manera de estas dos unidades funcionales, de
manera totalmente análoga, lo ya descrito para la puesta a cero de
la primera unidad de cálculo R1 y de la unidad de activación AE por
parte del segundo dispositivo de puesta cero RES2 y el nuevo
arranque funcional originado esta manera de la primera unidad de
cálculo RE1 y de la unidad de activación AE.
Correspondientemente, se visualiza entonces
también una desactivación permanente de la primera unidad de cálculo
R1 o de la unidad de activación AE del elemento de protección de
ocupantes usualmente al propietario del vehículo mediante una
llamada lámpara de alarma de airbag en el cuadro de aparatos del
vehículo.
Para seguir aumentando la seguridad en la
detección de posibles funcionamientos incorrectos del aparato de
control del dispositivo de protección de ocupantes, está realizada
en la unidad de control correspondiente a la invención representada
una vigilancia funcional adicional de la primera unidad de cálculo
R1 mediante la unidad de activación AE con ayuda de un llamado
primer circuito watchdog WDS1:
La primera unidad de cálculo R1 emite entonces a
intervalos de tiempo periódicos una primera señal de watchdog wd1 a
la unidad de activación AE. Cuando falta la señal de watchdog
esperada wd1 en la entrada de señal de watchdog AE1, emite la
unidad de activación AE una señal de puesta a cero de la unidad de
cálculo sae desde su salida de señal SAE a la segunda entrada de
señal, tanto de la primera unidad ODER OR1 como también de la
segunda unidad ODER OR2, con lo que se pone a cero tanto la primera
unidad de cálculo R1 a través de la primera entrada de reset RESET1
como también la segunda unidad de cálculo R2 a través de la segunda
entrada de reset RESET2.
Alternativamente, puede utilizarse también un
sistema de circuitos en el que la salida de la señal SAE de la
unidad de activación AE no esta conectada con la segunda entrada de
señal de la primera unidad ODER OR1. En consecuencia, emite la
unidad de activación AE entonces la señal de puesta a cero de la
unidad de cálculo sae solamente en la segunda entrada de señal de
la segunda unidad ODER OR2, con lo que en caso de error del primer
circuito de watchdog WDS1 sólo se pone a cero la primera unidad de
cálculo R1 a través de la primera entrada de reset RESET1.
En cualquier caso, pueden detectarse mediante el
primer circuito de watchdog WDS1 dado el caso errores adicionales
en la primera unidad de cálculo R1, que no pueden tomarse de la
señal de salida clk13 de la primera puerta Y AND1.
De la manera correspondiente, al igual que en el
caso de la primera unidad de cálculo R1 se realiza una vigilancia
mediante el primer circuito watchdog WDS1, se vigila en la figura 1
también la segunda unidad de cálculo R2 por parte de la unidad de
activación AE mediante un segundo circuito de watchdog WDS2 a través
de un enlace de la segunda salida de watchdog WD2 con una segunda
entrada de watchdog AE2 de la unidad de activación AE y con la
ayuda de una señal periódica de watchdog wd2. Análogamente al primer
circuito watchdog WDS1, pone a cero la unidad de activación AE en
el caso del segundo circuito watchdog WDSE2 de la figura 1, cuando
la señal watchdog wds2 es inadmisible, la segunda unidad de cálculo
R2, así como también la primera unidad de cálculo R1, mediante la
señal de puesta a cero de la unidad de cálculo sae.
Alternativamente, puede pensarse no obstante
también en un sistema de circuitos en el que la salida de señal SAE
de la unidad de activación AE no esta conectada, tal como se muestra
en la figura 1, con ambas puertas ODER OR1 y OR2, sino sólo con la
segunda entrada de señal de la primera unidad ODER OR1. En
consecuencia, emite entonces la unidad de activación AE la señal de
puesta a cero de la unidad de cálculo sae solamente a la segunda
entrada de señal de la primera unidad ODER OR1, con lo que en caso
de falta del segundo circuito watchdog WDS2 sólo se pone a cero la
segunda unidad de cálculo R2 a través de la segunda entrada de reset
RESET2.
También el segundo circuito watchdog WDS2 puede
detectar de esta manera dado el caso errores de la segunda unidad
de cálculo R2, que no pueden tomarse de la señal de salida clk23 de
la segunda puerta Y AND2.
Cuando se realiza una o varias veces la puesta a
cero de al menos una de las dos unidades de cálculo R1 o R2
mediante al menos unos de ambos circuitos watchdog WDS1 y WDS2, se
activa una lámpara de alarma en el interior del vehículo como
indicación relativa a un posible funcionamiento incorrecto de la
unidad de control para el sistema de protección de ocupantes al
propietario del vehículo.
Al igual que en el ejemplo mostrado en la figura
1, pueden utilizarse simultáneamente ambos circuitos watchdog WDS1
y WDS2. No obstante, es igualmente posible prever sólo uno de ambos
circuitos watchdog WDS1 o WDS2 dentro de la unidad de control
correspondiente a la invención, que no obstante está conectado en
cada caso de tal manera que puede poner a cero al menos una de
ambas unidades de cálculo R1 y R2 y a elección también la unidad de
activación AE.
\newpage
La figura 2 muestra la unidad de control
correspondiente a la invención de la figura 1, pero ampliada en una
tercera puerta Y AND3. A la tercera puerta Y AND3 se llevan por el
lado de entrada las señales de reloj clk1 y clk2 de la primera
unidad de cálculo R1 y de la segunda unidad de cálculo R2. A la
salida de la señal de la tercera puerta Y AND3 se encuentra una
señal sumatoria lógica clk23 de ambas señales de reloj clk1 y clk2
de ambas unidades de cálculo R1 y R2, que se llevan en cada caso a
la segunda entrada de señal de la primera unidad comparadora de la
cantidad de impulsos PZVE1 y a la segunda unidad comparadora de la
cantidad de impulsos PZVE2. La correspondiente salida de señal de
la primera y de la segunda unidad comparadora de la cantidad de
impulsos PZVE1 y PZVE2 respectivamente, está conectada con el primer
dispositivo de puesta a cero RES1 o bien el segundo dispositivo de
puesta a cero RES2.
Una primera señal de salida sr1 del primer
dispositivo de puesta a cero RES1 de la primera unidad de cálculo
R1, se lleva a una entrada de la primera unidad ODER OR1. La señal
de salida de la primera unidad ODER OR1 está conectada con la
segunda entrada de reset RESET2, tal como ya se ha mencionado más
arriba. Análogamente está conectada una salida de señal sr2 del
segundo dispositivo de puesta a cero RES2 de la segunda unidad de
cálculo R2 con una entrada de señal de la segunda puerta ODER OR2.
La salida de señal de la segunda puerta ODER OR2 está conectada con
la primera entrada de reset RESET1 de la primera unidad de cálculo
R1, tal como igualmente se ha descrito bastante más arriba.
La señal de salida de la tercera puerta Y clk12
se evalúa de forma muy parecida a ambas señales de salida de ambas
puertas Y AND1 y AND2:
La primera unidad comparadora de la cantidad de
impulsos PZVE1 cuenta la cantidad de los impulsos recibidos en la
señal de salida clk12 de la tercera puerta Y AND3 y compara la
cantidad de los impulsos recibidos por unidad de tiempo con un
valor previamente determinado, que está memorizado por ejemplo en
una memoria RAM de la primera unidad de cálculo R1. Si se desvía
este valor más allá de una medida máxima admisible predeterminada
del valor memorizado, entonces activa la primera unidad comparadora
de la cantidad de impulsos PZVE1 el primer dispositivo de puesta a
cero RES1, que pone a cero la segunda unidad de cálculo R1
indirectamente a través de la puerta ODER OR1.
Igualmente calcula la segunda unidad comparadora
de la cantidad de impulsos PZVE2 la cantidad de impulsos recibidos
en la señal de salida clk12 de la tercera puerta Y AND3 y libera,
cuando se detecta una cantidad inadmisible de impulsos individuales
por unidad de tiempo, la activación del segundo dispositivo de
puesta a cero RES2, que a continuación pone a cero la primera
unidad de cálculo R1 indirectamente a través de la segunda puerta
ODER
OR2.
OR2.
Simultáneamente con la puesta a cero de la
primera unidad de cálculo R1 o de la segunda unidad de cálculo R2,
puede originarse en el ejemplo de ejecución de la figura 2, a través
de la tercera puerta ODER OR3, una puesta a cero de la unidad de
activación AE.
Añadiendo la tercera puerta Y AND3, pueden
ponerse a cero mutuamente, en consecuencia, las unidades de cálculo
R1 y R2 cuando está perturbada al menos una de las señales de reloj
de una de ambas unidades de cálculo R1 ó R2. Contrariamente a una
puesta a cero de al menos una de ambas unidades de cálculo R1 o R2 y
opcionalmente también de la unidad de activación AE en base a las
señales clk13 y clk23 de la primera puerta Y AND1 y de la segunda
puerta Y AND2, puede realizarse por lo tanto, mediante la evaluación
de la señal de salida clk12 de la tercera puerta Y AND3, con
completa independencia de la señal de reloj clk3 de la unidad de
activación AE, una puesta a cero de las unidades de cálculo R1 y R2
y ventajosamente también de la unidad de activación AE.
La figura 5 muestra resumidamente una posible
matriz de decisión, según la que pueden ponerse a cero ambas
unidades de cálculo R1, R2 y la unidad de activación AE de la unidad
de control correspondiente a la invención según la figura 2:
Un cero registrado en la matriz significa una
forma de funcionamiento correcta de las señales de reloj clk1,
clk2, clk3 de las señales de reloj clk13, clk12, clk23 combinadas
con lógica Y y también un funcionamiento correcto de la primera
unidad de cálculo R1, de la segunda unidad de cálculo R2 y de la
unidad de activación AE. Una X inscrita en la matriz de decisión
significa por el contrario una señal de reloj defectuosa clk1,
clk2, clk3 o una señal de reloj compuesta clk13, clk12 y clk23 o
bien un funcionamiento incorrecto de la primera unidad de cálculo
R1, de la segunda unidad de cálculo R2 o de la unidad de activación
AE.
Las flechas registradas en las tres últimas
filas señalan con sus puntas a aquellas unidades de cálculo R1 y R2
o bien a la unidad de activación AE que han sido puestas a cero por
las unidades de cálculo R1 o R2 o bien por la unidad de activación
AE en el punto de partida de la flecha.
Las columnas de la matriz de decisión de la
figura 5 han de leerse por lo tanto de la siguiente manera:
En la columna 1 funcionan correctamente todas
las señales de reloj clk1, clk2, clk3, clk13, clk12, clk23, ya que
también funcionan correctamente las unidades de cálculo
participantes R1, R2 y la unidad de activación AE.
En la segunda columna se ha registrado una señal
de reloj clk3 defectuosa de la unidad de activación AE. En
consecuencia son también defectuosas las señales de reloj combinadas
clk13 y clk23. La primera unidad de cálculo R1 que funciona
correctamente, pero también la segunda unidad de cálculo que
funciona correctamente, ponen a cero en este caso la unidad de
activación defectuosa AE.
En la tercera columna es defectuosa la señal de
reloj clk3 de la segunda unidad de cálculo R2. En consecuencia, son
también defectuosas las señales de reloj de ella deducidas clk12 y
clk23. En esta constelación la primera unidad de cálculo R1 de
funcionamiento correcto pondría a cero la unidad de cálculo
defectuosa R2. La unidad de activación AE funciona en este caso
ciertamente libre de errores, pero podría, en base al sistema de
circuitos mostrado en la figura 2, ser puesta a cero a través de la
tercera puerta Y igualmente mediante la primera unidad de cálculo
R1.
En la columna 4 funciona solamente de manera
correcta la primera unidad de cálculo R1 y pone a cero en
consecuencia la segunda unidad de cálculo defectuosa R2 y la unidad
de activación defectuosa AE.
Análogamente pone a cero la segunda unidad de
cálculo R2 de la columna 6, que funciona correctamente, la primera
unidad de cálculo defectuosa R1 y la unidad de activación AE
defectuosa.
En la columna 5 funciona, además de la unidad de
activación AE, también la segunda unidad de cálculo R2 conforme a
normas. Puesto que la detección de una primera unidad de cálculo R1
que funciona defectuosamente por parte de la segunda unidad de
cálculo R2 está disponible en el marco de la invención con más
rapidez que la función de puesta a cero de la unidad de activación
AE debido al primer circuito watchdog WDS1 de la figura 1 ó 2, pone
a cero la segunda unidad de cálculo R2 que funciona correctamente
primeramente la primera unidad de cálculo defectuosa R1 y sólo en
una segunda etapa e indirectamente a través de la tercera puerta Y
OR3, a elección, también la unidad de activación AE.
Quedan por aclarar aún ambos casos especiales de
las columnas 7 y 8:
El primer caso especial de la matriz de decisión
se muestra en la columna 7. Aquí funciona sólo la unidad de
activación AE conforme a las expectativas. Una puesta a cero de
ambas unidades de cálculo R1 y R2 se realiza por lo tanto en base a
ambos circuitos watchdog WDS1 y WDS2, a través de la que la unidad
de activación AE puede detectar el funcionamiento incorrecto de
ambas unidades de cálculo R1 y R2 y por lo tanto emite la señal de
reset sae para su puesta a cero.
En la columna 8 no funciona correctamente
ninguna de las unidades de cálculo R1 o R2 ni, lo que es igualmente
importante, la unidad de activación AE. Este error de la unidad de
control significa un error triple y por lo tanto es muy improbable.
Para este caso no puede predecirse el comportamiento del
circuito.
Claims (12)
1. Unidad de control para activar un dispositivo
de protección de ocupantes en un vehículo automóvil,
que incluye una primera unidad de cálculo (R1) y
una segunda unidad de cálculo (R2) y además una unidad de
activación (AE), recibiendo impulsos de reloj la primera unidad de
cálculo (R1) y la segunda unidad de cálculo (R2) y la unidad de
activación (AE), asíncronamente entre sí, y
- -
- la unidad de control incluye una primera y una segunda puertas lógicas Y (AND1, AND2),
- -
- la primera unidad de cálculo (R1) de la unidad de control presenta una primera unidad comparadora de cantidad de impulsos (PZVE1) y un primer dispositivo de puesta a cero (RES1),
- -
- la segunda unidad de cálculo (R2) de la unidad de control presenta una segunda unidad comparadora de la cantidad de impulsos (PZVE2) y un segundo dispositivo de puesta a cero (RES2),
- -
- a la primera puerta lógica Y (AND1) se lleva por el lado de entrada tanto la señal de reloj (clk1) de la primera unidad de cálculo (R1) como también la señal de reloj (clk3) de la unidad de activación (AE),
- -
- una salida (clk13) de la primera puerta lógica Y (AND1) está conectada con la entrada de la segunda unidad comparadora de la cantidad de impulsos (PZEV2),
- -
- una salida de la segunda unidad comparadora de la cantidad de impulsos (PZVE2) está conectada con la entrada del segundo dispositivo de puesta a cero (RES2),
- -
- una salida del segundo dispositivo de puesta a cero (RES2) está conectada directamente o indirectamente con una entrada de reset (RESET1) de la primera unidad de cálculo (R1), y
- -
- a la segunda puerta lógica Y (AND2) se lleva por el lado de la entrada tanto la señal de reloj (clk2) de la segunda unidad de cálculo (R2) como también la señal de reloj (clk3) de la unidad de activación (AE),
- -
- una salida (clk23) de la segunda puerta lógica Y (AND2) está conectada con la entrada de la primera unidad comparadora de la cantidad de impulsos (PZVE1),
- -
- una salida de la primera unidad comparadora de la cantidad de impulsos (PZEV1) está conectada con una entrada del primer dispositivo de puesta a cero (RES1),
- -
- una salida del primer dispositivo de puesta a cero (RES1) está conectada directa o indirectamente con una entrada de reset (RESET2) de la segunda unidad de cálculo (R2),
con lo que
- -
- el primer dispositivo de puesta a cero (RES1) pone a cero la segunda unidad de cálculo (R2) mediante la emisión de una primera señal de reset (sr1) cuando en la primera unidad comparadora de la cantidad de impulsos (PZVE1) detecta una cantidad de impulsos por unidad de tiempo inadmisible en la señal de salida de la segunda puerta Y (AND2) y
- -
- el segundo dispositivo de puesta a cero (RES2) pone a cero la primera unidad de cálculo (R1) emitiendo una segunda señal de reset (sr2) cuando la segunda unidad comparadora de la cantidad de impulsos (PZVE2) detecta una cantidad inadmisible de impulsos por unidad de tiempo en la señal de salida de la primera puerta Y (AND1).
2. Unidad de control según la reivindicación
1,
caracterizada porque
- -
- la unidad de control presenta una primera y una segunda puerta lógica ODER (OR1, OR2),
- -
- una salida del segundo dispositivo de puesta a cero (RES2) está conectada indirectamente a través de la segunda puerta ODER (OR2) con la entrada de reset (RESET1) de la primera unidad de cálculo (R1),
- -
- una salida del primer dispositivo de puesta a cero (RES1) está conectada indirectamente a través de la primera puerta ODER (OR1) con la entrada de reset (RESET2) de la segunda unidad de cálculo (R2),
con lo que
- -
- el primer dispositivo de puesta a cero (RES1) pone a cero la segunda unidad de cálculo (R2) mediante la emisión de una primera señal de reset (sr1) indirectamente a través de la primera puerta ODER (OR1), cuando la primera unidad comparadora de la cantidad de impulsos (PZVE1) detecta una cantidad inadmisible de impulsos por unidad de tiempo en la señal de salida (clk23) de la segunda puerta Y (AND2) y
- -
- el segundo dispositivo de puesta a cero (RES2) pone a cero la primera unidad de cálculo (R1) emitiendo una segunda señal de reset (sr2) indirectamente a través de la segunda puerta ODER (OR2), cuando la segunda unidad comparadora de la cantidad de impulsos (PZVE2) detecta una cantidad inadmisible de impulsos por unidad de tiempo en la señal de salida (clk13) de la primera puerta Y (AND1).
3. Unidad de control según la reivindicación 1 o
2,
caracterizada porque
- -
- el primer dispositivo de puesta a cero (RES1) y/o el segundo dispositivo de puesta a cero (RES2) está conectado con una entrada de RESET (RESETAE) de la unidad de activación (AE) directa o indirectamente,
con lo que
- -
- el primer dispositivo de puesta a cero (RES1) pone a cero la unidad de activación (AE) emitiendo una primera señal de reset de activador (sae1), cuando la primera unidad comparadora de la cantidad de impulsos (PZVE1) detecta una cantidad inadmisible de impulsos por unidad de tiempo en la señal de salida (clk23) de la segunda puerta Y (AND2) y/o
- -
- el segundo dispositivo de puesta a cero (RES2) pone a cero la unidad de activación (AE) emitiendo una segunda señal de RESET de activador (sae2) cuando la segunda unidad comparadora de la cantidad de impulsos (PZVE2) detecta una cantidad inadmisible de impulsos por unidad de tiempo en la señal de salida (clk13) de la primera puerta Y (AND1).
4. Unidad de control según una de las
reivindicaciones 1 a 3,
caracterizada porque
- -
- la unidad de control presenta una tercera puerta lógica Y (AND3),
- -
- a la tercera puerta lógica Y (AND3) se lleva por el lado de entrada la señal de reloj (clk1) de la primera unidad de cálculo (R1) y la señal de reloj (clk2) de la segunda unidad de cálculo (R2),
- -
- la señal de salida (clk12) de la tercera puerta lógica Y (AND3) está conectada tanto con la entrada de la primera unidad comparadora de la cantidad de impulsos (PZVE1) como también con la entrada de la segunda unidad comparadora de la cantidad de impulsos (PZVE2),
con lo que
- -
- el primer dispositivo de puesta a cero (RES1) pone a cero la segunda unidad de cálculo (R2) emitiendo una primera señal de reset (sr1) cuando la primera unidad comparadora de la cantidad de impulsos (PZVE1) detecta una cantidad inadmisible de impulsos por unidad de tiempo en la señal de salida (clk12) de la tercera puerta Y (AND3) y
- -
- el primer dispositivo de puesta a cero (RES2) pone a cero la primera unidad de cálculo (R1) y emite una segunda señal de reset (SR2) cuando la segunda unidad comparadora de la cantidad de impulsos (PZVE2) detecta una cantidad inadmisible de impulsos por unidad de tiempo en la señal de salida (clk12) de la tercera puerta Y (AND3).
5. Unidad de control según una de las
reivindicaciones precedentes,
caracterizada porque
- -
- una entrada de watchdog (vigilante) de la unidad de activación (AE1) está conectada con una primera salida de watchdog (WD1) de la primera unidad de cálculo (R1),
- -
- una salida de puesta a cero de la unidad de cálculo (SAE) de la unidad de activación está conectada directa o indirectamente a través de la segunda puerta ODER (OR2) con la entrada de RESET (RESET1) de la primera unidad de cálculo (R1),
con lo que
- -
- la unidad de activación (AE) emite una señal de puesta a cero de la unidad de cálculo (sae) directa o indirectamente a través de la segunda puerta ODER (OR2) a la entrada de reset (RESET1) de la primera unidad de cálculo (R1), cuando la unidad de activación (AE) recibe una señal de watchdog (wd1) inadmisible de la primera salida de vigilancia (WD1).
6. Unidad de control según una de las
reivindicaciones precedentes,
caracterizada porque
- -
- una entrada de señal de la unidad de activación (AE) está conectada con una segunda salida de watchdog (WD2) de la segunda unidad de cálculo (R2),
- -
- la salida de reposición de la unidad de cálculo (SAE) de la unidad de activación (AE) está conectada directa o indirectamente a través de la primera puerta ODER (OR1) con la entrada de RESET (RESET2) de la segunda unidad de cálculo (R2),
con lo que
- la unidad de activación (AE) emite la señal de puesta a cero de la unidad de cálculo (sae) directa o indirectamente a través de la primera puerta ODER (OR1) a la entrada de reset de la segunda unidad de cálculo (RESET2) cuando la unidad de activación (AE) recibe una segunda señal de watchdog (wd2) inadmisible de la segunda salida de watchdog (WD2).
7. Procedimiento para la vigilancia del
funcionamiento correcto de una unidad de control según una de las
reivindicaciones 1 a 6,
en el que
- -
- a partir de ambas señales de reloj (clk1, clk3) de una primera unidad de cálculo (R1) y de una unidad de activación (AE), se genera mediante una primera combinación lógica (AND1), de una primera señal combinada (clk13),
- -
- una segunda unidad de cálculo (R2) computa durante una ventana de tiempo la cantidad de impulsos de la primera señal combinada (clk13),
- -
- la segunda unidad de cálculo (R2) compara la cantidad de pulsos computados con un valor de referencia, que está archivado en la memoria de la segunda unidad de cálculo (R2) y
- -
- la segunda unidad de cálculo (R2) emite una señal de puesta a cero a una primera entrada de reset (RESET1) de la primera unidad de cálculo (R1) cuando la cantidad de impulsos computados excede de una desviación admisible respecto al valor de referencia de la memoria de la segunda unidad de cálculo (R2).
8. Procedimiento según la reivindicación 7,
caracterizado porque
- -
- a partir de ambas señales de reloj (clk2, clk3) de la segunda unidad de cálculo (R1) y de la unidad de activación (AE), mediante una segunda combinación lógica (AND2), se genera una segunda señal combinada (clk23),
- -
- la primera unidad de cálculo (R1) computa durante una ventana de tiempo la cantidad de impulsos de la segunda señal combinada (clk23),
- -
- la primera unidad de cálculo (R1) compara la cantidad de impulsos computados con un valor de referencia que está archivado en la memoria de la primera unidad de cálculo (R1) y
- -
- la primera unidad de cálculo (R1) emite una señal de puesta a cero a una segunda entrada de reset (RESET2) de la segunda unidad de cálculo (R2) cuando la cantidad de impulsos computados se desvía en más de una medida admisible del valor de referencia.
9. Procedimiento según una de las
reivindicaciones 7 u 8,
caracterizado porque
- -
- la primera unidad de cálculo (R1) pone a cero la unidad de activación (AE) mediante la emisión de una primera señal de reset del activador (sae1), cuando la primera unidad de cálculo (R1) detecta una cantidad inadmisible de impulsos por unidad de tiempo en la segunda señal combinada y/o
- -
- la segunda unidad de cálculo (R2) pone a cero la unidad de activación (AE) emitiendo una segunda señal de reset del activador (sae2) cuando la segunda unidad de cálculo (R2) detecta una cantidad inadmisible de impulsos por unidad de tiempo en la primera señal combinada (clk13).
10. Procedimiento según una de las
reivindicaciones 7 a 9,
caracterizado porque
- -
- a partir de ambas señales de reloj (clk1, clk3) de la primera unidad de cálculo (R1) y de la segunda unidad de cálculo (R2), mediante una tercera combinación lógica (AND3), se genera una tercera señal combinada (clk12),
- -
- tanto la primera unidad de cálculo (R1) como también la segunda unidad de cálculo (R2) computa durante una ventana de tiempo la cantidad de impulsos de la tercera señal combinada (clk12),
- -
- tanto la primera unidad de cálculo (R1) como también la segunda unidad de cálculo (R2) compara la cantidad de impulsos computados con en cada caso un valor de referencia, que está archivado en la memoria de la primera unidad de cálculo (R1) o bien en la memoria de la segunda unidad cálculo (R2),
- -
- la primera unidad de cálculo (R1) pone a cero la segunda unidad de cálculo (R2) emitiendo una primera señal de reset (sr1) cuando la primera unidad de cálculo (R1) detecta una cantidad inadmisible de impulsos por unidad de tiempo en la tercera señal combinada (clk12) mediante la comparación con el correspondiente valor de referencia, y
- -
- la segunda unidad de cálculo (R2) pone a cero la primera unidad de cálculo (R1) emitiendo una segunda señal de reset (sr2) cuando la segunda unidad de cálculo (R2) detecta una cantidad inadmisible de impulsos por unidad de tiempo en la tercera señal combinada (clk12) mediante la comparación con el correspondiente valor de referencia.
11. Procedimiento según una de las
reivindicaciones 8 a 10,
caracterizado porque
- -
- a una primera entrada de vigilancia (AE1) de la unidad de activación (AE) se lleva una primera señal de watchdog (wd1) de una primera salida de vigilancia (WD1) de la primera unidad de cálculo (R1) y a continuación
- -
- una salida de puesta a cero de la unidad de cálculo (SAE) de la unidad de activación (AE) emite una señal de puesta a cero de la unidad de cálculo (sae) a la primera entrada de reset (RESET1) de la primera unidad de cálculo (R1), cuando la primera señal de watchdog (wd1) es inadmisible,
y/o
- -
- a una segunda entrada de vigilancia (AE2) de la unidad de activación (AE) se lleva una segunda señal de watchdog (wd2) desde la segunda salida de vigilancia (WD2) de la segunda unidad de cálculo (R2) y a continuación
- -
- la primera salida de puesta a cero de la unidad de cálculo (SAE) de la unidad de activación (AE) emite la señal de puesta a cero de la unidad de cálculo (sae) a la segunda entrada de reset (RESET2) de la segunda unidad de cálculo (R2), cuando la segunda señal de watchdog (wd2) es inadmisible.
12. Procedimiento según una de las
reivindicaciones 7 a 11,
caracterizado porque
- -
- una de ambas unidades de cálculo (R1, R2) de la unidad de control de un sistema de protección de ocupantes de un vehículo automóvil, tras una o repetidas puestas a cero de la correspondiente otra unidad de cálculo (R1, R2) o de la unidad de activación (AE), desactiva al menos parcialmente el sistema de protección de ocupantes y/o visualiza al ocupante del vehículo las características de funcionamiento erróneo de la unidad de control y la desactivación al menos parcial del elemento de protección de ocupantes.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE10252990A DE10252990B3 (de) | 2002-11-14 | 2002-11-14 | Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit |
| DE10252990 | 2002-11-14 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2282683T3 true ES2282683T3 (es) | 2007-10-16 |
Family
ID=32010489
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES03767420T Expired - Lifetime ES2282683T3 (es) | 2002-11-14 | 2003-11-12 | Unidad de control para activar un dispositivo de proteccion de ocupantes en un vehiculo automovil y procedimiento para vigilar el correcto funcionamiento de una unidad de control, ventajosamente de este tipo. |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7426430B2 (es) |
| EP (1) | EP1561165B1 (es) |
| JP (1) | JP4107671B2 (es) |
| DE (2) | DE10252990B3 (es) |
| ES (1) | ES2282683T3 (es) |
| WO (1) | WO2004043737A2 (es) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10350853A1 (de) * | 2003-10-31 | 2005-06-02 | Conti Temic Microelectronic Gmbh | Schaltungsanordnung zum Überwachen einer Kraftfahrzeug-Sicherheitseinrichtung |
| DE102004056416A1 (de) * | 2004-11-23 | 2006-05-24 | Robert Bosch Gmbh | Beschleunigungssensor in einem Steuergerät |
| US7436291B2 (en) * | 2006-01-03 | 2008-10-14 | Alcatel Lucent | Protection of devices in a redundant configuration |
| JP2013156207A (ja) * | 2012-01-31 | 2013-08-15 | Semiconductor Components Industries Llc | 流体の流量測定装置 |
| DE102012216529B4 (de) * | 2012-09-17 | 2020-09-17 | Robert Bosch Gmbh | Verfahren zur Auslösung zumindest eines Personenschutzmittels sowie System und Computerprogrammprodukt zur Durchführung des Verfahrens |
| JP6022965B2 (ja) * | 2013-02-15 | 2016-11-09 | 株式会社マキタ | 電動工具用装置 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3659089A (en) * | 1970-12-23 | 1972-04-25 | Ibm | Error detecting and correcting system and method |
| JPS5870035A (ja) * | 1981-10-21 | 1983-04-26 | Nippon Soken Inc | 車両用定速走行制御方法及びその装置 |
| DE3700986C2 (de) * | 1987-01-15 | 1995-04-20 | Bosch Gmbh Robert | Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug |
| DE3926377C2 (de) | 1989-08-04 | 2003-03-06 | Bosch Gmbh Robert | Elektronisches Steuergerät für eine Brennkraftmaschine |
| DE4004709C2 (de) | 1990-02-15 | 1999-01-07 | Bosch Gmbh Robert | Rechnersystem |
| DE4039355C2 (de) * | 1990-12-10 | 1998-07-30 | Bosch Gmbh Robert | Vorrichtung zur Funktionsüberprüfung einer Watchdog-Schaltung |
| JPH064353A (ja) * | 1992-06-17 | 1994-01-14 | Sumitomo Electric Ind Ltd | 複数のマイクロコンピュータの相互監視回路 |
| FR2744862B1 (fr) * | 1996-02-12 | 1998-04-30 | Motorola Semiconducteurs | Circuit de commande de l'alimentation electrique d'un element allumeur |
| JP3473399B2 (ja) * | 1998-05-18 | 2003-12-02 | セイコーエプソン株式会社 | 制御システムにおけるクロック動作監視装置及び方法 |
| DE10030991A1 (de) * | 2000-06-30 | 2002-01-10 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Synchronisation eines Rechners und einer Überwachungsschaltung |
| DE10049440A1 (de) * | 2000-10-06 | 2002-04-11 | Daimler Chrysler Ag | Verfahren zum Betrieb eines von einem Prozessor gesteuerten Systems |
| DE10056408C1 (de) * | 2000-11-14 | 2002-03-07 | Bosch Gmbh Robert | Vorrichtung zur Überwachung eines Prozessors |
| DE10151012A1 (de) * | 2001-10-16 | 2003-04-17 | Volkswagen Ag | Rechnersystem |
-
2002
- 2002-11-14 DE DE10252990A patent/DE10252990B3/de not_active Expired - Fee Related
-
2003
- 2003-11-12 US US10/535,126 patent/US7426430B2/en not_active Expired - Fee Related
- 2003-11-12 WO PCT/DE2003/003737 patent/WO2004043737A2/de not_active Ceased
- 2003-11-12 DE DE50307259T patent/DE50307259D1/de not_active Expired - Fee Related
- 2003-11-12 JP JP2004550649A patent/JP4107671B2/ja not_active Expired - Fee Related
- 2003-11-12 EP EP03767420A patent/EP1561165B1/de not_active Expired - Lifetime
- 2003-11-12 ES ES03767420T patent/ES2282683T3/es not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| WO2004043737A3 (de) | 2005-03-24 |
| EP1561165A2 (de) | 2005-08-10 |
| JP4107671B2 (ja) | 2008-06-25 |
| WO2004043737A2 (de) | 2004-05-27 |
| DE10252990B3 (de) | 2004-04-15 |
| JP2006506263A (ja) | 2006-02-23 |
| US20060064217A1 (en) | 2006-03-23 |
| EP1561165B1 (de) | 2007-05-09 |
| US7426430B2 (en) | 2008-09-16 |
| DE50307259D1 (de) | 2007-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2664573T3 (es) | Aparato de control para un dispositivo de protección de pasajeros de vehículos o peatones y un sistema de control | |
| ES2548296T3 (es) | Método para el registro de datos y sistema de registro de datos | |
| ES2281781T3 (es) | Sistema de retencion de pasajero de vehiculo con sensores distribuidos. | |
| JP4431542B2 (ja) | 監視システムにおける誤通知を抑制する方法および装置 | |
| ES2557520T3 (es) | Dispositivo de seguridad para el control de varios canales de una instalación técnica de seguridad | |
| US20200198466A1 (en) | Dynamically Re-Configurable Displays With Reconfigurable Regions Of Interest For Safety Critical Content | |
| JPS6345697A (ja) | 侵入者検出装置 | |
| ES2282683T3 (es) | Unidad de control para activar un dispositivo de proteccion de ocupantes en un vehiculo automovil y procedimiento para vigilar el correcto funcionamiento de una unidad de control, ventajosamente de este tipo. | |
| US4488303A (en) | Fail-safe circuit for a microcomputer based system | |
| JPS6377244A (ja) | 通信制御装置 | |
| ES2781853T3 (es) | Instalación de quemador con un dispositivo de seguridad | |
| US7337048B2 (en) | Vehicular occupant protection system | |
| ES2342550T3 (es) | Metodo y dispositivo para el monitoreo de una ejecucion de un proceso. | |
| EP1953044B1 (en) | Air-bag controller | |
| ES2363815T3 (es) | Sensor de accidente y método para el procesamiento de, al menos, una señal de medición. | |
| CN111196244B (zh) | 用于检测车辆带扣的装置和包括该装置的车辆系统 | |
| US8376399B2 (en) | Control unit and method for controlling occupant protection means for a vehicle | |
| ES2227039T3 (es) | Sistema de mando para un miembro de ajuste enu vehiculo automovil. | |
| CN119543041A (zh) | 过流保护的自检电路以及过流保护的自检方法 | |
| JPH10194075A (ja) | エアバッグ用起爆装置 | |
| JP2012183877A (ja) | 車両用乗員保護システムの検知処理装置 | |
| US20060009958A1 (en) | Open-loop and closed-loop control unit | |
| JP6263649B2 (ja) | プログラマブルデバイス及びそれを用いた制御装置、及びその障害対策方法 | |
| ES2796083T3 (es) | Procedimiento de parada de emergencia y sistema de seguridad asociado | |
| JP2017007539A (ja) | 制御装置 |