技术领域
[0001] 本
发明涉及一种用于监测和控制底盘系统的气动高度调节系统/行驶高度调节(Niveauregelsystem)的方法、一种用于监测和控制底盘系统的气动高度调节系统的装置以及一种
计算机程序产品。
背景技术
[0002] ISO26262、即机动车中的与安全关系重大的电/
电子系统的ISO标准在其处理
框架和处理模型内部要求执行危险分析和
风险评估。为此,首先必须
鉴别机动车的电/电子系统的潜在危险。这通过考察在特殊危险状况中所研究的系统的错误功能来进行。接着,将每个危险以安全要求等级分类到多个类型中或者说归类为不是与安全关系重大。在ISO26262中,风险分析借助于确定的定性措施来进行。为此,对于每个鉴别的危险必须逐个地评估作用的严重程度、危险状况的
频率和在对应的危险状况中错误功能的可控性,例如通过驾驶员。然后对于危险可从预给定的表格读出作为不是与安全关系重大(QM——Quality Management)或作为确定类别危险(ASIL Klasse A-D)的分级,其中,ASIL代表Automotive Safety Integrity Level。
[0003] 随着ASIL的升高,对安全的要求也提高。按照
现有技术,迄今仍没有根据ISO标准26262在机动车的与安全关系重大的电/电子系统例如底盘系统的气动高度调节系统中进行系统的持续的危险分析和风险评估、根据ISO标准26262的分级体系对危险潜在性的评价并且自动转换由ISO标准26262的处理框架和处理模型提供的用于满足对应的安全要求的措施的计算机执行的方法。
发明内容
[0004] 与此相应,本发明的目的在于,提供一种改善的用于监测和控制底盘系统的气动高度调节系统的方法、一种改善的用于监测和控制底盘系统的气动高度调节系统的装置以及一种改善的计算机程序产品。
[0005] 本发明所基于的目的分别通过独立
权利要求的特征来实现。本发明的优选实施形式在
从属权利要求中给出。
[0006] 提供了一种计算机执行的用于监测和控制底盘系统的气动高度调节系统的方法,其中,所述方法包括下列步骤:
[0007] -重复测量底盘系统的当前行驶高度,
[0008] -识别至少一个预确定的行驶高度
阈值被底盘系统的当前行驶高度超过,其中,给行驶高度阈值配置有时间段阈值,
[0009] -重复测量底盘系统的当前行驶高度超过所述至少一个预确定的行驶高度阈值的时间段,
[0010] -识别配置给所述至少一个预确定的行驶高度阈值的预确定的时间段阈值被所测量的时间段超过,
[0011] -重复检验是否所述至少一个行驶高度阈值以及所配置的时间段阈值被超过,[0012] -如果情况如此,则自动触发预确定的技术措施,所述预确定的技术措施至少适用于避免底盘系统的当前行驶高度进一步升高和/或提高底盘系统的
稳定性,[0013] -当重复的检验得出底盘系统的当前行驶高度低于所述至少一个行驶高度阈值和所配置的时间段阈值时,去激活自动触发的措施。
[0014] 由此,根据本发明的实施形式,提供了一种监测和控制原理,用于鉴别危险潜在性以及用于对在触发预确定的用于降低安全风险的正常对策的同时对底盘系统通过气动高度调节系统进行的带有误差的行驶高度调整进行风险评价,所述安全风险由底盘系统的过高的行驶高度产生。所述的方法由此根据ISO26262的要求实施关于底盘系统的行驶高度的重复的危险分析和风险评估,其中,首先将车辆由于过高的行驶高度而被评估为“行驶动态临界”至“不可行驶”的状况分级为危险。在此,作为车辆的底盘系统的明显过高的行驶高度是明显高于调节区域的行驶高度,其中,车辆表现出非常强的过度转向的行驶特性(当后轴明显过高时)或者说不足转向的行驶特性(当前轴明显过高时)。不足转向的行驶特性虽然总体上被分级为不太临界,但过度转向的行驶特性包含高的危险等级。过度转向的行驶特性由此不是所设置的系统特性并且由于误差而被达到。
[0015] 因此,根据
质量管理的规则,重复地执行分级的误差分析、对策的自动引入、所引入的对策的测量技术上的评估。这具有优点:ISO标准26262的要求被有效地满足。通过确定行驶高度阈值和时间段阈值,执行用于定量评价电/电子系统、在此情况下为车辆的气动行驶高度调节装置的安全风险的可测量的准则。一旦误差被消除了,关于底盘系统的行驶高度的重复的实际-给定比较、用于鉴别带有误差的行驶高度调整的预确定的行驶高度阈值和时间段阈值的超过的识别、引起行驶高度的降低和/或车辆稳定性的提高的措施的自动引入、所引入的对策的重复的测量技术上的评估以及所触发的措施的自动去激活就是ISO26262所要求的质量和误差管理的全部阶段(Plan,Do,Check,Act)的适合实现。
[0016] 根据本发明的一个实施形式,在重复测量底盘系统的当前行驶高度时执行所测量的高度
信号的频率评价,其中,分析处理在不同的行驶动作时对行驶动
力学参量的影响和/或考虑底盘系统的在重量方面的负载度。
[0017] 这可具有优点:在鉴别带有误差的行驶高度调整时,不仅所测量的行驶高度高度本身单独地而且另外的影响参量都得到考虑。在分类为安全风险时进行代表底盘系统的当前行驶高度状态的所测量的高度信号的频率的分析处理——在考虑不同的行驶动作(例如恒定的速度、减速、
加速、起步、
制动动作、换挡、直线驶出、具有不同横向加速度的左弯道和右弯道)时变化的行驶动力学参量的情况下、在考虑路面特征(例如平整的
沥青、颠簸沥青、粗鹅卵石、细鹅卵石、差道路、
马路牙子起步)的情况下以及在考虑车辆的负载状态(例如单独驾驶员、两个人和行李、全负荷、
挂车运行)的情况下。因此,为了在超过设定的行驶高度阈值时评价底盘系统的当前行驶高度,不仅考虑时间段阈值的超过,而且一起考虑车辆特性以及外部环境。另外,这可具有优点:带有误差的误差通知的数量降低。
[0018] 根据本发明的一个实施形式,在底盘系统的当前行驶高度降低的情况下在对所测量的高度信号的频率进行评价是否所测量的高度信号低于预确定的行驶高度阈值时,考虑所测量的高度信号的
迟滞特性。
[0019] 这可具有优点,不是仅在单纯短时间超过阈值时就立即产生误差通知作为对给定偏差的反应,而是可根据另外的在此之后的高度信号根据其测量值来明确是单义地超过阈值还是否。在测量高度信号时对迟滞特性的考虑由此允许消除通过由于例如气动执行器系统的机械间隙或高度
传感器的测量
精度产生的调节
波动而造成的影响。由此可设计通过分析处理另外的高度信号而对当前行驶高度的给定偏差延迟地反应,这附加地降低误差通知的比率。
[0020] 根据本发明的一个实施形式,所述方法还包括重复监测和鉴别气动高度调节系统的气动执行器系统的过程和部件。
[0021] 这可具有优点:安全风险的鉴别不仅借助于测量气动行驶高度来进行,而且通过监测气动调节装置内部的技术过程来进行。因此,安全风险的鉴别例如也可通过监测
弹簧腿
位置或通过鉴别朝危险和高临界区域的方向的调节过程来进行,例如接近
进程界限。另一方面,气动行驶高度调节装置的过程和部件的监测和鉴别、例如借助于
阀转换状态的鉴别对空气供给关闭的运行模式中的调节过程的识别可用于高于阈值的高度信号的误差分析。
[0022] 此外,气动调节装置的过程和部件的监测和鉴别对于合适的用于排除或降低安全风险的技术措施的鉴别是有利的。因此例如可通过鉴别在根据气动转换进行上调期间工作的阀来识别底盘系统的错误上调并且阻止继续上调。气动调节装置的过程和部件的重复的监测和鉴别由此允许鉴别带有误差的行驶高度调整的原因。因此,例如可在借助于鉴别阀位置来识别带有误差的调节之后执行技术对策,例如改变阀转换状态用于引入底盘系统的下调过程。
[0023] 通过重复地监测和鉴别作为对策引入的过程也可进行重复品质检验,其中,通过所测量的稳定信号的改变以及通过气动行驶高度调节装置的部件的可理解的改变的位置可进行同时的确认。高度信号测量和气动调节装置的过程和部件的重复的监测和鉴别由此在对安全风险进行鉴别和分类时、在误差分析时以及在引入用于重复建立底盘系统的功能安全性的对策时进行补充。
[0024] 根据本发明的一个实施形式,在底盘系统的当前行驶高度超过所述至少一个行驶高度阈值和所配置的时间段阈值的情况下,技术措施包括:
[0025] -控制气动调节系统的气动执行器系统的过程和部件,
[0026] -接通保证底盘系统的稳定性的附加系统、尤其是
电子稳定程序,和/或[0027] -正常调整用于降低底盘系统的速度的车辆部件。
[0028] 在进行了对安全临界的行驶高度的鉴别之后可通过所述方法引入不同类型的用于消除或降低底盘系统的安全风险的对策。因此,例如可通过去激活气动执行器系统来中断上调过程。另一方面,在已知安全危险时,自动强制接通先前通过车辆使用者去激活的
电子稳定控制系统。另一个类型的对策涉及
发动机管理,其中,例如在危险情况下自动限制速度。
[0029] 这可具有优点:视安全风险的
临界状态的分级和高度而定,全部对策可以或者同时地、以合适的组合或者单独地引入。可由所述监测和控制原理作出或者说触发的措施或动作可视车辆使用者的期望而定按方案来优先化并且适配于对应的车辆特性。
[0030] 另外,根据本发明的一个实施形式,所述方法还包括分析处理所引入的技术措施。
[0031] 这具有优点:不仅满足ISO标准26262关于重复评价措施的要求,而且可能情况下对车辆的行驶质量具有不利影响的技术措施又取消,因为安全风险被消除了。
[0032] 根据本发明的一个实施形式,在超过所述至少一个行驶高度阈值和所配置的时间段阈值时设定用于记录和/或用于误差诊断的预确定的误差输入。
[0033] 这可具有优点:例如借助于所设定的误差代码加速误差诊断,允许记录和保存所出现的误差和/或也自动开始基于误差代码的应急运转。
[0034] 根据本发明的一个实施形式,在超过所述至少一个行驶高度阈值和所配置的时间段阈值时设定用于对所述超过进行分类的预确定的警报等级,其中,根据警报等级引入预确定的技术措施至少之一,该预确定的技术措施适用于使底盘系统的当前行驶高度降低到所述至少一个行驶高度阈值以下和/或提高底盘系统的稳定性。
[0035] 不同的警报等级的确定和经鉴别的带有误差的行驶高度调整的配置实现按ISO标准26262要求将安全风险例如分级为ASIL-类别A至D。同时,根据安全危险等级的严重程度可引入合适的用于降低底盘系统的行驶高度和/或用于提高底盘系统的稳定性的技术措施。所述发明由此包括ISO标准26262所要求的用于ASIL划分的规则以及用于临界状态分析的规则。设定不同警报等级的可能实施形式例如也可通过不同的声学信号和/或以不同
颜色发光的警报灯在技术上转换。
[0036] 根据本发明的一个实施形式,在超过所述至少一个行驶高度阈值和所配置的时间段阈值时将至少一个信息信号和/或至少一个命令发送给另外的可确定的
接口,所述接口适用于引入用于降低当前行驶高度和/或用于提高底盘系统的稳定性的措施。
[0037] 这可具有优点:底盘系统的带有误差的行驶高度调整的鉴别在可任意确定的接口上借助于信息信号(例如声学信号或黄色警报灯)和/或用于引入通过外部
软件部件控制的对策的命令到现有软件架构的其它部分中。因此例如可在组合仪表中向车辆使用者提供用于手动引入对策的特殊指示。同时,车辆使用者可通过关于任意措施的所发送的文本通告及时地获得信息。
[0038] 通过另外的可这样确定的接口可将关于行驶高度调整的误差和/或所引入的措施的鉴别的信息通信给车辆其它系统,由此,允许车辆的不同系统相协调。同时,所述发明的接口兼容性可在专
门的安全软件中实现表现在
算法方面的方法的封装,所述安全软件例如可与纯粹的功能软件并行地转换并且绝不与其它环境软件具有横向联系。因此,同时可提供获得或者说交换车辆中的软件架构的已经存在的软件部分的可能性,而不必改变与安全关系重大的功能。同时,通过并行地设置和封装安全软件,所述安全软件可以以低投入比在任何时候允许整个软件定性和测试的情况更全面地、定性地且更有效地来测试。
[0039] 在另一个方面,本发明涉及一种计算机程序产品,具有可由处理器实施的用于执行上述方法的指令。
[0040] 在另一个方面,本发明涉及一种控制装置,用于监测和控制底盘系统的气动调节系统,具有:
[0041] -用于重复测量底盘系统的当前行驶高度的装置,
[0042] -用于识别至少一个预确定的行驶高度阈值被底盘系统的当前行驶高度超过的装置,其中,给行驶高度阈值配置有时间段阈值,
[0043] -用于重复测量底盘系统的当前行驶高度至少超过一个预确定的行驶高度阈值的时间段的装置,
[0044] -用于识别配置给所述至少一个预确定的行驶高度阈值的预确定的时间段阈值被时间段超过的装置,
[0045] -用于重复检验是否所述至少一个行驶高度阈值以及所配置的时间段阈值被超过的装置,
[0046] -用于当所述至少一个行驶高度阈值以及所配置的时间段阈值被超过时自动触发预确定的技术措施的装置,所述预确定的技术措施适用于使底盘系统的当前行驶高度降低到所述至少一个行驶高度阈值以下和/或提高底盘系统的稳定性,
[0047] -用于当所述检验得出底盘系统的当前行驶高度低于所述至少一个行驶高度阈值和所配置的时间段阈值时去激活自动触发的措施的装置。
附图说明
[0048] 下面借助于下列附图详细描述本发明的优选实施形式。附图表示:
[0049] 图1用于解释软件架构的
框图,所述软件架构具有嵌入的用于监测和控制底盘系统的气动高度调节系统的安全软件,
[0050] 图2在带有误差地上调时高度信号走势,示出了确定的警报阈值,
[0051] 图3用于解释各个警报等级的激活的
流程图。
具体实施方式
[0052] 图1示出了用于解释安全软件115通过入口点[ASIL Input Interface]109和阀转换状态分析处理模
块[Functionality:Valve State Processing Unit]114到气动执行器系统[Actuators]102以及通过ASIL-入口点[ASIL Input Interface]109在功能模块111中
脉宽调制[Conversion PWMto Height]之后到高度传感器[Height Sensor]101的接口的框图。在此,场总线系统[CAN]157设定到
电子控制单元[ECU]103的分级等级[L1(QM)]107以及到将安全风险至少分级为类别ASIL-A[L3(min.ASIL-A)]108的分级等级[L2(min.ASIL-A)]159的接口。
[0053] 在分级为具有分级等级QM[L1(QM)]107的“不是与安全关系重大”的情况下、在安全风险至少分级为具有分级等级[L2(min.ASIL-A)]159的类别ASIL-A以及接着以分析处理提供指向ASIL-输入接口[ASIL Input Interface]109的询问[Question]155的回答[Question]156形式分析处理对策的情况下根据安全风险的分级示出了电子控制单元[ECU]103的功能。
[0054] 高度传感器[Height Sensor]101通过ASIL-输入接口[ASIL Input Interface]109将关于底盘系统的行驶高度的所测量的高度的信息发送给变换模块111,其中,进行脉宽调制[Conversion PWM to Height]、借助于传感器安装位置112进行传感器定向[Sensor Orientation]以及进行高度传感器[Height Sensor]101的校准[Height Sensor Calibration]113。脉宽调制的高度数据[h[mm]]在步骤129中在传输高度的误差状态[h_E]
130的同时传送给具有安全监视器115的安全软件。
[0055] 从气动执行器系统[Actuators]102通过ASIL-输入接口[ASIL InputInterface]109将关于
电流[I[mA]]131和电流的误差状态[I_E]132的信息发送给阀转换状态分析处理模块[Functionality:Valve State Processing Unit]114。从阀转换状态分析处理模块[Functionality:Valve State Processing Unit]114起,关于阀转换状态[Valve[0/1]]
133以及关于阀的误差状态[Valve_E]134的信息发送给具有安全监视器115的安全软件。
[0056] 在安全模块[Functionality:Safety Monitor]115中,在步骤[EVS]118中进行阀状态的分析处理,在步骤[ECD]119中进行车辆动态的分析处理,在步骤[CHS]120中进行高度信号的调控,在步骤[UPD]121中进行上调识别,在步骤[DND]122中进行下调识别。
[0057] 通过ASIL-输入接口[ASIL Input Interface]109也将关于车辆速度[v[kph]]135、关于车辆速度的误差状态[v_E]136、关于纵向加速度[a_long[m/s2]]137、关于纵向加速度的误差状态[a_long_E]138、关于横向加速度[a_lat[m/s2]]139以及关于横向加速度的误差状态[a_lat_E]140的信息发送给具有安全监视器115的安全模块[Functionality:
SafetyMonitor]115。
[0058] 在存在错误功能[MB2]124、[MB3]125、[M42]126和/或[MB6]127时,通过用于生成安全动作[GSA]128的模块进行误差
存储器输入[FaultEntries]154的设定(Setzung)、用于前轴的上调禁令[FA_upforbid]144的命令的产生、用于后轴的上调禁令[FA_dnforbid]145的命令的产生、用于前轴的下调禁令[RA_upforbid]146的命令的产生、用于后轴的下调禁令[RA_dnforbid]147的命令的产生、信号灯[SiLa]149闪烁的关断[SwitchOFF]148、触发、警报灯[WaLa]150的激活、文本消息[Txtmsg]151的产生、电子稳定程序[ESC]152的强制接通和/或速度限制[FaultEntries]153。
[0059] 用于关断148的命令通过ASIL-输入接口[ASIL Output Interface]110通过
驱动器组件[Driver]116到达气动执行器系统[Actuators]102,这意味着气动执行器系统[Actuators]102关断。用于激活信号灯[SiLa]149、用于激活警报灯[WaLa]150、用于产生文本消息[Txtmsg]151、用于强制接通电子稳定程序[ESC]152以及用于速度限制[v-Limit]153的命令通过ASIL-输出接口[ASIL Output Interface]110到达场总线系统[CAN]157,所述场总线系统[CAN]基本上与用于发动机控制的外部控制网络单元[External ECU]158处于连接。安全模块[Functionality:Safety Monitor]115由此可通过产生用于速度限制的命令使车辆的其它
硬件部件运动,以便主动地运行发动机管理。监测组件[WatchDog]117监测驱动器组件[Driver]116,所述驱动器组件[Driver]可引起气动执行器系统[Actuators]
102的操纵。
[0060] 图2示出了底盘元件的示例性的高度信号走势,具有
指定的警报等级h1、h2和h3267、268、269,所述警报等级分别具有配置的时间段阈值t1、t2和t3270、271、272。所测量的高度信号的所示的走势在其左侧的子区域中例如可表示带有误差的上调,其相继超过第一警报等级h1267、第二警报等级h2268和第三警报等级h3269,对应超过配置的时间段阈值t1、t2和t3270、271、272。
[0061] 在此,高度信号曲线穿过不同的区。最左侧,高度信号曲线在正常的调节区域260内部延伸,所述正常的调节区域向上通过越野行驶高度[Offroad level]262限定边界。在此,越野行驶高度在此是最高的可正常调整的底盘行驶高度的同义词。直到该极限,在所实施的调节方案范围内进行正常的行驶高度调节。在越野行驶高度[Offroad level]262之后向上是考虑高度信号的可能的迟滞特性的区。在此,迟滞特性原则上仅在去激活、即低于[h1-hysterese]高度信号时使用。在激活(超过不同的阈值高度)时,在高度方面不考虑迟滞。在高度信号走势曲线的左侧区域中在时间段t1270期满之后在警报等级h1267以上也存在所测量的高度信号值,由此,底盘系统的行驶高度的分类被分级为危险的并且引入相应的对策263[Activate Low Priority Measures]。
[0062] 但根据所示的高度信号走势,所述引入的对策看起来不会实现底盘系统的当前行驶高度的降低,由此,在高度信号走势的子区域[Rising up of theHeight Signal leads to the Approach of the Hazardous Range]259中,高度信号进一步上升并且导致接近危险区域258[Hazardous Range]。在此,在所示的高度信号走势中,警报等级h2268在配置的时间段阈值t2 271期间被超过,由此,自动引入另外的中等优先权的对策264[Activate Middle Priority Measures]。
[0063] 但根据所示的高度信号走势,所述引入的中等优先权的对策看起来也不可阻止底盘系统的当前行驶高度的进一步升高,这通过在明显超过所配置的时间段t3272时超过警报等级h3而变得清楚。此后,自动引入另外的较高优先权的对策265[Activate Middle Priority Measures]。
[0064] 根据所示的高度信号走势曲线的右侧部分,用于表示所测量的高度信号的曲线现在连续下降。行驶高度的降低的原因在此例如可能是:空气损失、通过正常的行驶高度调节器(不是通过安全软件)进行的下调活动、通过下降的
温度造成的行驶高度降低等。在高度信号走势曲线的下降部分中,穿过考虑高度信号的迟滞特性的区。因为在时间段t1期满之后接收的高度信号单义地处于警报等级h1267以下,所以底盘系统的当前行驶高度被分级为不再危及安全。所引入的全部措施现在在步骤266[Canceling all Measures]停止。所引入的用于通过气动调节装置消除底盘系统的带有误差的上调的对策可避免:所测量的高度信号在进程界限[Rebound Stop]257的区域中达到临界区。进程界限本身限制几何弹出可能性,即超出进程界限(Zuganschlag)不存在高度值。
[0065] 图3示出了就超过预确定的时间段阈值的同时在所测量的高度信号与预确定的行驶高度阈值之间进行持续重复的给定-实际比较而言用于展示系统性的流程图,所测量的高度信号分级为不同的风险类别以及根据行驶激活用于排除安全风险的对策。
[0066] 在此,这样的状态被称为正常状态[NORMAL]384(/*State0*/),在所述状态中不产生上调的中断、速度限制的输出或发送、在组合仪表中的显示、误差存储器输入,以及不存在Priol-警报或Priol2-警报。
[0067] 如果在超过时间段阈值t1270的同时在所测量的高度信号与预确定的警报等级h1267之间的给定-实际比较得出:高度信号单义地超过了警报等级h1267,则在产生信息-误差存储器输入[Fault-Entry Info]372和电子稳定程序[ESC reenabling]373的强制接通的同时在步骤[Abort Up levelling]371中激活上调的中断。
[0068] 在步骤[Reset Level Control Forbid]374中撤销行驶高度调节器禁令之后,在考虑迟滞Hhys的情况下再次测量高度信号并且与警报等级h1比较。在此,对于
电动车辆设置行驶高度调节禁令的撤销,所述电动车辆例如在
蓄电池充电低时强制关断车辆系统。如果电动车辆的逻辑
电路关断了行驶高度调节器,则所述禁令在误差情况下必须撤销,由此,系统(至少对于短时间)获得借助于正常行驶高度调节器校正行驶高度的可能性。如果具有QM软件的系统离开了危险区域,则行驶高度调节可又由于受限制的剩余
能量而被去激活。
[0069] 如果所引入的措施的分析处理得出:底盘系统的行驶高度单义地处于警报等级h1以下,则进行重复品质检验[/*Proofed good*/]370。
[0070] 但如果所引入的措施的分析处理得出:所引入的措施没有引起底盘系统的行驶高度的降低,而是取而代之在超过时间段阈值t2的同时高度信号甚至超过了警报等级h2,则在存在警报等级368时在步骤[Prio2-Warning]375中产生Prio2-警报,在步骤[Fault-Entry Low Prio]378中进行低优先权的误差存储器输入并且在步骤[Dash-board Msg.]376中在组合仪表中对于车辆使用者可视地显示所述警报。
[0071] 如果在考虑迟滞Hhys的情况下所引入的措施的接着的分析处理得出:当前测量的高度信号单义地处于警报等级h1(h<[h1-hysterese])以下,则进行重复品质检验[/*Proofed good*/]370。
[0072] 但如果所引入的措施的分析处理得出:高度信号进一步升高并且甚至在超过时间段t3的同时超过了警报等级h3,则存在警报等级3 369并且自动引入下列对策:在步骤[Reset Prio2-Warning]382中进行在步骤379[Prio1-Warning]中被Prio1-警报替代的Prio2-警报的撤销。另外,在步骤[Fault-Entry High Prio]377中进行高优先权的误差存储器输入以及在步骤[Transmit Speed Limit]380中还产生提高稳定性的措施、即产生用于速度限制的命令。
[0073] 接着又通过给定-实际比较并且在考虑迟滞Hhys的情况下评价所引入的对策。如果分析处理得出:底盘系统的行驶高度单义地处于警报等级h1(h<[h1-hysterese])以下,则进行重复品质检验[/*Proofed good*/]370。全部对策停止。
[0074] 但如果所引入的措施的评价得出:底盘系统的行驶高度没有降低到警报等级h1(h<[h1-hysterese])以下,则所引入的对策继续保持工作。在考虑迟滞的情况下通过给定-实际比较进行所引入的对策的重复分析处理。
[0075] 流程图中所示的过程持续地重复。图3中所示的方法步骤与所测量的高度信号的在图2中所示的走势相对应。图3中所示的方法步骤由此可代表通过引入合适的对策来排除底盘系统的带有误差的上调,所述对策可分别根据不同的警报等级由所述的检查和控制原理激活。
[0076] 参考标号清单
[0077] 101 高度传感器
[0078] 102 执行器
[0079] 103 电子控制单元
[0080] 104 QM(Quality Management)
[0081] 108 ASIL-A(Automotive Safety Integration Level A)(法定标准ISO26262中的概念)
[0082] 109 输入接口
[0083] 110 输出接口
[0084] 111 脉宽调制
[0085] 112 传感器安装位置
[0086] 113 高度传感器的校准
[0087] 114 阀转换状态分析处理模块
[0088] 115 “Safety Monitor”中的监测和控制功能
[0089] 116 驱动器(组件)
[0090] 117 监测(组件)
[0091] 118 阀状态的分析处理
[0092] 119 车辆动态的分析处理
[0093] 120 高度信号的调控
[0094] 121 上调识别
[0095] 122 下调识别
[0097] 124 错误功能B2
[0098] 125 错误功能B3
[0099] 126 错误功能B4
[0100] 127 错误功能B6
[0101] 128 安全动作的生成
[0102] 129 高度
[0103] 130 高度的误差状态
[0104] 131 电流(I)
[0105] 132 电流的误差状态
[0106] 133 阀
[0107] 134 阀的误差状态
[0108] 135 (车辆)速度
[0109] 136 车辆速度的误差状态
[0110] 137 纵向加速度
[0111] 138 纵向加速度的误差状态
[0112] 139 横向加速度
[0113] 140 横向加速度的误差状态
[0114] 141 带端初始化
[0115] 142 车间模式
[0116] 143 高度传感器校准
[0117] 144 前轴的上调禁令
[0118] 145 后轴的上调禁令
[0119] 146 前轴的下调禁令
[0120] 147 后轴的下调禁令
[0121] 148 关断
[0122] 149 信号灯
[0123] 150 警报灯
[0124] 151 文本消息
[0125] 152 电子稳定程序
[0126] 153 速度限制
[0127] 154 误差存储器输入
[0128] 155 询问
[0129] 156 回答
[0130] 157 场总线
[0131] 158 用于发动机控制的外部控制单元
[0132] 159,160 分级等级
[0133] 257 进程界限
[0134] 258 危险区域
[0135] 259 高度信号升高,这导致接近危险区域
[0136] 260 正常的调节区域
[0137] 261 迟滞
[0138] 262 越野行驶高度
[0139] 263 激活低优先权的措施
[0140] 264 激活中等优先权的措施
[0141] 265 激活高优先权的措施
[0142] 266 撤销全部措施
[0143] 267,268,269 行驶高度阈值h1,h2,h3
[0144] 270,271,272 时间段阈值t1,t2,t3
[0145] 367 警报等级1
[0146] 368 警报等级2
[0147] 369 警报等级3
[0148] 370 重复品质检验
[0149] 371 上调的中断
[0150] 372 信息-误差存储器输入
[0151] 373 强制接通电子稳定程序
[0152] 374 撤销行驶高度调节禁令
[0153] 375 Prio2-警报
[0154] 376 在组合仪表中显示
[0155] 377 高优先权的误差存储器输入
[0156] 478 低优先权的误差存储器输入
[0157] 379 Prio1-警报
[0158] 380 输出或发送速度限制
[0159] 382 撤销Prio2-警报
[0160] 384 正常状态