[发明专利]具有用于控制设备功能的控制系统的设备

说明书

技术领域

本发明涉及一种具有用于控制设备功能的控制系统的特别是静液压的设备。

背景技术

本发明涉及特别是用于设计为移动作功机械的汽车（例如市政公用汽车、紧凑增压机、叉车、汽车牵引车）的安全设计领域。在所述类型的车辆中是由发动机，通常是内燃机，例如柴油机来驱动静液压驱动单元。静液压驱动单元通常包括一个或者多个由发动机驱动的液压泵，和一个或者多个在（大多是封闭的）液压回路中连接的液压马达（用于旋转运动），和/或液压缸（用于线性运动），在必要时的用于控制消耗器的阀门等。

其中在许多应用中在有故障时允许汽车搁置不动的。这是借助故障安全安全设计实现的。在这些安全设计中在有故障时切断执行机构，并且因此汽车停下来（所谓的故障安全—“Fail-Safe”）。然而也公开了一些方案（Szenarien），在这些方案中在有故障时必须保证应急运行（所谓的故障运行“Fail-Operational）。例如汽车牵引车必须能离开危险区域。

故障安全的意思是在有故障时有故障的部件不再能使用了，并且处于可控制的原始状态。部件有故障必须通过设备中的附加的措施能够导致一种可控制的最终结果。故障运行的意思是在有故障时设备能继续工作。设备不是处于故障状态。它仍然能运行。在现有技术中这样一种设备至少由三个部件（“三个可信度中的两个”）构成。这种提供使用很费事，并且成本高。

因此人们希望以这种现有技术为依据以少的费用提供一种特别是静液压的设备供使用，这种设备当重要的部件有故障时至少还能提供应急运行（所谓的故障运行）。

发明内容

根据本发明建议一种具有用于控制设备功能的控制系统的设备，所述控制系统恰好具有两个控制器，其中，控制器中的每个控制器设置用于当另一控制器有故障时控制设备功能，其中控制器中的每个控制器设置用于在有故障时自己断开。一些有利的方案是下述说明的主题。

本发明的优点

本发明描述一种常规的“故障安全”部件，特别是控制器为基础，构造一种“故障运行”系统的方案。通过这一措施有大量经过考验的“故障安全”的部件也可在对可使用性有高更要求的用途中得到应用。这种设备能够，也就是说在没有操作人员介入的情况下自主地更换到应急运行。为此当今通常采用“从三个可信度中选两个”，为此需要至少三个部件。本发明只通过“故障安全”部件的两套设计和它们的相互监控就能实现这一点。通过这一措施减少了设备成本，简化了可信度评估，并且提高了可使用性。

根据本发明设置两个控制器，这样，即使一个控制器出故障也能保证该设备的应急运行。为此规定相互监控，例如通过所谓的“活信号”（Alive-Signal）。

在相互可信度方面优选地每个控制器将它的输入信号也传输到另一控制器。通过这一措施另一控制器的所有的输入信息同时可提供给每一个控制器使用。这个另一控制器并行地计算它的伙伴控制器的控制任务。按照这种方式通过平衡结果这些控制器可相互信赖。可如此地识别存储器故障和其它的硬件故障（例如Bit-Kipper），而不必开发费钱的第二软件层。

当一个控制器出故障时出现“故障安全”模态，并且所有终端级以及有故障的控制器的总线通信被切断。在应急运行时现在可用余下的控制器控制设备。

此外，当两个控制器使用相同的软件时可使研制成本保持得很小。

在正常运行时可以设想不同的情况。例如可以规定，在正常运行期间第一控制器（所谓的“主控制器”）感知例如特别是所有液压回路和发动机的整个控制任务，并且只受到第二控制器（所谓的“从控制器”）的监控。例如可在控制器中将作用的分配参数化。然后优选地通过转换装置将两个控制器的输出端（终端级）和特别是用于触发例如液压回路的部件（泵、马达等）的所属的执行机构连接起来，其中，转换装置是如此设置的，即它基本上是接通第一控制器（“主控制器”），只是在第一控制器有故障时才接通第二控制器。对发动机，例如内燃机的触发在当今通常是通过总线，例如CAN总线完成。在这种情况中两个控制器与这个总线连接，其中，通过这一措施第二控制器也感知第一控制器的总线输出，并且相反。特别是通过这一措施一个控制器可识别另一控制器的故障，并且在必要时承担触发的任务。这种实施形式在控制技术上可特别简单地实现。

本发明可特别有利地用于静液压设备，以便能以简单的方式将这种设备用作“故障运行”设备。