L'invention s'applique au domaine du contrôle moteur et plus précisément à celui du contrôle moteur des véhicules automobiles électriques. Plus particulièrement encore, l'invention se rapporte aux moyens de diagnostic et de sécurisation des dispositifs de commande des moteurs propulsifs desdits véhicules électriques.

De nos jours, les véhicules automobiles électriques sont de plus en plus fréquents sur les routes. Il est logique d'en attendre le même niveau de sécurité que celui présent sur les véhicules automobiles équipés d'un moteur à combustion interne qui constituent la très vaste majorité du parc automobile actuel. Ces véhicules automobiles équipés d'un moteur à combustion interne sont actuellement équipés d'un dispositif de contrôle moteur électronique. A l'aide d'informations issues de capteurs variés, un calculateur électronique intégré au dispositif de contrôle moteur électronique détermine en temps réel les conditions de fonctionnement optimum pour le moteur à combustion interne et il agit sur divers actuateurs permettant de modifier les paramètres de fonctionnement dudit moteur afin d'obtenir un fonctionnement optimisé. De nombreux composants du véhicule sont donc ainsi munis de capteurs afin de renseigner de la manière la plus fine possible le dispositif de contrôle moteur électronique.

Ceci a, par exemple, pour conséquence de ne plus avoir une réelle liaison mécanique entre l'ordre de couple donné par le conducteur du véhicule automobile (très majoritairement via une pédale d'accélérateur) et les actuateurs qui pilotent le moteur à combustion interne du véhicule afin qu'il délivre effectivement le couple demandé. En effet, la pédale d'accélérateur qui, par le passé, était reliée directement à l'actuateur (le papillon d'ouverture des gaz placé dans le carburateur) ne l'est plus. La pédale est actuellement équipée d'un capteur de position qui détermine quelle est la « demande en couple moteur » requise par le conducteur et transmet cette information au dispositif de contrôle moteur électronique. En fonction de la position de la pédale d'accélérateur et de la cinématique de variation de cette position (pression ou relâchement brutal de la pédale, appui constant, pression progressive... ), le calculateur électronique de contrôle moteur détermine alors les paramètres exacts de fonctionnement du moteur à combustion interne et les transmet aux actuateurs (injecteurs, papillon électrique d'ouverture des gaz, vanne de commande de turbocompresseur, vanne de recirculation des gaz d'échappement... ).

Cette évolution technologique a posé un problème de sécurité. En effet, lorsqu'une liaison mécanique est présente entre la pédale d'accélérateur et l'actuateur (le papillon d'ouverture des gaz), le simple fait que le conducteur relâche sa pression sur la pédale induit automatiquement un ralentissement du véhicule. Avec une commande électronique, hen né permet d'être certain du même effet au prime abord. Il y a alors lieu de garantir que l'électronique embarquée est au moins aussi fiable que la liaison mécanique de l'art antérieur.

Il a donc été nécessaire de développer, sur les moteurs à combustion interne équipés d'un contrôle moteur électronique, une stratégie permettant de garantir l'exécution réelle de la coupure des gaz. Cette stratégie peut être résumée comme suit. Lorsque le conducteur relâche la pression sur la pédale d'accélérateur (ou que le dispositif de contrôle moteur ne détecte plus de signal en provenance du capteur de position de la pédale d'accélérateur), le dispositif de contrôle moteur commande le papillon électrique et les injecteurs et les place dans des positions permettant d'atteindre un régime de ralenti moteur. Ainsi, en cas d'urgence (relâchement rapide de la pédale d'accélérateur) ou de défaillance du capteur de position de la pédale d'accélérateur, les deux actions sont mises en œuvre et si l'un des deux actuateurs ne répond pas, le second obtient néanmoins l'effet désiré. Pour ce faire (cf. figure 1 ), l'unité électronique 100 de contrôle moteur (également appelée ECU qui est l'abréviation anglaise de « Engine Control Unit ») agit via la ligne de commande C1 sur un pilote électronique de commande du papillon des gaz 200, d'une part, et sur un pilote électronique de commande des injecteurs 300 via la ligne de commande C2, d'autre part. En rendant inactifs ces deux pilotes électroniques de commande 200 et 300, l'unité électronique 100 de contrôle moteur coupe ou réduit très fortement le débit des injecteurs 310 de carburant et place le papillon des gaz 210 dans une position qui limite l'entrée de comburant. On comprend aisément que si l'un des deux pilotes électroniques de commande 200 et 300 précédemment cités n'obéit pas aux ordres de l'unité électronique 100 l'effet est néanmoins obtenu. En effet, en appauvrissant la quantité de carburant ou de comburant introduit dans un moteur à combustion interne, le régime moteur dudit moteur à combustion interne va diminuer de manière implicite.

Lors de la mise du contact électrique, une procédure de test est réalisée. Elle peut l'être comme suit. L'unité électronique 100 va tout d'abord rendre les deux pilotes électroniques de commande 200 et 300 inactifs en leur envoyant un ordre de désactivation via, respectivement, les lignes de désactivation il et i2. Une fois les deux pilotes électroniques de commande 200 et 300 désactivés, l'unité électronique 100 va ensuite envoyer un ordre aux pilotes électroniques de commande des actuateurs en question et va contrôler que lesdits actuateurs n'ont pas répondu à la sollicitation, puisque la communication a été désactivée. Le diagnostic de la fiabilité de la désactivation (ou inhibition) des pilotes est alors ainsi rendue possible.

Cette procédure de désactivation peut également être utilisée en cas d'urgence, mais dans ce cas le moteur à combustion interne n'est plus alimenté en carburant ou en comburant et il va alors caler. La stratégie décrite précédemment est transposable au moteur électrique. Dans un moteur électrique, la commande de couple (mesurée également par un capteur de position placé sur la pédale d'accélérateur) que l'unité électronique de contrôle moteur souhaite voir mise en œuvre par le moteur électrique transite par un bus informatique de communication (bus CAN par exemple, CAN étant l'abréviation anglaise de « Controller Area Network »). Le bus informatique de communication va transmettre cette consigne au pilote du moteur électrique. Afin d'assurer une sécurisation, il est possible d'agir sur le pilote du moteur électrique et/ou sur le bus informatique de communication. Lors du test de ce dispositif de sécurité à la mise du contact par l'utilisateur, il faut alors couper le bus informatique de communication et envoyer un ordre afin de vérifier que l'ordre n'est pas exécuté et que le dispositif de sécurité est bien efficace. Malheureusement, la désactivation du bus informatique de communication et son activation sont des actions qui prennent beaucoup de temps et l'utilisateur n'est pas prêt à patienter le temps nécessaire pour que ces étapes de test soient effectuées. En outre, la désactivation du bus informatique de communication ne perturbe pas seulement la fonction de diagnostic mais tous les dispositifs reliés audit bus informatique de communication.

L'objectif de l'invention est donc de proposer un procédé de sécurisation des moteurs électriques ne présentant pas ces désavantages.

Pour cela l'invention propose un procédé de diagnostic pour dispositif de commande d'un véhicule automobile à moteur propulsif électrique comportant :

— une unité électronique de commande,

— un bus informatique de communication reliant au moins l'unité électronique de commande et un pilote de commande du moteur électrique,

— un pilote de commande du bus informatique de communication.

L'invention est remarquable en ce que le procédé comporte les étapes suivantes :

• inhibition du pilote de commande du bus informatique de communication par l'unité électronique de commande,

• émission par l'unité électronique de commande d'une trame de signaux sur le bus informatique de communication,

• lecture par l'unité électronique de commande des signaux transitant sur le bus informatique de communication,

• établissement du diagnostic de sécurité positif si la trame de signaux n'est pas lue par l'unité électronique de commande.

Ainsi, la certitude que la commande du moteur électrique peut être coupée en cas de besoin est donnée.

Avantageusement, la trame de signaux émise ne correspond pas à une trame standardisée du protocole du bus informatique de communication. Ceci a pour effet de ne pas perturber le bon fonctionnement de l'ensemble du véhicule si par hasard l'inhibition du pilote de commande du bus informatique de communication n'est pas suivie d'effets.

Dans un mode de réalisation, la trame de signaux est limitée à un bit de test. Ceci garantit encore plus que la trame de signaux ne sera pas interprétée comme une commande, tout au plus serait-elle perçue comme un parasite sur le bus de communication par les dispositifs qui y sont reliés mais ne savent pas l'interpréter comme un test de l'inhibition du bus de communication.

L'invention s'applique également à un dispositif de commande d'un véhicule automobile à moteur électrique comportant :

· une unité électronique de commande,

• un bus informatique de communication reliant au moins l'unité électronique de commande et un pilote de commande du moteur électrique,

• un pilote de commande du bus informatique de communication, ledit dispositif comportant :

— des moyens pour inhiber le pilote de commande du bus informatique de communication par l'unité électronique de commande,

— des moyens d'émission par l'unité électronique de commande d'une trame de signaux sur le bus informatique de communication,

— des moyens de lecture par l'unité électronique de commande des signaux transitant sur le bus informatique de communication,

— des moyens d'établissement du diagnostic de sécurité positif si la trame de signaux n'est pas lue par l'unité électronique de commande.

L'invention sera mieux comprise à la lecture de la description qui va suivre. Celle-ci est purement illustrative et doit être lue en regard des dessins annexés sur lesquels :

— La figure 1 montre une représentation schématique d'un dispositif de sécurisation d'un moteur à combustion interne comportant un dispositif de contrôle moteur électronique selon l'art antérieur,

— La figure 2 montre une représentation schématique d'un dispositif de sécurisation d'un moteur électrique propulsif comportant un dispositif de contrôle moteur électronique conforme à l'invention.

Le procédé selon l'invention met en œuvre plusieurs composants matériels ou logiciels et plusieurs acteurs auxquels il sera fait référence dans la suite de la description. Dans la description, on prête des actions à des appareils ou à des programmes ; ceci signifie que ces actions sont exécutées par un microprocesseur de cet appareil ou de l'appareil comportant le programme, ledit microprocesseur étant alors commandé par des codes instructions enregistrés dans une mémoire de l'appareil. Ces codes instructions permettent de mettre en œuvre les moyens de l'appareil et donc de réaliser l'action entreprise.

La Figure 2 représente un mode de réalisation, nullement limitatif en soi, de l'invention.

L'unité électronique de commande (500) du dispositif de commande d'un véhicule automobile à moteur électrique propulsif (non représenté) est reliée à un bus informatique (Tx, Rx) de communication lui permettant de contrôler le moteur électrique dudit véhicule. Dans l'exemple décrit ci-après, le bus informatique de communication est du type bus CAN, très largement utilisé actuellement dans le domaine automobile. Comme connu en soi, l'unité électronique de commande (500) peut émettre des ordres sur un canal d'émission (Tx) et/ou lire des informations sur un canal de réception (Rx). Ce bus informatique (Tx, Rx) de communication n'est pas dédié exclusivement à l'unité électronique de commande (500) et d'autres informations peuvent y transiter, chacune munie d'un identifiant conforme au protocole d'échange du bus informatique (Tx, Rx) de communication.

Ce bus informatique (Tx, Rx) de communication est également connecté à un pilote de commande du moteur électrique, afin que l'unité électronique de commande (500) puisse envoyer ces consignes de fonctionnement audit moteur électrique.

Afin de gérer le bon fonctionnement du bus informatique (Tx, Rx) de communication, ce dernier est muni d'un pilote de commande (510), lui même relié aux deux fils de communication, le fil dit « CAN HIGH » référencé CH à la figure 2 et le fil dit « CAN LOW » référencé CL. Les principes de fonctionnement d'un bus CAN n'étant pas dans l'objet de la présente invention et étant connus de l'homme de l'art, ils ne seront pas détaillés plus avant ici.

Afin de supprimer les problèmes de délai de test rencontrés par l'art antérieur, l'invention propose, lors de la phase de test menée avant à chaque démarrage du véhicule, de ne pas éteindre le bus informatique (Tx, Rx) de communication. Ainsi, les échanges qui doivent y avoir lieu ne seront pas retardés par les temps d'arrêt puis de redémarrage dudit bus informatique (Tx, Rx) de communication. Pour ce faire, l'invention propose de procéder comme suit :

L'unité électronique de commande (500) inhibe le pilote de commande (510) du bus informatique (Tx, Rx) de communication via le canal d'inhibition (i3). A ce stade, plus aucune trame émise par l'unité électronique de commande (500) n'est sensée pouvoir circuler sur le bus informatique (Tx, Rx) de communication. Dans une seconde étape du procédé, l'unité électronique de commande (500) émet une trame de signaux de test à destination du bus informatique (Tx, Rx) de communication. De préférence cette trame ne correspond pas à un format reconnu par les autres dispositifs connectés au bus informatique (Tx, Rx) de communication, de manière à ne pas risquer de transformer une trame de test en un ordre d'action qui peut s'avérer nuisible. De manière avantageuse, l'invention propose de limiter la trame de signaux de test à un simple bit de test. Ainsi le risque d'action non désirée sera nul, le simple bit de test étant interprété par les autres dispositifs connectés au bus informatique (Tx, Rx) de communication comme un bruit parasite.

L'unité électronique de commande (500) par contre connaît la nature et le contenu de la trame de signaux émise et va ensuite surveiller le bus informatique (Tx, Rx) de communication afin de détecter si cette trame de signaux est présente ou non.

Si la trame de signaux est présente, ceci signifie que l'inhibition du pilote de commande (510) du bus informatique (Tx, Rx) de communication via le canal d'inhibition (i3) n'a pas été efficace et un code d'alerte est alors levé, car la sécurité du contrôle moteur n'est plus garantie. Ce code peut générer soit l'immobilisation du véhicule avant même qu'il ait bougé (puisque le test est généralement effectué lors de la mise du contact), soit afficher au tableau de bord du véhicule automobile un message d'urgence demandant l'intervention d'un spécialiste. En termes de sécurité, l'immobilisation immédiate du véhicule est préférée, même si ceci n'empêche pas l'affichage d'un message explicatif au tableau de bord du véhicule automobile.

Si la trame de signaux n'est pas présente sur le bus informatique (Tx, Rx) de communication, alors le diagnostic de fonctionnement correct de cette fonction de sécurité est fait et le véhicule automobile peut rouler. Il est alors certain qu'en cas d'urgence il sera possible de couper le moteur électrique propulsif. De même, au moment d'un relâchement brutal de la pédale d'accélérateur, l'unité électronique de commande (500) pourra utiliser ce procédé, indépendamment de tout critère d'urgence dans ce cas.

L'invention n'est pas limitée au mode de réalisation décrit. Il est tout à fait possible de généraliser le procédé de diagnostic à tout type de moteur électrique et pas uniquement au moteur électrique propulsif, pour autant que le bus informatique de communication soit présent.

Dans les revendications, le terme « comporter » n'exclut pas d'autres éléments ou d'autres étapes. L'article indéfini « un » n'exclut pas un pluriel. Les différentes caractéristiques présentées et/ou revendiquées peuvent être avantageusement combinées. Leur présence, dans la description ou dans des revendications dépendantes différentes, n'exclue pas cette possibilité. Les signes de référence ne sauraient être compris comme limitant la portée de l'invention.