La présente invention se rapporte de manière générale à la protection de dispositifs électroniques comme par exemple un calculateur.

Elle concerne plus particulièrement un procédé dédié à la détection d'une défaillance d'un calculateur sur au moins une sortie pouvant entraîner une destruction partielle ou totale dudit calculateur.

L'invention trouve des applications, en particulier, dans le domaine automobile. Elle peut être mise en œuvre, par exemple, dans un calculateur de contrôle moteur.

Un véhicule automobile comporte de nos jours de plus en plus d'électronique embarquée comme par exemple des calculateurs. Ces calculateurs peuvent être dédiés à la gestion de l'habitacle, du freinage mais aussi à la gestion du moteur. Un calculateur moteur, aussi nommé calculateur de contrôle moteur est adapté pour gérer des fonctions du moteur comme par exemple l'admission, l'échappement et/ou aussi l'injection.

Pour gérer ces fonctions, le calculateur de contrôle moteur présente une unité de calcul et de contrôle adaptée pour effectuer des taches permettant la commande et le contrôle du moteur par exemple thermique, au moins une mémoire adaptée pour stocker par exemple un programme informatique, des étages d'adaptation et des étages de puissance. Ainsi, dans le cas de la gestion de l'injection d'un moteur diesel, le calculateur de contrôle moteur présente un étage de puissance adapté pour commander des injecteurs. Des puissances relativement élevées sont générées et parfois des défaillances peuvent apparaître et engendrer une destruction partielle ou totale du calculateur de contrôle moteur.

Ces défaillances peuvent être des défaillances logicielles comme par exemple une perte d'information au niveau de l'étage d'adaptation provocant une activation en continue ou durant une durée relativement longue de l'injecteur pouvant engendrer une destruction de l'injecteur et/ou un calage du moteur thermique voire dans le pire des cas une casse dudit moteur thermique. Ces défaillances peuvent aussi détériorer le calculateur de contrôle moteur. En effet, l'activation pendant une durée relativement longue d'une ou des sorties de puissance du calculateur de contrôle moteur peut provoquer une surconsommation desdites sorties et engendrer une surchauffe voire une destruction soit de l'étage de puissance soit du calculateur de contrôle moteur.

Pour protéger le calculateur de contrôle moteur de telles défaillances, il est connu d'installer des moyens de protection au niveau du calculateur de contrôle moteur pour surveiller, en fonction d'une stratégie déterminée, l'état des étages de sorties. Ces moyens de protection, lors de la détection d'une défaillance au niveau de l'étage de sortie, provoquent une remise à zéro partielle ou totale du calculateur de contrôle moteur évitant ainsi une casse de ce dernier.

Parfois, dans des configurations très spécifiques et souvent aléatoires, les moyens de protection ne détectent pas suffisamment tôt la défaillance au niveau des sorties de l'étage de puissance ce qui peut provoquer la destruction du calculateur de contrôle moteur.

L'invention propose un procédé destiné à la protection d'une défaillance d'un calculateur de contrôle moteur permettant de remédier partiellement ou totalement au manque technique de l'art antérieur cité.

A cet effet, un premier aspect de l'invention propose un procédé de détection de défaillances d'un calculateur de contrôle moteur ; le calculateur de contrôle moteur comprenant au moins :

• une couche matérielle avec une unité de calcul et de contrôle, une unité de commande, un module de puissance adapté pour commander au moins une charge,

• une couche logicielle exécutée au moins partiellement par l'unité de calcul et de contrôle et comportant n étapes de lancement d'au moins un cycle d'activation de la charge, un cycle d'activation de la charge comprenant m phase(s) d'activation de ladite charge, une phase d'activation de la charge comportant des étapes suivantes :

^■ actionnement de la charge à l'aide d'un premier signal de commande d'une première durée,

^■ première temporisation d'un premier temps minimum de maintien,

^■ désactivation de la charge à l'aide d'un deuxième signal de commande d'une deuxième durée,

^■ deuxième temporisation d'un deuxième temps minimum de maintien, caractérisé en ce que le procédé de détection de défaillances comporte une fenêtre temporelle de mesure présentant une durée égale à la durée d'une phase d'activation de la charge et pendant laquelle les étapes suivantes sont réalisées :

a) initialisation des variables de mesures ΔΤ1 , ΔΤ2, ΔΤ3, ΔΤ4, Seuil_min,

Seuil_max et défaut,

b) détection d'un actionnement de la charge,

c) mesure durant la phase d'activation de la charge de :

o la première durée du premier signal de commande, o la deuxième durée du deuxième signal de commande,

o la première temporisation du premier temps minimum de maintien, o de la deuxième temporisation du deuxième temps minimum de maintien,

o une amplitude minimale et une amplitude maximale d'un cinquième signal de commande,

d) enregistrement de valeurs des mesures effectuées à l'étape c) :

o enregistrement de la valeur de la première durée du premier signal de commande dans la variable ΔΤ1 ,

o enregistrement de la valeur de la deuxième durée du deuxième signal de commande dans la variable ΔΤ3,

o enregistrement de la valeur de la première temporisation du premier temps minimum de maintien dans la variable ΔΤ2, o enregistrement de la valeur de la deuxième temporisation du deuxième temps minimum de maintien dans la variable ΔΤ4,

o enregistrement de la valeur de l'amplitude minimale dans la variable Seuil_min, et

o enregistrement de la valeur de l'amplitude maximale dans la variable Seuil_max.

e) comparaison des valeurs des variables ΔΤ1 , ΔΤ2, ΔΤ3, ΔΤ4, Seuil_min,

Seuil_max stockées à l'étape d) à des valeurs références respective AT1_ref, AT2_ref, AT3_ref, AT4_ref, Seuil_min_ref, Seuil_max_ref, f) action de réinitialisation du calculateur de contrôle moteur si au moins une des conditions suivantes est valide :

o ΔΤ1 > AT1_ref,

o ΔΤ2 < AT2_ref,

o ΔΤ3 > AT3_ref,

o ΔΤ4 < ΔΤ4 réf. Grâce à un tel procédé il est maintenant possible de détecter une défaillance d'un calculateur de contrôle moteur au niveau d'une sortie commandant la charge avant une défaillance possible et une destruction de celui-ci.

Dans un souci de discrimination de l'importance du type d'anomalie, il est avantageusement proposé par exemple qu'à l'étape f) une étape complémentaire d'action de réinitialisation de la couche logicielle et de la couche matérielle du calculateur de contrôle moteur dans le cas où la variable défaut = 0 et qu'au moins une des conditions ci-dessous est valide : o ΔΤ1 > AT1_ref,

o ΔΤ2 < AT2_ref,

o ΔΤ4 < AT4_ref.

Ainsi, il est possible de détecter des cas d'anomalies pouvant provoquer une destruction du calculateur de contrôle moteur et de le protéger par une remise à zéro complète, c'est-à-dire de la partie logicielle et aussi de la partie composant.

Afin de détecter d'autres cas potentiellement destructeur mais en moindre mesure, il est proposé également par exemple qu'à l'étape f) une étape complémentaire d'action de réinitialisation de l'unité de commande du calculateur de contrôle moteur concernant dans le cas où la variable défaut = 0 et qu'au moins une des conditions ci- dessous est valide :

o ΔΤ1 > AT1_ref,

o ΔΤ3 > AT3_ref.

Avantageusement, grâce à cette étape il est possible de réinitialiser qu'une partie logicielle du calculateur de contrôle moteur.

Afin de d'améliorer la discrimination il est aussi proposé en variante qu'à l'étape f) une étape complémentaire d'action de réinitialisation de la couche logicielle du calculateur de contrôle moteur dans le cas où la variable défaut = 1 et qu'au moins une des conditions ci-dessous est valide :

o ΔΤ1 > AT1_ref,

o ΔΤ3 > AT3_ref.

Lorsqu'un doute subsiste sur la gravité de la défaillance alors il est, par exemple, proposé à l'étape f) une étape complémentaire d'action de réinitialisation de la couche logicielle et de la couche matérielle du calculateur de contrôle moteur dans le cas où la variable défaut > 1 .

Pour protéger le calculateur lorsqu'il est en fonctionnement, il est par exemple prévu que les étapes réalisées dans une fenêtre temporelle de mesure sont répétées un nombre e de fois ; le nombre e correspondant au nombre n d'étapes de lancement d'au moins un cycle d'activation de la charge.

Dans un souci d'optimisation de l'espace mémoire occupé dans le calculateur de contrôle moteur, il est en variante proposé que les valeurs références AT1_ref, AT3_ref sont identiques.

Dans le cas d'un moteur thermique, il est par exemple proposé que la charge soit un injecteur.

Par exemple, le procédé peut commander un injecteur d'un moteur diesel. D'autres caractéristiques et avantages de l'invention apparaîtront encore à la lecture de la description qui va suivre. Celle-ci est purement illustrative et doit être lue en regard des dessins annexés dans lesquels :

- La figure 1 est un schéma de principe d'une architecture d'un calculateur de contrôle moteur,

La figure 2 est une vue simplifiée du calculateur de contrôle moteur représenté à la figure 1 ,

La figure 3 est un graphe illustrant des états des principaux signaux transitant dans le calculateur de contrôle moteur des deux précédentes figures,

La figure 4 est un algorigramme de détection de défaillance selon le procédé de la présente invention, et

La figure 5 est un schéma de principe illustratif de la couche logicielle du procédé de la figure 4.

La figure 1 , représente un schéma de principe d'une architecture d'un calculateur 2. Le calculateur 2 de la figure 1 est par exemple un calculateur de contrôle moteur installé sur un véhicule automobile présentant une motorisation diesel. Ainsi, le calculateur 2 de contrôle moteur comporte entre autre, une unité de calcul et de contrôle 4, une unité de commande 6, un module de puissance 8 couplé à des sorties de puissance 10 et un bus de communication 12.

L'unité de calcul et de contrôle 4 comporte entre autre un microcontrôleur maître 14, au moins une mémoire 16 adaptée pour stocker des programmes et des étages d'entrées/sorties 18. Les différents éléments de l'unité de calcul et de contrôle 4 sont couplés entre eux par des liaisons non représentées sur les figures pour ne pas surcharger les dessins. Le microcontrôleur maître 14 est par exemple un microcontrôleur multi-cœur 32 bits cadencé à une fréquence de 128 MHz.

Le bus de communication 12 est par exemple un bus de communication de type SPI pour «Sériai Peripheral Interface » en anglais, adapté pour recevoir et délivrer des signaux de communication et des signaux de contrôle aux modules du calculateur 2 de contrôle moteur. Les étages d'entrées/sorties 18 sont par exemple des convertisseurs analogique/numérique adaptés pour recevoir et délivrer des signaux de commande vers les modules du calculateur 2 de contrôle moteur.

Bien entendu, l'homme de l'art comprendra aisément à la lecture des paragraphes précédents et des dessins que seules les unités utiles à la compréhension de l'invention ont été décrites. En outre, les types de composants utilisés et présentés succinctement dans les paragraphes précédents sont donnés à titre purement illustratif. L'unité de calcul et de contrôle 4 comporte entre autre, une couche composant précédemment décrite qui peut être aussi nommée par l'homme de l'art couche « hardware ou HW » et une couche logicielle ou aussi nommée couche « software ou SW ». La couche logicielle est très complexe et comporte différentes sections logicielles permettant de contrôler et/ou commander un moteur à combustion interne. Dans la suite de la description, le moteur à combustion interne sera parfois nommé moteur thermique. Il y a des sections dites de logiciel applicatif permettant de commander divers paramètres du moteur thermique et au moins une section logicielle adaptée pour piloter et contrôler au moins un injecteur 20 du moteur thermique.

Cette section logicielle est adaptée pour piloter et contrôler les injecteurs 20 du moteur thermique et est souvent appelée par l'homme de l'art « basic software ». Elle permet en fonction d'une stratégie déterminée de contrôler l'injection du moteur thermique via les injecteurs 20. Bien entendu, l'homme de l'art comprendra que la couche logicielle est adaptée pour délivrer à l'aide de composants électroniques adaptés des signaux de commande aux différents modules du calculateur 2 de contrôle moteur, c'est-à-dire à l'unité de commande 6 et au module de puissance 8. Ainsi, il est délivré des requêtes, dites requêtes d'injection, en fonction d'événements temps réels, d'interruptions, d'horloges internes, aussi nommées par l'homme de l'art « timer interne », de calculs effectués par le microcontrôleur maître 14 et aussi en réponse à des signaux provenant du moteur thermique. Les signaux utilisés pour commander les injecteurs 20 seront présentés plus loin dans la description.

L'unité de commande 6 comporte par exemple un premier microcontrôleur esclave 22 et au moins un module de conversion 23 adapté pour convertir des signaux électriques provenant de l'unité de calcul 4. Le premier microcontrôleur esclave 22 est adapté pour exécuter des taches demandées par le microcontrôleur maître 14 et pour analyser/traiter des signaux provenant du module de puissance 8. En outre, le premier microcontrôleur esclave 22 comporte une couche logicielle adaptée pour effectuer le suivi de la position des injecteurs 20. Ainsi, grâce à cette couche logicielle, il est possible de connaître avec précision l'état des injecteurs 20 en temps réel. Pour ce faire, l'unité de commande 6 reçoit sur une de ces entrées un signal nommé V inj retour provenant de module de puissance 8, signal représentatif de la position des injecteurs 20. Dans une variante de réalisation, le premier microcontrôleur esclave 22 peut être un composant programmable de type ASIC, abréviation de l'anglais « Application Spécifie Integrated Circuit ». Le module de puissance 8 ne sera pas plus décrit dans la description car son architecture est bien connue de l'homme de l'art.

Afin de protéger d'éventuelles défaillances le calculateur 2 de contrôle moteur et aussi les injecteurs 20 un module de surveillance 24 est intégré au calculateur 2 de contrôle moteur. Ce module de surveillance 24 comporte par exemple un second microcontrôleur esclave 26. Le module de surveillance 24 est couplé à l'unité de calcul et de contrôle 4 à l'aide du bus de communication 12 et au module de puissance 8 à l'aide d'un bus de contrôle 28. Dans l'exemple représenté à la figure 1 , le bus de contrôle 28 comporte une seule connexion. En variante et en fonction du type de calculateur 2 de contrôle moteur et aussi du moteur à commander, le bus de contrôle 28 peut comporter un nombre n de connexions. Ce type de bus de contrôle 28 peut être par exemple un bus de communication série asynchrone connu de l'homme de l'art.

Il est possible que des défaillances surviennent durant la commande et le contrôle de l'injection du moteur à combustion interne. Ces défaillances peuvent être physique, c'est-à-dire par exemple une défaillance d'un injecteur 20 ; dans ce cas le calculateur 2 de contrôle moteur détecte l'injecteur 20 défaillant et en informe le conducteur. De part la complexité de l'architecture du calculateur 2 de contrôle moteur et de la commande en temps réel des injecteurs 20, il est possible que des défaillances logicielles surviennent comme par exemple des requêtes faites par l'unité de commande 6 avec un temps de commande des injecteurs 20 trop long ou décalé par rapport au cycle de combustion du moteur. Ainsi, lorsqu'une défaillance de ce type survient alors un casse du calculateur est possible.

Les injecteurs 20 sont par exemple des injecteurs piézoélectriques. Dans la suite de la description, les injecteurs 20 seront considérés dans une première approche comme des capacités. Cette simplification du comportement des injecteurs 20 permettra de mieux comprendre l'invention. Il est à noter que l'homme de l'art utilise souvent ce type d'approche pour illustrer le fonctionnement d'un injecteur piézoélectrique.

La figure 2 est une vue simplifiée du calculateur 2 de contrôle moteur représenté à la figure 1 . On y retrouve l'unité de calcul et de contrôle 4, l'unité de commande 6, le module de puissance 8, les injecteurs 20, le module de surveillance 24 et le bus de contrôle 28. Seuls les signaux utiles à la compréhension du procédé de l'invention sont représentés à la place du bus de communication 12.

Ainsi, une première liaison 30 et une deuxième liaison 32 couplent l'unité de calcul et de contrôle 4 à l'unité de commande 6. La première liaison 30 et la deuxième liaison 32 délivrent respectivement un premier signal de commande 30_1 et un deuxième signal de commande 32 1 . Une troisième liaison 34 et une quatrième liaison 36 couplent l'unité de commande 6 au module de puissance 8. La troisième liaison 34 et la quatrième liaison 36 délivrent respectivement un troisième signal de commande 34 1 et un quatrième signal de commande 36_1 . Ces signaux seront présentés ultérieurement dans le texte de la description. Dans une mode de réalisation préféré, la première liaison 30, la deuxième liaison 32, la troisième liaison 34 et la quatrième liaison 36 sont des liaisons avec un transfert de données unidirectionnel. Dans une variante de réalisation, au moins une de ces quatre liaisons est bidirectionnelle diminuant ainsi la complexité du câblage interne du calculateur 2 de contrôle moteur.

Une cinquième liaison 38 couple le module de puissance 8 à un injecteur 20. Bien entendu, l'homme de l'art comprendra que le nombre de cinquièmes liaisons 38 est proportionnel au nombre d'injecteurs 20 à commander. Ainsi, pour une meilleure lisibilité du schéma de la figure 2 une seule cinquième liaison 38 est représentée. Cette cinquième liaison 38 est adaptée pour délivrer à un injecteur 20 un cinquième signal de commande 38_1 permettant de le commander.

La figure 3 représente le premier signal de commande 30_1 , le deuxième signal 32 1 , le troisième signal de commande 34 1 , le quatrième signal de commande 36_1 et le cinquième signal de commande 38_1 lors d'une phase d'injection d'un cycle d'injection. Afin de faciliter sa lecture, une seule phase d'injection a été représentée sur la figure 3. Cependant, il est connu de l'homme de l'art qu'un cycle d'injection comporte un nombre déterminé de phases d'injection. Dans l'exemple de la figure 3, une phase d'injection présente une durée D d'une valeur de 600με (1 με = 10 ⁶ s) ; cette valeur est purement illustrative et non limitative.

Le premier signal de commande 30_1 délivré par l'unité de calcul et de contrôle 4 est représentatif d'un ordre d'injection, ou comme mentionné plus haut dans la description, si nous considérons un injecteur 20 comme une capacité alors, le premier signal de commande 30_1 est représentatif d'un ordre de charge de la capacité. La durée d'activation dépend du type d'injecteur 20, dans l'exemple de la figure 3 nous considérons que le premier signal de commande 30_1 présente une première durée 30_1_D d'une valeur de 200μs (1 μs = 10 ^~6 s). Cette première durée 30_1_D est symbolisée par la mise à « 1 » ou état haut, du premier signal de commande 30_1 . Durant le reste de la phase d'injection, le premier signal de commande 30_1 est à l'état bas ou « 0 ».

Le deuxième signal de commande 32 1 délivré par l'unité de calcul et de contrôle 4 est représentatif d'un ordre d'arrêt d'injection, ou comme mentionné plus haut dans la description si nous considérons un injecteur 20 comme une capacité alors, le deuxième signal de commande 32 1 est représentatif d'un ordre de décharge de la capacité. La durée pour désactiver un injecteur 20 dépend aussi du type d'injecteur 20. Dans l'exemple de la figure 3, il est considéré que le deuxième signal de commande 32 1 présente une deuxième durée 32 1 D d'une valeur de 200με (1 με = 10 ^~6 s). Cette deuxième durée 32 1 D est symbolisée par la mise à « 1 », ou état haut, du deuxième signal de commande 32 1 . Durant le reste de la phase d'injection, le deuxième signal de commande 32 1 est à l'état bas ou à « 0 ». Le troisième signal de commande 34 présente une troisième durée 34 1 D d'une valeur de 200με. Dans un mode de réalisation préféré la valeur de la troisième durée 34 1 D est identique à la valeur de la première durée 30_1_D.

Le quatrième signal de commande 36 présente une quatrième durée 36_1_D d'une valeur de 200με. Dans un mode de réalisation préféré, la valeur de la quatrième durée 36_1_D est identique à la valeur de la deuxième durée 34 1 D.

Le troisième signal de commande 34 et le quatrième signal de commande 36 sont, par exemple des signaux de type PWM, pour « Puise Width Modulation » en anglais, ou modulation de largeur d'impulsion en français. Ainsi, il est possible grâce au troisième signal de commande 34 et au quatrième signal de commande 36 de commander un ou plusieurs injecteur(s) 20. Un signal PWM est principalement caractérisé par une fréquence et surtout par une valeur de rapport cyclique. En fonction de l'injecteur 20 à commander, la fréquence ainsi que le rapport cyclique du troisième signal de commande 34 1 et du quatrième signal de commande 36_1 peuvent être modifiés. Durant le reste de la phase d'injection, le troisième signal de commande 34 1 et le quatrième signal de commande 36_1 sont à l'état bas ou à « 0 ». Les valeurs numériques citées ci-dessus sont données à titre purement illustratif et en aucune cas limitent la portée de l'invention.

Comme illustré sur la figure 3, le cinquième signal de commande 38_1 présente sur une phase d'injection d'une durée D une forme générale de charge et décharge d'un condensateur en réponse au troisième signal de commande 34 1 et au quatrième signal de commande 36_1 . Le cinquième signal de commande 38_1 présente une amplitude minimale 38_1_m et une amplitude maximale 38_1_M. La valeur de l'amplitude minimale 38_1_m est par exemple de 27V. Cette valeur minimale correspond à la valeur seuil à partir de laquelle l'injecteur 20 n'est plus considéré comme actif. La valeur de l'amplitude maximale 38_1_M est par exemple de 140V. La valeur de l'amplitude maximale 38_1_M est donnée à titre d'exemple et est de préférence comprise entre 130V et 180V. La valeur de l'amplitude maximale 38_1_M correspond à la valeur à partir de laquelle l'injecteur 20 est activé, c'est-à-dire que du carburant est pulvérisé dans une chambre de combustion correspondante du moteur thermique. Les valeurs de l'amplitude minimale 38_1_m et de l'amplitude maximale 38_1_M sont contrôlées par la troisième durée 34 1 D et la quatrième durée 36_1_D respectivement du troisième signal de commande 34 et du quatrième signal de commande 36.

Pour éviter toute défaillance, il est connu de l'homme de l'art de laisser un temps minimum de maintien T_m entre un état haut du troisième signal de commande 34 1 et un état haut du quatrième signal de commande 38_1 . Ce temps minimum de maintien T_m peut aussi être parfois appelé dans la description première temporisation. Par exemple, le temps minimum de maintien T_m présente une valeur minimale de 10με (1 με = 10 ^~6 s). Dans le cas où le temps minimum de maintien T_m est inférieur à 10^s (^s = 10 ^~6 s) un cas de défaillance sur un injecteur 20 est possible pouvant provoquer soit la casse de ce dernier soit la destruction du calculateur 2 de contrôle moteur.

Le procédé de la présente invention qui va être décrit ci-dessous permet de détecter une défaillance de commande d'au moins un injecteur 20 afin de protéger à la fois ledit injecteur 20 mais aussi le calculateur 2 de contrôle moteur.

La figure 4 représente ledit procédé de détection de défaillance sous la forme d'un algorigramme. Ce procédé de détection de défaillance peut être implémenté soit dans l'unité de calcul et de contrôle 4 soit dans l'unité de commande 6 soit dans le module de surveillance 24.

La figure 5 illustre symboliquement la couche logicielle du procédé de l'invention de la figure 4. Bien entendu, la couche logicielle du procédé de l'invention illustrée à la figure 4 peut être ajoutée à des couches logicielles déjà présentes dans l'unité de commande 6. En variante, dans un souci d'amélioration des performances et de la fiabilité du procédé de l'invention, ce dernier peut être implémenté dans un composant programmable de type ASIC. Ledit composant programme de type ASIC pouvant être soit l'unité de commande 6 soit l'unité de contrôle 4. Il peut aussi être envisagé d'implémenter le procédé de l'invention dans un composant dédié. Ce composant dédié peut être soit ajouté à la structure interne du calculateur 2 de contrôle moteur (dans son boîtier) soit de manière externe, comme par exemple avec un module déporté couplé au calculateur 2 de contrôle moteur via un bus de communication.

Le procédé de l'invention consiste en l'ajout d'une fenêtre de mesure 50. Cette fenêtre de mesure 50 permet la mesure de l'état des signaux délivrés par l'unité de commande 6 et par le module de puissance 8. Ainsi comme représenté sur la figure 5, les signaux surveillés par le procédé de présente invention sont le troisième signal de commande 34 1 , le quatrième signal de commande 36_1 et le cinquième signal de commande 38_1 . Bien entendu pour faciliter la communication avec l'unité de calcul et de contrôle 4, le procédé de l'invention traite des informations provenant du bus de communication 12. En outre, le procédé de l'invention (et sa couche logicielle) est aussi adapté pour générer des informations via ledit bus de communication 12.

Afin de protéger le calculateur 2 de contrôle moteur, le procédé de détection de défaillance ici présenté est adapté pour émettre un sixième signal de commande 60_1 , un septième signal de commande 60_2 et un huitième signal de commande 60_3. Ces trois signaux de commande sont dans un exemple de réalisation intégrés au bus de communication 12 et permettent une communication avec l'unité de calcul et de contrôle 4 pour la surveillance de défaillance.

Dans la suite de la description va être présenté des étapes du procédé de détection de défaillance selon la présente invention et tel qu'il est représenté à la figure 4. Afin de simplifier l'explication du procédé et comme expliqué plus haut dans la description un injecteur 20 sera considéré comme une capacité et donc nous parlerons ici de charge ou de décharge à la place d'activation ou de désactivation de l'injecteur 20. En outre, afin de simplifier la description du procédé, ce dernier sera présenté dans le cas d'une seule phase d'injection tel que représenté sur la figure 3.

Le procédé de la présente invention débute par une première étape 70_1 de lancement. Cette première étape 70_1 peut être par exemple activée lors du placement de la clef de contact dans le neiman du véhicule automobile.

Après la première étape 70_1 de lancement, une deuxième étape 70_2 d'initialisation est réalisée. Durant cette deuxième étape 70_2 d'initialisation plusieurs variables sont remises à zéro. Dans l'exemple ici décrit, huit variables sont utilisées et se nomment FLAG, ΔΤ1 , ΔΤ2, ΔΤ3, ΔΤ4, Seuil_min, Seuil_max et défaut. Bien entendu, le nombre de variables est dépendant du type de calculateur 2 de contrôle moteur et/ou du type de moteur et de son injection. Avantageusement, le nombre de variable peut être modifié.

Une troisième étape 70_3 de surveillance d'ordre de charge ou de décharge est ensuite réalisée. Lorsqu'un ordre de charge ou de décharge est détecté alors une quatrième étape 70_4 d'activation de mesure est lancée. Pour mémoire, nous nous placerons ici dans le cas où une phase d'injection comporte un ordre de charge et un ordre de décharge (de l'injecteur 20). Cette quatrième étape 70_4 d'activation de mesure consiste à mesurer durant la phase d'injection :

• la première durée 30_1_D du premier signal de commande 30_1 ,

• la deuxième durée 32 1 D du deuxième signal de commande 32 1 ,

• le temps minimum de maintien T_m,

• une durée T cd entre un ordre de charge et un ordre de décharge.

II est aussi mesuré durant la quatrième étape 70_4 d'activation de mesure l'amplitude minimale 38_1_m et l'amplitude maximale 38_1_M du cinquième signal de commande 38_1 .

La quatrième étape 70_4 est active durant une phase d'injection complète, c'est-à-dire tant que la phase d'injection n'est pas terminée ce qui est représenté par une cinquième étape 70_5 d'attente de la fin de la phase d'injection. Lors de la fin de la phase d'injection correspondant à l'étape 70_5 le procédé comporte une sixième étape 70_6 d'enregistrement des valeurs des variables comme suit :

• enregistrement de la valeur de la première durée 30_1_D du premier signal de commande 30_1 dans la variable ΔΤ1 ,

• enregistrement de la valeur de la deuxième durée 32 1 D du deuxième signal de commande 32 1 dans la variable ΔΤ3,

• enregistrement de la valeur du temps minimum de maintien T_m dans la variable ΔΤ2,

· enregistrement de la valeur de la durée T cd correspondant au temps entre un ordre de charge et un ordre de décharge dans la variable ΔΤ4,

• enregistrement de la valeur de l'amplitude minimale 38_1_m dans la variable Seuil_min, et

• enregistrement de la valeur de l'amplitude maximale 38_1_M dans la variable Seuil_max.

Comme mentionné plus haut, un cycle d'injection peut comporter plusieurs phases d'injection. Ainsi le procédé de l'invention comporte une septième étape 70_7 de détection de fin d'un cycle d'injection.

Dans le cas d'un cycle d'injection avec par exemple cinq phases d'injection, le procédé de l'invention effectue cinq mesures et cinq enregistrements des variables présentées dans l'étape précédente. Bien entendu, l'homme de l'art comprendra aisément que dans ce cas les données seront stockées indépendamment dans des mémoires prévues à cet effet. En variante, le procédé peut comporter à la fin d'un cycle d'injection, une étape qui consiste en une opération mathématique pour effectuer une moyenne des cinq valeurs de chaque variable (non représenté sur l'algorigramme).

Une huitième étape 70_8 d'analyse des paramètres est ensuite effectuée. Cette huitième étape 70_8 consiste en une comparaison des valeurs des variables ΔΤ1 , ΔΤ2, ΔΤ3, ΔΤ4, Seuil_min et Seuil_max à des valeurs références au préalable enregistrées par exemple dans une mémoire flash du calculateur 2 de contrôle moteur. Les valeurs références sont par exemple enregistrées lors de la programmation en usine du calculateur 2 de contrôle moteur en fonction du type d'injection à contrôler. Ces valeurs sont nommées : AT1_ref, AT2_ref, AT3_ref, AT4_ref, Seuil_min_ref, Seuil_max_ref.

Les valeurs des variables ΔΤ1 , ΔΤ2, ΔΤ3, ΔΤ4, Seuil_min et Seuil_max sont alors comparées aux valeurs AT1_ref, AT2_ref, AT3_ref, AT4_ref, Seuil_min_ref, Seuil_max_ref. En fonction des résultats de chaque comparaison et de conditions préétablies qui seront présentées dans la suite de la description, le procédé de l'invention réalisera différentes actions. Le procédé prévoit que si aucun cas de défaillance n'est détecté alors la variable défaut reste à « 0 » et dans le cas où, au moins une des conditions n'est pas respectée alors la variable défaut est positionnée à « 1 ».

Ensuite, une neuvième étape 70_9 de test de la variable défaut est réalisée. Dans le cas où la variable défaut est à « 0 » alors cela a pour signification, selon le procédé de l'invention, qu'aucun défaillance n'a été détectée lors d'un cycle d'injection. Dans ce cas, le procédé de détection de défaillance se positionne à nouveau à la troisième étape 70_3 et les étapes précédemment décrites sont à nouveau exécutées.

Dans le cas où, la variable défaut est à « 1 » alors cela a pour signification qu'une potentielle défaillance a été détectée durant le précédent cycle d'injection et l'étape ci-dessous est réalisée.

Avantageusement, lorsqu'une possible défaillance est détectée, il est important de savoir si cette défaillance est risquée pour le calculateur 2 de contrôle moteur et aussi pour l'injecteur 20. De façon originale le procédé de l'invention prévoit, en fonction des résultats des comparaisons effectuées à la huitième étape 70_8, des cas qui sont considérés comme destructifs pour le calculateur 2 de contrôle moteur et des cas qui sont considérés moins risqués pour le calculateur 2 de contrôle moteur mais qui, selon le procédé de l'invention, nécessitent une action sur au moins un module du calculateur 2 de contrôle moteur. Le tableau 1 ci-dessous mentionne lesdits cas.

Tableau 1 : cas possibles de défaillance.

Huit cas sont répertoriés comme étant à risque pour le calculateur 2 de contrôle moteur.

Parmi ces huit cas, le cas n ° 1 , le cas n °2 et le ca n °3 sont considérés par le procédé de l'invention comme destructifs pour le calculateur 2 de contrôle moteur. Le cas n °4, le cas n ° 6 et le cas n °7 sont eux conférés par le procédé de l'invention comme étant non destructifs pour le calculateur 2 de contrôle moteur mais nécessitant cependant une action sur au moins un module dudit calculateur 2 de contrôle moteur.

Enfin le cas n °5 et le cas n °8 sont eux considéréscomme potentiellement destructifs pour le calculateur 2 de contrôle moteur et nécessite donc une action sur au moins un module du calculateur 2 de contrôle moteur.

Pour déterminer le cas de figure présent, le procédé comporte une dixième étape 70_10 d'identification du type de défaillance. Ainsi, trois possibilités sont envisagées :

• défaillance de type « destruction »,

• défaillance de type « destruction potentielle » nécessitant une action sur le calculateur 2 de contrôle moteur, et

• défaillance de type « non destructif » mais nécessitant une action sur le calculateur 2 de contrôle moteur.

Les cas 1 , à 3 correspondent d'après le procédé de l'invention à des cas de destruction du calculateur 2 de contrôle moteur. Plus précisément, ces trois cas correspondent à une destruction possible du module de puissance 8 si aucune action n'est réalisée.

Afin d'éviter cette destruction, le procédé de l'invention propose avantageusement une onzième étape 71 1 de remise à zéro complète du calculateur 2 de contrôle moteur, c'est-à-dire une remise à zéro de la couche logicielle et de la couche matérielle. Ainsi, le calculateur 2 de contrôle moteur est relancé et un nouveau cycle d'injection peut débuter. Cette onzième étape 71 1 nécessite que quelques millisecondes et est imperceptible pour le conducteur. Grâce au procédé de l'invention, aucun calage moteur n'est réalisé lors de cette étape du procédé de l'invention.

En variante, le procédé prévoit une douzième étape 71 2 de remise à zéro supplémentaire de la variante FLAG.

Dans une autre variante, non représentée sur l'algorigramme, il peut être aussi prévu d'afficher sur un tableau de bord du véhicule une information d'alerte après un nombre déterminé de onzième étapes 71 1 .

Dans le cas où, la défaillance détectée par le procédé n'est pas celle des cas destructeur, c'est-à-dire des cas 1 à 3 alors une treizième étape 72 1 d'identification de défaillance est réalisée.

Cette treizième étape 72 1 permet d'identifier si nous sommes en présence d'une défaillance de type « destruction potentielle » c'est-à-dire en référence au tableau 1 les cas n °5 et n °8, ou d'une défaillance du type «non destructif » c'est-à-dire en référence au tableau 1 les cas n °4, n °6 et n °7. Pour ce fairp la treizième étape 72 1 teste la variable FLAG.

Dans le cas où, une défaillance de type « non destructif » est identifiée ce qui correspond au cas où la variable FLAG est à « 0 » alors une quatorzième étape 72 2 de remise à zéro hardware est réalisée.

Cette quatorzième étape 72 2 consiste en une remise à zéro du l'unité de commande 6.

Une fois la remise à zéro hardware effectuée le procédé prévoit une quinzième étape 72 3 qui incrémente la variable FLAG de « 1 ». Une fois cette quinzième étape 72 3 effectuée le procédé prévoit de revenir à la troisième étape 70_3.

Dans le cas où, la variable FLAG présente une valeur différente de « 0 » une seizième étape 73_1 de test de la variable FLAG est réalisée.

La seizième étape 73_1 du procédé consiste à savoir si la variable FLAG présente une valeur égale à « 1 ».

Dans le cas où la variable FLAG est égale à « 1 » alors, une dix-septième étape 73_2 est effectuée et consiste en une remise à zéro software du l'unité de commande 6.

Ensuite le procédé prévoit une dix-huitième étape 73_3 dans laquelle la variable FLAG est incrémentée de « 1 ».

Dans le cas où la variable FLAG est supérieure à « 1 » alors une dix- neuvième étape 74 1 consistant en une remise à zéro complète du calculateur 2 de contrôle moteur est effectuée. Ainsi, la partie hardware et la partie software du calculateur 2 de contrôle moteur est effectuée.

La variable FLAG est ensuite dans une vingtième étape 74 2 remise à zéro. Comme illustré sur l'algorigramme de la figure 4 après les étapes 73_3 et 74 2 le procédé est relancé à la troisième étape 70_3.

Grâce au procédé de l'invention, il est maintenant possible de détecter des cas de défaillance en surveillant grâce à une fenêtre temporelle de mesure des signaux de commande des injecteurs et détecter des cas possible de défaillance. Grâce à l'invention, le risque de destruction du calculateur de contrôle moteur est diminué améliorant ainsi la qualité de conduite du véhicule et aussi améliorant la sûreté dudit véhicule. En effet, lorsqu'un calculateur de contrôle moteur est détruit le moteur se stoppe et le véhicule s'arrête ce qui, dans certains cas, peut être dangereux. Avantageusement, un tel procédé sera facilement intégré et intégrable dans des couches logicielles déjà existantes d'un calculateur de contrôle moteur. De plus, un tel procédé n'occupera que très peu d'espace mémoire supplémentaire engendrant ainsi un surcoût très faible. Bien entendu, la présente invention ne se limite pas au mode de réalisation préféré décrit ci-dessus et illustré sur le dessin et aux variantes de réalisation évoquées mais s'étend à toutes les variantes à la portée de l'homme du métier.