Procédé et dispositif de contrôle sécurisé d'un système à alterno-démarreur couplé à u n moteur thermique d'un véhicule, et système à alterno-démarreu r et liaisons fi lai res correspondant

DOMAINE TECHNIQUE DE L'INVENTION.

La présente invention concerne un procédé et un dispositif de contrôle sécurisé d'un système à alterno-démarreur couplé à un moteur thermique d'un véhicule. L'invention concerne aussi un système à alterno-démarreur apte à la mise en œuvre du procédé et comprenant ce dispositif.

ARRIERE PLAN TECHNOLOGIQUE DE L'INVENTION.

Des considérations d'économie d'énergie et de réduction de la pollution, surtout en milieu urbain, conduisent les constructeurs de véhicules automobiles à équiper leurs modèles d'un système d'arrêt/ relance automatique du moteur thermique (dit « système d'arrêt/relance moteur automatique » dans la suite de la description), tel que le système connu sous le terme anglo-saxon de « Stop and Go >>. Ainsi que le rappelle la société VALEO EQUIPEMENTS ELECTRIQUES

MOTEUR dans la demande de brevet FR2875549, les véhicules sont rendus aptes à fonctionner selon le mode « Stop and Go » grâce à une machine électrique réversible, ou alterno-démarreur, couplée au moteur thermique, alimentée par un onduleur en mode « démarreur ». L'utilisation d'un système à alterno-démarreur dans un mode de fonctionnement « Stop and Go » consiste, sous certaines conditions, à provoquer l'arrêt complet du moteur thermique lorsque le véhicule est lui-même à l'arrêt, puis à relancer le moteur thermique à la suite, par exemple, d'une action du conducteur interprétée comme une demande de relance du moteur thermique. Une situation typique de « Stop and Go » est celle de l'arrêt à un feu rouge.

Lorsque le véhicule s'arrête au feu, le moteur thermique est automatiquement stoppé, puis, quand le feu devient vert, le moteur est relancé au moyen du système à alterno-démarreur, comme suite à la détection par le système de l'enfoncement de la pédale d'embrayage par le conducteur, ou de toute autre action traduisant la volonté du conducteur de provoquer un déplacement de son véhicule.

- i _* -

Pour ce faire, ainsi que l'indique également la société VALEO EQUIPEMENTS ELECTRIQUES MOTEUR dans la demande de brevet FR2875551 , le système « Stop and Go » utilise des informations représentatives de l'état de fonctionnement du véhicule, informations provenant de capteurs du véhicule, tels que les capteurs de température de l'habitacle ou de détection de la position de la pédale d'embrayage, ou les informations lues sur un bus de communication de données, comme la vitesse du véhicule ou la vitesse de rotation du moteur.

Il va de soi que la fonction de relance automatique réalisée par un système à altemo-démarreur est une fonction qui doit assurer un certain niveau de sûreté de fonctionnement.

Ainsi que l'expose la société VALEO EQUIPEMENTS ELECTRIQUES MOTEUR dans la demande de brevet FR2875557, la caractéristique essentielle d'un procédé de commande d'un système à altemo-démarreur en mode démarreur est de comporter des étapes de vérification de conditions dites préalables à la relance moteur avant la phase de relance, et des conditions dites « sécuritaires » pendant toute la phase de relance moteur.

Une condition préalable à la relance du moteur est notamment déterminée par au moins une action intentionnelle du conducteur, par exemple, l'enfoncement de plus de 90% de la pédale d'embrayage.

Une condition supplémentaire est, par exemple, que le réseau de bord du véhicule soit alimenté, c'est-à-dire que la clé de contact du véhicule soit en position +APC « après contact », et que la chaîne de traction soit ouverte.

En effet, il n'est pas question, alors que l'on se trouve à l'arrêt (c'est-à-dire à vitesse nulle) et le moteur thermique arrêté par la fonction automatique, de relancer celui-ci sans que l'on soit certain que la chaîne de traction soit ouverte.

Si elle était fermée, la relance du moteur pourrait entraîner le véhicule et par suite le faire avancer (ou reculer), mettant ainsi en danger la sécurité de biens ou de personnes. Ainsi, afin d'éviter ce type de situation, on met aujourd'hui en œuvre une solution qui utilise une ligne spécifique de contrôle Auth. Ond. pour autoriser la commande de l'onduleur. Cette ligne spécifique de contrôle Auth. Ond. provient d'un système de commande du véhicule, externe à la fonction arrêt/ relance automatique, ce qui résout la plupart des contraintes de sécurité.

En complément, on introduit, afin de diagnostiquer l'état activé de la machine électrique, une sécurité supplémentaire. Cette sécurité est réalisée par la ligne Diagi . Ond. qui convoie une information indiquant la rotation de la machine électrique, information obtenue à partir de signaux de capteurs de position du rotor. Cette information est ensuite mise en forme par le microprocesseur de pilotage de la machine électrique, et est transmise au microprocesseur de l'unité de contrôle électronique du véhicule parmi les signaux d'état et défauts.

Cette solution résout la plupart des contraintes de sécurité inhérentes à la fonction mais révèle certains inconvénients. En effet, l'information Diagi . Ond. n'est rendue disponible pour l'unité de contrôle électronique du véhicule que lorsque le microprocesseur de pilotage de la machine électrique est fonctionnel. Ceci implique un certain délai logiciel pour être réactif lorsque l'information n'est pas présente (délai pour détecter l'absence d'information). Un autre inconvénient est que cette solution nécessite la mise en œuvre d'un microprocesseur ayant une capacité de traitement importante, car le microprocesseur de pilotage de la machine électrique doit à la fois commander celle-ci, en assurer la surveillance, et supporter tout ou partie de la stratégie système, tout en réalisant l'interface vers l'extérieur. Cette solution n'est pas non plus adaptée au cas où la machine électrique est utilisée à la fois pour la relance du moteur thermique et pour l'assistance en couple.

Une simple ligne de contrôle (Auth. Ond) ne peut être utilisée pour empêcher aussi bien des relances que des opérations d'assistance en couple. En effet, la fonction de relance ne peut être activée que si la chaîne de traction est ouverte, alors que la fonction d'assistance en couple ne peut être activée que lorsque la chaîne de traction est fermée. Ces deux conditions se révèlent contradictoires.

Il existe par conséquent un besoin pour une nouvelle architecture qui permette de s'affranchir de l'ensemble de ces problématiques en augmentant le niveau de sécurité de la fonctionnalité globale.

DESCRIPTION GENERALE DE L'INVENTION.

La présente invention vise à satisfaire ce besoin et a précisément pour objet un procédé de contrôle sécurisé d'un système à altemo-démarreur couplé à un moteur thermique d'un véhicule.

- A -

Le véhicule dont il s'agit est connu en soi, et comporte au moins une unité de contrôle électronique, des capteurs véhicule, un bus de communication de données et un réseau électrique de bord.

Le système à alterno-démarreur comporte classiquement au moins une machine électrique tournante munie d'un moyen de détection de rotation, des circuits de puissance comportant au moins un onduleur et un circuit d'excitation alimentant la machine électrique tournante, et un circuit de commande des circuits de puissance.

De manière connue, le procédé de contrôle sécurisé de ce système à alterno-démarreur est du type consistant à:

- générer au moyen de l'unité de contrôle électronique des signaux de contrôle du système à alterno-démarreur à partir de premiers signaux d'information Capt. Véh., représentatifs d'un état de fonctionnement du véhicule, provenant des capteurs véhicule; - générer au moyen de ce circuit de commande des signaux de commande des circuits de puissance à partir de signaux de diagnostic représentatifs d'un état de fonctionnement du système à alterno-démarreur ;

Le procédé de contrôle sécurisé de ce système à alterno-démarreur, selon l'invention, est remarquable en ce qu'il consiste en outre à: - générer les signaux de contrôle au moyen de l'unité de contrôle électronique à partir de plus d'au moins un premier signal de diagnostic Diagi . Ond. parmi les signaux de diagnostic représentatifs d'un état de fonctionnement du système à alterno-démarreur ;

- générer les signaux de commande au moyen du circuit de commande à partir de plus de seconds signaux d'information provenant du bus de communication de données.

De préférence, au moins un premier signal de commande Cd. Exe. parmi les signaux de commande constitue au moins un deuxième signal de diagnostic Diagi . Exe. parmi les signaux de diagnostic représentatifs d'un état de fonctionnement du système à alterno-démarreur.

Fort avantageusement, le procédé de contrôle sécurisé d'un système à alterno-démarreur, selon l'invention, consiste en outre à :

- générer au moins un premier signal de contrôle, Dd. Ond. et/ou Dd. Exe, parmi les signaux de contrôle au moyen d'un premier microprocesseur agencé dans l'unité de

contrôle électronique et traitant au moins les premier et deuxième signaux de diagnostic Diag. Ond., Diagi . Exe;

- générer au moins un second signal de contrôle Auth. Ond. parmi les signaux de contrôle au moyen d'un premier circuit de décision en logique câblée agencé dans l'unité de contrôle;

- générer les signaux de commande Cd. Ond. et Cd. Exe. au moyen exclusivement d'un second circuit de décision en logique câblée agencé dans le circuit de commande.

On tire bénéfice du fait que ce procédé de contrôle sécurisé d'un système à alterno-démarreur consiste aussi à :

- générer au moins le second signal de contrôle Auth. Exe. en fonction d'au moins un premier signal d'activation Act. Exe. parmi des signaux d'activation et/ou d'inhibition générés par le premier microprocesseur et d'un signal de contact représentatif de la mise sous tension du réseau électrique de bord ; - générer au moins le premier signal de commande Cd. Exe. en fonction du second signal de contrôle Auth. Exe, et d'au moins un premier signal de pilotage PiI. Exe. parmi des signaux de pilotage générés par un second microprocesseur agencé dans le circuit de commande.

Des signaux d'état/défaut sont de plus avantageusement transmis au moyen du second microprocesseur vers le premier microprocesseur.

Dans le procédé de contrôle sécurisé selon l'invention, le circuit d'excitation est commandé par le premier signal de commande Cd. Exe. qui est issu, pour des raisons de fiabilité, du second circuit de logique câblée, et où il a été validé par le second signal de contrôle Auth. Exe. Le premier signal de diagnostic Diagi . Ond. est de préférence fourni par le moyen de détection de rotation.

L'invention concerne également un dispositif de contrôle sécurisé d'un système à alterno-démarreur couplé à un moteur thermique d'un véhicule adapté à la mise en oeuvre du procédé décrit ci-dessus. Ce dispositif est du type de ceux où:

- l'unité de contrôle électronique du véhicule reçoit des premiers signaux d'information représentatifs d'un état de fonctionnement de ce véhicule provenant des capteurs véhicule et génère des signaux de contrôle du système à alterno- démarreur ;

- le circuit de commande des circuits de puissance, c'est-à-dire au moins un onduleur et un circuit d'excitation, reçoit des signaux de diagnostic représentatifs d'un état de fonctionnement du système à altemo-démarreur et génère des signaux de commande des circuits de puissance. Le dispositif de contrôle sécurisé selon l'invention est remarquable en ce que :

- l'unité de contrôle électronique du véhicule reçoit de plus au moins un premier signal de diagnostic Diagi . Ond. parmi les signaux de diagnostic ;

- le circuit de commande reçoit de plus des seconds signaux d'information du bus de communication de données.

Dans ce dispositif, on tire bénéfice du fait qu'au moins un premier signal de commande Cd. Exe, parmi les signaux de commande des circuits de puissance, constitue au moins un deuxième signal de diagnostic Diagi . Exe. parmi les signaux de diagnostic. Fort avantageusement, le dispositif selon l'invention comprend en outre :

- un premier microprocesseur agencé dans l'unité de contrôle électronique du véhicule traitant au moins le premier signal de diagnostic Diagi . Exe. et le second signal de diagnostic Diagi . Exe., et générant au moins un premier signal de contrôle, Dd. Ond. et/ou Dd. Exe, parmi les signaux de contrôle du système à altemo-démarreur ;

- un premier circuit de décision en logique câblée agencé dans l'unité de contrôle du véhicule et générant au moins un second signal de contrôle Auth. Exe. parmi les signaux de contrôle;

- un second circuit de décision en logique câblée agencé dans le circuit de commande et générant les signaux de commande Cd. Ond. et Cd. Exe. des circuits de puissance.

Le dispositif selon l'invention comprend de plus de

- une première porte logique produisant le second signal de contrôle Auth. Exe, ou plusieurs, en fonction d'au moins un premier signal d'activation Act. Exe. parmi des signaux d'activation Act. Exe et/ou d'inhibition Inh. Ond. générés par le premier microprocesseur, et d'un signal de contact +APC/ Vbat représentatif de la mise sous tension du réseau électrique de bord ;

- un second microprocesseur agencé dans le circuit de commande des circuits de puissance et générant des signaux de pilotage PiI. Ond. et PiI. Exe. ;

- une deuxième porte logique générant le premier signal de commande Cd. Exe, ou plusieurs, en fonction du second signal de contrôle Auth. Exe, et d'au moins un premier signal de pilotage PiI. Exe. parmi les signaux de pilotage PiI. Ond. et PiI. Exe. De préférence le second microprocesseur transmet des signaux d'état/défaut vers le premier microprocesseur, et avantageusement, il s'agit du premier signal de commande Cd. Exe. qui commande le circuit d'excitation.

Le premier signal de diagnostic Diagi . Ond. est de préférence fourni par le moyen de détection de rotation. L'invention vise aussi un système à alterno-démarreur destiné à un moteur thermique d'un véhicule comprenant le dispositif de contrôle sécurisé décrit précédemment, et, notamment, un système à alterno-démarreur comprenant une fonction de freinage récupératif, de type micro-hybride.

Ces quelques spécifications essentielles auront rendu évidents pour l'homme de métier les avantages apportés par l'invention par rapport à l'état de la technique antérieur.

Les spécifications détaillées de l'invention sont données dans la description qui suit en liaison avec les dessins ci-annexés. Il est à noter que ces dessins n'ont d'autre but que d'illustrer le texte de la description et ne constituent en aucune sorte une limitation de la portée de l'invention.

BREVE DESCRIPTION DES DESSINS.

La Figure 1 est une représentation schématique d'un système à alterno- démarreur connu couplé à un moteur thermique de véhicule. La Figu re 2 est une représentation schématique d'un système micro-hybride à freinage récupératif et/ou assistance en couple à alterno-démarreur, système connu et couplé à un moteur thermique de véhicule.

La Figu re 3 est un schéma de principe d'un dispositif de contrôle sécurisé connu pour le cas d'un système à alterno-démarreur du type de celui représenté sur la Figure 1 .

La Figure 4 représente un schéma de principe montrant des liaisons filaires et un dispositif de contrôle sécurisé selon l'invention pour le cas d'un système d'arrêt/relance automatique à alterno-démarreur du type de celui représenté sur la Figure 1 .

La Figu re 5 est un schéma de principe montrant des liaisons filaires et un dispositif de contrôle sécurisé selon l'invention pour le cas d'un système microhybride à freinage récupératif et/ou assistance en couple du type de celui représenté sur la Figure 2. La Figu re 6a est un schéma de principe montrant les liaisons filaires, selon l'invention, d'un premier mode de réalisation préféré du dispositif de contrôle sécurisé d'un système micro-hybride à freinage récupératif et/ou assistance en couple du type de celui montré sur la Figure 2, dans une variante de réalisation.

La Figu re 6b est un schéma de principe montrant les liaisons filaires, selon l'invention, d'un deuxième mode de réalisation préféré du dispositif de contrôle sécurisé d'un système micro-hybride à freinage récupératif et/ou assistance en couple du type de celui montré sur la Figure 2, dans une variante de réalisation.

La Figu re 7 est un diagramme montrant la transmission des signaux dédiés relatifs au procédé de contrôle sécurisé d'un système micro-hybride à freinage récupératif et/ou assistance en couple, selon l'invention.

DESCRIPTION DES MODES DE REALISATION PREFERES DE L'INVENTION.

Les modes de réalisation préférés de l'invention concernent les véhicules équipés d'un système à alterno-démarreur avec ou sans dispositif de récupération d'énergie au freinage, tels que représentés schématiquement sur les Figures 1 et 2, respectivement.

La Figu re 1 montre un système à alterno-démarreur 1 couplé à un moteur thermique 2 de véhicule.

Ce système à alterno-démarreur 1 comprend une machine électrique réversible 3 accouplée au moteur 2 au moyen d'une transmission 4 par courroie et poulies.

La machine électrique 3 comporte un rotor 5 solidaire d'une poulie de sortie 6 en bout d'arbre 7. Le rotor 5 présente un inducteur 8 alimenté au moyen d'un collecteur tournant 9 par un circuit d'excitation 10.

La machine 3 comprend également des enroulements de phases 1 1 , ou induit, alimentés par un onduleur 12.

Un circuit de commande 13 pilote les circuits de puissance 14 de la machine 3, constitués par l'onduleur 12 et le circuit d'excitation 10, en fonction des informations fournies par un capteur de la position 15 du rotor 5, et de signaux de contrôle 16 générés par une unité de contrôle électronique 17, 17a du véhicule. L'unité de contrôle électronique 17, 17a reçoit des paramètres de fonctionnement du moteur 2, et d'autres informations de contexte par des liaisons filaires dédiées 18 ou par le bus de communication de données 19 embarqué de type CAN.

L'onduleur 12 est de préférence constitué par un circuit hacheur 20 de la tension d'alimentation Vbat de bord générant des impulsions, dont la fréquence et la largeur sont contrôlées par le circuit de commande 13.

Le circuit hacheur 20 est un convertisseur alternatif - continu réversible qui fonctionne en redresseur synchrone 21 quand le système à altemo-démarreur 1 fonctionne en alternateur. Comme il a été déjà expliqué, la fonction de redémarrage automatique réalisée par un système à alterno-demarreur 1 est une fonction qui doit assurer un certain niveau de sûreté de fonctionnement.

En effet, il n'est pas question, par exemple, alors que l'on se trouve à l'arrêt (c'est-à-dire à vitesse nulle) et le moteur 2 arrêté par la fonction, de redémarrer celui-ci sans que l'on soit certain que la chaîne de traction soit ouverte.

La solution connue, qui a déjà été mise en œuvre afin d'éviter ce type de situation, est représentée sur la Figure 3.

La Figu re 3 montre de façon plus détaillée le circuit de commande 13 et l'unité de contrôle électronique 17, 17a de la Figure 1 . L'unité de contrôle électronique 17, 17a du véhicule, alimentée par la tension de batterie Vbat ou un après contact +APC, comprend un premier microprocesseur 22, et un premier circuit de décision 23 en logique câblée, qui reçoivent des premiers signaux d'information Capt. Véh. en provenance des capteurs du véhicule, et génèrent les signaux de contrôle Dd. Exe, Dd. Ond., Auth. Ond. du circuit de commande 13, c'est-à-dire une demande de fermeture du circuit d'excitation Dd. Exe, une demande d'entrée en fonction de l'onduleur Dd. Ond., et une autorisation de l'entrée en fonction de l'onduleur Auth. Ond..

Le circuit de commande 13, alimenté également par la tension de batterie

Vbat ou un après contact +APC, comprend un second microprocesseur 24, et une porte ET 25, qui reçoivent les signaux de contrôle Dd. Exe, Dd. Ond., Auth. Ond. de

l'unité de contrôle électronique 17, 17a, et génèrent les signaux de commande de fermeture du circuit d'excitation Cd. Exe. et de mise en fonction de l'onduleur Cd. Ond. qui commandent respectivement le circuit d'excitation 10 et l'onduleur 12 des circuits de puissance 14. Le second microprocesseur 24 reçoit de plus des signaux de diagnostic

Diag2. Exe, Diag2. Ond. sur l'état de la fermeture du circuit d'excitation 10, et la mise en fonction de l'onduleur 12, respectivement.

En même temps, le second microprocesseur 24 diagnostique la vitesse de la machine électrique tournante 3 au moyen d'une ligne dédiée Diagi . Ond. reliée au capteur de position 15 de la machine 3.

Les états et défauts de fonctionnement du système à alterno-démarreur 1 sont signalés au premier microprocesseur 22 de l'unité de contrôle électronique 17, 17a par la transmission de signaux d'état/ défaut (Etats/Défauts) en provenance du circuit de commande 13. On utilise une ligne d'inhibition dédiée Inh. Ond. provenant du premier microprocesseur 22, qui valide ou non l'autorisation Auth. Ond. de l'entrée en fonctionnement de l'onduleur 12 générée par le premier circuit de décision 23 en logique câblée, afin de résoudre la majeure partie des contraintes de sûreté de fonctionnement SdF liées à la fonction redémarrage, et rappelées ci-dessus. Le signal d'autorisation Auth. Ond. d'entrée en fonctionnement de l'onduleur

12 appliqué sur une entrée de la porte ET 25 du circuit de commande 13 dont la sortie Cd. Ond. commande l'onduleur 12, valide le signal de pilotage de l'onduleur PiI. Ond. généré par le second microprocesseur 24, et appliqué sur l'autre entrée.

Le fait que le contrôle de la mise en fonction de l'onduleur 12 soit assuré par le premier microprocesseur 22 extérieur à la fonction, et par des circuits de décision en logique câblée, contribue au renforcement de la sécurité.

Mais le dispositif de contrôle sécurisé d'un système à alterno-démarreur 1 représenté sur la Figure 3 révèle quelques faiblesses, qui sont :

- premièrement, le diagnostic Diagi . Ond. de l'activation du mode moteur du convertisseur alternatif/ continu réversible 20 n'est émis qu'à destination du second microcontrôleur 24 du circuit de commande 13 de l'onduleur 12. De ce fait, l'information n'est rendue disponible pour l'unité de contrôle électronique du véhicule 17, 17a que lorsque le second microprocesseur 24 est fonctionnel. Ceci

implique un certain délai logiciel pour être réactif lorsque l'information n'est pas disponible (temps de détecter l'absence d'information).

- deuxièmement, l'onduleur 12 est activé à partir d'un organe externe au système, et contraint dans le cas d'une architecture de type micro-hybride ou dite de type

«14+X », telle que représentée schématiquement sur la Figure 2, (c'est-à-dire, où l'on dispose d'un stockeur d'énergie 26 intermédiaire et de capacité à réaliser une fonction d'assistance en couple du moteur) soit

- de modifier l'architecture véhicule et/ou des organes extérieurs à la fourniture dans le cas où la fonction est présente ;

- soit d'utiliser une autre architecture qui ne révèle pas ce problème lorsque l'on souhaite une fonction autonome, c'est à dire une fonction qui impactera le moins possible (voire pas du tout) de composant externe à la fourniture. C'est cette dernière solution qui est exposée ci-dessous en liaison avec les Figure 6a et 6b et dont le principe consiste à utiliser deux circuits de commande 17a, 13 mis en œuvre au sein du système 27 ; ces circuits contenant pour chacune un microprocesseur 22, 24 sont agencées de façon à ce qu'ils se surveillent mutuellement (par exemple, le second circuit de commande 13 surveille le premier circuit de commande 17a afin d'inhiber ses demandes dans le cas où l'on a détecté que son microprocesseur 22 était défaillant, ou qu'il déclenche une action intempestive, c'est à dire non désirée), ce qui permet la sécurisation de l'activation du mode moteur (Assistance en couple ou démarrage/ redémarrage) en évitant la mise en œuvre de solutions de sécurisation plus coûteuses au sein, par exemple de l'électronique de commande de la machine électrique tournante 3.

- troisièmement, dans le cas d'un système micro-hybride dit de type «14+X », alors que de nombreuses ressources du second microprocesseur 24 sont utilisées pour la surveillance et la commande de la machine électrique 3, le second microprocesseur 24, dans le cas du système à alterno-démarreur 1 représenté sur la Figure 1 , est en même temps l'organe d'interface avec l'extérieur du système, ce qui requiert une capacité de traitement très importante (pour réaliser à la fois l'interface vers l'extérieur et la commande machine). De plus, il doit également supporter tout ou partie de la stratégie système.

- quatrièmement, certaines solutions de sécurisation ne sont pas réalisables dans le cas d'une architecture de type «14+X ».

Une architecture de type «14+X », ou de type micro-hybride, est représentée sur la Figure 2. Le système micro-hybride 27 comprend, comme le système à alterno- démarreur classique représenté sur la Figure 1 , une machine électrique tournante 3 présentant un inducteur 8 alimenté par un circuit d'excitation 10, des enroulements de phases 1 1 alimentés par un convertisseur alternatif-continu réversible 20 fonctionnant en onduleur 12, et un capteur de la position 15 du rotor 8. Mais, à la différence du système à alterno-démarreur classique, l'onduleur 12 est alimenté par une super-capacité 26 au lieu d'être connecté directement à la batterie de bord.

Dans le fonctionnement en génératrice, la machine électrique 3 charge la super-capacité 26 au moyen du convertisseur alternatif-continu réversible 20 fonctionnant en redresseur et fournit au réseau électrique de bord une tension Vbat+X supérieure à la tension de batterie Vbat.

Des circuits de conversion d'énergie 29 constitués par un convertisseur continu-continu, permettent des échanges d'énergie électrique entre la batterie 28 de bord qui fournit un premier réseau de bord à la tension Vbat et la super-capacité 26 qui fournit un second réseau de bord à la tension Vbat+X.

Un circuit de commande 13 pilote le circuit d'excitation 10, le convertisseur alternatif-continu réversible 20, dont l'onduleur 12, constituant les circuits de puissance 14 du système à alterno-démarreur 1 , et les circuits de conversion d'énergie 29. Le circuit de commande 13 est contrôlé par une unité de contrôle électronique 17, 17a interfacée avec le bus CAN 19.

Le système micro-hybride 27 représenté sur la Figu re 2 permet de mettre en œuvre une fonction de freinage récupératif et/ou d'assistance en couple : une partie de l'énergie mécanique du freinage transformée en énergie électrique par la machine électrique 3 fonctionnant en génératrice, et stockée dans la super-capacité 26, est utilisée pour apporter un complément de couple au moteur thermique 2 en faisant fonctionner la machine électrique 3 en moteur électrique.

Mais, comme il a déjà été vu, on ne peut pas se protéger dans un système micro-hybride 27 comme dans un système à alterno-démarreur 1 classique, à la fois

contre les fonctions de redémarrage et/ou d'assistance en couple intempestifs par une simple ligne d'inhibition Auth. Ond..

En effet, la fonction de redémarrage ne peut être activée que si la chaîne de traction est ouverte alors que la fonction d'assistance en couple ne peut être activée que lorsque la chaîne de traction soit fermée. Ces deux conditions sont donc contradictoires.

La Figure 4 montre une solution de sécurisation appliquée au système à altemo-démarreur 1 classique montré sur la Figure 1 , qui s'applique également au système micro-hybride 27 montré sur la Figure 2, comme le montre bien la Figure 5 et 6.

Selon un principe général de l'invention, on propose, dans le cadre d'un système réalisant les fonctions de redémarrage automatique et/ou d'assistance en couple du moteur, d'utiliser une architecture distribuée :

- d'une part, un organe dit de décision (où sont implémentées les stratégies de haut niveau), tel que l'unité de contrôle électronique 17, 17a du véhicule, ou une autre unité de traitement disponible ;

- d'autre part, un organe d'exécution (la machine réversible 3 et son électronique associée 13, 14) commandée par l'organe de décision décrit ci dessus. En distribuant ainsi l'architecture dans deux organes séparés, on évite l'introduction de dispositifs de sécurité additionnel dans le système à altemo- démarreur 1 classique représenté sur la Figure 1 , tel qu'un microcontrôleur additionnel.

De plus, en utilisant deux microprocesseurs 22, 24 séparés mais appartenant, éventuellement, dans le cadre d'une architecture de type micro-hybride, comme montrée sur la Figure 2 et 6, au système micro-hybride 27, on évite également de modifier l'architecture du véhicule dans le cas où la fonction n'est pas présente.

Dans l'architecture représentée sur les Figu re 6a et 6b, le premier microprocesseur 22 est celui déjà présent dans un second circuit de commande 17a des circuits de conversion d'énergie 29, qui a donc la fonction du premier microprocesseur 22 de l'unité de contrôle électronique 17 représentée sur la Figure 4. Le second circuit de commande 17a joue alors le rôle, dans l'architecture représentée sur les Figure 6a et 6b, de l'unité de contrôle électronique 17 représentée sur la Figure 4.

En complément, afin de résoudre les problématiques liées à l'activation intempestive du mode Moteur (activation intempestive des fonctions redémarrage et/ou assistance en couple), l'architecture entre les deux microprocesseurs 22,24 est contrainte, notamment afin de ne pas déclencher intempestivement un de ces modes en cas de panne simple de l'un des deux microprocesseurs 22,24 (augmentation du niveau de sécurité de la fonction globale).

Afin de s'affranchir d'une panne simple du premier microprocesseur 22 l'unité de contrôle électronique 17, 17a, il convient d'implémenter au sein du second microprocesseur 24 du circuit de commande 13 des circuits de puissance 14 des stratégies d'évaluation ou de diagnostic des ordres donnés par l'unité de contrôle électronique 17, 17a.

Le but de ces stratégies est de ne pas autoriser la réalisation d'une demande de l'unité de contrôle électronique 17, 17a, par exemple une demande de fermeture du circuit d'excitation Dd. Exe, ou de mise en fonction de l'onduleur Dd. Ond., lorsque celle ci est jugée inappropriée.

Pour ce faire, le circuit de commande 13 des circuits de puissance 14 doit recevoir de l'extérieur du système certaines informations de contexte (à titre d'exemple : la vitesse du véhicule, l'état du moteur ou l'état de la chaîne de traction), au moyen par exemple (et préférentiellement) du réseau de bord véhicule CAN pour ne pas impacter le coût de la fonction avec un grand nombre d'Entrées Sorties supplémentaires.

Dans ces conditions, le système à alterno-démarreur 1 devient un actuateur intelligent dans la mesure où il peut alors refuser une des demandes, Dd. Exe. ou Dd. Ond., de l'unité de contrôle électronique 17, 17a. Afin de s'affranchir d'une panne simple du second microprocesseur 24 agencé dans l'organe d'exécution (circuit de commande 13 des circuits de puissance 14, dont l'onduleur 12), il convient :

- soit de sécuriser la demande d'activation en aval du second microprocesseur 24, par exemple au moyen d'un ET logique 25 entre un signal de pilotage de l'onduleur PiI. Ond. provenant du second microprocesseur 24, et un signal Auth. Ond. non généré par ce second microprocesseur 24 (solution qui a été expliquée en liaison avec la Figure 3, de l'état de la technique) ;

- soit de diagnostiquer au moyen du premier microprocesseur 22 de l'unité de contrôle électronique 17, 17a l'activation des circuits de puissance 14 (par

exemple au moyen d'une ligne de diagnostic Diagi . Exe.) et de faire agir celui-ci en conséquence.

(On notera que, de cette manière on n'agit pas sur la cause, puisque l'on commandera l'activation des circuits de puissance 14, mais on réduit le risque, car ce mode ne dure pas longtemps, le temps de la boucle).

On peut également combiner ces deux types de sécurités en utilisant par exemple le premier type de sécurité pour la fonction « redémarrage » et le deuxième type de sécurité pour la fonction « assistance en couple » (ou vice-versa); ceci permet de s'affranchir de la problématique sur la condition « chaîne de traction >> citée précédemment.

De même, ces deux sécurités peuvent être réalisées à partir de, ou vers l'unité de contrôle électronique 17, 17a, ce qui leur permet d'être disponibles même en cas de défaillance du second microprocesseur 24 de l'organe d'exécution 13. Cette solution présente l'avantage, dans le cadre d'un système micro-hybride de type « 14+X », de ne pas impacter le reste de l'architecture électrique véhicule (notamment dans le cadre d'une fonction optionnelle).

La Figu re 4 montre la mise en œuvre des principes ci-dessus dans le cas d'un système à alterno-démarreur 1 classique du type de celui représenté sur la Figure 1 .

Dans cette architecture, l'organe de décision, constitué par l'unité de contrôle électronique 17, 17a du véhicule, acquiert des premiers signaux d'information Capt.

Véh. provenant de l'extérieur du système, et utilise ces premiers signaux d'information pour générer un signal d'autorisation d'excitation Auth. Excit. de la machine électrique 1 .

Ce signal d'autorisation d'excitation Auth. Exe. est véhiculé vers le circuit d'excitation 10, préférentiellement par une première liaison filaire dédiée, afin de permettre l'excitation de la machine 3.

Comme montré sur la Figure 4, l'excitation ne peut avoir lieu que par un premier signal de commande Cd. Exe. résultant de la validation d'un premier signal de pilotage PiI. Exe. par le signal de d'autorisation de l'excitation Auth. Exe. de l'unité de contrôle électronique 17, 17a.

Le premier signal de pilotage PiI. Exe. est généré par le second microprocesseur 24 en réponse à de demande de fermeture du circuit d'excitation Dd. Exe. provenant de l'unité de contrôle électronique 17, 17a.

Entre cette demande Dd. Exe. (entrée du second microprocesseur 24 et la commande (sortie du second microprocesseur 24), un processus de validation de l'ordre peut être mis en œuvre afin d'empêcher l'activation de l'excitation du fait d'une simple erreur du premier microprocesseur 22 de l'unité de contrôle électronique 17, 17a. Ce processus de validation se réalise au moyen de signaux d'informations provenant du bus de communication de données du véhicule CAN..

Le processus de validation peut revêtir différentes formes, et notamment à titre d'exemple

• La vérification de la cohérence entre la demande d'activation des modes générateur ou moteur (démarreur ou assistance en couple), et l'information de présence de l'information après contact.

Ce processus de validation complémente le signal d'autorisation Auth. Exe. qui valide le premier signal de pilotage PiI. Exe. dans une première porte logique ET 31 , comme montré sur les Figures 4 et 6.

En variante, on réalise sur ce signal d'autorisation de l'excitation Auth. Exe. une anticipation de l'activation de la mise de contact afin de préfluxer la machine électrique 3.

Dans ce cas, le signal d'anticipation peut revêtir plusieurs valeurs comme (à titre d'exemple):

• Décondamnation du véhicule à distance ;

• Détection d'approche d'un utilisateur autorisé ;

• Ouverture d'une porte ;

• Fermeture d'une porte ; • Insertion de la clé de contact ;

• Appui sur la pédale d'embrayage ;

• Appui sur la pédale de frein ET levier de la boite de vitesse en position neutre.

La commutation de Auth. Exe est réalisée, comme montré sur les Figures 4 et 6, préférentiellement dans l'unité de contrôle électronique 17, 17a au moyen des informations fournies au premier microprocesseur 22 par l'intermédiaire du bus de communication de données du véhicule CAN. Elle se réalise par validation du signal d'activation Act. Exe de l'excitation. Ce signal est ensuite transformé en signal d'autorisation de la fermeture du circuit d'excitation Auth. Exe. qu'après avoir été

validé dans une deuxième porte logique ET 30 par le signal de contact +APC / Vbat représentatif de la mise sous tension du réseau électrique de bord.

Ceci comporte un intérêt particulier dans le cas d'un système micro-hybride 27, comme montré sur la Figure 5 ou 6, où l'on dispose d'un stockeur d'énergie 26, puisque dans ce cas, on peut agir sur ce signal d'autorisation Auth. Exe. par l'intermédiaire du signal Act. Exe et interdire ainsi l'excitation quand un défaut du stockeur 26 est détecté (vu par un signal de diagnostic supplémentaire dans un dispositif décrit dans la demande co-pendante, déjà citée), ce qui permet d'augmenter le niveau de sécurité de la fonction globale en diminuant le risque général du risque de court-circuit au niveau machine électrique 3.

Le contrôle sécurisé de la mise en fonction de l'onduleur 12 repose sur les mêmes principes que celui du circuit d'excitation 10.

Il a déjà été vu, en liaison avec la Figu re 3, que l'unité de contrôle électronique 17, 17a du véhicule, acquiert des signaux d'information Capt. Véh. provenant de l'extérieur du système (sous forme filaire ou par l'intermédiaire du bus de données CAN), et utilise ces signaux pour générer une autorisation d'activation du mode moteur Auth. Ond. de la machine électrique 3.

Cette autorisation est transmise au circuit de commande 13 des circuits de puissance 14, comprenant l'onduleur 12, afin de valider le second signal de pilotage PiI. Ond..

De même que précédemment, le second microprocesseur 24 du circuit de commande 13 acquiert les demandes Dd. Ond. de l'unité de contrôle électronique 17, 17a afin de générer un second signal de commande Cd. Ond. du mode moteur vers l'onduleur 12. De même que pour l'excitation, un processus de validation de l'ordre peut être mis en œuvre afin d'empêcher l'activation de l'onduleur du fait d'une simple erreur du premier microprocesseur 22 agencé dans l'unité de contrôle électronique 17, 17a.

Comme précédemment, un tel processus de validation se réalise notamment par l'acquisition par le second microprocesseur 24 de seconds signaux d'information provenant du bus de communication de données du véhicule CAN.

Le processus de validation peut revêtir plusieurs formes, notamment à titre d'exemple :

• La vérification de la cohérence entre la demande d'activation du mode moteur Dd. Ond. (démarreur ou assistance en couple) et vitesse véhicule

et/ou moteur. (Chacune de ces fonctions ne peut être commandé que dans une certaine plage de vitesse véhicule et/ou moteur) Ou encore

• La vérification de la cohérence entre la demande d'activation du mode moteur Dd. Ond. (démarreur ou assistance en couple) et l'état de la chaîne de traction (chacune de ces fonctions ne peut être commandé qu'avec un état donné de la chaîne de traction)

En complément, aussi bien dans le cas du premier signal de commande Cd. Exe. du circuit d'excitation, que dans le cas du second signal de commande Cd. Ond. de l'onduleur 12, un diagnostic de l'activation des circuits de puissance 14 est effectué.

Ces signaux de diagnostic, Diag2. Ond. et, Diag2. Exe, permettent alors la mise en œuvre d'une contre-mesure (c'est à dire d'une action immédiate dans le sens inverse de la commande) au sein du circuit de commande 13. Cependant, un tel processus n'est pas suffisant pour couvrir l'ensemble des cas d'une activation intempestive de l'un des circuits de puissance 14 (driver du circuit d'excitation 10, ou driver 12 des enroulements de phases 1 1 de la machine électrique 3).

En effet, dans le cas où l'activation intempestive provient du second microprocesseur 24, on ne peut considérer cette contre-mesure comme valide : le second microprocesseur 24 qui a produit l'ordre intempestif ne peut être considéré comme pouvant réaliser convenablement la contre mesure.

C'est dans ce but que sont générés des signaux de diagnostics Diagi . Ond. et, Diagi . Exe, transmis vers l'unité de contrôle électronique 17, 17a. Afin de préserver le niveau de sécurité, ces signaux de diagnostics Diagi .

Ond. et Diagi Exe, sont transmis à l'unité de contrôle électronique 17, 17a chacun au moyen, respectivement, d'une deuxième et troisième liaison filaire dédiée, et sans faire appel à une quelconque mise en forme par le second microprocesseur 24 du circuit de commande 13. Le but d'utiliser de telles liaisons dédiées est de laisser le premier microprocesseur 22 de l'unité de contrôle électronique 17, 17a décoder les éventuelles défaillances ; elles permettent de s'affranchir d'une défaillance du second microprocesseur 24, et elles permettent de transmettre l'information sans délai à l'unité de contrôle électronique 17, 17a.

Un tel dispositif permet de diagnostiquer un mode moteur intempestif (démarrage-relance et/ou assistance en couple), et permet de s'affranchir de la dualité de la condition sur la ligne d'inhibition Auth. Ond..

La sécurisation par le premier signal de diagnostic Diagi . Ond. est réalisée de la manière suivante :

Après détection, le premier microprocesseur 22 de l'organe de décision inhibe le mode moteur en inhibant sa demande d'un tel mode Dd. Ond. et/ou en agissant de façon interne sur le premier circuit de décision 23 en logique câblée produisant le signal d'autorisation de mise en fonction du mode moteur Auth Ond. par l'intermédiaire du signal interne Inh. Ond..

Il est à noter que, comme énoncé précédemment, ce mécanisme n'empêche pas la commande intempestive, mais réduit très fortement le temps d 'exposition au risque.

En complément, à tout ce processus, le premier microprocesseur 22 de l'unité de contrôle électronique 17, 17a pourra informer ou demander d'informer le reste du véhicule (et donc le client) de la défaillance du système, et de la présence du risque. Cette information se réalisant à partir de la détection d'une valeur inattendue sur le signal Diagi . Ond.

De même, le second signal de diagnostic Diagi . Exe. permet de détecter, en fonction du schéma de l'onduleur, la fermeture du circuit d'excitation.

Les Figures 4, 5, 6a et 6b représentent le cas où ce second signal de diagnostic Diagi . Exe. est prélevé avant le driver de puissance du circuit d'excitation 10.

En variante, ce second signal de diagnostic Diagi . Exe. est avantageusement prélevé après le driver de puissance 10.

Les deux configurations présentent des avantages et inconvénients : Dans la première configuration, le coût des composants nécessaires à la détection est faible, car il s'agit d'un signal de faible puissance, mais on n'a pas une image directe de l'état du driver. Dans la seconde configuration, le coût de la détection est plus important, car il s'agit d'un signal de puissance qu'il faut véhiculer vers l'organe de décision, mais une mesure redondante du courant d'excitation est possible en même temps que la détection de la mise en fonction du driver de puissance 10.

La première configuration représentée sur les Figures 4, 5, 6a et 6b combine les contraintes coût et détection du risque, puisque ce diagnostic permet de détecter

l'activation intempestive de l'excitation, ce qui revient en fait, en regard d'un démarrage et/ou d'une assistance en couple intempestive, à la perte d'une seule barrière de sécurité.

On notera, en résumé, que le procédé et dispositif de contrôle sécurisé d'un système à altemo-démarreur 1 , selon l'invention, apporte de nouvelles barrières de sécurité supplémentaires par rapport à la seule barrière Auth. Ond. connue de l'état de la technique, représenté sur la Figure 3, à savoir :

- l'implémentation au sein du microprocesseur 24 du circuit de commande 13 des circuits de puissance 14 de stratégies d'évaluation ou de diagnostic des ordres donnés par le premier microprocesseur 22.

- l'implémentation au sein de l'unité de contrôle électronique 17, 17a d'un diagnostic de l'état activé de la machine électrique indépendant de l'état du microprocesseur 24 du circuit de commande 13.

- l'autorisation et la validation de l'excitation Auth. Exe;

Les différents signaux de contrôle et de diagnostic échangés entre les premier et second microprocesseurs 22, 24, le bus de communication de données 19, et le moyen de détection de rotation 15, mis en œuvre par l'invention, sont représentés schématiquement sur la Figu re 7. Les différents signaux de contrôle et de diagnostic mis en œuvre par l'invention sont réalisés, de préférence, de la manière suivante :

Dd. Ond. et Dd. Exe.

Ces premiers signaux de contrôle sont formés par l'unité de contrôle électronique 17, 17a et transmis au moyen d'un réseau (privé ou public) vers le circuit de commande 13 des circuits de puissance 14 (onduleur 12 et circuit d'excitation 10)..

Ces premiers signaux de contrôle sont de plus formés à partir de l'acquisition de différents capteurs véhicules (boite de vitesse, frein, vitesse, tension batterie et/ou stockeur, état portes ...) et reflètent l'état système demandé (Mode Alternateur ou Régénérateur (Excitation = Etat Activé, Onduleur = Etat Désactivé) ; Mode Idle Stop ou Delestage Alternateur (Excitation = Etat Désactivé, Onduleur = Etat Désactivé), Mode Moteur (Excitation = Etat Activé, Onduleur = Etat Désactivé)).

En retour, le circuit de commande 13 renvoie (au moyen du même réseau) vers l'unité de contrôle électronique 17, 17a des signaux d'état (mode Alternateur,

Régénérateur...), ainsi que des informations concernant ses défauts internes et modes et/ou transitions refusées (signaux d'état et défaut Etats/Défauts). Les transitions refusées signalées sont, notamment :

- le refus du passage en mode générateur ou moteur du fait de la présence d'une incohérence entre l'information +APC reçue par le circuit de commande 13 et la demande émanant de l'unité de contrôle électronique 17, 17a ;

- le refus du passage en mode moteur du fait de la présence d'une incohérence entre la demande émanant de l'unité de contrôle électronique 17, 17a et la vitesse véhicule et/ou moteur (vitesse hors plage autorisée).

Auth. Exe.

Comme décrit précédemment, ce second signal de contrôle est réalisé de préférence à partir d'un signal de contact +APC ou Vbat par la commutation d'un circuit de type SMART MOS 30 par le premier microprocesseur 22 de l'unité de contrôle électronique 17, 17a (en fonction de la stratégie implémentée dans cette unité).

Diag i . Ond.

Ce premier signal de diagnostic est réalisé, de préférence, à partir du signal issu du capteur de position 15 de la machine électrique 3. Ce signal est décodé par le premier microprocesseur 22 de l'unité de contrôle électronique 17, 17a de la même manière que par le second microprocesseur 24 du circuit de commande 13 des circuits de puissance 14 comprenant l'onduleur 12, dans un mode de réalisation comme montré aux Figures 3, 5 et 6a. Dans une tel cas, l'unité de contrôle électronique 17, 17a reçoit et utilise les seconds signaux d'information CAN provenant du véhicule afin de ne prendre en compte ce premier de diagnostic que dans certains contextes. A titre d'exemples, on peut citer :

- l'activation d'un starter additionnel (pour éviter de détecter « intempestivement » le démarrage réalisé par ce moyen) ;

- la présence d'une vitesse véhicule (pour éviter de détecter « intempestivement » le démarrage à la poussette réalisé volontairement par le client) ;

- l'estimation du couple réalisé par le reste du véhicule (pour éviter de détecter « intempestivement » une variation assistance en couple réalisée normalement à l'extérieur du système (moteur)) ;

99

En variante, un autre signal de diagnostic de ce type est réalisé à partir de tout signal pouvant être image de l'activation du mode moteur au niveau de la machine électrique 3, et il peut se substituer alors au premier signal de diagnostic Diagi .Ond. traité par les premier et second microprocesseurs 22, 24. La Figure 6b met en œuvre cette variante, qui constitue un deuxième mode de réalisation :

La mesure différentielle par l'unité de contrôle électronique 17, 17a de la tension du stockeur d'énergie 26, dans une architecture de type micro-hybride, est donc également un candidat pour un tel signal de diagnostic, notamment pour sécuriser le mode « assistance en couple », puisque l'activation de l'assistance en couple implique l'utilisation de la tension stockée, et donc sa décroissance.

Dans une telle hypothèse, et de la même manière que précédemment en ce qui concerne la rotation de la machine 3, l'unité de contrôle électronique 17, 17a devra recevoir une estimation de la puissance prélevée par les charges du réseau Vbat+X (si elle existent) de façon à ne pas prendre en compte dans le diagnostic cette puissance utilisée par ailleurs.

Il est à noter que cette variante de réalisation est tout particulièrement intéressante dans le cas où l'on réalise la combinaison du stockeur d'énergie 26 et du convertisseur continu-continu 29 d'un même organe de puissance. En effet, dans ce cas, tous les signaux cités sont des signaux internes, et il n'est pas nécessaire d'avoir de lignes supplémentaires.

Diag i . Exe.

Ce deuxième signal de diagnostic Diagi . Exe. est de préférence réalisé au moyen d'un circuit à diode (diode et résistance d'adaptation).

Diag2. Ond. et Diag2. Exe.

Ces signaux de diagnostic sont câblés au niveau de l'électronique des circuits de puissance 14 (onduleur 12 et circuit d'excitation 10). Ce sont de simples adaptations de signaux afin d'être « reinjectées » dans le second microprocesseur

24 du circuit de commande 13 des circuits de puissance 14 (éventuellement sur des entrées numériques).

Auth. Ond.

Un circuit à transistor 23 (portes logiques) prend en compte le passage d'un signal d'entrée provenant d'un des capteurs du véhicule Capt. Véh. (capteur de la boite de vitesse, par exemple) à une valeur invalide, et le signal d'inhibition lnh_Ondul provenant du premier microprocesseur 22 de l'unité de contrôle électronique 17, 17a pour générer ce signal de contrôle.

Inh. Ond.

Ce signal de contrôle est généré, comme indiqué précédemment, par le premier microprocesseur 22 de l'unité de contrôle électronique 17, 17a au moment de la détection du premier signal de diagnostic Diagi .Ond..

Les avantages de l'architecture décrite ci-dessus, en liaison avec les Figu res 4, 5, 6a et 6b sont que :

- le nombre d'entrées/sorties nécessaires au fonctionnement sécurisé du circuit de commande 13 et des circuits de puissance 14 est minimisé ;

- le circuit de commande 13 ne supporte pas seul la totalité de l'interface avec l'extérieur du système ; la mise en œuvre d'un microprocesseur supplémentaire est évitée. Il est encore à remarquer que, dans le cadre d'un système micro-hybride à freinage récupératif et/ou assistance en couple, aucune entrée/sortie du système n'est spécifique à l'une de ces fonctionnalités.

Selon d'autres aspects, l'invention concerne aussi un procédé de contrôle sécurisé et des liaisons filaires tels que décrits ci-dessous :

A) Un procédé de contrôle sécurisé par des signaux dédiés d'un système à altemo-démarreur (1 ,27) couplé à un moteur thermique (2) d'un véhicule, le véhicule comportant au moins une unité de contrôle électronique (17), des capteurs véhicule, un bus de communication de données (19) et un réseau électrique de bord, le système à altemo-démarreur (1 ,27) comportant au moins une machine électrique tournante (3) munie d'un moyen de détection de rotation (15), des circuits de puissance (14) comportant au moins un onduleur (12) et un circuit d'excitation (10) alimentant ladite machine électrique tournante (3), et un premier circuit de commande (13) desdits circuits de puissance (14), dans lequel le procédé consiste à transmettre au premier circuit de commande (13) un premier signal de contrôle (Auth. Exe.) autorisant la fermeture du circuit d'excitation (10).

B) Un procédé de contrôle sécurisé par des signaux dédiés d'un système à alterno- démarreur (1 ) couplé à un moteur thermique (2) d'un véhicule selon le point A) ci- dessus, dans lequel le procédé consiste en outre à transmettre au premier circuit de commande (13) et à l'unité de contrôle électronique (17) un premier signal de diagnostic (Diagi . Ond.) fourni par le moyen de détection de rotation (15) et/ou un troisième signal de diagnostic (Diag3. Ond.), obtenu à partir d'une tension (Vbat+X) alimentant l'onduleur (12), et indiquant une rotation de la machine électrique tournante (3).

C) Un procédé de contrôle sécurisé par des signaux dédiés d'un système à alterno- démarreur (27) couplé à un moteur thermique (2) d'un véhicule selon le point A) ci- dessus, dans lequel le procédé consiste en outre à transmettre au premier circuit de commande (13), et/ ou à un second circuit de commande (17a) de circuits de conversion d'énergie compris dans le système à alterno-démarreur (27), un premier signal de diagnostic (Diagi . Ond.) fourni par le moyen de détection de rotation (15) et/ou un troisième signal de diagnostic (Diag3. Ond.), obtenu à partir d'une tension (Vbat+X) alimentant l'onduleur (12), et indiquant une rotation de la machine électrique tournante (3).

D) Un procédé de contrôle sécurisé par des signaux dédiés d'un système à alterno- démarreur (1 ,27) couplé à un moteur thermique (2) d'un véhicule selon le point C) ci-dessus, dans lequel le procédé consiste en outre à transmettre à l'unité de contrôle électronique (17), ou au second circuit de commande (17a), par le premier circuit de commande (13) un deuxième signal de diagnostic (Diagi . Exe.) représentatif de l'état d'un premier signal de commande (Cd. Exe.) commandant la fermeture du circuit d'excitation (10).

E) Un procédé de contrôle sécurisé par des signaux dédiés d'un système à alterno- démarreur (1 ,27) couplé à un moteur thermique (2) d'un véhicule selon le point C) ou D) précédent, dans lequel le procédé consiste en outre à transmettre à l'unité de contrôle électronique (17), ou au second circuit de commande (17a), par le premier circuit de commande (13) des signaux d'état/défaut (Etats/Défauts).

F) Un procédé de contrôle sécurisé par des signaux dédiés d'un système à alterno- démarreur (1 ,27) couplé à un moteur thermique (2) d'un véhicule selon l'un

quelconque des points A) à E) précédents, dans lequel le procédé consiste en outre à transmettre au premier circuit de commande (13) des signaux d'information (CAN) provenant d'un bus de communication de données (19).

G) Un procédé de contrôle sécurisé par des signaux dédiés d'un système à alterno- démarreur (1 ,27) couplé à un moteur thermique (2) d'un véhicule selon l'un quelconque des points C) à E) précédents, dans lequel le procédé consiste en outre à transmettre à l'unité de contrôle électronique (17), ou au second circuit de commande (17a), un signal de contact (+APC/ Vbat.) représentatif de la mise sous tension du réseau électrique de bord.

H) Un procédé de contrôle sécurisé par des signaux dédiés d'un système à alterno- démarreur (1 ,27) couplé à un moteur thermique (2) d'un véhicule selon le point G), dans lequel l'on valide le premier signal de contrôle (Auth. Exe.) au moyen du signal de contact (+APC/Vbat.).

I) Des liaisons filaires d'un système à altemo-démarreur (1 ,27), couplé à un moteur thermique (2) d'un véhicule, adaptées à la mise en oeuvre du procédé selon l'un quelconque des points A) à H) précédents, dans lesquelles celles-ci transmettent les signaux dédiés choisis parmi un groupe comprenant :

- le premier signal de contrôle (Auth. Exe.) ;

- le premier signal de diagnostic (Diagi . Ond.) ;

- le deuxième signal de diagnostic (Diagi . Exe.) ;

- le troisième signal de diagnostic (Diag3. Ond.) ; - les signaux d'état/défaut (Etats/Défauts) ;

- le signal de contact (+APC/ Vbat.).

J) Des liaisons filaires d'un système à altemo-démarreur (1 ,27) couplé à un moteur thermique d'un véhicule selon la revendication I), dans lesquelles l'une au moins des liaisons filaires est une liaison filaire dédiée.

Comme il va de soi, l'invention ne se limite pas aux seuls modes d'exécution préférentiels décrits ci-dessus.

L'invention embrasse donc au contraire toutes les variantes possibles de réalisation qui resteraient dans le cadre défini par les revendications ci-après.