DE102004009359A1 - Elektronische Steuereinheit zur Überwachung eines Mikrocomputers - Google Patents

Elektronische Steuereinheit zur Überwachung eines Mikrocomputers Download PDF

Info

Publication number
DE102004009359A1
DE102004009359A1 DE102004009359A DE102004009359A DE102004009359A1 DE 102004009359 A1 DE102004009359 A1 DE 102004009359A1 DE 102004009359 A DE102004009359 A DE 102004009359A DE 102004009359 A DE102004009359 A DE 102004009359A DE 102004009359 A1 DE102004009359 A1 DE 102004009359A1
Authority
DE
Germany
Prior art keywords
microcomputer
monitoring circuit
electronic control
control unit
answer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102004009359A
Other languages
English (en)
Other versions
DE102004009359B4 (de
Inventor
Hideki Kariya Kabune
Hiromi Kariya Maehata
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Advics Co Ltd
Original Assignee
Denso Corp
Advics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp, Advics Co Ltd filed Critical Denso Corp
Publication of DE102004009359A1 publication Critical patent/DE102004009359A1/de
Application granted granted Critical
Publication of DE102004009359B4 publication Critical patent/DE102004009359B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0256Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults injecting test signals and analyzing monitored process response, e.g. injecting the test signal while interrupting the normal operation of the monitored system; superimposing the test signal onto a control signal during normal operation of the monitored system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24038Several test signals stored in memory and used as input signals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Regulating Braking Force (AREA)
  • Debugging And Monitoring (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Eine ECU (100, 200) beinhaltet einen Überwachungsschaltkreis (2) mit einem Zähler (3) zur Auswahl einer Zuweisungsnummer (21) eines Zuweisungssignals (20), eine serielle Kommunikationseinheit (4) zur Übertragung des Zuweisungssignals (20) der Zuweisungsnummer (21), ausgewählt durch den Zähler (3), und zum Empfang eines Antwortsignals von einem Mikrocomputer (1). Die ECU beinhaltet auch einen Vergleichs-/Beurteilungsschaltkreis (5) zum Vergleich einer Antwortnummer (11) mit einer korrekten Antwortnummer (30) und zum Inkrementieren der Zuweisungsnummer (21) des durch den Zähler ausgewählten Zuweisungssignals um 1, wenn die beiden Antworten übereinstimmen. Dieser Schaltkreis (5) behält die gleich Zuweisungsnummer (21) bei, wenn die Antworten nicht übereinstimmen. Der Mikrocomputer (1) führt einen Betrieb in Übereinstimmung mit der Zuweisungsnummer (21) des Zuweisungssignals (20) durch, welches empfangen worden ist und überträgt das Betriebsergebnis unter Verwendung eines Antwortsignals (10).

Description

  • Die vorliegende Erfindung betrifft eine elektronische Steuereinheit zur Steuerung eines Stellgliedes mittels eines Mikrocomputers.
  • Das japanische Gebrauchsmuster 5-365544 ("Patentveröffentlichung 1"; Seite 2, 1) beschreibt eine Mikrocomputer-Steuervorrichtung mit einem Mikrocomputer zur Ausgabe eines Steuersignales, mit welchem eine bestimmte Last gesteuert wird, einem Überwachungsschaltkreis ("watchdog circuit") zur Erkennung eines anormalen Betriebszustandes des Mikrocomputers und zum Ausgeben eines Reset-Signales an den Mikrocomputer für einen Reset-Vorgang; einem Ausfallsicherheitsschaltkreis zur Ausgabe eines Ausfallsicherheitssignales in Antwort auf das Reset-Signal des Überwachungsschaltkreises; und einem Signalschalt-Schaltkreis zum Schalten des Steuersignales des Mikrocomputers auf die Ausfallsicherheitsseite in Antwort auf das Ausfallsicherheitssignal.
  • Diese Mikrocomputersteuervorrichtung, wie sie in der Patentveröffentlichung 1 beschrieben ist, ist jedoch für Systeme wie ABS, VSC, etc. ungeeignet, da die bloße Überwachung eines Überwachungsimpulses nicht ausreichend ist. Eine Überwachung auf einem höheren Pegel (bei welchem ein Befehl genau durchgeführt wird, etc.) ist notwendig.
  • Die Verwendung von zwei Mikrocomputern zur Durchführung einer Funktionsüberprüfung, wobei ein wechselseitiger Datenaustausch zwischen ihnen durchgeführt wird, und zum Vergleichen der Überprüfungsergebnisse löst das Problem nicht wirksam, da die Kosten zu hoch werden, so daß die Wettbewerbsfähigkeiten des Endproduktes verschlechtert werden.
    •
  • Aufgabe der vorliegenden Erfindung ist es demnach, eine elektronische Steuereinheit zu schaffen, welche preiswert im Aufbau ist und sicher überwachen kann, ob ein Mikrocomputer normal arbeitet oder nicht.
  • Zur Lösung dieser Aufgabe ist gemäß einem ersten Aspekt der vorliegenden Erfindung ein Überwachungsschaltkreis mit einer Kommunikationseinheit und einer Vergleichs-/Beurteilungseinheit ausgestattet. Die Kommunikationseinheit überträgt eine Zuweisungsnummer an einen Mikrocomputer und empfängt von dem Mikrocomputer eine Antwort. Die Vergleichs-/Beurteilungseinheit vergleicht dann die vom Mikrocomputer empfangene Antwort mit einer korrekten Antwort, um die Funktion des Mikrocomputers zu überprüfen.
  • Der Mikrocomputer steuert ein Stellglied und führt auch einen bestimmten selbstfunktionierenden Überprüfungsvorgang abhängig von der empfangenen Zuweisungsnummer durch und überträgt das Betriebsergebnis als Antwort an den Überwachungsschaltkreis.
  • Die elektronische Steuereinheit ist so ausgelegt, daß der Mikrocomputer den selbstfunktionierenden Überprüfungsvorgang abhängig von der empfangenen Zuweisungsnummer durchführt und der Überwachungsschaltkreis überprüft die Antwort als Betriebsergebnis hiervon. Somit kann mit Sicherheit überwacht werden, ob der Mikrocomputer normal arbeitet. Weiterhin wird nur ein Mikrocomputer benötigt, was die Kosten niedrig hält.
  • Gemäß einem zweiten Aspekt ist ein Überwachungsschaltkreis mit einer Zuweisungsnummer-Auswahleinheit, einer Kommunikationseinheit und einer Vergleichs-/Beurteilungseinheit ausgestattet. Die Zuweisungsnummer-Auswahleinheit des Überwachungsschaltkreises wählt eine Zuweisungsnummer, welche einem Mikrocomputer zu übertragen ist. Die Kommunikationseinheit des Überwachungsschaltkreises überträgt die von der Zuweisungsnummer-Auswahleinheit ausgewählte Zuweisungsnummer an den Mikrocomputer und empfängt eine Antwort vom Mikrocomputer.
  • Die Vergleichs-/Beurteilungseinheit des Überwachungsschaltkreises vergleicht die so empfangene Antwort mit einer korrekten Antwort. Wenn die Antwort mit der korrekten Antwort übereinstimmt, erneuert die Vergleichs-/Beurteilungseinheit die von der Zuweisungsnummer-Auswahleinheit auszuwählende Zuweisungsnummer, überträgt die erneuerte Zuweisungsnummer als nächste Zuweisungsnummer _ an den Mikrocomputer und vergleicht dann eine empfangene Antwort mit einer korrekten Antwort.
  • Andererseits, wenn die Antwort nicht mit der korrekten Antwort übereinstimmt, erneuert die Vergleichs-/Beurteilungseinheit des Überwachungsschaltkreises die von der Zuweisungsnummer-Auswahleinheit auszuwählende Zuweisungsnummer nicht und wählt die vorher übertragene Zuweisungsnummer erneut. Die Kommunikationseinheit überträgt die betreffende Zuweisungsnummer an den Mikrocomputer und dann vergleicht die Vergleichs-/Beurteilungseinheit die empfangene Antwort mit einer korrekten Antwort.
  • Der Mikrocomputer steuert ein Stellglied und führt auch einen selbstfunktionierenden Überprüfungsvorgang durch und überträgt das Betriebsergebnis als Antwort an den Überwachungsschaltkreis.
  • Eine elektronische Steuereinheit ist so ausgelegt, daß der Mikrocomputer den selbstfunktionierenden Überprüfungsvorgang abhängig von der empfangenen Zuweisungsnummer durchführt und die Vergleichs-/Beurteilungseinheit des Überwachungsschaltkreises überprüft die Antwort als Betriebsergebnis. Somit kann mit hoher Präzision überwacht werden, ob der Mikrocomputer normal arbeitet.
  • Wenn die empfangene Antwort und die korrekte Antwort nicht übereinstimmend sind, wird die gleiche Zuweisungsnummer: beibehalten, diese Zuweisungsnummer wird dem Mikrocomputer erneut übertragen und die empfangene Antwort und die korrekte Antwort werden miteinander verglichen. Infolgedessen kann unter der gleichen Bedingung (der gleichen Zuweisungsnummer) die Funktion des Mikrocomputers überprüft werden. Da weiterhin nur ein Mikrocomputer verwendet wird, sind die Kosten gering.
  • Wenn gemäß einem dritten Aspekt irgendetwas verursacht, daß der Mikrocomputer in einen anormalen Zustand verfällt, wird er daran gehindert, eine Antwort zu übertragen, so daß eine falsche Antwort nicht übertragen wird.
  • Wenn daher der Überwachungsschaltkreis keine Antwort innerhalb einer bestimmten Zeitdauer ausgehend von dem Zeitpunkt aus empfangen kann, zu dem eine Zuweisungsnummer dem Mikrocomputer übertragen worden ist, oder wenn eine Nicht-Übereinstimmung zwischen der empfangenen Antwort und der korrekten Antwort eine bestimmte Anzahl mal empfangen wird, beurteilt der Überwachungsschaltkreis, daß sich der Mikrocomputer in einem anormalen Zustand befindet.
  • Infolgedessen kann ein Overflow oder eine Betriebsunterbrechung des Mikrocomputers mit Sicherheit erkannt werden, wobei ein vorübergehender und/oder selten auftretender Betriebsfehler, beispielsweise ein weicher Fehler aufgrund von α-Strahlen (vorübergehend gestörte Bits des RAM) oder dergleichen, der nur ein vorübergehender Fehler des Mikrocomputers ist, nicht als Anormalität erkannt wird, so daß Störungen des Computers mit Sicherheit entdeckt werden können.
  • Gemäß einem vierten Aspekt überträgt der Mikrocomputer die Antwort eines unabsichtlich falschen Betriebsergebnisses zu jeder bestimmten Anzahl von Kommunikationen an den Überwachungsschaltkreis, um hierdurch die Funktion des Überwachungsschaltkreises zu überprüfen. Somit kann von dem Mikrocomputer überprüft werden, ob der Überwachungsschaltkreis normal arbeitet.
  • Wenn gemäß einem fünften Aspekt beurteilt wird, daß der Mikrocomputer in einem anormalen Zustand ist, unterbindet der Überwachungsschaltkreis den Betrieb des Stellglieds durch den Mikrocomputer und hält das Auftreten der Anormalität fest. Infolgedessen kann die elektronische Steuereinheit bei einem System angewendet werden, welches für Sicherheitsfragen zuständig ist, beispielsweise ABS, VSC oder dergleichen.
  • Gemäß einem sechsten, zehnten und vierzehnten Aspekt hat der Überwachungsschaltkreis eine Vorrichtung zur Überprüfung, ob der Mikrocomputer in einen normalen Zustand zurückgekehrt ist, nachdem beurteilt worden ist, daß sich der Mikrocomputer in einem anormalen Zustand befindet.
  • Wie in einem zehnten Aspekt beschrieben, wird, wenn die Versorgung eingeschaltet wird, der Mikrocomputer in einen anormalen Zustand versetzt, so daß die normale Steuerverarbeitung durchgeführt wird, nachdem der Mikro computer mit Sicherheit als sich im normalen Zustand befindlich beurteilt worden ist. Somit kann eine elektronische Steuereinheit mit höherer Sicherheit geschaffen werden.
  • Gemäß einem vierzehnten Aspekt überträgt nach dem Beginn des Reset der Computer eine Antwort, welche ein absichtlich falsches Betriebsergebnis bezüglich einer Zuweisungsnummer wenigstens einmal enthält, um zu überprüfen, ob der Überwachungsschaltkreis eine korrekte Beurteilung einer Anormalität des Mikrocomputers durchführen kann und eine sichere Verarbeitung bei einer Anormalität durchführen kann (Schalten des Steuersystems auf die sichere Seite). Somit kann eine elektronische Steuereinheit mit höherer Sicherheit geschaffen werden.
  • Gemäß einem siebten Aspekt wird als eine Einrichtung zur Beurteilung, ob der Mikrocomputer in einen normalen Zustand zurückversetzt worden ist, eine bestimmte Anzahl von aufeinanderfolgenden Übereinstimmungen zwischen der Antwort und der korrekten Antwort verwendet. von daher kann der Anormalitäts-Verarbeitungsmodus von der Bestätigung befreit werden, daß der Mikrocomputer mit Sicherheit in den normalen Zustand zurückversetzt worden ist. Somit kann eine elektronische Steuereinheit mit höherer Sicherheit geschaffen werden.
  • Gemäß einem achten Aspekt wird als eine Einrichtung zur Beurteilung der Zurückversetzung des Mikrocomputers in den normalen Zustand der Empfang eines normalen Rücksetzsignales verwendet. Somit kann der Anormalitäts-Verarbeitungsmodus früher freigegeben werden, so daß die Betriebsüberprüfungszeit für den Überwachungsschaltkreis verkürzt werden kann.
  • Wenn gemäß einem neunten Aspekt der Mikrocomputer in einem derart instabilen Zustand ist, daß er abwechselnd den anormalen Zustand und den normalen Zustand wiederholt, wird abgeschätzt, daß eine Anormalität im Mikrocomputer aufgetreten ist. Weiterhin wird die Häufigkeit, mit der der Überwachungsschaltkreis beurteilen kann, daß der Mikrocomputer in einen normalen Zustand zurückversetzt worden ist, auf eine bestimmte Anzahl beschränkt. Wenn daher der Mikrocomputer unter einer Anormalität leidet, kann diese Anormalität mit Sicherheit festgestellt werden.
  • Wenn gemäß einem elften Aspekt beurteilt wird, daß der Mikrocomputer in den normalen Zustand zurückversetzt worden ist, erlaubt der Überwachungsschaltkreis, daß der Mikrocomputer das Stellglied betreibt und beendet die _ Feststellung, daß eine anormale Funktion vorliegt. Wenn daher der Mikrocomputer in den normalen Zustand zurückversetzt worden ist, kann die normale elektronische Steuerung wieder aufgenommen werden.
  • Wenn gemäß einem zwölften Aspekt der Mikrocomputer als sich in einem anormalen Zustand befindlich beurteilt wird, setzt der Überwachungsschaltkreis den Mikrocomputer zurück und startet dann den Mikrocomputer erneut, um diesen zu initialisieren. Somit kann der Mikrocomputer aus einer vorübergehenden Anormalität, beispielsweise aufgrund eines Overflows wegen Rauschen oder dergleichen zurückgesetzt werden, so daß diese Erfindung bevorzugt bei einem System anwendbar ist, bei dem eine Unterbrechung der Steuerung nicht vorteilhaft ist.
  • Im Fall einer derartigen permanenten Anormalität derart, daß diese Anormalität auch dann wieder auftritt, wenn der Mikrocomputer zurückgesetzt und neu initialisiert wird, ist es notwendig, das System mit Sicherheit anzuhalten. Somit ist gemäß einem dreizehnten Aspekt die Häufigkeit, mit der der Mikrocomputer von dem Überwachungsschaltkreis zurückgesetzt und neu gestartet wird, beschränkt und wenn die Reset-/Neustart-Frequenz die obengenannte Frequenz übersteigt, wird der Mikrocomputer bleibend zurückgesetzt und in dem Ausgangszustand gehalten.
  • Hierbei unterbindet der Überwachungsschaltkreis auch, daß der Mikrocomputer das Stellglied steuert, bringt das Stellglied auf die sichere Seite und hält die Anormalität fest, so daß eine elektronische Steuereinheit mit hoher Sicherheit gewährleistet ist.
  • Weitere Einzelheiten, Aspekte und Vorteile der vorliegenden Erfindung ergeben sich besser aus der nachfolgenden detaillierten Beschreibung in Zusammenschau mit der Zeichnung.
    •
  • Es zeigt:
  • 1 ein Blockdiagramm einer elektronischen Steuereinheit für eine ABS-Steuerung gemäß einer ersten bevorzugten Ausführungsform;
  • 2 ein Ablaufdiagramm eines von einem Mikrocomputer durchgeführten Ablaufschemas, wobei jede elektronische Steuereinheit mit einem derartigen Mikrocomputer ausgestattet ist;
  • 3 ein Ablaufdiagramm eines Programmablaufs, welcher vom Mikrocomputer zur Initialisierung der elektronischen Steuereinheit durchgeführt wird;
  • 4 ein Blockdiagramm einer elektronischen Steuereinheit gemäß einer zweiten bevorzugten Ausführungsform; und
  • 5 ein Flußdiagramm eines Programmablaufs, welcher vom Mikrocomputer zur Initialisierung der elektronischen Steuereinheit durchgeführt wird.
  • Bevorzugte Ausführungsformen der vorliegenden Erfindung werden nachfolgend unter Bezug auf die beigefügte Zeichung beschrieben.
  • (Erste Ausführungsform)
  • Eine elektronische Steuereinheit 100 für eine ABS-Steuerung gemäß einer Ausführungsform der vorliegenden Erfindung wird unter Bezug auf die 1 bis 3 näher beschrieben. Die elektronische Steuereinheit 100 ist ausgestattet mit einem Mikrocomputer 1 zur Steuerung eines Hydraulikzylinders (nicht gezeigt) auf der Grundlage von Sensorausgängen von vier Fahrzeuggeschwindigkeitssensoren (nicht gezeigt) und einem Überwachungsschaltkreis 2 zur Überwachung der Funktion des Mikrocomputers 1. Der Mikrocomputer arbeitet auf der Grundlage des Flußdiagramms von 2 (Schritte 201 bis 212). Genauer gesagt, der Mikrocomputer 1 führt einen bestimmten Zuweisungsvorgang (Schritt 203) durch, um die Funktion des Mikrocomputers 1 selbst abhängig von einer empfangenen Zuweisungsnummer 2 zu überprüfen und führt eine Antwortkorrekturverarbeitung (Schritt 204) abhängig von dem Betriebsergebnis durch, um eine Antwortnummer 11 zu berechnen. Die empfangene Zuweisungsnummer 21 ist einem Eingangssignal 20 überlagert. Danach überträgt der Mikrocomputer 1 die Antwortnummer 11, welche so berechnet worden ist, an den Überwachungsschaltkreis 2. Die Antwortnummer 11 ist einem Antwortsignal 10 überlagert.
  • In diesem Fall überträgt der Mikrocomputer 1 absichtlich ein Antwortsignal 10 mit einer falschen Antwortnummer 11 an den Überwachungsschaltkreis 2 alle acht Male (im Schritt 202 sind die unteren drei Bits von M "000"). Der Mikrocomputer 1 führt eine Beurteilung hinsichtlich einer falschen Antwort durch, um zu überprüfen, ob ein Zuweisungssignal 20 mit der gleichen Zuweisungsnummer 21, welche soeben vorher übertragen worden ist, übertragen wird (im Schritt 211 ist die momentane Zuweisungsnummer identisch zu der vorhergehenden Zuweisungsnummer), wodurch der Betrieb des Überwachungsschaltkreises überprüft wird.
  • Wenn eine Energieversorgungsquelle zum Betrieb der elektronischen Steuereinheit 100 eingeschaltet wird (Initialisierungszeitpunkt), überträgt der Mikrocomputer 1 absichtlich das Antwortsignal 10 mit der falschen Antwortnummer 11 (Schritt 309) an den Überwachungsschaltkreis dreimal aufeinanderfolgend, um die Steuerung des Hydraulikzylinders in einen Sperrzustand zu versetzen (Antriebsverhinderungszustand), wodurch der Betrieb des Überwachungsschaltkreises 2 überprüft wird (JA in Schritt 314). Danach wird ein Antriebsverhinderungs-Freigabeschlüsselsignal an den Überwachungsschaltkreis 2 übertragen.
  • Wenn ein Antriebsverhinderungs-Freigabeschlüsselsignal-Überprüfungsschaltkreis 71 das Antriebsverhinderungs-Freigabeschlüsselsignal bestätigt, gibt der Antriebsverhinderungs-Freigabeschaltkreis 7 den Antriebsverhinderungszustand des Hydraulikzylinders frei (das Freigeben wird bis zu drei Mal durchgeführt).
  • Bezugnehmend auf 1, so weist der Überwachungsschaltkreis 2 einen Zähler 3 (Zuweisungsnummer-Auswahl einheit), eine serielle Kommunikationseinheit 4 (Kommunikationseinheit), einen Vergleichs-/Beurteilungsschaltkreis 5 (Vergleichs-/Beurteilungseinheit), eine Antriebsverhinderungseinheit 6 und einen Freigabeschaltkreis 7 für die Antriebsverhinderung auf.
  • Der Zähler 3 dient dazu, ein Zuweisungssignal zu erzeugen, welches eine bestimmte Zuweisungsnummer 21 von vorzugsweise 8 Bits enthält. Das Zuweisungssignal (oder die Zuweisungsnummer) 21, welches von dem Zähler 3 ausgegeben wird, wird in einen Decoder 31 eingegeben, um eine korrekte Antwortnummer 30 auszugeben (korrekte Antwortnummer, welche in 1 durch C.A.N. dargestellt ist) und weiterhin wird das Zuweisungssignal der seriellen Kommunikationseinheit 4 eingegeben.
  • Zu jeder bestimmten Zeit überträgt die serielle Kommunikationseinheit 4, welche eine serielle Kommunikation mit dem Mikrocomputer macht, das Zuweisungssignal 20 (SIN), empfängt ein Antwortsignal 10 (SOUT) vom Mikrocomputer 1 und gibt eine Antwortnummer 11 mit 8 Bits (die in einem Antwortsignal A.N. in 1 enthaltene Antwort) in einen Vergleichs-/Beurteilungsabschnitt 51 des Vergleichs-/Beurteilungsschaltkreises 5 ein.
  • Der Vergleichs-/Beurteilungsschaltkreis 5 weist den Vergleichs-/Beurteilungsabschnitt 51 und einen Inverterschaltkreis 52 auf. Der Vergleichs-/Beurteilungsabschnitt 51 vergleicht die Antwortnummer 11 mit der korrekten Antwortnummer 30, welche vom Decoder 31 ausgegeben wird. Wenn die Antwortnummer 11 und die korrekte Antwortnummer 30 miteinander übereinstimmend sind (Antwortnummer 11 = korrekte Antwortnummer 30), gibt der Vergleichs-/Beurteilungsabschnitt 51 über den Inverterschaltkreis 52 ein Zuweisungserneuerungssignal (in 1 mit A.R. dar gestellt) an den Zähler 3 aus, um die Zuweisungsnummer 21 des vom Zähler 3 zu übertragenden Zuweisungssignales um 1 zu inkrementieren.
  • Wenn die Antwortnummer 11 und die korrekte Antwortnummer 30 nicht übereinstimmend sind (NG: Antwortnummer 11 ≠ korrekte Antwortnummer 30) wird über dem Inverterschaltkreis 52 kein Zusweisungserneuerungssignal an den Zähler 3 ausgegeben und somit wird das Zuweisungssignal 21 mit der gleichen Zuweisungsnummer wie die vorhergehende Zuweisungsnummer, welches gerade vorher übertragen worden ist, vom Zähler 3 ausgegeben.
  • Die Antriebsverhinderungseinheit 6 weist einen dreifach-NG-Beurteilungsabschnitt 61, einen Nichterneuerungs-Beurteilungsabschnitt 62, einen ODER-Schaltkreis 63 und einen Flip-Flop-Schaltkreis 64 auf.
  • Der dreifach-NG-Beurteilungsabschnitt 61 beurteilt, ob die Häufigkeit, mit der NG, welches sequenziell von dem Vergleichs-/Beurteilungsabschnitt 51 beurteilt worden ist, 3 oder mehr erreicht. Wenn die fortlaufende NG-Beurteilungshäufigkeit 3 erreicht, gibt der dreifach-NG-Beurteilungsabschnitt 61 einen Ausgang mit logisch hohem Pegel aus.
  • Der nichterneuerungs-Beurteilungsabschnitt 62 beurteilt auf der Grundlage des Antwortnummer-Erneuerungssignals von der seriellen Kommunikationseinheit 4, ob die Antwortnummer innerhalb einer bestimmten Zeit (30ms) erneuert worden ist. Wenn die Antwortnummer nicht erneuert worden ist, gibt der nichterneuerungs-Beurteilungsabschnitt 62 ein Signal mit logisch hohem Pegel aus.
  • Wenn der ODER-Schaltkreis 63 einen Ausgang mit hohem logischen Pegel von dem dreifach-NG-Beurteilungsabschnitt 61, dem Nichterneuerungs-Beurteilungsabschnitt 62 oder ein CPU-Resetsignal empfängt, beurteilt der ODER-Schaltkreis 63, daß der Mikrocomputer 1 in einen anormalen Betriebszustand verfallen ist und gibt einen Ausgang mit hohem logischen Pegel an den Flip-Flop-Schaltkreis 64. Auf diese Weise verhindert der Flip-Flop-Schaltkreis 64 die Steuerung des Hydraulikzylinders durch den Mikrocomputer 1 (d. h. es liegt ein Betriebsverhinderungszustand vor).
  • Wenn der Mikrocomputer 1 in den anormalen Betriebszustand verfällt, gibt ein Resetsignal-Übertragungsschaltkreis (nicht gezeigt) des Überwachungsschaltkreises 2 ein Resetsignal an den Mikrocomputer 1 aus. Wenn der Mikrocomputer 1 auf der Grundlage dieses Resetsignales in den normalen Zustand zurückvesetzt wird, überträgt der Mikrocomputer 1 absichtlich in Antwort auf das Zuweisungssignal 20 das Antwortsignal 10, welches das falsche Betriebsergebnis enthält, an den Überwachungsschaltkreis 2, um die Funktion des Überwachungsschaltkreises 2 zu überprüfen. Mit anderen Worten, der Mikrocomputer 1 überprüft hier, ob der Überwachungsschaltkreis 2 korrekt arbeitet.
  • Der Antriebsverhinderungs-Freigabeschaltkreis 7 weist einen Antriebsverhinderungs-Freigabeschlüsselsignalschaltkreis 71, einen Zählerschaltkreis 72, einen Flip-Flop-Schaltkreis 73, einen ODER-Schaltkreis 74, einen Inverterschaltkreis 75 und einen UND-Schaltkreis 76 auf.
  • Wenn von dem Mikrocomputer 1 über die serielle Kommunikationseinheit 4 ein Freigabeschlüsselsignal übertragen wird, beurteilt der Schlüsselsignalschaltkreis 71, ob der Freigabeschlüssel mit dem Antriebsverhinderungs-Freigabeschlüssel übereinstimmend ist oder nicht.
  • Für den Fall, daß der Flip-Flop-Schaltkreis 64 das Stellglied (Hydraulikzylinder) in den Antriebsverhinderungszustand versetzt, wenn der Schlüsselsignalüberprüfungsschaltkreis 71 das Antriebsverhinderungs-Freigabeschlüsselsignal bestätigt, gibt der Freigabeschaltkreis 7 den Antriebsverhinderungszustand des Hydraulikzylinders bis zu drei mal frei.
  • (Zweite Ausführungsform)
  • Nachfolgend wird die Arbeitsweise einer elektronischen Steuereinheit 200 für eine ABS-Steuerung (entsprechend den ersten bis fünften und zwölften bis vierzehnten Aspekten der Erfindung) gemäß einer zweiten bevorzugten Ausführungsform unter Bezugnahme auf 4 beschrieben.
  • Wie die elektronische Steuereinheit 100 weist die elektronische Steuereinheit 200 einen Mikrocomputer 1 zur Steuerung eines (nicht gezeigten) Hydraulikzylinders auf der Grundlage von Sensorausgängen von vier Fahrzeuggeschwindigkeitssensoren (nicht gezeigt) und einen Überwachungsschaltkreis 2 zur Überwachung der Funktion des Mikrocomputers 1 auf.
  • Die elektronische Steuereinheit 200 ist mit einem Resetschaltkreis 8 anstelle des Antriebsverhinderungs-Freigabeschaltkreises 7 der ersten Ausführungsform ausgestattet. Der Resetschaltkreis 8 weist einen Resetschaltkreis 81 für Versorgung EIN, einen Resetpulserzeugungsschaltkreis 82, einen Zähler 83, einen ODER-Schaltkreis 84 und einen Inverterschaltkreis 85 auf. Wenn beurteilt wird, daß der Mikrocomputer 1 in einem anormalen Zustand ist, gibt der Resetschaltkreis 8 ein Resetsignal an eine Signalleitung aus, welche mit einem Resetanschluß verbunden ist, um den Mikrocomputer 1 zurückzusetzen.
  • Der Mikrocomputer arbeitet normalerweise gemäß dem Flußdiagramm (Schritt 201 bis 211) von 2. Dieser Ablauf ist der gleiche wie bei der elektronischen Steuereinheit 100.
  • Wenn eine Energieversorgungsquelle zum Betrieb der elektronischen Steuereinheit 200 eingeschaltet wird (Initialisierung), überträgt der Mikrocomputer 1 absichtlich ein Antwortsignal 10 mit einer falschen Antwortnummer an den Überwachungsschaltkreis, und zwar dreimal aufeinanderfolgend, wie in dem Flußdiagramm von 5 gezeigt (Schritte 501 bis 518), so daß der Mikrokomputer 1 sich selbst zurücksetzt und somit der Betrieb des Überwachungsschaltkreises überprüft wird (EIN in Schritt 503).
  • Einige der vielen Vorteile, welche durch die elektronischen Steuereinheiten 100 und 200 geschaffen werden, werden nachfolgend beschrieben.
  • (A) Die elektronischen Steuereinheiten 100 und 200 sind so ausgelegt, daß der Vergleichs-/Beurteilungsschaltkreis 5 des Überwachungsschalktreises 2 die Antwortnummer 11 mit der korrekten Antwortnummer 30 vergleicht, um die Funktion des Mikrocomputers 1 zu überprüfen. Somit kann mit hoher Präzision überwacht werden, ob der Mikrocomputer 1 normal arbeitet oder nicht. Weiterhin wird nur ein Mikrocomputer verwendet, so daß die Kosten verringert sind.
  • Wenn die Antwortnummer 11 und die korrekte Antwortnummer 30 nicht übereinstimmend sind, hält der Überwachungsschaltkreis die Zuweisungsnummer 21 ungeändert, überträgt das Zuweisungssignal 20 entsprechend der Zuweisungsnummer 21 erneut an den Mikrocomputer 1 und vergleicht die Antwortnummer 11 mit der korrekten Antwort nummer 30 erneut. Das heißt, wenn die Antwort falsch ist, wird eine Neuüberprüfung unter den gleichen Bedingungen (unter Verwendung der gleichen Zuweisungsnummer) durchgeführt, so daß somit sicher identifiziert werden kann, ob die falsche Antwort durch Störrauschen oder dergleichen oder durch eine Fehlerfunktion des Mikrocomputers 1 verursacht wurde.
  • (B) Wenn der Mikrocomputer 1 durch irgendeinen Grund in einen anormalen Zustand verfällt, wird es unmöglich die Antwortnummer 11 zu übertragen, oder die Antwortnummer 11 und die korrekte Antwortnummer 30 sind nicht mehr in Übereinstimmung.
  • Bei den elektronischen Steuereinheiten 100 und 200 wird, wenn die Antwortnummer nicht innerhalb von 30 ms von der Zeit an erneuert wird, zu der das Zulassungssignal 20 dem Mikrocomputer 1 übertragen worden ist, oder wenn eine Nichtübereinstimmung zwischen der Antwortnummer 11 und der korrekten Antwortnummer 30 dreimal hintereinander beurteilt wird, wird darauf geschlossen, daß der Mikrocomputer 1 sich in einem anormalen Zustand befindet und somit wird eine Steuerung des Hydraulikzylinders durch den Mikrocomputer 1 unterbunden.
  • Weiterhin, wenn die Energiequellenversorgung eingeschaltet wird, wird der Zustand des Überwachungsschaltkreises 2 in einen Beurteilungszustand durch das Resetsignal versetzt, welches einer Anormalität des Mikrocomputers entspricht und die Steuerung des Hydraulikzylinders durch den Mikrocomputer 1 wird vom Überwachungsschaltkreis 2 verhindert. Das heißt, der Mikrocomputer wird in den Antriebsverhinderungszustand versetzt. Wenn danach der Mikrocomputer 1 seinen Betrieb durch Aufheben des Resetsignales beginnt und ein normales Rücksetzsignal dem Überwachungsschaltkreis 2 durch den Initialisierungsvor gang des Mikrocomputers 1 übertragen wird, ermöglicht der Überwachungsschaltkreis, daß der Mikrocomputer 1 den Hydraulikzylinder steuert. Das heißt, der Mikrocomputer 1 wird in einen Stellgliedantriebszustand zurückversetzt.
  • Wenn bei den elektronischen Steuereinheiten 100 und 200 die Antwortnummer 11 nicht innerhalb von 30 ms ausgehend von dem Zeitpunkt erneuert wird, zu dem das Zuweisungssignal 20 dem Mikrocomputer 1 übertragen worden ist oder wenn eine Nichtübereinstimmung zwischen der Antwortnummer 11 und der korrekten Antwortnummer 30 dreimal hintereinander beurteilt worden ist, verhindert der Überwachungsschaltkreis 2, daß der Mikrocomputer 1 den Hydraulikzylinder steuert. Gleichzeitig gibt der Überwachungsschaltkreis 2 ein Resetsignal an den Mikrocomputer 1 aus und nachdem das Resetsignal freigegeben worden ist, erlaubt der Überwachungsschaltkreis 2, daß der Mikrocomputer 1 den Hydraulikzylinder wieder steuert und setzt den Mikrocomputer, der sich in einem anormalen Zustand befunden hat, wieder in einen normalen Zustand zurück.
  • Somit können die elektronischen Steuereinheiten 100 und 200 den Hydraulikzylinder für ABS mit hoher Sicherheit steuern.
  • Falls der Mikrocomputer mehrfach in anormalen Zustand verfällt, wird dieser Anormalitätszustand des Mikrocomputers mit Wahrscheinlichkeit durch einen bestimmten Grund verursacht. von daher wird die Häufigkeit, mit der der Steuerungsverhinderungszustand des Hydraulikzylinders durch den Mikrocomputer in den Steuererlaubniszustand durch den Überwachungsschaltkreis 2 geändert wird, in der elektronischen Steuereinheit 100 auf dreimal begrenzt.
  • Weiterhin ist in der elektronischen Steuereinheit 200 die Häufigkeit des Zurücksetzens des Mikrocomputers durch den Überwachungsschaltkreis 2 durch den Zähler 83 auf viermal begrenzt.
  • (C) Die elektronischen Steuereinheiten 100 und 200 sind so ausgelegt, daß der Mikrocomputer 1 absichtlich das Antwortsignal 10 der falschen Antwortnummer 11 an den Überwachungsschaltkreis 2 alle acht Male einer Kommunikation zwischen dem Mikrocomputer 1 und dem Überwachungsschaltkreis 2 überträgt. Somit kann durch den Mikrocomputer 1 korrekt überprüft werden, ob der Überwachungsschaltkreis 2 normal arbeitet.
  • (D) Wenn in den elektronischen Steuereinheiten 100 und 200 der Mikrocomputer 1 durch das Resetsignal in den normalen Zustand zurückversetzt wird, überträgt der Mikrocomputer 1 absichtlich das Antwortsignal 10, welches das falsche Betriebsergebnis enthält in Antwort auf das Zuweisungssignal 20, um die Funktion des Überwachungsschaltkreises 2 zu überprüfen.
  • Infolgedessen wird, wenn der Mikrocomputer zurückgesetzt wird, die Funktion des Überwachungsschaltkreises 2 überprüfbar, so daß die Sicherheit verbessert wird, In einer elektronischen Steuereinheit zur Überwachung eines Mikrocomputers beinhaltet demnach erfindungsgemäß eine ECU einen Überwachungsschaltkreis mit einem Zähler zur Auswahl einer Zuweisungsnummer eines Zuweisungssignales, eine serielle Kommunikationseinheit zur Übertragung des Zuweisungssignals der Zuweisungsnummer, ausgewählt durch den Zähler und zum Empfang eines Antwortsignals von einem Mikrocomputer. Die ECU beinhaltet auch einen Vergleichs-/Beurteilungsschaltkreis zum Vergleich einer Antwortnummer mit einer korrekten Antwortnummer und zum Inkrementieren der Zuweisungsnummer des durch den Zähler ausgewählten Zuweisungssignales um 1, wenn die beiden Antworten übereinstimmen. Dieser Schaltkreis behält die gleiche Zuweisungsnummer bei, wenn die Antworten nicht übereinstimmen. Der Mikrocomputer führt einen Betrieb in Übereinstimmung mit der Zuweisungsnummer des Zuweisungssignals durch, welches empfangen worden ist und überträgt das Betriebsergebnis unter Verwendung eines Antwortsignals.
  • Die Beschreibung der Erfindung ist rein exemplarisch, so daß Abwandlungen hiervon nicht vom Umfang der Erfindung abweichen, sondern im Rahmen der Erfindung liegen, wie durch die beiliegenden Ansprüche und deren Äquivalente definiert ist.

Claims (14)

  1. Eine elektronische Steuereinheit (100, 200) zur Steuerung eines Stellgliedes mittels eine Mikrokomputers (1), mit. einem Überwachungsschaltkreis (2) mit einer Kommunikationseinheit (4) zur Übertragung einer Zuweisungsnummer (21) an den Mikrocomputer und zum Empfang einer Antwort (11) von dem Mikrocomputer; und einer Vergleichs-/Beurteilungseinheit (5) zum Vergleich der Antwort (11) mit einer korrekten Antwort (30) zur Überprüfung des Mikrocomputers (1), wobei der Mikrocomputer (1) einen vorbestimmten Selbstfunktions-Überprüfungsvorgang abhängig von der Zuweisungsnummer (21) durchführt und ein Betriebsergebnis hiervon als Antwort überträgt.
  2. Eine elektronische Steuereinheit (100, 200) zur Steuerung eines Stellgliedes mittels eines Mikrocomputers (1), mit. einem Überwachungsschaltkreis (2) mit einer Zuweisungsnummerauswahleinheit (3) zum Auswählen einer Zuweisungsnummer (21), einer Kommunikationseinheit (4) zur Übertragung der Zuweisungsnummer (21), die von der Zuweisungsnummerauswahleinheit (3) ausgewählt wurde an den Mikrocomputer (1) und zum Empfang einer Antwort (11) vom Mikrocomputer, und einer Vergleichs-/Beurteilungseinheit (5) zum Vergleichen der Antwort (11) mit einer korrekten Antwort (30), um die Funktion des Mikrocomputers (1) zu überprüfen, wobei die Zuweisungsnummerauswahleinheit (3) die Zuweisungsnummer in eine nächste Zuweisungsnummer erneuert, wenn die Antwort (11) und die korrekte Antwort (30) in der Vergleichs-/Beurteilungseinheit (5) als miteinander übereinstimmend beurteilt werden und die gleiche Zuwei sungsnummer als nächste Zuweisungsnummer auswählt, wenn die Antwort (11) und die korrekte Anwort (30) in der Vergleichs-/Beurteilungseinheit (5) als nicht miteinander übereinstimmend beurteilt werden, und wobei der Mikrocomputer (1) einen bestimmten Selbstfunktions-Überprüfungsvorgang abhängig von der empfangenen Zuweisungsnummer (21) durchführt und ein Betriebsergebnis als Antwort (11) überträgt.
  3. Elektronische Steuereinheit (100, 200) nach Anspruch 1 oder 2, wobei der Überwachungsschaltkreis (2) beurteilt, daß der Mikrocomputer (1) in einem anormalen Zustand ist, wenn der Überwachungsschaltkreis (2) keine Antwort innerhalb eines bestimmten Zeit nach Übertragung der Zuweisungsnummer (21) an den Mikrocomputer (1) empfängt oder wenn eine Nichtübereinstimmung zwischen der Antwort (11) und der korrekten Antwort (30) aufeinanderfolgend eine bestimmte Anzahl mal beurteilt wird.
  4. Elektrische Steuereinheit (100, 200) nach einem der Ansprüche 1 bis 3, wobei der Mikrocomputer (1) absichtlich an den Überwachungsschaltkreis (2) eine Antwort (11) mit einem falschen Betriebsergebnis mit. einer bestimmten Häufigkeit überträgt, um hierdurch die Funktion des Überwachungsschaltkreises (2) zu überprüfen.
  5. Elektronische Steuereinheit (100, 200) nach einem der Ansprüche 1 bis 4, wobei, wenn der Überwachungsschaltkreis 2 beurteilt, dass der Mikrocomputer (1) in einem anomalen Zustand ist, der Überwachungsschaltkreis (2) den Mikrocomputer (1) in einen Antriebsverhinderungszustand versetzt.
  6. Elektronische Steuereinheit (100, 200) nach einem der Ansprüche 1 bis 5, wobei der Überwachungsschaltkreis (2) einen Schaltkreis (7, 8) enthält zur Beurteilung, ob der Mikrocomputer (1) in einen normalen Zustand zurückversetzt worden ist, nachdem einmal beurteilt wurde, dass der Mikrocomputer (1) in einem anomalen Zustand ist.
  7. Elektronische Steuereinheit (100) nach Anspruch 6, wobei der Schaltkreis (7, 8) beurteilt, ob es eine Übereinstimmung zwischen der Antwort (11) und der korrekten Antwort (30) aufeinanderfolgend für eine bestimmte Anzahl von Zeiten gibt.
  8. Elektronische Steuereinheit (100, 200) nach Anspruch 6, wobei, wenn ein normales Rückstellsignal empfangen wird, die Vorrichtungen (7, 8) zur Beurteilung, ob der Mikrocomputer (1) in einen normalen Zustand zurückversetzt worden ist, beurteilt, dass der Mikrocomputer (1) in den normalen Zustand zurückversetzt worden ist.
  9. Elektronische Steuereinheit (100, 200) nach einem der Ansprüche 6 bis 8, wobei der Überwachungsschaltkreis (2) die Häufigkeit auf eine bestimmte Häufigkeit beschränkt, mit der der Mikrocomputer (1) als in den normalen Zustand zurückversetzt beurteilt werden kann.
  10. Elektronische Steuereinheit (200) nach einem der Ansprüche 6 bis 9, wobei der Überwachungsschaltkreis (2) den Mikrocomputer (1) in einen anormalen Zustand versetzt, wenn eine Energieversorgungsquelle eingeschaltet wird.
  11. Elektronische Steuereinheit (200) nach einem der Ansprüche 6 bis 10, wobei der Überwachungsschaltkreis (2) es dem Mikrocomputer (1) erlaubt, in einem Stellgliedantriebszustand zu sein und eine Funktions-Anormalität nicht länger feststellt, wenn der Überwachungsschaltkreis (2) beurteilt, dass der Mikrocomputer (1) in den normalen Zustand zurückversetzt worden ist.
  12. Elektronische Steuereinheit (200) nach einem der Ansprüche 1 bis 4, wobei, wenn der Überwachungsschaltkreis (2) den Mikrocomputer (1) als in einem normalen Zustand befindlich beurteilt, dann der Überwachungsschaltkreis (2) den Mikrocomputer (1) zurücksetzt, um den Mikrocomputer (1) neu zu starten.
  13. Elektronische Steuereinheit (200) nach Anspruch 12, wobei der Überwachungsschaltkreis (2) die Häufigkeit auf eine bestimmte Anzahl von Malen beschränkt, mit der der Mikrocomputer (1) zurückgesetzt wird, um neu gestartet zu werden und den Mikrocomputer (1) fest zurücksetzt, wenn die Reset/Neustart-Häufigkeit des Mikrocomupters die bestimmte Anzahl von Malen übersteigt.
  14. Elektronische Steuereinheit (100, 200) nach einem der Ansprüche 5 bis 12, wobei, nachdem der Mikrocomputer (1) zurückgesetzt und neu gestartet worden ist, der Mikrocomputer (1) absichtlich eine Antwort (11) eines falschen Betriebsergebnisses in Antwort auf die Zuweisungsnummer (21) wenigstens einmal überträgt, um zu überprüfen, ob der Überwachungsschaltkreis (2) eine genaue Beurteilung hinsichtlich einer Anormalität des Mikrocomputers (1) durchführt und eine sichere Anormalitätsverarbeitung durchführt.
DE102004009359A 2003-02-27 2004-02-26 Elektronische Steuereinheit zur Überwachung eines Mikrocomputers Expired - Lifetime DE102004009359B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP03-51075 2003-02-27
JP2003051075A JP2004259137A (ja) 2003-02-27 2003-02-27 電子制御装置

Publications (2)

Publication Number Publication Date
DE102004009359A1 true DE102004009359A1 (de) 2004-09-16
DE102004009359B4 DE102004009359B4 (de) 2006-02-02

Family

ID=32866650

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004009359A Expired - Lifetime DE102004009359B4 (de) 2003-02-27 2004-02-26 Elektronische Steuereinheit zur Überwachung eines Mikrocomputers

Country Status (3)

Country Link
US (1) US7305587B2 (de)
JP (1) JP2004259137A (de)
DE (1) DE102004009359B4 (de)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7826962B2 (en) 2005-06-23 2010-11-02 Denso Corporation Electronic control apparatus
DE102016117569B3 (de) * 2016-09-19 2017-11-16 Elmos Semiconductor Aktiengesellschaft Watchdog mit Mustererkennung für wiederkehrende Lastsituationen und mit einem Empfangszeitraum gesteuerten Schieberegister
DE102016117571B3 (de) * 2016-09-19 2017-11-16 Elmos Semiconductor Aktiengesellschaft Watchdog mit Mustererkennung für wiederkehrende Lastsituationen und mit einem Empfangszeitraum gesteuerten Zwischenspeicher
DE102016117568B3 (de) * 2016-09-19 2017-11-16 Elmos Semiconductor Aktiengesellschaft Verfahren zum Betrieb eines Watchdog umfassend eine Mustererkennung für wiederkehrende Lastsituationen
DE102016117567B3 (de) * 2016-09-19 2017-11-16 Elmos Semiconductor Aktiengesellschaft Watchdog mit Mustererkennung für wiederkehrende Lastsituationen mit einem empfangsgesteuerten Zwischenspeicher
DE102016117566B3 (de) * 2016-09-19 2017-11-16 Elmos Semiconductor Aktiengesellschaft Watchdog mit Mustererkennung für wiederkehrende Lastsituationen mit einem empfangsgesteuerten Schieberegister
DE102016015757A1 (de) 2016-09-19 2018-03-22 Elmos Semiconductor Aktiengesellschaft Verfahren zum Betrieb eines Watchdog umfassend eine Mustererkennung für wiederkehrende Lastsituationen mit Rücksetzen des Ereignisspeichers
DE102016015756A1 (de) 2016-09-19 2018-03-22 Elmos Semiconductor Aktiengesellschaft Verfahren zum Betrieb eines Watchdog umfassend eine Mustererkennung für wiederkehrende Lastsituationen mit zweifacher Bewertung
WO2018050908A1 (de) 2016-09-19 2018-03-22 Elmos Semiconductor Aktiengesellschaft Watchdog zur überwachung eines prozessors
DE102016015755A1 (de) 2016-09-19 2018-03-22 Elmos Semiconductor Aktiengesellschaft Verfahren zum Betrieb eines Watchdog umfassend eine Mustererkennung für wiederkehrende Lastsituationen mit einem zweistufigen Ergebnisspeicher
EP3761179A1 (de) 2019-07-05 2021-01-06 Elmos Semiconductor SE Verfahren zur überprüfung der funktion eines prozessors durch einen watchdog

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4379793B2 (ja) * 2004-03-12 2009-12-09 株式会社デンソー 車両用電子制御装置
US7271363B2 (en) * 2004-09-01 2007-09-18 Noritsu Koki Co., Ltd. Portable microwave plasma systems including a supply line for gas and microwaves
DE102006028695B4 (de) 2005-06-23 2017-11-30 Denso Corporation Elektronisches Steuersystem mit Fehlfunktionsüberwachung
DE102005037230A1 (de) * 2005-08-08 2007-02-15 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems
JP4820679B2 (ja) * 2006-04-12 2011-11-24 トヨタ自動車株式会社 車両用電子制御装置
JP4747930B2 (ja) * 2006-04-24 2011-08-17 トヨタ自動車株式会社 電子制御装置、及び、演算機能検査方法
JP4432988B2 (ja) * 2007-03-14 2010-03-17 株式会社デンソー 電子制御装置
JP4408921B2 (ja) 2007-08-22 2010-02-03 株式会社デンソー 電子機器
JP5582748B2 (ja) * 2009-09-17 2014-09-03 株式会社ケーヒン 車両用電子制御装置
DE102010041003A1 (de) * 2010-09-20 2012-03-22 Sb Limotive Company Ltd. Verfahren zum Überwachen von mindestens zwei Mikrocontrollern
JP5683191B2 (ja) 2010-09-29 2015-03-11 株式会社デンソー 監視装置、及び電子制御システム
US8662235B2 (en) * 2012-05-03 2014-03-04 Daniel McNicholas Compressed natural gas vehicle safety system and method
KR101395371B1 (ko) * 2013-01-22 2014-05-14 주식회사 현대케피코 차량의 급발진 방지방법
GB2595539B (en) * 2020-12-07 2023-04-19 Antobot Ltd Safety mechanisms for artificial intelligence units used in safety critical applications

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS62108339A (ja) 1985-11-06 1987-05-19 Nippon Denso Co Ltd 電子回路の異常監視装置
JPS63253401A (ja) 1987-04-10 1988-10-20 Hitachi Ltd アクチユエ−タ制御回路の安全装置
JPH01177645A (ja) 1988-01-07 1989-07-13 Ricoh Co Ltd 制御システムの暴走検知方法
JP2659067B2 (ja) 1988-06-08 1997-09-30 住友電気工業株式会社 マイクロコンピュータのリセット回路
JPH02250124A (ja) 1989-03-24 1990-10-05 Akebono Brake Ind Co Ltd 車載用電子制御装置の誤動作防止方法
JPH02292639A (ja) 1989-05-02 1990-12-04 Toshiba Corp マイクロコンピュータの異常検出回路
JPH04302343A (ja) 1991-03-29 1992-10-26 Toshiba Corp 管理システム
DE4122016A1 (de) * 1991-07-03 1993-01-21 Hella Kg Hueck & Co Antiblockierregelsystem
JP3205356B2 (ja) 1991-08-02 2001-09-04 ティーディーケイ株式会社 コイル装置
JPH0561769A (ja) 1991-09-02 1993-03-12 Daikin Ind Ltd メモリ・アクセス方法
JPH05143377A (ja) 1991-11-18 1993-06-11 Hitachi Ltd アラーム通知方式
JPH05257753A (ja) 1992-03-03 1993-10-08 Nec Corp 周辺制御装置の障害警報出力回路
JP2901849B2 (ja) * 1993-09-07 1999-06-07 三菱電機株式会社 アンチスキッド制御装置用フェール検出装置
DE69415495T2 (de) * 1993-09-21 1999-08-26 Sumitomo Electric Industries Antiblockierungsregelvorrichtung
JPH07200363A (ja) 1993-12-28 1995-08-04 Matsushita Electric Ind Co Ltd ウォッチドッグタイマー制御回路
DE4446314A1 (de) * 1994-12-23 1996-06-27 Teves Gmbh Alfred Verfahren und Schaltungsanordnung zur Überwachung der Funktion einer programmgesteuerten Schaltung
DE19500188B4 (de) * 1995-01-05 2006-05-11 Robert Bosch Gmbh Schaltungsanordnung für eine Bremsanlage
JPH08202589A (ja) 1995-01-24 1996-08-09 Nec Home Electron Ltd 情報処理装置及び故障診断方法
JP3729893B2 (ja) 1995-05-31 2005-12-21 住友電気工業株式会社 マイクロコンピュータの故障検出方法
JP3633092B2 (ja) * 1996-03-18 2005-03-30 日産自動車株式会社 マイコン故障監視装置
US6243629B1 (en) * 1996-04-19 2001-06-05 Honda Giken Kogyo Kabushiki Kaisha Electronic control unit for automotive vehicles
JP3991384B2 (ja) * 1996-07-15 2007-10-17 株式会社デンソー 電子制御装置
DE19653551C1 (de) * 1996-12-20 1998-02-05 Siemens Ag Verfahren zur Überprüfung der Funktionsfähigkeit einer Recheneinheit
JPH11259340A (ja) 1998-03-10 1999-09-24 Oki Comtec:Kk コンピュータの再起動制御回路
JP2000029734A (ja) * 1998-07-13 2000-01-28 Nissan Motor Co Ltd Cpu異常監視システム
DE19902031A1 (de) * 1999-01-20 2000-07-27 Bosch Gmbh Robert Steuergerät zur Steuerung sicherheitskritischer Anwendungen
JP3636031B2 (ja) * 2000-04-28 2005-04-06 株式会社デンソー 電子制御装置内のマイクロコンピュータ監視方法
JP2001350735A (ja) 2000-06-09 2001-12-21 Bosch Automotive Systems Corp 複数データ処理装置間相互監視方法
JP3616319B2 (ja) * 2000-09-05 2005-02-02 株式会社日立製作所 Cpuの診断装置
JP4194748B2 (ja) * 2000-12-26 2008-12-10 株式会社ホンダエレシス 演算制御装置

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7826962B2 (en) 2005-06-23 2010-11-02 Denso Corporation Electronic control apparatus
DE102006028992B4 (de) * 2005-06-23 2012-11-08 Denso Corporation Elektronische Steuervorrichtung
DE102006028992B8 (de) * 2005-06-23 2013-05-02 Denso Corporation Elektronische Steuervorrichtung
DE102016117569B3 (de) * 2016-09-19 2017-11-16 Elmos Semiconductor Aktiengesellschaft Watchdog mit Mustererkennung für wiederkehrende Lastsituationen und mit einem Empfangszeitraum gesteuerten Schieberegister
DE102016117571B3 (de) * 2016-09-19 2017-11-16 Elmos Semiconductor Aktiengesellschaft Watchdog mit Mustererkennung für wiederkehrende Lastsituationen und mit einem Empfangszeitraum gesteuerten Zwischenspeicher
DE102016117568B3 (de) * 2016-09-19 2017-11-16 Elmos Semiconductor Aktiengesellschaft Verfahren zum Betrieb eines Watchdog umfassend eine Mustererkennung für wiederkehrende Lastsituationen
DE102016117567B3 (de) * 2016-09-19 2017-11-16 Elmos Semiconductor Aktiengesellschaft Watchdog mit Mustererkennung für wiederkehrende Lastsituationen mit einem empfangsgesteuerten Zwischenspeicher
DE102016117566B3 (de) * 2016-09-19 2017-11-16 Elmos Semiconductor Aktiengesellschaft Watchdog mit Mustererkennung für wiederkehrende Lastsituationen mit einem empfangsgesteuerten Schieberegister
DE102016015757A1 (de) 2016-09-19 2018-03-22 Elmos Semiconductor Aktiengesellschaft Verfahren zum Betrieb eines Watchdog umfassend eine Mustererkennung für wiederkehrende Lastsituationen mit Rücksetzen des Ereignisspeichers
DE102016015756A1 (de) 2016-09-19 2018-03-22 Elmos Semiconductor Aktiengesellschaft Verfahren zum Betrieb eines Watchdog umfassend eine Mustererkennung für wiederkehrende Lastsituationen mit zweifacher Bewertung
WO2018050908A1 (de) 2016-09-19 2018-03-22 Elmos Semiconductor Aktiengesellschaft Watchdog zur überwachung eines prozessors
DE102016015755A1 (de) 2016-09-19 2018-03-22 Elmos Semiconductor Aktiengesellschaft Verfahren zum Betrieb eines Watchdog umfassend eine Mustererkennung für wiederkehrende Lastsituationen mit einem zweistufigen Ergebnisspeicher
DE102016015757B4 (de) 2016-09-19 2020-01-02 Elmos Semiconductor Aktiengesellschaft Verfahren zum Betrieb eines Watchdog umfassend eine Mustererkennung für wiederkehrende Lastsituationen mit Rücksetzen des Ereignisspeichers
DE102016015755B4 (de) 2016-09-19 2020-01-02 Elmos Semiconductor Aktiengesellschaft Verfahren zum Betrieb eines Watchdog umfassend eine Mustererkennung für wiederkehrende Lastsituationen mit einem zweistufigen Ergebnisspeicher
DE102016015756B4 (de) 2016-09-19 2020-01-02 Elmos Semiconductor Aktiengesellschaft Verfahren zum Betrieb eines Watchdog umfassend eine Mustererkennung für wiederkehrende Lastsituationen mit zweifacher Bewertung
EP3620923A1 (de) 2016-09-19 2020-03-11 ELMOS Semiconductor AG Watchdog zur überwachung eines prozessors
EP3627324A1 (de) 2016-09-19 2020-03-25 Elmos Semiconductor Aktiengesellschaft Watchdog zur überwachung eines prozessors
US10678620B2 (en) 2016-09-19 2020-06-09 Elmos Semiconductor Ag Watchdog for monitoring a processor
EP3761179A1 (de) 2019-07-05 2021-01-06 Elmos Semiconductor SE Verfahren zur überprüfung der funktion eines prozessors durch einen watchdog

Also Published As

Publication number Publication date
US7305587B2 (en) 2007-12-04
JP2004259137A (ja) 2004-09-16
DE102004009359B4 (de) 2006-02-02
US20040172580A1 (en) 2004-09-02

Similar Documents

Publication Publication Date Title
DE102004009359A1 (de) Elektronische Steuereinheit zur Überwachung eines Mikrocomputers
EP1323039B1 (de) Verfahren zum betrieb eines von einem prozessor gesteuerten systems
EP1352326B1 (de) Verfahren und vorrichtung zur überwachung einer datenverarbeitung und -übertragung
EP1952238B1 (de) Busmodul zum anschluss an ein bussystem sowie verwendung eines solchen busmoduls in einem as-i-bussystem
DE102011014142A1 (de) Fahrzeugsteuervorrichtung für eine CAN-Kommunikation und Diagnoseverfahren hierfür
DE102009019792A1 (de) Steuersystem zum sicheren Betreiben von mindestens einer Funktionskomponente
WO2005101145A1 (de) Sicherheitssteuerung
DE102005009813B4 (de) Elektronisches Steuerungssystem und -Verfahren mit Microcomputerüberwachungs-Unterdrückungsfunktion
DE10309891B4 (de) Elektronische Fahrzeugsteuervorrichtung mit einer Vielzahl von Mikrocomputern zum Implementieren einer Mikrocomputerüberwachungsfunktion
DE112015005253T5 (de) Controller Area Network (CAN)-Kommunikationssystem und Aufzeichnungsvorrichtung für Fehlerinformationen
WO2000045562A1 (de) Verfahren und einrichtung zur bestimmung der zuverlässigkeit von datenträgern
WO2020030441A1 (de) Verfahren zum überwachen der kommunikation eines bussystems eines fahrzeugs
EP3788448B1 (de) Verfahren zum zurücksetzen eines geräts sowie gerät und steuereinheit
EP3470937B1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
DE102006003147B4 (de) Verfahren zur Wiederherstellung der Kontrolle über eine sich fortwährend zurücksetzende Steuereinheit
DE19827337A1 (de) Anordnung und Verfahren zum Übertragen von Adreß-, Befehls- und/oder Datentelegrammen
EP2037340A1 (de) System und Verfahren zum Überwachen einer Steuereinrichtung eines Sicherheitsschaltgeräts
DE10063449B4 (de) Steuergerät mit einer Konsistenzüberwachung von Interrupts und ein Verfahren zur Durchführung einer Konsistenzüberwachung von Interrupts bei einem Steuergerät
DE69405940T2 (de) Kraftfahrzeug-Diebstahlsicherungssystem
EP3334344B1 (de) Röntgensystem mit einem röntgenstrahler
DE102019114779A1 (de) Benachrichtigung über einen steuerungsfehler mittels nachrichten-authentifizierungscode
DE102018216241A1 (de) Datenkommunikationsverfahren und -vorrichtung für ein Fahrzeugnetzwerk
DE102007049151B4 (de) Verfahren zur Durchführung einer automotiven Anwendung
EP4261722A1 (de) Ausgeben einer gemeinsamen, kryptographisch geschützten gerätekonfigurationsinformation
EP3478541B1 (de) Sicherheitseinrichtung und verfahren zum betreiben eines systems

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R084 Declaration of willingness to licence
R071 Expiry of right