DE112016000153T5 - Antriebssteuerungsvorrichtung - Google Patents

Antriebssteuerungsvorrichtung Download PDF

Info

Publication number
DE112016000153T5
DE112016000153T5 DE112016000153.3T DE112016000153T DE112016000153T5 DE 112016000153 T5 DE112016000153 T5 DE 112016000153T5 DE 112016000153 T DE112016000153 T DE 112016000153T DE 112016000153 T5 DE112016000153 T5 DE 112016000153T5
Authority
DE
Germany
Prior art keywords
control
control processor
processing unit
signal
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112016000153.3T
Other languages
English (en)
Inventor
Hirokazu Tajima
Hiroji Nishida
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fuji Electric Co Ltd
Original Assignee
Fuji Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Electric Co Ltd filed Critical Fuji Electric Co Ltd
Publication of DE112016000153T5 publication Critical patent/DE112016000153T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F04POSITIVE - DISPLACEMENT MACHINES FOR LIQUIDS; PUMPS FOR LIQUIDS OR ELASTIC FLUIDS
    • F04BPOSITIVE-DISPLACEMENT MACHINES FOR LIQUIDS; PUMPS
    • F04B49/00Control, e.g. of pump delivery, or pump pressure of, or safety measures for, machines, pumps, or pumping installations, not otherwise provided for, or of interest apart from, groups F04B1/00 - F04B47/00
    • F04B49/06Control using electricity
    • F04B49/065Control using electricity and making use of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

Es ist eine Antriebssteuerungsvorrichtung bereitgestellt, die ein Antriebssteuerungssystem in einem sicheren Zustand halten kann, selbst in einem Fall, in dem eine Betriebsanomalie, die ein normales Zurücksetzen eines Steuerungsprozessors verhindert, oder eine Betriebsanomalie, die eine Lösung selbst nach dem Zurücksetzen des Steuerungsprozessors verhindert, in dem Steuerungsprozessor erfolgt. Der Steuerungsprozessor 11 weist eine Verarbeitungseinheit für Aktuatorsteuerung 113, die konfiguriert ist, um ein Steuersignal für eine Treiberschaltung 4 zu erzeugen, die eine Steuerungszielvorrichtung und einen Aktuator 5 ist, und eine Diagnoseverarbeitungseinheit 14 auf, die konfiguriert ist, um die Verarbeitungseinheit für Aktuatorsteuerung 113 zu diagnostizieren. Die Diagnoseverarbeitungseinheit 114 gibt zyklisch ein Rücksetzsignal an den WDT 12 in einem Fall ab, in dem der Betrieb des Steuerungsprozessors 11 normal ist. Der WDT 12 gibt kontinuierlich ein Abschaltsignal zum Abschalten einer Lieferung des Steuersignals von dem Steuerungsprozessor 11 an die Steuerungszielvorrichtung ab, wenn das zyklische Rücksetzsignal anhält.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Erfindung bezieht sich auf eine Antriebssteuerungsvorrichtung, die einen Überwachungszeitgeber aufweist.
  • STAND DER TECHNIK
  • In einem Antriebssteuerungssystem, das eine Antriebssteuerung einer Steuerungszielvorrichtung durchführt, wie ein Aktuators, der eine zentrale Verarbeitungseinheit (im Folgenden CPU genannt) benutzt, ist eine Gegenmaßnahme gegen eine Anomalie oder einen Fehler unbedingt erforderlich. Daher werden unterschiedliche Techniken zur Überwachung der CPU entwickelt, um die Anomalie oder den Fehler zu erfassen. Zum Beispiel ist in der in Patentschrift 1 offenbarten Technik ein integrierter Überwachungsschaltkreis zusätzlich zu der zu überwachenden Überwachungsziel-CPU bereitgestellt. Dieser integrierte Überwachungsschaltkreis überwacht Betriebszustände einer Drehmomentüberwachungseinheit und einer Signalanomalie-Diagnoseeinheit der CPU und führt eine ausfallsichere Steuerung in Zusammenarbeit mit einer selbstüberwachenden Einheit eines Mikrocomputers durch, wenn der integrierte Überwachungsschaltkreis eine Betriebsanomalie erfasst.
  • In dieser in Patentschrift 1 offenbarten Technik ist die Betriebsanomalie, die für die CPU durch den integrierten Überwachungsschaltkreis erfasst wird, jedoch auf spezifische Anomalien begrenzt, wie eine Betriebsanomalie in einer Drehmomentüberwachungseinheit und eine Betriebsanomalie in einer Signalanomalie-Diagnoseeinheit. Ferner hat die in Patentschrift 1 offenbarte Technik ein Problem, dass ein breites Spektrum von Betriebsanomalien, die bei dem Betrieb der CPU verursacht werden können, wie eine Betriebsanomalie einer arithmetisch-logischen Einheit (ALU), eine Betriebsanomalie eines Datenpfads, eine Betriebsanomalie eines Verzeichnisses, eine Betriebsanomalie eines RAM, eine Betriebsanomalie einer Adressberechnung, eine Betriebsanomalie einer Unterbrechungsverarbeitung, eine Betriebsanomalie einer Steuerlogik und eine Betriebsanomalie einer Konfigurationsverzeichnis-Betriebsanomalie, nicht durch ein Erfassen dieses breiten Spektrums von Betriebsanomalien behandelt wird.
  • Eine Gegenmaßnahme gegen ein breites Spektrum von Betriebsanomalien, die bei dem Betrieb der CPU verursacht werden können, ist eine Maßnahme, die einen Überwachungszeitgeber benutzt. Zum Beispiel wird in der zum Beispiel Patentschrift 2 offenbarten Technik ein Impulssignal periodisch von der CPU an den Überwachungszeitgeber geliefert, um den Überwachungszeitgeber zurückzusetzen. Wenn die Betriebsanomalie erfolgt, um das Impulssignal davon abzuhalten, für eine vorbestimmte zeitliche Dauer geliefert zu werden, gibt der Überwachungszeitgeber ein Rücksetzsignal an die CPU ab, um die CPU dazu zu veranlassen, einen Rücksetzvorgang durchzuführen. Ferner ist in der in Patentschrift 3 offenbarten Technik der Überwachungszeitgeber in einer ähnlichen Art zu der der Patentschrift 2 bereitgestellt. Wenn die Lieferung eines periodischen klaren Signals des Überwachungszeitgebers angehalten wird, bestimmt der Überwachungszeitgeber jedoch, dass die CPU nicht normal funktioniert, und sendet eine Fehlermeldung an ein übergeordnetes System.
  • DOKUMENTE DES STANDES DER TECHNIK
  • PATENTSCHRIFTEN
    • Patentschrift 1: Japanische ungeprüfte Patentanmeldung Nr. 2010-43536
    • Patentschrift 2: Japanische ungeprüfte Patentanmeldung Nr. 2003-97345
    • Patentschrift 3: Japanische ungeprüfte Patentanmeldung Nr. 2014-32558
  • KURZDARSTELLUNG DER ERFINDUNG
  • DURCH DIE ERFINDUNG ZU LÖSENDES PROBLEM
  • Die in Patentschrift 2 offenbarte Technik hat hier ein Problem, dass es keine Gegenmaßnahme gegen einen Fall gibt, in dem die Rücksetzfunktion der CPU, die ein Steuerungsprozessor ist, nicht normal funktioniert, selbst wenn ein Rücksetzsignal gegeben ist. Ferner hat die in Patentschrift 2 offenbarte Technik ein Problem, dass selbst wenn die Rücksetzfunktion der CPU, die der Steuerungsprozessor ist, normal funktioniert, ein normaler Betrieb der CPU nach einem Rücksetzen der CPU nicht sichergestellt ist. Die in Patentschrift 2 und 3 offenbarte Technik hat ein Problem, dass in einem Fall, in dem der Betrieb des Überwachungszeitgebers anormal wird, es schwierig ist, das Antriebssteuerungssystem in einem sicheren Zustand zu halten.
  • Die vorliegende Erfindung ist im Hinblick auf die oben beschriebene Situation bereitgestellt. Die erste Aufgabe der Erfindung ist es, eine Antriebssteuerungsvorrichtung bereitzustellen, die ein Antriebssteuerungssystem in einem sicheren Zustand halten kann, selbst in einem Fall, in dem eine Betriebsanomalie, die verhindert, dass ein Steuerungsprozessor normal funktioniert, oder eine Betriebsanomalie, die nach einem Zurücksetzen des Steuerungsprozessors ungelöst ist, in dem Steuerungsprozessor erfolgt. Die zweite Aufgabe der Erfindung ist es, die Antriebssteuerungsvorrichtung bereitzustellen, die das Antriebssteuerungssystem in einem sicheren Zustand selbst in einem Fall halten kann, in dem eine Betriebsanomalie in dem Überwachungszeitgeber selbst erfolgt.
  • MITTEL ZUR LÖSUNG DES PROBLEMS
  • Die vorliegende Erfindung stellt eine Antriebssteuerungsvorrichtung bereit, dadurch gekennzeichnet, dass sie einen Steuerungsprozessor, der konfiguriert ist, um ein Steuersignal zu erzeugen, und einen Überwachungszeitgeber aufweist, der konfiguriert ist, um einen Zeitgeberwert als Reaktion auf ein Rücksetzsignal zurückzusetzen, das von dem Steuerungsprozessor geliefert wird, und um eine Messung einer Zielzeitgeberzeit zu vervollständigen, nachdem der Zeitgeber derart zurückgesetzt wurde, dass er kontinuierlich ein Abschaltsignal zum Abschalten einer Lieferung des Steuersignals von dem Steuerungsprozessor an eine Steuerungszielvorrichtung abgibt.
  • Gemäß der Erfindung vervollständigt der Überwachungszeitgeber eine Messung der Zeit einer Zielzeitgeberzeit derart, dass er kontinuierlich eine Lieferung des Steuersignals abschaltet, wenn die Lieferung eines Rücksetzsignals von dem Steuerungsprozessor an den Überwachungszeitgeber anhält. Die Steuerungszielvorrichtung kann daher daran gehindert werden, unter einem schlechten Einfluss der Betriebsanomalie in dem Steuerungsprozessor zu leiden, und das Steuerungssystem in einem sicheren Zustand gehalten werden, wenn die Betriebsanomalie, die verhindert, dass der Steuerungsprozessor normal funktioniert, oder die Betriebsanomalie, die nach einem Zurücksetzen des Steuerungsprozessors ungelöst ist, in dem Steuerungsprozessor erfolgt.
  • In einem bevorzugten Modus weist der Steuerungsprozessor ein Diagnosemittel zum Diagnostizieren eines Betriebs des Steuerungsprozessors und ein Verarbeitungsmittel für sicheren Zustandsübergang auf, das den Steuerungsprozessor dazu veranlasst, in einen sicheren Zustand überzugehen, in dem der Betriebsbereich im Vergleich zu dem Betriebsbereich in einem normalen Zustand in einem Fall begrenzt ist, in dem die Anomalie in dem Betrieb des Steuerungsprozessors als existierend diagnostiziert wird.
  • Gemäß diesem Modus, wenn die Betriebsanomalie des Überwachungszeitgebers selbst erfolgt und der Überwachungszeitgeber eine Lieferung eines Steuersignals an die Steuerungszielvorrichtung zu einer Zeit, zu der die Betriebsanomalie in dem Steuerungsprozessor erfolgt, nicht abschalten kann, kann der Steuerungsprozessor in den sicheren Zustand übergehen, und das Antriebssteuerungssystem kann in dem sicheren Zustand gehalten werden.
  • In dem bevorzugten Modus, wiederholt das Diagnosemittel die Diagnose in einem Zyklus, der kürzer als die Zielzeitgeberzeit ist, und gibt das Rücksetzsignal in einem Fall ab, in dem es diagnostiziert wird, um zu bestimmen, dass der Steuerungsprozessor normal ist.
  • Gemäß diesem Modus veranlasst das Verarbeitungsmittel für sicheren Zustandsübergang den Steuerungsprozessor dazu, in einem Fall, in dem das Diagnosemittel diagnostiziert, um zu bestimmen, dass es die Anomalie in dem Betrieb des Steuerungsprozessors gibt, in den sicheren Zustand überzugehen, bevor der Zielzeitgeber das Abschaltsignal abgibt. Daher kann die Sicherheit der Steuerungszielvorrichtung sichergestellt werden.
  • In dem bevorzugten Modus veranlasst das Verarbeitungsmittel für sicheren Zustandsübergang den Steuerungsprozessor dazu, ein Steuersignal zum Einstellen der Steuerungszielvorrichtung in den sicheren Zustand abzugeben, wobei der Betriebsbereich im Vergleich zu dem normalen Zustand in dem Fall begrenzt ist, in dem das Diagnosemittel diagnostiziert, um zu bestimmen, dass die Anomalie in dem Betrieb des Steuerungsprozessors existiert.
  • In diesem Modus ist der Betriebsbereich der Steuerungszielvorrichtung in einem Fall begrenzt, in dem die Betriebsanomalie des Steuerungsprozessors als existierend diagnostiziert wird. Daher kann die Sicherheit der Steuerungszielvorrichtung sichergestellt werden.
  • In dem bevorzugten Modus hält das Verarbeitungsmittel für sicheren Zustandsübergang eine Abgabe des Steuersignals von dem Steuerungsprozessor an, wenn die Betriebsanomalie des Steuerungsprozessors als existierend diagnostiziert wird.
  • Gemäß diesem Modus ist es möglich, den Einfluss der Betriebsanomalie in dem Steuerungsprozessor davon abzuhalten, auf die Steuerungszielvorrichtung zu wirken, nachdem die Betriebsanomalie des Steuerungsprozessors als existierend diagnostiziert wurde.
  • In dem bevorzugten Modus veranlasst das Verarbeitungsmittel für sicheren Zustandsübergang den Steuerungsprozessor dazu, ein Steuersignal für die Steuerungszielvorrichtung zum Übergehen in einen vorbestimmten sicheren Zustand in Übereinstimmung mit einem Zeitablauf in dem Fall abzugeben, in dem das Diagnosemittel diagnostiziert, um zu bestimmen, dass die Anomalie in dem Betrieb des Steuerungsprozessors existiert.
  • Gemäß diesem Modus kann der Antriebszustand der Steuerungszielvorrichtung dazu veranlasst werden, schrittweise in den sicheren Zustand gemeinsam mit dem Zeitablauf in dem Fall überzugehen, in dem die Anomalie in dem Betrieb des Steuerungsprozessors als existierend diagnostiziert wird. Daher ist es möglich, den Betrieb der Steuerungszielvorrichtung davon abzuhalten, instabil zu sein.
  • In dem bevorzugten Modus weist der Steuerungsprozessor ein Kommunikationsmittel auf, das die Betriebsanomalie in dem Steuerungsprozessor in dem Fall meldet, in dem das Diagnosemittel diagnostiziert, um zu bestimmen, dass die Anomalie in dem Betrieb des Steuerungsprozessors existiert. Gemäß diesem Modus kann die übergeordnete Steuerung die Betriebsanomalie in dem Steuerungsprozessor erkennen.
  • In dem bevorzugten Modus stellt das Verarbeitungsmittel für sicheren Zustandsübergang den Steuerungsprozessor in dem Fall in einen Haltezustand, in dem das Diagnosemittel diagnostiziert, um zu bestimmen, dass die Anomalie in dem Betrieb des Steuerungsprozessors existiert. Gemäß diesem Modus ist es möglich, die Betriebsanomalie in dem Steuerungsprozessor davon abzuhalten, aufzufallen, weil der Steuerungsprozessor in dem Haltezustand ist.
  • WIRKUNGEN DER ERFINDUNG
  • Wie oben beschrieben, kann die Steuerungszielvorrichtung gemäß der Erfindung davon abgehalten werden, unter dem schlechten Einfluss der Betriebsanomalie in dem Steuerungsprozessor zu leiden, und das Antriebssteuerungssystem kann in dem sicheren Zustand gehalten werden, wenn die Betriebsanomalie, die den Steuerungsprozessor davon abhält, normal zurückgesetzt zu werden, oder die Betriebsanomalie, die nach einem Zurücksetzen des Steuerungsprozessors ungelöst ist, in dem Steuerungsprozessor erfolgt.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein Blockdiagramm, das ein Antriebssteuerungssystem darstellt, das eine Antriebssteuerungsvorrichtung 1 einer Ausführungsform der vorliegenden Erfindung aufweist.
  • 2 ist ein Flussdiagramm eines Steuerungsprozessors 11 der Antriebssteuerungsvorrichtung 1.
  • 3 ist ein Flussdiagramm eines Sichere-Funktion-Diagnosevorgangs, der durch den Steuerungsprozessors 11 durchgeführt wird.
  • 4 ist ein Zeitdiagramm, das ein erstes Betriebsbeispiel des Steuerungsprozessor 11 darstellt.
  • 5 ist ein Zeitdiagramm, das ein zweites Betriebsbeispiel des Steuerungsprozessors 11 darstellt.
  • 6 ist ein Zeitdiagramm, das ein drittes Betriebsbeispiel des Steuerungsprozessors 11 darstellt.
  • 7 ist ein Zeitdiagramm, das ein Betriebsbeispiel des Steuerungsprozessors auf einer weiteren Ausführungsform der vorliegenden Erfindung darstellt.
  • MODUS ZUR AUSFÜHRUNG DER ERFINDUNG
  • Eine Beschreibung von Ausführungsformen der vorliegenden Erfindung ist unten gegeben, mit Verweis auf die 1 bis 7.
  • 1 ist ein Blockdiagramm, das ein Antriebssteuerungssystem darstellt, das eine Antriebssteuerungsvorrichtung 1 einer Ausführungsform der vorliegenden Erfindung aufweist. Wie in 1 dargestellt, weist dieses Antriebssteuerungssystem eine Antriebssteuerungsvorrichtung 1, eine übergeordnete Steuerung 2, einen Schaltkreis 3, eine Treiberschaltung 4, die eine Steuerungszielvorrichtung der Antriebssteuerungsvorrichtung 1 ist, und einen Aktuator 5 auf.
  • Die übergeordnete Steuerung 2 weist ein Steuerungsgerät, wie eine steuerprogrammierbare Steuerung (SPS), und ein Sicherheitsgerät, wie ein Sicherheitsrelais, auf. Die übergeordnete Steuerung 2 liefert das Steuerbefehlssignal, das basierend auf einem Betrieb oder dem Willen durch den Benutzer an die Antriebssteuervorrichtung 1 erzeugt wird. Die übergeordnete Steuerung 2 erzeugt ferner das Sicherungssignal und liefert in einem Fall das Sicherungssignal an die Antriebssteuerungsvorrichtung 1, in dem ein Auftreten von Gefahren, wie ein Nähern eines Arbeiters dem Aktuator 5, oder in einem Fall, in dem ein Not-Aus-Knopf in einem Antriebssteuerungssystem gedrückt wird. Ferner empfängt die übergeordnete Steuerung 2 von der Antriebssteuerungsvorrichtung 1 ein Anomaliemeldesignal, das für eine Anomalie eines Steuerungsprozessors 11 (unten beschrieben) der Antriebssteuerungsvorrichtung 1 indikativ ist, und führt einen Vorgang entsprechend dem Anomaliemeldesignal durch, wie ein Erzeugen eines Alarms.
  • Der Schaltkreis 3 ist zwischen der Antriebssteuerungsvorrichtung 1 und der Treiberschaltung 4 bereitgestellt. Dieser Schaltkreis 3 liefert gewöhnlich eine Steuersignalabgabe durch die Antriebssteuerungsvorrichtung 1 an die Treiberschaltung 4. Wenn ein Abschaltsignal durch die Antriebssteuerungsvorrichtung 1 angewendet wird, wird jedoch der Schaltkreis 3 ausgeschaltet, um die Lieferung des Steuersignals von der Antriebssteuerungsvorrichtung 1 an die Treiberschaltung 4 abzuschalten.
  • Die Treiberschaltung 4 ist zum Beispiel ein Hauptkreis des Wechselrichters und durch mehrere Schaltelemente ausgebildet. Die Treiberschaltung 4 schaltet das Schaltelement basierend auf dem Steuersignal ein, das von der Antriebssteuerungsvorrichtung 1 geliefert wird, um eine Antriebsspannung an den Aktuator 5 durch das Schaltelement zu liefern. Der Aktuator 5 ist zum Beispiel ein Motor.
  • Die Antriebssteuerungsvorrichtung 1 erzeugt ein Steuersignal basierend auf dem Steuerbefehlssignal oder dem Sicherungssignal, liefert das Steuersignal durch den Schaltkreis 3 an die Treiberschaltung 4, um den Antrieb des Aktuators 5 zu steuern. Bezugnehmend auf 1, weist diese Antriebssteuerungsvorrichtung 1 einen Steuerungsprozessor 11 und einen Überwachungszeitgeber (nachfolgend WDT genannt) 12 auf. Der WDT 12 weist einen Zähler zum Zählen eines Taktes auf, der einen vorbestimmten Zyklus hat. Wenn ein Rücksetzsignal von dem Steuerungsprozessor 11 geliefert wird, stellt der WDT 12 einen Zählwert (anders gesagt, einen Zeitgeberwert) des Taktes auf Null ein. Ferner liefert der WDT 12 kontinuierlich das Abschaltsignal an den Schaltkreis 3, wenn der Zeitgeberwert eine vorbestimmte Zielzeitgeberzeit erreicht.
  • Der Steuerungsprozessor 11 ist ein Mittel zum Erzeugen eines Steuersignals zum Steuern des Aktuators 5 basierend auf dem Steuerbefehlssignal oder dem Sicherungssignal, wobei jedes der beiden von der übergeordneten Steuerung 2 geliefert wird. Dieser Steuerungsprozessor 11 ist eine CPU, in der ein CPU-Kern, ein ROM, der ein Programm speichert, das durch den CPU-Kern ausgeführt wird, und ein RAM, der als Arbeitsbereich durch den CPU-Kern benutzt wird. Bezugnehmend auf 1, werden der CPU-Kern, der ROM und der RAM in der Darstellung nicht aufgeführt. Die Funktionen, die durch den CPU-Kern (nachfolgend einfach Steuerungsprozessor 11 genannt) des Steuerungsprozessors 11 zum Ausführens des Programms innerhalb des ROM realisiert werden, können grob, wie in 1 dargestellt, in eine Kommunikationsverarbeitungseinheit 111, eine Verarbeitungseinheit für Befehlseingang 112, eine Verarbeitungseinheit für Aktuatorsteuerung 113, eine Diagnoseverarbeitungseinheit 114, eine Verarbeitungseinheit für Steuersignalausgang 115 und eine Verarbeitungseinheit für sicheren Zustandsübergang 116 eingeteilt werden.
  • Die Kommunikationsverarbeitungseinheit 111 ist ein Mittel zum Empfangen des Steuerbefehlssignals und des Sicherungssignals von der übergeordneten Steuerung 2. In einem Fall, in dem die Kommunikationsverarbeitungseinheit 111 das Anomaliemeldesignal von der Verarbeitungseinheit für sicheren Zustandsübergang 116 empfängt, sendet die Kommunikationsverarbeitungseinheit 111 das Anomaliemeldesignal an die übergeordnete Steuerung 2. Anschließend weist die Kommunikationsverarbeitungseinheit 111 den Empfang des Steuerbefehlssignals und des Sicherungssignals von der übergeordneten Steuerung 2 zurück. In einem Fall, in dem die übergeordnete Steuerung 2 den Inhalt des Anomaliemeldesignals bestimmt und ein Antwortbefehlssignal sendet, empfängt die Kommunikationsverarbeitungseinheit 111 jedoch dieses Antwortbefehlssignal und startet den Empfang des Steuerbefehlssignals und des Sicherungssignals von der übergeordneten Steuerung 2 neu. Die Verarbeitungseinheit für Befehlseingang 112 ist ein Mittel zum Übertragen des Steuerbefehlssignals und des Sicherungssignals von der übergeordneten Steuerung 2 durch die Kommunikationsverarbeitungseinheit 111. Die Verarbeitungseinheit für Aktuatorsteuerung 113 ist ein Mittel zum Ausführen eines Berechnungsvorgangs, bei dem ein Steuersignal erzeugt wird, das benutzt wird, um eine Antriebssteuerung des Aktuators 5 basierend auf dem Steuerbefehlssignal und dem Sicherungssignal durchzuführen.
  • Zum Beispiel in einem Fall, in dem der Aktuator 5 ein Motor ist und die Treiberschaltung 4 ein Hauptkreis des Wechselrichters ist, der den Motor antreibt, erzeugt die Verarbeitungseinheit für Aktuatorsteuerung 113 ein Signal einer Pulsweitenmodulation (PWM) zum AN/AUS-Steuern jedes Schaltelements der Treiberschaltung 4. Zu dieser Zeit steuert die Verarbeitungseinheit für Aktuatorsteuerung 113, um die Pulsweite des PWM-Signals, das das Steuersignal ist, als Reaktion auf das Steuerbefehlssignal und das Sicherungssignal zu erhöhen oder zu verringern.
  • Die Verarbeitungseinheit für Steuersignalausgang 115 ist ein Mittel zum Abgeben eines Steuersignals, das durch die Verarbeitungseinheit für Aktuatorsteuerung 113 von dem Steuerungsprozessor 11 erzeugt wird. In einem Fall, in dem die Verarbeitungseinheit für Steuersignalausgang 115 ein Haltesignal von der Verarbeitungseinheit für sicheren Zustandsübergang 116 empfängt, hält die Verarbeitungseinheit für Steuersignalausgang 115 die Abgabe des Steuersignals an.
  • Die Diagnoseverarbeitungseinheit 114 ist ein Mittel zum Diagnostizieren, um zu bestimmen, ob der Betrieb der Verarbeitungseinheit für Aktuatorsteuerung 113 normal oder anormal ist. Wie in 11 dargestellt, weist die Diagnoseverarbeitungseinheit 114 eine Verarbeitungseinheit für Programmsequenzdiagnose 1141 und eine Verarbeitungseinheit für sichere Funktionsdiagnose 1142 auf. Die Verarbeitungseinheit für Programmsequenzdiagnose 1141 ist hier ein Mittel zum Diagnostizieren, ob der Betrieb des Erzeugens des Steuersignals als Reaktion auf das Steuerbefehlssignal aus dem Betrieb der Verarbeitungseinheit für Aktuatorsteuerung 113 normal oder anormal ist. Die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 ist hier ein Mittel zum Diagnostizieren, ob der Betrieb des Erzeugens des Steuersignals als Antwort auf das Sicherungssignal aus dem Betrieb der Verarbeitungseinheit für Aktuatorsteuerung 113 normal oder anormal ist.
  • In der Diagnose oben erfassen die Verarbeitungseinheit für Programmsequenzdiagnose 1141 und die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 eine Anomalie der ALU des Steuerungsprozessors 11, der in der Verarbeitungseinheit für Aktuatorsteuerung 113 benutzt wird, eine Anomalie des Datenpfads, eine Anomalie des Verzeichnisses, eine Anomalie des internen RAM, eine Anomalie eines Adressberechnungsmittels, eine Anomalie eines Unterbrechungsverarbeitungsmittels, eine Anomalie einer Steuerlogik und/oder eine Anomalie eines Konfigurationsverzeichnisses.
  • Die Diagnoseverarbeitungseinheit 114 wiederholt einen Diagnosevorgang zyklisch unter Verwendung der Verarbeitungseinheit für Programmsequenzdiagnose 1141 und einen Diagnosevorgang unter Verwendung der Verarbeitungseinheit für sichere Funktionsdiagnose 1142. In einem Fall, in dem ein Diagnoseergebnis, das für einen normalen Betrieb der Verarbeitungseinheit für Aktuatorsteuerung 113 indikativ ist, erhalten wird, liefert die Diagnoseverarbeitungseinheit 114 ein Rücksetzsignal an den WDT 12. Ferner führt die Verarbeitungseinheit für sicheren Zustandsübergang 116 einen Diagnosevorgang unter der Verwendung der Verarbeitungseinheit für Programmsequenzdiagnose 1141 oder einen Diagnosevorgang unter Verwendung der Verarbeitungseinheit für sichere Funktionsdiagnose 1142 durch. In einem Fall, in dem ein Diagnoseergebnis, das für einen anormalen Betrieb der Verarbeitungseinheit für Aktuatorsteuerung 113 indikativ ist, bestimmt wird, wird ein Anomaliesignal an die Verarbeitungseinheit für sicheren Zustandsübergang 116 abgegeben. Dieses Anomaliesignal weist Informationen auf, die anzeigen, dass der Steuerungsprozessor 11 anormal ist, und Informationen, die für den Inhalt der Anomalie indikativ ist.
  • In einem Fall, in dem die Diagnoseverarbeitungseinheit 114 diagnostiziert, um zu bestimmen, dass eine Anomalie in dem Betrieb der Verarbeitungseinheit für Aktuatorsteuerung 113 existiert, funktioniert die Verarbeitungseinheit für sicheren Zustandsübergang 116 wie ein Verarbeitungsmittel für sicheren Zustandsübergang, das den Steuerungsprozessor 11 dazu veranlasst, in einen sicheren Zustand überzugehen, in dem der Betriebsbereich weiter begrenzt ist als der Betriebsbereich in dem normalen Zustand. Insbesondere innerhalb der Ausführungsform ist der sichere Zustand ein Zustand, in dem der Steuerungsprozessor 11 gehalten wird (der interne Zustand wird nicht verändert), und das Steuersignal wird nicht erzeugt und abgegeben. In einem Fall, in dem die Verarbeitungseinheit für sicheren Zustandsübergang 116 das Anomaliesignal von einer Diagnoseverarbeitungseinheit 114 empfängt, gibt die Verarbeitungseinheit für sicheren Zustandsübergang 116 das Haltesignal an die Verarbeitungseinheit für Steuersignalausgang 115 ab, gibt das Anomaliesignal als ein Anomaliemeldesignal an die Kommunikationsverarbeitungseinheit 111 ab und stellt den Steuerungsprozessor 11 in den Haltezustand ein.
  • Die Struktur dieser Ausführungsform ist wie oben beschrieben.
  • Der Betrieb dieser Ausführungsform wird nachfolgend beschrieben. 2 ist ein Flussdiagramm, das die Inhaltsverarbeitung durch den Steuerungsprozessor 11 darstellt. Wenn ein Hochfahrbefehl durch die Lieferung von elektrischer Energie an die Antriebssteuerungsvorrichtung 1 erzeugt wird, wird Schritt S101 durch die Verarbeitungseinheit für Programmsequenzdiagnose 1141 durchgeführt, um einen Programmsequenz-Diagnosevorgang auszuführen. Dieser Programmsequenz-Diagnosevorgang ist für den Betrieb zum Erzeugen des Steuersignals als Reaktion auf das Steuerbefehlssignal aus dem Betrieb der Verarbeitungseinheit für Aktuatorsteuerung 113 bereitgestellt.
  • Anschließend bestimmt die Verarbeitungseinheit für Programmsequenzdiagnose 1141 in Schritt S102, ob das Diagnoseergebnis normal oder anormal ist. In einem Fall, in dem das Diagnoseergebnis anzeigt, dass der Betrieb der Verarbeitungseinheit für Aktuatorsteuerung 113 anormal ist, geht der Vorgang zu Schritt S110 über. In einem Fall, in dem das Diagnoseergebnis anzeigt, dass der Betrieb der Verarbeitungseinheit für Aktuatorsteuerung 113 normal ist, geht der Vorgang zu Schritt S103 über.
  • Anschließend führt die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 in Schritt S103 einen Sichere-Funktion-Diagnosevorgang durch. Dieser Programmsequenz-Diagnosevorgang ist für den Betrieb zum Erzeugen des Steuersignals als Reaktion auf das Sicherungssignal aus dem Betrieb der Verarbeitungseinheit für Aktuatorsteuerung 113 bereitgestellt.
  • Anschließend bestimmt die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 in Schritt S104, ob das Diagnoseergebnis des Sichere-Funktion-Diagnosevorgangs normal oder anormal ist. In einem Fall, in dem das Diagnoseergebnis anzeigt, dass der Betrieb der Verarbeitungseinheit für Aktuatorsteuerung 113 anormal ist, geht der Vorgang zu Schritt S110 über. In einem Fall, in dem das Diagnoseergebnis anzeigt, dass der Betrieb der Verarbeitungseinheit für Aktuatorsteuerung 113 normal ist, geht der Vorgang zu Schritt S105 über.
  • Anschließend gibt die Diagnoseverarbeitungseinheit 114 in Schritt S105 ein Rücksetzsignal an den WDT 12 ab, um den Zeitgeberwert des WDT 12 zurückzusetzen. Anschließend führt die Verarbeitungseinheit für Aktuatorsteuerung 113 in Schritt S106 einen Aktuatorsteuerungsvorgang als einen ursprünglichen Zweck durch. In diesem Aktuatorsteuerungsvorgang bekommt die Verarbeitungseinheit für Aktuatorsteuerung 113 das Steuerbefehlssignal oder das Sicherungssignal von der Verarbeitungseinheit für Befehlseingang 112, erzeugt das Steuersignal basierend auf dem Steuerbefehlssignal oder dem Sicherungssignal und liefert das erzeugte Steuersignal an die Verarbeitungseinheit für Steuersignalausgang 115.
  • Nach Abschluss dieses Schritts S106 geht der Vorgang zu Schritt S101 über. Danach, solange der Betrieb der Verarbeitungseinheit für Aktuatorsteuerung 113 in den Diagnoseergebnissen des Programmsequenz-Diagnosevorgangs (Schritt S101) und des Sichere-Funktion-Diagnosevorgangs (Schritt S103) normal ist, werden die Vorgänge von Schritt S101, S102, S103, S104, S105, S106 und S101 in dieser Reihenfolge widerholt.
  • In der Zwischenzeit, wenn das Diagnoseergebnis anzeigt, dass der Betrieb der Verarbeitungseinheit für Aktuatorsteuerung 113 in der Bestimmung in Schritt S102 oder Schritt S104 anormal ist, geht der Vorgang zu Schritt S110 über. In diesem Schritt S110, gibt die Diagnoseverarbeitungseinheit 114 das Anomaliesignal an die Verarbeitungseinheit für sicheren Zustandsübergang 116 ab. Die Verarbeitungseinheit für sicheren Zustandsübergang 116 gibt ein Anomaliemeldesignal an die Kommunikationsverarbeitungseinheit 111 ab. Hiermit sendet die Kommunikationsverarbeitungseinheit 111 das Anomaliemeldesignal an die übergeordnete Steuerung 2. Danach weist die Kommunikationsverarbeitungseinheit 111 den Empfang des Steuerbefehlssignals und des Sicherungssignals jeweils von der übergeordneten Steuerung 2 zurück. In einem Fall, in dem die übergeordnete Steuerung 2 den Inhalt des Anomaliemeldesignals bestimmt und das Antwortbefehlssignal sendet, empfängt die Kommunikationsverarbeitungseinheit 111 jedoch dieses Antwortbefehlssignal und startet den Empfang des Steuerbefehlssignals und des Sicherungssignals jeweils von der übergeordneten Steuerung 2 neu. Anschließend führt die Verarbeitungseinheit für sicheren Zustandsübergang 116 in Schritt S111 einen Vorgang durch, um in den sicheren Zustand überzugehen. Insbesondere gibt die Verarbeitungseinheit für sicheren Zustandsübergang 116 ein Haltesignal an die Verarbeitungseinheit für Steuersignalausgang 115 ab. Hiermit hält die Verarbeitungseinheit für Steuersignalausgang 115 die Abgabe des Steuersignals von der Verarbeitungseinheit für Aktuatorsteuerung 113 nach außen an. Ferner hält die Verarbeitungseinheit für sicheren Zustandsübergang 116 einen internen Takt an den Steuerungsprozessor 11 an, um den Steuerungsprozessor 11 in den Haltezustand zu bringen, und schließt dann den Vorgang, der in 2 dargestellt ist, ab.
  • 3 ist ein Flussdiagramm, das für die Vorgangsinhalte des Sichere-Funktion-Diagnosevorgangs in Schritt S103 indikativ ist. Nachdem der Sichere-Funktion-Diagnosevorgang gestartet wurde, geht die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 zu Schritt S201 über, liest die Eingangsdaten für eine sichere Funktionsdiagnose von dem ROM und speichert die gelesenen Eingangsdaten in dem RAM. Anschließend liefert die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 in Schritt S202 die Eingangsdaten an die Verarbeitungseinheit für Aktuatorsteuerung 113 und veranlasst die Verarbeitungseinheit für Aktuatorsteuerung 113 dazu, basierend auf den Eingangsdaten zu rechnen. Anschließend schreibt die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 in Schritt S203 das Rechenergebnis, das durch die Verarbeitungseinheit für Aktuatorsteuerung 113 erhalten wurde, in den RAM. Anschließend liest die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 in Schritt S204 die Eingangsdaten für die sichere Funktionsdiagnose wieder von dem ROM und speichert die Eingangsdaten in dem RAM. Anschließend liefert die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 in Schritt S205 die Eingangsdaten an die Verarbeitungseinheit für Aktuatorsteuerung 113 und veranlasst die Verarbeitungseinheit für Aktuatorsteuerung 113 dazu, basierend auf den Eingangsdaten wieder zu rechnen. Anschließend schreibt die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 in Schritt S206 das Rechenergebnis, das durch die Verarbeitungseinheit für Aktuatorsteuerung 113 erhalten wurde, in den RAM. Anschließend vergleicht die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 in Schritt S207 das Rechenergebnis, das in den RAM in Schritt S203 geschrieben wurde, mit dem Rechenergebnis, das in den RAM in Schritt S206 geschrieben wurde, und diagnostiziert, um zu bestimmen, ob diese Rechenergebnisse gleich sind.
  • In einem Fall, in dem das Bestimmungsergebnis in Schritt S207 „NEIN” ist, geht der Vorgang zu Schritt S208 über. Anschließend diagnostiziert die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 in Schritt S208, um zu bestimmen, dass die Verarbeitungseinheit für Aktuatorsteuerung 113 anormal ist und schließt den Sichere-Funktion-Diagnosevorgang ab.
  • In einem Fall, in dem das Bestimmungsergebnis in Schritt S207 „JA” ist, geht der Vorgang zu Schritt S210 über. Anschließend liest die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 in Schritt S210 die Testdaten für die sichere Funktionsdiagnose von dem ROM und speichert die Testdaten in dem RAM. Anschließend veranlasst die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 in Schritt S211 die Verarbeitungseinheit für Aktuatorsteuerung 113 dazu, basierend auf diesen Testdaten zu rechnen. Anschließend schreibt die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 in Schritt S212 das Rechenergebnis, das durch die Verarbeitungseinheit für Aktuatorsteuerung 113 erhalten wurde, in den RAM. Anschließend liest die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 in Schritt S213 den Bestimmungswert als Erwartungswert basierend auf den Testdaten von dem ROM. Anschließend vergleicht die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 in Schritt S214 das Rechenergebnis, das in dem RAM in Schritt S212 geschrieben wurde, mit dem Bestimmungswert, der aus dem ROM in Schritt S213 gelesen wurde, und diagnostiziert, um zu bestimmen, ob das Rechenergebnis und der Bestimmungswert gleich sind. In einem Fall, in dem das Bestimmungsergebnis in Schritt S217 „NEIN” ist, geht der Vorgang zu dem Schritt S208 oben über. In einem Fall, in dem das Bestimmungsergebnis in Schritt S214 „JA” ist, geht der Vorgang zu Schritt S215 über. Anschließend diagnostiziert die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 in Schritt S215, um zu bestimmen, dass die Verarbeitungseinheit für Aktuatorsteuerung 113 normal ist, und schließt den Sichere-Funktion-Diagnosevorgang ab.
  • Der Inhalt des Sichere-Funktion-Diagnosevorgangs in Schritt S103, der in 3 dargestellt ist, ist oben beschrieben. Der Inhalt des Programmsequenz-Diagnosevorgangs in Schritt S101 ist dem Inhalt des Sichere-Funktion-Diagnosevorgangs ähnlich.
  • 4 bis 6 sind Zeitdiagramme, die Betriebsbeispiele der Ausführungsformen darstellen. 4 stellt ein Betriebsbeispiel in einem Fall dar, in dem die Verarbeitungseinheit für Aktuatorsteuerung 113 sowohl in dem Programmsequenz-Diagnosevorgang (Schritt S101) als auch in dem Sichere-Funktion-Diagnosevorgang (Schritt S103) in 2 als normal bestimmt wird. In diesem Fall, wie in 4 dargestellt, wiederholt der Steuerungsprozessor 11 zyklisch den Programmsequenz-Diagnosevorgang, den Sichere-Funktion-Diagnosevorgang und den Aktuatorsteuerungsvorgang.
  • Hier ist eine Zielzeitgeberzeit, während der WDT 12 nach einem Zurücksetzen des WDT 12 abgelaufen ist, länger als eine erforderliche Gesamtzeit für den Programmsequenz-Diagnosevorgang, den Sichere-Funktion-Diagnosevorgang und den Aktuatorsteuerungsvorgang für einen Zyklus. Nachdem der WDT 12 zurückgesetzt wurde, bevor der Zeitgeberwert des WDT 12 die Zielzeitgeberzeit erreicht, wird die Verarbeitungseinheit für Aktuatorsteuerung 113 daher sowohl in dem Programmsequenz-Diagnosevorgang (Schritt S101) als auch dem Sichere-Funktion-Diagnosevorgang (S103) als normal bestimmt, wobei der WDT 12 zurückgesetzt wird. Der WDT 12 ist daher nicht abgelaufen, und der Schaltkreis ist daher nicht abgeschaltet.
  • Ferner, einem Fall, in dem die Verarbeitungseinheit für Aktuatorsteuerung 113 sowohl in dem Programmsequenz-Diagnosevorgang (Schritt S101) als auch in dem Sichere-Funktion-Diagnosevorgang (Schritt S103) als normal bestimmt wird, gibt die Diagnoseverarbeitungseinheit 114 das Anomaliesignal nicht ab, und die Verarbeitungseinheit für sicheren Zustandsübergang 116 gibt das Haltesignal an die Verarbeitungseinheit für Steuersignalausgang 115 nicht ab. Dementsprechend gibt die Verarbeitungseinheit für Steuersignalausgang 115 das Steuersignal, das durch die Verarbeitungseinheit für Aktuatorsteuerung 113 erzeugt wird, ab, und der Schaltkreis 3 liefert dieses Steuersignal an die Treiberschaltung 4.
  • 5 stellt ein Betriebsbeispiel dar, bei dem die Anomalie des Betriebs der Verarbeitungseinheit für Aktuatorsteuerung in dem Programmsequenz-Diagnosevorgang (Schritt S101) bestimmt wird, der in 2 dargestellt ist, und das Anomaliesignal wird von der Diagnoseverarbeitungseinheit 114 zu einer Zeit t1 abgegeben (Schritt S110 in 2). Die Verarbeitungseinheit für sicheren Zustandsübergang 116 gibt insbesondere das Haltesignal an die Verarbeitungseinheit für Steuersignalausgang 115 ab, wenn dieses Anomaliesignal abgegeben wird. Folglich, wie in 5 dargestellt, hält die Verarbeitungseinheit für Steuersignalausgang 115 die Abgabe des Steuersignals, das durch die Verarbeitungseinheit für Aktuatorsteuerung 113 erzeugt wird, an.
  • Innerhalb der Ausführungsform ist die Zielzeitgeberzeit des WDT 12 länger als der Zyklus, in dem der Programmsequenz-Diagnosevorgang wiederholt wird. Wie in 5 beispielhaft dargestellt, erreicht daher der Zeitgeberwert des WDT 12 die Zielzeitgeberzeit zu einem Zeitpunkt t2 später als zu einem Zeitpunkt t1, und der WDT 12 gibt das Abschaltsignal an den Schaltkreis 3 ab. Folglich wird der Schaltkreis 3 ausgeschaltet.
  • Gemäß dieser Ausführungsform, in einem Fall, in dem die Verarbeitungseinheit für Programmsequenzdiagnose 1141 die Betriebsanomalie des Steuerungsprozessors 11 erfasst, hält die Verarbeitungseinheit für sicheren Zustandsübergang 116 die Abgabe des Steuersignals an, bevor der WDT 12 den Schaltkreis 3 abschaltet. Der Betrieb ist in einem Fall ähnlich, in dem die Verarbeitungseinheit für sichere Funktionsdiagnose 1142 die Betriebsanomalie des Steuerungsprozessors 11 erfasst. Daher kann ein fehlerhafter Betrieb des Steuerungsprozessors 11, selbst in einer Situation, in der der WDT 12 nicht normal arbeiten kann, davon abgehalten werde, die Steuerungszielvorrichtung, wie zum Beispiel die Treiberschaltung 4 oder den Aktuator 5, zu beeinflussen.
  • Ferner wird innerhalb der Ausführungsform das Anomaliemeldesignal an die übergeordnete Steuerung 2 von dem Steuerungsprozessor abgegeben. Daher kann die übergeordnete Steuerung 2 die Betriebsanomalie des Steuerungsprozessors erkennen, um angemessen die Betriebsanomalie zu behandeln. Innerhalb der Ausführungsform, geht der Zustand des Steuerungsprozessors 11 ferner in den Haltezustand durch den Steuerungsprozessor 11 selbst über, wenn die Anomalie als existierend diagnostiziert wird. Daher ist es möglich, den Steuerungsprozessor 11 davon abzuhalten, mit der Betriebsanomalie fortzufahren und den Steuerungsprozessor 11 davon abzuhalten, einen fatalen Fehler zu durchlaufen.
  • 6 stellt ein Betriebsbeispiel dar, bei dem die Verarbeitungseinheit für Programmsequenzdiagnose 1141 die Ausführung des Programmsequenz-Diagnosevorgangs (Schritt S101), der in 2 dargestellt ist, startet, wonach die Betriebsanomalie in der Verarbeitungseinheit für Programmsequenzdiagnose 1141 erfolgt und der Zeitgeberwert des WDT 12 die Zielzeitgeberzeit zu einem Zeitpunkt t3 erreicht, ohne dass das Rücksetzsignal durch die Diagnoseverarbeitungseinheit 114 abgegeben wird. Innerhalb der Ausführungsform, in einem Fall, in dem die Betriebsanomalie in der Verarbeitungseinheit für Programmsequenzdiagnose 1141 erfolgt, erreicht der Zeitgeberwert die Zielzeitgeberzeit, der Schaltkreis 3 wird durch das Abschaltsignal ausgeschaltet und der fehlerhafte Betrieb des Steuerungsprozessors 11 wird daher davon abgehalten, die Steuerungszielvorrichtung, wie die Treiberschaltung 4 und den Aktuator 5, zu beeinflussen. Der Betrieb ist in einem Fall ähnlich, in dem die Betriebsanomalie in der Verarbeitungseinheit für sichere Funktionsdiagnose 1142 erfolgt.
  • [Weitere Ausführungsformen]
  • Die Ausführungsform der vorliegenden Erfindung wurde oben beschrieben. Es gibt jedoch weitere Ausführungsformen in der vorliegenden Erfindung. Zum Beispiel gibt es die folgenden Ausführungsformen.
    • (1) Innerhalb der Ausführungsform oben rechnet die Verarbeitungseinheit für Aktuatorsteuerung 113, in Schritt S201 bis S2016, in 3 dargestellt, basierend auf den Eingangsdaten doppelt, und die Verarbeitungseinheit für Programmsequenzdiagnose 1141 vergleicht die Rechenergebnisse in Schritt S207. Die Anzahl der Berechnungen ist jedoch nicht auf zwei begrenzt. Die Verarbeitungseinheit für Aktuatorsteuerung 113 kann drei oder mehr Male rechnen, und die Verarbeitungseinheit für Programmsequenzdiagnose 1141 kann die Rechenergebnisse vergleichen. Steigt die Anzahl der Berechnungen, wird es einfacher, die Betriebsanomalie zu erfassen. Eine Last auf dem Steuerungsprozessor 11 steigt jedoch an. Daher kann die Anzahl der Berechnungen als Reaktion auf die Leistung des Steuerungsprozessors 11 angemessen bestimmt werden.
    • (2) Innerhalb der Ausführungsform oben wird der Sichere-Funktion-Diagnosevorgang nach Ausführung des Programmsequenz-Diagnosevorgangs durchgeführt. Diese Reihenfolge kann jedoch umgekehrt werden. Ferner kann der Vorgang von Schritt S201 bis S207 nach dem Vorgang von Schritt S210 bis S214 ausgeführt werden.
    • (3) Innerhalb der Ausführungsform oben wird das Rechenergebnis, das durch die Verarbeitungseinheit für Aktuatorsteuerung 113 erhalten wird, mit dem Bestimmungswert verglichen. Die Betriebsanomalie des Steuerungsprozessors 11 kann jedoch durch ein Vergleichen der erforderlichen Zeit für die Berechnung in der Verarbeitungseinheit für Aktuatorsteuerung 113 mit einer vorbestimmten Referenzzeit erfasst werden. Ferner werden in dem Sichere-Funktion-Diagnosevorgang, der in 3 dargestellt ist, die erforderliche Zeit für die Berechnung in Schritt S202 und die erforderliche Zeit für die Berechnung in Schritt S205 verglichen. Wenn der Unterschied zwischen diesen erforderlichen Zeiten einen vorbestimmten Schwellenwert überschreitet, kann der Betrieb der Verarbeitungseinheit für Aktuatorsteuerung 113 zum Beispiel als anormal diagnostiziert werden. Ferner, in einem Fall, in dem der Steuerungsprozessor 11 mit mehreren Vorgängen parallel zum Beispiel durch eine Mehrbenutzersteuerung fortführt. Die Reihenfolge der Durchführung der mehreren Vorgänge kann überwacht werden. In einem Fall, in dem die Reihenfolge der Vorgänge nicht einer vorbestimmten Reihenfolge entspricht, kann der Betrieb des Steuerungsprozessors 11 als anormal diagnostiziert werden. Alternativ können die erforderlichen Zeiten der Vorgänge mit einer vorbestimmten Referenzzeit verglichen werden, und ein Unterschied zwischen einer der erforderlichen Zeiten und der vorbestimmten Referenzzeit eine vorbestimmte Zeitüberschreiten, wobei der Betrieb des Steuerungsprozessors 11 als anormal diagnostiziert werden kann. Alternativ kann die Bestimmung basierend auf der Reihenfolge der Vorgänge und die Bestimmung basierend auf der erforderlichen Zeit gleichzeitig benutzt werden, um zu diagnostizieren, um zu bestimmen, ob der Betrieb des Steuerungsprozessors 11 anormal ist.
    • (4) Innerhalb der Ausführungsform oben liefert die Verarbeitungseinheit für sicheren Zustandsübergang 116 das Haltesignal an die Verarbeitungseinheit für Steuersignalausgang 115 und die Verarbeitungseinheit für Steuersignalausgang 115 hält die Lieferung des Steuersignals an, wenn die Diagnoseverarbeitungseinheit 114 das Anomaliesignal an die Verarbeitungseinheit für sicheren Zustandsübergang 116 liefert. In diesem Fall kann die Verarbeitungseinheit für sicheren Zustandsübergang 116 jedoch die Verarbeitungseinheit für Aktuatorsteuerung 113 dazu veranlassen, das Steuersignal entsprechend dem sicheren Zustand zu erzeugen, anstatt das Haltesignal an die Verarbeitungseinheit für Steuersignalausgang 115 zu liefern. Hier ist der sichere Zustand ein Antriebszustand des Aktuators 5, dessen Betriebsbereich weiter begrenzt ist als der Betriebsbereich in einem normalen Zustand. Der sichere Zustand weist einen Antriebszustand des Aktuators 5 auf, dessen Geschwindigkeit begrenzt ist, das Anhalten des Aktuators 5. Ferner kann die Verarbeitungseinheit für sicheren Zustandsübergang 116 die Verarbeitungseinheit für Aktuatorsteuerung 113 dazu veranlassen, das Steuersignal entsprechend dem sicheren Zustand in Übereinstimmung mit den Inhalten des Anomaliesignals zu erzeugen. Daher können der Inhalt des Anomaliesignals und der sichere Zustand oder ein Verfahren zum Bestimmen des sicheren Zustands zuvor durch den ROM oder den RAM des Steuerungsprozessors 11 gespeichert werden. In einem Fall, in dem der Steuerungsprozessor 11 diagnostiziert wird, die Betriebsanomalie zu haben, veranlasst die Verarbeitungseinheit für sicheren Zustandsübergang 116 die Verarbeitungseinheit für Aktuatorsteuerung 113 dazu, das Steuersignal zu erzeugen, um den Aktuator 5 in diesen sicheren Zustand zu übersetzen.
  • In einem Fall, in dem der Steuerungsprozessor 11 diagnostiziert wird, die Betriebsanomalie zu haben, veranlasst die Verarbeitungseinheit für sicheren Zustandsübergang 116 die Verarbeitungseinheit für Aktuatorsteuerung 113 dazu, das Steuersignal zu erzeugen, um den Aktuator 5 schrittweise gemeinsam mit einem Zeitablauf in den sicheren Zustand (zum Beispiel in einen Haltezustand) zu überführen.
  • Die Verarbeitungseinheit für sicheren Zustandsübergang 116 gibt vorzugsweise das Haltesignal an die Verarbeitungseinheit für Steuersignalausgang 115 nach einem Ablauf einer vorbestimmten Zeit ab, nachdem eine Anweisung, das Steuersignal entsprechend dem sicheren Zustand zu erzeugen, an die Verarbeitungseinheit für Aktuatorsteuerung 113 gesendet wurde. Die Diagnoseverarbeitungseinheit 114 liefert vorzugsweise weiter das Rücksetzsignal, bis die Verarbeitungseinheit für sicheren Zustandsübergang 116 das Haltesignal an die Verarbeitungseinheit für Steuersignalausgang 115 abgibt. Hiermit wird das Steuersignal durch die Verarbeitungseinheit für Aktuatorsteuerung 113 derart erzeugt, dass es dem sicheren Zustand entspricht, und an die Treiberschaltung 4 geliefert, um den Aktuator 5 während einer vorbestimmten Zeit zu steuern. Diese vorbestimmte Zeit kann eine voreingestellte konstante Zeit sein oder als Reaktion auf die Betriebsgeschwindigkeit des Aktuators 5 zu einer Zeit bestimmt sein, in der die Anomalie in dem Steuerungsprozessor 11 erfasst wird. Gemäß diesem Modus kann ein Unfall, der durch ein plötzliches Anhalten des Aktuators 5 veranlasst wird, vermieden werden.
    • (5) Innerhalb der Ausführungsform oben werden der Programmsequenz-Diagnosevorgang, der Sichere-Funktion-Diagnosevorgang und der Aktuatorsteuerungsvorgang parallel unter Verwendung der Mehrbenutzersteuerung des Programmsequenz-Diagnosevorgangs, des Sichere-Funktion-Diagnosevorgangs und des Aktuatorsteuerungsvorgangs in einer Einheit von Aufgaben fortgeführt, um den Steuerungsprozessor 11 parallel mit der Erzeugung des Steuersignals durch den Steuerungsprozessor 11 zu diagnostizieren. Der Programmsequenz-Diagnosevorgang, der Sichere-Funktion-Diagnosevorgang und der Aktuatorsteuerungsvorgang können jedoch parallel durch die Mehrbenutzersteuerung in einer Zeiteinheit vorgeschoben werden, die kürzer als die Einheit der Aufgabe ist.
  • 7 ist ein Zeitdiagramm, das für einen Modus der Mehrbenutzersteuerung für den Programmsequenz-Diagnosevorgang, den Sichere-Funktion-Diagnosevorgang und den Aktuatorsteuerungsvorgang indikativ ist. In diesem Beispiel ist die Zeitachse in mehrere Zeitschlitze geteilt, die jeweils eine bestimmte Zeitdauer haben. In einem in 7 dargestellten Beispiel ist ein Zeitschlitz a oder b zwischen jedem benachbarten Paar von Zeitschlitzen c aus mehreren Zeitschlitzen c zwischengeordnet. Der Steuerungsprozessor 11 benutzt die mehreren Zeitschlitze c, die diskret sind, um den Aktuatorsteuerungsvorgang auszuführen. Nachdem der Steuerungsprozessor 11 den Programmsequenz-Diagnosevorgang unter Verwendung der Zeitschlitze gleich einer vorbestimmten Anzahl ausgeführt hat, führt der Steuerungsprozessor 11 den Sichere-Funktion-Diagnosevorgang unter Verwendung der Zeitschlitze b gleich einer vorbestimmten Anzahl aus. In einem Fall, in dem der Betrieb des Steuerungsprozessors während des Programmsequenz-Diagnosevorgangs und des Sichere-Funktion-Diagnosevorgangs normal ist, wird der Betrieb des Abgebens des Rücksetzsignals an den WDT 12 zyklisch wiederholt. Gemäß diesem Modus können die Zeitintervalle zwischen den mehreren Aktuatorsteuerungsvorgängen verkürzt werden. Das kurze Intervall ist in einem Fall wirksam, indem die erforderliche Zeit für den Programmsequenz-Diagnosevorgang und/oder den Sichere-Funktion-Diagnosevorgang für einen Zyklus lang ist/sind.
    • (6) Die vorliegende Erfindung ist natürlich auf eine Antriebssteuerungsvorrichtung anwendbar, die eine Mehrkern-CPU, die mehrere CPU-Kerne aufweist, benutzt. In diesem Fall führen die mehreren CPU-Kerne den Aktuatorsteuerungsvorgang aus, und die Rechenergebnisse, die durch die mehreren CPU-Kerne erhalten werden, werden verglichen, um zu diagnostizieren, ob jeder CPU-Kern zum Beispiel die Betriebsanomalie hat. In diesem Fall wird zyklisch geprüft, ob die Anomalie des Betriebs jedes Kerns erfasst wird. In einem Fall, in dem die Anomalie nicht erfasst wird, wird das Rücksetzsignal an den WDT 12 abgegeben. In einem Fall, in dem die Anomalie erfasst wird, kann der Steuerungsprozessor 11 in den sicheren Zustand überführt werden.
    • (7) Innerhalb der Ausführungsform oben wird die Diagnoseverarbeitungseinheit 114 zum Diagnostizieren des Betriebs des Steuerungsprozessors 11 durch eine Software umgesetzt. Die Diagnoseverarbeitungseinheit 114 kann jedoch durch eine Hardware umgesetzt werden.
  • Bezugszeichenliste
    • 1
    Antriebssteuerungsvorrichtung
    2
    übergeordnete Steuerung
    3
    Schaltkreis
    4
    Treiberschaltung
    5
    Aktuator
    11
    Steuerungsprozessor
    12
    WDT
    111
    Kommunikationsverarbeitungseinheit
    112
    Verarbeitungseinheit für Befehlseingang
    113
    Verarbeitungseinheit für Aktuatorsteuerung
    114
    Diagnoseverarbeitungseinheit
    115
    Verarbeitungseinheit für Steuersignalausgang
    116
    Verarbeitungseinheit für sicheren Zustandsübergang
    1141
    Verarbeitungseinheit für Programmsequenzdiagnose
    1142
    Verarbeitungseinheit für sichere
    Funktionsdiagnose

Claims (8)

  1. Antriebssteuerungsvorrichtung, die Folgendes umfasst: einen Steuerungsprozessor, der konfiguriert ist, um ein Steuersignal zu erzeugen; und einen Überwachungszeitgeber, der konfiguriert ist, um einen Zeitgeberwert als Reaktion auf ein Rücksetzsignal, das von dem Steuerungsprozessor geliefert wird, zurückzusetzen und eine Messung einer Zielzeitgeberzeit nach dem Zurücksetzen des Zeitgerberwerts derart zu vervollständigen, dass kontinuierlich ein Abschaltsignal zum Abschalten einer Lieferung des Steuersignals von dem Steuerungsprozessor an eine Steuerungszielvorrichtung abgegeben wird.
  2. Antriebssteuerungsvorrichtung nach Anspruch 1, wobei der Steuerungsprozessor ein Diagnosemittel, das konfiguriert ist, um einen Betrieb des Steuerungsprozessors zu diagnostizieren, und ein Verarbeitungsmittel für sicheren Zustandsübergang aufweist, das konfiguriert ist, um den Steuerungsprozessor dazu zu veranlassen, in einen sicheren Zustand überzugehen, in dem ein Betriebsbereich weiter als in einem normalen Zustand in einem Fall begrenzt ist, in dem das Diagnosemittel bestimmt, dass der Betrieb des Steuerungsprozessors eine Anomalie hat.
  3. Antriebssteuerungsvorrichtung nach Anspruch 2, wobei das Diagnosemittel wiederholt in einem Zyklus diagnostiziert, der kürzer als die Zielzeitgeberzeit ist, und das Rücksetzsignal in einem Fall abgibt, in dem das Diagnosemittel bestimmt, dass der Steuerungsprozessor normal ist.
  4. Antriebssteuerungsvorrichtung nach Anspruch 2, wobei das Verarbeitungsmittel für sicheren Zustandsübergang den Steuerungsprozessor dazu veranlasst, das Steuersignal für den sicheren Zustand abzugeben, in dem der Betriebsbereich weiter als in dem normalen Zustand in dem Fall begrenzt ist, in dem das Diagnosemittel bestimmt, dass der Betrieb des Steuerungsprozessors die Anomalie hat.
  5. Antriebssteuerungsvorrichtung nach Anspruch 4, wobei das Verarbeitungsmittel für sicheren Zustandsübergang den Steuerungsprozessor dazu veranlasst, die Abgabe des Steuersignals in dem Fall anzuhalten, in dem das Diagnosemittel bestimmt, dass der Betrieb des Steuerungsprozessors die Anomalie hat.
  6. Antriebssteuerungsvorrichtung nach Anspruch 4, wobei das Verarbeitungsmittel für sicheren Zustandsübergang den Steuerungsprozessor dazu veranlasst, das Steuersignal zur Überführung eines Betriebszustands der Steuerungszielvorrichtung in den sicheren Zustand als Reaktion auf einen Zeitablauf in dem Fall abzugeben, in dem das Diagnosemittel bestimmt, dass der Betrieb des Steuerungsprozessors die Anomalie hat.
  7. Antriebssteuerungsvorrichtung nach Anspruch 2, wobei der Steuerungsprozessor ein Kommunikationsmittel aufweist, das konfiguriert ist, um die Anomalie des Betriebs des Steuerungsprozessors an eine übergeordnete Steuerung in dem Fall zu melden, in dem das Diagnosemittel bestimmt, dass der Betrieb des Steuerungsprozessors die Anomalie hat.
  8. Antriebssteuerungsvorrichtung nach Anspruch 2, wobei das Verarbeitungsmittel für sicheren Zustandsübergang den Steuerungsprozessor dazu veranlasst, in einem Haltezustand in dem Fall zu sein, in dem das Diagnosemittel bestimmt, dass der Betrieb des Steuerungsprozessors die Anomalie hat.
DE112016000153.3T 2015-04-24 2016-02-23 Antriebssteuerungsvorrichtung Pending DE112016000153T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015-089082 2015-04-24
JP2015089082A JP6816345B2 (ja) 2015-04-24 2015-04-24 駆動制御装置
PCT/JP2016/055278 WO2016170840A1 (ja) 2015-04-24 2016-02-23 駆動制御装置

Publications (1)

Publication Number Publication Date
DE112016000153T5 true DE112016000153T5 (de) 2017-08-10

Family

ID=57144581

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112016000153.3T Pending DE112016000153T5 (de) 2015-04-24 2016-02-23 Antriebssteuerungsvorrichtung

Country Status (5)

Country Link
US (1) US10006455B2 (de)
JP (1) JP6816345B2 (de)
CN (1) CN107003915B (de)
DE (1) DE112016000153T5 (de)
WO (1) WO2016170840A1 (de)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6812737B2 (ja) * 2016-10-07 2021-01-13 オムロン株式会社 演算装置および制御装置
JP6485441B2 (ja) * 2016-12-26 2019-03-20 トヨタ自動車株式会社 走行用モータの制御装置
JP6702175B2 (ja) * 2016-12-26 2020-05-27 アンデン株式会社 負荷駆動装置
US10296434B2 (en) * 2017-01-17 2019-05-21 Quanta Computer Inc. Bus hang detection and find out
JP6848511B2 (ja) * 2017-02-21 2021-03-24 オムロン株式会社 モータ制御装置
JP6878945B2 (ja) * 2017-02-21 2021-06-02 オムロン株式会社 モータ制御装置
JP7081079B2 (ja) * 2017-02-21 2022-06-07 オムロン株式会社 モータ制御装置
JP6825412B2 (ja) * 2017-02-21 2021-02-03 オムロン株式会社 モータ制御装置
JP6927032B2 (ja) 2017-12-29 2021-08-25 トヨタ自動車株式会社 電力変換回路の保護制御装置
JP7038016B2 (ja) * 2018-07-05 2022-03-17 本田技研工業株式会社 水素ステーション
JP7091949B2 (ja) * 2018-08-30 2022-06-28 トヨタ自動車株式会社 車両制御装置
DE102022102412A1 (de) * 2022-02-02 2023-08-03 Valeo Schalter Und Sensoren Gmbh Störungsdetektion für einen elektronischen Verarbeitungsschaltkreis mit einer arithmetisch-logischen Einheit

Family Cites Families (57)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS60142033A (ja) * 1983-12-28 1985-07-27 Toyota Motor Corp 電子制御エンジンのフエイルセイフ装置
GB2177241B (en) * 1985-07-05 1989-07-19 Motorola Inc Watchdog timer
JPS6461830A (en) * 1987-08-31 1989-03-08 Aisin Seiki Protecting device for automobile microcomputer
US4866713A (en) * 1987-11-02 1989-09-12 Motorola, Inc. Operational function checking method and device for microprocessors
US5233613A (en) * 1988-03-29 1993-08-03 Advanced Micro Devices, Inc. Reliable watchdog timer
US4956842A (en) * 1988-11-16 1990-09-11 Sundstrand Corporation Diagnostic system for a watchdog timer
US5754462A (en) * 1988-12-09 1998-05-19 Dallas Semiconductor Corporation Microprocessor auxiliary with ability to be queried re power history
US5203000A (en) * 1988-12-09 1993-04-13 Dallas Semiconductor Corp. Power-up reset conditioned on direction of voltage change
US5175845A (en) * 1988-12-09 1992-12-29 Dallas Semiconductor Corp. Integrated circuit with watchdog timer and sleep control logic which places IC and watchdog timer into sleep mode
JP2658697B2 (ja) * 1991-12-11 1997-09-30 富士通株式会社 ウォッチ・ドック・タイマ回路
DE59107697D1 (de) * 1991-12-17 1996-05-23 Siemens Ag Schaltungsanordnung zum Sichern des Betriebes eines rechnergesteuerten Gerätes
US5450403A (en) * 1993-03-02 1995-09-12 The Furukawa Electric Co., Ltd. Method and apparatus for multiplex transmission
AUPM348794A0 (en) * 1994-01-20 1994-02-17 Alcatel Australia Limited Microprocessor fault log
US5541943A (en) * 1994-12-02 1996-07-30 At&T Corp. Watchdog timer lock-up prevention circuit
JP3464872B2 (ja) * 1996-06-26 2003-11-10 富士通株式会社 分離するユニットの監視制御システム
JP3660105B2 (ja) * 1997-07-30 2005-06-15 光洋精工株式会社 車両用制御装置
JP4279912B2 (ja) * 1997-10-15 2009-06-17 株式会社日立製作所 車両用ブレーキ制御装置
US6591389B1 (en) * 1999-01-29 2003-07-08 Lucent Technologies Inc. Testing system for circuit board self-test
KR100352023B1 (ko) * 1999-09-03 2002-09-11 가야바코교 가부시기가이샤 페일세이프기구
US6587966B1 (en) * 2000-04-25 2003-07-01 Hewlett-Packard Development Company, L.P. Operating system hang detection and correction
JP2002089336A (ja) * 2000-09-19 2002-03-27 Nissan Motor Co Ltd 車両用電子制御システムの故障検出装置
JP3881177B2 (ja) * 2001-02-06 2007-02-14 三菱電機株式会社 車両用制御装置
US6959404B2 (en) * 2001-08-23 2005-10-25 Texas Instruments Incorporated Extended dynamic range watchdog timer
US6775609B2 (en) 2001-09-27 2004-08-10 Denso Corporation Electronic control unit for vehicle having operation monitoring function and fail-safe function
JP2003097345A (ja) 2001-09-27 2003-04-03 Denso Corp 車両用電子制御装置
JP4409800B2 (ja) * 2001-11-28 2010-02-03 三菱電機株式会社 エンジン制御装置
US6957368B2 (en) * 2002-01-23 2005-10-18 Medtronic Emergency Response Systems, Inc. Hazard mitigation in medical device
JP2004034746A (ja) * 2002-06-28 2004-02-05 Toyota Motor Corp 車両の走行制御装置
US7024550B2 (en) * 2002-06-28 2006-04-04 Hewlett-Packard Development Company, L.P. Method and apparatus for recovering from corrupted system firmware in a computer system
KR100619010B1 (ko) * 2003-12-09 2006-08-31 삼성전자주식회사 스텝 모터 제어 장치 및 방법
WO2005085978A2 (en) * 2004-02-27 2005-09-15 Koninklijke Philips Electronics N.V. Electronic circuit arrangement for detecting a failing clock
US7305570B2 (en) * 2004-08-16 2007-12-04 Standard Microsystems Corporation Failsafe slave mechanism for mission critical applications
US7453678B2 (en) * 2004-08-24 2008-11-18 Hamilton Sunstrand Corporation Power interruption system for electronic circuit breaker
CN100403703C (zh) * 2004-12-29 2008-07-16 华为技术有限公司 一种通信设备单板及其控制方法
US7253577B2 (en) * 2005-05-20 2007-08-07 Rockwell Automation Technologies, Inc. Independent safety processor for disabling the operation of high power devices
US7307837B2 (en) * 2005-08-23 2007-12-11 International Business Machines Corporation Method and apparatus for enforcing of power control in a blade center chassis
US7907378B2 (en) * 2005-10-20 2011-03-15 Microchip Technology Incorporated Automatic detection of a CMOS device in latch-up and cycling of power thereto
JP4098803B2 (ja) * 2005-11-18 2008-06-11 三菱電機株式会社 車載駆動制御装置
JP4352078B2 (ja) * 2007-03-28 2009-10-28 三菱電機株式会社 車載電子制御装置の給電制御回路
US20080263379A1 (en) * 2007-04-17 2008-10-23 Advanced Micro Devices, Inc. Watchdog timer device and methods thereof
JP4420944B2 (ja) * 2007-07-27 2010-02-24 三菱電機株式会社 車載エンジン制御装置
US20090193230A1 (en) * 2008-01-30 2009-07-30 Ralf Findeisen Computer system including a main processor and a bound security coprocessor
JP4525762B2 (ja) * 2008-02-04 2010-08-18 株式会社デンソー 車両用電子制御装置
JP4924905B2 (ja) * 2008-08-08 2012-04-25 株式会社デンソー 車両の制御装置
US8421369B2 (en) * 2008-10-28 2013-04-16 Samsung Electro-Mechanics Co., Ltd. Light emitting diode having protection function
US8448029B2 (en) * 2009-03-11 2013-05-21 Lsi Corporation Multiprocessor system having multiple watchdog timers and method of operation
JP5388667B2 (ja) * 2009-04-16 2014-01-15 キヤノン株式会社 画像形成装置
US8291205B2 (en) * 2009-05-27 2012-10-16 Deere & Company Method for managing the reset of a data processor
JP5448661B2 (ja) * 2009-09-08 2014-03-19 株式会社日立製作所 電池制御装置および電力装置
CN102475940A (zh) * 2010-11-29 2012-05-30 四川大学 电刺激保护装置
KR101581608B1 (ko) * 2012-02-13 2015-12-30 미쓰비시덴키 가부시키가이샤 프로세서 시스템
JP5379880B2 (ja) * 2012-04-18 2013-12-25 三菱電機株式会社 電動機駆動制御装置
JP2014032558A (ja) 2012-08-03 2014-02-20 Renesas Electronics Corp 半導体装置
JP6007677B2 (ja) * 2012-08-30 2016-10-12 富士電機株式会社 安全制御システム、及び安全制御システムのプロセッサ
KR101448775B1 (ko) * 2013-09-06 2014-10-08 현대자동차 주식회사 공조 패널 반도체 장치 및 이를 포함하는 차량용 공조 시스템
JP6236325B2 (ja) * 2014-01-27 2017-11-22 カルソニックカンセイ株式会社 プロセッサの制御装置及び制御方法
CN104391757B (zh) * 2014-12-19 2017-08-11 天津七一二通信广播股份有限公司 一种防止持续损坏的保护电路及实现方法

Also Published As

Publication number Publication date
WO2016170840A1 (ja) 2016-10-27
CN107003915B (zh) 2020-10-09
JP6816345B2 (ja) 2021-01-20
CN107003915A (zh) 2017-08-01
US20170254325A1 (en) 2017-09-07
JP2016207002A (ja) 2016-12-08
US10006455B2 (en) 2018-06-26

Similar Documents

Publication Publication Date Title
DE112016000153T5 (de) Antriebssteuerungsvorrichtung
EP1337921B1 (de) Vorrichtung zur überwachung eines prozessors
DE112010005400T5 (de) System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
DE102013015172A1 (de) Challenge-and-response-Verfahren für Sicherheitssystem unter Verwendung eines modifizierten Watchdog-Zeitgebers
EP2641176A1 (de) Mikroprozessorsystem mit fehlertoleranter architektur
DE2946081A1 (de) Anordnung zur ueberwachung der funktion eines programmierbaren elektronischen schaltkreises
DE112015002210T5 (de) Motorsteuervorrichtung
DE112016004678T5 (de) Verfahren zum Ausführen von Programmen in einem elektronischen System für Anwendungen mit funktionaler Sicherheit umfassend mehrere Prozessoren, entsprechendes System und Computerprogrammprodukt
EP2513796B1 (de) Verfahren zum betreiben einer recheneinheit
EP1866714B1 (de) Verfahren und vorrichtung zur überwachung einer prozessausführung
EP3841438B1 (de) Automatisierungssystem zur überwachung eines sicherheitskritischen prozesses
DE112019003419T5 (de) Ausfallsichere taktüberwachung mit fehlereinspeisung
EP3073333A1 (de) Sicherheitsarchitektur für fehlersichere Systeme
EP1807760B1 (de) Datenverarbeitungssystem mit variabler taktrate
EP3338189A2 (de) Verfahren zum betrieb eines mehrkernprozessors
WO1988005570A1 (en) Process and device for monitoring computer-controlled final control elements
DE102008004206A1 (de) Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug
DE102011007467A1 (de) Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung
WO2004005938A1 (de) Vorrichtung zur ermittlung der drehzahl eines rotierenden maschinenteils mit redundanten sensoren und auswerteschaltungen
DE102011083655A1 (de) Überwachungsvorrichtung zur Überwachung eines Betriebs einer Steuerverarbeitungsvorrichtung
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
DE102016206537A1 (de) Elektronische steuereinheit für ein fahrzeug
EP3433682B1 (de) Sicherheitssteuerung und verfahren zum betreiben einer sicherheitssteuerung
DE102017219195B4 (de) Verfahren zum gewährleisten eines betriebs eines rechners
DE102018213747A1 (de) Verfahren, Steuergerät und elektrisches Netz

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence