DE4221815A1 - Steuerungsverfahren fuer ein fahrzeug - Google Patents
Steuerungsverfahren fuer ein fahrzeugInfo
- Publication number
- DE4221815A1 DE4221815A1 DE4221815A DE4221815A DE4221815A1 DE 4221815 A1 DE4221815 A1 DE 4221815A1 DE 4221815 A DE4221815 A DE 4221815A DE 4221815 A DE4221815 A DE 4221815A DE 4221815 A1 DE4221815 A1 DE 4221815A1
- Authority
- DE
- Germany
- Prior art keywords
- computer
- control
- cpu
- sub
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02P—IGNITION, OTHER THAN COMPRESSION IGNITION, FOR INTERNAL-COMBUSTION ENGINES; TESTING OF IGNITION TIMING IN COMPRESSION-IGNITION ENGINES
- F02P5/00—Advancing or retarding ignition; Control therefor
- F02P5/04—Advancing or retarding ignition; Control therefor automatically, as a function of the working conditions of the engine or vehicle or of the atmospheric conditions
- F02P5/145—Advancing or retarding ignition; Control therefor automatically, as a function of the working conditions of the engine or vehicle or of the atmospheric conditions using electrical means
- F02P5/15—Digital data processing
- F02P5/1518—Digital data processing using two or more central computing units, e.g. interpolation
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
- F02D41/266—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B15/00—Systems controlled by a computer
- G05B15/02—Systems controlled by a computer electric
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0286—Modifications to the monitored process, e.g. stopping operation or adapting control
- G05B23/0291—Switching into safety or degraded mode, e.g. protection and supervision after failure
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25157—Checksum CRC
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02T—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
- Y02T10/00—Road transport of goods or passengers
- Y02T10/10—Internal combustion engine [ICE] based vehicles
- Y02T10/40—Engine management systems
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Mechanical Engineering (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
- Debugging And Monitoring (AREA)
Description
Die Erfindung betrifft ein Steuerungsverfahren für ein Fahr
zeug, das mit mehreren Computern ausgestattet ist, sowie eine
Vorrichtung zur Durchführung des Verfahrens.
In Steuerungssystemen für Fahrzeuge, wie z. B. Kraft
fahrzeuge, werden in der letzten Zeit häufig Mehrprozessor
systeme eingesetzt, die jeweils mehrere Computer aufweisen, um
die an Umfang und Kompliziertheit zunehmenden Steuerungsaufga
ben zu bewältigen.
In diesem Fall wird beim Auftreten einer Störung der
Inhalt des RAM-Speichers des Computers zerstört, und normale
Daten können nicht gehalten werden. Daher ist eine Überwa
chungseinrichtung zur Störungsüberwachung unentbehrlich. Bei
spielsweise wird in der im Amtsblatt veröffentlichten japa
nischen Patentanmeldung, Offenlegungsnummer 1 83 254/1988, eine
Überwachungseinrichtung offenbart, wobei Daten zwischen zwei
Prozessoren ausgetauscht werden, solange keine Störung auf
tritt, und bei Ausfall eines Prozessors oder bei einem Daten
übertragungsfehler der den Fehler verursachende Prozessor zu
rückgestellt wird.
In einem System, in dem zwei Computer als Haupt- und
Nebencomputer über Datenübertragungsleitungen miteinander ver
bunden sind und eine Steuerung durch Übertragung von Steue
rungsdaten zum Startzeitpunkt aus dem ROM-Speicher des Haupt
computers in den RAM-Speicher des Nebencomputers erfolgt, wird
jedoch die Wiederaufnahme des normalen Betriebs schwierig,
wenn eine auf der Seite des Nebencomputers auftretende Störung
so behandelt wird, daß der Nebencomputer durch ein Störungser
kennungssignal von der Überwachungseinrichtung zurückgestellt
wird, um den Inhalt des RAM-Speichers zu löschen. Ferner ge
währleistet der Hauptcomputer keinen normalen Betrieb für eine
Steuerung, die sich auf Steuerinformationen vom Nebencomputer
stützt.
Die vorliegende Erfindung berücksichtigt den oben ge
schilderten Sachverhalt, und ihre Aufgabe besteht darin, ein
Steuerungsverfahren für ein Fahrzeug zu schaffen, bei dem auch
dann, wenn Steuerungsdaten im RAM-Speicher eines Computers
durch das Auftreten eines Störungszustands zerstört worden
sind, der normale Steuerungsbetrieb schnell wiederhergestellt
werden kann.
In der ersten Ausführungsform der Erfindung wird für
ein Fahrzeug mit einem ersten und einem zweiten Computer ein
Steuerungsverfahren geschaffen, das die folgenden Schritte
aufweist: Überwachung des Auftretens von Störungen im zweiten
Computer; Zurückstellen des zweiten Computers, wenn das Auf
treten einer Störung festgestellt wird; Übertragung von Steue
rungsdaten vom ersten zum zweiten Computer; Feststellung, ob
die Übertragung aller Steuerungsdaten beendet ist; Berechnung
einer Nebenkontrollsumme der Steuerungsdaten; Eingabe der
Nebenkontrollsumme in die Haupt-Zentralverarbeitungseinheit
(Haupt-ZVE) des ersten Computers; Berechnung einer Hauptkon
trollsumme aus den Steuerungsdaten im ersten Computer; Kon
trolle, ob die Nebenkontrollsumme gleich der Hauptkontroll
summe ist; Senden eines Steuerungsstartbefehls vom ersten Com
puter zum zweiten Computer und sofortige Wiederherstellung
einer optimalen Steuerung des Fahrzeugs, auch wenn die Steue
rungsdaten durch das Auftreten der Störung zerstört worden
sind.
In der zweiten Ausführungsform der Erfindung wird für
ein Fahrzeug mit einem ersten und einem zweiten Computer ein
Steuerungsverfahren geschaffen, das die folgenden Schritte
aufweist: Überwachung des Auftretens von Störungen im zweiten
Computer; Zurückstellen des zweiten Computers, wenn das Auf
treten einer Störung festgestellt wird; Anwendung eines im er
sten Computer gespeicherten Sicherheits- bzw. Selbstüber
wachungsprogramms und sofortige Wiederherstellung einer opti
malen Steuerung des Fahrzeugs, auch wenn die Steuerungsdaten
durch das Auftreten der Störung zerstört worden sind.
Nach dem Fahrzeugsteuerungsverfahren gemäß der ersten
Ausführungsform wird, wenn im zweiten Computer eine Störung
aufgetreten ist, der zweite Computer durch die Überwachungs
einrichtung zurückgestellt, wobei gleichzeitig die vor Beginn
der Steuerung übertragenen Steuerungsdaten nochmals vom ersten
Computer übertragen werden.
Nach dem Fahrzeugsteuerungsverfahren gemäß der zweiten
Ausführungsform wird, wenn im zweiten Computer eine Störung
aufgetreten ist, der zweite Computer durch die Überwachungs
einrichtung zurückgestellt, während gleichzeitig die vor Be
ginn der Steuerung übertragenen Steuerungsdaten nochmals vom
ersten Computer übertragen werden und die ausfallsichere
Steuerung, die nicht von den Steuerungsinformationen des zwei
ten Computers abhängig ist, durch den ersten Computer ausge
führt wird.
Es zeigen:
Fig. 1 ein Ablaufdiagramm, das die Kommunikations
schritte auf der Seite der Haupt-ZVE darstellt;
Fig. 2 ein Ablaufdiagramm, das die Steuerungsschritte
auf der Seite der Haupt-ZVE darstellt;
Fig. 3 ein Ablaufdiagramm, das die Kommunikations
schritte auf der Seite der Neben-ZVE darstellt; und
Fig. 4 ein Blockschaltbild der Steuerungseinheit.
Die Erfindung wird nachstehend anhand eines Ausfüh
rungsbeispiels und anhand der Zeichnungen näher erläutert. Die
Zeichnungen stellen ein bevorzugtes Ausführungsbeispiel der
Erfindung dar.
Wie aus Fig. 4 ersichtlich, bezeichnet die Bezugszahl 1
eine elektronische Steuereinheit (ESE), die in einem Fahrzeug,
wie z. B. einem Kraftfahrzeug, mitgeführt wird. Die ESE 1 setzt
sich aus zwei Mikrocomputern zusammen, d. h. aus einem ersten
Mikrocomputer 2, der beispielsweise die Steuerung der Kraft
stoffeinspritzung und des Zündzeitpunkts übernimmt, und einem
zweiten Mikrocomputer 3, der zum Beispiel ein Klopfdetektions
verfahren durchführt.
Die elektronische Steuereinheit (ESE) 1 weist außerdem
eine eingebaute Spannungsregelungsschaltung 4 auf, die stabi
lisierte Spannungen für verschiedene Abschnitte liefert. Die
Spannungsregelungsschaltung 4 ist über den Relaiskontakt eines
ESE-Relais 5 mit einer Batterie 6 verbunden. Die Relaisspule
des ESE-Relais 5 ist außerdem über einen Zündschalter 7 mit
der Batterie 6 verbunden.
Der erste Mikrocomputer 2 ist so beschaffen, daß eine
Haupt-ZVE 8, ein ROM-Speicher 9, in dem zum Beispiel Programme
zur Steuerung der Kraftstoffeinspritzung und des Zündzeit
punkts gespeichert sind, ein RAM-Speicher 10 zur Datenspeiche
rung, ein Zeitgeber 11, eine serielle Schnittstelle (SCI) 12
und eine E/A-Schnittstelle 13 miteinander über Busleitungen 14
verbunden sind.
Analogsensoren 15, die analoge Ausgangssignale erzeu
gen, wie z. B. ein Ansaugluftmengensensor, ein Drosselklappen
öffnungssensor und ein Kühlmitteltemperatursensor, sind über
einen A/D-Wandler 16 mit dem Eingabekanal der E/A-Schnitt
stelle 13 verbunden, während Digitalsensoren 17, die digitale
Ausgangssignale erzeugen, wie z. B. ein Leerlaufschalter, di
rekt mit dem Eingabekanal verbunden sind. Ferner sind ein Kur
belwinkelsensor 18 und ein Zylindernummerdiskriminator-Sensor
19 an die Eingabekanäle der E/A-Schnittstelle 13 angeschlos
sen.
Außerdem ist eine Zündeinrichtung 20 mit dem Ausgabeka
nal der E/A-Schnittstelle 13 verbunden, während Betätigungs
elemente, wie z. B. eine ISCV und eine Einspritzeinrichtung,
mit dem Ausgabekanal über eine Treiberschaltung 22 verbunden
sind.
Andererseits ist der zweite Mikrocomputer 3 so beschaf
fen, daß eine Neben-ZVE 23, ein ROM-Speicher 24, in dem bei
spielsweise ein Programm zur Klopfsteuerung gespeichert ist,
ein RAM-Speicher 25 zur Datenspeicherung, ein Zeitgeber 26,
eine serielle Schnittstelle (SCI) 27 und eine E/A-Schnitt
stelle 28 über Busleitungen 29 miteinander verbunden sind. Der
zweite Mikrocomputer ist ferner mit einer Zeitüberwachungsein
richtung 30 als Mittel zur Überwachung des Auftretens einer
beliebigen Störung ausgestattet.
Die Zeitüberwachungseinrichtung 30 ist auf der Ein
gangsseite mit der Neben-ZVE 23, auf der Ausgangsseite mit dem
Rückstellanschluß R der Neben-ZVE 23 und dem Signaleingangs
überwachungsanschluß S der Haupt-ZVE 8 verbunden.
Außerdem sind der Kurbelwinkelsensor 18 und der Zylin
dernummerdiskriminator-Sensor 19 direkt mit den Eingabekanälen
der E/A-Schnittstelle 28 verbunden, während ein Klopfsensor 31
für die rechte Zylinderreihe bzw. ein Klopfsensor 32 für die
linke Zylinderreihe über die Verstärker 33, die Frequenzfilter
34 und die A/D-Wandler 35 mit den Eingabekanälen verbunden
sind. Außerdem ist der Ausgabekanal der E/A-Schnittstelle 28
des zweiten Mikrocomputers 3 mit dem Eingabekanal der E/A-
Schnittstelle 13 des ersten Mikrocomputers 2 verbunden.
Nachdem Signale von den Klopfsensoren 31 bzw. 32 durch
die Verstärker 33 auf vorgegebene Pegel verstärkt worden sind,
müssen erforderliche Frequenzkomponenten durch die Frequenz
filter 34 ausgefiltert werden. Die Analogdaten werden durch
die A/D-Wandler 35 in Digitaldaten umgewandelt.
Der erste Mikrocomputer 2 und der zweite Mikrocomputer
3 sind über serielle Schaltungskanäle miteinander verbunden,
die über die seriellen Schnittstellen (SCI) 12, 27 ein Taktsi
gnal CLK, ein Sendesignal TX und ein Empfangssignal RK senden
und empfangen. Synchron mit dem Taktsignal CLK, das vom ersten
Mikrocomputer 2 geliefert wird, erfolgen taktsynchronisierte
Datenübertragungen in beiden Richtungen zwischen dem ersten
Mikrocomputer 2 und dem zweiten Mikrocomputer 3.
Im ersten Mikrocomputer 2 wird beispielsweise ein Zünd
zeitpunkt für Super-Kraftstoff auf der Grundlage von Kurbel
wellenimpulsen berechnet, und an den entsprechenden Zylinder
wird ein Zündsignal ausgegeben, wenn der vorher festgelegte
Zündzeitpunkt erreicht ist. Andererseits wird im zweiten Mi
krocomputer 3 der Drehzahlwert des Motors aus den Eingabein
tervallen der Kurbelwellenimpulse berechnet, und die Signale
von den Klopfsensoren 31 bzw. 32 in vorgegebenen Abtastungsab
schnitten auf der Basis der Motordrehzahl und der Motorlast
einer schnellen A/D-Umwandlung unterworfen, um die Vibrations
wellenformen genau in digitale Daten umzuwandeln, woraus auf
das Auftreten von Klopferscheinungen geschlossen wird.
Die Klopfbeurteilungsdaten zum Auftreten von Klopfer
scheinungen werden der E/A-Schnittstelle 28 des zweiten Mikro
computers 3 zugeführt. Falls Klopferscheinungen auftreten,
werden die Klopfdaten vom zweiten Mikrocomputer 3 über den se
riellen Schaltungskanal, der durch die seriellen Schnittstel
len (SCI) 27, 12 geht, in den ersten Mikrocomputer 2 übertra
gen. Dann verzögert der erste Mikrocomputer 2 sofort den Zünd
zeitpunkt des betreffenden Zylinders auf der Grundlage der
Klopfdaten, um das Klopfen zu vermeiden.
In diesem Falle wird, wenn die Neben-ZVE 23 normal ar
beitet, ständig von der Neben-ZVE 23 ein Überwachungssignal an
die Zeitüberwachungseinrichtung 30 gesendet. Damit wird die
Zeitüberwachungseinrichtung 30 periodisch gelöscht und erzeugt
kein Rückstellsignal, so daß die normale Steuerung ausgeführt
wird.
Im Gegensatz dazu wird, wenn die Neben-ZVE 23 irgendei
ner Störung unterworfen ist und das Überwachungssignal nicht
innerhalb einer vorgegebenen Zeitspanne an die Zeitüberwa
chungseinrichtung 30 sendet, von der Zeitüberwachungseinrich
tung 30 das Rückstellsignal "Zeit abgelaufen" ausgegeben. Dann
wird die Neben-ZVE 23 zurückgestellt und die Daten des Rück
stellsignals werden unter der vorher festgelegten Adresse des
RAM-Speichers 10 gespeichert.
Infolgedessen werden die Steuerungsdaten im ROM-Spei
cher 9 nochmals von der Haupt-ZVE 8 zur Neben-ZVE 23 übertra
gen. Ferner wird in der Zeit von der Beendigung der erneuten
Übertragung der Steuerungsdaten bis zur Wiederaufnahme des
normalen Betriebs der Neben-ZVE 23 basierend auf Steuerungsin
formationen von der Neben-ZVE 23 eine ausfallsichere Steuerung
z. B. für die Klopfsteuerung der Haupt-ZVE 8 ausgeführt.
Nachstehend werden die im Ausführungsbeispiel erfolgen
den Steuerungsschritte beschrieben. Das in Fig. 1 gezeigte Ab
laufdiagramm gibt eine Unterbrechungsroutine an, die nach der
Initialisierung der elektronischen Steuereinheit (ESE) 1 beim
Einschalten ihrer Stromversorgung und jeweils nach vorher
festgelegten Zeitintervallen von der Haupt-ZVE 8 des ersten
Mikrocomputers 2 interruptiv abgearbeitet wird.
Zuerst liest die Haupt-ZVE 8 in einem Schritt S101 die
Daten des auf der Zeitüberwachungseinrichtung 30 basierenden
Rückstellsignals von der vorgegebenen Adresse des RAM-Spei
chers 10 ein und bestimmt, ob die Neben-ZVE 23 zurückgestellt
worden ist oder nicht.
Wird im Schritt S101 festgestellt, daß die entsprechen
den Daten des Rückstellsignals von der Zeitüberwachungsein
richtung 30 nicht im RAM-Speicher gespeichert sind, dann ist
die Neben-ZVE 23 nicht zurückgestellt worden, und im Schritt
S102 wird ein Sicherheitsmodus-Flag FLAG gelöscht (FLAG ←
0). Im anschließenden Schritt S103 werden die normalen Daten
in einem gewöhnlichen Datenübertragungsprozeß zur Neben-ZVE 23
übertragen und von dieser empfangen, wonach die Routine been
det wird.
Das Sicherheitsmodus-Flag FLAG dient für die Entschei
dung, ob die ausfallsichere Steuerung oder der normale Steue
rungsbetrieb auszuführen ist. Im Ablauf der später zu be
schreibenden Steuerungsschritte der Haupt-ZVE 8 wird dieses
Flag aufgerufen.
Wird dagegen im Schritt S101 festgestellt, daß das
Rückstellsignal von der Zeitüberwachungseinrichtung 30 einge
geben worden ist, dann ist die Neben-ZVE 23 zurückgestellt
worden, und im Steuerungsablauf erfolgt ein Übergang zu
Schritt S104, in dem das Sicherheitsmodus-Flag FLAG gesetzt
wird (FLAG λ 1), um die Daten des Rückstellsignals im RAM-
Speicher 10 zu löschen. Im Schritt S105 werden die im ROM-
Speicher 9 gespeicherten Steuerungsdaten über die serielle
Schnittstelle (SCI) 12 zur Neben-ZVE 23 des zweiten Mikrocom
puters 3 übertragen.
Danach geht die Routine zum Schritt S106 über, in dem
kontrolliert wird, ob die Übertragung alle Steuerungsdaten
beendet ist oder nicht. Ist die Übertragung nicht beendet,
geht die Routine zurück zum Schritt S105 und die Übertragung
wird fortgesetzt; ist die Übertragung beendet, dann wird im
Schritt S107 in der Haupt-ZVE 8 und in der Neben-ZVE 23 die
Kontrollsumme der übertragenen Daten berechnet.
Anschließend geht die Routine zum Schritt S108 über, in
dem die Haupt-ZVE 8 die von der Neben-ZVE 23 des zweiten Mi
krocomputers 3 übertragene Kontrollsumme empfängt. Im Schritt
S109 vergleicht die Haupt-ZVE 8 die von der Neben-ZVE 23 über
tragene Kontrollsumme mit der in der Haupt-ZVE 8 berechneten
Kontrollsumme der übertragenen Daten, um zu prüfen, ob die
Kontrollsummen übereinstimmen oder nicht.
Wenn die von der Neben-ZVE 23 übertragene Kontrollsumme
nicht mit der in der Haupt-ZVE 8 berechneten Kontrollsumme der
übertragenen Daten übereinstimmt, springt die Routine vom
Schritt S109 zurück zum früheren Schritt S105, in dem die
Steuerungsdaten nochmals übertragen werden. Wenn dagegen die
Kontrollsumme der Neben-ZVE 23 mit derjenigen der übertragenen
Daten übereinstimmt, geht die Routine zum Schritt S110 über,
in dem die Haupt-ZVE 8 einen Steuerungsstartbefehl an die Ne
ben-ZVE 23 sendet, wonach die Unterbrechungsroutine beendet
wird.
Außerdem führt die Haupt-ZVE 8 interruptiv in vorher
festgelegten Zeitabständen die in Fig. 2 dargestellte Steue
rungsroutine aus. Im Schritt S201 wird der Wert des Sicher
heitsmodus-Flags FLAG aufgerufen. Falls FLAG=1 ist, dann
schließt sich an den Schritt S201 der Schritt S202 an, in dem
die ausfallsichere Steuerung ausgeführt wird; ist FLAG=0,
dann folgt auf den Schritt S201 der Schritt S203, in dem der
normale Steuerungsbetrieb abläuft.
Um es präziser auszudrücken, wenn die Neben-ZVE 23 ir
gendeiner Störung unterworfen war und von der Zeitüberwa
chungseinrichtung 30 zurückgestellt worden ist, kann die
Haupt-ZVE 8 von der Neben-ZVE 23 keine genauen Klopfinforma
tionen usw. erhalten. Daher unterbricht die Haupt-ZVE 8 die
auf den Klopfinformationen basierende Rückführregelung des
Zündzeitpunkts und verzögert den Zündzeitpunkt um einen vorher
festgelegten Winkel mehr als den Zündzeitpunkt für Normalben
zin, um dadurch die Fahrzeugsteuerung ausfallsicher zu halten.
Unterdessen wird im zweiten Mikrocomputer 3, wenn die
Neben-ZVE 23 beim Einschalten der Stromversorgung der elektro
nischen Steuereinheit (ESE) 1 oder durch das Rückstellsignal
von der Zeitüberwachungseinrichtung 30 zurückgestellt worden
ist, von der Neben-ZVE 23 die in Fig. 3 dargestellte Unterbre
chungsroutine abgearbeitet. Im Schritt S301 empfängt die Ne
ben-ZVE 23 über die serielle Schnittstelle (SCI) 27 Steue
rungsdaten von der Haupt-ZVE 8 und speichert die Daten im RAM-
Speicher 25.
Anschließend geht die Routine zum Schritt S302 über, in
dem kontrolliert wird, ob der Empfang aller Steuerungsdaten
beendet ist oder nicht. Ist der Empfang nicht beendet, springt
die Routine zum Schritt S301 zurück, in dem der Empfang der
Steuerungsdaten fortgesetzt wird; ist der Empfang beendet,
dann geht die Routine zum Schritt S303 über.
Im Schritt S303 wird die Kontrollsumme der empfangenen
Daten berechnet. Im Schritt S304 überträgt die Neben-ZVE 23
die berechnete Kontrollsumme zur Haupt-ZVE 8, und im Schritt
S305 wartet sie auf den Empfang eines Steuerungsstartbefehls,
der von der Haupt-ZVE 8 übertragen wird. Nach Empfang des
Steuerungsstartbefehls wird die Unterbrechungsroutine beendet.
Folglich wird, auch wenn die Daten im RAM-Speicher 25
durch das Auftreten einer Störung im zweiten Mikrocomputer 3
zerstört worden sind, die Neben-ZVE 23 zurückgestellt, und die
Steuerungsdaten werden nochmals von der Haupt-ZVE 8 übertra
gen. Daher kann der Normalzustand der Neben-ZVE 23 unverzüg
lich wiederhergestellt werden, und der durch das Auftreten der
Störung entstehende Schaden kann auf ein Minimum eingeschränkt
werden.
Die vorliegende Erfindung ist nicht auf dieses Ausfüh
rungsbeispiel beschränkt. Man kann z. B. auch den ersten Mikro
computer 2 mit der Zeitüberwachungseinrichtung 30 ausstatten
oder die Funktion der Zeitüberwachungseinrichtung auf die
Neben-ZVE 23 oder die Haupt-ZVE 8 selbst übertragen.
Ferner können der erste Mikrocomputer 2 und der zweite
Mikrocomputer 3 ohne weiteres als separate elektronische
Steuereinheiten (ESE) realisiert werden und die Steuereinrich
tungen in den jeweiligen Mikrocomputern können durchaus unab
hängig voneinander sein.
Wie oben beschrieben, kann auch dann, wenn die Steue
rungsdaten im RAM-Speicher eines Computers durch das Auftreten
irgendeiner Störung zerstört worden sind, nach der vorliegen
den Erfindung der Computer schnell in seinen Normalzustand zu
rückgeführt werden, was eine so ausgezeichnete Wirkung hat,
daß der durch die Störung verursachte Schaden auf das für die
Sicherheit notwendige Minimum beschränkt wird.
Claims (3)
1. Steuerungsverfahren für ein Fahrzeug mit einem er
sten Computer und einem zweiten Computer, mit den folgenden
Verfahrensschritten:
Überwachung des zweiten Computers auf das Auftreten einer Störung;
Zurückstellen des zweiten Computers, wenn eine Störung festgestellt wird;
Übertragung von Steuerungsdaten vom ersten Computer zum zweiten Computer;
Feststellen, ob die Übertragung aller Steuerungsdaten beendet ist;
Berechnen einer Nebenkontrollsumme der Steuerungsdaten;
Eingabe der Nebenkontrollsumme in die Haupt-ZVE des er sten Computers;
Berechnung einer Hauptkontrollsumme aus den Steuerungs daten im ersten Computer;
Prüfen, ob die Nebenkontrollsumme gleich der Hauptkon trollsumme ist;
Senden eines Steuerungsstartbefehls vom ersten Computer zum zweiten Computer; und
unverzügliche Wiederherstellung der optimalen Steuerung des Fahrzeugs, wenn die Steuerungsdaten durch das Auftreten der Störung zerstört worden sind.
Überwachung des zweiten Computers auf das Auftreten einer Störung;
Zurückstellen des zweiten Computers, wenn eine Störung festgestellt wird;
Übertragung von Steuerungsdaten vom ersten Computer zum zweiten Computer;
Feststellen, ob die Übertragung aller Steuerungsdaten beendet ist;
Berechnen einer Nebenkontrollsumme der Steuerungsdaten;
Eingabe der Nebenkontrollsumme in die Haupt-ZVE des er sten Computers;
Berechnung einer Hauptkontrollsumme aus den Steuerungs daten im ersten Computer;
Prüfen, ob die Nebenkontrollsumme gleich der Hauptkon trollsumme ist;
Senden eines Steuerungsstartbefehls vom ersten Computer zum zweiten Computer; und
unverzügliche Wiederherstellung der optimalen Steuerung des Fahrzeugs, wenn die Steuerungsdaten durch das Auftreten der Störung zerstört worden sind.
2. Steuerungsverfahren für ein Fahrzeug mit einem er
sten Computer und einem zweiten Computer, mit den folgenden
Verfahrensschritten:
Überwachung des zweiten Computers auf das Auftreten einer Störung;
Zurückstellen des zweiten Computers, wenn eine Störung festgestellt wird;
Anwendung eines im ersten Computer gespeicherten Si cherheitsprogramms; und
unverzügliche Wiederherstellung der optimalen Steuerung des Fahrzeugs, wenn die Steuerungsdaten durch das Auftreten der Störung zerstört worden sind.
Überwachung des zweiten Computers auf das Auftreten einer Störung;
Zurückstellen des zweiten Computers, wenn eine Störung festgestellt wird;
Anwendung eines im ersten Computer gespeicherten Si cherheitsprogramms; und
unverzügliche Wiederherstellung der optimalen Steuerung des Fahrzeugs, wenn die Steuerungsdaten durch das Auftreten der Störung zerstört worden sind.
3. Vorrichtung zur Durchführung des Verfahrens nach An
spruch 1 oder 2.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP3164607A JPH0510201A (ja) | 1991-07-04 | 1991-07-04 | 車輌の制御方法 |
| JP16460791 | 1991-07-04 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| DE4221815C9 DE4221815C9 (de) | |
| DE4221815A1 true DE4221815A1 (de) | 1993-02-11 |
| DE4221815C2 DE4221815C2 (de) | 1995-04-13 |
Family
ID=15796402
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE4221815A Expired - Fee Related DE4221815C2 (de) | 1991-07-04 | 1992-07-03 | Verfahren zur Behandlung von Störungen in einer elektronischen Steuereinheit eines Fahrzeugs |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US5526267A (de) |
| JP (1) | JPH0510201A (de) |
| DE (1) | DE4221815C2 (de) |
| GB (1) | GB2258058B (de) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0936515A1 (de) * | 1998-02-17 | 1999-08-18 | Robert Bosch Gmbh | Mehrprozessor-Steuervorrichtung |
| EP1106809A2 (de) * | 1999-11-30 | 2001-06-13 | Denso Corporation | Elektronischer Steuerapparat, der eine Modusüberprüfungsfunktion hat |
| US20160195055A1 (en) * | 2013-10-15 | 2016-07-07 | Ngk Spark Plug Co., Ltd. | Ignition timing control device and ignition timing control system |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE69425118T2 (de) * | 1993-12-17 | 2001-03-22 | Denso Corp | Datensicherungsvorrichtung für ein elektronisches Steuerungssystem und Datensicherungsverfahren zur Anwendung in der Datensicherungsvorrichtung |
| US5531070A (en) * | 1994-11-25 | 1996-07-02 | New Holland North America, Inc. | Diesel engine reverse start inhibit |
| JP3591916B2 (ja) * | 1995-06-05 | 2004-11-24 | ヤマハ発動機株式会社 | 内燃機関の制御方法および装置 |
| US5916296A (en) * | 1995-06-05 | 1999-06-29 | Nippondenso Co., Ltd. | Dual processor automotive control system having flexible processor standardization |
| US5794211A (en) * | 1995-06-13 | 1998-08-11 | Ncr Corporation | EPL price verification system and method |
| US5794055A (en) * | 1995-07-31 | 1998-08-11 | Ford Motor Company | Automotive electrical system and method for coupling power to such systems |
| JPH09288573A (ja) * | 1996-04-23 | 1997-11-04 | Mitsubishi Electric Corp | 車載制御装置 |
| US5870714A (en) * | 1997-05-02 | 1999-02-09 | Ncr Corporation | EPL scheduled price verification system and method |
| US6119064A (en) * | 1997-05-15 | 2000-09-12 | Nissan Motor Co., Ltd. | Vehicular control apparatus arranged for undergoing initial failure test after burn-in and method arranged therefor |
| US6012040A (en) * | 1997-06-20 | 2000-01-04 | Ncr Corporation | EPL price change verification system and method |
| US6044358A (en) * | 1997-06-20 | 2000-03-28 | Ncr Corporation | System and method of determining price differences between price look-up files |
| US5988498A (en) * | 1997-06-25 | 1999-11-23 | Ncr Corporation | Method of delaying availability of price changes to checkout terminals following EPL price changes |
| US5947089A (en) * | 1997-10-29 | 1999-09-07 | Chrysler Corporation | Method of compensating for a failed sensor in a flexible fueled vehicle |
| DE19749068B4 (de) * | 1997-11-06 | 2005-03-10 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren |
| JP4225645B2 (ja) * | 1999-08-25 | 2009-02-18 | 株式会社日立製作所 | 車両用コントロールユニットのデータ書き換え装置 |
| JP3656480B2 (ja) * | 1999-09-24 | 2005-06-08 | 日本電気株式会社 | 端末装置の障害処理方式 |
| JP2002108835A (ja) * | 2000-09-29 | 2002-04-12 | Mitsubishi Electric Corp | 車載電子制御装置 |
| US6931307B2 (en) * | 2001-02-16 | 2005-08-16 | Visteon Global Technologies, Inc. | Technique for data synchronization in a multiple system vehicle architecture |
| JP3939961B2 (ja) | 2001-10-31 | 2007-07-04 | 株式会社デンソー | 車両用電子制御装置 |
| US7117390B1 (en) * | 2002-05-20 | 2006-10-03 | Sandia Corporation | Practical, redundant, failure-tolerant, self-reconfiguring embedded system architecture |
| DE10331872A1 (de) * | 2003-07-14 | 2005-02-10 | Robert Bosch Gmbh | Verfahren zur Überwachung eines technischen Systems |
| JP4223909B2 (ja) * | 2003-09-24 | 2009-02-12 | 三菱電機株式会社 | 車載電子制御装置 |
| US7424641B2 (en) * | 2005-04-06 | 2008-09-09 | Delphi Technologies, Inc. | Control system and method for validating operation of the control system |
| US20070005203A1 (en) * | 2005-06-30 | 2007-01-04 | Padma Sundaram | Vehicle diagnostic system and method for monitoring vehicle controllers |
| US20070050687A1 (en) * | 2005-08-16 | 2007-03-01 | Disser Robert J | Watchdog monitoring circuit and method for controlling energization of the load using the watchdog monitoring circuit |
| JP4525799B2 (ja) | 2008-06-17 | 2010-08-18 | 株式会社デンソー | エンジン制御装置 |
| JP4578542B2 (ja) * | 2008-07-02 | 2010-11-10 | 三菱電機株式会社 | 車載電子制御装置 |
| JP4820428B2 (ja) * | 2009-03-26 | 2011-11-24 | 三菱電機株式会社 | エンジン制御装置 |
| US8587246B2 (en) * | 2012-04-17 | 2013-11-19 | GM Global Technology Operations LLC | System and method for estimating electrical current in motor control circuits to improve performance and diagnostic capability |
| JP5783143B2 (ja) * | 2012-07-26 | 2015-09-24 | 株式会社デンソー | エンジン制御装置 |
| KR101543103B1 (ko) * | 2013-12-04 | 2015-08-11 | 현대자동차주식회사 | 인젝터 드라이버 및 그 동작 방법 |
| DE102014108521B3 (de) * | 2014-06-17 | 2015-08-06 | Borgwarner Ludwigsburg Gmbh | Verfahren zum Steuern eines Verbrennungsmotors sowie Zündsteuergerät hierfür |
| US9509445B2 (en) * | 2015-01-27 | 2016-11-29 | Infineon Technologies Ag | Sensor interface that provides a long package CRC to improve functional safety |
| JP6551371B2 (ja) | 2016-11-29 | 2019-07-31 | トヨタ自動車株式会社 | 自動車 |
| EP3413530B1 (de) * | 2017-06-09 | 2019-07-31 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zum austauschen von nachrichten |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS63183254A (ja) * | 1987-01-15 | 1988-07-28 | ローベルト・ボッシュ・ゲゼルシャフト・ミット・ベシュレンクテル・ハフツング | 2つのプロセッサからなる自動車のコンピュータシステムを監視する装置 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4209828A (en) * | 1978-06-28 | 1980-06-24 | Westinghouse Electric Corp. | Speed decoding and speed error determining control apparatus and method |
| US4270168A (en) * | 1978-08-31 | 1981-05-26 | United Technologies Corporation | Selective disablement in fail-operational, fail-safe multi-computer control system |
| JPS58201154A (ja) * | 1982-05-19 | 1983-11-22 | Nissan Motor Co Ltd | アンチスキッド制御装置用マイクロコンピュータのモード監視制御装置 |
| DE3322074A1 (de) * | 1982-07-23 | 1984-01-26 | Robert Bosch Gmbh, 7000 Stuttgart | Notlaufeinrichtung fuer mikrocomputergesteuerte systeme |
| JPS5952306A (ja) * | 1982-09-18 | 1984-03-26 | Honda Motor Co Ltd | 電子制御装置の異常判別方法 |
| JPS5968004A (ja) * | 1982-10-12 | 1984-04-17 | Honda Motor Co Ltd | 車載用コンピユ−タのフエイルセ−フ方法 |
| JPS59211143A (ja) * | 1983-05-17 | 1984-11-29 | Nissan Motor Co Ltd | マイクロコンピユ−タを用いた車両用制御回路 |
| US4558416A (en) * | 1983-05-27 | 1985-12-10 | Allied Corporation | Method for maintaining the integrity of a dual microprocessor multiprocessing computing system |
| US4610013A (en) * | 1983-11-08 | 1986-09-02 | Avco Corporation | Remote multiplexer terminal with redundant central processor units |
| DE3342848A1 (de) * | 1983-11-26 | 1985-06-05 | Robert Bosch Gmbh, 7000 Stuttgart | Sicherheitseinrichtung fuer eine elektronisch gesteuerte oder geregelte brennkraftmaschine mit mikrocomputer |
| GB2158613B (en) * | 1984-04-19 | 1987-07-15 | Nissan Motor | Fail-safe circuit for a control system |
| JPS60259513A (ja) * | 1984-06-06 | 1985-12-21 | Nissan Motor Co Ltd | 車両用サスペンシヨン制御装置 |
| JPH0811942B2 (ja) * | 1984-07-11 | 1996-02-07 | 株式会社日立製作所 | エンジン制御装置 |
| JPS62157953A (ja) * | 1985-12-28 | 1987-07-13 | Honda Motor Co Ltd | 異常検知機能を備えたマイクロコンピユ−タ |
| JPS62161037A (ja) * | 1986-01-09 | 1987-07-17 | Nippon Denso Co Ltd | 車両に搭載される総合診断装置 |
| JPS63246449A (ja) * | 1987-03-31 | 1988-10-13 | Nippon Denso Co Ltd | 内燃機関制御装置 |
| JPH0218169A (ja) * | 1988-07-05 | 1990-01-22 | Nissan Motor Co Ltd | 4輪操舵車両のフェイルセーフ機構 |
| JP3117442B2 (ja) * | 1988-07-07 | 2000-12-11 | 株式会社日立製作所 | 車両制御装置 |
| GB2251499A (en) * | 1991-01-05 | 1992-07-08 | Delco Electronics Corp | Electronic control module. |
-
1991
- 1991-07-04 JP JP3164607A patent/JPH0510201A/ja active Pending
-
1992
- 1992-07-02 GB GB9214083A patent/GB2258058B/en not_active Expired - Fee Related
- 1992-07-03 DE DE4221815A patent/DE4221815C2/de not_active Expired - Fee Related
-
1995
- 1995-03-15 US US08/405,398 patent/US5526267A/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS63183254A (ja) * | 1987-01-15 | 1988-07-28 | ローベルト・ボッシュ・ゲゼルシャフト・ミット・ベシュレンクテル・ハフツング | 2つのプロセッサからなる自動車のコンピュータシステムを監視する装置 |
| US4881227A (en) * | 1987-01-15 | 1989-11-14 | Robert Bosch Gmbh | Arrangement for monitoring a computer system having two processors in a motor vehicle |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0936515A1 (de) * | 1998-02-17 | 1999-08-18 | Robert Bosch Gmbh | Mehrprozessor-Steuervorrichtung |
| EP1106809A2 (de) * | 1999-11-30 | 2001-06-13 | Denso Corporation | Elektronischer Steuerapparat, der eine Modusüberprüfungsfunktion hat |
| EP1106809A3 (de) * | 1999-11-30 | 2002-07-31 | Denso Corporation | Elektronischer Steuerapparat, der eine Modusüberprüfungsfunktion hat |
| US6671565B1 (en) | 1999-11-30 | 2003-12-30 | Denso Corporation | Electronic control apparatus having mode check function |
| US20160195055A1 (en) * | 2013-10-15 | 2016-07-07 | Ngk Spark Plug Co., Ltd. | Ignition timing control device and ignition timing control system |
| US10024295B2 (en) * | 2013-10-15 | 2018-07-17 | Ngk Spark Plug Co., Ltd. | Ignition timing control device and ignition timing control system |
Also Published As
| Publication number | Publication date |
|---|---|
| US5526267A (en) | 1996-06-11 |
| GB9214083D0 (en) | 1992-08-12 |
| GB2258058B (en) | 1995-06-14 |
| JPH0510201A (ja) | 1993-01-19 |
| DE4221815C2 (de) | 1995-04-13 |
| GB2258058A (en) | 1993-01-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE4221815C2 (de) | Verfahren zur Behandlung von Störungen in einer elektronischen Steuereinheit eines Fahrzeugs | |
| DE4221815C9 (de) | Verfahren zur Behandlung von Störungen in einer elektronischen Steuereinheit eines Fahrzeugs | |
| DE4129809C2 (de) | Mehrrechnersystem | |
| EP0512240B1 (de) | System zur Steuerung eines Kraftfahrzeuges | |
| DE10255614B4 (de) | Elektronisches Fahrzeug-Steuersystem mit betriebssicherer Funktion | |
| DE112017006451T5 (de) | Gemeinsam genutzte Backup-Einheit und Steuersystem | |
| DE19513939C2 (de) | Steuervorrichtung zum Steuern von mindestens einer Einrichtung eines Fahrzeugs und Verfahren zum Betrieb einer Steuervorrichtung | |
| DE112016000992T5 (de) | Programmneuschreibvorrichtung und programmneuschreibverfahren | |
| DE10119197A1 (de) | Elektronische Steuereinrichtung für Fahrzeuge | |
| DE10243589A1 (de) | Fahrzeugelektroniksteuereinrichtung | |
| DE102018201119A1 (de) | Verfahren zum Überwachen der Energieversorgung eines Kraftfahrzeugs mit automatisierter Fahrfunktion | |
| DE3336977C2 (de) | Schaltungsanordnung zur Vermeidung eines HALT-Zustandes für einen Fahrzeugcomputer | |
| DE102018002156A1 (de) | Ein verbessertes Steuerungssystem und ein verbessertes Steuerungsverfahren für das autonome Steuern eines Kraftfahrzeugs | |
| DE102015003194A1 (de) | Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern | |
| DE19750026B4 (de) | Verfahren und Vorrichtung zum Betreiben von Steuereinrichtungen für ein Fahrzeug | |
| DE3514079A1 (de) | Ausfallsicherungskreis fuer ein steuerungssystem | |
| WO2004068346A1 (de) | Steuergerät für ein kraftfahrzeug und kommunikationsverfahren dafür | |
| CH693867A5 (de) | Vorrichtung und Verfahren zur Ueberwachung der Spannungsversorgung einer Kfz-Steuergeratanordnung | |
| DE3544079A1 (de) | Rechner mit interrupt-programm | |
| DE102013221098B4 (de) | Fahrzeugsteuereinheit | |
| WO2013079520A1 (de) | Verfahren und vorrichtung zum feststellen eines fehlers in verbindungleitungen zwischen einer zentraleinheit und einer mehrzahl von voreinander unabhängigen elektronischen baueinheiten | |
| DE102019004612A1 (de) | Verfahren zum Betreiben eines Fahrzeugs mit einem Steuergerät | |
| DE4416879A1 (de) | Steuergerät | |
| EP0553472B1 (de) | Verfahren und Vorrichtung zum Prüfen einer Einrichtung, die wenigstens einen Mikrorechner enthält | |
| DE112016006679T5 (de) | Steuerungsvorrichtung und Recovery-Verarbeitungsverfahren für Steuerungsvorrichtung |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| OP8 | Request for examination as to paragraph 44 patent law | ||
| D2 | Grant after examination | ||
| 8364 | No opposition during term of opposition | ||
| 8320 | Willingness to grant licences declared (paragraph 23) | ||
| 8339 | Ceased/non-payment of the annual fee |