DE60313241T2 - Kommunikationssteuerungseinrichtung und Verfahren zur Fehlerüberwachung - Google Patents

Kommunikationssteuerungseinrichtung und Verfahren zur Fehlerüberwachung Download PDF

Info

Publication number
DE60313241T2
DE60313241T2 DE60313241T DE60313241T DE60313241T2 DE 60313241 T2 DE60313241 T2 DE 60313241T2 DE 60313241 T DE60313241 T DE 60313241T DE 60313241 T DE60313241 T DE 60313241T DE 60313241 T2 DE60313241 T2 DE 60313241T2
Authority
DE
Germany
Prior art keywords
error
control unit
communication
control
communication signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60313241T
Other languages
English (en)
Other versions
DE60313241D1 (de
Inventor
Yuichi Chiyoda -Ku Kuramochi
Toshio Chiyoda -Ku Manaka
Hiroyuki Chiyoda -Ku Saito
Yoshida Chiyoda -Ku Tatsuya
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Publication of DE60313241D1 publication Critical patent/DE60313241D1/de
Application granted granted Critical
Publication of DE60313241T2 publication Critical patent/DE60313241T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24033Failure, fault detection and isolation
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24073Avoid propagation of fault

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Small-Scale Networks (AREA)
  • Selective Calling Equipment (AREA)
  • Safety Devices In Control Systems (AREA)

Description

  • HINTERGRUND DER ERFINDUNG
  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft ein Kommunikationssteuerungssystem mit mehreren Steuerungseinheiten sowie ein Fehlerüberwachungsverfahren. Insbesondere betrifft sie ein Kommunikationssteuerungssystem, das eine Funktion zur Erfassung eines Fehlers und zur Durchführung einer Ausfallsicherung aufweist, wenn der Fehler in mindestens einer der Steuerungseinheiten aufgetreten ist, und sie betrifft ein Fehlerüberwachungsverfahren zur Realisierung der Ausfallsicherungsfunktion.
  • Stand der Technik
  • Wenn in einem konventionellen Kommunikationssteuerungssystem mit mehreren Steuerungseinheiten in mindestens einer der Steuerungseinheiten ein Fehler aufgetreten ist, führt die fehlerhafte Steuerungseinheit eine systematische Ausfallsicherung durch, indem sie eine eigene Warnlampe einschaltet, um einem Benutzer den Fehler mitzuteilen, oder indem sie die Steuerungssignalsendung an ein Stellglied ausschaltet oder indem sie die Stromversorgung für eine Stellglied-Steuerungseinheit abschaltet. Was den Fehler eines Kommunikationssignals betrifft, wird ein bestimmtes wichtiges Steuerungssignal mit einem Hardware-Signal zur Bildung eines Redundanzsystems kombiniert, und die sich ergebende Signalkombination wird mit einem Kommunikationssignal verglichen, um die Zuverlässigkeit sicherzustellen.
  • Ein Verfahren zur Überwachung auf einem Niveau zwischen CPUs in einer Steuerungseinheit ist durch die japanische Offenlegungsschrift Nr. 11-190251, usw. offenbart. Ein Verfahren zur Realisierung eines Ausfallsicherungsmechanismus eines Sicherungs-ICs ist durch die japanische Patentoffenlegungsschrift Nr. 8-147001 usw. offenbart. Ein Verfahren zur Überwachung eines Mikrocomputer (CPU)-Fehlers durch einen peripheren IC ist durch die japanische Offenlegungsschrift Nr. 2001-312325 offenbart.
  • Da ein Kommunikationssteuerungssystem auf allen technischen Gebieten eine immer weiter verbreitete Anwendung findet, wird es häufiger als verteiltes Steuerungssystem eingesetzt. Beispielsweise ist in einem Kraftfahrzeug, das mit einem konventionellen Kommunikationssteuerungssystem mit mehreren Steuerungseinheiten ausgestattet ist, eine Warnlampe an einem Messfeld angebracht, um den Fahrer über einen Fehler zu informieren, wenn der Fehler in mindestens einer der Steuerungseinheiten aufgetreten ist. Das Einschalten der Warmlampe erfolgt durch die Steuerungseinheit, in der der Fehler vorliegt.
  • Wenn jedoch der Gedanke der verteilten Steuerung übernommen wird, wird eine Messeinheit in ein Kommunikationssystem eingebaut, so dass die fehlerhafte Einheit ein Fehlersignal an die Messeinheit sendet. Die Messeinheit erfasst das Fehlersignal und schaltet eine Warnlampe ein. Weiterhin steuert in einem ACC (Adaptive Cruise Control)-System eine ACC-Regelungseinheit ein Drosselstellglied oder ein Bremsstellglied zur Fahrzeugfahrsteuerung nicht direkt an, sondern sendet einen Drehmomentbefehlswert und einen Bremsflüssigkeitsdruck-Befehlswert über einen Kommunikationsbus an eine Motorsteuerungseinheit bzw. Bremssteuerungseinheit. Dadurch steuern die jeweiligen Steuerungseinheiten eine Drossel und Bremse nach Maßgabe von empfangenen Daten an.
  • Ein hier vorliegendes Problem besteht darin, dass Datenkommunikationen, die zwischen Komponenteneinheiten des Kommunikationssteuerungssystems ausgetauscht werden, in einer jeweiligen Steuerungseinheit über einen Mikrocomputer gesendet/empfangen werden. Konkret gesagt kann, wenn im Mikrocomputer oder einem Peripheriegerät ein Fehler auftritt, ein Fehler in einer Steuerungseinheit nicht jederzeit präzise an eine andere Steuerungseinheit gesendet werden. Als Ergebnis kann das System mit seiner Tätigkeit fortfahren, während man einen Steuerungsfehler vorliegen lässt.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • EP 0 033 228 offenbart ein industrielles Steuersystem. Es beinhaltet mehrere entfernt positionierte Prozesssteuerungseinheiten, die jede mit einer zugeordneten E/A-Vorrichtung gekoppelt und so angepasst sind, dass sie miteinander durch eine Zweikanal-Kommunikationsverbindung kommunizieren. Entfernt positionierte redundante Vorgangssteuerungseinheiten sind zur Erfassung des Fehlers von einer der Steuerungseinheiten und, im Bedarfsfall, zur Übernahme der Steuerungsverantwortlichkeit über diese bereitgestellt.
  • US 4 542 479 offenbart ein verteiltes Steuerungssystem, in dem mehrere gesteuerte Objekte jeweils durch unabhängige Steuerungen gesteuert werden. Jede der Steuerungen weist eine Überwachungsfunktion zur Überwachung des Status von mindestens einer der anderen Steuerungen und eine Sicherungs-Steuerungsfunktion zur Steuerung des Steuerungsobjekts auf, das normalerweise durch die eine Steuerung gesteuert wird, wenn die eine Steuerung ausfällt.
  • JP 2000069117 beschreibt eine Überwachungs- und Steuerungsunterstützungsvorrichtung. Eine Steuerungseinrichtung vermittelt, um Information zu senden, während sie zwischen Vorrichtungen und An schlüssen überwacht und steuert. Eine Fehlerverarbeitungseinrichtung trennt Kommunikationsleitungen durch Kommunikationsschnittstelleneinrichtungen, die den Kommunikationsleitungen zwischen den Kommunikationsschnittstelleinrichtungen entsprechen, wenn ein Zuführungsvorgang zur Übersendung von durch die Steuerungseinrichtung vermittelter Information kein vorgegebener Vorgang und falsch ist.
  • Aufgabe der Erfindung ist die Bereitstellung eines Kommunikationssteuerungssystems und eines Fehlerüberwachungsverfahrens in einem Kommunikationssteuerungssystem für eine verteilte Steuerung, die durch Stromversorgungsfehler verursachte Fehler reduzieren kann.
  • Diese Aufgabe wird gemäß den Merkmalen der unabhängigen Ansprüche gelöst. Abhängige Ansprüche sind auf bevorzugte Ausführungsformen der Erfindung gerichtet.
  • Zur Lösung der vorstehenden Aufgabe umfasst ein Kommunikationssteuerungssystem der vorliegenden Erfindung mehrere Steuerungseinheiten, die mit einem Kommunikationsbus verbunden sind, um bidirektionale Kommunikation zu ermöglichen. Jede der Steuerungseinheiten weist eine Fehlererfassungseinrichtung zur Erfassung eines Fehlers auf, wenn er auftritt, und zum Erzeugen eines Fehlererfassungssignals, und eine Kommunikationssignal-Abschalteinrichtung, die nach Maßgabe eines Fehlererfassungssignals arbeitet, das von der Fehlererfassungseinrichtung erzeugt wurde, und schaltet das Aussenden eines Kommunikationssignals von den Steuerungseinheiten ab.
  • Gemäß dem Kommunikationssteuerungssystem der vorliegenden Erfindung wird ein Fehler einer jeweiligen Steuerungseinheit durch die Fehlererfassungseinrichtung ihrer Steuerungseinheit erfasst und die Steuerungseinheit erzeugt bei Erfassung eines Fehlers ein Fehlererfassungssignal. Das Fehlererfassungssignal aktiviert die Kommunikationssignal-Abschalteinrichtung, die dann das Aussenden des Kommunikationssignals von der Steuerungseinheit abschaltet.
  • Jede Steuerungseinheit in dem Kommunikationssteuerungssystem der vorliegenden Erfindung umfasst eine Haupt-CPU, einen Überwachungs-IC zum Überwachen der Tätigkeit der Haupt-CPU und einen Stromversorgungs-IC mit der Fähigkeit zur Erfassung eines Konstantspannungsfehlers. Die Fehlererfassungseinrichtung umfasst den Überwachungs-IC und den Stromversorgungs-IC. Wenn das Kommunikationssteuerungssystem auf einem CAN (Control Area Network)-Kommunikationssystem basiert, beinhaltet jede Steuerungseinheit eine CPU, die als CAN-Steuerung eingesetzt wird, und einen CAN-Treiber, der als Kommunikationsschnittstelle verwendet wird.
  • Wenn ein Fehler in dem Kommunikationssteuerungssystem der vorliegenden Erfindung auftritt, schaltet eine Steuerungseinheit, in der ein Fehler erfasst wird, das Aussenden des Kommunikationssignals ab. Daher kann eine weitere Steuerungseinheit, in der kein Fehler erfasst wird, das Auftreten des Fehlers in der vorstehend genannten fehlerhaften Steuerungseinheit nach Maßgabe ihres eigenen Empfangsstatus identifizieren. Als Ergebnis kann die weitere Steuerungseinheit, die das Auftreten des Fehlers identifiziert hat, eine mit ihr selbst verbundene Warneinrichtung in Betrieb nehmen, um eine Bedienperson von dem Auftreten des Fehlers zu benachrichtigen oder die Tätigkeit des Stellglieds anzuhalten, das zur Steuerung von Zwecken für eine Ausfallsicherungsverarbeitung anvisiert wird.
  • Die Kommunikationssignal-Abschalteinrichtung, die in das Kommunikationssteuerungssystem der vorliegenden Erfindung eingebaut ist, schaltet das Aussenden des Kommunikationssignals von einer Steuerungseinheit, in der ein Fehler erfasst wird, ab, indem sie die Kommunikationsleitung abkoppelt (das Aussenden des Kommunikationssignals abschaltet), indem sie die Übertragungsleitung für den Kommunikationsabschnitt in der Steuerungseinheit, in der der Fehler erfasst wird, abkoppelt, indem sie die Stromversorgung zur Kommunikationsschnittstelle für die Steuerungseinheit, in der der Fehler erfasst wird, abschaltet oder indem sie die Kommunikationsschnittstelle für den Kommunikationsabschnitt der Steuerungseinheit, in der der Fehler erfasst wird, in einen Schlafmodus versetzt.
  • Zur Lösung der obigen Aufgabe dient das Verfahren zum Überwachen eines Fehlers in dem Kommunikationssteuerungssystem der vorliegenden Erfindung als Fehlerüberwachungsverfahren für das Kommunikationssteuerungssystem mit mehreren Steuerungseinheiten, die über einen Kommunikationsbus so miteinander verbunden sind, dass eine direktionale Kommunikation möglich ist. Dieses Fehlerüberwachungsverfahren erfasst einen Fehler in einer Steuerungseinheit, schaltet die Aussendung eines Kommunikationssignals von der Steuerungseinheit auf die Fehlererfassung hin ab und schaltet das Aussenden des Kommunikationssignals von der Steuerungseinheit, in der ein Fehler erfasst wurde, zu dem Zweck ab, eine weitere Steuerungseinheit zu veranlassen, das Auftreten eines Fehlers in der Steuerungseinheit, in der der Fehler erfasst wird, nach Maßgabe des eigenen Kommunikationssignal-Empfangszustands zu identifizieren.
  • Das Fehlerüberwachungsverfahren für das Kommunikationssteuerungssystem der vorliegenden Erfindung schaltet das Aussenden des Kommunikationssignals von einer Steuerungseinheit ab, in der ein Fehler erfasst wurde. Dieses Abschalten des Aussendens des Kom munikationssignals wird vom Kommunikationssignal-Empfangsstatus der anderen Steuerungseinheit erfasst. Infolgedessen wird das Auftreten eines Fehlers in einer Steuerungseinheit durch eine andere Steuerungseinheit erkannt.
  • Beim Auftreten eines Fehlers benachrichtigt das Fehlerüberwachungsverfahren für das Kommunikationssteuerungssystem der vorliegenden Erfindung die Bedienperson von dem Fehler durch Betätigen der Warneinrichtung in einer Steuerungseinheit, die das Auftreten des Fehlers identifiziert hat, und hält zu Zwecken der Ausfallsicherungsverarbeitung das Stellglied an, das durch eine Steuerungseinheit gesteuert wird, die das Auftreten des Fehlers identifiziert hat.
  • Beim Erfassen eines Fehlers schaltet das Fehlerüberwachungsverfahren für das Kommunikationssteuerungssystem der vorliegenden Erfindung das Aussenden des Kommunikationssignals von einer Steuerungseinheit, in der ein Fehler aufgetreten ist, durch Abkoppeln der Kommunikationsleitung und durch Abkoppeln der Sendeleitung für den Kommunikationsabschnitt der Steuerungseinheit, in der der Fehler erfasst wird, ab, indem die Stromversorgung für die Kommunikationsschnittstelle für den Kommunikationsabschnitt der Steuerungseinheit, in der der Fehler erfasst wird, abgeschaltet oder indem die Kommunikationsschnittstelle für den Kommunikationsabschnitt der Steuerungseinheit, in der der Fehler erfasst wurde, in einen Schlafmodus versetzt wird.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein schematisches Blockdiagramm einer Ausführungsform eines Kommunikationssteuerungssystems gemäß der vorliegenden Erfindung.
  • 2 ist eine Datentabelle, die eine Ausführungsform eines Kommunikationssteuerungssystem gemäß der vorliegenden Erfindung veranschaulicht.
  • 3 ist ein Flussdiagramm, das einen Ausfallsicherungsvorgang einer Ausführungsform eines Kommunikationssteuerungssystems gemäß der vorliegenden Erfindung veranschaulicht.
  • 4 ist ein Flussdiagramm, das einen Ausfallsicherungsvorgang einer Ausführungsform eines Kommunikationssteuerungssystems gemäß der vorliegenden Erfindung veranschaulicht.
  • 5 ist ein schematisches Blockdiagramm einer ersten Ausführungsform eines Kommunikationssteuerungssystems gemäß der vorliegenden Erfindung.
  • 6 ist ein schematisches Blockdiagramm einer zweiten Ausführungsform eines Kommunikationssteuerungssystems gemäß der vorliegenden Erfindung.
  • 7 ist ein schematisches Blockdiagramm einer dritten Ausführungsform eines Kommunikationssteuerungssystems gemäß der vorliegenden Erfindung.
  • 8 ist ein schematisches Blockdiagramm einer vierten Ausführungsform eines Kommunikationssteuerungssystems gemäß der vorliegenden Erfindung.
  • 9 ist ein schematisches Blockdiagramm einer fünften Ausführungsform eines Kommunikationssteuerungssystems gemäß der vorliegenden Erfindung.
  • BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORM
  • Bevorzugte Ausführungsformen der vorliegenden Erfindung werden nun unter Bezugnahme auf die beigefügten Zeichnungen beschrieben.
  • 1 veranschaulicht eine typische Konfiguration eines Kommunikationssteuerungssystems gemäß einer Ausführungsform der vorliegenden Erfindung. Das Kommunikationssteuerungssystem beinhaltet mehrere Steuerungseinheiten 10A, 10B10N. Die Steuerungseinheiten 10A, 10B10N sind über einen Kommunikationsbus 100 miteinander verbunden, so dass eine bidirektionale Kommunikation möglich ist. Diese Steuerungseinheiten 10A, 10B10N tauschen miteinander Daten aus und üben eine Steuerung der Stellglieder 41, Warnlampen 42, Motoren 43 und weitere mit deren Ausgängen verbundenen Komponenten aus.
  • Zur Vereinfachung der Erläuterung wird in der vorliegenden Erfindung angenommen, dass die Steuerungseinheit 10A (Einheit A) fehlerhaft ist. Da alle Steuerungseinheiten 10A, 10B10N im Wesentlichen denselben Aufbau aufweisen, wird hier nun die Steuerungseinheit 10A beschrieben.
  • Die Steuerungseinheit 10A beinhaltet eine Haupt-CPU 11, einen Überwachungs-IC 12 zum Überwachen der Ergebnisse von durch die Haupt-CPU 11 durchgeführten Berechnungen, einen Stromversorgungs-IC 13, Eingabeschnittstellenabschnitte 14 zur Erfassung eines Schaltsignals, einen Ausgabeschnittstellenabschnitt 15 zum Ausgeben eines Signals an ein Stellglied 41 und einen Kommunikationstreiber 16 zum Austauschen von Kommunikationssignalen mit dem Kommunikationsbus 100.
  • Die Haupt-CPU 11 beinhaltet Eingabeports 17 zum Empfangen einer Signaleingabe von den Eingabeschnittstellenabschnitten 14, einen Ausgabeport 18 zum Ausgeben eines Signals an den Ausgabeschnittstellenabschnitt 15, einen Kommunikationsport 19 zum Austauschen von Kommunikationssignalen mit dem Kommunikationstreiber 16, einen parallelen Port 20 zur Herstellung einer parallelen Verbindung mit dem Überwachungs-IC 12, einen P_RUN-Signal-Ausgabeanschluss 21 und einen RESET-Signal-Eingabeanschluss 22.
  • Eine 3-Eingabe-UND-Schaltung 30 ist zwischen dem Ausgabeport 18 und dem Ausgabeschnittstellenabschnitt 15 der Haupt-CPU 11 vorgesehen. Die 3-Eingabe-UND-Schaltung 30 schaltet selektiv das Aussenden des Stellgliedansteuersignals von dem Ausgabeport 18 zum Ausgabeschnittstellenabschnitt 15 ab.
  • Eine Kommunikationssignal-Ausschalteinrichtung 31 ist zwischen dem Kommunikationsport 19 und dem Kommunikationstreiber 16 der Haupt-CPU 11 vorgesehen. Die Kommunikationssignal-Ausschalteinrichtung 31 schließt sich, wenn die Ausgabe einer 2-Eingabe-UND-Schaltung 32 hoch ist, und öffnet sich, wenn dieselbe Ausgabe niedrig ist.
  • Der Stromversorgungs-IC 13 beinhaltet einen Konstantspannungs-Ausgabeanschluss 26, einen Konstantspannungsfehler-Ausgabeanschluss 27, einen P_RUN-Signal-Eingabeanschluss 28 zum Empfangen einer RUN-Signal-Eingabe von dem P_RUN-Signal-Ausgabeanschluss 21 der Haupt-CPU 11 und einen RESET-Signal-Ausgabeanschluss 29 zum Ausgeben eines Rückstellsignals an den RESET-Signal-Eingabeanschluss 22 der Haupt-CPU 11. Der Stromversorgungs-IC 13 überwacht das RUN-Signal, das von der Haupt-CPU 11 ausgegeben wird. Bei Erkennung eines Fehlers stellt der Stromversorgungs-IC 13 die Haupt-CPU 11 durch Ausgeben eines Rückstell signals an die Haupt-CPU 11 von dem RESET-Signal-Ausgabeanschluss 29 zurück.
  • Die Ausgabe (Konstantspannungsfehler-Ausgabesignal) von dem Konstantspannungsfehler-Ausgabeanschluss 27 des Stromversorgungs-ICs 13 wird in die 3-Eingabe-UND-Schaltung 30 und die 2-Eingabe-UND-Schaltung 32 eingegeben. Wenn die Konstantspannungswertausgabe von dem Stromversorgungs-IC 13 anormal ist, kann keine normale Beurteilung aufgrund unstabiler Tätigkeiten der Haupt-CPU 11 und des Überwachungs-ICs 12 formuliert werden. Daher wechselt das Signalniveau zu Zwecken der Signalisierung einer Fehlererfassung von hoch zu niedrig.
  • Infolgedessen wird, wenn die Konstantspannungswertausgabe von dem Stromversorgungs-IC 13 anormal ist, ein Ausfallsicherungsvorgang so durchgeführt, dass die 3-Eingabe-UND-Schaltung 30 das von der Haupt-CPU 11 an den Ausgabeschnittstellenabschnitt 15 zum Antreiben des Stellglieds 41 einzugebende Signal abschaltet und dass die Signalabschalteinrichtung 31 das von dem Kommunikationsport 19 an den Kommunikationstreiber 16 einzugebende Signal abschaltet.
  • Der Überwachungs-IC 12 beinhaltet einen parallelen Port 23 zur Herstellung einer parallelen Verbindung mit der Haupt-CPU 11, einen P_RUN-Signal-Eingabeanschluss 24 zum Empfangen einer RUN-Signaleingabe von dem P_RUN-Signal-Ausgabeanschluss 21 der Haupt-CPU 11 und einen Systemabschaltungssignal-Ausgabeanschluss 25 zum Ausgeben eines Systemabschaltungssignals als Fehlererfassungssignal.
  • Der Überwachungs-IC 12 gibt ein Systemabschaltungssignal von dem Systemabschaltungssignal-Ausgabeanschluss 25 in die 3-Eingabe- UND-Schaltung 30 und die 2-Eingabe-UND-Schaltung 32 ein, gibt ein RUN-Signal von der Haupt-CPU 11 an den P_RUN-Signaleingabeanschluss 24 ein und vergleicht Registerberechnungsergebnisse über den parallelen Port 23. Wenn der Vergleich irgendeinen Fehler zeigt, ändert der Überwachungs-IC 12 das Niveau des Systemabschaltungssignals (Fehlererfassungssignals) von hoch auf niedrig.
  • Wenn ein Fehler durch den Überwachungs-IC 12 in der obigen Weise erkannt wird, wird ein Ausfallsicherungsvorgang durchgeführt, so dass die 3-Eingabe-UND-Schaltung 30 das von der Haupt-CPU 11 zum Ausgabeschnittstellenabschnitt 15 zum Ansteuern des Stellglieds 41 einzugebende Signal abschaltet und dass die Signalabschaltungseinrichtung 31 das von dem Kommunikationsport 19 zum Kommunikationstreiber 16 einzugebende Signal abschaltet.
  • Wenn das Kommunikationssignal nach Maßgabe eines Konstantspannungsfehlersignals und eines Systemabschaltungssignals, die durch den Stromversorgungs-IC 13 und den Überwachungs-IC 12 erzeugt werden, abgeschaltet wird, erfasst eine weitere Steuerungseinheit (10B, 10C, usw.) eine solche Kommunikationssignalabschaltung und führt einen Ausfallsicherungsvorgang durch. Dieser Ausfallsicherungsvorgang wird nun unter Bezugnahme auf 2 und 3 beschrieben.
  • 2 zeigt ein Beispiel für Kommunikationsdaten, die durch die in 1 gezeigten Kommunikationssteuerungsvorrichtungen ausgetauscht werden. Einzelnen Kommunikationsdaten werden einzigartige Kennungsnummern zugeteilt, so dass die Datenlänge, Sendungsintervalle und Sende- und Empfangseinheiten für alle Kommunikationsdaten festgelegt werden.
  • Für das vorliegende Beispiel wird angenommen, dass 4-Bit-Daten mit der Daten-Kennungsnummer 123 von der Steuerungseinheit 10A (Einheit A) zur Steuerungseinheit 10B (Einheit B) und Steuerungseinheit 10C (Einheit C) gesendet werden. Von den Steuerungseinheiten 10B und 10C gesehen, werden die Daten mit der Daten-Kennungsnummer 123 in Intervallen von 100 ms aktualisiert und durch Steuerungseinheiten 10B und 10C überwacht.
  • Die 3-Eingabe-UND-Schaltung 30 verbindet die Ausgabe von dem Ausgabeschnittstellenabschnitt 15 mit der Konstantspannungsfehlerausgabe von dem Stromversorgungs-IC 13 mit einem UND, selbst wenn der Ausgabeport 18 gesteuert wird und das hohe Niveau überwiegt. Wenn daher zum Beispiel die Konstantspannungsausgabe von einem spezifizierten Wert aufgrund eines Fehlers im Strom-IC 13 variiert und das Konstantspannungsfehler-Ausgabesignal niedrig wird, wird das von der Haupt-CPU 11 der Steuerungseinheit 10A an den Ausgabeschnittstellenabschnitt 15 derselben Steuerungseinheit eingegebene Steuerungssignal abgeschaltet und die Tätigkeit des Stellglieds 41 kommt zum Stehen.
  • Die Kommunikationssignal-Abschalteinrichtung 31 arbeitet ebenfalls in derselben Weise. Wenn das Konstantspannungsfehlerausgabesignal des Stromversorgungs-ICs 13 niedrig wird, sendet der Kommunikationstreiber 16 zum Austauschen von Kommunikationssignalen kein Kommunikationssignal, weil er wegen der UND-Verbindung durch die 2-Eingabe-UND-Schaltung 32 abgeschaltet ist. Als Ergebnis können die Steuereinheiten 10B und 10C bis 10N die Daten mit der Daten-Kennungsnummer 123 nicht erkennen.
  • Die Steuereinheit 10B führt wiederholt eine in 3 gezeigte Einheit-B-Ausfallsicherungsverarbeitungsroutine in vorgegebenen Zeitabständen aus. Die Einheit-B-Ausfallsicherungsverarbeitungsroutine überprüft, ob die Daten mit der Kennungsnummer 123 in vorgegebenen Kommunikationsintervallen aktualisiert werden (Schritt S11).
  • Eine allgemein verwendete Einrichtung zur Überprüfung, ob die Daten aktualisiert werden, ist das Inkrementieren eines Datenzählers bei jedem Empfangszyklus und das Überwachen der Daten oder die Durchführung von Berechnungen über bestimmte Daten (zum Beispiel Additionsdaten) bei jedem Kommunikationszyklus und Überprüfen in vorgegebenen Abständen, ob ein bestimmtes Berechnungsergebnis (zum Beispiel Additionsergebnis) ermittelt wurde.
  • Wenn die Datenaktualisierungsüberprüfung ergibt, dass die Daten korrekt aktualisiert werden (die Frage in Schritt S11 wird mit „Ja" beantwortet), wird ein Vorgang durchgeführt, um eine Warnlampe 42 eingeschaltet zu lassen oder die Warmlampe 42 auszuschalten (Schritt S12). Wenn dagegen die Daten nicht korrekt aktualisiert werden (die Frage in Schritt S11 wird mit „Nein" beantwortet), wird die Warnlampe 42 eingeschaltet (Schritt S13), um die Bedienperson (Fahrzeugführer) über einen Fehler zu informieren.
  • In gleicher Weise führt die Steuerungseinheit 10C wiederholt eine in 4 gezeigte Einheit-C-Ausfallsicherungsverarbeitungsroutine in vorgegebenen Zeitabständen aus, um zu überprüfen, ob die Daten mit der Kennungsnummer 123 in vorgegebenen Kommunikationsintervallen aktualisiert werden (Schritt S21).
  • Wenn die Datenaktualisierungsüberprüfung ergibt, dass die Daten korrekt aktualisiert werden (die Frage in Schritt S21 wird mit „Ja" beantwortet), wird zugelassen, dass ein Motor 43 angetrieben wird (Schritt S22). Wenn dagegen die Daten nicht korrekt aktualisiert werden (die Frage in Schritt S21 wird mit „Nein" beantwortet), wird verhindert, dass der Motor 43 angetrieben wird und er wird zu einem zwangsweisen Halten gebracht (Schritt S23), um einen Ausfallsicherungsvorgang durchzuführen.
  • Wenn in einem Kommunikationssteuerungssystem ein Fehler auftritt, fährt die Kommunikationssignal-Abschalteinrichtung 31, wie oben beschrieben, nicht weiter mit der Datenübertragung von einer Steuerungssignal-Sende-Steuerungseinheit (zum Beispiel Steuerungseinheit 10A), in der der Fehler erfasst wird, fort und eine Empfangsende-Steuerungseinheit (zum Beispiel Steuerungseinheit 10B oder 10C) erfasst, dass die Datenaktualisierung unterbrochen ist. Dies stellt sicher, dass ein Ausfallsicherungsvorgang korrekt durchgeführt werden kann. Bei der Kommunikationsabschaltung ist es wichtig, dass die Abschaltlogik eines Abschaltungsendes auf die rezessive Seite beschränkt ist, um die Kommunikationen unter den anderen Einheiten aufrechtzuerhalten.
  • Einige Ausführungsformen der Kommunikationssignal-Abschalteinrichtung 31, die die vorgenannten Anforderungen erfüllen, werden nun unter Bezugnahme auf 5 bis 9 beschrieben. Zum Zweck dieser Beschreibung wird eine Steuerungseinheit, in der ein Fehler festgestellt wird, als fehlerhafte Einheit 50 bezeichnet, während eine andere Steuerungseinheit als die fehlerhafte Einheit als die andere Einheit 90 bezeichnet wird.
  • 5 veranschaulicht eine erste Ausführungsform der vorliegenden Erfindung. Sie stellt eine Ausführungsform dar, die die Leitung zwischen einer CAN-Steuerungs-CPU 51 und einem CAN-Treiber 52 zur Bereitstellung einer Kommunikationsschnittstelle in einem CAN (Control Area Network)-Kommunikationssystem trennt, das auf einem bestimmten Kommunikationsprotokoll basiert, das nun zunehmend insbesondere in der Kfz- und weiteren Industrien eingesetzt wird. Die CAN-Steuerungs-CPU 51 und der CAN-Treiber 52 sind mit seriellen Kommunikationsleitungen CAN-Rx und CAN-Tx miteinander verbunden.
  • Bei Erfassung eines Konstantspannungsfehlers, eines Systemabschaltungssignals oder eines anderen Fehlersignals in einer fehlerhaften Einheit 50 gibt eine Fehlerüberprüfungseinrichtung 53 ein Fehlererfassungssignal auf hoher Ebene ab (AUSFALL-Signal). Ein Transistorschaltstromkreis 54 führt dann einen Schaltvorgang durch, so dass die serielle Kommunikationsleitung CAN-Tx, die zwischen dem Ausgang der CAN-Steuerung 51 und dem CAN-Treiber 52 verbunden ist, auf niedriger Ebene fixiert ist. Daher bleibt der CAN-Treiber 52 in einem Kein-Signal-Ausgabezustand. Die andere Einheit 90, die mit dem Kommunikationsbus (CAN-Bus) 100 verbunden ist, erfasst diesen Zustand und führt einen Ausfallsicherungsvorgang durch. Die andere Einheit 90 beinhaltet ebenfalls eine CAN-Steuerungs-CPU 91 und einen CAN-Treiber 92. Der CAN-Treiber 52 der fehlerhaften Einheit 50 ist mit dem CAN-Treiber 92 der anderen Einheit 90 mit den Anschlüssen CAN-H und CAN-L verbunden.
  • Wenn der CAN-Treiber 52 der fehlerhaften Einheit 50 in einem Kein-Signal-Ausgabezustand bleibt, schaltet die andere Einheit 90 eine Warnlampe 96 ein, die mit ihrem eigenen Ausgabeschnittstellenabschnitt 95 verbunden ist. In der vorliegenden Ausführungsform kann eine Kommunikationsabschalt-Schaltung innerhalb einer Einheit ausgebildet sein, ohne einen Multiplexseiten-Treiber oder eine andere kostspielige Vorrichtung einzusetzen. Daher ergibt sich keine beträchtliche Kostensteigerung.
  • 6 veranschaulicht eine zweite Ausführungsform, die einen Multiplexseiten-Treiber 55 einschließt, der in einer Stromversorgungsschaltung für den CAN-Treiber 52 der fehlerhaften Einheit 50 vorgesehen ist. Dieser Multiplexseiten-Treiber 55 schaltet den Strom (kon stante Spannung Vcc) für den CAN-Treiber 52 ab. Wenn ein Konstantspannungsfehler, ein Systemabschaltungssignal oder ein anderes Fehlersignal in der fehlerhaften Einheit 50 durch die Fehlerüberprüfungseinheit 53 in der vorliegenden Ausführungsform erfasst wird, gibt die Fehlerüberprüfungseinheit 53 auch ein Fehlererfassungssignal auf hoher Ebene aus.
  • Der Transistorschaltungs-Stromkreis 54 führt dann einen Schaltvorgang durch, so dass der Multiplexseiten-Treiber 55, der dem CAN-Treiber 52 Strom zuführt, seinen Status so ändert, dass er die Stromversorgung an den CAN-Treiber 52 stoppt. Als Ergebnis bleibt der CAN-Treiber 52 in einem Kein-Signal-Ausgabezustand. Die andere Einheit 90, die mit dem Kommunikationsbus 100 verbunden ist, erfasst diesen Zustand und führt dann einen Ausfallsicherungsvorgang in derselben Weise wie in der in 5 gezeigten ersten Ausführungsform durch.
  • In der zweiten Ausführungsform sind die Kosten relativ hoch, weil der Multiplexseiten-Treiber 55 den CAN-Treiber 52 abschaltet, anstatt die Leitung zwischen der CAN-Steuerungs-CPU 51 und dem CAN-Treiber 52 zu trennen. Jedoch ist es nicht notwendig, einen Widerstand oder dergleichen in eine serielle Kommunikationsleitung zwischen der CAN-Steuerungs-CPU 51 und dem CAN-Treiber 52 einzufügen. Daher müssen keine Änderungen am Entwurf vorgenommen werden, um eine verringerte Kommunikationsgeschwindigkeit oder dergleichen zu kompensieren. Die vorliegende Ausführungsform unterstützt hochgradige Spezifikationen für Hochgeschwindigkeitskommunikationen.
  • 7 veranschaulicht eine dritte Ausführungsform, die den Kommunikationsbus (CAN-Bus) 100 außerhalb der fehlerhaften Einheit 50 trennt. In der vorliegenden Ausführungsform ist der Kommunikationsbus 100 mit einem Relaisschalter 61 versehen. Der Relaisschal ter 61 öffnet/schließt sich nach Maßgabe der Ein/Aus-Tätigkeit des Transistorschaltstromkreises 54.
  • Wenn in der vorliegenden Ausführungsform ein Konstantspannungsfehler, ein Systemabschaltungssignal oder ein anderes Fehlersignal in der fehlerhaften Einheit 50 durch die Fehlerüberprüfungseinrichtung 53 erfasst wird, gibt die Fehlerüberprüfungseinrichtung 53 ebenfalls ein Fehlererfassungssignal auf hoher Ebene ab. Der Transistorschaltstromkreis 54 führt dann einen Schaltvorgang durch, um den Relaisschalter 61 zu öffnen, der extern an den Einheiten vorgesehen und an dem zwischen dem CAN-Treiber 52 und der anderen Einheit 90 verbundenen Kommunikationsbus 100 angebracht ist. Als Ergebnis koppelt der Relaisschalter 61 den Kommunikationsbus 100 ab.
  • Wenn der Kommunikationsbus 100 wie oben beschrieben abgekoppelt wird, ist keine Datenübertragung von der fehlerhaften Einheit 50 beim Kommunikationsbus 100 mehr vorhanden, so dass ein Kein-Signal-Ausgabezustand überwiegt. Die andere Einheit 90, die mit dem Kommunikationsbus 100 verbunden ist, erfasst diesen Zustand und führt dann einen Ausfallsicherungsvorgang in derselben Weise wie mit der in 5 gezeigten Ausführungsform durch. In der dritten Ausführungsform können vorhandene Steuerungseinheiten verwendet werden, ohne umgestaltet zu werden, da der Relaisschalter 61 extern zu den Einheiten hinzugefügt wird.
  • 8 veranschaulicht eine vierte Ausführungsform. In der vorliegenden Ausführungsform ist die Vorspannungsleitung b für einen Schalttransistor 57, der mit dem Ausgang eines CAN-Tx-Registers 56 für eine CAN-Steuerungs-CPU 51' verbunden ist, unabhängig außerhalb des CPU-Gehäuses positioniert, so dass die Spannung der Vorspannungsleitung b durch den Schaltstromkreis 54 gesteuert wird.
  • Wenn in der vorliegenden Ausführungsform ein Konstantspannungsfehler, ein Systemabschaltungssignal oder ein anderes Fehlersignal in der fehlerhaften Einheit 50 durch die Fehlerüberprüfungseinrichtung 53 erfasst wird, gibt die Fehlerüberprüfungseinrichtung 53 ebenfalls ein Fehlererfassungssignal auf hoher Ebene ab. Der Transistorschaltstromkreis 54 führt dann einen Schaltvorgang durch, um die Vorspannungsversorgung zum Ausgang des CAN-Tx-Registers 56, das in die CAN-Steuerungs-CPU 51' installiert ist, abzuschalten. Als Ergebnis bleibt der CAN-Treiber 52 in einem Kein-Signal-Ausgabezustand. Die andere Einheit 90, die mit dem Kommunikationsbus 100 verbunden ist, erfasst diesen Zustand und führt dann einen Ausfallsicherungsvorgang in derselben Weise wie mit der in 5 gezeigten Ausführungsform durch. In der vierten Ausführungsform ist die Vorspannungsleitung b, die mit dem Ausgang des CAN-Tx-Registers 56 verbunden ist, lediglich außerhalb der CAN-Steuerungs-CPU 51' verbunden. Da keine anderen Vorrichtungen oder Teile erforderlich sind, nehmen die Kosten nicht zu.
  • 9 veranschaulicht eine fünfte Ausführungsform, in der ein CAN-Treiber 52' eine Schlaf/Standby-Funktion beinhaltet. Wie gut bekannt ist, verringert die Schlaf/Standby-Funktion den Stromverbrauch des Systems während des Intervalls zwischen dem Augenblick, in dem das System angehalten wird, und dem Augenblick, in dem das System später wieder eingeschaltet wird, indem die in einem RAM gespeicherten Daten und verschiedene andere Daten zur Verwendung bei einem System-Neustart beibehalten werden.
  • Wenn der Schlaf/Standby-Anschluss niedrig wird, tritt der CAN-Treiber 52' in einen Schlaf/Standby-Modus ein. Im Schlaf/Standby-Modus hält der CAN-Treiber 52' das Ausgeben von Daten an den CAN-Bus (Kommunikationsbus 100) an und führt nur einen Lesevor gang (zum Lesen von Daten auf dem CAN-Bus) für die CAN-Steuerungs-CPU 51 durch. Der Schlaf/Standby-Anschluss des CAN-Treibers 52' wird nach Maßgabe des Transistorschaltstromkreises 54 hoch oder niedrig.
  • Wenn die Fehlerüberprüfungseinrichtung 53 einen Konstantspannungsfehler, ein Systemabschaltungssignal oder ein anderes Fehlersignal in der fehlerhaften Einheit 50 erfasst und dann ein Fehlererfassungssignal auf hoher Ebene ausgibt, führt der Transistorschaltstromkreis 54 einen Schaltvorgang durch, so dass der Schlaf/Standby-Anschluss des CAN-Treibers 52' niedrig wird. Dies versetzt den CAN-Treiber 52' in den Schlaf/Standby-Modus und verhindert, dass die Ausgabe des CAN-Rx-Signals aus der CAN-Steuerungs-CPU 51 auf dem Kommunikationsbus 100 positioniert wird. Infolgedessen ist keine weitere Datenübertragung von der fehlerhaften Einheit 50 mehr auf dem Kommunikationsbus 100 vorhanden, so dass ein Kein-Signal-Ausgabezustand überwiegt. Die andere Einheit 90, die mit dem Kommunikationsbus 100 verbunden ist, erfasst diesen Zustand und führt dann einen Ausfallsicherungsvorgang in derselben Weise wie mit der in 5 gezeigten Ausführungsform durch.
  • In der vorliegenden Ausführungsform kann der vorhandene CAN-Treiber 52 mit der Schlaf/Standby-Funktion fortgesetzt verwendet werden, so dass keine anderen Vorrichtungen oder Teile benötigt werden. Daher steigen die Kosten nicht an.
  • Obwohl die vorliegende Erfindung hinsichtlich bevorzugter Ausführungsformen (fünf Ausführungsformen) detailliert beschrieben worden ist, sollte es verstanden werden, dass die Erfindung nicht auf jene bevorzugten Ausführungsformen beschränkt ist.
  • Industrielle Anwendbarkeit
  • Wirkung der Erfindung
  • Die vorliegende Erfindung kann einen Fehler in einem verteilten Steuerungssystem für Kommunikationen korrekt erfassen, ungeachtet dessen, welcher Fehler entdeckt wird, eine Einheit befähigen, das Vorhandensein irgendeiner fehlerhaften Einheit zu erfassen, und einen Ausfallsicherungsvorgang präzise durchführen.

Claims (16)

  1. Kommunikationssteuerungssystem, das in einem verteilten Steuerungssystem verwendet wird, mit mehreren Steuerungseinheiten (10A–N, 50, 90), die mit einem Kommunikationsbus (100) verbunden sind, um bidirektionale Kommunikation zu ermöglichen, wobei jede der Steuerungseinheiten eine Haupt-CPU (11) aufweist, eine Leistungsversorgungs-IC (13) mit der Fähigkeit, einen Konstantspannungsfehler zu erfassen, um eine konstante Spannung auszugeben, und eine Fehlererfassungseinrichtung (12) zur Erfassung eines Fehlers in der Haupt-CPU, wenn ein Fehler auftritt, und zum Erzeugen eines Fehlererfassungssignals, und eine Kommunikationssignal-Abschalteinrichtung (3032, 54), die nach Maßgabe eines Fehlererfassungssignals arbeitet, das von der Fehlererfassungseinrichtung oder durch einen im Stromversorgungs-IC erfassten Fehler erzeugt wurde, und das Aussenden eines Kommunikationssignals von der Steuerungseinheit, die den Fehler in der Haupt-CPU (11) oder im Stromversorgungs-IC (13) erfasst, abschaltet.
  2. Kommunikationssteuerungssystem nach Anspruch 1, bei dem die Fehlererfassungseinrichtung einen Überwachungs-IC (12) aufweist zum Überwachen der Tätigkeit der Haupt-CPU.
  3. Kommunikationssteuerungssystem nach Anspruch 1, das auf einer CPU basiert, die für eine CAN-Steuerung verwendet wird, und auf einem CAN-Treiber (15, 16), der als Kommunikationsschnittstelle verwendet wird.
  4. Kommunikationssteuerungssystem nach Anspruch 1, das so organisiert ist, dass das Auftreten eines Fehlers in zumindest einer der Steuerungseinheiten in einer beliebigen anderen Steuerungseinheit identifiziert werden kann, in der kein Fehler erfasst wird, nach Maßgabe des Kommunikationssignal-Empfangszustands in der beliebigen anderen Steuerungseinheit, wobei jede Steuerungseinheit mit einer Warneinrichtung versehen ist; wobei die andere Steuerungseinheit, die das Auftreten eines Fehlers identifiziert hat, die eigene Warneinrichtung in Betrieb nimmt, wenn ein Fehler in einer der anderen Steuerungseinheiten aufgetreten ist.
  5. Kommunikationssteuerungssystem nach Anspruch 1, das so organisiert ist, dass das Auftreten eines Fehlers in zumindest einer der Steuerungseinheiten in jeder anderen Steuerungseinheit identifiziert werden kann, in der kein Fehler erfasst wird, nach Maßgabe des Kommunikationssignal-Empfangszustands in der anderen Steuerungseinheit, wobei die andere Steuerungseinheit, die das Auftreten des Fehlers identifiziert hat, veranlasst, dass die Tätigkeit eines Stellglieds, der von einer anderen Steuerungseinheit betrieben wird, angehalten wird, wenn der Fehler in einer der Steuerungseinheiten aufgetreten ist.
  6. Kommunikationssteuerungssystem nach Anspruch 1, bei dem die Kommunikationssignalabschalteinrichtung die Übersendung eines Kommunikationssignals von der Steuerungseinheit, in der der Fehler erfasst wird, abschaltet, indem die Kommunikationsleitung abgekoppelt wird.
  7. Kommunikationssteuerungssystem nach Anspruch 1, bei dem die Kommunikationssignalabschalteinrichtung die Aussendung eines Kommunikationssignals von der Steuerungseinheit, in der ein Fehler erfasst wird, abschaltet, indem die Übertragungsleitung eines Kommunikationsabschnitts innerhalb der Steuerungseinheit abgekoppelt wird.
  8. Kommunikationssteuerungssystem nach Anspruch 1, bei dem die Kommunikationssignalabschalteinrichtung die Übertragung eines Kommunikationssignals von der Steuerungseinheit, in der ein Fehler erfasst wird, abschaltet, indem die Stromversorgung für eine Kommunikationsschnittstelle der Steuerungseinheit abgeschaltet wird.
  9. Kommunikationssteuerungssystem nach Anspruch 1, bei dem die Kommunikationssignalabschalteinrichtung die Übersendung eines Kommunikationssignals von der Steuerungseinheit, in der ein Fehler erfasst wird, abschaltet, indem die Kommunikationsschnittstelle der Steuerungseinheit in einen Schlafmodus verbracht wird.
  10. Verfahren zum Überwachen eines Fehlers in einem Kommunikationssteuerungssystem, das in einem verteilten Steuerungssystem verwendet wird, mit mehreren Steuerungseinheiten, die über einen Kommunikationsbus so miteinander verbunden sind, dass die direktionale Kommunikation möglich ist, wobei das Verfahren folgende Schritte aufweist: Erfassen eines Fehlers einer Steuerungseinheit, in der ein Fehler aufgetreten ist, wobei der Fehler einen Fehler der Haupt-CPU und einen Fehler in einem Stromversorgungs-IC umfasst; Abschalten auf die Fehlererfassung hin der Aussendung eines Kommunikationssignals von einer Steuerungseinheit, in der ein Fehler erfasst wurde.
  11. Verfahren nach Anspruch 10, mit den weiteren Schritten: Identifizieren des Auftretens eines Fehlers in der Steuerungseinheit durch eine andere Steuerungseinheit, in der kein Fehler auftritt, nach Maßgabe des Kommunikationssignal-Empfangsstatus in der anderen Steuerungseinheit; und Betätigen einer Warneinrichtung der anderen Steuerungseinheit, die das Auftreten des Fehlers identifiziert hat, wenn der Fehler in der anderen Steuerungseinheit aufgetreten ist.
  12. Verfahren nach Anspruch 10, mit den Schritten: Identifizieren des Auftretens eines Fehlers in der Steuerungseinheit durch eine andere Steuerungseinheit, in der kein Fehler auftritt, nach Maßgabe des Kommunikationssignal-Empfangsstatus in der anderen Steuerungseinheit; und Anhalten eines Stellglieds, das durch die andere Steuerungseinheit, die das Auftreten des Fehlers identifiziert hat, gesteuert wird, wenn ein Fehler in einer der anderen Steuerungseinheiten aufgetreten ist.
  13. Verfahren nach Anspruch 10, mit den Schritten: Identifizieren des Auftretens eines Fehlers in der Steuerungseinheit durch eine beliebige andere Steuerungseinheit, in der kein Fehler auftritt, nach Maßgabe des Kommunikationssignal-Empfangsstatus in der anderen Steuerungseinheit; und Abschalten des Aussendens eines Kommunikationssignals auf die Fehlererfassung hin durch Trennen der Kommunikationsleitung.
  14. Verfahren nach Anspruch 10, mit den weiteren Schritten: Identifizieren des Auftretens eines Fehlers in der Steuerungseinheit durch eine beliebige andere Steuerungseinheit, in der kein Fehler auftritt, nach Maßgabe des Kommunikationssignal-Empfangsstatus in der anderen Steuerungseinheit; und Abschalten auf die Fehlererfassung hin der Kommunikationssignalübertragung durch Trennen der Sendeleitung eines Kommunikationsabschnitts in der Steuerungseinheit, in der der Fehler erfasst wurde.
  15. Verfahren nach Anspruch 10 mit den Schritten: Identifizieren des Auftretens eines Fehlers in der Steuerungseinheit durch eine beliebige andere Steuerungseinheit, in der kein Fehler auftritt, anhand des Kommunikationssignal-Empfangsstatus in der beliebigen anderen Steuerungseinheit; Abschalten auf die Fehlererfassung hin der Stromversorgung einer Kommunikationsschnittstelle des Kommunikationsabschnitts in der Steuerungseinheit, in der der Fehler erfasst wurde; und Abschalten des Aussendens des Kommunikationssignals von der Steuerungseinheit, in der ein Fehler erfasst wurde.
  16. Verfahren nach Anspruch 10, mit den Schritten: Identifizieren des Auftretens eines Fehlers in der Steuerungseinheit durch eine beliebige andere Steuerungseinheit, in der kein Fehler auftritt, anhand des Kommunikationssignal-Empfangsstatus in der anderen Steuerungseinheit; und Abschalten der Aussendung eines Kommunikationssignals von der Steuerungseinheit, in der ein Fehler erfasst wurde, durch Versetzen der Kommunikationsschnittstelle der Steuerungseinheit in einen Schlafmodus.
DE60313241T 2002-05-14 2003-05-14 Kommunikationssteuerungseinrichtung und Verfahren zur Fehlerüberwachung Expired - Lifetime DE60313241T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2002138287 2002-05-14
JP2002138287A JP2003333675A (ja) 2002-05-14 2002-05-14 通信系制御装置およびそれの異常監視方法

Publications (2)

Publication Number Publication Date
DE60313241D1 DE60313241D1 (de) 2007-05-31
DE60313241T2 true DE60313241T2 (de) 2007-12-27

Family

ID=29267768

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60313241T Expired - Lifetime DE60313241T2 (de) 2002-05-14 2003-05-14 Kommunikationssteuerungseinrichtung und Verfahren zur Fehlerüberwachung

Country Status (4)

Country Link
US (1) US7610521B2 (de)
EP (1) EP1363174B1 (de)
JP (1) JP2003333675A (de)
DE (1) DE60313241T2 (de)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4152866B2 (ja) 2003-11-19 2008-09-17 株式会社日立製作所 記憶装置、記憶装置システム、および、通信制御方法
JP5018262B2 (ja) * 2007-06-15 2012-09-05 株式会社デンソー 信号出力装置及び通信ドライバ装置
US7746114B2 (en) * 2007-11-14 2010-06-29 Denso Corporation Bus switch and electronic switch
US8441671B2 (en) * 2010-04-30 2013-05-14 Xerox Corporation Dynamic module configuration in a controller area network (CAN) with fixed sub-module board identification and plug-N-play support
JP2012244606A (ja) * 2011-05-24 2012-12-10 Oki Data Corp 画像形成装置
JP5609810B2 (ja) * 2011-07-29 2014-10-22 ブラザー工業株式会社 電子機器、画像形成装置
JP6536011B2 (ja) * 2014-10-31 2019-07-03 株式会社デンソー 電子制御装置
DE102015204714A1 (de) * 2015-03-16 2016-09-22 Robert Bosch Gmbh Teilnehmerstation für ein Bussystem und Verfahren zur Datenübertragung in einem Bussystem
EP3357760A4 (de) * 2015-09-29 2019-06-19 Hitachi Automotive Systems, Ltd. Überwachungssystem und fahrzeugsteuerungsvorrichtung
US11036573B2 (en) 2019-05-16 2021-06-15 Ford Global Technologies, Llc Control processor unit (CPU) error detection by another CPU via communication bus
US10936397B2 (en) 2019-05-23 2021-03-02 Ford Global Technologies, Llc Hybrid control module status communication system and method
JP7319948B2 (ja) * 2019-07-18 2023-08-02 ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング 制御装置、液圧制御ユニット、診断システム及び診断方法
CN112814675A (zh) * 2019-11-18 2021-05-18 南京宝地梅山产城发展有限公司 一种矿山铲运机故障快速检测装置
CN113107033A (zh) * 2021-04-15 2021-07-13 徐州徐工筑路机械有限公司 一种平地机智能控制系统

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA1171543A (en) 1980-01-24 1984-07-24 Billy R. Slater Industrial control system
JPS57174701A (en) 1981-04-20 1982-10-27 Hitachi Ltd Decentralized controlling system
JPS5851647A (ja) 1981-09-22 1983-03-26 Fujitsu Ltd 障害波及防止方式
JPS6054061A (ja) 1983-09-05 1985-03-28 Fujitsu Ltd インタ−フェ−ス回路
JPS62236056A (ja) 1986-04-07 1987-10-16 Nec Corp 情報処理システムの入出力制御装置
DE3926377C2 (de) 1989-08-04 2003-03-06 Bosch Gmbh Robert Elektronisches Steuergerät für eine Brennkraftmaschine
JPH0674047A (ja) 1992-08-25 1994-03-15 Isuzu Motors Ltd 副室式ガスエンジン
JPH07303108A (ja) 1994-05-06 1995-11-14 Yokogawa Denshi Kiki Kk 多重伝送装置
JPH08147001A (ja) 1994-11-24 1996-06-07 Nippondenso Co Ltd バックアップicのフェイルセーフ装置
JPH08339245A (ja) * 1995-06-12 1996-12-24 Hitachi Ltd 演算装置の電源故障検出回路
JP3358412B2 (ja) * 1995-12-04 2002-12-16 トヨタ自動車株式会社 車両用電子制御装置
JPH1022902A (ja) 1996-06-28 1998-01-23 Matsushita Electric Ind Co Ltd 無線装置
US5864653A (en) * 1996-12-31 1999-01-26 Compaq Computer Corporation PCI hot spare capability for failed components
JP3486347B2 (ja) 1998-08-20 2004-01-13 富士通株式会社 監視制御支援装置
JP2001282569A (ja) 2000-03-29 2001-10-12 Fujitsu Ltd インタフェース装置及びその自己診断方法
JP2001312325A (ja) 2000-04-28 2001-11-09 Hitachi Ltd プログラムライセンスキー発行方法及び発行システム
JP2002101109A (ja) 2000-09-26 2002-04-05 Yanmar Agricult Equip Co Ltd 作業機械の制御システム

Also Published As

Publication number Publication date
DE60313241D1 (de) 2007-05-31
JP2003333675A (ja) 2003-11-21
US7610521B2 (en) 2009-10-27
EP1363174A1 (de) 2003-11-19
EP1363174B1 (de) 2007-04-18
US20040030969A1 (en) 2004-02-12

Similar Documents

Publication Publication Date Title
DE19927635B4 (de) Sicherheitsbezogenes Automatisierungsbussystem
DE60313241T2 (de) Kommunikationssteuerungseinrichtung und Verfahren zur Fehlerüberwachung
DE102006056420B4 (de) Sicherheitsmodul und Automatisierungssystem
DE102005014550B4 (de) Brake By-Wire Steuersystem
EP1540428A1 (de) Redundante steuergeräteanordnung
EP1110130B1 (de) Steuergerät
EP2491492A1 (de) Automatisierungssystem und verfahren zum betrieb eines automatisierungssystems
EP1687681A2 (de) Verfahren zum betreiben eines netzwerks
DE69218653T2 (de) Mehrweg-Übertragungssystem
DE2701925A1 (de) Fahrzeugsteuerungssystem mit hoher zuverlaessigkeit
WO2014033171A1 (de) Verfahren zum überwachen einer mit einem kommunikationskanal verbundenen vorrichtung
EP1104365B1 (de) Bussystem in einem fahrzeug und verfahren zur übertragung von nachrichten
EP2418580B1 (de) Verfahren zum Betreiben eines Netzwerkes und Netzwerk
EP1679729B1 (de) Vorrichtung zur sicheren Signalerzeugung
DE60319175T2 (de) Datenübertragungssystem im Fahrzeug mit redundanten Verbindungen
DE102005025994A1 (de) Verfahren zum Betreiben einer elektrischen Maschine und Ansteuersystem hierzu
WO2002099547A1 (de) Vorrichtung zur sicheren signalerzeugung
EP1692578B1 (de) Peripherieeinheit für ein redundantes steuersystem
DE10329196A1 (de) Verfahren zum Reset von elektronischen Fahrzeug-Steuergeräten
DE10040246A1 (de) Verfahren und Vorrichtung zur Ansteuerung wenigstens eines Verbrauchers
DE102019117952B4 (de) Verfahren zum Betreiben einer Verarbeitungsvorrichtung zur Steuerung und/oder Regelung eines Datenstroms
EP1089190A2 (de) Verfahren zum Betrieb einer Kopplungsschaltung für ein Bussystem sowie entsprechende Schaltung
DE10344070B4 (de) Antriebsmodul für eine Druckmaschine
WO2004036324A1 (de) Verfahren und vorrichtung zur prozessautomatisierung mit redundanten steuergeräten zur ansteuerung von peripheriegeräten über ein bussystem
EP0299375B1 (de) Verfahren zum Zuschalten eines Rechners in einem Mehrrechnersystem

Legal Events

Date Code Title Description
8364 No opposition during term of opposition