ES2262489T3 - Mecanismo a prueba de fallos. - Google Patents
Mecanismo a prueba de fallos.Info
- Publication number
- ES2262489T3 ES2262489T3 ES00307578T ES00307578T ES2262489T3 ES 2262489 T3 ES2262489 T3 ES 2262489T3 ES 00307578 T ES00307578 T ES 00307578T ES 00307578 T ES00307578 T ES 00307578T ES 2262489 T3 ES2262489 T3 ES 2262489T3
- Authority
- ES
- Spain
- Prior art keywords
- circuit
- control
- switch
- sub
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B62—LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
- B62D—MOTOR VEHICLES; TRAILERS
- B62D5/00—Power-assisted or power-driven steering
- B62D5/04—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B62—LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
- B62D—MOTOR VEHICLES; TRAILERS
- B62D5/00—Power-assisted or power-driven steering
- B62D5/04—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
- B62D5/0457—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
- B62D5/0481—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
- B62D5/0484—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures for reaction to failures, e.g. limp home
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B62—LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
- B62D—MOTOR VEHICLES; TRAILERS
- B62D5/00—Power-assisted or power-driven steering
- B62D5/04—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
- B62D5/0457—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
- B62D5/0481—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
- B62D5/0493—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures detecting processor errors, e.g. plausibility of steering direction
Landscapes
- Engineering & Computer Science (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Safety Devices In Control Systems (AREA)
- Steering Control In Accordance With Driving Conditions (AREA)
- Debugging And Monitoring (AREA)
Abstract
Un mecanismo a prueba de fallos que comprende un sistema de control que incluye un circuito (2) de control para controlar la excitación de un sistema eléctrico de un vehículo; un controlador (1) que controla dicho circuito (2) de control de acuerdo con un programa de control; una fuente (4) de potencia de excitación que suministra corriente eléctrica a dicho circuito (2) de control; un circuito conmutador principal (9) conectado entre dicha fuente (4) de potencia de excitación y dicho circuito (2) de control; un circuito (6) detector de fallos conectado entre dicho circuito conmutador principal (9) y dicho controlador (1); dicho circuito conmutador principal (9) se desconecta para interrumpir la corriente eléctrica que pasa desde dicha fuente (4) de potencia de excitación hacia dicho circuito (2) de control; caracterizado por: un circuito sub-conmutador (5) conectado entre dicha fuente (4) de potencia de excitación y dicho circuito conmutador principal (9) para controlar la conmutación ON /OFF (encendido / apagado) de la fuente de alimentación aplicada desde dicha fuente (4) de potencia de excitación a dicho circuito conmutador principal (9), y que se mantiene en un estado OFF (apagado) en los momentos normales; un circuito temporizador (7) que permite que dicho circuito sub-conmutador (5) sea alimentado con corriente eléctrica durante un período de tiempo predeterminado después de que se conecte dicha fuente (4) de potencia de excitación; y un medio (8) de control del sub-conmutador dispuesto en derivación con dicho circuito (2) de control por debajo de dicho circuito conmutador principal (9) y que pone el circuito subconmutador (5) en un estado ON (encendido) por medio del suministro de corriente eléctrica a dicho circuito (2) de control y el circuito subconmutador (5) en un estado OFF (apagado) cuando se corta el suministro de corriente eléctrica a dicho circuito (2) de control, cuando el circuito detector (6) de fallos detecta una condición anormal del controlador (1),
Description
Mecanismo a prueba de fallos.
Esta invención se refiere a un mecanismo a
prueba de fallos para detener sistemas eléctricos, por ejemplo un
mecanismo de dirección de las ruedas traseras montado en un vehículo
para contrarrestar los fallos que se produzcan en el sistema
eléctrico.
Con respecto al control de la excitación de los
motores de impulsión de mecanismos de dirección de las ruedas
traseras y válvulas de control de tipo hidráulico, un sistema se
detiene típicamente cuando se produce un fallo. Sin embargo, para
la seguridad del vehículo, el sistema algunas veces no debe
recuperarse durante el movimiento del vehículo. En este caso, la
CPU está provista de un circuito de autodiagnóstico para supervisar
si el anterior programa de control funciona normalmente o no.
Cuando el circuito de autodiagnóstico detecta una condición
anormal en el programa de control, la CPU emite una señal de fallo
para desconectar un conmutador dispuesto entre un circuito de
control y una fuente de potencia de excitación. El conmutador está
diseñado para permanecer conectado si no recibe de la CPU la señal
de fallo y para desconectarse cuando recibe la señal de fallo.
Se suministra una serie de unidades CPU para
determinar si una CPU controla normalmente o no la excitación del
motor de los mecanismos de dirección de las ruedas traseras o las
válvulas de control de tipo hidráulico. Si el funcionamiento de
una CPU se diferencia del de las otras CPU, se determina que la CPU
que funciona de forma diferente es anormal y se detiene su función
de control.
Tal como se explicó anteriormente, en el caso de
que el circuito de autodiagnóstico detecte un error y se
desconecte el conmutador entre la fuente de potencia de excitación y
el circuito de control, si por cualquier razón no se emite la
señal de fallo, el conmutador se conecta para volver a suministrar
energía eléctrica al circuito de control. Alternativamente, aunque
se corrompa el programa de control, las señales de fallo se
interrumpen y las señales pueden emitirse como si el programa de
control funcionase normalmente.
Si se repiten tales casos, el control es
alternativamente válido e inválido durante el movimiento. Esto
puede dar como resultado condiciones inestables del vehículo en
movimiento. Además, la repetición del ON (encendido) y el OFF
(apagado) de la señal de excitación puede provocar fallos en los
mecanismos o sistemas de control a controlar.
Por otra parte, si la detención de la CPU, que
se produce debido a la detección de anormalidades, tiende a
detener los mecanismos de dirección de las ruedas traseras o
dispositivos similares, a menudo se produce una serie de
dificultades.
En el documento
EP-A-0554703 se presenta un sistema
de la técnica anterior. Este tiene una CPU principal y una CPU
secundaria. Las CPU se supervisan entre sí de forma constante y
reaccionan cuando se encuentra una condición anormal en la otra
CPU.
Es un objeto de la presente invención suministra
un mecanismo a prueba de fallos que corte los suministros de
energía eléctrica a un circuito de control para detener de manera
fiable un sistema cuando se detecta un fallo en el sistema y no
permitir el suministro de la energía eléctrica al circuito de
control a menos que se reinicie la fuente de potencia de
excitación.
Otro objeto de la presente invención es
suministrar un mecanismo a prueba de fallos que detecte una
anormalidad de un sistema de control mediante su propia CPU en vez
de con otras CPU y que permita que un sistema de control de
reserva continúe automáticamente con el control del aparato después
de que el sistema se haya detenido debido a la anormalidad.
De acuerdo con la presente invención, se
suministra un mecanismo a prueba de fallos según la reivindicación
1.
Basada sobre el primer aspecto, una
característica de acuerdo con un segundo aspecto de la presente
invención es que el circuito del sub-conmutador
incluye un primer conmutador y un segundo conmutador conectados en
paralelo, el primer conmutador está controlado por el circuito
temporizador, el segundo conmutador está controlado por medios de
control del sub-conmutador.
Basada sobre el aspecto anterior, una
característica de acuerdo con un tercer aspecto de la presente
invención es que el circuito detector de fallos incluye una serie
de temporizadores de vigilancia que reciben una señal de detección
de fallos emitida desde cada programa de control, el circuito AND
recibe una señal de salida de cada temporizador de vigilancia y
envía la señal de salida al circuito conmutador principal.
La figura 1 es un diagrama de circuito
esquemático de una primera realización.
La figura 2 es un diagrama de flujo de la
primera realización.
La figura 3 es un diagrama esquemático de un
circuito de control de una segunda realización.
La figura 4 es un diagrama de flujo de la
segunda realización cuando se detecta una anormalidad.
La figura 5 es un diagrama esquemático de un
circuito de una característica de detección de fallos de acuerdo
con una tercera realización.
Una primera realización ilustrada en la figura 1
es un circuito para controlar un sistema de un vehículo, tal como
un mecanismo de dirección de las ruedas traseras que tiene un
mecanismo a prueba de fallos de acuerdo con la presente
invención.
Una CPU 1 como controlador se conecta a un
circuito 2 de control en su puerto 1a y controla un dispositivo 3
de accionamiento a través del circuito 2 de control. El dispositivo
3 de accionamiento es una unidad de válvula del mecanismo de
dirección de las ruedas traseras no mostrado.
El circuito 2 de control se conecta a una fuente
4 de potencia de excitación a través de un transistor 9 como
circuito conmutador principal de la presente invención.
Un circuito sub-conmutador 5 se
conecta entre el transistor 9 y la fuente 4 de potencia de
excitación y comprende un primer y un segundo conmutadores 5a, 5b
que están conectados en paralelo.
El primer conmutador 5a es controlado por un
circuito temporizador 7 conectado a la fuente 4 de potencia de
excitación. El circuito temporizador 7 comprende una bobina 7a y un
conmutador 7b de temporizador. Después de fijar la fuente 4 de
potencia de excitación en la posición ON (encendido), el
temporizador 7b funciona para suministrar corriente eléctrica a la
bobina 7a durante un período de tiempo predeterminado. Después de
excitar la bobina 7a, el primer conmutador 5a se cierra. El segundo
conmutador 5b se cierra cuando se excita la bobina 8. El
transistor 9 se conecta entre la bobina 8 y el segundo conmutador
5b. En resumen, la bobina 8 es el medio de control del
sub-conmutador de la presente invención.
Cuando el primer conmutador 5a o el segundo
conmutador 5b se cierra al mismo tiempo que el transistor 9 recibe
una corriente de base moderada, el circuito anterior se cierra para
establecer conexión entre la fuente 4 de potencia de excitación
anterior y el circuito 2 de control.
Por otra parte, los puertos 1b, 1c de la CPU 1
se conectan a un circuito 6 detector de fallos y el circuito 6
detector de fallos se conecta al transistor 9 anterior.
La CPU 1 emite señales de detección de fallos
desde los respectivos puertos 1b, 1c. Específicamente, el circuito
6 detector de fallos es un circuito para detectar un fallo de la CPU
1 basándose en la señal de detección de fallos anterior y emitir
una señal de fallo hacia el circuito conmutador principal. A
propósito, el número de referencia 13 en el dibujo indica la fuente
de alimentación para la CPU 1.
El circuito 6 detector de fallos está provisto
de temporizadores 10, 11 de vigilancia respectivamente conectados
a los puertos 1b, 1c de la CPU 1 y un circuito AND 12 suma las
salidas de los temporizadores 10, 11 de vigilancia. Cada uno de
los temporizadores 10, 11 de vigilancia recibe un impulso de la CPU
1. El impulso se aplica continuamente durante el funcionamiento
normal del programa de control. Cada uno de los temporizadores 10,
11 de vigilancia emite una señal H, que tiene un amperaje
predeterminado, siempre que reciba el impuso, mientras que si se
detiene la emisión del impulso durante un período de tiempo
predeterminado, cada uno de los temporizadores 10, 11 de vigilancia
emite una señal L que tiene un amperaje inferior al de la señal
H.
Debe mencionarse que los temporizadores 10, 11
de vigilancia reciben respectivamente los impulsos emitidos desde
los respectivos programas de control. El impulso es la señal de
detección de fallos de la presente invención.
Solamente cuando ambos temporizadores 10, 11 de
vigilancia emiten las señales H, el circuito AND 12 conectado a los
temporizadores 10, 11 de vigilancia emite una señal. De lo
contrario, el circuito AND 12 no emite ninguna señal. En otras
palabras, mientras que ambos programas de control funcionan
normalmente para aplicar los impulsos a los respectivos
temporizadores 10, 11 de vigilancia, el circuito AND 12 funciona
para suministrar corriente eléctrica. La corriente de fuerza da
como resultado una corriente de base para el transistor 9 anterior,
que permite que la corriente eléctrica pase desde la fuente 4 de
potencia de excitación al transistor 9.
Sin embargo, si se produce una anormalidad en
cualquiera de los programas de control, entonces el temporizador de
vigilancia emite la señal L, de forma que el circuito AND 12 no
emite la señal. La no emisión de señal es igual a la emisión de una
señal cero. En otras palabras, se corta la corriente de base hacia
el transistor 9.
El funcionamiento del circuito de control de la
figura 1 se explicará posteriormente con referencia al diagrama de
flujo de la figura 2. Obsérvese que el diagrama de flujo sirve para
explicar el funcionamiento completo del circuito de control antes
mencionado y no para explicar los pasos del programa de control de
la CPU 1. Los caracteres "W.D.T." de referencia de la figura 2
representan el temporizador de vigilancia.
En el paso 1, la fuente 4 de potencia de
excitación y la fuente 13 de alimentación se desconectan. Después
de conectar la fuente 13 de alimentación, arrancan los programas de
control en la CPU 1. Si funcionan normalmente, la CPU 1 aplica los
impulsos a los temporizadores 10, 11 de vigilancia (WDT) en el paso
2.
También después de conectar la fuente 4 de
potencia de excitación, en el paso 3, la bobina 7a del circuito
temporizador 7 se excita y se cierra el primer conmutador 5a. Esto
establece una conexión eléctrica entre la fuente 4 de potencia de
excitación y el transistor 9.
Por otra parte, en el paso 4, las señales H son
enviadas desde ambos temporizadores 10, 11 de vigilancia (WDT)
hacia el circuito AND 12 ya que los temporizadores 10, 11 de
vigilancia reciben los impulsos. Consecuentemente, el circuito AND
12 funciona para suministrar la corriente de base al transistor 9
del circuito conmutador principal en el paso 5. El en el paso 6, por
consiguiente, la corriente eléctrica pasa a través del transistor
9 de manera que pase a través de la bobina 8.
En el paso 7, la bobina 8 se excita para cerrar
el segundo conmutador 5b. Esto permite que la corriente eléctrica
pase hasta el circuito 2 de control (paso 8). En breve, la corriente
eléctrica viaja desde la fuente 4 de potencia de excitación hasta
el segundo conmutador 5b, después hacia el transistor 9, después
hacia la bobina 8 y el circuito 2 de control y finalmente hacia el
dispositivo de accionamiento 3 para accionar el sistema (no
mostrado). En este momento, la CPU 1 envía una señal de control de
acuerdo con el programa de control al circuito 2 de control.
Ya que la fuente de alimentación es alimentada
desde la fuente 4 de potencia de excitación a través del segundo
conmutador 5b y del transistor 9 hasta el circuito 2 de control
según se explicó anteriormente, incluso cuando el temporizador 7b
desconecta el primer conmutador 5a después de la expiración de un
intervalo de tiempo predeterminado (paso 9) se fija la trayectoria
de alimentación de energía. Consecuentemente, el sistema (no
mostrado) conectado al dispositivo 3 de accionamiento continúa
funcionando.
En el paso 10, se encuentra alguna condición
anormal en algún sitio del sistema. La respuesta del mecanismo a
prueba de fallos varía dependiendo de si la anormalidad es producida
por un mal funcionamiento de la CPU o por otras causas.
Cuando se determina que la causa es el mal
funcionamiento de la CPU 1 en el paso 11, el proceso continúa hasta
el paso 13. Cuando la causa es algo diferente de la CPU 1, el
proceso continúa hasta el paso 12. Si la CPU 1 está en una
condición normal, la CPU 1 puede detectar la anormalidad del
sistema. Después de la detección de la anormalidad, la CPU 1
detiene voluntariamente su operación de control en el paso 12 y
deja de enviar impulsos a los temporizadores 10 y 11 de vigilancia
en el paso 13. En el paso 14, los temporizadores 10, 11 de
vigilancia emiten las señales L para hacer que el circuito AND 12
detenga la emisión de las señales. En el paso 15, por lo tanto, se
detiene la alimentación de corriente de base al transistor 9.
En el paso 16, la falta de corriente de base
detiene la conducción del transistor 9. En el paso 17, la bobina 8
pasa a un estado no excitado para desconectar el segundo conmutador
5b. En el paso 18, se detiene el suministro de corriente eléctrica
al circuito 2 de control para detener el sistema (paso 19).
Si el paso 11 determina que la CPU 1 provoca la
anormalidad del sistema, el proceso continúa hasta el paso 13.
Aunque la CPU 1 no pueda detectar la anormalidad, los impulsos no
son enviados a los temporizadores 10, 11 de vigilancia ya que los
programas de control no funcionan normalmente (paso 13).
Después de eso, como en el caso anterior cuando
la causa de la anormalidad no es la CPU, el proceso pasa por los
pasos 14 a 18 y el sistema se detiene en el paso 19. De acuerdo con
la primera realización, tal como se describió anteriormente, si se
produce una anormalidad, la conexión eléctrica entre el circuito 2
de control y la fuente 4 de potencia de excitación que excita el
circuito 2 de control se interrumpe para detener el sistema que es
controlado por la CPU 1, dando como resultado una prevención de
fallos fiable.
Además, el circuito 6 detector de fallos emite
la señal para detener el suministro de corriente de base al
transistor 9. Por lo tanto, una vez que se desconecta el transistor
9, el proceso retrocede hasta el paso 1 y el circuito conmutador
principal desconectado no se conecta a menos que la fuente 4 de
potencia de excitación se fije manualmente en la posición ON. En el
caso de que el impulso sea accidentalmente emitido -incluso aunque
el programa de control de la CPU esté bajo condiciones de mal
funcionamiento y se suministre la corriente de base al transistor
9- la fuente de alimentación no alimenta el circuito 2 de control
debido a la desconexión entre la fuente 4 de potencia de excitación
y el transistor 9. De hecho, incluso después de que se recupere el
programa de control de la CPU 1, el sub-conmutador
5 no se conecta espontáneamente.
En consecuencia, en caso de error, el sistema se
detiene inmediatamente pero no se recupera de forma espontánea.
En la primera realización, el circuito 6
detector de fallos está provisto de dos temporizadores 10, 11 de
vigilancia que están diseñados para recibir respectivamente los
impulsos de los respectivos programas de control. Los
temporizadores 10, 11 de vigilancia aplican las señales de salida al
circuito AND 12. Así, si cualquiera de los dos programas de
control funciona anormalmente, es posible detener la alimentación
de corriente de base al transistor 9 para desconectar el circuito
conmutador principal.
El número de programas de control no está
limitado a dos, sino que puede ser uno o más de tres. El número de
temporizadores de vigilancia puede incrementarse de acuerdo con el
número de programas de control de forma que cada temporizador de
vigilancia mantenga la vigilancia sobre cada programa de control.
Esto aumenta la exactitud de la detección de fallos.
También, la configuración del circuito 6
detector de fallos, del circuito conmutador principal, del circuito
sub-conmutador y de los medios de control del
sub-conmutador no está limitada a la de la primera
realización.
En pocas palabras, solo se necesita que el
circuito 6 detector de fallos emita la señal de fallo cuando
reciba la señal que representa la anormalidad del programa de
control de la CPU 1 para desconectar el circuito conmutador
principal, y el circuito sub-conmutador se
desconecta desconectado el circuito conmutador principal, y tampoco
se recuperan por sí mismos.
Una segunda realización ilustrada en las figuras
1 y 3 es un circuito de control para controlar, por ejemplo, el
mecanismo de dirección de las ruedas traseras del vehículo, que
tiene un mecanismo a prueba de fallos de acuerdo con la presente
invención.
El circuito de control comprende dos sistemas A
y B de control que tienen la misma configuración.
En el sistema A de control, la CPU 1a está
conectada al circuito 2A de control para controlar una unidad de
válvula del mecanismo de dirección de las ruedas traseras (no
mostrado) a través del circuito 2A de control.
El circuito 2A de control está conectado a una
fuente 4 de potencia de excitación a través de un circuito
conmutador 5A de acuerdo con la presente invención.
El circuito conmutador 5A está compuesto por un
contacto 6A, una bobina 7A y un transistor 8A conectado entre el
contacto 6A y la bobina 7A. El contacto 6A se cierra cuando se
excita la bobina 7. Dicho circuito conmutador 5A está diseñado
para cerrarse en tanto que la bobina 7A esté excitada o cuando se
haga pasar una corriente de base apropiada a través del transistor
8A, lo que establece una conexión entre la fuente 4 de potencia de
excitación y el circuito 2A de control para suministrar corriente
eléctrica al circuito 2A de control.
Debe mencionarse que en el dibujo no se muestra
un mecanismo conmutador para excitar la bobina 7A para que conecte
el contacto 6A. El mecanismo conmutador es un mecanismo tal como un
relé temporizador que mantiene la bobina 7A en un estado excitado
durante un intervalo de tiempo predeterminado cuando se conecta
manualmente una fuente de alimentación.
La CPU 1A se conecta a una función 3A de
detección de fallos que se conecta a la base del transistor 8A.
La CPU 1A envía un impulso a la función 3A de
detección de fallos. El impulso es emitido de forma continua
durante el funcionamiento normal de un programa de control de la CPU
1A. La función 3A de detección de fallos emite una señal H de una
tensión predeterminada mientras que reciba el impulso. La señal H
da como resultado una tensión de base para el transistor 8A que
permite que la corriente eléctrica pase desde la fuente 4 de
potencia de excitación hasta el transistor 8A.
Por otro lado, la función 3A de detección de
fallos emite una señal L de una tensión inferior a la de la señal
H cuando no recibe el impulso durante un intervalo de tiempo
predeterminado. La tensión de la señal L es insuficiente como
tensión de base para el transistor 8A.
En otras palabras la detención del impulso se
corresponde con una señal anormal de la presente invención.
Ya que la función 3A de detección de fallos
emite la señal L a menos que reciba el impulso de la CPU 1A, la
corriente eléctrica se interrumpe entre un colector y un emisor en
el transistor 8A. Consecuentemente, el circuito conmutador 5A se
desactiva para detener el suministro de corriente eléctrica al
circuito 2A de control.
El sistema B de control tiene la misma
configuración que el anterior sistema A de control, de forma que
los mismos componentes que aquellos del sistema A de control se
indican con el carácter de referencia "B" en vez de "A"
utilizado para el sistema A de control, y se omite la
descripción.
Una línea de señal se conecta desde entre el
circuito conmutador 5A y el circuito 2A de control en el sistema A
de control con la CPU 1B del sistema B de control, para enviar una
señal que indica si la fuente de potencia de excitación alimenta o
no el circuito 2A. Esta configuración es la misma en el sistema B
de control.
Después, se explicará el funcionamiento del
circuito de control de la figura 3 con referencia al diagrama de
flujo de la figura 4. La explicación del funcionamiento de la
segunda realización se inicia desde el estado en el cual el
sistema A de control funciona por primera vez para excitar–
controlar el mecanismo de dirección de las ruedas traseras (no
mostrado). A este respecto, el diagrama de flujo sirve para
explicar el funcionamiento del anterior circuito de control
completo, no para explicar los pasos del programa de control de la
CPU 1A.
En el paso 101, la fuente 4 de potencia de
excitación y las fuentes de alimentación (no mostradas) de la CPU
1A y de la CPU 1B están desconectadas y el mecanismo conmutador (no
mostrado) cierra cada uno de los circuitos conmutadores 5A, 5B.
Los programas de control de las CPU 1A, 1B arrancan y operan
normalmente para controlar el mecanismo de dirección de las ruedas
traseras a través de los circuitos 2A, 2B de control.
En este momento, la CPU 1B también funciona
normalmente mientras detecte, a partir de la señal enviada desde
el sistema A de control, que el sistema A de control controla el
mecanismo de dirección de las ruedas traseras. Así, en el sistema
B de control, mientras el transistor 8B está siendo desconectado,
se suspende la instrucción de salida para ser emitida hacia el
circuito 2A de control.
Si se produce una condición anormal en el paso
102, el proceso continúa hasta el paso 103. Si la anormalidad de
la CPU 1A no provoca la condición anormal, la CPU 1A puede detectar
la anormalidad en el paso 104.
En el paso 105, la CPU 1A suministra la señal
anormal a la función 3A de detección de fallos y el proceso
continúa hasta el paso 107.
En el paso 107, la función 3A de detección de
fallos que ha recibido la señal anormal emite la señal L para
interrumpir la corriente de base del transistor 8A, dando como
resultado la desconexión del transistor 8A.
Por otro lado, si la anormalidad se produce en
el programa de control de la CPU 1A en el paso 103, se detiene la
emisión del impulso de forma que la función 3A de detección de
fallos detecte la anormalidad en el paso 106.
El transistor 8A se desconecta en el paso 107, y
en el paso 108, la bobina 7A entra en un estado de no excitación
para abrir el contacto 6A. En breve, se interrumpe el circuito 5A de
control.
En el paso 109, se corta el suministro de la
fuente de alimentación al circuito 2A de control.
En el paso 110, se envía a la CPU 1B del sistema
B de control una señal que representa que el sistema A de control
se detiene.
En el paso 111, la CPU 1B inicia el control del
mecanismo de dirección de las ruedas traseras a través del circuito
2B de control.
Después, como en los casos de los pasos 101 a
109, continúa el control hasta que se detecte una condición anormal
en el sistema B de control.
Sin embargo, si el sistema B de control detecta
la condición anormal, el sistema A de control no se recupera y
todos los sistemas de control se detienen.
Si el sistema B de control es el primero que
controla el sistema, recorre una serie de los pasos antes
mencionados utilizado el carácter "B" de referencia en lugar
del carácter "A" de referencia del diagrama de flujo de la
figura 4. Cuando el sistema B de control se detiene debido a la
anormalidad, el sistema A de control inicia el control.
Según se describió anteriormente, cada sistema
de control puede detectar la anormalidad con independencia del
otro sistema de control. En el caso de la detección de una
anormalidad, el sistema de control suministra una instrucción al
otro sistema de control para continuar controlando el aparato tal
como el equipo de mando de las ruedas traseras.
En la segunda realización precedente, cuando se
produce una condición anormal, la conexión eléctrica entre el
circuito 2A de control y la fuente 4 de potencia de excitación para
excitar el circuito 2A de control se interrumpe para detener el
sistema A de control que es controlado por la CPU 1A, dando como
resultado una prevención fiable de un funcionamiento defectuoso.
Una tercera realización ilustrada en la figura 5
emplea dos temporizadores 9A, 10A de vigilancia y un circuito AND
11A como función 3A de detección de fallos y los otros componentes
son iguales a los de la segunda realización.
Los impulsos son suministrados continuamente a
los respectivos temporizadores 9A, 10A de vigilancia durante las
operaciones normales de los programas de control de la CPU 1A.
Durante la recepción del impulso, cada uno de los temporizadores
9A, 10A de vigilancia emite una señal H de una tensión
predeterminada. Cuando el impulso no se aplica durante un intervalo
de tiempo predeterminado, cada temporizador de vigilancia emite
una señal L de una tensión inferior a la de la señal H.
Los impulsos son emitidos desde los diferentes
programas de control y respectivamente enviados desde puertos
separados a los temporizadores 9A, 10A de vigilancia.
El circuito AND 11A conectado a los
temporizadores 9A, 10A de vigilancia emite una señal solamente si
recibe las señales H desde ambos temporizadores 9A, 10A de
vigilancia. De otra forma no se emite. En otras palabras, cuando
ambos programas de control que aplican los impulsos a los
temporizadores 9A, 10A de vigilancia funcionan normalmente, el
circuito AND 11A no emite la señal H. Esta señal H da como
resultado una tensión de base para el transistor 8A que permite que
la corriente eléctrica pase desde la fuente 4 de potencia de
excitación hasta el transistor 8A.
Sin embargo, si falla uno cualquiera de los
programas de control, el temporizador de vigilancia que haya
detectado la anormalidad emite la señal L, de forma que el circuito
AND 11A no emite la señal H. Esto significa que se interrumpe la
tensión de base del transistor 8A.
La tercera realización utiliza los dos
temporizadores de vigilancia. Sin embargo, pueden utilizarse más de
dos temporizadores de vigilancia para mantener la vigilancia sobre
los respectivos programas de control. En este caso, la detección de
la anormalidad se consigue con mayor exactitud.
Las configuraciones de la función 3A de
detección de fallos y del circuito conmutador 5A no están limitadas
a las de las anteriores realizaciones.
Solamente se necesita que la función 3A de
detección de fallos pueda cerrar el circuito conmutador 5A y enviar
una señal al sistema B de control cuando reciba la señal que
representa la condición anormal del programa o programas de control
de la CPU 1A. Y el sistema A de control tampoco se recupera por si
mismo y el sistema B de control continúa controlando la operación
siguiente del sistema A de
control.
control.
\dotable{\tabskip\tabcolsep#\hfil\+#\hfil\tabskip0ptplus1fil\dddarstrut\cr}{
1. \+ CPU\cr 2. \+ Circuito de control\cr 4. \+ Fuente de
potencia de excitación\cr 5. \+ Circuito
sub-conmutador\cr 5a. \+ Primer conmutador\cr 5b.
\+ Segundo conmutador\cr 6. \+ Circuito detector de fallos\cr 7.
\+ Circuito temporizador\cr 8. \+ Bobina\cr 9. \+ Transistor\cr
10. \+ Temporizador de vigilancia\cr 11. \+ Temporizador de
vigilancia\cr 12. \+ Circuito AND\cr 1A, 1B \+ CPU\cr 2A, 2B \+
Circuito de control\cr 3A, 3B \+ Función de detección de fallos\cr
5A, 5B \+ Circuito conmutador\cr 9A, 10A, \+ Temporizador de
vigilancia\cr 11A \+ Circuito
AND\cr}
Claims (3)
1. Un mecanismo a prueba de fallos que
comprende un sistema de control que incluye
un circuito (2) de control para controlar la
excitación de un sistema eléctrico de un vehículo;
un controlador (1) que controla dicho circuito
(2) de control de acuerdo con un programa de control;
una fuente (4) de potencia de excitación que
suministra corriente eléctrica a dicho circuito (2) de control;
un circuito conmutador principal (9) conectado
entre dicha fuente (4) de potencia de excitación y dicho circuito
(2) de control;
un circuito (6) detector de fallos conectado
entre dicho circuito conmutador principal (9) y dicho controlador
(1);
dicho circuito conmutador principal (9) se
desconecta para interrumpir la corriente eléctrica que pasa desde
dicha fuente (4) de potencia de excitación hacia dicho circuito (2)
de control;
caracterizado por:
un circuito sub-conmutador (5)
conectado entre dicha fuente (4) de potencia de excitación y dicho
circuito conmutador principal (9) para controlar la conmutación
ON/OFF (encendido/apagado) de la fuente de alimentación aplicada
desde dicha fuente (4) de potencia de excitación a dicho circuito
conmutador principal (9), y que se mantiene en un estado OFF
(apagado) en los momentos normales;
un circuito temporizador (7) que permite que
dicho circuito sub-conmutador (5) sea alimentado
con corriente eléctrica durante un período de tiempo predeterminado
después de que se conecte dicha fuente (4) de potencia de
excitación; y
un medio (8) de control del
sub-conmutador dispuesto en derivación con dicho
circuito (2) de control por debajo de dicho circuito conmutador
principal (9) y que pone el circuito subconmutador (5) en un estado
ON (encendido) por medio del suministro de corriente eléctrica a
dicho circuito (2) de control y el circuito subconmutador (5) en
un estado OFF (apagado) cuando se corta el suministro de corriente
eléctrica a dicho circuito (2) de control, cuando el circuito
detector (6) de fallos detecta una condición anormal del
controlador (1),
2. El mecanismo a prueba de fallos de
acuerdo con la reivindicación 1, que se caracteriza porque
dicho circuito subconmutador (5) incluye un primer conmutador (5a)
y un segundo conmutador (5b) conectados en paralelo, dicho primer
conmutador (5a) está controlado por dicho circuito temporizador
(7), dicho segundo conmutador (5b) está controlado por dicho medio
(8) de control del sub-conmutador.
3. El mecanismo a prueba de fallos de
acuerdo con la reivindicación 1 o la reivindicación 2, que se
caracteriza porque dicho circuito (6) detector de fallos
incluye una serie de temporizadores (10, 11) de vigilancia y un
circuito AND (12), cada uno de dicha serie de temporizadores (10,
11) de vigilancia recibe una señal de detección de fallos emitida
desde cada programa de control y un circuito AND (12) recibe una
señal de salida desde cada uno de dichos temporizadores (10, 11) de
vigilancia y envía la señal de salida a dicho circuito conmutador
principal (9).
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11-250738 | 1999-09-03 | ||
| JP25073899A JP3906000B2 (ja) | 1999-09-03 | 1999-09-03 | フェールセーフ機構 |
| JP11-303204 | 1999-10-26 | ||
| JP30320499A JP4036585B2 (ja) | 1999-10-26 | 1999-10-26 | フェールセーフ機構 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2262489T3 true ES2262489T3 (es) | 2006-12-01 |
Family
ID=26539897
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES00307578T Expired - Lifetime ES2262489T3 (es) | 1999-09-03 | 2000-09-01 | Mecanismo a prueba de fallos. |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US6498403B1 (es) |
| EP (2) | EP1081015B1 (es) |
| KR (1) | KR100352023B1 (es) |
| DE (2) | DE60027514T2 (es) |
| ES (1) | ES2262489T3 (es) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4194748B2 (ja) * | 2000-12-26 | 2008-12-10 | 株式会社ホンダエレシス | 演算制御装置 |
| EP1236592B1 (en) * | 2001-03-03 | 2013-11-06 | American Axle & Manufacturing, Inc. | Apparatus and method for coupling a disconnectable stabilizer bar system |
| JP3616367B2 (ja) * | 2001-10-24 | 2005-02-02 | 三菱電機株式会社 | 電子制御装置 |
| DE102004017950B3 (de) * | 2004-04-14 | 2005-06-23 | Moeller Gmbh | Mechanisch-elektronischer Positionsgeber |
| JP4475403B2 (ja) * | 2004-09-07 | 2010-06-09 | 三菱電機株式会社 | 電動パワーステアリング制御装置 |
| US7463139B2 (en) * | 2004-10-18 | 2008-12-09 | Stmicroelectronics, Inc. | Method and system for driving a vehicle trailer tow connector |
| DE102004056416A1 (de) * | 2004-11-23 | 2006-05-24 | Robert Bosch Gmbh | Beschleunigungssensor in einem Steuergerät |
| EP1965481A2 (en) * | 2007-02-28 | 2008-09-03 | STMicroelectronics, Inc. | Integrated circuit and method for monitoring and controlling power and for detecting open load state |
| JP2008234280A (ja) * | 2007-03-20 | 2008-10-02 | Matsushita Electric Ind Co Ltd | 電子機器 |
| DE102007045398A1 (de) * | 2007-09-21 | 2009-04-02 | Continental Teves Ag & Co. Ohg | Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen |
| CN101655257A (zh) * | 2008-08-18 | 2010-02-24 | 松下电器产业株式会社 | 电子设备 |
| US7887072B2 (en) | 2008-10-09 | 2011-02-15 | American Axle & Manufacturing, Inc. | Stabilizer bar with disconnectable link |
| CA2746969A1 (en) * | 2008-12-16 | 2010-06-24 | Siemens Sas | Method and device for controlling the adjustment of a switching state of an electric switching system in the field of guided vehicles |
| AU2010307632B2 (en) * | 2009-10-15 | 2013-12-05 | L E Tech Co., Ltd. | Microcomputer and operation method thereof |
| JP5476238B2 (ja) | 2010-07-12 | 2014-04-23 | ルネサスエレクトロニクス株式会社 | 半導体装置 |
| JP5945741B2 (ja) * | 2012-09-24 | 2016-07-05 | 日立オートモティブシステムズ株式会社 | 電動パワーステアリング装置 |
| US11079862B2 (en) | 2014-08-18 | 2021-08-03 | Wacom Co., Ltd. | Low-power and low-frequency data transmission for stylus and associated signal processing |
| US9798396B2 (en) | 2014-08-18 | 2017-10-24 | Atmel Corporation | Low-power and low-frequency data transmission for stylus and associated signal processing |
| JP6816345B2 (ja) * | 2015-04-24 | 2021-01-20 | 富士電機株式会社 | 駆動制御装置 |
| CN105774693B (zh) * | 2016-01-26 | 2018-03-13 | 北京汽车股份有限公司 | 点火信号回路系统 |
| JP6441505B2 (ja) * | 2016-10-31 | 2018-12-19 | 新電元工業株式会社 | 制御装置、および、制御装置の制御方法 |
| DE102019215989A1 (de) * | 2019-10-17 | 2021-04-22 | Vitesco Technologies GmbH | Vorrichtung zur Ansteuerung eines sicherheitsrelevanten elektronischen Systems |
| KR20220163638A (ko) * | 2021-06-03 | 2022-12-12 | 현대모비스 주식회사 | 차량용 제동장치 및 그 제어방법 |
| US20230109877A1 (en) * | 2021-10-07 | 2023-04-13 | Sygnal Technologies, Inc. | Fail-Safe Signal Injection |
| CN115658376B (zh) * | 2022-12-28 | 2023-04-07 | 北京蓝色星际科技股份有限公司 | 一种复位电路、电子设备、监控摄像机及硬盘录像机 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4562528A (en) * | 1982-10-06 | 1985-12-31 | Mitsubishi Denki Kabushiki Kaisha | Backup control apparatus |
| JPH01227611A (ja) * | 1988-03-04 | 1989-09-11 | Alps Electric Co Ltd | 負荷制御装置 |
| JPH0331065A (ja) * | 1989-06-28 | 1991-02-08 | Matsushita Electric Ind Co Ltd | 電動パワーステアリングのフェイルセーフ回路 |
| US5192873A (en) * | 1991-02-26 | 1993-03-09 | United Technologies Automotive, Inc. | Fail-operational control system for vehicle loads |
| JPH0518315A (ja) * | 1991-07-11 | 1993-01-26 | Mitsubishi Electric Corp | 自動車用エンジン制御装置 |
| DE4124987A1 (de) * | 1991-07-27 | 1993-01-28 | Bosch Gmbh Robert | System zur ansteuerung sicherheitsrelevanter systeme |
| DE4136338A1 (de) * | 1991-11-05 | 1993-05-06 | Robert Bosch Gmbh, 7000 Stuttgart, De | Verfahren und vorrichtung zur fehlerbehandlung in elektronischen steuergeraeten |
| JP3079282B2 (ja) * | 1992-02-04 | 2000-08-21 | 光洋精工株式会社 | 電動パワーステアリング装置 |
| JP3752022B2 (ja) * | 1995-08-25 | 2006-03-08 | 株式会社デンソー | 故障診断機能付き電子制御装置 |
| JP3463426B2 (ja) * | 1995-09-14 | 2003-11-05 | 日産自動車株式会社 | ソレノイド駆動回路の診断装置 |
| JP3003556B2 (ja) * | 1995-10-05 | 2000-01-31 | 住友電装株式会社 | フェイルセーフ装置 |
-
2000
- 2000-08-30 KR KR1020000050601A patent/KR100352023B1/ko not_active IP Right Cessation
- 2000-09-01 US US09/654,552 patent/US6498403B1/en not_active Expired - Fee Related
- 2000-09-01 ES ES00307578T patent/ES2262489T3/es not_active Expired - Lifetime
- 2000-09-01 DE DE60027514T patent/DE60027514T2/de not_active Expired - Lifetime
- 2000-09-01 EP EP00307578A patent/EP1081015B1/en not_active Expired - Lifetime
- 2000-09-01 EP EP05077981A patent/EP1637437B1/en not_active Expired - Lifetime
- 2000-09-01 DE DE60044002T patent/DE60044002D1/de not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| DE60027514T2 (de) | 2007-05-03 |
| EP1081015B1 (en) | 2006-04-26 |
| EP1081015A3 (en) | 2003-07-02 |
| DE60044002D1 (de) | 2010-04-22 |
| KR20010050255A (ko) | 2001-06-15 |
| EP1081015A2 (en) | 2001-03-07 |
| US6498403B1 (en) | 2002-12-24 |
| EP1637437A2 (en) | 2006-03-22 |
| EP1637437A3 (en) | 2006-04-05 |
| KR100352023B1 (ko) | 2002-09-11 |
| DE60027514D1 (de) | 2006-06-01 |
| EP1637437B1 (en) | 2010-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2262489T3 (es) | Mecanismo a prueba de fallos. | |
| US9740178B2 (en) | Primary controller designation in fault tolerant systems | |
| ES2362731T3 (es) | Dispositivo de seguridad de ascensor. | |
| ES2620403T3 (es) | Dispositivo y procedimiento de conmutación de seguridad para la conexión y desconexión de un consumidor eléctrico con un microcontrolador | |
| US7952314B2 (en) | Electronic control device of an electrical drive system with redundant disconnection device | |
| CN110386091B (zh) | 用于将车辆制动并且紧急停止的装置和方法 | |
| JP3999210B2 (ja) | Led信号機制御装置 | |
| JP2008226620A (ja) | 故障検知機能を持つ直流出力回路 | |
| JP2008226619A (ja) | リレー故障検知機能を持つフェールセーフ出力回路 | |
| JPH1024767A (ja) | トレーラの電流または電圧供給装置 | |
| JP5389758B2 (ja) | 車両用制御装置および故障検出方法 | |
| KR100802380B1 (ko) | 위성체 배터리의 제어 장치 | |
| KR101979281B1 (ko) | 항로표지 등명기의 전원 복구장치 | |
| JP3402927B2 (ja) | 交通信号灯制御装置 | |
| JP2008017406A (ja) | リレー駆動制御装置 | |
| CN110794817A (zh) | 一种故障安全型电流输出通道诊断系统及其方法 | |
| JP3645134B2 (ja) | 発光機点灯回路用制御器の故障検知方法 | |
| JP3176164B2 (ja) | 車椅子兼用エスカレータの制御装置 | |
| JPH09101336A (ja) | 制御機器用駆動装置 | |
| JPS5814720B2 (ja) | 交通信号制御装置 | |
| JPH0737187Y2 (ja) | 信号灯制御回路 | |
| JP2766089B2 (ja) | 冗長運転電源システム | |
| JPH0617407Y2 (ja) | 遠隔制御装置 | |
| KR20240052456A (ko) | 램프 제어 시스템 및 그의 고장 진단 방법 | |
| SU600648A1 (ru) | Устройство дл защиты источников питани , работающих на общую нагрузку от перенапр жений |