JP2001075603A - Fail safe mechanism - Google Patents
Fail safe mechanismInfo
- Publication number
- JP2001075603A JP2001075603A JP25073899A JP25073899A JP2001075603A JP 2001075603 A JP2001075603 A JP 2001075603A JP 25073899 A JP25073899 A JP 25073899A JP 25073899 A JP25073899 A JP 25073899A JP 2001075603 A JP2001075603 A JP 2001075603A
- Authority
- JP
- Japan
- Prior art keywords
- circuit
- sub
- switch
- power supply
- switch circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Steering Control In Accordance With Driving Conditions (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、例えば後輪操舵
装置など、車両に搭載した電気的なシステムに故障が発
生し、システムが停止した時、走行中に再びシステムが
始動することを防止するフェールセーフ機構に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention prevents an electric system mounted on a vehicle, such as a rear wheel steering device, from malfunctioning and, when the system stops, prevents the system from starting again during running. It relates to a fail-safe mechanism.
【0002】[0002]
【従来の技術】後輪操舵装置のモータの駆動や、油圧系
のコントロールバルブを制御する場合において、一般的
には故障発生時システムを停止させるが、車両の安全を
確保するため、走行中はシステムを復帰させたくない場
合がある。そうした場合、CPUに自己診断回路を備え
て、上記制御プログラムが正常に動作しているかをチェ
ックしている。そして、上記自己診断回路が、制御プロ
グラムの異常を検出した場合には、フェール信号を出力
して、ドライバ回路と駆動用電源との間に設けたスイッ
チを切るようにしている。このスイッチは、上記CPU
からフェール信号が入力されないときには、閉じてい
て、フェール信号が入力されたときには、切れる仕組み
になっている。2. Description of the Related Art When driving a motor of a rear-wheel steering device or controlling a hydraulic control valve, the system is generally stopped when a failure occurs. You may not want to wake up the system. In such a case, a self-diagnosis circuit is provided in the CPU to check whether the control program is operating normally. When the self-diagnosis circuit detects an abnormality in the control program, it outputs a fail signal to turn off a switch provided between the driver circuit and the driving power supply. This switch is
Is closed when no fail signal is input from the switch, and is closed when a fail signal is input.
【0003】[0003]
【発明が解決しようとする課題】上記のように、自己診
断回路によってエラーを検出して、一旦、駆動用電源と
ドライバ回路との間のスイッチを切っても、何らかの要
因でフェール信号が出力されなければ、スイッチが入っ
てドライブ回路に再び電源が供給される。制御プログラ
ムが壊れてしまったのに、フェール信号がとぎれて、制
御プログラムがまるで正常に動作しているような信号が
出力されることもある。そのようなことが繰り返された
場合には、走行中に、制御が有効になったり、無効にな
ったりして、走行中の車両が不安定な状態になることが
ある。また、駆動信号のオン・オフが繰り返されること
によって、制御機構や、制御対象であるシステムが破損
してしまうようなこともある。As described above, even if an error is detected by the self-diagnosis circuit and the switch between the driving power supply and the driver circuit is once turned off, a failure signal is output for some reason. If not, the switch is turned on and power is again supplied to the drive circuit. Even if the control program is broken, the fail signal may be interrupted, and a signal may be output as if the control program were operating normally. When such a situation is repeated, the control may be enabled or disabled during traveling, and the traveling vehicle may be in an unstable state. In addition, when the drive signal is repeatedly turned on and off, the control mechanism and the system to be controlled may be damaged.
【0004】この発明の目的は、システムの故障を検知
したとき、ドライバ回路への電力供給を断って、システ
ムを確実に停止させるとともに、駆動用電源が再投入さ
れない限り、ドライバ回路の電源供給がされないフェー
ルセーフ機構を提供することである。An object of the present invention is to cut off power supply to a driver circuit when a system failure is detected, to surely stop the system, and to supply power to the driver circuit unless the drive power supply is turned on again. It is to provide a fail-safe mechanism that is not performed.
【0005】[0005]
【課題を解決するための手段】第1の発明は、車両の電
気的なシステムを駆動制御するドライバ回路と、このド
ライバ回路を制御プログラムに基づいて制御する制御部
と、上記ドライバ回路に電流を供給する駆動用電源と、
この駆動用電源とドライバ回路との間に接続したメイン
スイッチ回路と、駆動用電源とメインスイッチ回路との
間に接続され、駆動用電源からメインスイッチ回路への
電源供給をON,OFF制御するとともに、通常はOF
F状態を維持するサブスイッチ回路と、駆動用電源が投
入されたとき、一定時間のみサブスイッチ回路をON状
態とするタイマー回路と、メインスイッチ回路と制御部
との間に接続されたフェール検出回路と、メインスイッ
チより下流側で上記ドライバ回路と並列に設けられ、ド
ライバ回路への供給電流によりサブスイッチ回路をON
状態とするとともにドライバ回路への供給電流が断たれ
たときにはサブスイッチ回路をOFF状態とするサブス
イッチ制御手段とを備え、上記フェール検出回路が制御
部の異常を検出したときには、上記メインスイッチ回路
をOFFとし、駆動用電源からドライバ回路への電流供
給を断つ点に特徴を有する。According to a first aspect of the present invention, there is provided a driver circuit for driving and controlling an electric system of a vehicle, a control unit for controlling the driver circuit based on a control program, and supplying a current to the driver circuit. A power supply for driving,
A main switch circuit connected between the drive power supply and the driver circuit, and a main switch circuit connected between the drive power supply and the main switch circuit for controlling ON / OFF of power supply from the drive power supply to the main switch circuit. , Usually OF
A sub-switch circuit for maintaining the F state, a timer circuit for turning on the sub-switch circuit only for a predetermined time when the driving power is turned on, and a fail detection circuit connected between the main switch circuit and the control unit Is provided in parallel with the driver circuit on the downstream side of the main switch, and the sub-switch circuit is turned on by a supply current to the driver circuit.
And a sub-switch control means for turning off the sub-switch circuit when the supply current to the driver circuit is cut off. When the failure detection circuit detects an abnormality of the control unit, the main switch circuit is turned off. It is characterized in that it is turned off and the current supply from the driving power supply to the driver circuit is cut off.
【0006】第2の発明は、第1の発明を前提とし、サ
ブスイッチ回路が、互いに並列接続されている第1,第
2スイッチからなり、上記第1スイッチがタイマー回路
により制御され、上記第2スイッチがサブスイッチ制御
手段により制御される点に特徴を有する。第3の発明
は、上記の発明を前提とし、フェール検出回路が、複数
のウォッチドッグタイマーとAND回路とを備え、それ
ぞれのウォッチドッグタイマーに、異なる制御プログラ
ムから出力されるフェール検出信号を入力し、上記ウォ
ッチドッグタイマーの出力信号をAND回路を介してメ
インスイッチ回路へ出力する点に特徴を有する。A second invention is based on the first invention, wherein the sub-switch circuit comprises first and second switches connected in parallel to each other, wherein the first switch is controlled by a timer circuit, and It is characterized in that two switches are controlled by the sub-switch control means. The third invention is based on the above-mentioned invention, and the failure detection circuit includes a plurality of watchdog timers and an AND circuit, and inputs a failure detection signal output from a different control program to each watchdog timer. The output signal of the watchdog timer is output to the main switch circuit via an AND circuit.
【0007】[0007]
【発明の実施の形態】図1に示す実施例は、この発明の
フェールセーフ機構を備えた、車両の後輪操舵装置など
のシステムを制御する回路である。制御部であるCPU
1のポート1aをドライバ回路2に接続し、このドライ
バ回路2を介してアクチュエータ3を制御する。このア
クチュエータ3は、図示しない後輪操舵装置のバルブユ
ニットである。また、上記ドライバ回路2には、この発
明のメインスイッチ回路であるトランジスタ9を介して
駆動用電源4を接続している。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The embodiment shown in FIG. 1 is a circuit for controlling a system such as a rear wheel steering device of a vehicle provided with the fail-safe mechanism of the present invention. CPU as a control unit
One port 1a is connected to a driver circuit 2, and the actuator 3 is controlled via the driver circuit 2. The actuator 3 is a valve unit of a rear wheel steering device (not shown). Further, a driving power supply 4 is connected to the driver circuit 2 via a transistor 9 which is a main switch circuit of the present invention.
【0008】上記トランジスタ9と駆動用電源4との間
には、サブスイッチ回路5を接続している。このサブス
イッチ回路5は、並列に接続した第1,第2スイッチ5
a,5bとからなる。上記第1スイッチ5aは、上記駆
動用電源4に接続したタイマー回路7で制御される。こ
のタイマー回路7はコイル7aとタイマースイッチ7b
とからなる。そして、駆動用電源4をONすると、タイ
マー7bによって一定時間だけコイル7aに電流が供給
され、コイル7aが励磁すると、第1スイッチ5aが閉
じるようになっている。A sub-switch circuit 5 is connected between the transistor 9 and the driving power supply 4. The sub-switch circuit 5 includes first and second switches 5 connected in parallel.
a and 5b. The first switch 5a is controlled by a timer circuit 7 connected to the driving power supply 4. The timer circuit 7 includes a coil 7a and a timer switch 7b.
Consists of When the driving power supply 4 is turned on, a current is supplied to the coil 7a for a fixed time by the timer 7b, and when the coil 7a is excited, the first switch 5a is closed.
【0009】また、第2スイッチ5bは、コイル8が励
磁されると閉じるスイッチで、このコイル8と第2スイ
ッチ5bとの間にトランジスタ9を接続している。つま
り、コイル8がこの発明のサブスイッチ制御手段であ
る。上記のような回路では、第1スイッチ5aまたは第
2スイッチ5bが閉じ、同時にトランジスタ9に適当な
ベース電流が供給されたときに回路を閉じ、上記駆動用
電源4とドライバ回路2間が接続される。The second switch 5b is a switch that closes when the coil 8 is excited. A transistor 9 is connected between the coil 8 and the second switch 5b. That is, the coil 8 is the sub-switch control means of the present invention. In the circuit as described above, the first switch 5a or the second switch 5b is closed, and at the same time the circuit is closed when an appropriate base current is supplied to the transistor 9, so that the drive power supply 4 and the driver circuit 2 are connected. You.
【0010】一方、CPU1のポート1b、1cには、
フェール検出回路6を接続し、このフェール検出回路6
を上記トランジスタ9に接続している。そして、CPU
1は、上記ポート1b,1cからフェール検出信号を出
力する。すなわち、フェール検出回路6は、上記フェー
ル検出信号に基づいてCPU1のエラーを検出し、フェ
ール信号をメインスイッチ回路5へ入力する回路であ
る。なお、図中、符号13は、CPU1用の電源であ
る。On the other hand, ports 1b and 1c of CPU 1
The failure detection circuit 6 is connected, and the failure detection circuit 6
Are connected to the transistor 9. And CPU
1 outputs a failure detection signal from the ports 1b and 1c. That is, the failure detection circuit 6 is a circuit that detects an error of the CPU 1 based on the failure detection signal and inputs a failure signal to the main switch circuit 5. In the figure, reference numeral 13 denotes a power supply for the CPU 1.
【0011】また、フェール検出回路6は、上記CPU
1のポート1b,1cに接続したウォッチドッグタイマ
ー10,11と、両ウォッチドックタイマー10,11
の出力をまとめるAND回路12を備えている。上記ウ
ォッチドックタイマー10,11には、CPU1からパ
ルス信号が入力される。このパルス信号は、制御プログ
ラムが正常に動作している間に、連続的に出力される信
号である。そして、各ウォッチドッグタイマー10、1
1は、上記パルス信号が入力されると、所定の電流値の
H信号を出力し、一定時間パルス信号が入力されなくな
ると、H信号より電流値の低いL信号を出力する。な
お、各ウォッチドッグタイマー10,11には、異なる
制御プログラムから出力されるパルス信号を入力するよ
うにしている。このパルス信号が、この発明のフェール
検出信号である。The fail detecting circuit 6 is provided with the CPU
Watchdog timers 10 and 11 connected to the ports 1b and 1c of the first, and both watchdog timers 10 and 11
And an AND circuit 12 for collecting the outputs of the above. A pulse signal is input from the CPU 1 to the watchdog timers 10 and 11. This pulse signal is a signal that is continuously output while the control program is operating normally. And each watchdog timer 10, 1
1 outputs an H signal having a predetermined current value when the pulse signal is input, and outputs an L signal having a lower current value than the H signal when no pulse signal is input for a predetermined time. Note that pulse signals output from different control programs are input to each of the watchdog timers 10 and 11. This pulse signal is the fail detection signal of the present invention.
【0012】上記ウォッチドッグタイマー10,11に
接続したAND回路12は、ウォッチドッグタイマー1
0,11からの出力がどちらもH信号の場合にだけ、信
号を出力し、それ以外のときには信号を出力しない。つ
まり、両方のウォッチドッグタイマー10,11にパル
ス信号を入力する制御プログラムがどちらも正常に作動
している場合には、AND回路12からは電流が出力さ
れる。この電流が、上記トランジスタ9のベース電流と
なり、トランジスタ9に駆動用電源4からの電流が流れ
る。An AND circuit 12 connected to the watchdog timers 10 and 11 has a watchdog timer 1
A signal is output only when the outputs from 0 and 11 are both H signals, and otherwise no signal is output. That is, when both control programs for inputting pulse signals to both watchdog timers 10 and 11 operate normally, the AND circuit 12 outputs a current. This current becomes the base current of the transistor 9, and the current from the driving power supply 4 flows through the transistor 9.
【0013】しかし、制御プログラムのどちらか一方に
異常が発生した場合には、異常を検出したウォッチドッ
グタイマーがL信号を出力するので、AND回路12か
らは信号が出力されない。このように信号が出力されな
いことは、ゼロ信号を出力しているのと同じである。つ
まり、トランジスタ9のベース電流が断たれる。However, when an abnormality occurs in one of the control programs, the watchdog timer that detects the abnormality outputs an L signal, so that no signal is output from the AND circuit 12. The fact that no signal is output in this way is the same as outputting a zero signal. That is, the base current of the transistor 9 is cut off.
【0014】以下に、図1の制御回路の動作を図2のフ
ローチャートを用いて説明する。なお、このフローチャ
ートは、上記制御回路全体の動きを説明するものであ
り、CPU1の制御プログラムのステップではない。ま
た、図2中、「W.D.T.」は、ウォッチドッグタイ
マーのことである。まず、ステップ1で駆動用電源4お
よび電源13をオンにする。電源13がオンされるとC
PU1の制御プログラムが立ち上がり、正常に作動する
と、ステップ2で、CPU1がウォッチドックタイマー
10,11へ、パルス信号を出力する。一方、駆動用電
源4がオンされると、ステップ3でタイマー回路7のコ
イル7aが励磁され、第1スイッチ5aが閉じる。これ
により、駆動用電源4とトランジスタ9までがつなが
る。The operation of the control circuit of FIG. 1 will be described below with reference to the flowchart of FIG. This flowchart explains the operation of the entire control circuit, and is not a step of the control program of the CPU 1. In FIG. 2, “WDT” is a watchdog timer. First, in step 1, the driving power supply 4 and the power supply 13 are turned on. When the power supply 13 is turned on, C
When the control program of the PU 1 starts up and operates normally, the CPU 1 outputs a pulse signal to the watchdog timers 10 and 11 in step 2. On the other hand, when the driving power supply 4 is turned on, the coil 7a of the timer circuit 7 is excited in step 3, and the first switch 5a is closed. As a result, the drive power supply 4 and the transistor 9 are connected.
【0015】その間に、両ウォッチドッグタイマー1
0,11にパルス信号が入力されるので、ステップ4
で、両ウォッチドッグタイマー10,11からAND回
路12へH信号が出力される。したがって、ステップ5
で、上記AND回路12がメインスイッチ回路5のトラ
ンジスタ9に対し、ベース電流を供給する。これによ
り、ステップ6で、トランジスタ9に電流が流れる。ト
ランジスタ9に電流が流れれば、コイル8にも電流が供
給される。ステップ7で、コイル8が励磁され、第2ス
イッチ5bが閉じる。これにより、ドライバ回路2に電
流が供給される(ステップ8)。つまり、電流は、駆動
用電源4→第1スイッチ5a→トランジスタ9→コイル
8およびドライバ回路2→アクチュエータ3と流れ、シ
ステムが作動する。このとき、ドライバー回路2には、
上記CPU1から制御プログラムに基づいた制御信号が
入力されている。Meanwhile, both watch dog timers 1
Since a pulse signal is input to 0 and 11, step 4
Then, the H signal is output from both watchdog timers 10 and 11 to the AND circuit 12. Therefore, step 5
Then, the AND circuit 12 supplies a base current to the transistor 9 of the main switch circuit 5. As a result, in step 6, a current flows through the transistor 9. When a current flows through the transistor 9, the current is also supplied to the coil 8. In step 7, the coil 8 is excited and the second switch 5b is closed. As a result, a current is supplied to the driver circuit 2 (step 8). That is, the current flows from the driving power supply 4 → the first switch 5a → the transistor 9 → the coil 8 and the driver circuit 2 → the actuator 3 to operate the system. At this time, the driver circuit 2
A control signal based on a control program is input from the CPU 1.
【0016】上記のように、駆動用電源4から第2スイ
ッチ5bおよびトランジスタ9を介して、ドライバ回路
2へ電源が供給されるので、所定時間経過したためにタ
イマー7bによって第1スイッチ5aが切れても(ステ
ップ9)、電源供給路は確保できる。したがって、上記
アクチュエータ3に接続した図示しないシステムは作動
し続ける。ステップ10で、上記システムのどこかに異
常が発生する。この異常がCPU1の暴走によるもの
か、その他の原因によるものかによって、フェールセー
フ機構の対応の仕方が異なる。ステップ11で、CPU
1の暴走が原因の場合には、ステップ13へ進み、CP
U1以外に原因がある場合には、ステップ12へ進む。As described above, power is supplied from the driving power supply 4 to the driver circuit 2 via the second switch 5b and the transistor 9, so that the first switch 5a is turned off by the timer 7b because a predetermined time has elapsed. (Step 9), a power supply path can be secured. Therefore, a system (not shown) connected to the actuator 3 continues to operate. In step 10, an abnormality occurs somewhere in the system. The method of handling the fail-safe mechanism differs depending on whether this abnormality is caused by a runaway of the CPU 1 or another cause. In step 11, the CPU
If the cause is runaway, go to step 13
If there is a cause other than U1, go to step 12.
【0017】CPU1が正常な場合には、CPU1がシ
ステム異常を検出することができる。そこで、異常を検
出したら、ステップ12でCPU1が自ら制御を停止
し、ステップ13で、CPU1からウォッチドッグタイ
マー10および11へのパルス出力を停止する。ステッ
プ14では、ウォッチドッグタイマー10,11がL信
号を出力し、AND回路12は、信号の出力をやめる。
すなわち、ステップ15では、トランジスタ9のベース
電流の供給を停止する。When the CPU 1 is normal, the CPU 1 can detect a system abnormality. Therefore, when an abnormality is detected, the CPU 1 stops the control by itself in step 12, and stops the pulse output from the CPU 1 to the watchdog timers 10 and 11 in step 13. In step 14, the watchdog timers 10 and 11 output the L signal, and the AND circuit 12 stops outputting the signal.
That is, in step 15, the supply of the base current of the transistor 9 is stopped.
【0018】ベース電流がなくなれば、ステップ16
で、トランジスタ9の導通が切れる。ステップ17で、
コイル8が非励磁となり、第2スイッチ5bが切れる。
したがって、ステップ18でドライバ回路2の電流供給
がストップして、システムが停止する(ステップ1
9)。ステップ11で、システムの異常がCPU1によ
る場合には、ステップ13へ進む。CPU1は、異常を
検出することができないが、制御プログラムが正常に動
作していないため、パルス信号がウォッチドッグタイマ
ー10,11へ出力されない(ステップ13)。If there is no base current, step 16
Then, the conduction of the transistor 9 is cut off. In step 17,
The coil 8 is de-energized, and the second switch 5b is turned off.
Therefore, the current supply to the driver circuit 2 is stopped in step 18 and the system is stopped (step 1).
9). If it is determined in step 11 that the system is abnormal due to the CPU 1, the process proceeds to step 13. Although the CPU 1 cannot detect the abnormality, the pulse signal is not output to the watchdog timers 10 and 11 because the control program is not operating normally (step 13).
【0019】以降、上記と同様に、ステップ14〜ステ
ップ19でシステムが停止する。上記のように、この実
施例では、異常が発生した場合には、ドライバ回路2と
これを駆動する駆動用電源4との間を遮断することによ
り、CPU1で制御されるシステムを停止させ、誤動作
を確実に防止するようにしている。Thereafter, the system stops at steps 14 to 19 in the same manner as described above. As described above, in this embodiment, when an abnormality occurs, the system controlled by the CPU 1 is stopped by shutting off the driver circuit 2 and the driving power supply 4 for driving the driver circuit 2 and causing a malfunction. Is surely prevented.
【0020】しかも、フェール検出回路6から信号が出
力され、トランジスタ9のベース電流が供給されなくな
ることによって、トランジスタ9が一旦切れれば、図2
のステップ1に戻って、駆動用電源4を手動でオンしな
い限り、切れたメインスイッチ回路5がつながることは
ない。仮に、CPU1の制御プログラムが暴走している
のに、たまたまパルス信号を出力したような場合に、ト
ランジスタ9にベース電流が供給されても、駆動用電源
4とトランジスタ9との間が遮断されているので、ドラ
イバ回路2に電源が供給されることはない。もちろん、
CPU1の制御プログラムが復帰しても、勝手にサブス
イッチ5がつながることはない。したがって、エラーが
発生した場合には、直ちにシステムが停止し、勝手に復
帰するようなことはない。Further, when a signal is output from the fail detection circuit 6 and the base current of the transistor 9 is not supplied, once the transistor 9 is turned off, the circuit shown in FIG.
Returning to step 1, the disconnected main switch circuit 5 will not be connected unless the drive power supply 4 is manually turned on. If a pulse signal is output by chance while the control program of the CPU 1 runs out of control, even if a base current is supplied to the transistor 9, the drive power supply 4 and the transistor 9 are cut off. Therefore, power is not supplied to the driver circuit 2. of course,
Even if the control program of the CPU 1 returns, the sub-switch 5 is not connected without permission. Therefore, when an error occurs, the system stops immediately and does not return without permission.
【0021】また、上記実施例では、フェール検出回路
6に、2個のウォッチドッグタイマー10,11を設け
て、それぞれ、別の制御プログラムからパルス信号を入
力するようにしている。そして、これらウォッチドッグ
タイマー10,11からの出力信号をAND回路12に
入力している。そのため、2つの制御プログラムのうち
どちらか一方でも、異常な動作をした場合には、トラン
ジスタ9のベース電流の供給を止めて、メインスイッチ
回路5を切ることができる。ただし、この数は、2個に
限らず、1個でも、3個以上でもかまわない。ウォッチ
ドッグタイマーの数を増やして、それぞれに別のプログ
ラムを監視させれば、それだけフェール検出の確度が高
くなる。Further, in the above embodiment, two watchdog timers 10 and 11 are provided in the fail detecting circuit 6, and each receives a pulse signal from another control program. The output signals from the watchdog timers 10 and 11 are input to the AND circuit 12. Therefore, when abnormal operation occurs in either one of the two control programs, the supply of the base current of the transistor 9 can be stopped, and the main switch circuit 5 can be turned off. However, the number is not limited to two and may be one or three or more. Increasing the number of watchdog timers and monitoring different programs for each will increase the accuracy of failure detection.
【0022】また、フェール検出回路6やメインスイッ
チ回路、サブスイッチ回路およびサブスイッチ制御手段
は、上記実施例の構成に限らない。要するに、フェール
検出回路6は、CPU1から制御プログラムの異常を示
す信号を入力されたら、フェール信号を出力し、それに
よってメインスイッチ回路を切ることができ、このメイ
ンスイッチ回路が切れることでサブスイッチ回路が切れ
て、復帰しなければよい。Further, the fail detecting circuit 6, the main switch circuit, the sub switch circuit and the sub switch control means are not limited to the configuration of the above embodiment. In short, when the signal indicating the abnormality of the control program is input from the CPU 1, the failure detection circuit 6 outputs a failure signal, thereby disconnecting the main switch circuit. If it cuts off and does not return.
【0023】[0023]
【発明の効果】この発明によれば、CPUで駆動制御さ
れるシステムに、異常が発生した場合には、駆動用電源
のドライバ回路への供給を断つようにすることによっ
て、システムを停止させるとともに、再度駆動用電源が
投入されない限り、ドライバ回路への電流供給がされな
いので、例えば、車両の走行中にシステムが復帰すると
いったことが確実に防止される。特に、第3の発明によ
れば、複数の制御プログラムの異常を別々に検出し、そ
のなかで、ひとつでも異常を検出した場合には、システ
ムを停止することができる。したがって、システムの誤
動作をより確実に防止できる。According to the present invention, when an abnormality occurs in the system driven and controlled by the CPU, the supply of the driving power to the driver circuit is stopped so that the system is stopped. Since the current is not supplied to the driver circuit unless the driving power supply is turned on again, for example, the system is reliably prevented from returning during running of the vehicle. In particular, according to the third aspect, an abnormality in a plurality of control programs is separately detected, and if any abnormality is detected, the system can be stopped. Therefore, malfunction of the system can be more reliably prevented.
【図1】実施例の回路図である。FIG. 1 is a circuit diagram of an embodiment.
【図2】実施例のフローチャートである。FIG. 2 is a flowchart of the embodiment.
1 CPU 2 ドライバ回路 4 駆動用電源 5 サブスイッチ回路 5a 第1スイッチ 5b 第2スイッチ 6 フェール検出回路 7 タイマー回路 8 コイル 9 トランジスタ 10 ウォッチドッグタイマー 11 ウォッチドッグタイマー 12 AND回路 DESCRIPTION OF SYMBOLS 1 CPU 2 Driver circuit 4 Driving power supply 5 Sub-switch circuit 5a 1st switch 5b 2nd switch 6 Fail detection circuit 7 Timer circuit 8 Coil 9 Transistor 10 Watchdog timer 11 Watchdog timer 12 AND circuit
───────────────────────────────────────────────────── フロントページの続き (72)発明者 天野 教正 東京都港区浜松町2−4−1 世界貿易セ ンタービルカヤバ工業株式会社内 (72)発明者 佐々木 和弘 東京都港区浜松町2−4−1 世界貿易セ ンタービルカヤバ工業株式会社内 Fターム(参考) 3D032 CC30 CC32 CC35 DC07 DC09 DE09 EA06 EC04 EC08 EC23 GG01 5H209 AA10 BB07 CC05 DD04 EE11 EE18 GG14 HH04 HH21 ──────────────────────────────────────────────────続 き Continued on the front page (72) Inventor Norimasa Amano 2-4-1 Hamamatsucho, Minato-ku, Tokyo World Trade Center Building Kayaba Industry Co., Ltd. (72) Inventor Kazuhiro Sasaki 2 Hamamatsucho, Minato-ku, Tokyo 4-1 F-term in World Trade Center Kayaba Industry Co., Ltd. (Reference) 3D032 CC30 CC32 CC35 DC07 DC09 DE09 EA06 EC04 EC08 EC23 GG01 5H209 AA10 BB07 CC05 DD04 EE11 EE18 GG14 HH04 HH21
Claims (3)
ドライバ回路と、このドライバ回路を制御プログラムに
基づいて制御する制御部と、上記ドライバ回路に電流を
供給する駆動用電源と、この駆動用電源とドライバ回路
との間に接続したメインスイッチ回路と、駆動用電源と
メインスイッチ回路との間に接続され、駆動用電源から
メインスイッチ回路への電源供給をON,OFF制御す
るとともに、通常はOFF状態を維持するサブスイッチ
回路と、駆動用電源が投入されたとき、一定時間のみサ
ブスイッチ回路をON状態とするタイマー回路と、メイ
ンスイッチ回路と制御部との間に接続されたフェール検
出回路と、メインスイッチより下流側で上記ドライバ回
路と並列に設けられ、ドライバ回路への供給電流により
サブスイッチ回路をON状態とするとともにドライバ回
路への供給電流が断たれたときにはサブスイッチ回路を
OFF状態とするサブスイッチ制御手段とを備え、上記
フェール検出回路が制御部の異常を検出したときには、
上記メインスイッチ回路をOFFとし、駆動用電源から
ドライバ回路への電流供給を断つことを特徴とするフェ
ールセーフ機構。1. A driver circuit for driving and controlling an electric system of a vehicle, a control unit for controlling the driver circuit based on a control program, a driving power supply for supplying a current to the driver circuit, A main switch circuit connected between the power supply and the driver circuit, and a main switch circuit connected between the drive power supply and the main switch circuit for controlling ON / OFF of the power supply from the drive power supply to the main switch circuit. A sub-switch circuit that keeps the OFF state, a timer circuit that keeps the sub-switch circuit ON only for a predetermined time when the driving power is turned on, and a fail detection circuit that is connected between the main switch circuit and the control unit. And the sub-switch circuit is provided in parallel with the driver circuit on the downstream side of the main switch, and the supply current to the driver circuit. Sub-switch control means for turning on the sub-switch circuit when the supply current to the driver circuit is cut off when the supply current to the driver circuit is cut off, and when the failure detection circuit detects an abnormality of the control unit,
A fail-safe mechanism, wherein the main switch circuit is turned off, and current supply from the driving power supply to the driver circuit is cut off.
れている第1,第2スイッチからなり、上記第1スイッ
チがタイマー回路により制御され、上記第2スイッチが
サブスイッチ制御手段により制御されることを特徴とす
る請求項1に記載のフェールセーフ機構。2. The sub-switch circuit comprises first and second switches connected in parallel to each other, wherein the first switch is controlled by a timer circuit, and the second switch is controlled by sub-switch control means. The fail-safe mechanism according to claim 1, wherein:
ッグタイマーとAND回路とを備え、それぞれのウォッ
チドッグタイマーに、異なる制御プログラムから出力さ
れるフェール検出信号を入力し、上記ウォッチドッグタ
イマーの出力信号をAND回路を介してメインスイッチ
回路へ出力することを特徴とする請求項1または2に記
載のフェールセーフ機構。3. A failure detection circuit comprising a plurality of watchdog timers and an AND circuit, each of which receives a failure detection signal output from a different control program and outputs an output signal of the watchdog timer. Is output to the main switch circuit via an AND circuit.
Priority Applications (8)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP25073899A JP3906000B2 (en) | 1999-09-03 | 1999-09-03 | Fail-safe mechanism |
| KR1020000050601A KR100352023B1 (en) | 1999-09-03 | 2000-08-30 | Fail safe mechanism |
| EP00307578A EP1081015B1 (en) | 1999-09-03 | 2000-09-01 | Fail-safe mechanism |
| DE60044002T DE60044002D1 (en) | 1999-09-03 | 2000-09-01 | safety device |
| EP05077981A EP1637437B1 (en) | 1999-09-03 | 2000-09-01 | Fail-safe mechanism |
| DE60027514T DE60027514T2 (en) | 1999-09-03 | 2000-09-01 | safety device |
| US09/654,552 US6498403B1 (en) | 1999-09-03 | 2000-09-01 | Fail-safe mechanism having a driver circuit for controlling driving of an electrical system of a vehicle |
| ES00307578T ES2262489T3 (en) | 1999-09-03 | 2000-09-01 | FAILURE PROOF MECHANISM. |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP25073899A JP3906000B2 (en) | 1999-09-03 | 1999-09-03 | Fail-safe mechanism |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2001075603A true JP2001075603A (en) | 2001-03-23 |
| JP2001075603A5 JP2001075603A5 (en) | 2005-04-28 |
| JP3906000B2 JP3906000B2 (en) | 2007-04-18 |
Family
ID=17212315
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP25073899A Expired - Lifetime JP3906000B2 (en) | 1999-09-03 | 1999-09-03 | Fail-safe mechanism |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3906000B2 (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008100576A (en) * | 2006-10-18 | 2008-05-01 | Denso Corp | On-vehicle equipment controller |
| CN102167027A (en) * | 2010-12-28 | 2011-08-31 | 奇瑞汽车股份有限公司 | Fault-tolerant control system based on line control brake |
-
1999
- 1999-09-03 JP JP25073899A patent/JP3906000B2/en not_active Expired - Lifetime
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008100576A (en) * | 2006-10-18 | 2008-05-01 | Denso Corp | On-vehicle equipment controller |
| CN102167027A (en) * | 2010-12-28 | 2011-08-31 | 奇瑞汽车股份有限公司 | Fault-tolerant control system based on line control brake |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3906000B2 (en) | 2007-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6498403B1 (en) | Fail-safe mechanism having a driver circuit for controlling driving of an electrical system of a vehicle | |
| JPH0431123B2 (en) | ||
| JP2003182608A (en) | Electric power steering controller | |
| JP2011183923A (en) | Electric power steering control device and electric power steering system | |
| US6513619B2 (en) | Electrically-driven power steering system | |
| US9221492B2 (en) | Method for operating an electrical power steering mechanism | |
| JP6441505B2 (en) | Control device and control method of control device | |
| JP2001075603A (en) | Fail safe mechanism | |
| JP2004122943A (en) | Controller of electric power steering | |
| JPH1023601A (en) | Controller for motor of electric vehicle | |
| JP4036585B2 (en) | Fail-safe mechanism | |
| JP2009268286A (en) | Device and method for controlling electric vehicle | |
| JPH11342859A (en) | Control device for motor power steering | |
| JP2906789B2 (en) | Runaway monitoring circuit of multiple microcomputers | |
| JP2004276834A (en) | Steering device for vehicle | |
| JPH1169865A (en) | Electric motor drive gear | |
| JP2008049779A (en) | Electric power steering control device | |
| KR20080078436A (en) | Method and circuit for detecting malfunction of electronic power steering system | |
| JPH09301200A (en) | Motor-driven power steering device | |
| JP2022159894A (en) | Vehicle power supply control device | |
| JP2625549B2 (en) | Controller control mechanism | |
| JP2000072020A (en) | Failure detecting device | |
| JP3593922B2 (en) | Monitoring device for actuator drive circuit | |
| JPS6395514A (en) | Power supply switch controller | |
| JP2000301990A (en) | On-vehicle electronic control device with self-monitoring function |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040621 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040621 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060808 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061004 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20061219 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070115 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3906000 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100119 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110119 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120119 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130119 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130119 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |