JP2001122147A - Fail safe mechanism - Google Patents

Fail safe mechanism

Info

Publication number
JP2001122147A
JP2001122147A JP30320499A JP30320499A JP2001122147A JP 2001122147 A JP2001122147 A JP 2001122147A JP 30320499 A JP30320499 A JP 30320499A JP 30320499 A JP30320499 A JP 30320499A JP 2001122147 A JP2001122147 A JP 2001122147A
Authority
JP
Japan
Prior art keywords
cpu
control system
control
signal
abnormality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP30320499A
Other languages
Japanese (ja)
Other versions
JP4036585B2 (en
JP2001122147A5 (en
Inventor
Shinichi Hagihira
慎一 萩平
Norimasa Amano
教正 天野
Kazuhiro Sasaki
和弘 佐々木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hino Motors Ltd
KYB Corp
Original Assignee
Hino Motors Ltd
Kayaba Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hino Motors Ltd, Kayaba Industry Co Ltd filed Critical Hino Motors Ltd
Priority to JP30320499A priority Critical patent/JP4036585B2/en
Priority to KR1020000050601A priority patent/KR100352023B1/en
Priority to ES00307578T priority patent/ES2262489T3/en
Priority to DE60027514T priority patent/DE60027514T2/en
Priority to DE60044002T priority patent/DE60044002D1/en
Priority to EP00307578A priority patent/EP1081015B1/en
Priority to EP05077981A priority patent/EP1637437B1/en
Priority to US09/654,552 priority patent/US6498403B1/en
Publication of JP2001122147A publication Critical patent/JP2001122147A/en
Publication of JP2001122147A5 publication Critical patent/JP2001122147A5/ja
Application granted granted Critical
Publication of JP4036585B2 publication Critical patent/JP4036585B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Steering-Linkage Mechanisms And Four-Wheel Steering (AREA)

Abstract

PROBLEM TO BE SOLVED: To detect a malfunction of a control system provided with a CPU not by another CPU but by itself, and to automatically continue control of a device by an auxiliary control system when the malfunctioning control system stops. SOLUTION: First and second control systems A and B are each provided with driver circuits 2A and 2B, CPUs 1A and 1B controlling the driver circuits 2A and 2B, a power source 4 for driving, switching circuits 5A and 5B, and CPU malfunction detesting mechanism 3A and 3B. When a malfunction signal is outputted from the CPU 1A inside one control system A, the CPU malfunction detecting mechanism 3A output a command to the switching circuit 5A to shut off a switch, the control system A sends a control stoppage signal to the other control system B, and the CPU 1B of the control system B starts drive control.

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【発明の属する技術分野】この発明は、例えば、後輪操
舵装置など、車両に搭載した装置を制御する電気的な制
御システムに異常が発生した時、その制御システムを停
止するとともに、予備の制御システムに制御を続けさせ
るフェールセーフ機構に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a control system for controlling a device mounted on a vehicle, such as a rear wheel steering device, when an abnormality occurs, the control system is stopped and preliminary control is performed. It relates to a fail-safe mechanism that allows the system to continue control.

【0002】[0002]

【従来の技術】後輪操舵装置のモータの駆動や、油圧系
のコントロールバルブを、CPUによって制御する場合
において、CPUに異常が発生したときには、CPUの
制御を停止させるなどして、CPUが誤った制御を続け
ないようにしている。上記CPUが正常かどうかどうか
を判定するためには、複数のCPUを設けて、それらの
中で、他と異なった動作をするものが有れば、そのCP
Uが異常であると判断し、そのCPUの制御を停止させ
るようにしている。2. Description of the Related Art When a CPU of a rear wheel steering device drives a motor or controls a hydraulic control valve, if an abnormality occurs in the CPU, the CPU is stopped and the CPU is erroneously controlled. Control is not continued. In order to determine whether or not the above-mentioned CPU is normal, a plurality of CPUs are provided, and if any of them operates differently from the others, the CP
U is determined to be abnormal, and control of that CPU is stopped.

【0003】[0003]

【発明が解決しようとする課題】上記のようにして、C
PUの異常が検出された場合、CPUの制御が停止し
て、後輪操舵装置などが、停止してしまったのでは、困
ることが多い。また、複数のCPUが互いに監視し合っ
て、異常を検出するためには、3つ以上のCPUが必要
である。もしも、2つのCPUしかなければ、両者の動
作が一致しない場合に、どちらが異常なのか判断するこ
とができないからである。このように、異常を検出する
ためにだけ、3つのCPUを備えなければならないの
は、無駄である。As described above, C
If an abnormality of the PU is detected, it is often troublesome if the control of the CPU is stopped and the rear wheel steering device or the like is stopped. Further, in order for a plurality of CPUs to monitor each other and detect an abnormality, three or more CPUs are required. This is because if there are only two CPUs, it is not possible to determine which one is abnormal when the operations of the two do not match. It is wasteful to provide three CPUs only for detecting an abnormality as described above.

【0004】この発明の目的は、CPUを備えた制御シ
ステムの異常を、他のCPUによって発見するのではな
く、自身で検出するとともに、異常が発生した制御シス
テムが停止したら、自動的に、予備の制御システムが装
置の制御を継続するフェールセーフ機構を提供すること
である。An object of the present invention is to detect an abnormality in a control system having a CPU, not by using another CPU, but to detect the abnormality by itself, and to automatically perform a backup operation when the control system in which the abnormality occurs is stopped. Is to provide a fail-safe mechanism for continuing control of the device.

【0005】[0005]

【課題を解決するための手段】第1の発明は、車両の電
気的な装置を駆動制御する第1,第2の制御システムと
からなり、上記第1,第2制御システムは、それぞれ、
上記電気的な装置に接続したドライバ回路と、このドラ
イバ回路を制御するCPUと、上記ドライバ回路に電流
を供給する駆動用電源と、この駆動用電源とドライバ回
路との間に接続したスイッチ回路と、このスイッチ回路
と上記CPUとの間に接続し、CPUからの出力信号に
よりCPUの異常を検出するCPU異常検出機構とを備
え、上記第1,第2制御システムのうち一方の制御シス
テムの動作中に、上記一方の制御システム中のCPUか
ら異常信号が出力された場合には、上記一方の制御シス
テム中のCPU異常検出機構が同システム中のスイッチ
回路に対しスイッチを切る指令を出力するとともに、同
制御システムは、ドライバ回路への電源供給の停止信号
を、他方の制御システムのCPUに送信し、この停止信
号を受信した他方の制御システムのCPUは、駆動制御
を開始する点に特徴を有する。A first invention comprises first and second control systems for driving and controlling an electric device of a vehicle. The first and second control systems respectively include:
A driver circuit connected to the electrical device, a CPU controlling the driver circuit, a driving power supply for supplying current to the driver circuit, and a switch circuit connected between the driving power supply and the driver circuit; A CPU abnormality detecting mechanism that is connected between the switch circuit and the CPU and that detects an abnormality of the CPU based on an output signal from the CPU, the operation of one of the first and second control systems If an abnormality signal is output from the CPU in the one control system during this time, the CPU abnormality detection mechanism in the one control system outputs a command to turn off the switch to the switch circuit in the system. The control system transmits a stop signal of power supply to the driver circuit to the CPU of the other control system, and receives the stop signal. CPU of the control system is characterized in that to start the drive control.

【0006】第2の発明は、第1の発明を前提とし、C
PU異常検出機構が、複数のウォッチドッグタイマーと
アンド回路とを備え、それぞれのウォッチドッグタイマ
ーに、CPUの異なる制御プログラムから出力される異
常検出信号を入力し、上記ウォッチドッグタイマーの出
力信号を、AND回路を介してスイッチ回路へ出力する
点に特徴を有する。[0006] The second invention is based on the premise of the first invention, and C
The PU abnormality detection mechanism includes a plurality of watchdog timers and an AND circuit, inputs an abnormality detection signal output from a different control program of the CPU to each watchdog timer, and outputs an output signal of the watchdog timer. It is characterized in that it is output to a switch circuit via an AND circuit.

【0007】[0007]

【発明の実施の形態】図1、図2に示す第1実施例は、
この発明のフェールセーフ機構を備えた、車両の後輪操
舵装置などの制御回路である。上記制御回路は、2つの
制御システムA,Bからなるが、この制御システムAと
Bは、全く同じ構成である。制御システムAは、CPU
1Aをドライバ回路2Aに接続し、このドライバ回路2
Aを介して図示しない後輪操舵装置のバルブユニットを
駆動制御する。また、上記ドライバ回路2Aには、この
発明のスイッチ回路5Aを介して駆動用電源4を接続し
ている。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The first embodiment shown in FIGS.
4 is a control circuit including a fail-safe mechanism of the present invention, such as a rear wheel steering device of a vehicle. The control circuit includes two control systems A and B. The control systems A and B have exactly the same configuration. The control system A is a CPU
1A is connected to a driver circuit 2A.
The control of the valve unit of the rear wheel steering device (not shown) is performed via A. Further, a driving power supply 4 is connected to the driver circuit 2A via the switch circuit 5A of the present invention.

【0008】上記スイッチ回路5Aは、接点6Aと、コ
イル7A、これらの接点6Aとコイル7Aの間に接続し
たトランジスタ8Aとからなる。上記接点6Aは、コイ
ル7Aが励磁すると閉じる接点である。このようなスイ
ッチ回路5Aでは、コイル7Aが励磁状態で、しかもト
ランジスタ8Aに適当なベース電流が供給されたときに
回路を閉じ、上記駆動用電源4とドライバ回路2A間が
接続され、上記ドライバ回路2Aに電流が供給される。
なお、ここでは、最初に、コイル7Aを励磁して、接点
6Aをオンにするためのスイッチ機構は図示していな
い。このスイッチ機構は、はじめに手動で電源をオンし
た時に、一定時間だけコイル7Aを励磁状態に保つタイ
マーリレイのような機構である。The switch circuit 5A includes a contact 6A, a coil 7A, and a transistor 8A connected between the contact 6A and the coil 7A. The contact 6A is a contact that closes when the coil 7A is excited. In such a switch circuit 5A, when the coil 7A is in an excited state and an appropriate base current is supplied to the transistor 8A, the circuit is closed, the drive power supply 4 is connected to the driver circuit 2A, and the driver circuit is connected. Current is supplied to 2A.
Here, a switch mechanism for first exciting the coil 7A and turning on the contact 6A is not shown. This switch mechanism is a mechanism such as a timer relay that keeps the coil 7A excited for a certain period of time when the power is manually turned on first.

【0009】一方、CPU1Aには、異常検出機構3A
を接続し、この異常検出機構3Aを上記トランジスタ8
Aのベースに接続している。そして、CPU1Aは、上
記異常検出機構3Aに対し、パルス信号を出力する。こ
のパルス信号は、CPU1Aの制御プログラムが正常に
動作している間に、連続的に出力される信号である。そ
して、上記異常検出機構3Aは、上記パルス信号が入力
されている間は、所定の電圧値のH信号を出力し、この
H信号が、上記トランジスタ9のベース電圧となり、ト
ランジスタ8Aに駆動用電源4からの電流が流れる。On the other hand, the CPU 1A has an abnormality detecting mechanism 3A.
And the abnormality detection mechanism 3A is connected to the transistor 8
Connected to A's base. Then, the CPU 1A outputs a pulse signal to the abnormality detection mechanism 3A. This pulse signal is a signal that is continuously output while the control program of the CPU 1A is operating normally. While the pulse signal is being input, the abnormality detection mechanism 3A outputs an H signal having a predetermined voltage value, and this H signal becomes the base voltage of the transistor 9, and the driving power supply is supplied to the transistor 8A. 4 flows.

【0010】これに対し、一定時間パルス信号が入力さ
れなくなると、H信号より電圧値の低いL信号を出力す
る。このL信号は、トランジスタ8Aのベース電圧とし
ては不十分な電圧値である。すなわち、上記パルス信号
の停止が、この発明の異常信号にあたる。そして、上記
CPU1Aからパルスが入力されなければ、上記異常検
出機構3AがL信号を出力するので、トランジスタ8A
のコレクター、エミッタ間の電流が断たれる。したがっ
て、スイッチ回路5Aが切れて、ドライバ回路2Aへ電
流が供給されなくなる。On the other hand, when the pulse signal is not input for a certain period of time, an L signal having a lower voltage value than the H signal is output. This L signal has an insufficient voltage value as the base voltage of the transistor 8A. That is, the stop of the pulse signal corresponds to the abnormal signal of the present invention. If no pulse is input from the CPU 1A, the abnormality detection mechanism 3A outputs an L signal, so that the transistor 8A
The current between the collector and the emitter is cut off. Therefore, the switch circuit 5A is turned off, and no current is supplied to the driver circuit 2A.

【0011】また、制御システムBは、上記制御システ
ムAと全く同じ構成なので、同じ構成要素には、システ
ムAで用いた符号の「A」の代わりに「B」を用いて示
し、個々の説明は省略する。さらに、上記システムAに
おいて、スイッチ回路5Aとドライバ回路2Aとの間か
ら、もう一方の制御システムBのCPU1Bへ、信号線
を接続している。そして、ドライバ回路2Aに駆動電源
が供給されているかどうかの信号を送信するようにして
いる。この構成は、システムBにおいても同じである。Further, since the control system B has exactly the same configuration as the control system A, the same components are indicated by using "B" instead of "A" of the reference numeral used in the system A, and individual explanations will be given. Is omitted. Further, in the system A, a signal line is connected between the switch circuit 5A and the driver circuit 2A to the CPU 1B of the other control system B. Then, a signal as to whether or not driving power is supplied to the driver circuit 2A is transmitted. This configuration is the same in the system B.

【0012】以下に、図1の制御回路の動作を図2のフ
ローチャートを用いて説明する。そして、この第1実施
例では、最初に、制御システムAが作動して、図示しな
い後輪操舵装置を駆動制御している状態から説明する。
なお、このフローチャートは、上記制御回路全体の動き
を説明するものであり、CPU1Aの制御プログラムの
ステップではない。The operation of the control circuit shown in FIG. 1 will be described below with reference to the flowchart shown in FIG. In the first embodiment, the state in which the control system A is first operated to drive and control a rear wheel steering device (not shown) will be described.
This flowchart describes the operation of the entire control circuit, and is not a step of the control program of the CPU 1A.

【0013】まず、ステップ1で駆動用電源4および図
示しないCPU1Aおよび1B用電源をオンにするとと
もに、図示しないスイッチ機構によって、スイッチ回路
5A,5Bを接続する。CPU1Aおよび1Bの制御プ
ログラムが立ち上がり、正常に作動し、ドライバ回路2
A,2Bを介して後輪操舵装置を制御する。このとき、
CPU1Bも正常に作動するが、制御システムAからの
信号により、上記後輪操舵装置が制御システムAによっ
て制御されることを検出する。そのため、制御システム
Bにおいては、上記トランジスタ8Bはオンのままで、
ドライバ回路2Bへの出力指令を停止している。First, in step 1, the drive power supply 4 and the power supplies for the CPUs 1A and 1B (not shown) are turned on, and the switch circuits 5A and 5B are connected by a switch mechanism (not shown). The control programs of the CPUs 1A and 1B start up and operate normally, and the driver circuit 2
The rear wheel steering device is controlled via A and 2B. At this time,
The CPU 1B also operates normally, but detects from the signal from the control system A that the rear wheel steering device is controlled by the control system A. Therefore, in the control system B, the transistor 8B remains on,
The output command to the driver circuit 2B has been stopped.

【0014】ステップ2で異常が発生したら、ステップ
3へ進む。この異常の原因がCPU1Aの異常でなけれ
ば、ステップ4で、CPU1Aが異常を検出できる。ス
テップ5で、CPU1Aが、異常検出機構3Aへ、異常
信号を出力し、ステップ7へ進む。ステップ7では、異
常信号を入力された異常検出機構3Aが、L信号を出力
して、トランジスタ8Aのベース電流を遮断する。した
がって、トランジスタ8Aが切れる。If an abnormality occurs in step 2, the process proceeds to step 3. If the cause of the abnormality is not the abnormality of the CPU 1A, the CPU 1A can detect the abnormality in step 4. In step 5, the CPU 1A outputs an abnormality signal to the abnormality detection mechanism 3A, and proceeds to step 7. In step 7, the abnormality detection mechanism 3A to which the abnormality signal has been input outputs an L signal to cut off the base current of the transistor 8A. Therefore, transistor 8A is turned off.

【0015】一方、ステップ3で、CPU1Aの制御プ
ログラムに異常が発生した場合には、上記パルス信号が
出力されなくなるので、ステップ6で、異常検出機構3
Aが異常を検出する。ステップ7で、トランジスタ8A
が切れ、ステップ8では、コイル7Aが非励磁となり、
接点6Aが切れ、すなわち、スイッチ回路5Aが切れ
る。ステップ9では、ドライバ回路2Aへの電源供給が
なくなる。ステップ10で、システムAが停止した旨の
信号が、もう一方の制御システムBのCPU1Bに対し
て出力される。ステップ11で、CPU1Bがドライバ
回路2Bを介して後輪操舵装置の制御を開始する。そし
て、以降は、上記ステップ1〜9同様にして、制御シス
テムBで異常が検出されるまで、駆動制御が継続され
る。ただし、システムBが異常を検出した場合には、制
御システムAは復帰しないで、全システムが停止するこ
とになる。On the other hand, if an abnormality occurs in the control program of the CPU 1A in step 3, the pulse signal is not output.
A detects an abnormality. In step 7, transistor 8A
Is cut off, and in step 8, the coil 7A is de-energized,
The contact 6A is turned off, that is, the switch circuit 5A is turned off. In step 9, power supply to the driver circuit 2A is stopped. In step 10, a signal indicating that the system A has stopped is output to the CPU 1B of the other control system B. In step 11, the CPU 1B starts controlling the rear wheel steering device via the driver circuit 2B. Thereafter, in the same manner as in steps 1 to 9, the drive control is continued until the control system B detects an abnormality. However, when the system B detects an abnormality, the control system A does not return, and all the systems stop.

【0016】また、制御システムBから駆動制御を始め
た場合には、図2のフローチャート中の「A」と「B」
とを置き換えたステップで、制御が行われる。そして、
制御システムBが停止した場合には、制御システムAが
制御を続ける。以上のように、各制御システムは、他方
の制御システムとは関係なく、システム内部で、異常を
検出することができる。そして、異常を検出した場合に
は、もう一方の制御システムに指令を出して、別の制御
システムによって、装置の制御を継続することができ
る。また、上記のように、上記第1実施例では、異常が
発生した場合には、ドライバ回路2Aとこれを駆動する
駆動用電源4との間を遮断することにより、CPU1A
で制御されるシステムAを停止させ、誤動作を確実に防
止するようにしている。エラーが発生して停止したシス
テムAが勝手に復帰するようなことはない。When the drive control is started from the control system B, "A" and "B" in the flowchart of FIG.
The control is performed in the steps in which is replaced. And
When the control system B stops, the control system A continues the control. As described above, each control system can detect an abnormality inside the system irrespective of the other control system. When an abnormality is detected, a command is issued to the other control system, and control of the apparatus can be continued by another control system. Also, as described above, in the first embodiment, when an abnormality occurs, the driver circuit 2A and the driving power supply 4 for driving the driver circuit 2A are cut off to thereby reduce the CPU 1A.
The system A controlled by the control is stopped so that malfunction is reliably prevented. The system A that has stopped due to the occurrence of the error does not return without permission.

【0017】図3に示す第2実施例は、異常検出機構3
Aとして、2個のウォッチドッグタイマー9A,10A
と、AND回路11Aを用いたもので、その他は、第1
実施例と同じである。上記ウォッチドッグタイマー9
A,10Aには、CPU1Aの制御プログラムが正常に
動作している間には、パルス信号が連続的に入力され
る。そして、各ウォッチドッグタイマー9A、10A
は、上記パルス信号が入力されると、所定の電圧値のH
信号を出力し、一定時間パルス信号が入力されなくなる
と、H信号より電圧値の低いL信号を出力する。なお、
各ウォッチドッグタイマー9A,10Aには、異なる制
御プログラムから出力されるパルス信号を別々のポート
から入力するようにしている。The second embodiment shown in FIG.
As A, two watchdog timers 9A, 10A
And an AND circuit 11A.
This is the same as the embodiment. Watchdog timer 9 above
Pulse signals are continuously input to A and 10A while the control program of the CPU 1A is operating normally. And each watchdog timer 9A, 10A
When the pulse signal is input, a predetermined voltage value of H
When a pulse signal is not input for a certain period of time, an L signal having a lower voltage value than the H signal is output. In addition,
Pulse signals output from different control programs are input to the respective watchdog timers 9A and 10A from different ports.

【0018】上記ウォッチドッグタイマー9A,10A
に接続したAND回路11Aは、ウォッチドッグタイマ
ー9A,10Aからの出力がどちらもH信号の場合にだ
け、信号を出力し、それ以外のときには信号を出力しな
い。つまり、両方のウォッチドッグタイマー9A,10
Aにパルス信号を入力する制御プログラムがどちらも正
常に作動している場合には、AND回路11AからはH
信号が出力される。この信号が、上記トランジスタ8A
のベース電圧となり、トランジスタ8Aに駆動用電源4
からの電流が流れる。The above watch dog timers 9A and 10A
The AND circuit 11A outputs a signal only when both outputs from the watchdog timers 9A and 10A are H signals, and does not output a signal otherwise. That is, both watchdog timers 9A, 10
When both control programs for inputting a pulse signal to A operate normally, the AND circuit 11A outputs H
A signal is output. This signal is applied to the transistor 8A.
And the driving power supply 4 is connected to the transistor 8A.
Current flows from the

【0019】しかし、制御プログラムのどちらか一方に
異常が発生した場合には、異常を検出したウォッチドッ
グタイマーがL信号を出力するので、AND回路11A
からは信号が出力されない。つまり、トランジスタ8A
のベース電圧が断たれる。上記第2実施例では、ウォッ
チドッグタイマーを2個用いたが、もっと多くして、そ
れぞれに、別の制御プログラムを監視させれば、それだ
け確度高く、異常を検出することができる。However, if an abnormality occurs in one of the control programs, the watchdog timer that detects the abnormality outputs an L signal, so that the AND circuit 11A
Does not output a signal. That is, the transistor 8A
Is cut off. In the second embodiment, two watchdog timers are used. However, if the number of watchdog timers is increased and each of them is monitored by another control program, an abnormality can be detected with higher accuracy.

【0020】また、異常検出機構3Aや、スイッチ回路
5Aは、上記実施例の構成に限らない。要するに、異常
検出機構3Aは、CPU1Aから制御プログラムの異常
を示す信号を入力されたら、スイッチ回路5Aを切ると
ともに、システムBに信号を送信できれば良い。そし
て、システムAは勝手に復帰しないで、システムBがそ
の後の制御を継続するのである。Further, the abnormality detecting mechanism 3A and the switch circuit 5A are not limited to the configuration of the above embodiment. In short, the abnormality detection mechanism 3A only needs to be able to turn off the switch circuit 5A and transmit a signal to the system B when the signal indicating the abnormality of the control program is input from the CPU 1A. Then, the system A does not return without permission, and the system B continues the subsequent control.

【0021】[0021]

【発明の効果】第1の発明によれば、2つの制御システ
ムを設け、一方のシステムが停止したときに、他方のシ
ステムが動作して、制御を続行できるようになった。し
かも、1つの制御システム内での異常を、他のCPUを
用いないで検出することができる。そして、異常が発生
した場合には、駆動用電源のドライバ回路への供給を断
つようにすることによって、制御システムを停止させる
とともに、再度駆動用電源が投入されない限り、ドライ
バ回路への電流供給がされないようにしたので、例え
ば、車両の走行中に異常な制御システムが復帰するとい
ったことが防止される。また、従来のように3つ以上の
CPUを用いて、多数決をするといったロジックが不要
となるので、システム構成が容易かつ安価となる。According to the first aspect of the present invention, two control systems are provided, and when one of the systems is stopped, the other system operates and the control can be continued. Moreover, an abnormality in one control system can be detected without using another CPU. When an abnormality occurs, the supply of the driving power to the driver circuit is cut off to stop the control system and to supply the current to the driver circuit unless the driving power is turned on again. This prevents the abnormal control system from returning during running of the vehicle, for example. Further, since the logic for making a majority decision using three or more CPUs as in the related art is not required, the system configuration is easy and inexpensive.

【0022】第2の発明によれば、複数の制御プログラ
ムの異常を別々に検出し、そのなかで、ひとつでも異常
を検出した場合には、システムを停止することができ
る。したがって、システムの誤動作をより確実に防止で
きる。According to the second aspect of the present invention, the abnormalities of a plurality of control programs are separately detected, and if any of the abnormalities is detected, the system can be stopped. Therefore, malfunction of the system can be more reliably prevented.

【図面の簡単な説明】[Brief description of the drawings]

【図1】第1実施例の制御回路である。FIG. 1 is a control circuit of a first embodiment.

【図2】第1実施例の異常検出時のフローチャートであ
る。FIG. 2 is a flowchart when an abnormality is detected in the first embodiment.

【図3】第2実施例の異助検出機構の回路図である。FIG. 3 is a circuit diagram of an auxiliary detection mechanism according to a second embodiment.

【符号の説明】[Explanation of symbols]

1A,1B CPU 2A,2B ドライバ回路 3A,3B 異常検出機構 4 駆動用電源 5A,5B スイッチ回路 9A,10A ウォッチドッグタイマー 11A AND回路 1A, 1B CPU 2A, 2B Driver circuit 3A, 3B Abnormality detection mechanism 4 Driving power supply 5A, 5B Switch circuit 9A, 10A Watchdog timer 11A AND circuit

───────────────────────────────────────────────────── フロントページの続き (72)発明者 天野 教正 東京都港区浜松町2−4−1 世界貿易セ ンタービルカヤバ工業株式会社内 (72)発明者 佐々木 和弘 東京都港区浜松町2−4−1 世界貿易セ ンタービルカヤバ工業株式会社内 Fターム(参考) 3D034 CA10 CC05 CC09 CD20 CE12 CE13 CE14  ──────────────────────────────────────────────────続 き Continued on the front page (72) Inventor Norimasa Amano 2-4-1 Hamamatsucho, Minato-ku, Tokyo Inside World Trade Center Building Kayaba Industry Co., Ltd. (72) Inventor Kazuhiro Sasaki 2 Hamamatsucho, Minato-ku, Tokyo 4-1 World Trade Center Building Kayaba Industry Co., Ltd. F-term (reference) 3D034 CA10 CC05 CC09 CD20 CE12 CE13 CE14

Claims (2)

【特許請求の範囲】[Claims] 【請求項1】 車両の電気的な装置を駆動制御する第
1,第2の制御システムとからなり、上記第1,第2制
御システムは、それぞれ、上記電気的な装置に接続した
ドライバ回路と、このドライバ回路を制御するCPU
と、上記ドライバ回路に電流を供給する駆動用電源と、
この駆動用電源とドライバ回路との間に接続したスイッ
チ回路と、このスイッチ回路と上記CPUとの間に接続
し、CPUからの出力信号によりCPUの異常を検出す
るCPU異常検出機構とを備え、上記第1,第2制御シ
ステムのうち一方の制御システムの動作中に、上記一方
の制御システム中のCPUから異常信号が出力された場
合には、上記一方の制御システム中のCPU異常検出機
構が同システム中のスイッチ回路に対しスイッチを切る
指令を出力するとともに、同制御システムは、ドライバ
回路への電源供給の停止信号を、他方の制御システムの
CPUに送信し、この停止信号を受信した他方の制御シ
ステムのCPUは、駆動制御を開始することを特徴とす
るフェールセーフ機構。The present invention comprises first and second control systems for driving and controlling an electric device of a vehicle. The first and second control systems respectively include a driver circuit connected to the electric device and a driver circuit connected to the electric device. CPU for controlling this driver circuit
A driving power supply for supplying current to the driver circuit,
A switch circuit connected between the driving power supply and the driver circuit; and a CPU abnormality detection mechanism connected between the switch circuit and the CPU and detecting an abnormality of the CPU based on an output signal from the CPU. If an abnormality signal is output from the CPU in the one control system during operation of one of the first and second control systems, the CPU abnormality detection mechanism in the one control system is activated. In addition to outputting a command to turn off the switch to a switch circuit in the system, the control system transmits a stop signal of power supply to the driver circuit to the CPU of the other control system, and receives the stop signal. A fail-safe mechanism characterized in that the CPU of the control system starts drive control. 【請求項2】 CPU異常検出機構が、複数のウォッチ
ドッグタイマーとアンド回路とを備え、それぞれのウォ
ッチドッグタイマーに、CPUの異なる制御プログラム
から出力される異常検出信号を入力し、上記ウォッチド
ッグタイマーの出力信号を、AND回路を介してスイッ
チ回路へ出力することを特徴とする請求項1に記載のフ
ェールセーフ機構。2. A CPU abnormality detection mechanism comprising a plurality of watchdog timers and an AND circuit, wherein each of the watchdog timers receives an abnormality detection signal output from a different control program of the CPU. The fail-safe mechanism according to claim 1, wherein the output signal is output to a switch circuit via an AND circuit.
JP30320499A 1999-09-03 1999-10-26 Fail-safe mechanism Expired - Lifetime JP4036585B2 (en)

Priority Applications (8)

Application Number Priority Date Filing Date Title
JP30320499A JP4036585B2 (en) 1999-10-26 1999-10-26 Fail-safe mechanism
KR1020000050601A KR100352023B1 (en) 1999-09-03 2000-08-30 Fail safe mechanism
DE60027514T DE60027514T2 (en) 1999-09-03 2000-09-01 safety device
DE60044002T DE60044002D1 (en) 1999-09-03 2000-09-01 safety device
ES00307578T ES2262489T3 (en) 1999-09-03 2000-09-01 FAILURE PROOF MECHANISM.
EP00307578A EP1081015B1 (en) 1999-09-03 2000-09-01 Fail-safe mechanism
EP05077981A EP1637437B1 (en) 1999-09-03 2000-09-01 Fail-safe mechanism
US09/654,552 US6498403B1 (en) 1999-09-03 2000-09-01 Fail-safe mechanism having a driver circuit for controlling driving of an electrical system of a vehicle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP30320499A JP4036585B2 (en) 1999-10-26 1999-10-26 Fail-safe mechanism

Publications (3)

Publication Number Publication Date
JP2001122147A true JP2001122147A (en) 2001-05-08
JP2001122147A5 JP2001122147A5 (en) 2005-04-28
JP4036585B2 JP4036585B2 (en) 2008-01-23

Family

ID=17918143

Family Applications (1)

Application Number Title Priority Date Filing Date
JP30320499A Expired - Lifetime JP4036585B2 (en) 1999-09-03 1999-10-26 Fail-safe mechanism

Country Status (1)

Country Link
JP (1) JP4036585B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115139940A (en) * 2021-03-30 2022-10-04 比亚迪股份有限公司 Vehicle safety control system and method and vehicle

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115139940A (en) * 2021-03-30 2022-10-04 比亚迪股份有限公司 Vehicle safety control system and method and vehicle

Also Published As

Publication number Publication date
JP4036585B2 (en) 2008-01-23

Similar Documents

Publication Publication Date Title
KR100352023B1 (en) Fail safe mechanism
EP1892825B1 (en) Redundant motor driving circuit
JPH0431123B2 (en)
JP2003182608A (en) Electric power steering controller
JP3638285B2 (en) Delayed safety brake system for servo motor control system
US9519337B2 (en) Circuitry for controlling an output from an electronic control unit including two processors mutually monitoring each other
JP3380115B2 (en) Electric vehicle motor control device
JP2001122147A (en) Fail safe mechanism
JP4182700B2 (en) Vehicle system control device
JP2001075603A (en) Fail safe mechanism
JP2004122943A (en) Controller of electric power steering
JP2009268286A (en) Device and method for controlling electric vehicle
JP2001014001A (en) Backup method when operation of microcomputer stops, backup device for microcomputer, and power window controller for automobile
JP2021126995A (en) Electronic control device for vehicle and control method for electronic control device for vehicle
KR100357350B1 (en) Safety circuit for electronic controller of wheel lock prevention device
KR100723716B1 (en) Steering force variable control method in eps system
JP2003125596A (en) Driver
JP2003040052A (en) Load diagnostic circuit
JP2784121B2 (en) Vehicle control device
JP2006139407A (en) Electronic device
JP3409534B2 (en) Drive circuit failure detection device
JP2022159894A (en) Vehicle power supply control device
JP3593922B2 (en) Monitoring device for actuator drive circuit
JP3224910B2 (en) Elevator power failure detection device
KR0155714B1 (en) Direct current supply control circuit of robot controller

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040621

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040621

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20060904

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060904

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070123

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070326

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071002

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071030

R150 Certificate of patent or registration of utility model

Ref document number: 4036585

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101109

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101109

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111109

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111109

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121109

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131109

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term