JP2877912B2 - Electronic control unit for internal combustion engine - Google Patents

Electronic control unit for internal combustion engine

Info

Publication number
JP2877912B2
JP2877912B2 JP2187347A JP18734790A JP2877912B2 JP 2877912 B2 JP2877912 B2 JP 2877912B2 JP 2187347 A JP2187347 A JP 2187347A JP 18734790 A JP18734790 A JP 18734790A JP 2877912 B2 JP2877912 B2 JP 2877912B2
Authority
JP
Japan
Prior art keywords
computer
signal
output
sub
combustion engine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2187347A
Other languages
Japanese (ja)
Other versions
JPH0370837A (en
Inventor
ゲオルギオス・ダニーリディス
ヴィルヘルム・ファールバッハ
ヘルベルト・グラーフ
ヴェルナー・ツィマーマン
ヨハネス・ロッヒャー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of JPH0370837A publication Critical patent/JPH0370837A/en
Application granted granted Critical
Publication of JP2877912B2 publication Critical patent/JP2877912B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02BINTERNAL-COMBUSTION PISTON ENGINES; COMBUSTION ENGINES IN GENERAL
    • F02B3/00Engines characterised by air compression and subsequent fuel addition
    • F02B3/06Engines characterised by air compression and subsequent fuel addition with compression ignition

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Combustion & Propulsion (AREA)
  • Chemical & Material Sciences (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Mechanical Engineering (AREA)
  • Quality & Reliability (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)
  • Electrical Control Of Air Or Fuel Supplied To Internal-Combustion Engine (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Safety Devices In Control Systems (AREA)

Description

【発明の詳細な説明】 [産業上の利用分野] 本発明は、内燃機関の電子制御装置に関し、さらに詳
細には内燃機関の少なくとも1つの制御可能な回路ユニ
ットや部材、例えばディーゼル噴射ポンプのアクチュエ
ータにディジタル制御信号を出力する少なくとも1つの
制御出力端子を有する内燃機関の電子制御装置に関する
ものである。
The present invention relates to an electronic control unit for an internal combustion engine, and more particularly to at least one controllable circuit unit or component of an internal combustion engine, for example an actuator for a diesel injection pump. And an electronic control unit for an internal combustion engine having at least one control output terminal for outputting a digital control signal.

[従来の技術] 内燃機関の電子制御装置には2つのコンピュータが設
けられていることが多い。以下においては各コンピュー
タをそれぞれメインコンピュータとサブコンピュータと
いう。サブコンピュータは特にメインコンピュータの監
視を行い、メインコンピュータが故障した場合には非常
機能を遂行する。種々の制御装置の場合、サブコンピュ
ータにはこの非常機能だけしか設けられていない。他の
制御装置においては、サブコンピュータは主に制御目的
のために正常に駆動が行われている場合でもメインコン
ピュータを支援する。この場合、2つのコンピュータの
いずれも、他方のコンピュータが故障した場合には非常
機能を遂行することができる。
[Related Art] An electronic control unit of an internal combustion engine is often provided with two computers. Hereinafter, each computer is referred to as a main computer and a sub computer, respectively. The sub-computer monitors the main computer in particular and performs an emergency function if the main computer fails. In the case of various control devices, the subcomputer has only this emergency function. In other controllers, the sub-computer assists the main computer, even when normally operating for control purposes. In this case, either of the two computers can perform an emergency function if the other computer fails.

サブコンピュータは、2つのコンピュータ間でデータ
線を介して交換されるデータを用いてメインコンピュー
タの監視を行う。さらに2つのコンピュータは、両コン
ピュータによって作動されるウォッチドッグ回路によっ
て監視される。少なくとも一方のコンピュータがウォッ
チドッグ回路を作動させるトリガ信号を出力している間
は、ウォッチドッグ回路は制御出力端子の前段に設けら
れたアンド回路に通過信号を出力する。ウォッチドッグ
回路からアンド回路に信号が出力されなくなると、アン
ド回路は論理レベル「ゼロ」を出力する。このレベルは
安全電位に相当し、内燃機関の作動される部材を所定位
置へ移動させて、制御装置の故障がその内燃機関を搭載
した自動車の搭乗者に危険を及ぼさないようにする。
The sub-computer monitors the main computer using data exchanged between the two computers via data lines. Two more computers are monitored by a watchdog circuit operated by both computers. While at least one of the computers is outputting a trigger signal for activating the watchdog circuit, the watchdog circuit outputs a pass signal to an AND circuit provided in a stage preceding the control output terminal. When no signal is output from the watchdog circuit to the AND circuit, the AND circuit outputs a logic level “zero”. This level corresponds to a safety potential and moves the actuated components of the internal combustion engine into position so that a failure of the control device does not endanger the occupant of the motor vehicle equipped with the internal combustion engine.

サブコンピュータはメインコンピュータの故障を検出
すると、信号出力手段に以後サブコンピュータからの出
力信号を制御出力端子に出力すべきことを示す切り替え
信号を出力する。そこで問題になるのは、サブコンピュ
ータが誤機能によって切り替え信号を出力する可能性が
あることである。その場合にはメインコンピュータから
の信号は制御出力端子に出力されず、サブコンピュータ
が誤機能しているにも関わらず、サブコンピュータから
の信号に切り替えられてしまう。
When the sub-computer detects the failure of the main computer, it outputs to the signal output means a switching signal indicating that the output signal from the sub-computer should be output to the control output terminal. The problem is that the sub-computer may output a switching signal due to an erroneous function. In that case, the signal from the main computer is not output to the control output terminal, and is switched to the signal from the sub computer even though the sub computer is malfunctioning.

[発明が解決しようとする課題] 本発明の課題は、意図しない出力信号が出力されない
ように可能な限り確実に監視できるように構成された、
メインコンピュータとサブコンピュータを有する内燃機
関の電子制御装置を提供することである。
[Problem to be Solved by the Invention] The problem to be solved by the present invention is to make it possible to monitor as surely as possible so that an unintended output signal is not output.
An electronic control device for an internal combustion engine having a main computer and a sub computer is provided.

[課題を解決するための手段] 上記の課題は本発明によれば、請求の範囲第1項ある
いは第2項に記載の特徴によって解決される。
[Means for Solving the Problems] According to the present invention, the above-mentioned problems are solved by the features described in Claims 1 and 2.

[作用] 本発明は、特に高い信頼性を有する電子制御装置の種
々の実施例に関するものである。本発明のすべての制御
装置は次のような構成、すなわち、 メインコンピュータと、 メインコンピュータを監視し、メインコンピュータが
故障の場合には非常機能を遂行するサブコンピュータ
と、 コンピュータを監視する監視手段(ウォッチドッグ回
路)と、 少なくとも1つの制御出力端子に2つのレベルを有す
る信号を出力する信号出力手段とを備え、 前記レベルの一方は安全電位を有し、その電位が連続
して出力されるときは内燃機関が安全駆動状態に維持さ
れる構成を有する。
[Operation] The present invention relates to various embodiments of an electronic control device having particularly high reliability. All of the control devices of the present invention have the following configuration: a main computer, a sub-computer that monitors the main computer, and performs an emergency function when the main computer fails, and a monitoring unit that monitors the computer ( Watchdog circuit), and signal output means for outputting a signal having two levels to at least one control output terminal, wherein one of the levels has a safety potential and the potential is continuously output. Has a configuration in which the internal combustion engine is maintained in a safe driving state.

監視手段は、メインコンピュータ(10)の機能とサブ
コンピュータ(12)の機能を監視し、信号出力手段は、
少なくともサブコンピュータが切り替え信号を出力し、
同時にサブコンピュータが正常に動作していることが監
視手段により検出されているという条件が満たされてい
る場合に、サブコンピュータの出力信号をそれぞれ関連
する制御出力端子に出力し、一方、監視手段がメインコ
ンピュータとサブコンピュータの故障を検出した場合に
は各制御出力端子に安全電位を出力するように構成され
ている(第1図構成)。
The monitoring means monitors the function of the main computer (10) and the function of the sub-computer (12), and the signal output means
At least the sub-computer outputs the switching signal,
At the same time, if the condition that the sub-computer is operating normally is detected by the monitoring means, the output signal of the sub-computer is output to the associated control output terminal, while the monitoring means When a failure of the main computer and the sub-computer is detected, a safety potential is outputted to each control output terminal (FIG. 1).

このような手段によって、サブコンピュータの機能が
正常である確率が非常に高い場合にだけ、サブコンピュ
ータの信号が少なくとも1つの制御出力端子に出力され
るようになる。サブコンピュータの動作が正常であるこ
とは、監視手段に所定の信号が出力されることによって
検出することができる。
By such means, the signal of the sub-computer is output to at least one control output terminal only when the probability that the function of the sub-computer is normal is very high. The normal operation of the subcomputer can be detected by outputting a predetermined signal to the monitoring means.

このような制御装置では、サブコンピュータのみがメ
インコンピュータの故障を検出し、一方監視手段により
相変わらずメインコンピュータが正常であることが検出
されている場合にも、サブコンピュータの出力信号を制
御出力端子に出力する。この場合、監視手段がメインコ
ンピュータの故障を検出しているという条件が満たされ
た場合にだけ、サブコンピュータの出力信号をそれぞれ
の制御出力端子に出力し、監視手段により各コンピュー
タの機能が正常であることが検出されているが、サブコ
ンピュータがメインコンピュータの故障を検出している
場合には、各制御出力端子に安全電位を出力するように
構成することができる。このように構成すると、サブコ
ンピュータのみがメインコンピュータの故障を検出した
ときには安全電位を制御出力端子に出力させることが可
能になる(第2図構成)。
In such a control device, only the sub-computer detects the failure of the main computer, and even when the monitoring means still detects that the main computer is normal, the output signal of the sub-computer is output to the control output terminal. Output. In this case, the output signal of the sub-computer is output to each control output terminal only when the condition that the monitoring means detects the failure of the main computer is satisfied, and the function of each computer is normal by the monitoring means. If it is detected that the sub-computer has detected a failure in the main computer, it can be configured to output a safety potential to each control output terminal. With this configuration, it becomes possible to output the safety potential to the control output terminal when only the sub-computer detects the failure of the main computer (the configuration in FIG. 2).

上記の説明から明らかなように、制御装置全体の機能
を左右するものはウォッチドッグ回路の機能である。そ
こで、好ましくは、コンピュータにより監視信号をウォ
ッチドッグ回路に出力し、監視信号の出力後にウォッチ
ドッグ回路の出力信号を試験するように構成する(第4
図)。試験の結果、ウォッチドッグ回路が正常に機能し
ていないことが明らかになった場合に、信号出力手段か
ら制御出力端子に安全電位が出力される。ウォッチドッ
グ回路は、従来技術の場合と同様に両コンピュータを監
視する共通のウォッチドッグ回路から構成することもで
きるが、個々のウォッチドッグ回路とすることも可能で
ある。
As is apparent from the above description, the function of the entire control device is the function of the watchdog circuit. Therefore, it is preferable that the monitor signal is output to the watchdog circuit by the computer, and the output signal of the watchdog circuit is tested after the output of the monitor signal (fourth embodiment).
Figure). As a result of the test, when it is revealed that the watchdog circuit is not functioning properly, a safety potential is output from the signal output means to the control output terminal. The watchdog circuit can be composed of a common watchdog circuit that monitors both computers as in the case of the related art, or can be an individual watchdog circuit.

コンピュータの機能が正常であると判断されている場
合でも、誤った出力信号が出力される危険は常に存在す
る。このような危険に基づく誤機能を排除するために、
制御出力端子に出力される信号が少なくとも一方のコン
ピュータによって試験され、試験された信号の値が予測
される値と一致しないことが検出された場合には、安全
制御が行われる。制御出力端子に出力される信号の代わ
りに、制御出力端子の信号によって作動される出力段の
出力信号を試験することも可能である。
Even if the function of the computer is determined to be normal, there is always a risk that an incorrect output signal is output. In order to eliminate such malfunctions based on danger,
The signal output to the control output terminal is tested by at least one computer, and if it is detected that the value of the tested signal does not match the expected value, safety control is performed. Instead of the signal output at the control output terminal, it is also possible to test the output signal of the output stage activated by the signal at the control output terminal.

なお、両コンピュータを監視する機能と出力信号が正
確であることを試験する機能は個々に用いても、あるい
は一緒に用いてもよい。安全性を高めるのに寄与するす
べての手段を一緒に用いると、非常に効果的である。
The function of monitoring both computers and the function of testing that the output signals are accurate may be used individually or together. It is very effective to use together all means that contribute to increasing safety.

[実施例] 以下、図面に示す実施例を用いて本発明を詳細に説明
する。
EXAMPLES Hereinafter, the present invention will be described in detail with reference to examples shown in the drawings.

第1図〜第4図のすべてに示す制御装置には、メイン
コンピュータ10、メインコンピュータを監視する第1の
ウォッチドッグ回路11、サブコンピュータ12、サブコン
ピュータを監視する第2のウォッチドッグ回路13並びに
それぞれ異なる機能を実施する回路群を有する信号出力
手段14.1が設けられている。この信号出力手段14.1は一
点鎖線で示されている。それぞれの制御装置は内燃機関
の少なくとも1つの回路ユニットを駆動するものであ
る。第1図では、2つの回路15.1と15.2が設けられてい
る。各回路ユニットには、少なくとも1つの制御出力端
子16から制御信号が入力される。第1図に示す制御装置
には2つの制御出力端子16.1と16.2が設けられている。
上記回路ユニットは、例えばアクチュエータを駆動する
駆動回路あるいは制御器である。前者の場合すなわちア
クチュエータの駆動回路である場合には、出力される制
御信号は操作信号であって、後者の場合すなわち制御器
である場合には目標値信号である。異なる制御出力端子
に異なる制御信号を出力させることができる。しかし制
御信号はディジタル信号であって、従って2つのレベル
を有する信号である。各回路ユニット15は、一方のレベ
ルの信号が連続して出力されたときには、その内燃機関
を搭載した自動車を安全駆動状態に維持できる状態にす
ることができるように構成されている。安全状態が生じ
るレベルの電位は、以下においては安全電位という。こ
の電位は、それぞれ駆動される回路ユニット15の構成に
従って、ローレベルあるいはハイレベルとすることがで
きる。
The control device shown in all of FIGS. 1 to 4 includes a main computer 10, a first watchdog circuit 11 for monitoring the main computer, a sub computer 12, a second watch dog circuit 13 for monitoring the sub computer, and Signal output means 14.1 having a group of circuits performing different functions is provided. This signal output means 14.1 is indicated by a dashed line. Each control unit drives at least one circuit unit of the internal combustion engine. In FIG. 1, two circuits 15.1 and 15.2 are provided. Each circuit unit receives a control signal from at least one control output terminal 16. The control device shown in FIG. 1 is provided with two control output terminals 16.1 and 16.2.
The circuit unit is, for example, a drive circuit or a controller that drives an actuator. In the former case, that is, in the case of an actuator drive circuit, the output control signal is an operation signal, and in the latter case, that is, in the case of a controller, it is a target value signal. Different control signals can be output to different control output terminals. However, the control signal is a digital signal and therefore a signal having two levels. Each of the circuit units 15 is configured such that when one level of the signal is continuously output, the vehicle equipped with the internal combustion engine can be maintained in a safe driving state. The potential at the level at which the safe state occurs is referred to below as the safe potential. This potential can be a low level or a high level according to the configuration of the circuit unit 15 to be driven.

第1図に示す制御装置の信号出力手段14.1にはオアゲ
ート17、アンドゲート18、切り替え装置19及び2つの遮
断アンドゲート20.1と20.2が設けられている。オアゲー
ト17には第1のウォッチドッグ回路11と第2のウォッチ
ドッグ回路13からの信号が入力される。オアゲート17の
出力は遮断アンドゲート20.1と20.2の第1の入力信号と
なる。第1の遮断アンドゲート20.1の第2の入力信号は
メインコンピュータの第1の出力信号HAS.1である。第
2の遮断アンドゲート20.2の第2の入力信号はメインコ
ンピュータ10の第2の出力信号HAS.2である。第1の遮
断アンドゲート20.1の出力信号は第1の制御出力端子1
6.1に導かれる。同様に第2の遮断アンドゲート20.2の
出力信号は第2の制御出力端子16.2に出力される。
The signal output means 14.1 of the control device shown in FIG. 1 is provided with an OR gate 17, an AND gate 18, a switching device 19, and two shut-off AND gates 20.1 and 20.2. The signals from the first watchdog circuit 11 and the second watchdog circuit 13 are input to the OR gate 17. The output of the OR gate 17 becomes the first input signal of the blocking AND gates 20.1 and 20.2. The second input signal of the first shut-off and gate 20.1 is the first output signal HAS.1 of the main computer. The second input signal of the second shut-off and gate 20.2 is the second output signal HAS.2 of the main computer 10. The output signal of the first cut-off AND gate 20.1 is the first control output terminal 1
Guided to 6.1. Similarly, the output signal of the second cut-off AND gate 20.2. Is output to the second control output terminal 16.2.

しかし、遮断アンドゲート20.1と20.2にはメインコン
ピュータ10が正常に機能している場合にのみその出力信
号HAS.1、HAS.2が入力される。メインコンピュータ10の
機能が正常でない場合には、切り替え装置19が切り替わ
り、それによって遮断アンドゲート20.1と20.2にサブコ
ンピュータ12の出力信号NAS.1ないしNAS.2が入力され
る。この切り替えは、アンドゲート18から出力信号が出
力された場合に行われる。アンドゲート18の一方の入力
端子には第2のウォッチドッグ回路13の出力信号が入力
され、他方の入力端子には切り替え信号USが入力され
る。2つの信号がハイレベルになると、切り替えが行わ
れる。
However, the output signals HAS.1 and HAS.2 are input to the shutoff AND gates 20.1 and 20.2 only when the main computer 10 is functioning normally. If the function of the main computer 10 is not normal, the switching device 19 switches, whereby the output signals NAS.1 or NAS.2 of the sub-computer 12 are input to the shut-off AND gates 20.1 and 20.2. This switching is performed when an output signal is output from the AND gate 18. The output signal of the second watchdog circuit 13 is input to one input terminal of the AND gate 18, and the switching signal US is input to the other input terminal. When the two signals go high, a switch is made.

上述の機能の論理処理は、次のような手順で行われ
る。
The logical processing of the above functions is performed in the following procedure.

2つのウォッチドッグ回路11と13のうち少なくとも一
方により、2つのコンピュータの一方が正常に機能して
いることが示されている場合には、オアゲート17からハ
イレベルの信号が出力され、それによって2つの遮断ア
ンドゲート20.1と20.2は導通状態に切り替えられる。従
って遮断アンドゲートの出力には、同遮断アンドゲート
のそれぞれ第2の入力端子に印加される信号が出力され
る。この信号はメインコンピュータが正常に機能してい
る場合には、それぞれの出力信号HAS.1ないしHAS.2であ
る。しかしサブコンピュータ12にデータ交換線21を介し
てエラー信号が入力されたり、あるいはサブコンピュー
タに信号が入力されなくなって、メインコンピュータ10
が故障したとサブコンピュータが判断すると、サブコン
ピュータ12のデータ信号NAS.1ないしNAS.2への切り替え
が行われる。上述の回路にアンドゲート18が設けられて
いることによって、サブコンピュータ12から切り替え信
号が出力され、同時に第2のウォッチドッグ回路13によ
りサブコンピュータ12が正常に機能していることが検出
された場合にのみ、切り替え信号によって切り替えが行
われる。従来の公知の制御装置においては、サブコンピ
ュータが誤動作によりメインコンピュータの機能が正常
でないと誤認し、その後切り替えが行なわれてサブコン
ピュータからエラーのある出力信号が出力されてしまう
ことがあった。この欠点は第1図に示す制御装置におい
ては解決されている。
If at least one of the two watchdog circuits 11 and 13 indicates that one of the two computers is functioning properly, a high-level signal is output from the OR gate 17, whereby The two blocking AND gates 20.1 and 20.2 are switched to the conducting state. Therefore, a signal applied to the second input terminal of the shut-off AND gate is output from the output of the shut-off AND gate. This signal is the respective output signal HAS.1 or HAS.2 if the main computer is functioning properly. However, when an error signal is input to the sub-computer 12 via the data exchange line 21 or no signal is input to the sub-computer, the main computer 10
When the sub-computer determines that has failed, the sub-computer 12 is switched to the data signal NAS.1 or NAS.2. When a switching signal is output from the sub-computer 12 due to the provision of the AND gate 18 in the above-described circuit, and at the same time, the second watchdog circuit 13 detects that the sub-computer 12 is functioning normally. Only by the switching signal, switching is performed. In a conventional known control device, the sub-computer may erroneously recognize that the function of the main computer is not normal due to a malfunction, and thereafter, the switching may be performed and the sub-computer may output an erroneous output signal. This disadvantage is solved in the control device shown in FIG.

上記の欠点は、以下に第2図を用いて説明するような
原理を使用すれば、さらに改善することができる。すな
わち、第2図ではサブコンピュータに設けられているウ
ォッチドッグ回路がサブコンピュータの故障を示したと
きに、サブコンピュータからの信号の出力が防止される
だけでなく、メインコンピュータ10に設けられているウ
ォッチドッグ回路11はメインコンピュータの機能が正常
であることを示しているにもかかわらず、サブコンピュ
ータ12がメインコンピュータ10の故障を示した場合に
も、サブコンピュータからの信号の出力は防止される。
The above disadvantages can be further remedied by using the principle described below with reference to FIG. That is, in FIG. 2, when the watchdog circuit provided in the sub-computer indicates the failure of the sub-computer, not only the output of the signal from the sub-computer is prevented but also the main computer 10 is provided. Although the watchdog circuit 11 indicates that the function of the main computer is normal, even when the sub-computer 12 indicates the failure of the main computer 10, the output of the signal from the sub-computer is prevented. .

上記の原理を実現するために、第2図に示す制御装置
の信号出力信号14.2には、第1図に示す信号出力手段1
4.1における機能に加えて、さらに第2図のアンドゲー
ト22が設けられている。この第2のアンドゲート22に、
そしてこの第2のアンドゲート22だけに、オアゲート17
とアンドゲート18の出力信号が入力される。この場合、
アンドゲート18の信号は反転されて入力される。なお、
オアゲート17とアンドゲート18の入力信号は、第1図で
説明した信号である。
In order to realize the above principle, the signal output signal 14.2 of the control device shown in FIG.
In addition to the functions in 4.1, an AND gate 22 shown in FIG. 2 is further provided. In this second AND gate 22,
And only the second AND gate 22 has the OR gate 17
And the output signal of the AND gate 18 are input. in this case,
The signal of the AND gate 18 is inverted and input. In addition,
The input signals of the OR gate 17 and the AND gate 18 are the signals described with reference to FIG.

単純化するために、第2図においては、また第3図と
第4図においても、それぞれ制御出力端子16は1つしか
示されていない。制御出力端子にはその信号によって作
動される回路ユニット15が接続されている。同様にメイ
ンコンピュータ10は1つの出力信号HASのみを出力し、
サブコンピュータ12も唯一の出力信号NASを出力するも
のとして図示されている。しかし、各コンピュータから
多数の制御出力端子に多数の制御信号を出力する場合で
も、制御装置の原理には変わりはない。
For simplicity, only one control output terminal 16 is shown in each of FIGS. 2 and 3 and 4. A circuit unit 15 operated by the signal is connected to the control output terminal. Similarly, the main computer 10 outputs only one output signal HAS,
The sub-computer 12 is also shown as outputting only one output signal NAS. However, even when a large number of control signals are output from each computer to a large number of control output terminals, the principle of the control device does not change.

上述の制御出力端子16には遮断アンドゲート20の出力
信号が入力される。遮断アンドゲート20には2つの入力
信号、特に第2のアンドゲート22の出力信号と切り替え
装置19の出力信号が入力される。第2図に示す実施例に
おいては、この切り替え装置19は、サブコンピュータ12
から出力される切り替え信号USによって切り替えられる
のではなく、第1のウォッチドッグ回路11の出力信号に
よって切り替えられる。この信号がローレベルに下がる
と、切り替え装置19はメインコンピュータ10の出力信号
HASからサブコンピュータ12の出力信号NASへの切り替え
を行う。
The output signal of the shut-off AND gate 20 is input to the control output terminal 16 described above. The shutoff AND gate 20 receives two input signals, in particular, the output signal of the second AND gate 22 and the output signal of the switching device 19. In the embodiment shown in FIG. 2, this switching device 19
Is switched by the output signal of the first watchdog circuit 11 instead of by the switching signal US output from When this signal falls to a low level, the switching device 19 outputs the output signal of the main computer 10.
Switching from the HAS to the output signal NAS of the subcomputer 12 is performed.

切り替え装置19を上述のように作動させることによっ
て、第1のウォッチドッグ回路11がメインコンピュータ
10の機能が正常であることを検出している場合にはサブ
コンピュータ12の出力信号が制御出力信号16へ出力され
ることはない。しかし、同時にサブコンピュータ12がメ
インコンピュータの機能の異常を検出し、従って切り替
え信号USがアンドゲート18に出力されると、上述の回路
において第2のアンドゲート22から遮断アンドゲート20
に出力される信号がローレベルに低下し、それによって
遮断アンドゲート20は制御出力端子16にローレベルを有
する信号を出力する。これは、切り替え信号USがアンド
ゲート18においてウォッチドッグ回路13からの信号と結
合されて、その反転信号が第2のアンドゲートの第2の
入力端子に入力されることによって行われる。
By operating the switching device 19 as described above, the first watchdog circuit 11
When it is detected that the function of 10 is normal, the output signal of the sub-computer 12 is not output to the control output signal 16. However, at the same time, when the sub-computer 12 detects an abnormality in the function of the main computer and the switching signal US is output to the AND gate 18, the second AND gate 22 shuts off the second AND gate 22 in the circuit described above.
Is output to a low level, whereby the shut-off AND gate 20 outputs a signal having a low level to the control output terminal 16. This is performed by the switching signal US being combined at the AND gate 18 with the signal from the watchdog circuit 13 and the inverted signal being input to the second input terminal of the second AND gate.

従って第2図に示す回路においては、2つのウォッチ
ドッグ回路11と13からの信号がなくなるか(第2のアン
ドゲート22の一方の入力がローレベルになる)、あるい
はサブコンピュータ12が切り替え信号USを出力し、かつ
そのウォッチドッグ回路13がサブコンピュータ12の機能
が正常であることを検出している場合に(第2のアンド
ゲート22の他方の入力がローレベルになる)、アンドゲ
ート20が遮断され、制御出力端子16に安全電位が出力さ
れる。
Therefore, in the circuit shown in FIG. 2, the signals from the two watchdog circuits 11 and 13 are lost (one input of the second AND gate 22 becomes low level), or the sub-computer 12 outputs the switching signal US And the watchdog circuit 13 detects that the function of the sub-computer 12 is normal (the other input of the second AND gate 22 becomes low level). It is shut off, and the safety potential is output to the control output terminal 16.

第3図に示す制御装置は、第2図に示す制御装置の変
形例である。第3図の場合、サブコンピュータ12が故障
し、第1のウォッチドッグ回路11からメインコンピュー
タ10の機能が正常であることが示される場合に、必ずし
も制御出力端子に安全電位が継続的に出力されるのでは
なく、さらにメインコンピュータ10の出力信号HASとサ
ブコンピュータ12の出力信号NASが一致した場合にはデ
ィジタル信号によって制御が行われる。さらに、本実施
例は第2図の実施例とは異なり、切り替え装置19は設け
られておらず、多数の論理回路によって、メインコンピ
ュータ10の出力信号HASかあるいはサブコンピュータ12
の出力信号NASが制御出力端子16に供給され、あるいは
前の段落に示す条件のもとでは両方の信号が制御出力端
子に供給される。
The control device shown in FIG. 3 is a modified example of the control device shown in FIG. In the case of FIG. 3, when the sub-computer 12 fails and the first watchdog circuit 11 indicates that the function of the main computer 10 is normal, the safety potential is always output to the control output terminal. Instead, when the output signal HAS of the main computer 10 and the output signal NAS of the sub-computer 12 match, control is performed by digital signals. Further, in this embodiment, unlike the embodiment shown in FIG. 2, the switching device 19 is not provided, and the output signal HAS of the main computer 10 or the sub-computer 12
Is supplied to the control output terminal 16 or both signals are supplied to the control output terminal under the conditions described in the preceding paragraph.

第3図に示す信号出力手段14.3には、メインのアンド
ゲート24.1とサブのアンドゲート24.2及び信号オアゲー
ト25.1と遮断オアゲート25.2(及び第2のアンドゲート
22)が設けられている。第2のアンドゲート22には入力
信号としてオアゲート25.1及び25.2の出力信号が入力さ
れる。信号オアゲート25.1には上述の2つのアンドゲー
ト24.1と24.2の出力信号が入力信号として入力される。
遮断オアゲート25.2には両ウォッチドッグ回路11と13の
出力信号が入力信号として入力される。さらに第1のウ
ォッチドッグ回路11の出力信号はメインのアンドゲート
24.1に入力信号として入力される。同様にサブのアンド
ゲート24.2には第2のウォッチドッグ回路13の出力信号
が入力信号として入力される。メインのアンドゲート2
4.1の第2の入力信号はメインコンピュータ10の出力信
号HASであって、サブのアンドゲート24.2の第2の入力
信号はサブコンピュータ12の出力信号NASである。
The signal output means 14.3 shown in FIG. 3 includes a main AND gate 24.1, a sub AND gate 24.2, a signal OR gate 25.1, a cut-off OR gate 25.2 (and a second AND gate).
22) is provided. The output signals of the OR gates 25.1 and 25.2 are input to the second AND gate 22 as input signals. The output signals of the two AND gates 24.1 and 24.2 are input to the signal OR gate 25.1 as input signals.
Output signals from both watchdog circuits 11 and 13 are input to the cut-off OR gate 25.2 as input signals. Further, the output signal of the first watchdog circuit 11 is a main AND gate.
Input to 24.1 as an input signal. Similarly, the output signal of the second watchdog circuit 13 is input to the sub AND gate 24.2 as an input signal. Main And Gate 2
The second input signal of 4.1 is the output signal HAS of the main computer 10, and the second input signal of the sub AND gate 24.2 is the output signal NAS of the sub computer 12.

ここで、上述のように構成された制御装置の機能を再
度簡単に説明する。第1のウォッチドッグ回路11とサブ
コンピュータ12からメインコンピュータ10の機能が正常
であることが検出されると、メインコンピュータの出力
信号HASが制御出力端子16に出力される。第1のウォッ
チドッグ回路11とサブコンピュータ12によりメインコン
ピュータ10の故障が検出された場合には、サブコンピュ
ータ12の出力信号NASが制御出力端子16に出力される。
両ウォッチドッグ回路11と13がそれぞれのコンピュータ
10ないし12の故障を検出した場合には、制御出力端子16
に連続的に安全電位が出力される。さらにサブコンピュ
ータ12はメインコンピュータ10の故障を検出し、それに
もかかわらずウォッチドッグ回路11がメインコンピュー
タ10の機能が正常であることを検出した場合には、両コ
ンピュータ10と12の出力HASとNASが一致した場合にだけ
制御出力端子にディジタルの出力信号が出力される。そ
れ以外の場合は安全電位が出力される。
Here, the function of the control device configured as described above will be briefly described again. When the first watchdog circuit 11 and the sub computer 12 detect that the function of the main computer 10 is normal, the output signal HAS of the main computer is output to the control output terminal 16. When the failure of the main computer 10 is detected by the first watchdog circuit 11 and the sub computer 12, the output signal NAS of the sub computer 12 is output to the control output terminal 16.
Both watchdog circuits 11 and 13 are
If 10 or 12 faults are detected, control output terminal 16
, A safety potential is continuously output. Further, the sub-computer 12 detects the failure of the main computer 10, and if the watchdog circuit 11 nevertheless detects that the function of the main computer 10 is normal, the outputs HAS and NAS of both computers 10 and 12 are obtained. A digital output signal is output to the control output terminal only when the values match. Otherwise, a safety potential is output.

上記の説明から明らかなように、所望の駆動安全性に
関しては、ウォッチドッグ回路11と13が正常に機能して
いるか否かが重要になる。その機能が完璧であるかどう
かを試験するために、第4図に示す実施例の制御装置で
は、第1のウォッチドッグ回路11の出力信号がメインコ
ンピュータ10にフィードバックされ、第2のウォッチド
ッグ回路13の出力信号がサブコンピュータ12にフィード
バックされるように構成されている。試験プログラムに
おいては、メインコンピュータ10は第1のウォッチドッ
グ回路11を作動させるトリガ信号をストップし、その後
ウォッチドッグ回路の出力信号が低いレベルに低下した
かどうかを判断する。低下しない場合には、第1のウォ
ッチドッグ回路11の機能に誤りがあることを示すもので
あって、その後メインコンピュータ10は非常走行信号NL
S.Hを信号出力手段14に出力する。この信号出力手段14
の構成は第4図には示されていない。第4図の信号出力
手段は好ましくは第1図から第3図に説明したいずれか
の原理に従って作動する。非常走行信号NLS.Hを出力す
るために、信号出力手段14は制御出力端子に安全電位を
出力するか、あるいは走行駆動を著しく制限するディジ
タル信号を出力する。それによってその自動車のドライ
バーに、修理工場へ行って制御装置の修理をさせるよう
にうながす。
As is clear from the above description, it is important for the desired driving safety whether the watchdog circuits 11 and 13 function normally. In order to test whether the function is perfect, in the control device of the embodiment shown in FIG. 4, the output signal of the first watchdog circuit 11 is fed back to the main computer 10 and the second watchdog circuit The configuration is such that the output signal of 13 is fed back to the sub computer 12. In the test program, the main computer 10 stops the trigger signal for activating the first watchdog circuit 11, and then determines whether the output signal of the watchdog circuit has dropped to a low level. If it does not decrease, it indicates that the function of the first watchdog circuit 11 is erroneous.
SH is output to the signal output means 14. This signal output means 14
Is not shown in FIG. The signal output means of FIG. 4 preferably operates according to any of the principles described in FIGS. In order to output the emergency travel signal NLS.H, the signal output means 14 outputs a safety potential to the control output terminal or outputs a digital signal which significantly restricts travel driving. This prompts the driver of the car to go to the repair shop to repair the control unit.

メインコンピュータ10が第1のウォッチドッグ回路11
の試験をして第1のウォッチドッグ回路が故障している
場合に非常走行信号NLS.Hを出力するのと同様に、サブ
コンピュータ12も第2のウォッチドッグ回路13の試験を
行い、故障がある場合には非常走行信号NLS.Nを出力す
る。
The main computer 10 has a first watchdog circuit 11
The subcomputer 12 also tests the second watchdog circuit 13 in the same way as outputting the emergency running signal NLS.H when the first watchdog circuit has failed, and In some cases, an emergency traveling signal NLS.N is output.

上述の試験は、異なる2つのウォッチドッグ回路が設
けられておらず、2つのコンピュータが共通のウォッチ
ドッグ回路を作動させる場合にも、実施することができ
る。その場合にはメインコンピュータ10はサブコンピュ
ータ12にデータ交換線21を介して、作動信号(トリガー
信号)を出力しないことを伝える。その後どちらかのコ
ンピュータがウォッチドッグ回路の出力信号がなくなっ
たかどうかを検出する。なくならない場合には、非常走
行手段を作動させる。
The above-described test can also be performed when two different watchdog circuits are not provided and two computers operate a common watchdog circuit. In this case, the main computer 10 informs the sub computer 12 via the data exchange line 21 that no operation signal (trigger signal) is output. Thereafter, either computer detects whether the output signal of the watchdog circuit has disappeared. If it does not disappear, activate the emergency traveling means.

上記の説明から明らかなように、信号出力手段の種々
の実施例はすべて、どちらかのコンピュータが故障した
場合に確実な駆動を行わせるために用いられている。し
かし、信号出力手段自体の機能に誤りがあり、あるいは
作動される回路ユニット15が入力された信号を誤って処
理した場合には、意図したのと異なった結果をもたらす
ことがある。この種のエラーに関しても駆動安全性を高
めるために、第4図に示す制御装置は、制御出力端子16
の出力信号をメインコンピュータ10にもサブコンピュー
タ12にもフィードバックさせるように構成されている。
その場合、各コンピュータは制御出力端子16に生じた信
号が予測される信号と一致するかどうかを試験する。そ
のために回路ユニット15の出力信号を2つのコンピュー
タにフィードバックして、予測される信号を比較するこ
とができる。どちらかの比較から誤りが生じた場合に
は、メインコンピュータ10ないしサブコンピュータ12か
ら阻止信号SPS.HないしSPS.Nが出力される。この信号は
回路ユニット15の後段に接続された安全スイッチ26に入
力され、安全スイッチはアース電位あるいはそれぞれの
使用目的に応じた他の安全電位を出力線に出力する。ま
た、後段に接続された安全スイッチ26の変わりに、回路
ユニット15を有する出力端子16に並列に作用する第2の
接続点(第4図には不図示)を設けることによって、例
えば第1図に示すように他の出力端子を介して安全状態
を得ることも可能である。
As will be apparent from the above description, the various embodiments of the signal output means are all used to ensure reliable operation in the event that either computer fails. However, if the function of the signal output means itself is erroneous, or if the activated circuit unit 15 processes the input signal incorrectly, the result may be different from the intended one. In order to improve the driving safety of this type of error, the control device shown in FIG.
Is output to both the main computer 10 and the sub computer 12.
In that case, each computer tests whether the signal generated at the control output terminal 16 matches the expected signal. To that end, the output signal of the circuit unit 15 can be fed back to the two computers to compare the expected signals. If an error occurs in either of the comparisons, the main computer 10 or the sub-computer 12 outputs the inhibition signals SPS.H to SPS.N. This signal is input to a safety switch 26 connected to the subsequent stage of the circuit unit 15, and the safety switch outputs an earth potential or another safety potential according to the intended use to an output line. By providing a second connection point (not shown in FIG. 4) acting in parallel with the output terminal 16 having the circuit unit 15 in place of the safety switch 26 connected at the subsequent stage, for example, as shown in FIG. It is also possible to obtain a safe state via another output terminal as shown in FIG.

第4図を用いて説明した安全手段は好ましくは一緒に
使用することができるが、個別に使用することもでき
る。第4図に用いて説明した手段を、第2図あるいは第
3図を用いて説明した手段と一緒に使用すると、きわめ
て効果的である。
The safety measures described with reference to FIG. 4 can preferably be used together, but can also be used separately. It is extremely effective to use the means described with reference to FIG. 4 together with the means described with reference to FIG. 2 or FIG.

[発明の効果] 以上説明したように、本発明によれば、サブコンピュ
ータの機能が正常である確率が非常に高い場合にだけ、
サブコンピュータの信号を少なくとも1つの制御出力端
子に出力させることが可能になる。
[Effects of the Invention] As described above, according to the present invention, only when the probability that the function of the subcomputer is normal is very high,
It becomes possible to output the signal of the sub-computer to at least one control output terminal.

【図面の簡単な説明】[Brief description of the drawings]

第1図は、サブコンピュータに設けられているウォッチ
ドッグ回路によりサブコンピュータが正常に機能してい
ると判断された場合にのみ、サブコンピュータの出力信
号を制御出力端子に出力することができるように構成さ
れた電子制御装置のブロック回路図、 第2図は、サブコンピュータに設けられているウォッチ
ドッグ回路によりサブコンピュータが正常に機能してい
ると判断され、同時にメインコンピュータに設けられて
いるウォッチドッグ回路がメインコンピュータの故障を
示す場合にのみ、サブコンピュータの出力信号を制御出
力端子に出力することができるように構成された電子制
御装置のブロック回路図、 第3図は、サブコンピュータに設けられているウォッチ
ドッグ回路によりサブコンピュータが正常に機能してい
ると判断され、かつメインコンピュータに設けられてい
るウォッチドッグ回路がメインコンピュータの故障を示
すか、あるいはメインコンピュータとサブコンピュータ
が同一の出力信号を出力する場合にのみ、サブコンピュ
ータの出力信号を制御出力端子に出力することができる
ように構成された電子制御装置のブロック回路図、 第4図は、出力信号を監視し、得られた出力信号が予想
される出力信号と一致しない場合に、制御装置の出力端
子に安全電位を印加する構成の電子制御装置のブロック
回路図である。 10……メインコンピュータ 11……第1のウォッチドッグ回路 12……サブコンピュータ 13……第2のウォッチドッグ回路 14……信号出力手段 15……回路ユニット 16……制御出力端子
FIG. 1 shows that the output signal of the sub-computer can be output to the control output terminal only when it is determined by the watchdog circuit provided in the sub-computer that the sub-computer is functioning normally. FIG. 2 is a block circuit diagram of the electronic control device configured. FIG. 2 shows a watchdog circuit provided in the subcomputer, which determines that the subcomputer is functioning normally. FIG. 3 is a block circuit diagram of an electronic control device configured to output an output signal of the sub-computer to the control output terminal only when the circuit indicates a failure of the main computer. Watchdog circuit determines that the subcomputer is functioning properly. Only when the watchdog circuit provided in the main computer indicates a failure of the main computer or when the main computer and the subcomputer output the same output signal, the output signal of the subcomputer is output to the control output terminal. FIG. 4 is a block circuit diagram of an electronic control device configured to be able to output, and FIG. 4 monitors an output signal and outputs the output of the control device when the obtained output signal does not match the expected output signal. FIG. 3 is a block circuit diagram of an electronic control device configured to apply a safety potential to a terminal. 10: Main computer 11: First watchdog circuit 12: Subcomputer 13: Second watchdog circuit 14: Signal output means 15: Circuit unit 16: Control output terminal

───────────────────────────────────────────────────── フロントページの続き (72)発明者 ヘルベルト・グラーフ ドイツ連邦共和国 7295 ドルンシュテ ッテン・アム・ベルクヴェルク 2 (72)発明者 ヴェルナー・ツィマーマン ドイツ連邦共和国 7000 シュトゥット ガルト 40・ドリーゼシュトラーセ 9 ベー (72)発明者 ヨハネス・ロッヒャー ドイツ連邦共和国 7000 シュトゥット ガルト 50・メーヴェンヴェーク 50 (56)参考文献 特開 昭57−176341(JP,A) 特開 昭60−135332(JP,A) 特開 昭61−49154(JP,A) 特開 昭63−183254(JP,A) (58)調査した分野(Int.Cl.6,DB名) F02D 45/00 G06F 11/18,11/20 ────────────────────────────────────────────────── ─── Continued on the front page (72) Inventor Herbert Graf Germany 7295 Dornstedttten am Bergwerk 2 (72) Inventor Werner Zimmermann Germany 7000 Stuttgart 40 Driesetstraße 9 Base ( 72) Inventor Johannes Locher 7000 Stuttgart 50 / Möwenweg 50 (56) References JP-A-57-176341 (JP, A) JP-A-60-135332 (JP, A) 61-49154 (JP, A) JP-A-63-183254 (JP, A) (58) Fields investigated (Int. Cl. 6 , DB name) F02D 45/00 G06F 11/18, 11/20

Claims (5)

(57)【特許請求の範囲】(57) [Claims] 【請求項1】メインコンピュータ(10)と、 メインコンピュータを監視し、メインコンピュータが故
障の場合には非常機能を遂行するサブコンピュータ(1
2)と、 コンピュータを監視する監視手段(11、13)と、 少なくとも1つの制御出力端子(16.1、16.2)に2つの
レベルを有する信号を出力する信号出力手段(14.1)と
を備え、 前記レベルの一方は安全電位を有し、その電位が連続し
て出力されるときは内燃機関が安全駆動状態に維持さ
れ、 前記監視手段がメインコンピュータ(10)の機能とサブ
コンピュータ(12)の機能を監視する内燃機関の電子制
御装置において、 前記信号出力手段(14.1)は、 少なくともサブコンピュータが切り替え信号を出力し、
同時にサブコンピュータが正常に動作していることが前
記監視手段により検出されているという条件が満たされ
ている場合に、サブコンピュータの出力信号をそれぞれ
関連する制御出力端子(16.1、16.2)に出力し、 一方、前記監視手段がメインコンピュータとサブコンピ
ュータの故障を検出した場合には各制御出力端子に安全
電位を出力するように構成されていることを特徴とする
内燃機関の電子制御装置。
A main computer (10) and a sub-computer (1) that monitors the main computer and performs an emergency function when the main computer fails.
2); monitoring means (11, 13) for monitoring a computer; and signal output means (14.1) for outputting a signal having two levels to at least one control output terminal (16.1, 16.2). One of them has a safety potential, and when the potential is continuously output, the internal combustion engine is maintained in a safe drive state, and the monitoring means controls the functions of the main computer (10) and the sub-computer (12). In the electronic control unit for an internal combustion engine to be monitored, the signal output unit (14.1) outputs a switching signal at least by a subcomputer
At the same time, when the condition that the sub-computer is operating normally is detected by the monitoring means, the output signal of the sub-computer is output to the associated control output terminal (16.1, 16.2). On the other hand, the electronic control unit for an internal combustion engine is configured to output a safety potential to each control output terminal when the monitoring means detects a failure in the main computer and the sub-computer.
【請求項2】メインコンピュータ(10)と、 メインコンピュータを監視し、メインコンピュータが故
障の場合には非常機能を遂行するサブコンピュータ(1
2)と、 コンピュータを監視する監視手段(11、13)と、 少なくとも1つの制御出力端子(16)に2つのレベルを
有する信号を出力する信号出力手段(14.2)とを備え、 前記レベルの一方は安全電位を有し、その電位が連続し
て出力されるときは内燃機関が安全駆動状態に維持さ
れ、 前記監視手段がメインコンピュータ(10)の機能とサブ
コンピュータ(12)の機能を監視する内燃機関の電子制
御装置において、 前記信号出力手段(14.2)は、 前記監視手段がメインコンピュータ(10)の故障を検出
しているという条件が満たされている場合にだけ、サブ
コンピュータ(12)の出力信号をそれぞれ関連する制御
出力端子(16)に出力し、 前記監視手段により両コンピュータの機能が正常である
ことが検出されているが、サブコンピュータがメインコ
ンピュータの機能が異常であることを検出している場合
には、各制御出力端子に安全電位を出力するように構成
されていることを特徴とする内燃機関の電子制御装置。
2. A main computer (10) and a sub-computer (1) that monitors the main computer and performs an emergency function if the main computer fails.
2), monitoring means (11, 13) for monitoring a computer, and signal output means (14.2) for outputting a signal having two levels to at least one control output terminal (16), one of the levels Has a safety potential, and when the potential is continuously output, the internal combustion engine is maintained in a safe driving state, and the monitoring means monitors the function of the main computer (10) and the function of the sub-computer (12). In the electronic control unit for an internal combustion engine, the signal output means (14.2) may be connected to the sub-computer (12) only when a condition that the monitoring means detects a failure of the main computer (10) is satisfied. An output signal is output to the associated control output terminal (16), and the monitoring means has detected that the functions of both computers are normal. If you are detecting that the function of the computer is abnormal, the electronic control device for an internal combustion engine, characterized by being configured to output a safety potential to each control output terminal.
【請求項3】コンピュータ(10、12)が監視信号を監視
手段(11、13)に出力し、監視信号の出力後に前記監視
手段の出力信号が試験され、 試験の結果、監視手段が正常に機能していないことが明
らかになった場合に、メインコンピュータ(10)あるい
はサブコンピュータ(12)から安全電位が出力されるこ
とを特徴とする請求項第1項又は第2項に記載の内燃機
関の電子制御装置。
3. A computer (10, 12) outputs a monitoring signal to monitoring means (11, 13), and after outputting the monitoring signal, an output signal of the monitoring means is tested. As a result of the test, the monitoring means normally operates. 3. The internal combustion engine according to claim 1, wherein a safety potential is output from the main computer (10) or the sub-computer (12) when it is clear that the internal combustion engine is not functioning. Electronic control unit.
【請求項4】制御出力端子(16)に印加される信号が、
少なくとも一方のコンピュータ(10、12)によって試験
され、 試験された信号の値が予測される値と一致しないことが
検出された場合には安全制御が行われることを特徴とす
る請求項第1項から第3項のいずれか1項に記載の内燃
機関の電子制御装置。
4. A signal applied to a control output terminal (16) is:
2. The safety control according to claim 1, wherein the safety control is performed if the value of the signal tested is detected by at least one of the computers and does not match the expected value. The electronic control device for an internal combustion engine according to any one of claims 1 to 3.
【請求項5】制御される回路ユニット(15)の出力信号
が少なくとも一方のコンピュータ(10、12)によって試
験され、前記回路ユニットがそれぞれ関連する制御出力
端子(16)に印加される信号によって作動され、 試験された信号の値が予測される値と一致しないことが
検出された場合には、安全制御が行われることを特徴と
する請求項第1項から第4項のいずれか1項に記載の内
燃機関の電子制御装置。
5. The output signal of a controlled circuit unit (15) is tested by at least one computer (10, 12), said circuit unit being activated by a signal applied to an associated control output terminal (16), respectively. The safety control is performed when it is detected that the value of the tested signal does not match the expected value, and the safety control is performed. An electronic control unit for an internal combustion engine according to claim 1.
JP2187347A 1989-08-04 1990-07-17 Electronic control unit for internal combustion engine Expired - Lifetime JP2877912B2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE3926377.0 1989-08-04
DE19893926377 DE3926377C2 (en) 1989-08-04 1989-08-04 Electronic control device for an internal combustion engine

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP10290228A Division JP2983532B2 (en) 1989-08-04 1998-10-13 Electronic control unit for internal combustion engine

Publications (2)

Publication Number Publication Date
JPH0370837A JPH0370837A (en) 1991-03-26
JP2877912B2 true JP2877912B2 (en) 1999-04-05

Family

ID=6386823

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2187347A Expired - Lifetime JP2877912B2 (en) 1989-08-04 1990-07-17 Electronic control unit for internal combustion engine
JP10290228A Expired - Lifetime JP2983532B2 (en) 1989-08-04 1998-10-13 Electronic control unit for internal combustion engine

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP10290228A Expired - Lifetime JP2983532B2 (en) 1989-08-04 1998-10-13 Electronic control unit for internal combustion engine

Country Status (2)

Country Link
JP (2) JP2877912B2 (en)
DE (1) DE3926377C2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103913988A (en) * 2014-04-04 2014-07-09 中国海洋石油总公司 Current analog quantity signal distributor

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4113959A1 (en) * 1991-04-29 1992-11-05 Kloeckner Humboldt Deutz Ag MONITORING DEVICE
JPH06185442A (en) * 1992-12-22 1994-07-05 Fujitsu Ten Ltd Ignition timing control device for internal combustion engine
DE19919504B4 (en) 1999-04-29 2005-10-20 Mtu Aero Engines Gmbh Engine governor, engine and method for controlling an engine
JP2003049875A (en) * 2001-08-07 2003-02-21 Denso Corp Vehicular electromagnetic clutch device for driving generator and on-vehicle apparatus
JP3967599B2 (en) * 2002-01-28 2007-08-29 株式会社デンソー Electronic control device for vehicle
JP2003333675A (en) 2002-05-14 2003-11-21 Hitachi Ltd Communication system control apparatus and abnormality monitoring method therefor
DE10252990B3 (en) 2002-11-14 2004-04-15 Siemens Ag Control unit for a motor vehicle occupant safety system, especially an airbag system, has additional AND gates in addition to dual controlling computers to ensure reliable detection and resetting of a faulty computer unit
JP5589635B2 (en) * 2010-07-20 2014-09-17 いすゞ自動車株式会社 Camless engine valve opening / closing control device
JP5246230B2 (en) * 2010-09-13 2013-07-24 株式会社デンソー Electronic control device for vehicle
DE102013201702C5 (en) 2013-02-01 2017-03-23 Mtu Friedrichshafen Gmbh Method and arrangement for controlling an internal combustion engine
JP6647188B2 (en) * 2016-11-14 2020-02-14 日立オートモティブシステムズ株式会社 Transmission control device

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3322240A1 (en) * 1982-07-23 1984-01-26 Robert Bosch Gmbh, 7000 Stuttgart SAFETY EMERGENCY DEVICE FOR THE IDLE OPERATION OF MOTOR VEHICLES
DE3539407A1 (en) * 1985-11-07 1987-05-14 Bosch Gmbh Robert COMPUTER SYSTEM WITH TWO PROCESSORS

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103913988A (en) * 2014-04-04 2014-07-09 中国海洋石油总公司 Current analog quantity signal distributor

Also Published As

Publication number Publication date
JP2983532B2 (en) 1999-11-29
JPH0370837A (en) 1991-03-26
DE3926377C2 (en) 2003-03-06
DE3926377A1 (en) 1991-02-07
JPH11190251A (en) 1999-07-13

Similar Documents

Publication Publication Date Title
JP2877912B2 (en) Electronic control unit for internal combustion engine
US11691638B2 (en) Determination of reliability of vehicle control commands using a voting mechanism
US5359515A (en) Vehicle occupant safety system and method for operating the same
EP0109602B1 (en) Fault tolerable redundancy control
JP3616367B2 (en) Electronic control device
JP3255693B2 (en) Automotive multi-computer system
US20060198737A1 (en) Actuator control apparatus
US9372774B2 (en) Redundant computing architecture
JPH02105201A (en) Control system for position regulator of automobile
US20080004765A1 (en) Electronic Control Device and Method for Controlling the Operation of Motor Vehicle Components
US5713643A (en) Control circuit for automotive vehicle motion control systems
JP3970196B2 (en) Engine intake air amount control device and engine intake air amount control method
CA2293877A1 (en) Power switching system
US5448480A (en) Fail-safe operation via controller redundancy for steering the back wheels of a road vehicle
GB2255422A (en) Monitoring device for an i.c. engine control system.
JPH07293320A (en) Electronic controller
JP2011032903A (en) Control device of vehicle
US9903300B2 (en) Method for shutting down an electrically controlled component of a vehicle in a case of error of a processing unit controlling the component
JPH01224436A (en) Method and device for monitoring safety stop device for internal combustion engine
US9340188B2 (en) Occupant protective apparatus and pedestrian protective apparatus
JP2663982B2 (en) Brake stop lamp circuit for vehicles
JPH02501960A (en) Monitoring method and circuit device for operating elements controlled by computer
US8831912B2 (en) Checking of functions of a control system having components
JP2002089336A (en) Failure detection device for electronic control system of vehicle
US7426430B2 (en) Control unit for activating an occupant protection means in a motor vehicle and method for monitoring the proper functioning of a control unit preferably of this type

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090122

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100122

Year of fee payment: 11

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110122

Year of fee payment: 12

EXPY Cancellation because of completion of term
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110122

Year of fee payment: 12