JP2983532B2 - 内燃機関の電子制御装置 - Google Patents
内燃機関の電子制御装置Info
- Publication number
- JP2983532B2 JP2983532B2 JP10290228A JP29022898A JP2983532B2 JP 2983532 B2 JP2983532 B2 JP 2983532B2 JP 10290228 A JP10290228 A JP 10290228A JP 29022898 A JP29022898 A JP 29022898A JP 2983532 B2 JP2983532 B2 JP 2983532B2
- Authority
- JP
- Japan
- Prior art keywords
- output
- signal
- computer
- sub
- watchdog circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000002485 combustion reaction Methods 0.000 title claims description 18
- 238000012544 monitoring process Methods 0.000 claims description 11
- 230000002159 abnormal effect Effects 0.000 claims description 2
- 238000012360 testing method Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000000903 blocking effect Effects 0.000 description 3
- 230000003213 activating effect Effects 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 238000000034 method Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
- F02D41/266—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02B—INTERNAL-COMBUSTION PISTON ENGINES; COMBUSTION ENGINES IN GENERAL
- F02B3/00—Engines characterised by air compression and subsequent fuel addition
- F02B3/06—Engines characterised by air compression and subsequent fuel addition with compression ignition
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Chemical & Material Sciences (AREA)
- Quality & Reliability (AREA)
- Mechanical Engineering (AREA)
- Combustion & Propulsion (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Automation & Control Theory (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
- Electrical Control Of Air Or Fuel Supplied To Internal-Combustion Engine (AREA)
- Hardware Redundancy (AREA)
- Safety Devices In Control Systems (AREA)
Description
【0001】
【発明の属する技術分野】本発明は、内燃機関の電子制
御装置に関し、さらに詳細には内燃機関の少なくとも1
つの制御可能な回路ユニットや部材、例えばディーゼル
噴射ポンプのアクチュエータにディジタル制御信号を出
力する少なくとも1つの制御出力端子を有する内燃機関
の電子制御装置に関するものである。
御装置に関し、さらに詳細には内燃機関の少なくとも1
つの制御可能な回路ユニットや部材、例えばディーゼル
噴射ポンプのアクチュエータにディジタル制御信号を出
力する少なくとも1つの制御出力端子を有する内燃機関
の電子制御装置に関するものである。
【0002】
【従来の技術】内燃機関の電子制御装置には2つのコン
ピュータが設けられていることが多い。以下においては
各コンピュータをそれぞれメインコンピュータとサブコ
ンピュータという。サブコンピュータは特にメインコン
ピュータの監視を行い、メインコンピュータが故障した
場合には非常機能を遂行する。種々の制御装置の場合、
サブコンピュータにはこの非常機能だけしか設けられて
いない。他の制御装置においては、サブコンピュータは
主に制御目的のために正常に駆動が行われている場合で
もメインコンピュータを支援する。この場合、2つのコ
ンピュータのいずれも、他方のコンピュータが故障した
場合には非常機能を遂行することができる。
ピュータが設けられていることが多い。以下においては
各コンピュータをそれぞれメインコンピュータとサブコ
ンピュータという。サブコンピュータは特にメインコン
ピュータの監視を行い、メインコンピュータが故障した
場合には非常機能を遂行する。種々の制御装置の場合、
サブコンピュータにはこの非常機能だけしか設けられて
いない。他の制御装置においては、サブコンピュータは
主に制御目的のために正常に駆動が行われている場合で
もメインコンピュータを支援する。この場合、2つのコ
ンピュータのいずれも、他方のコンピュータが故障した
場合には非常機能を遂行することができる。
【0003】サブコンピュータは、2つのコンピュータ
間でデータ線を介して交換されるデータを用いてメイン
コンピュータの監視を行う。さらに2つのコンピュータ
は、両コンピュータによって作動されるウォッチドッグ
回路によって監視される。少なくとも一方のコンピュー
タがウォッチドッグ回路を作動させるトリガ信号を出力
している間は、ウォッチドッグ回路は制御出力端子の前
段に設けられたアンド回路に通過信号を出力する。ウォ
ッチドッグ回路からアンド回路に信号が出力されなくな
ると、アンド回路は論理レベル「ゼロ」を出力する。こ
のレベルは安全電位に相当し、内燃機関の作動される部
材を所定位置へ移動させて、制御装置の故障がその内燃
機関を搭載した自動車の搭乗者に危険を及ぼさないよう
にする。
間でデータ線を介して交換されるデータを用いてメイン
コンピュータの監視を行う。さらに2つのコンピュータ
は、両コンピュータによって作動されるウォッチドッグ
回路によって監視される。少なくとも一方のコンピュー
タがウォッチドッグ回路を作動させるトリガ信号を出力
している間は、ウォッチドッグ回路は制御出力端子の前
段に設けられたアンド回路に通過信号を出力する。ウォ
ッチドッグ回路からアンド回路に信号が出力されなくな
ると、アンド回路は論理レベル「ゼロ」を出力する。こ
のレベルは安全電位に相当し、内燃機関の作動される部
材を所定位置へ移動させて、制御装置の故障がその内燃
機関を搭載した自動車の搭乗者に危険を及ぼさないよう
にする。
【0004】サブコンピュータはメインコンピュータの
故障を検出すると、信号出力手段に以後サブコンピュー
タからの出力信号を制御出力端子に出力すべきことを示
す切り替え信号を出力する。そこで問題になるのは、サ
ブコンピュータが誤機能によって切り替え信号を出力す
る可能性があることである。その場合にはメインコンピ
ュータからの信号は制御出力端子に出力されず、サブコ
ンピュータが誤機能しているにも関わらず、サブコンピ
ュータからの信号に切り替えられてしまう。
故障を検出すると、信号出力手段に以後サブコンピュー
タからの出力信号を制御出力端子に出力すべきことを示
す切り替え信号を出力する。そこで問題になるのは、サ
ブコンピュータが誤機能によって切り替え信号を出力す
る可能性があることである。その場合にはメインコンピ
ュータからの信号は制御出力端子に出力されず、サブコ
ンピュータが誤機能しているにも関わらず、サブコンピ
ュータからの信号に切り替えられてしまう。
【0005】
【発明が解決しようとする課題】本発明の課題は、意図
しない出力信号が出力されないように可能な限り確実に
監視できるように構成された、メインコンピュータとサ
ブコンピュータを有する内燃機関の電子制御装置を提供
することである。
しない出力信号が出力されないように可能な限り確実に
監視できるように構成された、メインコンピュータとサ
ブコンピュータを有する内燃機関の電子制御装置を提供
することである。
【0006】
【課題を解決するための手段】上記の課題を解決する本
発明は、メインコンピュータ(10)と、メインコンピ
ュータを監視し、メインコンピュータが故障の場合には
非常機能を遂行するサブコンピュータ(12)と、コン
ピュータを監視するウォッチドッグ回路(11、13)
と、少なくとも1つの制御出力端子(16)に2つのレ
ベルを有する信号を出力する信号出力手段(14.3)
とを備え、前記レベルの一方は安全電位を有し、その電
位が連続して出力されるときには内燃機関が安全駆動状
態に維持され、メインコンピュータ(10)の機能を監
視する第1のウォッチドッグ回路(11)が設けられ、
サブコンピュータ(12)の機能を監視する第2のウォ
ッチドッグ回路(13)が設けられる内燃機関の電子制
御装置において、前記信号出力手段(14.3)は、第
2のウォッチドッグ回路によりサブコンピュータの機能
が正常であることが検出されかつ第1のウォッチドッグ
回路によりメインコンピュータの故障が検出された場
合、あるいは両ウォッチドッグ回路により各コンピュー
タの機能が正常であることが検出されているが、サブコ
ンピュータによりメインコンピュータの機能が異常であ
ることが検出されていて制御出力端子に出力される両コ
ンピュータの出力信号が一致している場合にも、サブコ
ンピュータの出力信号をそれぞれ関連する制御出力端子
(16)に出力し、一方、両ウォッチドッグ回路が監視
しているコンピュータの故障を検出した場合には各制御
出力端子に安全電位を出力するように構成されているこ
とを特徴とする(図3の構成)。
発明は、メインコンピュータ(10)と、メインコンピ
ュータを監視し、メインコンピュータが故障の場合には
非常機能を遂行するサブコンピュータ(12)と、コン
ピュータを監視するウォッチドッグ回路(11、13)
と、少なくとも1つの制御出力端子(16)に2つのレ
ベルを有する信号を出力する信号出力手段(14.3)
とを備え、前記レベルの一方は安全電位を有し、その電
位が連続して出力されるときには内燃機関が安全駆動状
態に維持され、メインコンピュータ(10)の機能を監
視する第1のウォッチドッグ回路(11)が設けられ、
サブコンピュータ(12)の機能を監視する第2のウォ
ッチドッグ回路(13)が設けられる内燃機関の電子制
御装置において、前記信号出力手段(14.3)は、第
2のウォッチドッグ回路によりサブコンピュータの機能
が正常であることが検出されかつ第1のウォッチドッグ
回路によりメインコンピュータの故障が検出された場
合、あるいは両ウォッチドッグ回路により各コンピュー
タの機能が正常であることが検出されているが、サブコ
ンピュータによりメインコンピュータの機能が異常であ
ることが検出されていて制御出力端子に出力される両コ
ンピュータの出力信号が一致している場合にも、サブコ
ンピュータの出力信号をそれぞれ関連する制御出力端子
(16)に出力し、一方、両ウォッチドッグ回路が監視
しているコンピュータの故障を検出した場合には各制御
出力端子に安全電位を出力するように構成されているこ
とを特徴とする(図3の構成)。
【0007】このような構成の制御装置によれば、サブ
コンピュータによりメインコンピュータの故障が検出さ
れている場合、制御出力端子に安全電位を出力するので
はなく、制御出力端子にコンピュータからの出力信号を
出力させることができるが、それは2つのコンピュータ
の出力信号が一致している場合だけである。
コンピュータによりメインコンピュータの故障が検出さ
れている場合、制御出力端子に安全電位を出力するので
はなく、制御出力端子にコンピュータからの出力信号を
出力させることができるが、それは2つのコンピュータ
の出力信号が一致している場合だけである。
【0008】上記の説明から明らかなように、制御装置
全体の機能を左右するものはウォッチドッグ回路の機能
である。そこで、好ましくは、コンピュータにより監視
信号をウォッチドッグ回路に出力し、監視信号の出力後
にウォッチドッグ回路の出力信号を試験するように構成
する(図4)。試験の結果、ウォッチドッグ回路が正常
に機能していないことが明らかになった場合に、信号出
力手段から制御出力端子に安全電位が出力される。ウォ
ッチドッグ回路は、従来技術の場合と同様に両コンピュ
ータを監視する共通のウォッチドッグ回路から構成する
こともできるが、個々のウォッチドッグ回路とすること
も可能である。
全体の機能を左右するものはウォッチドッグ回路の機能
である。そこで、好ましくは、コンピュータにより監視
信号をウォッチドッグ回路に出力し、監視信号の出力後
にウォッチドッグ回路の出力信号を試験するように構成
する(図4)。試験の結果、ウォッチドッグ回路が正常
に機能していないことが明らかになった場合に、信号出
力手段から制御出力端子に安全電位が出力される。ウォ
ッチドッグ回路は、従来技術の場合と同様に両コンピュ
ータを監視する共通のウォッチドッグ回路から構成する
こともできるが、個々のウォッチドッグ回路とすること
も可能である。
【0009】コンピュータの機能が正常であると判断さ
れている場合でも、誤った出力信号が出力される危険は
常に存在する。このような危険に基づく誤機能を排除す
るために、制御出力端子に出力される信号が少なくとも
一方のコンピュータによって試験され、試験された信号
の値が予測される値と一致しないことが検出された場合
には、安全制御が行われる。制御出力端子に出力される
信号の代わりに、制御出力端子の信号によって作動され
る出力段の出力信号を試験することも可能である。
れている場合でも、誤った出力信号が出力される危険は
常に存在する。このような危険に基づく誤機能を排除す
るために、制御出力端子に出力される信号が少なくとも
一方のコンピュータによって試験され、試験された信号
の値が予測される値と一致しないことが検出された場合
には、安全制御が行われる。制御出力端子に出力される
信号の代わりに、制御出力端子の信号によって作動され
る出力段の出力信号を試験することも可能である。
【0010】なお、両コンピュータを監視する機能と出
力信号が正確であることを試験する機能は個々に用いて
も、あるいは一緒に用いてもよい。安全性を高めるのに
寄与するすべての手段を一緒に用いると、非常に効果的
である。
力信号が正確であることを試験する機能は個々に用いて
も、あるいは一緒に用いてもよい。安全性を高めるのに
寄与するすべての手段を一緒に用いると、非常に効果的
である。
【0011】
【発明の実施の形態】以下、図面に示す実施形態を用い
て本発明を詳細に説明する。
て本発明を詳細に説明する。
【0012】図1〜図4のすべてに示す制御装置には、
メインコンピュータ10、メインコンピュータを監視す
る第1のウォッチドッグ回路11、サブコンピュータ1
2、サブコンピュータを監視する第2のウォッチドッグ
回路13並びにそれぞれ異なる機能を実施する回路群を
有する信号出力手段14.1が設けられている。この信
号出力手段14.1は一点鎖線で示されている。それぞ
れの制御装置は内燃機関の少なくとも1つの回路ユニッ
トを駆動するものである。図1では、2つの回路15.
1と15.2が設けられている。各回路ユニットには、
少なくとも1つの制御出力端子16から制御信号が入力
される。図1に示す制御装置には2つの制御出力端子1
6.1と16.2が設けられている。上記回路ユニット
は、例えばアクチュエータを駆動する駆動回路あるいは
制御器である。前者の場合すなわちアクチュエータの駆
動回路である場合には、出力される制御信号は操作信号
であって、後者の場合すなわち制御器である場合には目
標値信号である。異なる制御出力端子に異なる制御信号
を出力させることができる。しかし制御信号はディジタ
ル信号であって、従って2つのレベルを有する信号であ
る。各回路ユニット15は、一方のレベルの信号が連続
して出力されたときには、その内燃機関を搭載した自動
車を安全駆動状態に維持できる状態にすることができる
ように構成されている。安全状態が生じるレベルの電位
を、以下においては安全電位という。この電位は、それ
ぞれ駆動される回路ユニット15の構成に従って、ロー
レベルあるいはハイレベルとすることができる。
メインコンピュータ10、メインコンピュータを監視す
る第1のウォッチドッグ回路11、サブコンピュータ1
2、サブコンピュータを監視する第2のウォッチドッグ
回路13並びにそれぞれ異なる機能を実施する回路群を
有する信号出力手段14.1が設けられている。この信
号出力手段14.1は一点鎖線で示されている。それぞ
れの制御装置は内燃機関の少なくとも1つの回路ユニッ
トを駆動するものである。図1では、2つの回路15.
1と15.2が設けられている。各回路ユニットには、
少なくとも1つの制御出力端子16から制御信号が入力
される。図1に示す制御装置には2つの制御出力端子1
6.1と16.2が設けられている。上記回路ユニット
は、例えばアクチュエータを駆動する駆動回路あるいは
制御器である。前者の場合すなわちアクチュエータの駆
動回路である場合には、出力される制御信号は操作信号
であって、後者の場合すなわち制御器である場合には目
標値信号である。異なる制御出力端子に異なる制御信号
を出力させることができる。しかし制御信号はディジタ
ル信号であって、従って2つのレベルを有する信号であ
る。各回路ユニット15は、一方のレベルの信号が連続
して出力されたときには、その内燃機関を搭載した自動
車を安全駆動状態に維持できる状態にすることができる
ように構成されている。安全状態が生じるレベルの電位
を、以下においては安全電位という。この電位は、それ
ぞれ駆動される回路ユニット15の構成に従って、ロー
レベルあるいはハイレベルとすることができる。
【0013】図1に示す制御装置の信号出力手段14.
1にはオアゲート17、アンドゲート18、切り替え装
置19及び2つの遮断アンドゲート20.1と20.2が
設けられている。オアゲート17には第1のウォッチド
ッグ回路11と第2のウォッチドッグ回路13からの信
号が入力される。オアゲート17の出力は遮断アンドゲ
ート20.1と20.2の第1の入力信号となる。第1の
遮断アンドゲート20.1の第2の入力信号はメインコ
ンピュータの第1の出力信号HAS.1である。第2の
遮断アンドゲート20.2の第2の入力信号はメインコ
ンピュータ10の第2の出力信号HAS.2である。第
1の遮断アンドゲート20.1の出力信号は第1の制御
出力端子16.1に導かれる。同様に第2の遮断アンド
ゲート20.2の出力信号は第2の制御出力端子16.2
に出力される。
1にはオアゲート17、アンドゲート18、切り替え装
置19及び2つの遮断アンドゲート20.1と20.2が
設けられている。オアゲート17には第1のウォッチド
ッグ回路11と第2のウォッチドッグ回路13からの信
号が入力される。オアゲート17の出力は遮断アンドゲ
ート20.1と20.2の第1の入力信号となる。第1の
遮断アンドゲート20.1の第2の入力信号はメインコ
ンピュータの第1の出力信号HAS.1である。第2の
遮断アンドゲート20.2の第2の入力信号はメインコ
ンピュータ10の第2の出力信号HAS.2である。第
1の遮断アンドゲート20.1の出力信号は第1の制御
出力端子16.1に導かれる。同様に第2の遮断アンド
ゲート20.2の出力信号は第2の制御出力端子16.2
に出力される。
【0014】しかし、遮断アンドゲート20.1と20.
2にはメインコンピュータ10が正常に機能している場
合にのみその出力信号HAS.1、HAS.2が入力され
る。メインコンピュータ10の機能が正常でない場合に
は、切り替え装置19が切り替わり、それによって遮断
アンドゲート20.1と20.2にサブコンピュータ12
の出力信号NAS.1ないしNAS.2が入力される。こ
の切り替えは、アンドゲート18から出力信号が出力さ
れた場合に行われる。アンドゲート18の一方の入力端
子には第2のウォッチドッグ回路13の出力信号が入力
され、他方の入力端子には切り替え信号USが入力され
る。2つの信号がハイレベルになると、切り替えが行わ
れる。
2にはメインコンピュータ10が正常に機能している場
合にのみその出力信号HAS.1、HAS.2が入力され
る。メインコンピュータ10の機能が正常でない場合に
は、切り替え装置19が切り替わり、それによって遮断
アンドゲート20.1と20.2にサブコンピュータ12
の出力信号NAS.1ないしNAS.2が入力される。こ
の切り替えは、アンドゲート18から出力信号が出力さ
れた場合に行われる。アンドゲート18の一方の入力端
子には第2のウォッチドッグ回路13の出力信号が入力
され、他方の入力端子には切り替え信号USが入力され
る。2つの信号がハイレベルになると、切り替えが行わ
れる。
【0015】上述の機能の論理処理は、次のような手順
で行われる。
で行われる。
【0016】2つのウォッチドッグ回路11と13のう
ち少なくとも一方により、2つのコンピュータの一方が
正常に機能していることが示されている場合には、オア
ゲート17からハイレベルの信号が出力され、それによ
って2つの遮断アンドゲート20.1と20.2は導通状
態に切り替えられる。従って遮断アンドゲートの出力に
は、同遮断アンドゲートのそれぞれ第2の入力端子に印
加される信号が出力される。この信号はメインコンピュ
ータが正常に機能している場合には、それぞれの出力信
号HAS.1ないしHAS.2である。しかしサブコンピ
ュータ12にデータ交換線21を介してエラー信号が入
力されたり、あるいはサブコンピュータに信号が入力さ
れなくなって、メインコンピュータ10が故障したとサ
ブコンピュータが判断すると、サブコンピュータ12の
出力信号NAS.1ないしNAS.2への切り替えが行わ
れる。上述の回路にアンドゲート18が設けられている
ことによって、サブコンピュータ12から切り替え信号
が出力され、同時に第2のウォッチドッグ回路13によ
りサブコンピュータ12が正常に機能していることが検
出された場合にのみ、切り替え信号によって切り替えが
行われる。従来の公知の制御装置においては、サブコン
ピュータが誤動作によりメインコンピュータの機能が正
常でないと誤認し、その後切り替えが行なわれてサブコ
ンピュータからエラーのある出力信号が出力されてしま
うことがあった。この欠点は図1に示す制御装置におい
ては解決されている。
ち少なくとも一方により、2つのコンピュータの一方が
正常に機能していることが示されている場合には、オア
ゲート17からハイレベルの信号が出力され、それによ
って2つの遮断アンドゲート20.1と20.2は導通状
態に切り替えられる。従って遮断アンドゲートの出力に
は、同遮断アンドゲートのそれぞれ第2の入力端子に印
加される信号が出力される。この信号はメインコンピュ
ータが正常に機能している場合には、それぞれの出力信
号HAS.1ないしHAS.2である。しかしサブコンピ
ュータ12にデータ交換線21を介してエラー信号が入
力されたり、あるいはサブコンピュータに信号が入力さ
れなくなって、メインコンピュータ10が故障したとサ
ブコンピュータが判断すると、サブコンピュータ12の
出力信号NAS.1ないしNAS.2への切り替えが行わ
れる。上述の回路にアンドゲート18が設けられている
ことによって、サブコンピュータ12から切り替え信号
が出力され、同時に第2のウォッチドッグ回路13によ
りサブコンピュータ12が正常に機能していることが検
出された場合にのみ、切り替え信号によって切り替えが
行われる。従来の公知の制御装置においては、サブコン
ピュータが誤動作によりメインコンピュータの機能が正
常でないと誤認し、その後切り替えが行なわれてサブコ
ンピュータからエラーのある出力信号が出力されてしま
うことがあった。この欠点は図1に示す制御装置におい
ては解決されている。
【0017】上記の欠点は、以下に図2を用いて説明す
るような原理を使用すれば、さらに改善することができ
る。すなわち、図2ではサブコンピュータに設けられて
いるウォッチドッグ回路がサブコンピュータの故障を示
したときに、サブコンピュータからの信号の出力が防止
されるだけでなく、メインコンピュータ10に設けられ
ているウォッチドッグ回路11はメインコンピュータの
機能が正常であることを示しているにもかかわらず、サ
ブコンピュータ12がメインコンピュータ10の故障を
示した場合にも、サブコンピュータからの信号の出力は
防止される。
るような原理を使用すれば、さらに改善することができ
る。すなわち、図2ではサブコンピュータに設けられて
いるウォッチドッグ回路がサブコンピュータの故障を示
したときに、サブコンピュータからの信号の出力が防止
されるだけでなく、メインコンピュータ10に設けられ
ているウォッチドッグ回路11はメインコンピュータの
機能が正常であることを示しているにもかかわらず、サ
ブコンピュータ12がメインコンピュータ10の故障を
示した場合にも、サブコンピュータからの信号の出力は
防止される。
【0018】上記の原理を実現するために、図2に示す
制御装置の信号出力手段14.2には、図1に示す信号
出力手段14.1における機能に加えて、さらに第2の
アンドゲート22が設けられている。この第2のアンド
ゲート22に、そしてこの第2のアンドゲート22だけ
に、オアゲート17とアンドゲート18の出力信号が入
力される。この場合、アンドゲート18の信号は反転さ
れて入力される。なお、オアゲート17とアンドゲート
18の入力信号は、図1で説明した信号である。
制御装置の信号出力手段14.2には、図1に示す信号
出力手段14.1における機能に加えて、さらに第2の
アンドゲート22が設けられている。この第2のアンド
ゲート22に、そしてこの第2のアンドゲート22だけ
に、オアゲート17とアンドゲート18の出力信号が入
力される。この場合、アンドゲート18の信号は反転さ
れて入力される。なお、オアゲート17とアンドゲート
18の入力信号は、図1で説明した信号である。
【0019】単純化するために、図2においては、また
図3と図4においても、それぞれ制御出力端子16は1
つしか示されていない。制御出力端子にはその信号によ
って作動される回路ユニット15が接続されている。同
様にメインコンピュータ10は1つの出力信号HASの
みを出力し、サブコンピュータ12も唯一の出力信号N
ASを出力するものとして図示されている。しかし、各
コンピュータから多数の制御出力端子に多数の制御信号
を出力する場合でも、制御装置の原理には変わりはな
い。
図3と図4においても、それぞれ制御出力端子16は1
つしか示されていない。制御出力端子にはその信号によ
って作動される回路ユニット15が接続されている。同
様にメインコンピュータ10は1つの出力信号HASの
みを出力し、サブコンピュータ12も唯一の出力信号N
ASを出力するものとして図示されている。しかし、各
コンピュータから多数の制御出力端子に多数の制御信号
を出力する場合でも、制御装置の原理には変わりはな
い。
【0020】上述の制御出力端子16には遮断アンドゲ
ート20の出力信号が入力される。遮断アンドゲート2
0には2つの入力信号、特に第2のアンドゲート22の
出力信号と切り替え装置19の出力信号が入力される。
図2に示す実施形態においては、この切り替え装置19
は、サブコンピュータ12から出力される切り替え信号
USによって切り替えられるのではなく、第1のウォッ
チドッグ回路11の出力信号によって切り替えられる。
この信号がローレベルに下がると、切り替え装置19は
メインコンピュータ10の出力信号HASからサブコン
ピュータ12の出力信号NASへの切り替えを行う。
ート20の出力信号が入力される。遮断アンドゲート2
0には2つの入力信号、特に第2のアンドゲート22の
出力信号と切り替え装置19の出力信号が入力される。
図2に示す実施形態においては、この切り替え装置19
は、サブコンピュータ12から出力される切り替え信号
USによって切り替えられるのではなく、第1のウォッ
チドッグ回路11の出力信号によって切り替えられる。
この信号がローレベルに下がると、切り替え装置19は
メインコンピュータ10の出力信号HASからサブコン
ピュータ12の出力信号NASへの切り替えを行う。
【0021】切り替え装置19を上述のように作動させ
ることによって、第1のウォッチドッグ回路11がメイ
ンコンピュータ10の機能が正常であることを検出して
いる場合にはサブコンピュータ12の出力信号が制御出
力端子16へ出力されることはない。しかし、同時にサ
ブコンピュータ12がメインコンピュータの機能の異常
を検出し、従って切り替え信号USがアンドゲート18
に出力されると、上述の回路において第2のアンドゲー
ト22から遮断アンドゲート20に出力される信号がロ
ーレベルに低下し、それによって遮断アンドゲート20
は制御出力端子16にローレベルを有する信号を出力す
る。これは、切り替え信号USがアンドゲート18にお
いてウォッチドッグ回路13からの信号と結合されて、
その反転信号が第2のアンドゲートの第2の入力端子に
入力されることによって行われる。
ることによって、第1のウォッチドッグ回路11がメイ
ンコンピュータ10の機能が正常であることを検出して
いる場合にはサブコンピュータ12の出力信号が制御出
力端子16へ出力されることはない。しかし、同時にサ
ブコンピュータ12がメインコンピュータの機能の異常
を検出し、従って切り替え信号USがアンドゲート18
に出力されると、上述の回路において第2のアンドゲー
ト22から遮断アンドゲート20に出力される信号がロ
ーレベルに低下し、それによって遮断アンドゲート20
は制御出力端子16にローレベルを有する信号を出力す
る。これは、切り替え信号USがアンドゲート18にお
いてウォッチドッグ回路13からの信号と結合されて、
その反転信号が第2のアンドゲートの第2の入力端子に
入力されることによって行われる。
【0022】従って図2に示す回路においては、2つの
ウォッチドッグ回路11と13からの信号がなくなるか
(第2のアンドゲート22の一方の入力がローレベルに
なる)、あるいはサブコンピュータ12が切り替え信号
USを出力し、かつそのウォッチドッグ回路13がサブ
コンピュータ12の機能が正常であることを検出してい
る場合に(第2のアンドゲート22の他方の入力がロー
レベルになる)、アンドゲート20が遮断され、制御出
力端子16に安全電位が出力される。
ウォッチドッグ回路11と13からの信号がなくなるか
(第2のアンドゲート22の一方の入力がローレベルに
なる)、あるいはサブコンピュータ12が切り替え信号
USを出力し、かつそのウォッチドッグ回路13がサブ
コンピュータ12の機能が正常であることを検出してい
る場合に(第2のアンドゲート22の他方の入力がロー
レベルになる)、アンドゲート20が遮断され、制御出
力端子16に安全電位が出力される。
【0023】図3に示す制御装置は、図2に示す制御装
置の変形例である。図3の場合、サブコンピュータ12
が故障し、第1のウォッチドッグ回路11からメインコ
ンピュータ10の機能が正常であることが示される場合
に、必ずしも制御出力端子に安全電位が継続的に出力さ
れるのではなく、さらにメインコンピュータ10の出力
信号HASとサブコンピュータ12の出力信号NASが
一致した場合にはディジタル信号によって制御が行われ
る。さらに、本実施形態は図2の実施形態とは異なり、
切り替え装置19は設けられておらず、多数の論理回路
によって、メインコンピュータ10の出力信号HASか
あるいはサブコンピュータ12の出力信号NASが制御
出力端子16に供給され、あるいは前の段落に示す条件
のもとでは両方の信号が制御出力端子に供給される。
置の変形例である。図3の場合、サブコンピュータ12
が故障し、第1のウォッチドッグ回路11からメインコ
ンピュータ10の機能が正常であることが示される場合
に、必ずしも制御出力端子に安全電位が継続的に出力さ
れるのではなく、さらにメインコンピュータ10の出力
信号HASとサブコンピュータ12の出力信号NASが
一致した場合にはディジタル信号によって制御が行われ
る。さらに、本実施形態は図2の実施形態とは異なり、
切り替え装置19は設けられておらず、多数の論理回路
によって、メインコンピュータ10の出力信号HASか
あるいはサブコンピュータ12の出力信号NASが制御
出力端子16に供給され、あるいは前の段落に示す条件
のもとでは両方の信号が制御出力端子に供給される。
【0024】図3に示す信号出力手段14.3には、メ
インのアンドゲート24.1とサブのアンドゲート24.
2及び信号オアゲート25.1と遮断オアゲート25.2
(及び第2のアンドゲート22)が設けられている。第
2のアンドゲート22には入力信号としてオアゲート2
5.1及び25.2の出力信号が入力される。信号オアゲ
ート25.1には上述の2つのアンドゲート24.1と2
4.2の出力信号が入力信号として入力される。遮断オ
アゲート25.2には両ウォッチドッグ回路11と13
の出力信号が入力信号として入力される。さらに第1の
ウォッチドッグ回路11の出力信号はメインのアンドゲ
ート24.1に入力信号として入力される。同様にサブ
のアンドゲート24.2には第2のウォッチドッグ回路
13の出力信号が入力信号として入力される。メインの
アンドゲート24.1の第2の入力信号はメインコンピ
ュータ10の出力信号HASであって、サブのアンドゲ
ート24.2の第2の入力信号はサブコンピュータ12
の出力信号NASである。
インのアンドゲート24.1とサブのアンドゲート24.
2及び信号オアゲート25.1と遮断オアゲート25.2
(及び第2のアンドゲート22)が設けられている。第
2のアンドゲート22には入力信号としてオアゲート2
5.1及び25.2の出力信号が入力される。信号オアゲ
ート25.1には上述の2つのアンドゲート24.1と2
4.2の出力信号が入力信号として入力される。遮断オ
アゲート25.2には両ウォッチドッグ回路11と13
の出力信号が入力信号として入力される。さらに第1の
ウォッチドッグ回路11の出力信号はメインのアンドゲ
ート24.1に入力信号として入力される。同様にサブ
のアンドゲート24.2には第2のウォッチドッグ回路
13の出力信号が入力信号として入力される。メインの
アンドゲート24.1の第2の入力信号はメインコンピ
ュータ10の出力信号HASであって、サブのアンドゲ
ート24.2の第2の入力信号はサブコンピュータ12
の出力信号NASである。
【0025】ここで、上述のように構成された制御装置
の機能を再度簡単に説明する。第1のウォッチドッグ回
路11とサブコンピュータ12からメインコンピュータ
10の機能が正常であることが検出されると、メインコ
ンピュータの出力信号HASが制御出力端子16に出力
される。第1のウォッチドッグ回路11とサブコンピュ
ータ12によりメインコンピュータ10の故障が検出さ
れた場合には、サブコンピュータ12の出力信号NAS
が制御出力端子16に出力される。両ウォッチドッグ回
路11と13がそれぞれのコンピュータ10ないし12
の故障を検出した場合には、制御出力端子16に連続的
に安全電位が出力される。さらにサブコンピュータ12
はメインコンピュータ10の故障を検出し、それにもか
かわらずウォッチドッグ回路11がメインコンピュータ
10の機能が正常であることを検出した場合には、両コ
ンピュータ10と12の出力HASとNASが一致した
場合にだけ制御出力端子にディジタルの出力信号が出力
される。それ以外の場合は安全電位が出力される。
の機能を再度簡単に説明する。第1のウォッチドッグ回
路11とサブコンピュータ12からメインコンピュータ
10の機能が正常であることが検出されると、メインコ
ンピュータの出力信号HASが制御出力端子16に出力
される。第1のウォッチドッグ回路11とサブコンピュ
ータ12によりメインコンピュータ10の故障が検出さ
れた場合には、サブコンピュータ12の出力信号NAS
が制御出力端子16に出力される。両ウォッチドッグ回
路11と13がそれぞれのコンピュータ10ないし12
の故障を検出した場合には、制御出力端子16に連続的
に安全電位が出力される。さらにサブコンピュータ12
はメインコンピュータ10の故障を検出し、それにもか
かわらずウォッチドッグ回路11がメインコンピュータ
10の機能が正常であることを検出した場合には、両コ
ンピュータ10と12の出力HASとNASが一致した
場合にだけ制御出力端子にディジタルの出力信号が出力
される。それ以外の場合は安全電位が出力される。
【0026】上記の説明から明らかなように、所望の駆
動安全性に関しては、ウォッチドッグ回路11と13が
正常に機能しているか否かが重要になる。その機能が完
璧であるかどうかを試験するために、図4に示す実施形
態の制御装置では、第1のウォッチドッグ回路11の出
力信号がメインコンピュータ10にフィードバックさ
れ、第2のウォッチドッグ回路13の出力信号がサブコ
ンピュータ12にフィードバックされるように構成され
ている。試験プログラムにおいては、メインコンピュー
タ10は第1のウォッチドッグ回路11を作動させるト
リガ信号をストップし、その後ウォッチドッグ回路の出
力信号が低いレベルに低下したかどうかを判断する。低
下しない場合には、第1のウォッチドッグ回路11の機
能に誤りがあることを示すものであって、その後メイン
コンピュータ10は非常走行信号NLS.Hを信号出力
手段14に出力する。この信号出力手段14の構成は図
4には示されていない。図4の信号出力手段は好ましく
は図1から図3に説明したいずれかの原理に従って作動
する。非常走行信号NLS.Hを出力するために、信号
出力手段14は制御出力端子に安全電位を出力するか、
あるいは走行駆動を著しく制限するディジタル信号を出
力する。それによってその自動車のドライバーに、修理
工場へ行って制御装置の修理をさせるようにうながす。
動安全性に関しては、ウォッチドッグ回路11と13が
正常に機能しているか否かが重要になる。その機能が完
璧であるかどうかを試験するために、図4に示す実施形
態の制御装置では、第1のウォッチドッグ回路11の出
力信号がメインコンピュータ10にフィードバックさ
れ、第2のウォッチドッグ回路13の出力信号がサブコ
ンピュータ12にフィードバックされるように構成され
ている。試験プログラムにおいては、メインコンピュー
タ10は第1のウォッチドッグ回路11を作動させるト
リガ信号をストップし、その後ウォッチドッグ回路の出
力信号が低いレベルに低下したかどうかを判断する。低
下しない場合には、第1のウォッチドッグ回路11の機
能に誤りがあることを示すものであって、その後メイン
コンピュータ10は非常走行信号NLS.Hを信号出力
手段14に出力する。この信号出力手段14の構成は図
4には示されていない。図4の信号出力手段は好ましく
は図1から図3に説明したいずれかの原理に従って作動
する。非常走行信号NLS.Hを出力するために、信号
出力手段14は制御出力端子に安全電位を出力するか、
あるいは走行駆動を著しく制限するディジタル信号を出
力する。それによってその自動車のドライバーに、修理
工場へ行って制御装置の修理をさせるようにうながす。
【0027】メインコンピュータ10が第1のウォッチ
ドッグ回路11の試験をして第1のウォッチドッグ回路
が故障している場合に非常走行信号NLS.Hを出力す
るのと同様に、サブコンピュータ12も第2のウォッチ
ドッグ回路13の試験を行い、故障がある場合には非常
走行信号NLS.Nを出力する。
ドッグ回路11の試験をして第1のウォッチドッグ回路
が故障している場合に非常走行信号NLS.Hを出力す
るのと同様に、サブコンピュータ12も第2のウォッチ
ドッグ回路13の試験を行い、故障がある場合には非常
走行信号NLS.Nを出力する。
【0028】上述の試験は、異なる2つのウォッチドッ
グ回路が設けられておらず、2つのコンピュータが共通
のウォッチドッグ回路を作動させる場合にも、実施する
ことができる。その場合にはメインコンピュータ10は
サブコンピュータ12にデータ交換線21を介して、作
動信号(トリガー信号)を出力しないことを伝える。そ
の後どちらかのコンピュータがウォッチドッグ回路の出
力信号がなくなったかどうかを検出する。なくならない
場合には、非常走行手段を作動させる。
グ回路が設けられておらず、2つのコンピュータが共通
のウォッチドッグ回路を作動させる場合にも、実施する
ことができる。その場合にはメインコンピュータ10は
サブコンピュータ12にデータ交換線21を介して、作
動信号(トリガー信号)を出力しないことを伝える。そ
の後どちらかのコンピュータがウォッチドッグ回路の出
力信号がなくなったかどうかを検出する。なくならない
場合には、非常走行手段を作動させる。
【0029】上記の説明から明らかなように、信号出力
手段の種々の実施形態はすべて、どちらかのコンピュー
タが故障した場合に確実な駆動を行わせるために用いら
れている。しかし、信号出力手段自体の機能に誤りがあ
り、あるいは作動される回路ユニット15が入力された
信号を誤って処理した場合には、意図したのと異なった
結果をもたらすことがある。この種のエラーに関しても
駆動安全性を高めるために、図4に示す制御装置は、制
御出力端子16の出力信号をメインコンピュータ10に
もサブコンピュータ12にもフィードバックさせるよう
に構成されている。その場合、各コンピュータは制御出
力端子16に生じた信号が予測される信号と一致するか
どうかを試験する。そのために回路ユニット15の出力
信号を2つのコンピュータにフィードバックして、予測
される信号を比較することができる。どちらかの比較か
ら誤りが生じた場合には、メインコンピュータ10ない
しサブコンピュータ12から阻止信号SPS.Hないし
SPS.Nが出力される。この信号は回路ユニット15
の後段に接続された安全スイッチ26に入力され、安全
スイッチはアース電位あるいはそれぞれの使用目的に応
じた他の安全電位を出力線に出力する。また、後段に接
続された安全スイッチ26の変わりに、回路ユニット1
5を有する出力端子16に並列に作用する第2の接続点
(図4には不図示)を設けることによって、例えば図1
に示すように他の出力端子を介して安全状態を得ること
も可能である。
手段の種々の実施形態はすべて、どちらかのコンピュー
タが故障した場合に確実な駆動を行わせるために用いら
れている。しかし、信号出力手段自体の機能に誤りがあ
り、あるいは作動される回路ユニット15が入力された
信号を誤って処理した場合には、意図したのと異なった
結果をもたらすことがある。この種のエラーに関しても
駆動安全性を高めるために、図4に示す制御装置は、制
御出力端子16の出力信号をメインコンピュータ10に
もサブコンピュータ12にもフィードバックさせるよう
に構成されている。その場合、各コンピュータは制御出
力端子16に生じた信号が予測される信号と一致するか
どうかを試験する。そのために回路ユニット15の出力
信号を2つのコンピュータにフィードバックして、予測
される信号を比較することができる。どちらかの比較か
ら誤りが生じた場合には、メインコンピュータ10ない
しサブコンピュータ12から阻止信号SPS.Hないし
SPS.Nが出力される。この信号は回路ユニット15
の後段に接続された安全スイッチ26に入力され、安全
スイッチはアース電位あるいはそれぞれの使用目的に応
じた他の安全電位を出力線に出力する。また、後段に接
続された安全スイッチ26の変わりに、回路ユニット1
5を有する出力端子16に並列に作用する第2の接続点
(図4には不図示)を設けることによって、例えば図1
に示すように他の出力端子を介して安全状態を得ること
も可能である。
【0030】図4を用いて説明した安全手段は好ましく
は一緒に使用することができるが、個別に使用すること
もできる。図4を用いて説明した手段を、図2あるいは
図3を用いて説明した手段と一緒に使用すると、きわめ
て効果的である。
は一緒に使用することができるが、個別に使用すること
もできる。図4を用いて説明した手段を、図2あるいは
図3を用いて説明した手段と一緒に使用すると、きわめ
て効果的である。
【0031】
【発明の効果】以上説明したように、本発明によれば、
サブコンピュータの機能が正常である確率が非常に高い
場合にだけ、サブコンピュータの信号を少なくとも1つ
の制御出力端子に出力させることが可能になる。
サブコンピュータの機能が正常である確率が非常に高い
場合にだけ、サブコンピュータの信号を少なくとも1つ
の制御出力端子に出力させることが可能になる。
【図1】サブコンピュータに設けられているウォッチド
ッグ回路によりサブコンピュータが正常に機能している
と判断された場合にのみ、サブコンピュータの出力信号
を制御出力端子に出力することができるように構成され
た電子制御装置のブロック回路図である。
ッグ回路によりサブコンピュータが正常に機能している
と判断された場合にのみ、サブコンピュータの出力信号
を制御出力端子に出力することができるように構成され
た電子制御装置のブロック回路図である。
【図2】サブコンピュータに設けられているウォッチド
ッグ回路によりサブコンピュータが正常に機能している
と判断され、同時にメインコンピュータに設けられてい
るウォッチドッグ回路がメインコンピュータの故障を示
す場合にのみ、サブコンピュータの出力信号を制御出力
端子に出力することができるように構成された電子制御
装置のブロック回路図である。
ッグ回路によりサブコンピュータが正常に機能している
と判断され、同時にメインコンピュータに設けられてい
るウォッチドッグ回路がメインコンピュータの故障を示
す場合にのみ、サブコンピュータの出力信号を制御出力
端子に出力することができるように構成された電子制御
装置のブロック回路図である。
【図3】サブコンピュータに設けられているウォッチド
ッグ回路によりサブコンピュータが正常に機能している
と判断され、かつメインコンピュータに設けられている
ウォッチドッグ回路がメインコンピュータの故障を示す
か、あるいはメインコンピュータとサブコンピュータが
同一の出力信号を出力する場合にのみ、サブコンピュー
タの出力信号を制御出力端子に出力することができるよ
うに構成された電子制御装置のブロック回路図である。
ッグ回路によりサブコンピュータが正常に機能している
と判断され、かつメインコンピュータに設けられている
ウォッチドッグ回路がメインコンピュータの故障を示す
か、あるいはメインコンピュータとサブコンピュータが
同一の出力信号を出力する場合にのみ、サブコンピュー
タの出力信号を制御出力端子に出力することができるよ
うに構成された電子制御装置のブロック回路図である。
【図4】出力信号を監視し、得られた出力信号が予想さ
れる出力信号と一致しない場合に、制御装置の出力端子
に安全電位を印加する構成の電子制御装置のブロック回
路図である。
れる出力信号と一致しない場合に、制御装置の出力端子
に安全電位を印加する構成の電子制御装置のブロック回
路図である。
10 メインコンピュータ 11 第1のウォッチドッグ回路 12 サブコンピュータ 13 第2のウォッチドッグ回路 14 信号出力手段 15 回路ユニット 16 制御出力端子
フロントページの続き (72)発明者 ヘルベルト・グラーフ ドイツ連邦共和国 7295 ドルンシュテ ッテン・アム・ベルクヴェルク 2 (72)発明者 ヴェルナー・ツィマーマン ドイツ連邦共和国 7000 シュトゥット ガルト 40・ドリーゼシュトラーセ 9 ベー (72)発明者 ヨハネス・ロッヒャー ドイツ連邦共和国 7000 シュトゥット ガルト 50・メーヴェンヴェーク 50 (58)調査した分野(Int.Cl.6,DB名) F02D 45/00
Claims (4)
- 【請求項1】 メインコンピュータ(10)と、 メインコンピュータを監視し、メインコンピュータが故
障の場合には非常機能を遂行するサブコンピュータ(1
2)と、 コンピュータを監視するウォッチドッグ回路(11、1
3)と、 少なくとも1つの制御出力端子(16)に2つのレベル
を有する信号を出力する信号出力手段(14.3)とを
備え、 前記レベルの一方は安全電位を有し、その電位が連続し
て出力されるときには内燃機関が安全駆動状態に維持さ
れ、 メインコンピュータ(10)の機能を監視する第1のウ
ォッチドッグ回路(11)が設けられ、 サブコンピュータ(12)の機能を監視する第2のウォ
ッチドッグ回路(13)が設けられる内燃機関の電子制
御装置において、 前記信号出力手段(14.3)は、 第2のウォッチドッグ回路によりサブコンピュータの機
能が正常であることが検出されかつ第1のウォッチドッ
グ回路によりメインコンピュータの故障が検出された場
合、あるいは両ウォッチドッグ回路により各コンピュー
タの機能が正常であることが検出されているが、サブコ
ンピュータによりメインコンピュータの機能が異常であ
ることが検出されていて制御出力端子に出力される両コ
ンピュータの出力信号が一致している場合にも、サブコ
ンピュータの出力信号をそれぞれ関連する制御出力端子
(16)に出力し、 一方、両ウォッチドッグ回路が監視しているコンピュー
タの故障を検出した場合には各制御出力端子に安全電位
を出力するように構成されていることを特徴とする内燃
機関の電子制御装置。 - 【請求項2】 コンピュータ(10、12)が監視信号
をウォッチドッグ回路(11、13)に出力し、監視信
号の出力後にウォッチドッグ回路の出力信号が試験さ
れ、 試験の結果、それぞれのコンピュータに設けられている
ウォッチドッグ回路が正常に機能していないことが明ら
かになった場合に、メインコンピュータ(10)あるい
はサブコンピュータ(12)から安全電位が出力される
ことを特徴とする請求項1に記載の内燃機関の電子制御
装置。 - 【請求項3】 制御出力端子(16)に印加される信号
が、少なくとも一方のコンピュータ(10、12)によ
って試験され、 試験された信号の値が予測される値と一致しないことが
検出された場合には安全制御が行われることを特徴とす
る請求項1又は2に記載の内燃機関の電子制御装置。 - 【請求項4】 制御される回路ユニット(15)の出力
信号が少なくとも一方のコンピュータ(10、12)に
よって試験され、前記回路ユニットがそれぞれ関連する
制御出力端子(16)に印加される信号によって作動さ
れ、 試験された信号の値が予測される値と一致しないことが
検出された場合には、安全制御が行われることを特徴と
する請求項1から3のいずれか1項に記載の内燃機関の
電子制御装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19893926377 DE3926377C2 (de) | 1989-08-04 | 1989-08-04 | Elektronisches Steuergerät für eine Brennkraftmaschine |
| DE3926377.0 | 1989-08-04 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2187347A Division JP2877912B2 (ja) | 1989-08-04 | 1990-07-17 | 内燃機関の電子制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH11190251A JPH11190251A (ja) | 1999-07-13 |
| JP2983532B2 true JP2983532B2 (ja) | 1999-11-29 |
Family
ID=6386823
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2187347A Expired - Lifetime JP2877912B2 (ja) | 1989-08-04 | 1990-07-17 | 内燃機関の電子制御装置 |
| JP10290228A Expired - Lifetime JP2983532B2 (ja) | 1989-08-04 | 1998-10-13 | 内燃機関の電子制御装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2187347A Expired - Lifetime JP2877912B2 (ja) | 1989-08-04 | 1990-07-17 | 内燃機関の電子制御装置 |
Country Status (2)
| Country | Link |
|---|---|
| JP (2) | JP2877912B2 (ja) |
| DE (1) | DE3926377C2 (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4113959A1 (de) * | 1991-04-29 | 1992-11-05 | Kloeckner Humboldt Deutz Ag | Ueberwachungseinrichtung |
| JPH06185442A (ja) * | 1992-12-22 | 1994-07-05 | Fujitsu Ten Ltd | 内燃機関の点火時期制御装置 |
| DE19919504B4 (de) * | 1999-04-29 | 2005-10-20 | Mtu Aero Engines Gmbh | Triebwerksregler, Triebwerk und Verfahren zum Regeln eines Triebwerks |
| JP2003049875A (ja) * | 2001-08-07 | 2003-02-21 | Denso Corp | 発電機及び車載機器駆動用の車両用電磁クラッチ装置 |
| JP3967599B2 (ja) * | 2002-01-28 | 2007-08-29 | 株式会社デンソー | 車両用電子制御装置 |
| JP2003333675A (ja) | 2002-05-14 | 2003-11-21 | Hitachi Ltd | 通信系制御装置およびそれの異常監視方法 |
| DE10252990B3 (de) | 2002-11-14 | 2004-04-15 | Siemens Ag | Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit |
| JP5589635B2 (ja) * | 2010-07-20 | 2014-09-17 | いすゞ自動車株式会社 | カムレスエンジン弁開閉制御装置 |
| JP5246230B2 (ja) * | 2010-09-13 | 2013-07-24 | 株式会社デンソー | 車両用電子制御装置 |
| DE102013201702C5 (de) | 2013-02-01 | 2017-03-23 | Mtu Friedrichshafen Gmbh | Verfahren und Anordnung zur Steuerung einer Brennkraftmaschine |
| CN103913988B (zh) * | 2014-04-04 | 2016-04-13 | 中国海洋石油总公司 | 一种电流模拟量信号分配器 |
| JP6647188B2 (ja) * | 2016-11-14 | 2020-02-14 | 日立オートモティブシステムズ株式会社 | 変速機制御装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3322240A1 (de) * | 1982-07-23 | 1984-01-26 | Robert Bosch Gmbh, 7000 Stuttgart | Sicherheits-notlaufeinrichtung fuer den leerlaufbetrieb von kraftfahrzeugen |
| DE3539407A1 (de) * | 1985-11-07 | 1987-05-14 | Bosch Gmbh Robert | Rechnersystem mit zwei prozessoren |
-
1989
- 1989-08-04 DE DE19893926377 patent/DE3926377C2/de not_active Expired - Lifetime
-
1990
- 1990-07-17 JP JP2187347A patent/JP2877912B2/ja not_active Expired - Lifetime
-
1998
- 1998-10-13 JP JP10290228A patent/JP2983532B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JPH11190251A (ja) | 1999-07-13 |
| DE3926377A1 (de) | 1991-02-07 |
| JPH0370837A (ja) | 1991-03-26 |
| JP2877912B2 (ja) | 1999-04-05 |
| DE3926377C2 (de) | 2003-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2983532B2 (ja) | 内燃機関の電子制御装置 | |
| JP3616367B2 (ja) | 電子制御装置 | |
| US20230339481A1 (en) | Determination of reliability of vehicle control commands using a voting mechanism | |
| JP3255693B2 (ja) | 自動車のマルチコンピュータシステム | |
| US20060198737A1 (en) | Actuator control apparatus | |
| EP0109602A1 (en) | Fault tolerable redundancy control | |
| US20180202544A1 (en) | Monitoring system and vehicle control device | |
| JPH0382661A (ja) | 安全リレー作動回路 | |
| CN113014150B (zh) | 马达控制系统、操作马达控制系统的方法和飞行器 | |
| JPH07293320A (ja) | 電子制御装置 | |
| GB2255422A (en) | Monitoring device for an i.c. engine control system. | |
| US9903300B2 (en) | Method for shutting down an electrically controlled component of a vehicle in a case of error of a processing unit controlling the component | |
| JP2011032903A (ja) | 車両の制御装置 | |
| JP2663982B2 (ja) | 車両用のブレーキ・ストップランプ回路 | |
| US8831912B2 (en) | Checking of functions of a control system having components | |
| JPH04215140A (ja) | コンピュータ装置 | |
| JP2621481B2 (ja) | 駆動回路の診断方式 | |
| US7426430B2 (en) | Control unit for activating an occupant protection means in a motor vehicle and method for monitoring the proper functioning of a control unit preferably of this type | |
| CN114184992A (zh) | 用于验证电源监测的方法、装置和计算机程序 | |
| JP7329579B2 (ja) | 制御装置 | |
| JPS6235917A (ja) | 車両用電子制御装置 | |
| JP2906789B2 (ja) | 複数のマイクロコンピュータの暴走監視回路 | |
| JPH09258853A (ja) | 計算要素のリセット装置 | |
| JPS6022202A (ja) | 制御システム | |
| JP6702175B2 (ja) | 負荷駆動装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080924 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090924 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100924 Year of fee payment: 11 |
|
| EXPY | Cancellation because of completion of term |