JP3042277B2 - Fail-safe device for in-vehicle electronic control system - Google Patents
Fail-safe device for in-vehicle electronic control systemInfo
- Publication number
- JP3042277B2 JP3042277B2 JP5228884A JP22888493A JP3042277B2 JP 3042277 B2 JP3042277 B2 JP 3042277B2 JP 5228884 A JP5228884 A JP 5228884A JP 22888493 A JP22888493 A JP 22888493A JP 3042277 B2 JP3042277 B2 JP 3042277B2
- Authority
- JP
- Japan
- Prior art keywords
- electronic control
- vehicle
- control system
- fail
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Description
【0001】[0001]
【産業上の利用分野】本発明は車載電子制御システムの
フェイルセイフ装置に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a fail-safe device for an on-vehicle electronic control system.
【0002】[0002]
【従来の技術】車載電子制御システムのフェイルセイフ
装置に関する従来の技術としては、例えば、特開平1−
134601号公報に開示された技術が挙げられる。こ
れは、2つのマイクロプロセッサ(CPU)で、同じ制
御演算を実行して、その中間および最終結果を比較し
て、相互の動作を監視し、異常が確認された時には、各
CPUが出力をオフできる構成の安全装置である。この
技術は、どちらか一方のCPUだけが、例えば、長期間
使用中の発熱などで誤動作するようになった場合などに
は有効である。2. Description of the Related Art As a prior art relating to a fail-safe device of an in-vehicle electronic control system, for example, Japanese Unexamined Patent Publication No. Hei.
There is a technique disclosed in 134601. This means that two microprocessors (CPUs) execute the same control operation, compare their intermediate and final results, monitor each other's operation, and when an abnormality is confirmed, each CPU turns off the output. This is a safety device that can be configured. This technique is effective when only one of the CPUs malfunctions due to, for example, heat generation during long-term use.
【0003】[0003]
【発明が解決しようとする課題】一般に、高密度集積回
路であるCPUの周囲に、空中を伝搬してくる強力な電
波によって強い電磁界ができると、CPU回路内部に電
波の周波数に応じた電位が誘起されて通常動作とは異な
る動作の原因となる可能性がある。従って、上記の従来
の技術を用いた場合に、法規制等を逸脱した強電磁界の
電波を車両外から受けた場合でも、複数個のCPUが同
時に上記のごとき通常動作とは異なる動作をすることが
ないようにするには、金属ケースで完全に遮蔽すること
が必要であって原価高となる。逆に、低原価の簡易ケー
スを用いた場合には、複数個のCPUを用いた監視装置
を遮蔽しても、結局、電波障害によって何れのCPUも
上記のごとき通常動作とは異なる動作をする畏れがあ
り、電子制御システムが通常の作動とは異なる作動を行
なう畏れがある。Generally, when a strong electromagnetic field is generated around a CPU, which is a high-density integrated circuit, by a strong radio wave propagating in the air, a potential corresponding to the frequency of the radio wave is generated inside the CPU circuit. May be induced to cause an operation different from the normal operation. Therefore, in the case where the above-described conventional technology is used, even when a strong electromagnetic field that deviates from laws and regulations is received from outside the vehicle, a plurality of CPUs may simultaneously perform operations different from the normal operation as described above. In order to avoid such a problem, it is necessary to completely shield with a metal case, which increases the cost. Conversely, when a low-cost simple case is used, even if the monitoring device using a plurality of CPUs is shielded, any of the CPUs will eventually operate differently from the above-described normal operation due to radio interference. There is fear that the electronic control system may operate differently from normal operation.
【0004】本発明は上記したような従来の問題を解消
し、法規制等を逸脱した異常に強力な電磁界を生ずる電
波が到来した場合に、たとえ車載電子制御システムに対
する電磁遮蔽手段の一部に多少不完全な点(例えば低原
価の簡易ケース内に設置する)があったとしても、被害
を最小限に食い止められるようにした車載電子制御シス
テムのフェイルセイフ装置を提供することを課題とす
る。[0004] The present invention solves the above-mentioned conventional problems, and when an electromagnetic wave that generates an abnormally strong electromagnetic field that deviates from laws and regulations arrives, a part of the electromagnetic shielding means for the on-vehicle electronic control system. It is an object of the present invention to provide a fail-safe device of an in-vehicle electronic control system which can minimize damage even if there are some incomplete points (for example, installation in a low-cost simple case). .
【0005】[0005]
【課題を解決するための手段】上記課題を解決するため
に本発明においては、アクチュエータ駆動回路の故障診
断と制御システムの監視回路同士で相互故障診断を行な
うために、複数個のシステム監視回路を、互いに別個に
設置し、かつ、上記二つの監視手段は、車両内で相互に
離れた場所に設置するか若しくは一方の監視手段を他方
よりも電波遮蔽効果の大きな収納手段に収納するかの少
なくとも一方の処置を施した。さらに、スタートスイッ
チオン後のみ導通状態が保持され、上記監視回路により
システムの故障が検出された時には遮断され、再びスタ
ートスイッチがオンされるまで、遮断状態を保持する自
己保持リレーを、電源とアクチュエータ駆動回路の間に
設けることにした。According to the present invention, a plurality of system monitoring circuits are provided for performing fault diagnosis of an actuator drive circuit and mutual fault diagnosis between monitoring circuits of a control system. Installed separately from each other, and the two monitoring means are mutually connected in the vehicle.
Install in a remote location or use one monitoring means
Storage in a storage means with a greater radio wave shielding effect than
At least one treatment was applied. Further, the conduction state is maintained only after the start switch is turned on, and when the system failure is detected by the monitoring circuit, the system is shut off. It is provided between the driving circuits.
【0006】[0006]
【作用】電子制御システムの複数個の監視回路は、前記
のように、それぞれ車体内の互いに離れた別部位に設置
するか、近接設置するにしても少なくとも一方の監視回
路は金属ケース内に収納して良好な電磁遮蔽を施すか
ら、外部からの強烈な電磁波の影響を受けるにしても、
電子制御システムの複数個の監視回路が全く同時に誤動
作するような状態にはならない。従って、システム監視
回路の何れかが誤動作するようになったことは、僅かな
時間差により未だ正常状態で生き残っている他のシステ
ム監視回路によって検出され、電子制御システムは電源
から遮断され、すなわち本発明フェイルセイフ装置によ
って、電子制御システムの故障はフェイルセイフに処理
されて、システム搭載車の制御は例えばマニュアル制御
等に委ねられることになる。The plurality of monitoring circuits of the electronic control system are as described above.
As in, or placed in a separate site away the each other's respective inside the body, from at least one of the monitoring circuits in the adjacent installation performs good electromagnetic shielding and housed in a metal case, from the outside Even under the influence of strong electromagnetic waves,
It does not happen that a plurality of monitoring circuits of the electronic control system malfunction at the same time. Therefore, the one of the system monitoring circuit becomes cormorants by malfunction is detected by the other system monitoring circuit surviving in still normal state by slight time difference, the electronic control system is cut off from the power supply, i.e. the The failure of the electronic control system is handled in a fail-safe manner by the inventive fail-safe device, and control of the system-equipped vehicle is left to manual control, for example.
【0007】[0007]
第1実施例:本実施例は、内燃機関搭載車両で、アクセ
ル開度に応じてスロットル開度を制御する駆動力特性可
変制御(アクセルバイワイヤ)を、電子制御式スロット
ルと前述のフェイルセイフ装置を用いたシステムであ
る。図1に、ノーマルクローズタイプの第1電磁クラッ
チをアクセルペダルとスロットルバルブの間に配置し、
ノーマルオープンタイプの第2電磁クラッチをスロット
ルバルブと駆動用DCモータの間に配置した電子式スロ
ットルアクチュエータの構造例を示す。この実施例の図
1の左側に示す第1電磁クラッチとその近傍に、スロッ
トルバルブを閉方向に付勢(スロットル軸を回転させ
る)するスロットルバルブ用リターンスプリングと、ア
クセルペダルにアクセルワイヤで連結したアクセルドラ
ムを、閉方向に付勢(スロットル軸の周囲に回転させ
る)するアクセルドラム用リターンスプリングとが配置
されている。また、スロットル軸の回転角を計測するス
ロットルセンサと、アクセルドラムの回転角を計測する
アクセルセンサとを所定の位置に配置してある。図1に
示す第1、第2電磁クラッチの中で、黒く塗り潰した部
分が、スロットル側クラッチプレートであって、電磁ク
ラッチコイルへの通電のオン、オフに応じてスロットル
軸方向には可動(何れもコイル通電時にはスプリングを
押し縮めて図の右方へ移動)であるが、スロットルシャ
フトと回転方向には係合している。第1電磁クラッチで
は、其のクラッチプレートがアクセルドラムと連結する
方向(図の左方)にスプリングで常時付勢されており、
また、第2電磁クラッチでは、其のクラッチプレートが
モータ側と非連結方向(図の左方)にスプリングで常時
付勢されており、コイルに通電していなければ、アクセ
ルペダルの操作は、アクセルワイヤを介して、アクセル
ドラムを回転させ、スロットル軸は、アクセルドラムと
共に回転する。また、コイルに通電すれば双方のクラッ
チプレートは図の右方へ吸引されてスロットル軸はモー
タによって回転されるようになる。なお、本実施例で
は、駆動用にDCモータを用いている。First Embodiment: This embodiment relates to a vehicle equipped with an internal combustion engine, in which variable driving force characteristic control (accelerator-by-wire) for controlling a throttle opening in accordance with an accelerator opening is performed by using an electronically controlled throttle and the aforementioned fail-safe device. This is the system used. In FIG. 1, a normally closed type first electromagnetic clutch is arranged between an accelerator pedal and a throttle valve,
The structure example of the electronic throttle actuator which arrange | positioned the normally open type 2nd electromagnetic clutch between the throttle valve and the drive DC motor is shown. In this embodiment, a first electromagnetic clutch shown on the left side of FIG. 1 and its vicinity are connected to a throttle valve return spring for urging the throttle valve in the closing direction (rotating the throttle shaft) and an accelerator pedal by an accelerator wire. An accelerator drum return spring for urging the accelerator drum in the closing direction (rotating the accelerator drum around the throttle shaft) is disposed. Further, a throttle sensor for measuring the rotation angle of the throttle shaft and an accelerator sensor for measuring the rotation angle of the accelerator drum are arranged at predetermined positions. In the first and second electromagnetic clutches shown in FIG. 1, a black portion is a throttle side clutch plate, which is movable in the axial direction of the throttle in accordance with the on / off of energization of the electromagnetic clutch coil. When the coil is energized, the spring is compressed and moved to the right in the figure), but is engaged with the throttle shaft in the rotational direction. In the first electromagnetic clutch, the clutch plate is always biased by a spring in a direction (left side in the figure) in which the clutch plate is connected to the accelerator drum.
In the second electromagnetic clutch, the clutch plate is always biased by a spring in a direction (left side in the drawing) that is not connected to the motor side. If the coil is not energized, the operation of the accelerator pedal is performed by the accelerator pedal. The accelerator drum is rotated via the wire, and the throttle shaft rotates together with the accelerator drum. When the coil is energized, both clutch plates are attracted to the right in the drawing, and the throttle shaft is rotated by the motor. In this embodiment, a DC motor is used for driving.
【0008】図2は本実施例のシステム構成図である。
1はエンジンの吸入空気量を調節するスロットルバルブ
である。2は前述のDCモータおよび電磁クラッチを用
いた電子式スロットルバルブアクチュエータである。3
はアクセル(開度)センサ(二重系)であり、アクセル
開度ACCをポテンショメータの出力電圧によって検知す
る。4はスロットル(開度)センサでスロットル開度T
VOをポテンショメータの出力電圧によって検知する。5
は内燃機関の始動時にドライバによってオン操作される
スタートスイッチである。6は電磁リレー(3個)を用
いた自己保持リレー回路である。FIG. 2 is a system configuration diagram of the present embodiment.
Reference numeral 1 denotes a throttle valve for adjusting the intake air amount of the engine. Reference numeral 2 denotes an electronic throttle valve actuator using the aforementioned DC motor and electromagnetic clutch. 3
Is an accelerator (opening) sensor (dual system), which detects the accelerator opening ACC based on the output voltage of the potentiometer. 4 is a throttle (opening) sensor, which is a throttle opening T
VO is detected by the output voltage of the potentiometer. 5
Is a start switch that is turned on by the driver when the internal combustion engine is started. Reference numeral 6 denotes a self-holding relay circuit using three electromagnetic relays.
【0009】7は前述のスロットル駆動回路および第1
システム監視回路として兼用される第1電子コントロー
ラである。8はワンチップマイコンで、CPU、RA
M、ROM、ディジタルポート、A/Dポート、各種タ
イマーを内蔵している。マイコン8は、システム正常時
には、電磁クラッチの通電を指示するCLUTCH信号
を出力し、さらに、各種センサ信号とスイッチ信号に基
づいて、目標スロットル開度を演算し、実スロットル開
度がこの目標値に一致するように、DCモータの正逆回
転方向を指示するDIR出力信号、DCモータ駆動電流
を指示するDUTY出力信号を出力する。また、システ
ム故障時(駆動回路または第2システム監視回路の故障
時)には、モータ駆動電流およびクラッチ駆動電流、並
びに自己保持リレー回路6の電磁リレー(No.1)駆
動電流の遮断を指示する出力を行ない、モータを駆動力
とするスロットル開度の電子制御から、アクセルペダル
(とアクセルワイヤ)によるスロットル直接駆動に移行
させると同時に、電源供給を完全に遮断することが可能
である。9はマイコン出力信号(DUTY、DIR)に
基づいて、DCモータ駆動用ブリッジ回路の対角位置に
あるどちらか1組のパワートランジスタのみがオン状態
となるようにして、モータ駆動電流および電流方向を制
御するDCモータ駆動回路である。10は電磁クラッチ
駆動回路であり、マイコン8の出力信号(CLUTC
H)に基づいて、パワートランジスタをオン、オフす
る。Reference numeral 7 denotes the aforementioned throttle drive circuit and the first
The first electronic controller is also used as a system monitoring circuit. Reference numeral 8 denotes a one-chip microcomputer with a CPU, RA
It has M, ROM, digital port, A / D port and various timers. When the system is normal, the microcomputer 8 outputs a CLUTCH signal for instructing energization of the electromagnetic clutch, further calculates a target throttle opening based on various sensor signals and switch signals, and sets the actual throttle opening to this target value. In order to match, a DIR output signal indicating the forward / reverse rotation direction of the DC motor and a DUTY output signal indicating the DC motor drive current are output. When a system failure occurs (when the drive circuit or the second system monitoring circuit fails), an instruction is given to shut off the motor drive current, the clutch drive current, and the electromagnetic relay (No. 1) drive current of the self-holding relay circuit 6. It is possible to perform output and shift from electronic control of the throttle opening using the motor as the driving force to direct drive of the throttle by the accelerator pedal (and the accelerator wire), and at the same time, completely cut off the power supply. Reference numeral 9 designates, based on microcomputer output signals (DUTY, DIR), such that only one set of power transistors at diagonal positions of the DC motor driving bridge circuit is turned on, and the motor driving current and the current direction are changed. This is a DC motor drive circuit to be controlled. Reference numeral 10 denotes an electromagnetic clutch drive circuit, which outputs an output signal (CLUTC
The power transistor is turned on and off based on H).
【0010】11は第2システム監視回路として用いら
れる第2電子コントローラである。(燃料噴射制御コン
トローラ等、他の目的のコントローラと兼用してもよ
い)この第2電子コントローラ11も第1電子コントロ
ーラ7と同様に、ワンチップマイコン12と電磁リレー
駆動回路13で構成されている。第1システム監視回路
の故障検出時には、自己保持リレー回路6の電磁リレー
(No.2)駆動電流の遮断を行なう。14はスロット
ル制御用の第1電子コントローラ7と、故障監視用の第
2電子コントローラ11の間を結ぶシリアル通信線であ
って、各電子コントローラ間の相互監視に用いられ、特
に外界からの電磁波の影響を受けないように光通信用ケ
ーブルを用いる。Reference numeral 11 denotes a second electronic controller used as a second system monitoring circuit. This second electronic controller 11 may also be constituted by a one-chip microcomputer 12 and an electromagnetic relay drive circuit 13, similarly to the first electronic controller 7. . When the failure of the first system monitoring circuit is detected, the drive current of the electromagnetic relay (No. 2) of the self-holding relay circuit 6 is cut off. Reference numeral 14 denotes a serial communication line connecting the first electronic controller 7 for controlling the throttle and the second electronic controller 11 for monitoring the failure. The serial communication line 14 is used for mutual monitoring between the respective electronic controllers. Use an optical communication cable so that it is not affected.
【0011】図3は第1電子コントローラ7内のマイコ
ン8の行なう制御動作を各パート毎に示す図で、同図の
ルーチンは一定の周期(例えば10msec)ごとに実
施される。P1では、入力信号、駆動回路の出力モニタ
信号等に基づいて、センサ、アクチュエータ、入力回
路、駆動回路を含むシステム診断を行ない、故障の有無
を確認する。また、シリアル通信の受信データが所定の
プロトコルに沿ったものかをチェックして、第2電子コ
ントローラ11の故障の有無を判定する。P2では、P
1の結果に基づいて、故障がなければP4へ進み、故障
があればP3へ進む。P3では、電磁クラッチ駆動電流
のオンオフを指示するCLUTCH、モータの駆動電流
および回転方向を指示するDUTY、DIRの値をゼロ
に初期化する。また、自己保持リレー回路の電磁リレー
(No.1)への通電のオンオフを指示するFAIL1
をゼロに初期化(クリア)する。P9へ進む。P4で
は、自己保持リレー回路の電磁リレー(No.1)への
通電のオン(オフ)を指示するFAIL1を1(セッ
ト)とする。P5〜P6では、アクセル開度ACCをアク
セルセンサ3で、スロットル開度TVOをスロットルセン
サ4で読み込み、上述のマイコン8はそれらの値に基づ
いて計算する。P7では、エンジンや車両特性を考慮し
て予め定めてある、図5に示すようなアクセル開度−ス
ロットル開度対応特性図に基づいて、アクセル開度ACC
から目標スロットル開度TVORを演算する。P8へ進
む。P8では、PID制御等の公知の制御手法を用い
て、スロットル開度偏差に基づいてモータ駆動電流を指
示するデューティ比DUTYと、モータ回転方向を指示
するDIRを演算する。P9では、マイコン8の所定の
I/Oレジスタに前記のDUTY、DIR、CLUTC
H、FAIL1を書き込み、PWM(パルス幅変調)信
号、モータ回転方向指示信号、電磁クラッチ制御信号、
自己保持リレー回路制御信号などを出力する。FIG. 3 is a diagram showing a control operation performed by the microcomputer 8 in the first electronic controller 7 for each part. The routine shown in FIG. 3 is executed at a constant cycle (for example, 10 msec). In P1, a system diagnosis including a sensor, an actuator, an input circuit, and a drive circuit is performed based on an input signal, an output monitor signal of the drive circuit, and the like, and the presence or absence of a failure is confirmed. Further, it is checked whether the received data of the serial communication conforms to a predetermined protocol, and it is determined whether or not the second electronic controller 11 has a failure. In P2, P
Based on the result of 1, if there is no failure, proceed to P4, and if there is a failure, proceed to P3. In P3, the values of CLUTCH for instructing ON / OFF of the electromagnetic clutch drive current, DUTY and DIR for instructing the drive current and rotation direction of the motor are initialized to zero. FAIL1 for instructing ON / OFF of energization to the electromagnetic relay (No. 1) of the self-holding relay circuit.
Is initialized (cleared) to zero. Proceed to P9. In P4, FAIL1 for instructing on (off) of energization to the electromagnetic relay (No. 1) of the self-holding relay circuit is set to 1 (set). In P5 to P6, the accelerator opening ACC is read by the accelerator sensor 3 and the throttle opening TVO is read by the throttle sensor 4, and the microcomputer 8 calculates based on these values. In P7, the accelerator opening ACC is determined based on the accelerator opening-throttle opening correspondence characteristic diagram as shown in FIG. 5 which is predetermined in consideration of the characteristics of the engine and the vehicle.
From the target throttle opening TVOR. Proceed to P8. In P8, using a known control method such as PID control, a duty ratio DUTY indicating a motor drive current and a DIR indicating a motor rotation direction are calculated based on the throttle opening deviation. At P9, the above-mentioned DUTY, DIR, CLUTC is stored in a predetermined I / O register of the microcomputer 8.
H, writing FAIL1, PWM (pulse width modulation) signal, motor rotation direction instruction signal, electromagnetic clutch control signal,
Outputs self-holding relay circuit control signals, etc.
【0012】図4は第2電子コントローラ11のマイコ
ン12が行なう制御動作を示し、同図のルーチンは一定
の周期(例えば10msec)ごとに実施される。P1
では、シリアル通信の受信データが所定のプロトコルに
沿ったものかをチェックして、第1電子コントローラ7
の故障の有無を判定する。P2では、P1の結果に基づ
いて、故障がなければP4へ進み、故障があればP3へ
進む。P3では、自己保持リレー回路6の電磁リレー
(No.2)への通電の(オン)オフを指示するFAI
L2をゼロに初期化(クリア)する。P5へ進む。P4
では、自己保持リレー回路6の電磁リレー(No.2)
への通電のオン(オフ)を指示するFAIL2を1(セ
ット)とする。P5へ進む。P5では、マイコン12の
所定のI/Oレジスタに上記のFAIL2を書き込み、
自己保持リレー回路6の制御信号を出力する。FIG. 4 shows a control operation performed by the microcomputer 12 of the second electronic controller 11, and the routine shown in FIG. 4 is executed at regular intervals (for example, 10 msec). P1
Then, the first electronic controller 7 checks whether the received data of the serial communication conforms to a predetermined protocol.
The presence or absence of a failure is determined. In P2, based on the result of P1, if there is no failure, the process proceeds to P4, and if there is a failure, the process proceeds to P3. At P3, the FAI for instructing (on) or off the energization of the electromagnetic relay (No. 2) of the self-holding relay circuit 6
Initialize (clear) L2 to zero. Proceed to P5. P4
Then, the electromagnetic relay of the self-holding relay circuit 6 (No. 2)
FAIL2 for instructing ON (OFF) of the power supply to is set to 1 (set). Proceed to P5. At P5, the above FAIL2 is written into a predetermined I / O register of the microcomputer 12, and
The control signal of the self-holding relay circuit 6 is output.
【0013】第1実施例の作用および効果を説明する。
第1電子コントローラ7と第2電子コントローラ11が
強力な電磁波に作用された場合でも、これら両電子コン
トローラが、それぞれ、別ケース内ににシールドされ、
車両内のそれぞれ別の部位にケースが設置されている場
合には、第1電子コントローラ7と第2電子コントロー
ラ11とが、完全に同時に、誤動作するようになること
は有り得ない。従って、本実施例を用いた場合、第1電
子コントローラ7がまず誤動作した場合には、第2電子
コントローラ11が、異常を検知して、自己保持回路の
電磁リレー(No.2)をオフする。その結果、電磁リ
レー(No.3)が遮断状態となり、ドライバが再びス
タートスイッチをオンするまでは、電源の遮断状態が完
全に保持される。つまりこの後(第1電子コントローラ
7が誤動作した後)、第2電子コントローラ11も誤動
作してしまう重複故障状態になっても、電子制御システ
ムは遮断状態であり安全が確保される。逆に第2電子コ
ントローラ11が先に誤動作した場合でも同様である。The operation and effect of the first embodiment will be described.
Even when the first electronic controller 7 and the second electronic controller 11 are affected by strong electromagnetic waves, these two electronic controllers are shielded in separate cases, respectively.
When the cases are installed at different parts in the vehicle, the first electronic controller 7 and the second electronic controller 11 cannot malfunction at the same time completely. Therefore, in the case of using this embodiment, if the first electronic controller 7 malfunctions first, the second electronic controller 11 detects an abnormality and turns off the electromagnetic relay (No. 2) of the self-holding circuit. . As a result, the electromagnetic relay (No. 3) is cut off, and the cut-off state of the power supply is completely maintained until the driver turns on the start switch again. In other words, after this (after the first electronic controller 7 malfunctions), even if the second electronic controller 11 enters a double failure state in which the second electronic controller 11 malfunctions, the electronic control system is in the cutoff state and the safety is ensured. Conversely, the same applies when the second electronic controller 11 malfunctions first.
【0014】図6は、本発明実施例による場合と、従来
例による場合の動作を時間の経過に沿って比較して説明
する図で、従来例ではシステムのコントローラが双方と
も異常になった時は、電源は結局オンであるのに対し、
本実施例では両コントローラの何れかが異常になった後
は電源はオフになる、即ちフェイルセイフである。次
に、第1及び第2電子コントローラが同時に誤動作しな
いことを図8(a)により説明する。固定局からの違法
電波による強電磁界に車両が180km/hで突入した
場合、車両周辺の電磁界強度は前方から次第に強まるの
で、各電子コントローラを図7に示すように設置したと
き、車室内運転席足元付近に設置した第2電子コントロ
ーラが誤動作する電磁界強度E1に達してから、後部ト
ランクルーム内に設置した第1電子コントローラが誤動
作する電磁界強度E1に達するまでには、60ms以上
の時間差が得られる。(車体夫々による遮蔽効果の差違
は無視している。)従って、この時間差内で作動するメ
カ式リレーを用いれば、電源を確実に遮断状態に保持で
きる。FIG. 6 is a diagram for explaining the operation according to the embodiment of the present invention and the operation according to the conventional example in comparison with the passage of time. In the conventional example, when both system controllers become abnormal. Means that the power is eventually on,
In this embodiment, the power is turned off after one of the two controllers becomes abnormal, that is, fail-safe. Next, the fact that the first and second electronic controllers do not malfunction at the same time will be described with reference to FIG. When a vehicle enters a strong electromagnetic field due to an illegal radio wave from a fixed station at 180 km / h, the electromagnetic field intensity around the vehicle gradually increases from the front. Therefore, when each electronic controller is installed as shown in FIG. There is a time difference of 60 ms or more from when the electromagnetic field intensity E1 at which the second electronic controller installed near the foot of the seat malfunctions reaches the electromagnetic field intensity E1 at which the first electronic controller installed in the rear trunk room malfunctions. can get. (A difference in the shielding effect between the vehicle bodies is neglected.) Therefore, if a mechanical relay that operates within this time difference is used, the power supply can be reliably maintained in the cutoff state.
【0015】第2実施例:第1及び第2電子コントロー
ラの双方を、車室内運転席足元付近に設置する。さら
に、第1電子コントローラ(スロットル制御用)は、金
属ケースに収納して遮蔽してあり、第2電子コントロー
ラ(監視用)は、遮蔽効果のない簡易ケースに収納して
ある。(第2電子コントローラとして、例えばエアコン
用コントローラのように、それが故障しても車両走行に
影響しない危険度の低いコントローラを利用することも
可能である。)固定局からの違法電波による強電磁界に
車両が進入した場合や違法電波を発信する物体が車両に
接近した場合でも、第2電子コントローラが誤動作する
電磁界強度E1に達してから、金属ケースに収納した第
1電子コントローラが誤動作する電磁界強度E2に達す
るまでには、通常、時間差があると考えられる。図8
(b)は、第2実施例での電子コントローラ付近の電磁
界強度の時間的変化を示す。(車体夫々による遮蔽効果
の差違は無視している。)従って、この時間差が、メカ
式リレーを作動するのに必要最小限の時間以上であれ
ば、第2実施例でも第1実施例と同様な効果が得られ
る。Second Embodiment Both the first and second electronic controllers are installed near the feet of the driver's seat in the vehicle. Further, the first electronic controller (for throttle control) is housed and shielded in a metal case, and the second electronic controller (for monitoring) is housed in a simple case having no shielding effect. (It is also possible to use a controller having a low degree of risk that does not affect the vehicle running even if it breaks down, such as a controller for an air conditioner, for example, as the second electronic controller.) Strong electromagnetic field due to illegal radio waves from a fixed station Even when a vehicle enters the vehicle or an object that emits illegal radio waves approaches the vehicle, the electromagnetic field intensity E1 at which the second electronic controller malfunctions is reached before the first electronic controller housed in the metal case malfunctions. It is generally considered that there is a time lag before the field strength E2 is reached. FIG.
(B) shows a temporal change of the electromagnetic field intensity near the electronic controller in the second embodiment. (The difference in the shielding effect between the vehicle bodies is ignored.) Therefore, if this time difference is equal to or longer than the minimum time required to operate the mechanical relay, the second embodiment is the same as the first embodiment. Effects can be obtained.
【0016】第3実施例:図7に示すように第2電子コ
ントローラを車室内運転席の足元付近に設置し、第1電
子コントローラは、後部トランクルーム内に配置する。
(3m以上前後に離して設置可能。)更に、第1電子コ
ントローラ(スロットル制御用)は、金属ケースに納め
て遮蔽されており、第2電子コントローラ(監視用)
は、遮蔽効果がない簡易ケースに納めてある。(第2の
電子コントローラとしては、第2実施例同様に、それが
故障しても車両走行に影響しない危険度の低いコントロ
ーラを利用することも可能。)固定局から発信される違
法電波による強電磁界に車両が前方から180km/h
で突入した場合、車両周辺の電磁界強度は次第に強まる
ので、簡易ケースに収納された第2電子コントローラが
誤動作する電磁界強度E1に達してから、金属ケースに
収納された第1電子コントローラが誤動作する電磁界強
度E2に達するまでには、通常、60ms以上の時間差
が得られる。(車体による遮蔽効果の差異は無視。)従
って、この時間差内で作動するメカ式リレーを用いれ
ば、第1実施例以上の効果が得られる。Third Embodiment As shown in FIG. 7, the second electronic controller is installed near the foot of the driver's seat in the vehicle compartment, and the first electronic controller is installed in the rear trunk room.
(It can be installed more than 3 m apart.) Further, the first electronic controller (for throttle control) is housed in a metal case and shielded, and the second electronic controller (for monitoring)
Is housed in a simple case with no shielding effect. (A low-risk controller that does not affect the vehicle running even if it breaks down can be used as the second electronic controller as in the second embodiment.) 180km / h from front with vehicle in magnetic field
In this case, the electromagnetic field intensity around the vehicle gradually increases, so that the first electronic controller stored in the metal case malfunctions after reaching the electromagnetic field intensity E1 at which the second electronic controller stored in the simple case malfunctions. In general, a time difference of 60 ms or more is obtained until the electromagnetic field intensity E2 reaches the maximum value. (The difference in the shielding effect due to the vehicle body is ignored.) Therefore, if a mechanical relay that operates within this time difference is used, the effect more than that of the first embodiment can be obtained.
【0017】第4実施例:燃焼噴射を完全に電子制御す
る電子制御ディーゼルや、電子制御操舵装置や、電子制
御アンチロックブレーキ装置に、本発明を用いた場合
も、第1、2、3実施例とほぼ同様であり、アクチュエ
ータ駆動回路が替わるだけである。電気自動車に応用す
る場合には、機関始動用のスタートスイッチを、フェイ
ルセイフ目的に特別に備える必要がある。Fourth Embodiment: When the present invention is applied to an electronically controlled diesel engine for completely electronically controlling combustion injection, an electronically controlled steering device, and an electronically controlled antilock brake device, the first, second, and third embodiments are also applicable. This is almost the same as the example, except that the actuator drive circuit is replaced. When applied to an electric vehicle, a start switch for starting the engine needs to be specially provided for a fail-safe purpose.
【0018】[0018]
【発明の効果】以上説明したように本発明によれば、ア
クチュエータ駆動回路の故障診断および監視回路相互間
の故障診断を行う複数個の監視回路、並びに、電源とア
クチュエータ駆動回路の間に、スタートスイッチオン後
のみ導通状態が保持され、前記監視回路によりシステム
故障が検出されて遮断された時は、再びスタートスイッ
チがオンされるまで、遮断状態を保持する自己保持リレ
ーを、設ける構成としたために、低コストの簡易遮蔽ケ
ースを各監視回路に用いた場合でも、違法電波の強電磁
界を車両外から受けた時、全く同時に全ての監視回路が
故障しない限り、何れかの監視回路が異常を検知し、自
己保持回路を遮断するので、以後ドライバによりスター
トスイッチがオンされるまで、電子制御システムは電源
から遮断され、アクチュエータは作動せず、フェイルセ
イフである。As described above, according to the present invention, a plurality of monitoring circuits for diagnosing a failure of an actuator drive circuit and a failure diagnosis between monitoring circuits, and a start circuit between a power supply and an actuator drive circuit are provided. The conduction state is maintained only after the switch is turned on, and when the system failure is detected and shut down by the monitoring circuit, a self-holding relay that holds the interruption state until the start switch is turned on again is provided, so that the configuration is provided. Even if a low-cost simple shielding case is used for each monitoring circuit, any one of the monitoring circuits will detect an abnormality unless a strong electromagnetic field of illegal radio waves is received from outside the vehicle and all the monitoring circuits fail at the same time. Since the self-holding circuit is shut off, the electronic control system is shut off from the power supply until the start switch is turned on by the driver. Chueta does not operate, it is fail-safe.
【図1】非通電時結合形の第1電磁クラッチをアクセル
ペダルとスロットルバルブの間に、非通電時開放形の第
2電磁クラッチをスロットルバルブと駆動用DCモータ
の間に配置した第1実施例の電子式スロットルアクチュ
エータを示す図である。FIG. 1 shows a first embodiment in which a first electromagnetic clutch of a non-energized type is arranged between an accelerator pedal and a throttle valve, and a second electromagnetic clutch of a non-energized open type is arranged between a throttle valve and a driving DC motor. FIG. 3 is a diagram illustrating an example electronic throttle actuator.
【図2】第1実施例のシステム構成図である。FIG. 2 is a system configuration diagram of a first embodiment.
【図3】第1実施例の第1電子コントローラ内のマイコ
ンが行なう制御動作を各パート毎に示す図である。FIG. 3 is a diagram showing a control operation performed by a microcomputer in a first electronic controller of the first embodiment for each part.
【図4】第1実施例の第2電子コントローラのマイコン
が行なう制御動作を示す図である。FIG. 4 is a diagram showing a control operation performed by a microcomputer of the second electronic controller of the first embodiment.
【図5】アクセル開度−スロットル開度対応特性の例を
示す図である。FIG. 5 is a diagram showing an example of an accelerator opening-throttle opening correspondence characteristic;
【図6】本発明による場合と、従来例による場合の、電
子制御システムの動作を時間の経過に沿って比較して説
明する図である。FIG. 6 is a diagram for explaining the operation of the electronic control system in a case according to the present invention and in a case according to a conventional example in comparison with time.
【図7】第1、第2電子コントローラの配置場所の例を
示す図である。FIG. 7 is a diagram illustrating an example of an arrangement location of first and second electronic controllers.
【図8】図(a)は第1実施例での、図(b)は第2実
施例での、図(c)は第3実施例での、各電子コントロ
ーラ周辺の電磁界強度の時間的変化を示す図である。8A is a diagram of the first embodiment, FIG. 8B is a diagram of the second embodiment, and FIG. 8C is a diagram of the time of electromagnetic field intensity around each electronic controller in the third embodiment. It is a figure showing a target change.
1…スロットルバルブ 2…電子式スロットルバルブアクチュエータ 3…アクセルセンサ 4…スロットルセ
ンサ 5…スタートスイッチ 6…自己保持リレ
ー回路 7…第1電子コントローラ 8…マイコン 9…DCモータ駆動回路 10…電磁クラッチ
駆動回路 11…第2電子コントローラ 12…マイコン 13…リレー駆動回路 14…シリアル通
信線DESCRIPTION OF SYMBOLS 1 ... Throttle valve 2 ... Electronic throttle valve actuator 3 ... Accelerator sensor 4 ... Throttle sensor 5 ... Start switch 6 ... Self-holding relay circuit 7 ... 1st electronic controller 8 ... Microcomputer 9 ... DC motor drive circuit 10 ... Electromagnetic clutch drive circuit 11 ... second electronic controller 12 ... microcomputer 13 ... relay drive circuit 14 ... serial communication line
フロントページの続き (58)調査した分野(Int.Cl.7,DB名) G05B 9/02 B60T 8/96 F02D 41/22 310 F02D 45/00 372 Continuation of the front page (58) Field surveyed (Int. Cl. 7 , DB name) G05B 9/02 B60T 8/96 F02D 41/22 310 F02D 45/00 372
Claims (7)
監視し、それらの故障検出を行なう、上記第2システム
監視手段とは別個に設置された第1システム監視手段
と、 アクチュエータ駆動手段および第1システム監視手段を
監視し、それらの故障検出を行なう第2システム監視手
段と、を備え、かつ、上記第1システム監視手段と上記第2シ
ステム監視手段とは、車両内で相互に離れた場所に設置
するか若しくは一方の監視手段を他方よりも電波遮蔽効
果の大きな収納手段に収納するかの少なくとも一方の処
置を施してあり 、さらに、 運転者の操作により、トリガ信号を出力するトリガスイ
ッチ手段と、 上記トリガスイッチ手段によってのみ導通状態となり、
第1または第2システム監視手段からの故障検出信号に
より遮断状態となり、その後トリガ信号が入力されるま
で遮断状態を保持する自己保持リレー手段と、 上記自己保持リレー手段によって供給される電源によ
り、アクチュエータを駆動させるアクチュエータ駆動手
段と、 を有することを特徴とする車載電子制御システムのフェ
イルセイフ装置。A first system monitor provided separately from the second system monitoring means for monitoring a power supply means for supplying a voltage, an actuator driving means and a second system monitoring means and detecting a failure thereof; Means, and second system monitoring means for monitoring the actuator driving means and the first system monitoring means and detecting a failure thereof , and the first system monitoring means and the second system monitoring means.
Stem monitoring means is installed at a place separated from each other in the vehicle
Or use one of the monitoring means more effectively than the other.
At least one of
And a trigger switch means for outputting a trigger signal by a driver's operation, and a conductive state only by the trigger switch means,
A self-holding relay unit that is turned off by a failure detection signal from the first or second system monitoring unit and then holds the shutoff state until a trigger signal is input; and a power supply supplied by the self-holding relay unit. An actuator driving means for driving the electronic control unit, and a fail-safe device of the vehicle-mounted electronic control system.
トリガスイッチ手段とすることを特徴とする請求項1記
載の車載電子制御システムのフェイルセイフ装置。2. The fail-safe device according to claim 1, wherein a start switch for starting the engine is used as said trigger switch means.
る手段を、上記アクチュエータ駆動手段とすることを特
徴とする請求項1記載の車載電子制御システムのフェイ
ルセイフ装置。3. The on-vehicle electronic control system according to claim 1, wherein the means for electronically controlling the throttle valve opening of the internal combustion engine is the actuator driving means.
る手段を、上記アクチュエータ駆動手段とすることを特
徴とする請求項1記載の車載電子制御システムのフェイ
ルセイフ装置。4. A fail-safe device for an on-vehicle electronic control system according to claim 1, wherein the means for electronically controlling the fuel injection amount of the diesel engine is the actuator driving means.
を、上記アクチュエータ駆動手段とすることを特徴とす
る請求項1記載の車載電子制御システムのフェイルセイ
フ装置。5. The on-vehicle electronic control system according to claim 1, wherein the means for electronically controlling the steering angle of the rear wheel or the front wheel is the actuator driving means.
チュエータ駆動手段とすることを特徴とする請求項1記
載の車載電子制御システムのフェイルセイフ装置。6. A fail-safe device for an on-vehicle electronic control system according to claim 1, wherein the means for electronically controlling the brake is the actuator driving means.
上記アクチュエータ駆動手段とすることを特徴とする請
求項1記載の車載電子制御システムのフェイルセイフ装
置。7. An electric motor as a drive source of an electric vehicle,
2. The fail-safe device for an in-vehicle electronic control system according to claim 1, wherein said actuator drive means is used.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5228884A JP3042277B2 (en) | 1993-09-14 | 1993-09-14 | Fail-safe device for in-vehicle electronic control system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5228884A JP3042277B2 (en) | 1993-09-14 | 1993-09-14 | Fail-safe device for in-vehicle electronic control system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH0784602A JPH0784602A (en) | 1995-03-31 |
| JP3042277B2 true JP3042277B2 (en) | 2000-05-15 |
Family
ID=16883375
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP5228884A Expired - Lifetime JP3042277B2 (en) | 1993-09-14 | 1993-09-14 | Fail-safe device for in-vehicle electronic control system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3042277B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19933086B4 (en) * | 1999-07-15 | 2008-11-20 | Robert Bosch Gmbh | Method and device for mutual monitoring of control units |
| JP5853691B2 (en) * | 2011-12-28 | 2016-02-09 | アイシン・エィ・ダブリュ株式会社 | Vehicle control apparatus and method |
| JP5983168B2 (en) * | 2012-08-09 | 2016-08-31 | 株式会社デンソー | Fail-safe device and fail-safe system |
-
1993
- 1993-09-14 JP JP5228884A patent/JP3042277B2/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JPH0784602A (en) | 1995-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2881776B2 (en) | Throttle control device | |
| US7171946B1 (en) | Electronic throttle control apparatus | |
| US5016589A (en) | Throttle control device | |
| US5048485A (en) | Throttle control method for internal combustion engine | |
| JPS618441A (en) | Accelerator control device in vehicle internal combustion engine | |
| JP2800014B2 (en) | Throttle control device | |
| JPH01116272A (en) | Regulator for internal combustion engine | |
| JP3042277B2 (en) | Fail-safe device for in-vehicle electronic control system | |
| JP2763927B2 (en) | Automatic vehicle speed control | |
| US4995363A (en) | Throttle controller | |
| KR920006788B1 (en) | Throttle valve control unit for engine | |
| JP2962030B2 (en) | Engine fail-safe with electronic throttle control | |
| JP3073213B2 (en) | Electronic throttle fail-safe device | |
| JPH07277027A (en) | Method and device for controlling adjustable operating member in vehicle driving unit | |
| JP2910510B2 (en) | Electronic throttle control device | |
| JP2925765B2 (en) | Engine throttle valve controller | |
| JP3547619B2 (en) | Internal combustion engine control device | |
| JP2949990B2 (en) | Electronic throttle drive | |
| JPS61291225A (en) | Automatic car-speed controller | |
| JP2501718B2 (en) | Constant speed running control device | |
| JPH03290041A (en) | Throttle valve controller for internal combustion engine | |
| JPS61291224A (en) | Automatic car-speed controller | |
| JP2920920B2 (en) | Vehicle throttle control device | |
| JPH08240147A (en) | Electronically controlled fuel injection device for mobile agricultural machinery | |
| JPH05202772A (en) | Engine throttle control device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090310 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100310 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110310 Year of fee payment: 11 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110310 Year of fee payment: 11 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120310 Year of fee payment: 12 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130310 Year of fee payment: 13 |