JPH0370837A - 内燃機関の電子制御装置 - Google Patents
内燃機関の電子制御装置Info
- Publication number
- JPH0370837A JPH0370837A JP2187347A JP18734790A JPH0370837A JP H0370837 A JPH0370837 A JP H0370837A JP 2187347 A JP2187347 A JP 2187347A JP 18734790 A JP18734790 A JP 18734790A JP H0370837 A JPH0370837 A JP H0370837A
- Authority
- JP
- Japan
- Prior art keywords
- signal
- output
- subcomputer
- computer
- main computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000002485 combustion reaction Methods 0.000 title claims description 17
- 238000012544 monitoring process Methods 0.000 claims abstract description 17
- 238000012360 testing method Methods 0.000 claims description 9
- 230000007257 malfunction Effects 0.000 claims description 6
- 230000005856 abnormality Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000000034 method Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
- F02D41/266—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02B—INTERNAL-COMBUSTION PISTON ENGINES; COMBUSTION ENGINES IN GENERAL
- F02B3/00—Engines characterised by air compression and subsequent fuel addition
- F02B3/06—Engines characterised by air compression and subsequent fuel addition with compression ignition
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Chemical & Material Sciences (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Quality & Reliability (AREA)
- Combustion & Propulsion (AREA)
- Mechanical Engineering (AREA)
- Automation & Control Theory (AREA)
- Hardware Redundancy (AREA)
- Electrical Control Of Air Or Fuel Supplied To Internal-Combustion Engine (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。
め要約のデータは記録されません。
Description
【発明の詳細な説明】
[産業上の利用分野]
本発明は、内燃機関の電子制御装置に関し、さらに詳細
には内燃機関の少なくとも1つの制御可能な回路ユニッ
トや部材、例えばディーゼル噴射ポンプのアクチュエー
タにディジタル制御信号を出力する少なくとも1つの制
御出力端子を有する内燃機関の電子制御装置に関するも
のである。
には内燃機関の少なくとも1つの制御可能な回路ユニッ
トや部材、例えばディーゼル噴射ポンプのアクチュエー
タにディジタル制御信号を出力する少なくとも1つの制
御出力端子を有する内燃機関の電子制御装置に関するも
のである。
[従来の技術1
内燃機関の電子制御装置には2つのコンピュータが設け
られていることが多い。以下においては各コンピュータ
をそれぞれメインコンピュータとサブコンピュータとい
う。サブコンピュータは特にメインコンピュータの監視
を行い、メインコンピュータが故障した場合には非常機
能を遂行する。種々の制御装置の場合、サブコンピュー
タにはこの非常機能だけしか設けられていない。他の制
御装置においては、サブコンピュータは主に制御目的の
ために正常に駆動が行われている場合でもメインコンピ
ュータを支援する。この場合、2つのコンピュータのい
ずれも、他方のコンピュータが故障した場合には非常機
能を遂行することができる。
られていることが多い。以下においては各コンピュータ
をそれぞれメインコンピュータとサブコンピュータとい
う。サブコンピュータは特にメインコンピュータの監視
を行い、メインコンピュータが故障した場合には非常機
能を遂行する。種々の制御装置の場合、サブコンピュー
タにはこの非常機能だけしか設けられていない。他の制
御装置においては、サブコンピュータは主に制御目的の
ために正常に駆動が行われている場合でもメインコンピ
ュータを支援する。この場合、2つのコンピュータのい
ずれも、他方のコンピュータが故障した場合には非常機
能を遂行することができる。
サブコンピュータは、2つのコンピュータ間でデータ線
を介して交換されるデータを用いてメインコンピュータ
の監視を行う。さらに2つのコンピュータは、両コンピ
ュータによって作動されるウォッチドッグ回路によって
監視される。少なくとも一方のコンピュータがウォッチ
ドッグ回路を作動させるトリガ信号を出力している間は
、ウォッチドッグ回路は制御出力端子の前段に設けられ
たアンド回路に通過信号を出力する。ウォッチドッグ回
路からアンド回路に信号が出力されなくなると、アンド
回路は論理レベル「ゼロ」を出力する。このレベルは安
全電位に相当し、内燃機関の作動される部材を所定位置
へ移動させて、制御装置の故障がその内燃機関を搭載し
た自動車の搭乗者に危険を及ぼさないようにする。
を介して交換されるデータを用いてメインコンピュータ
の監視を行う。さらに2つのコンピュータは、両コンピ
ュータによって作動されるウォッチドッグ回路によって
監視される。少なくとも一方のコンピュータがウォッチ
ドッグ回路を作動させるトリガ信号を出力している間は
、ウォッチドッグ回路は制御出力端子の前段に設けられ
たアンド回路に通過信号を出力する。ウォッチドッグ回
路からアンド回路に信号が出力されなくなると、アンド
回路は論理レベル「ゼロ」を出力する。このレベルは安
全電位に相当し、内燃機関の作動される部材を所定位置
へ移動させて、制御装置の故障がその内燃機関を搭載し
た自動車の搭乗者に危険を及ぼさないようにする。
サブコンピュータはメインコンピュータの故障を検出す
ると、信号出力手段に以後サブコンピュータからの出力
信号を制御出力端子に出力すべきことを示す切り替え信
号を出力する。そこで問題になるのは、サブコンピュー
タが誤機能によって切り替え信号を出力する可能性があ
ることである。その場合にはメインコンピュータからの
信号は制御出力端子に出力されず、サブコンピュータが
誤機能しているにも関わらず、サブコンピュータからの
信号に切り替えられてしまう。
ると、信号出力手段に以後サブコンピュータからの出力
信号を制御出力端子に出力すべきことを示す切り替え信
号を出力する。そこで問題になるのは、サブコンピュー
タが誤機能によって切り替え信号を出力する可能性があ
ることである。その場合にはメインコンピュータからの
信号は制御出力端子に出力されず、サブコンピュータが
誤機能しているにも関わらず、サブコンピュータからの
信号に切り替えられてしまう。
[発明が解決しようとする課題1
本発明の課題は、意図しない出力信号が出力されないよ
うに可能な限り確実に監視できるように構成された。メ
インコンピュータとサブコンピュータを有する内燃機関
の電子制御装置を提供することである。
うに可能な限り確実に監視できるように構成された。メ
インコンピュータとサブコンピュータを有する内燃機関
の電子制御装置を提供することである。
[課題を解決するための手段]
上記の課題は本発明によれば、請求の範囲第1項あるい
は第3項に記載の特徴によって解決される。
は第3項に記載の特徴によって解決される。
[作用1
本発明は、特に高い信頼性を有する電子制御装置の種々
の実施例に関するものである。本発明のすべての制御装
置は次のような構成、すなわち。
の実施例に関するものである。本発明のすべての制御装
置は次のような構成、すなわち。
メインコンピュータと、
メインコンピュータを監視し、メインコンピュータが故
障の場合には非常機能を遂行するサブコンピュータと。
障の場合には非常機能を遂行するサブコンピュータと。
コンピュータを監視するウォッチドッグ回路と、
少なくとも1つの制御出力端子に2つのレベルを有する
信号を出力する信号出力手段とを備え、前記2つのレベ
ルの一方のレベルは安全電位であり、その電位が印加さ
れている間は内燃機関が安全駆動状態に維持される構成
を有する。
信号を出力する信号出力手段とを備え、前記2つのレベ
ルの一方のレベルは安全電位であり、その電位が印加さ
れている間は内燃機関が安全駆動状態に維持される構成
を有する。
このような構成において、ウォッチドッグ回路を2つ設
け、第1のウォッチドッグ回路によりメインコンピュー
タの機能を監視し、第2のウォッチドッグ回路によりサ
ブコンピュータの機能を監視するようにすると、特に有
利である。この場合、信号出力手段は、少なくともサブ
コンピュータから切り替え信号が出力され、同時にサブ
コンピュータの機能が正常であることが第2のウォッチ
ドッグ回路により検出されているという条件が満たされ
た場合に、サブコンピュータの出力信号をそれぞれの制
御出力端子に出力し、一方、前記第1と第2のウォッチ
ドッグ回路が監視しているそれぞれのコンピュータの故
障を検出した場合には各制御出力端子に安全電位を出力
するように構成されている。
け、第1のウォッチドッグ回路によりメインコンピュー
タの機能を監視し、第2のウォッチドッグ回路によりサ
ブコンピュータの機能を監視するようにすると、特に有
利である。この場合、信号出力手段は、少なくともサブ
コンピュータから切り替え信号が出力され、同時にサブ
コンピュータの機能が正常であることが第2のウォッチ
ドッグ回路により検出されているという条件が満たされ
た場合に、サブコンピュータの出力信号をそれぞれの制
御出力端子に出力し、一方、前記第1と第2のウォッチ
ドッグ回路が監視しているそれぞれのコンピュータの故
障を検出した場合には各制御出力端子に安全電位を出力
するように構成されている。
このような手段によって、サブコンピュータの機能が正
常である確率が非常に高い場合にだけ、サブコンピュー
タの信号が少なくとも1つの制御出力端子に出力される
ようになる。サブコンピュータの機能が正常であること
は、第2のウォッチドッグ回路に所定の信号が出力され
ることによって検出することができる。
常である確率が非常に高い場合にだけ、サブコンピュー
タの信号が少なくとも1つの制御出力端子に出力される
ようになる。サブコンピュータの機能が正常であること
は、第2のウォッチドッグ回路に所定の信号が出力され
ることによって検出することができる。
このような制御装置では、サブコンピュータのみがメイ
ンコンピュータの故障を検出し、一方ウオッチドッグ回
路により相変わらずメインコンピュータが正常であるこ
h出されている場合にも、サブコンピュータの出力信号
を制御出力端子に出力する。この場合、第1のウォッチ
ドッグ回路がメインコンピュータの故障を検出している
という条件が満たされた場合にだけ、サブコンピュータ
の出力信号をそれぞれの制御出力端子にが、サブコンピ
ュータがメインコンピュータの故障を検出している場合
にも、各制御出力端子に安全電位を出力するように構成
することができる。
ンコンピュータの故障を検出し、一方ウオッチドッグ回
路により相変わらずメインコンピュータが正常であるこ
h出されている場合にも、サブコンピュータの出力信号
を制御出力端子に出力する。この場合、第1のウォッチ
ドッグ回路がメインコンピュータの故障を検出している
という条件が満たされた場合にだけ、サブコンピュータ
の出力信号をそれぞれの制御出力端子にが、サブコンピ
ュータがメインコンピュータの故障を検出している場合
にも、各制御出力端子に安全電位を出力するように構成
することができる。
このように構成すると、サブコンピュータのみがメイン
コンピュータの故障を検出したときには安全電位を制御
出力端子に出力させることが可能になる(第2図構成)
。
コンピュータの故障を検出したときには安全電位を制御
出力端子に出力させることが可能になる(第2図構成)
。
また、第2のウォッチドッグ回路によりサブコンピュー
タの機能が正常であることが検出されかつ第1のウォッ
チドッグ回路によりメインコンピュータの故障が検出さ
れた場合、あるいは2つのウォッチドッグ回路によりコ
ンピュータの機能が正常であることが検出されているが
、サブコンピュータによりメインコンピュータの故障が
検出されていて制御出力端子に出力される両コンピュー
タの出力信号が一致している場合にも、サブコンピュー
タの出力信号をそれぞれの制御出力端子に出力し、一方
、両ウォッチドッグ回路により監視しているコンピュー
タの故障が検出された場合には各制御出力端子に安全電
位を出力するように構成することもできる(第3図構成
)。
タの機能が正常であることが検出されかつ第1のウォッ
チドッグ回路によりメインコンピュータの故障が検出さ
れた場合、あるいは2つのウォッチドッグ回路によりコ
ンピュータの機能が正常であることが検出されているが
、サブコンピュータによりメインコンピュータの故障が
検出されていて制御出力端子に出力される両コンピュー
タの出力信号が一致している場合にも、サブコンピュー
タの出力信号をそれぞれの制御出力端子に出力し、一方
、両ウォッチドッグ回路により監視しているコンピュー
タの故障が検出された場合には各制御出力端子に安全電
位を出力するように構成することもできる(第3図構成
)。
このような構成の制御装置によれば、両ウォッチドッグ
回路はそれぞれのコンピュータの機能が正常であること
を検出しているが、サブコンピュータはメインコンピュ
ータが故障であると判断している場合についても、本課
題を解決することができる。この制御装置においては、
サブコンピュータによりメインコンピュータの故障が検
出されている場合、制御出力端子に安全電位を出力する
のではなく、制御出力端子にコンビュータカらの出力信
号を出力させることができるが、それは2つのコンピュ
ータの出力信号が一致している場合だけである。
回路はそれぞれのコンピュータの機能が正常であること
を検出しているが、サブコンピュータはメインコンピュ
ータが故障であると判断している場合についても、本課
題を解決することができる。この制御装置においては、
サブコンピュータによりメインコンピュータの故障が検
出されている場合、制御出力端子に安全電位を出力する
のではなく、制御出力端子にコンビュータカらの出力信
号を出力させることができるが、それは2つのコンピュ
ータの出力信号が一致している場合だけである。
上記の説明から明らかなように、制御装置全体の機能を
左右するものはウォッチドッグ回路の機能である。そこ
で、好ましくは、コンピュータにより監視信号をウォッ
チドッグ回路に出力し、監視信号の出力後にウォッチド
ッグ回路の出力信号を試験するように構成する(第4図
)。試験の結果、ウォッチドッグ回路が正常に機能して
いないことが明らかになった場合に、信号出力手段から
制御出力端子に安全電位が出力される。ウォッチドッグ
回路は、従来技術の場合と同様に両コンピュータを監視
する共通のウォッチドッグ回路から構成することもでき
るが、個々のウォッチドッグ回路とすることも可能であ
る。
左右するものはウォッチドッグ回路の機能である。そこ
で、好ましくは、コンピュータにより監視信号をウォッ
チドッグ回路に出力し、監視信号の出力後にウォッチド
ッグ回路の出力信号を試験するように構成する(第4図
)。試験の結果、ウォッチドッグ回路が正常に機能して
いないことが明らかになった場合に、信号出力手段から
制御出力端子に安全電位が出力される。ウォッチドッグ
回路は、従来技術の場合と同様に両コンピュータを監視
する共通のウォッチドッグ回路から構成することもでき
るが、個々のウォッチドッグ回路とすることも可能であ
る。
コンピュータの機能が正常であると判断されている場合
でも、誤った出力信号が出力される危険は常に存在する
。このような危険に基づく誤機能を排除するために、制
御出力端子に出力される信号が少なくとも一方のコンピ
ュータによって試験され、試験された信号の値が予測さ
れる値と一致しないことが検出された場合には、安全制
御が行われる。制御出力端子に出力される信号の代わり
に、制御出力端子の信号によって作動される出力段の出
力信号を試験することも可能である。
でも、誤った出力信号が出力される危険は常に存在する
。このような危険に基づく誤機能を排除するために、制
御出力端子に出力される信号が少なくとも一方のコンピ
ュータによって試験され、試験された信号の値が予測さ
れる値と一致しないことが検出された場合には、安全制
御が行われる。制御出力端子に出力される信号の代わり
に、制御出力端子の信号によって作動される出力段の出
力信号を試験することも可能である。
なお、両コンピュータを監視する機能と出力信号が正確
であることを試験する機能は個々に用いても、あるいは
−緒に用いてもよい。安全性を高めるのに寄与するすべ
ての手段を一緒に用いると、非常に効果的である。
であることを試験する機能は個々に用いても、あるいは
−緒に用いてもよい。安全性を高めるのに寄与するすべ
ての手段を一緒に用いると、非常に効果的である。
[実施例]
以下、図面に示す実施例を用いて本発明の詳細な説明す
る6 第1図〜第4図のすべてに示す制御装置には、メインコ
ンピュータ10、メインコンピュータを監視する第1の
ウォッチドッグ回路11、サブコンピュータ12、サブ
コンピュータを監視する第2のウォッチドッグ回路13
並びにそれぞれ異なる機能を実施する回路群を有する信
号出力手段14.1が設けられている。この信号出力手
段14.1は一点鎖線で示されている。それぞれの制御
装置は内燃機関の少なくとも1つの回路ユニットを駆動
するものである。第1図では、2つの回路15.1と1
5.2が設けられている。各回路ユニットには、少なく
とも1つの制御出力端子16から制御信号が入力される
。第1図に示す制御装置には2つの制御出力端子16.
1と16.2が設けられている。上記回路ユニットは1
例えばアクチュエータを駆動する駆動回路あるいは制御
器である。前者の場合すなわちアクチュエータの駆動回
路である場合には、出力される制御信号は操作信号であ
って、後者の場合すなわち制御器である場合には目標値
信号である。異なる制御出力端子に異なる制御信号を出
力させることができる。しかし制御信号はディジタル信
号であって、従って2つのレベルを有する信号である。
る6 第1図〜第4図のすべてに示す制御装置には、メインコ
ンピュータ10、メインコンピュータを監視する第1の
ウォッチドッグ回路11、サブコンピュータ12、サブ
コンピュータを監視する第2のウォッチドッグ回路13
並びにそれぞれ異なる機能を実施する回路群を有する信
号出力手段14.1が設けられている。この信号出力手
段14.1は一点鎖線で示されている。それぞれの制御
装置は内燃機関の少なくとも1つの回路ユニットを駆動
するものである。第1図では、2つの回路15.1と1
5.2が設けられている。各回路ユニットには、少なく
とも1つの制御出力端子16から制御信号が入力される
。第1図に示す制御装置には2つの制御出力端子16.
1と16.2が設けられている。上記回路ユニットは1
例えばアクチュエータを駆動する駆動回路あるいは制御
器である。前者の場合すなわちアクチュエータの駆動回
路である場合には、出力される制御信号は操作信号であ
って、後者の場合すなわち制御器である場合には目標値
信号である。異なる制御出力端子に異なる制御信号を出
力させることができる。しかし制御信号はディジタル信
号であって、従って2つのレベルを有する信号である。
各回路ユニット15は、一方のレベルの信号が連続して
出力されたときには、その内燃機関を搭載した自動車を
安全駆動状態に維持できる状態にすることができるよう
に構成されている。安全状態が生じるレベルの電位を、
以下においては安全電位という、この電位は、それぞれ
駆動される回路ユニットI5の構成に従って、ローレベ
ルあるいはハイレベルとすることができる。
出力されたときには、その内燃機関を搭載した自動車を
安全駆動状態に維持できる状態にすることができるよう
に構成されている。安全状態が生じるレベルの電位を、
以下においては安全電位という、この電位は、それぞれ
駆動される回路ユニットI5の構成に従って、ローレベ
ルあるいはハイレベルとすることができる。
第1図に示す制御装置の信号出力手段14.1にはオア
ゲート17、アンドゲート18、切り替え装置19及び
2つの遮断アンドゲート20.1と20.2が設けられ
ている。オアゲート17には第1のウォッチドッグ回路
11と第2のウォッチドッグ回路13からの信号が入力
される。オアゲート17の出力は遮断アンドゲート20
.1と20.2の第1の入力信号となる。第1の遮断ア
ンドゲート20.1の第2の入力信号はメインコンピュ
ータの第1の出力信号HA5.1である。
ゲート17、アンドゲート18、切り替え装置19及び
2つの遮断アンドゲート20.1と20.2が設けられ
ている。オアゲート17には第1のウォッチドッグ回路
11と第2のウォッチドッグ回路13からの信号が入力
される。オアゲート17の出力は遮断アンドゲート20
.1と20.2の第1の入力信号となる。第1の遮断ア
ンドゲート20.1の第2の入力信号はメインコンピュ
ータの第1の出力信号HA5.1である。
第2の遮断アンドゲート20.2の第2の入力信号はメ
インコンピュータ10の第2の出力信号RAS、2であ
る。第1の遮断アンドゲート20、lの出力信号は第1
の制御出力端子16、】に導かれる。同様に第2の遮断
アンドゲート20.2の出力信号は第2の制御出力端子
16.2に出力される。
インコンピュータ10の第2の出力信号RAS、2であ
る。第1の遮断アンドゲート20、lの出力信号は第1
の制御出力端子16、】に導かれる。同様に第2の遮断
アンドゲート20.2の出力信号は第2の制御出力端子
16.2に出力される。
しかし、遮断アンドゲート20.lと20.2にはメイ
ンコンピュータ10が正常に機能している場合にのみそ
の出力信号HAS.HAS、2が入力される。メインコ
ンピュータ10の機能が正常でない場合には、切り替え
装置19が切り替わり、それによって遮断アンドゲート
20.1と20.2にサブコンピュータ12の出力信号
NAS、1ないしNAS、2が入力される。この切り替
えは、アントゲ−1−18から出力信号が出力された場
合に行われる。アンドゲート18の一方の入力端子には
第2のウォッチドッグ回路13の出力信号が入力され、
他方の入力端子には切り替え信号USが入力される。2
つの信号がハイレベルになると、切り替えが行われる。
ンコンピュータ10が正常に機能している場合にのみそ
の出力信号HAS.HAS、2が入力される。メインコ
ンピュータ10の機能が正常でない場合には、切り替え
装置19が切り替わり、それによって遮断アンドゲート
20.1と20.2にサブコンピュータ12の出力信号
NAS、1ないしNAS、2が入力される。この切り替
えは、アントゲ−1−18から出力信号が出力された場
合に行われる。アンドゲート18の一方の入力端子には
第2のウォッチドッグ回路13の出力信号が入力され、
他方の入力端子には切り替え信号USが入力される。2
つの信号がハイレベルになると、切り替えが行われる。
上述の機能の論理処理は、次のような手順で行われる。
2つのウォッチドッグ回路11と13のうち少なくとも
一方により、2つのコンピュータの一方が正常に機能し
ていることが示されている場合には、オアゲート17か
らハイレベルの信号が出力され、それによって2つの遮
断アンドゲート20、lと2062は導通状態に切り替
えられる。従って遮断アンドゲートの出力には、同遮断
アンドゲートのそれぞれ第2の入力端子に印加される信
号が出力される。この信号はメインコンピュータが正常
に機能している場合には、それぞれの出力信号HAS、
lないしHAS、2である。しかしサブコンピュータ1
2にデータ交換線21を介してエラー信号が入力された
り、あるいはサブコンピュータに信号が入力されなくな
って、メインコンピュータ10が故障したとサブコンピ
ュータが判断すると、サブコンピュータ12の出力信号
NAS、lないしNAS、2への切り替えが行われる。
一方により、2つのコンピュータの一方が正常に機能し
ていることが示されている場合には、オアゲート17か
らハイレベルの信号が出力され、それによって2つの遮
断アンドゲート20、lと2062は導通状態に切り替
えられる。従って遮断アンドゲートの出力には、同遮断
アンドゲートのそれぞれ第2の入力端子に印加される信
号が出力される。この信号はメインコンピュータが正常
に機能している場合には、それぞれの出力信号HAS、
lないしHAS、2である。しかしサブコンピュータ1
2にデータ交換線21を介してエラー信号が入力された
り、あるいはサブコンピュータに信号が入力されなくな
って、メインコンピュータ10が故障したとサブコンピ
ュータが判断すると、サブコンピュータ12の出力信号
NAS、lないしNAS、2への切り替えが行われる。
上述の回路にアンドゲート18が設けられていることに
よって、サブコンピュータ12から切り替え信号が出力
され、同時に第2のウォッチドッグ回路13によりサブ
コンピユータ12が正常に機能していることが検出され
た場合にのみ、切り替え信号によって切り替えが行われ
る。従来の公知の制御装置においては、サブコンピュー
タが誤動作によりメインコンピュータの機能が正常でな
いと誤認し、その後切り替えが行なわれてサブコンピュ
ータからエラーのある出力信号が出力されてしまうこと
があった。この欠点は第1図に示す制御装置においては
解決されている。
よって、サブコンピュータ12から切り替え信号が出力
され、同時に第2のウォッチドッグ回路13によりサブ
コンピユータ12が正常に機能していることが検出され
た場合にのみ、切り替え信号によって切り替えが行われ
る。従来の公知の制御装置においては、サブコンピュー
タが誤動作によりメインコンピュータの機能が正常でな
いと誤認し、その後切り替えが行なわれてサブコンピュ
ータからエラーのある出力信号が出力されてしまうこと
があった。この欠点は第1図に示す制御装置においては
解決されている。
上記の欠点は、以下に第2図を用いて説明するような原
理を使用すれば、さらに改善することができる。すなわ
ち、第2図ではサブコンピュータに設けられているウォ
ッチドッグ回路がサブコンピュータの故障を示したとき
に、サブコンピュータからの信号の出力が防止されるだ
けでなく、メインコンピュータ10に設けられているウ
ォッチドッグ回路11はメインコンピュータの機能が正
常であることを示しているにもかかわらず、サブコンピ
ュータ12がメインコンピュータ10の故障を示した場
合にも、サブコンピュータからの信号の出力は防止され
る。
理を使用すれば、さらに改善することができる。すなわ
ち、第2図ではサブコンピュータに設けられているウォ
ッチドッグ回路がサブコンピュータの故障を示したとき
に、サブコンピュータからの信号の出力が防止されるだ
けでなく、メインコンピュータ10に設けられているウ
ォッチドッグ回路11はメインコンピュータの機能が正
常であることを示しているにもかかわらず、サブコンピ
ュータ12がメインコンピュータ10の故障を示した場
合にも、サブコンピュータからの信号の出力は防止され
る。
上記の原理を実現するために、第2図に示す制御装置の
信号出力手段14.2には、第1図に示す信号出力手段
14.1における機能に加えて、さらに第2のアンドゲ
ート22が設けられている。この第2のアンドゲート2
2に、そしてこの第2のアンドゲート22だけに、オア
ゲート17とアンドゲート18の出力信号が入力される
。この場合、アンドゲート18の信号は反転されて入力
される。なお、オアゲート17とアンドゲート18の入
力信号は、第1図で説明した信号である。
信号出力手段14.2には、第1図に示す信号出力手段
14.1における機能に加えて、さらに第2のアンドゲ
ート22が設けられている。この第2のアンドゲート2
2に、そしてこの第2のアンドゲート22だけに、オア
ゲート17とアンドゲート18の出力信号が入力される
。この場合、アンドゲート18の信号は反転されて入力
される。なお、オアゲート17とアンドゲート18の入
力信号は、第1図で説明した信号である。
単純化するために、第2図においては、また第3図と第
4図においても、それぞれ制御出力端子16は1つしか
示されていない。制御出力端子にはその信号によって作
動される回路ユニット15が接続されている。同様にメ
インコンピュータlOは1つの出力信号RASのみを出
力し、サブコンピュータ12も唯一の出力信号NASを
出力するものとして図示されている。しかし、各コンピ
ュータから多数の制御出力端子に多数の制御信号を出力
する場合でも、制御装置の原理には変わりはない。
4図においても、それぞれ制御出力端子16は1つしか
示されていない。制御出力端子にはその信号によって作
動される回路ユニット15が接続されている。同様にメ
インコンピュータlOは1つの出力信号RASのみを出
力し、サブコンピュータ12も唯一の出力信号NASを
出力するものとして図示されている。しかし、各コンピ
ュータから多数の制御出力端子に多数の制御信号を出力
する場合でも、制御装置の原理には変わりはない。
上述の制御出力端子16には遮断アンドゲート20の出
力信号が入力される。遮断アンドゲート20には2つの
入力信号、特に第2のアンドゲート22の出力信号と切
り替え装置19の出力信号が入力される6第2図に示す
実施例においては、この切り替え装置19は、サブコン
ピュータ12から出力される切り替え信号USによって
切り替えられるのではなく、第1のウォッチドッグ回路
・11の出力信号によって切り替えられる。この信号が
ローレベルに下がると、切り替え装置19はメインコン
ピュータエ0の出力信号RASからサブコンピュータ1
2の出力信号NASへの切り替えを行う。
力信号が入力される。遮断アンドゲート20には2つの
入力信号、特に第2のアンドゲート22の出力信号と切
り替え装置19の出力信号が入力される6第2図に示す
実施例においては、この切り替え装置19は、サブコン
ピュータ12から出力される切り替え信号USによって
切り替えられるのではなく、第1のウォッチドッグ回路
・11の出力信号によって切り替えられる。この信号が
ローレベルに下がると、切り替え装置19はメインコン
ピュータエ0の出力信号RASからサブコンピュータ1
2の出力信号NASへの切り替えを行う。
切り替え装置I9を上述のように作動させることによっ
て、第1のウォッチドッグ回路11がメインコンピュー
タ10の機能が正常であることを検出している場合には
サブコンピュータ12の出力信号が制御出力端子16へ
出力されることはない。しかし、同時にサブコンピュー
タ12がメインコンピュータの機能の異常を検出し、従
って切り替え信号USがアンドゲート18に出力される
と、上述の回路において第2のアンドゲート22から遮
断アンドゲート20に出力される信号がローレベルに低
下し、それによって遮断アンドゲート20は制御出力端
子16にローレベルを有する信号を出力する。これは、
切り替え信号USがアンドゲート18においてウォッチ
ドッグ回路I3からの信号と結合されて、その反転信号
が第2のアンドゲートの第2の入力端子に入力されるこ
とによって行われる。
て、第1のウォッチドッグ回路11がメインコンピュー
タ10の機能が正常であることを検出している場合には
サブコンピュータ12の出力信号が制御出力端子16へ
出力されることはない。しかし、同時にサブコンピュー
タ12がメインコンピュータの機能の異常を検出し、従
って切り替え信号USがアンドゲート18に出力される
と、上述の回路において第2のアンドゲート22から遮
断アンドゲート20に出力される信号がローレベルに低
下し、それによって遮断アンドゲート20は制御出力端
子16にローレベルを有する信号を出力する。これは、
切り替え信号USがアンドゲート18においてウォッチ
ドッグ回路I3からの信号と結合されて、その反転信号
が第2のアンドゲートの第2の入力端子に入力されるこ
とによって行われる。
従って第2図に示す回路においては、2つのウォッチド
ッグ回路11と13がらの信号がな(なるか(第2のア
ンドゲート22の一方の入力がローレベルになる)、あ
るいはサブコンピュータ】2が切り替え信号USを出力
し、かつそのウォッチドッグ回路13がサブコンピュー
タ12の機能が正常であることを検出している場合に(
第2のアンドゲート22の他方の入力がローレベルにな
る)、アンドゲート20が遮断され、制御出力端子16
に安全電位が出力される。
ッグ回路11と13がらの信号がな(なるか(第2のア
ンドゲート22の一方の入力がローレベルになる)、あ
るいはサブコンピュータ】2が切り替え信号USを出力
し、かつそのウォッチドッグ回路13がサブコンピュー
タ12の機能が正常であることを検出している場合に(
第2のアンドゲート22の他方の入力がローレベルにな
る)、アンドゲート20が遮断され、制御出力端子16
に安全電位が出力される。
第3図に示す制御装置は、第2図に示す制御装置の変形
例である。第3図の場合、サブコンピュータ12が故障
し、第1のウォッチドッグ回路11からメイ・シコンピ
ユータ10の機能が正常であることが示される場合に、
必ずしも制御出力端子に安全電位が継続的に出力される
のではなく、さらにメインコンピュータIOの出力信号
HASとサブコンピュータ12の出力信号NASが一致
した場合にはディジタル信号によって制御が行われる。
例である。第3図の場合、サブコンピュータ12が故障
し、第1のウォッチドッグ回路11からメイ・シコンピ
ユータ10の機能が正常であることが示される場合に、
必ずしも制御出力端子に安全電位が継続的に出力される
のではなく、さらにメインコンピュータIOの出力信号
HASとサブコンピュータ12の出力信号NASが一致
した場合にはディジタル信号によって制御が行われる。
さらに、本実施例は第2図の実施例とは異なり、切り替
え装置19は設けられておらず、多数の論理回路によっ
て、メインコンピュータ10の出力信号HASかあるい
はサブコンピュータ12の出力信号NASが制御出力端
子16に供給され、あるいは前の段落に示す条件のもと
では両方の信号が制御出力端子に供給される。
え装置19は設けられておらず、多数の論理回路によっ
て、メインコンピュータ10の出力信号HASかあるい
はサブコンピュータ12の出力信号NASが制御出力端
子16に供給され、あるいは前の段落に示す条件のもと
では両方の信号が制御出力端子に供給される。
第3図に示す信号出力手段14.3には、メインのアン
ドゲート24.1とサブのアンドゲート24.2及び信
号オアゲート25.1と遮断オアゲート25.2(及び
第2のアンドゲート22)が設けられている。第2のア
ンドゲート22には入力信号としてオアゲート25.1
及び25.2の出力信号が入力される。信号オアゲート
25.1には上述の2つのアンドゲート24.1と24
.2の出力信号が入力信号として入力される。遮断オア
グー1−25.2には両ウォッチドッグ回路11と13
の出力信号が入力信号として入力される。さらに第1の
ウォッチドッグ回路11の出力信号はメインのアンドゲ
ート24.lに入力信号として入力される。同様にサブ
のアンドゲート24.2には第2のウォッチドッグ回路
13の出力信号が入力信号として人力される。メインの
アンドゲート24.lの第2の入力信号はメインコンピ
ュータ10の出力信号HASであって、サブのアンドゲ
ート24,2の第2の入力信号はサブコンピュータ12
の出力信号NASである。
ドゲート24.1とサブのアンドゲート24.2及び信
号オアゲート25.1と遮断オアゲート25.2(及び
第2のアンドゲート22)が設けられている。第2のア
ンドゲート22には入力信号としてオアゲート25.1
及び25.2の出力信号が入力される。信号オアゲート
25.1には上述の2つのアンドゲート24.1と24
.2の出力信号が入力信号として入力される。遮断オア
グー1−25.2には両ウォッチドッグ回路11と13
の出力信号が入力信号として入力される。さらに第1の
ウォッチドッグ回路11の出力信号はメインのアンドゲ
ート24.lに入力信号として入力される。同様にサブ
のアンドゲート24.2には第2のウォッチドッグ回路
13の出力信号が入力信号として人力される。メインの
アンドゲート24.lの第2の入力信号はメインコンピ
ュータ10の出力信号HASであって、サブのアンドゲ
ート24,2の第2の入力信号はサブコンピュータ12
の出力信号NASである。
ここで、上述のように構成された制御装置の機能を再度
簡単に説明する。第1のウォッチドッグ回路11とサブ
コンピュータ12からメインコンピュータ10の機能が
正常であることが検出されると、メインコンピュータの
出力信号HASが制御出力端子16に出力される。第1
のウォッチドッグ回路11とサブコンピュータ12によ
りメインコンピュータ10の故障が検出された場合には
、サブコンピュータ12の出力信号NASが制御出力端
子16に出力される。両ウォッチドッグ回路11と13
がそれぞれのコンピュータ10ないし12の故障を検出
した場合には、制御出力端子16に連続的に安全電位が
出力される。さらにサブコンピュータ12はメインコン
ピュータIOの故障を検出し、それにもかかわらずウォ
ッチドッグ回路11がメインコンピュータ10の機能が
正常であることを検出した場合には、両コンピュータ1
0と12の出力HASとNASが一致した場合にだけ制
御出力端子にディジタルの出力信号が出力される。それ
以外の場合は安全電位が出力される。
簡単に説明する。第1のウォッチドッグ回路11とサブ
コンピュータ12からメインコンピュータ10の機能が
正常であることが検出されると、メインコンピュータの
出力信号HASが制御出力端子16に出力される。第1
のウォッチドッグ回路11とサブコンピュータ12によ
りメインコンピュータ10の故障が検出された場合には
、サブコンピュータ12の出力信号NASが制御出力端
子16に出力される。両ウォッチドッグ回路11と13
がそれぞれのコンピュータ10ないし12の故障を検出
した場合には、制御出力端子16に連続的に安全電位が
出力される。さらにサブコンピュータ12はメインコン
ピュータIOの故障を検出し、それにもかかわらずウォ
ッチドッグ回路11がメインコンピュータ10の機能が
正常であることを検出した場合には、両コンピュータ1
0と12の出力HASとNASが一致した場合にだけ制
御出力端子にディジタルの出力信号が出力される。それ
以外の場合は安全電位が出力される。
上記の説明から明らかなように、所望の駆動安全性に関
しては、ウォッチドッグ回路11と13が正常に機能し
ているか否かが重要になる。
しては、ウォッチドッグ回路11と13が正常に機能し
ているか否かが重要になる。
その機能が完璧であるかどうかを試験するために、第4
図に示す実施例の制御装置では、第1のウォッチドッグ
回路11の出力信号がメインコンピュータlOにフィー
ドバックされ、第2のウォッチドッグ回路13の出力信
号がサブコンピュータ12にフィードバックされるよう
に構成されている。試験プログラムにおいては、メイン
コンピュータlOは第1のウォッチドッグ回路11を作
動させるトリガ信号をストップし、その後ウォッチドッ
グ回路の出力信号が低いレベルに低下したかどうかを判
断する。低下しない場合には、第1のウォッチドッグ回
路11の機能に誤りがあることを示すものであって、そ
の後メインコンピュータ10は非常走行信号NLS、H
を信号出力手段14に出力する。この信号出力手段l4
の構成は第4図には示されていない。第4図の信号出力
手段は好ましくは第1図から第3図に説明したいずれか
の原理に従って作動する。非常走行信号NLS、I(を
出力するために、信号出力手段14は制御出力端子に安
全電位を出力するか、あるいは走行駆動を著しく制限す
るディジタル信号を出力する。それによってその自動車
のドライバーに、修理工場へ行って制御装置の修理をさ
せるようにうながす。
図に示す実施例の制御装置では、第1のウォッチドッグ
回路11の出力信号がメインコンピュータlOにフィー
ドバックされ、第2のウォッチドッグ回路13の出力信
号がサブコンピュータ12にフィードバックされるよう
に構成されている。試験プログラムにおいては、メイン
コンピュータlOは第1のウォッチドッグ回路11を作
動させるトリガ信号をストップし、その後ウォッチドッ
グ回路の出力信号が低いレベルに低下したかどうかを判
断する。低下しない場合には、第1のウォッチドッグ回
路11の機能に誤りがあることを示すものであって、そ
の後メインコンピュータ10は非常走行信号NLS、H
を信号出力手段14に出力する。この信号出力手段l4
の構成は第4図には示されていない。第4図の信号出力
手段は好ましくは第1図から第3図に説明したいずれか
の原理に従って作動する。非常走行信号NLS、I(を
出力するために、信号出力手段14は制御出力端子に安
全電位を出力するか、あるいは走行駆動を著しく制限す
るディジタル信号を出力する。それによってその自動車
のドライバーに、修理工場へ行って制御装置の修理をさ
せるようにうながす。
メインコンピュータ10が第1のウォッチドッグ回路1
1の試験をして第1のウォッチドッグ回路が故障してい
る場合に非常走行信号NLS、Hを出力するのと同様に
、サブコンピュータ12も第2のウォッチドッグ回路1
3の試験を行い、故障がある場合には非常走行信号NL
S、Nを出力する。
1の試験をして第1のウォッチドッグ回路が故障してい
る場合に非常走行信号NLS、Hを出力するのと同様に
、サブコンピュータ12も第2のウォッチドッグ回路1
3の試験を行い、故障がある場合には非常走行信号NL
S、Nを出力する。
上述の試験は、異なる2つのウォッチドッグ回路が設け
られておらず、2つのコンピュータが共通のウォッチド
ッグ回路を作動させる場合に6、実施することができる
。その場合にはメインコンピュータlOはサブコンピュ
ータ12にデータ交換線21を介して、作動信号(トリ
ガー信号)を出力しないことを伝える。その後どちらか
のコンピュータがウォッチドッグ回路の出力信号がなく
なったかどうかを検出する。なくならない場合には、非
常走行手段を作動させる。
られておらず、2つのコンピュータが共通のウォッチド
ッグ回路を作動させる場合に6、実施することができる
。その場合にはメインコンピュータlOはサブコンピュ
ータ12にデータ交換線21を介して、作動信号(トリ
ガー信号)を出力しないことを伝える。その後どちらか
のコンピュータがウォッチドッグ回路の出力信号がなく
なったかどうかを検出する。なくならない場合には、非
常走行手段を作動させる。
上記の説明から明らかなように、信号出力手段の種々の
実施例はすべて、どちらかのコンピュータが故障した場
合に確実な駆動を行わせるために用いられている。しか
し、信号出力手段自体の機能に誤りがあり、あるいは作
動される回路ユニット15が入力された信号を誤って処
理した場合には、意図したのと異なった結果をもたらす
ことがある。この種のエラーに関しても駆動安全性を高
めるために、第4図に示す制御装置は、制御出力端子1
6の出力信号をメインコンピュータ10にもサブコンピ
ュータ12にもフィードバックさせるように構成されて
いる。その場合、各コンピュータは制御出力端子16に
生じた信号が予測される信号と一致するかどうかを試験
する。そのために回路ユニット15の出力信号を2つの
コンピュータにフィードバックして、予測される信号を
比較することができる。どちらかの比較から誤りが生じ
た場合には、メインコンピュータ10ないしサブコンピ
ュータ12から阻止信号SPS、HないしSPS、Nが
出力される。この信号は回路ユニット15の後段に接続
された安全スイッチ26に入力され、安全スイッチはア
ース電位あるいはそれぞれの使用目的に応じた他の安全
電位を出力線に出力する。また、後段に接続された安全
スイッチ26の変わりに、回路ユニット15を有する出
力端子16に並列に作用する第2の接続点(第4図には
不図示)を設けることによって、例えば第1図に示すよ
うに他の出力端子を介して安全状態を得ることも可能で
ある。
実施例はすべて、どちらかのコンピュータが故障した場
合に確実な駆動を行わせるために用いられている。しか
し、信号出力手段自体の機能に誤りがあり、あるいは作
動される回路ユニット15が入力された信号を誤って処
理した場合には、意図したのと異なった結果をもたらす
ことがある。この種のエラーに関しても駆動安全性を高
めるために、第4図に示す制御装置は、制御出力端子1
6の出力信号をメインコンピュータ10にもサブコンピ
ュータ12にもフィードバックさせるように構成されて
いる。その場合、各コンピュータは制御出力端子16に
生じた信号が予測される信号と一致するかどうかを試験
する。そのために回路ユニット15の出力信号を2つの
コンピュータにフィードバックして、予測される信号を
比較することができる。どちらかの比較から誤りが生じ
た場合には、メインコンピュータ10ないしサブコンピ
ュータ12から阻止信号SPS、HないしSPS、Nが
出力される。この信号は回路ユニット15の後段に接続
された安全スイッチ26に入力され、安全スイッチはア
ース電位あるいはそれぞれの使用目的に応じた他の安全
電位を出力線に出力する。また、後段に接続された安全
スイッチ26の変わりに、回路ユニット15を有する出
力端子16に並列に作用する第2の接続点(第4図には
不図示)を設けることによって、例えば第1図に示すよ
うに他の出力端子を介して安全状態を得ることも可能で
ある。
第4図を用いて説明した安全手段は好ましくは一緒に使
用することができるが、個別に使用することもできる。
用することができるが、個別に使用することもできる。
第4図を用いて説明した手段を。
第2図あるいは第3図を用いて説明した手段と一緒に使
用すると、きわめて効果的である。
用すると、きわめて効果的である。
[発明の効果]
以上説明したように、本発明によれば、サブコンピュー
タの機能が正常である確率が非常に高い乏 場合にだけ、サブコンピュータの信号か少なくとも1つ
の制御出力端子に出力させることが可能になる。
タの機能が正常である確率が非常に高い乏 場合にだけ、サブコンピュータの信号か少なくとも1つ
の制御出力端子に出力させることが可能になる。
第1図は、サブコンピュータに設けられているウォッチ
ドッグ回路によりサブコンピュータが正常に機能してい
ると判断された場合にのみ、サブコンピュータの出力信
号を制御出力端子に出力することができるように構成さ
れた電子制御装置のブロック回路図、 第2図は、サブコンピュータに設けられているウォッチ
ドッグ回路によりサブコンピュータが正常に機能してい
ると判断され、同時にメインコンピュータに設けられて
いるウォッチドッグ回路がメインコンピュータの故障を
示す場合にのみ、サブコンピュータの出力信号を制御出
力端子に出力することができるように構成された電子制
御装置のブロック回路図、 第3図は、サブコンピュータに設けられているつオツヂ
ドッグ回路によりサブコンピュータが正常に機能してい
ると判断され、かつメインコンピュータに設けられてい
るウォッチドッグ回路がメインコンピュータの故障を示
すか、あるいはメインコンピュータとサブコンピュータ
が同一の出力信号を出力する場合にのみ、サブコンピュ
ータの出力信号を制御出力端子に出力することができる
ように構成された電子制御装置のブロック回路図。 第4図は、出力信号を監視し、得られた出力信号が予想
される出力信号と一致しない場合に、制御装置の出力端
子に安全電位を印加する構成の電子制御装置のブロック
回路図である。 10・・・メインコンピュータ 11・・・第1のウォッチドッグ回路 12・−・サブコンピュータ 13・−・第2のウォッチドッグ回路 14・・・信号出力手段 I5・・・回路ユニット 16・−・制御出力端子
ドッグ回路によりサブコンピュータが正常に機能してい
ると判断された場合にのみ、サブコンピュータの出力信
号を制御出力端子に出力することができるように構成さ
れた電子制御装置のブロック回路図、 第2図は、サブコンピュータに設けられているウォッチ
ドッグ回路によりサブコンピュータが正常に機能してい
ると判断され、同時にメインコンピュータに設けられて
いるウォッチドッグ回路がメインコンピュータの故障を
示す場合にのみ、サブコンピュータの出力信号を制御出
力端子に出力することができるように構成された電子制
御装置のブロック回路図、 第3図は、サブコンピュータに設けられているつオツヂ
ドッグ回路によりサブコンピュータが正常に機能してい
ると判断され、かつメインコンピュータに設けられてい
るウォッチドッグ回路がメインコンピュータの故障を示
すか、あるいはメインコンピュータとサブコンピュータ
が同一の出力信号を出力する場合にのみ、サブコンピュ
ータの出力信号を制御出力端子に出力することができる
ように構成された電子制御装置のブロック回路図。 第4図は、出力信号を監視し、得られた出力信号が予想
される出力信号と一致しない場合に、制御装置の出力端
子に安全電位を印加する構成の電子制御装置のブロック
回路図である。 10・・・メインコンピュータ 11・・・第1のウォッチドッグ回路 12・−・サブコンピュータ 13・−・第2のウォッチドッグ回路 14・・・信号出力手段 I5・・・回路ユニット 16・−・制御出力端子
Claims (1)
- 【特許請求の範囲】 1)メインコンピュータ(10)と、 メインコンピュータを監視し、メインコン ピュータが故障の場合には非常機能を遂行するサブコン
ピュータ(12)と、 コンピュータを監視するウォッチドッグ回路(11、1
3)と、 少なくとも1つの制御出力端子(16、 16.1、16.2)に2つのレベルを有する信号を出
力する信号出力手段(14、14.1、14.2、14
.3)とを備え、 前記2つのレベルの一方のレベルは安全電位であり、そ
の電位が印加されている間は内燃機関が安全駆動状態に
維持される内燃機関の電子制御装置において、 メインコンピュータ(10)の機能を監視する第1のウ
ォッチドッグ回路(11)が設けられ、サブコンピュー
タ(12)の機能を監視する第2のウォッチドッグ回路
(13)が設けられ、前記信号出力手段(14.1)は
、 少なくともサブコンピュータから切り替え信号が出力さ
れ、同時にサブコンピュータの機能が正常であることが
第2のウォッチドッグ回路により検出されているという
条件が満たされた場合に、サブコンピュータの出力信号
をそれぞれの制御出力端子(16.1、16.2)に出
力し、 一方、前記第1と第2のウォッチドッグ回路が監視して
いるそれぞれのコンピュータの故障を検出した場合には
各制御出力端子に安全電位を出力することを特徴とする
内燃機関の電子制御装置。 2)前記信号出力手段(14.2)はさらに、第1のウ
ォッチドッグ回路(11)がメインコンピュータ(10
)の故障を検出しているという条件が満たされた場合に
だけ、サブコンピュータ(12)の出力信号をそれぞれ
の制御出力端子(16)に出力し、 2つのウォッチドッグ回路(11、13)によりコンピ
ュータの機能が正常であることが検出されているが、サ
ブコンピュータがメインコンピュータの故障を検出して
いる場合にも、各制御出力端子に安全電位を出力するこ
とを特徴とする請求項第1項に記載の電子制御装置。 3)メインコンピュータ(10)と、 メインコンピュータを監視し、メインコン ピュータが故障の場合には非常機能を遂行するサブコン
ピュータ(12)と、 コンピュータを監視するウォッチドッグ回路(11、1
3)と、 少なくとも1つの制御出力端子(16、 16.1、16.2)に2つのレベルを有する信号を出
力する信号出力手段(14、14.1、14.2、14
.3)とを備え、 前記2つのレベルの一方のレベルは安全電位を有し、そ
の電位が印加されている間は内燃機関が安全駆動状態に
維持される内燃機関の電子制御装置において、 メインコンピュータ(10)の機能を監視する第1のウ
ォッチドッグ回路(11)が設けられ、サブコンピュー
タ(12)の機能を監視する第2のウォッチドッグ回路
(13)が設けられ、前記信号出力手段(14.3)は
、 第2のウォッチドッグ回路によりサブコン ピュータの機能が正常であることが検出されかつ第1の
ウォッチドッグ回路によりメインコンピュータの故障が
検出された場合、あるいは2つのウォッチドッグ回路に
よりコンピュータの機能が正常であることが検出されて
いるが、サブコンピュータによりメインコンピュータの
故障が検出されていて制御出力端子に出力される両コン
ピュータの出力信号が一致している場合にも、サブコン
ピュータの出力信号をそれぞれの制御出力端子(16)
に出力し、 一方、両ウォッチドッグ回路によりそれぞれ監視してい
るコンピュータの故障が検出された場合には各制御出力
端子に安全電位を出力することを特徴とする内燃機関の
電子制御装置。 4)コンピュータ(10、12)から監視信号がウォッ
チドッグ回路(11、13)に出力され、監視信号の出
力後にウォッチドッグ回路が試験され、 試験の結果、それぞれのコンピュータに設けられている
ウォッチドッグ回路が正常に機能していないことが明ら
かになった場合に、メインコンピュータ(10)あるは
サブコンピュータ (12)から安全電位が出力されることを特徴とする請
求項第1項から第3項のいずれか1項に記載の電子制御
装置。 5)制御出力端子(16)に印加される信号が、少なく
とも一方のコンピュータによって試験され、 試験した信号の値が予測される値と一致しなかった場合
には安全制御が行われることを特徴とする請求項第1項
から第4項のいずれか1項に記載の電子制御装置。 6)制御される回路ユニット(15)の出力信号が少な
くとも一方のコンピュータによって試験され、前記回路
ユニットがそれぞれの制御出力端子(16)に印加され
る信号によって作動され、試験された信号の値が予測さ
れる値と一致しない場合には、安全制御が行われること
を特徴とする請求項第1項から第5項のいずれか1項に
記載の電子制御装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19893926377 DE3926377C2 (de) | 1989-08-04 | 1989-08-04 | Elektronisches Steuergerät für eine Brennkraftmaschine |
| DE3926377.0 | 1989-08-04 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10290228A Division JP2983532B2 (ja) | 1989-08-04 | 1998-10-13 | 内燃機関の電子制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH0370837A true JPH0370837A (ja) | 1991-03-26 |
| JP2877912B2 JP2877912B2 (ja) | 1999-04-05 |
Family
ID=6386823
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2187347A Expired - Lifetime JP2877912B2 (ja) | 1989-08-04 | 1990-07-17 | 内燃機関の電子制御装置 |
| JP10290228A Expired - Lifetime JP2983532B2 (ja) | 1989-08-04 | 1998-10-13 | 内燃機関の電子制御装置 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10290228A Expired - Lifetime JP2983532B2 (ja) | 1989-08-04 | 1998-10-13 | 内燃機関の電子制御装置 |
Country Status (2)
| Country | Link |
|---|---|
| JP (2) | JP2877912B2 (ja) |
| DE (1) | DE3926377C2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06185442A (ja) * | 1992-12-22 | 1994-07-05 | Fujitsu Ten Ltd | 内燃機関の点火時期制御装置 |
| JP2012026301A (ja) * | 2010-07-20 | 2012-02-09 | Isuzu Motors Ltd | カムレスエンジン弁開閉制御装置 |
| US20120065823A1 (en) * | 2010-09-13 | 2012-03-15 | Denso Corporation | Electronic control unit for vehicles |
| CN103913988A (zh) * | 2014-04-04 | 2014-07-09 | 中国海洋石油总公司 | 一种电流模拟量信号分配器 |
| JP2018080710A (ja) * | 2016-11-14 | 2018-05-24 | 日立オートモティブシステムズ株式会社 | 変速機制御装置 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4113959A1 (de) * | 1991-04-29 | 1992-11-05 | Kloeckner Humboldt Deutz Ag | Ueberwachungseinrichtung |
| DE19919504B4 (de) * | 1999-04-29 | 2005-10-20 | Mtu Aero Engines Gmbh | Triebwerksregler, Triebwerk und Verfahren zum Regeln eines Triebwerks |
| JP2003049875A (ja) * | 2001-08-07 | 2003-02-21 | Denso Corp | 発電機及び車載機器駆動用の車両用電磁クラッチ装置 |
| JP3967599B2 (ja) * | 2002-01-28 | 2007-08-29 | 株式会社デンソー | 車両用電子制御装置 |
| JP2003333675A (ja) | 2002-05-14 | 2003-11-21 | Hitachi Ltd | 通信系制御装置およびそれの異常監視方法 |
| DE10252990B3 (de) | 2002-11-14 | 2004-04-15 | Siemens Ag | Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit |
| DE102013201702C5 (de) | 2013-02-01 | 2017-03-23 | Mtu Friedrichshafen Gmbh | Verfahren und Anordnung zur Steuerung einer Brennkraftmaschine |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3322240A1 (de) * | 1982-07-23 | 1984-01-26 | Robert Bosch Gmbh, 7000 Stuttgart | Sicherheits-notlaufeinrichtung fuer den leerlaufbetrieb von kraftfahrzeugen |
| DE3539407A1 (de) * | 1985-11-07 | 1987-05-14 | Bosch Gmbh Robert | Rechnersystem mit zwei prozessoren |
-
1989
- 1989-08-04 DE DE19893926377 patent/DE3926377C2/de not_active Expired - Lifetime
-
1990
- 1990-07-17 JP JP2187347A patent/JP2877912B2/ja not_active Expired - Lifetime
-
1998
- 1998-10-13 JP JP10290228A patent/JP2983532B2/ja not_active Expired - Lifetime
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06185442A (ja) * | 1992-12-22 | 1994-07-05 | Fujitsu Ten Ltd | 内燃機関の点火時期制御装置 |
| JP2012026301A (ja) * | 2010-07-20 | 2012-02-09 | Isuzu Motors Ltd | カムレスエンジン弁開閉制御装置 |
| US20120065823A1 (en) * | 2010-09-13 | 2012-03-15 | Denso Corporation | Electronic control unit for vehicles |
| JP2012060842A (ja) * | 2010-09-13 | 2012-03-22 | Denso Corp | 車両用電子制御装置 |
| CN103913988A (zh) * | 2014-04-04 | 2014-07-09 | 中国海洋石油总公司 | 一种电流模拟量信号分配器 |
| JP2018080710A (ja) * | 2016-11-14 | 2018-05-24 | 日立オートモティブシステムズ株式会社 | 変速機制御装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPH11190251A (ja) | 1999-07-13 |
| DE3926377A1 (de) | 1991-02-07 |
| JP2877912B2 (ja) | 1999-04-05 |
| JP2983532B2 (ja) | 1999-11-29 |
| DE3926377C2 (de) | 2003-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20060198737A1 (en) | Actuator control apparatus | |
| JPH0370837A (ja) | 内燃機関の電子制御装置 | |
| JP3255693B2 (ja) | 自動車のマルチコンピュータシステム | |
| US8340793B2 (en) | Architecture using integrated backup control and protection hardware | |
| JPS6182201A (ja) | フエイルセ−フ制御回路 | |
| EP2765045A1 (de) | Schaltung zur Steuerung eines Beschleunigungs-, Brems- und Lenksystems eines Fahrzeugs | |
| JPH05147477A (ja) | 自動車の制御装置 | |
| US7509189B2 (en) | Turbo machinery speed monitor | |
| JPS63501303A (ja) | 2つのプロセツサを有するコンピユ−タシステム | |
| JPH07506912A (ja) | 電子制御装置における障害処理方法および装置 | |
| JP2007534884A (ja) | 自動車コンポーネントの作動制御用の電子制御装置及び方法 | |
| US5448480A (en) | Fail-safe operation via controller redundancy for steering the back wheels of a road vehicle | |
| JP3970196B2 (ja) | エンジン用吸気量制御装置及びエンジン用吸気量制御方法 | |
| JPH07293320A (ja) | 電子制御装置 | |
| GB2255422A (en) | Monitoring device for an i.c. engine control system. | |
| WO2020110652A1 (ja) | 電磁ブレーキ制御装置及び制御装置 | |
| US20060009958A1 (en) | Open-loop and closed-loop control unit | |
| JP2663982B2 (ja) | 車両用のブレーキ・ストップランプ回路 | |
| US9903300B2 (en) | Method for shutting down an electrically controlled component of a vehicle in a case of error of a processing unit controlling the component | |
| US20120078575A1 (en) | Checking of functions of a control system having components | |
| RU2538337C2 (ru) | Способ и система для управления по меньшей мере одним исполнительным органом | |
| JP2768693B2 (ja) | 2台のプロセッサを有するコンピュータシステムを監視する装置 | |
| US11949361B2 (en) | Variable speed drive for driving an electric motor and method for diagnosing the drive | |
| JP4788569B2 (ja) | 出力装置 | |
| JPH0317923A (ja) | 駆動回路の診断方式 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090122 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100122 Year of fee payment: 11 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110122 Year of fee payment: 12 |
|
| EXPY | Cancellation because of completion of term | ||
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110122 Year of fee payment: 12 |