JPH05147477A - 自動車の制御装置 - Google Patents
自動車の制御装置Info
- Publication number
- JPH05147477A JPH05147477A JP4107129A JP10712992A JPH05147477A JP H05147477 A JPH05147477 A JP H05147477A JP 4107129 A JP4107129 A JP 4107129A JP 10712992 A JP10712992 A JP 10712992A JP H05147477 A JPH05147477 A JP H05147477A
- Authority
- JP
- Japan
- Prior art keywords
- data
- microcomputer
- control device
- monitoring device
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16H—GEARING
- F16H61/00—Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
- F16H61/12—Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
- F02D41/266—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16H—GEARING
- F16H61/00—Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
- F16H61/12—Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
- F16H2061/1208—Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures with diagnostic check cycles; Monitoring of failures
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16H—GEARING
- F16H61/00—Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
- F16H61/12—Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
- F16H2061/1256—Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures characterised by the parts or units where malfunctioning was assumed or detected
- F16H2061/126—Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures characterised by the parts or units where malfunctioning was assumed or detected the failing part is the controller
- F16H2061/1268—Electric parts of the controller, e.g. a defect solenoid, wiring or microprocessor
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16H—GEARING
- F16H59/00—Control inputs to control units of change-speed-, or reversing-gearings for conveying rotary motion
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Mechanical Engineering (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
- Auxiliary Drives, Propulsion Controls, And Safety Devices (AREA)
Abstract
(57)【要約】
【目的】 自動車の制御を監視する装置において、2コ
ンピュータを有するシステムの場合よりも構造が簡単
で、同時にウォッチドッグを有するシステムよりも多数
の故障を検出することができるようにする。 【構成】 自動車の制御に必要な制御データを定める第
1の装置(マイクロコンピュータ)1を有する自動車の
制御装置において、第2の装置(監視装置)2が第1の
装置の監視に用いられる。第1の装置は第1のデータに
基づいてテスト関数に従って第2のデータを求める。第
2の装置も第1のデータに基づいてテスト関数に従って
第3のデータを求める。第1及び/あるいは第2の装置
は、第2のデータと第3のデータの比較に従って安全上
問題となる欠陥状態を識別する。
ンピュータを有するシステムの場合よりも構造が簡単
で、同時にウォッチドッグを有するシステムよりも多数
の故障を検出することができるようにする。 【構成】 自動車の制御に必要な制御データを定める第
1の装置(マイクロコンピュータ)1を有する自動車の
制御装置において、第2の装置(監視装置)2が第1の
装置の監視に用いられる。第1の装置は第1のデータに
基づいてテスト関数に従って第2のデータを求める。第
2の装置も第1のデータに基づいてテスト関数に従って
第3のデータを求める。第1及び/あるいは第2の装置
は、第2のデータと第3のデータの比較に従って安全上
問題となる欠陥状態を識別する。
Description
【0001】
【産業上の利用分野】本発明は、自動車の制御装置、更
に詳細には、自動車の制御に必要な制御データを定める
第1の装置と、第1の装置を監視する第2の装置とを有
する自動車の制御装置に関する。
に詳細には、自動車の制御に必要な制御データを定める
第1の装置と、第1の装置を監視する第2の装置とを有
する自動車の制御装置に関する。
【0002】
【従来の技術】この種の自動車の制御装置は、DE−O
S−3531198から知られている。同公報にはディ
ーゼル式内燃機関の制御装置が記載されている。この装
置はメインコンピュータと代替コンピュータを有してい
る。監視装置がメインコンピュータの欠陥(故障)を検
出すると、代替コンピュータへの切り替が行なわれる。
S−3531198から知られている。同公報にはディ
ーゼル式内燃機関の制御装置が記載されている。この装
置はメインコンピュータと代替コンピュータを有してい
る。監視装置がメインコンピュータの欠陥(故障)を検
出すると、代替コンピュータへの切り替が行なわれる。
【0003】さらに、第1のマイクロコンピュータが自
動車の制御に必要な制御データを求める装置も知られて
いる。監視装置は、第1のマイクロコンピュータが正し
く動作しているかどうかを検査する。この監視装置はマ
イクロコンピュータとして、あるいは最も簡単な場合に
はハードワイアード素子として構成することができる。
監視装置が安全上問題となる運転状態を検出した場合に
は、安全上重要な出力量が適当な安全信号を介してより
安全な値に変えられる。このことは、例えば燃料噴射を
遮断したりあるいは絞り弁を閉じたりすることを意味し
ている。
動車の制御に必要な制御データを求める装置も知られて
いる。監視装置は、第1のマイクロコンピュータが正し
く動作しているかどうかを検査する。この監視装置はマ
イクロコンピュータとして、あるいは最も簡単な場合に
はハードワイアード素子として構成することができる。
監視装置が安全上問題となる運転状態を検出した場合に
は、安全上重要な出力量が適当な安全信号を介してより
安全な値に変えられる。このことは、例えば燃料噴射を
遮断したりあるいは絞り弁を閉じたりすることを意味し
ている。
【0004】この種の監視装置は例えばDE−OS−3
240707から知られている。同公報に記載されてい
る監視装置は規則的な時間間隔で制御装置にトリガー信
号を供給する。2つのトリガーパルスの間隔が監視装置
に格納された時間間隔より長くなり、あるいは短くなっ
た場合には、監視装置は欠陥であることを検出して、そ
れに対応した処理を開始する。このような監視の考え方
は、ほぼコンピュータ全体の欠陥しか検出することはで
きない。このようなウォッチドッグでは誤りのある信号
処理を識別することは不可能である。
240707から知られている。同公報に記載されてい
る監視装置は規則的な時間間隔で制御装置にトリガー信
号を供給する。2つのトリガーパルスの間隔が監視装置
に格納された時間間隔より長くなり、あるいは短くなっ
た場合には、監視装置は欠陥であることを検出して、そ
れに対応した処理を開始する。このような監視の考え方
は、ほぼコンピュータ全体の欠陥しか検出することはで
きない。このようなウォッチドッグでは誤りのある信号
処理を識別することは不可能である。
【0005】
【発明が解決しようとする課題】本発明の課題は、冒頭
で述べた種類の自動車の制御を監視する装置において、
2コンピュータを有する装置の場合よりも構造が簡単
で、同時にウォッチドッグを有する装置よりも多数の欠
陥を検出することのできる自動車の制御装置を提供する
ことである。
で述べた種類の自動車の制御を監視する装置において、
2コンピュータを有する装置の場合よりも構造が簡単
で、同時にウォッチドッグを有する装置よりも多数の欠
陥を検出することのできる自動車の制御装置を提供する
ことである。
【0006】
【課題を解決するための手段】上記の課題を解決するた
めに、本発明によれば、自動車の制御に必要な制御デー
タを定める第1の装置と、第1の装置を監視する第2の
装置とを有する自動車の制御装置において、第1の装置
が第1のデータに基づいてテスト関数に従って第2のデ
ータを求め、第2の装置が第1のデータに基づいてテス
ト関数に従って第3のデータを求め、第1及び/あるい
は第2の装置が第2のデータと第3のデータとの比較に
従って安全上重大な欠陥状態を識別する構成を採用し
た。
めに、本発明によれば、自動車の制御に必要な制御デー
タを定める第1の装置と、第1の装置を監視する第2の
装置とを有する自動車の制御装置において、第1の装置
が第1のデータに基づいてテスト関数に従って第2のデ
ータを求め、第2の装置が第1のデータに基づいてテス
ト関数に従って第3のデータを求め、第1及び/あるい
は第2の装置が第2のデータと第3のデータとの比較に
従って安全上重大な欠陥状態を識別する構成を採用し
た。
【0007】
【作用】自動車の制御装置を監視する上述の装置は、構
造が簡単で高度の安全性を保証することができる。
造が簡単で高度の安全性を保証することができる。
【0008】本発明の好ましい実施例が、従属請求項に
記載されている。
記載されている。
【0009】
【実施例】以下、図面に示す実施例を用いて本発明を詳
細に説明する。
細に説明する。
【0010】本発明装置の基礎になっている考え方は、
マイクロコンピュータと監視装置の両方が規則的な時間
間隔で信号処理を実行し、その場合監視装置及び/ある
いはマイクロコンピュータが両結果を比較して、その比
較結果に基づいてマイクロコンピュータの動作が正常で
あるか欠陥があるかを結論付けることである。
マイクロコンピュータと監視装置の両方が規則的な時間
間隔で信号処理を実行し、その場合監視装置及び/ある
いはマイクロコンピュータが両結果を比較して、その比
較結果に基づいてマイクロコンピュータの動作が正常で
あるか欠陥があるかを結論付けることである。
【0011】実行される計算は好ましくは非常に簡単に
形成される。従ってパラレルコンピュータシステムの場
合のようにマイクロコンピュータはダブルには構成され
ておらず、監視装置によってコンピュータと同一の計算
が実行される。その場合、マイクロコンピュータも監視
装置も同一のデータに基づいて所定のテスト関数に従っ
てそれぞれ結果データを計算する。
形成される。従ってパラレルコンピュータシステムの場
合のようにマイクロコンピュータはダブルには構成され
ておらず、監視装置によってコンピュータと同一の計算
が実行される。その場合、マイクロコンピュータも監視
装置も同一のデータに基づいて所定のテスト関数に従っ
てそれぞれ結果データを計算する。
【0012】その後この結果データは比較され、この比
較に基づいて欠陥が識別される。結果データの計算に使
用されるテスト関数は通常は非常に簡単に形成され、そ
れによってわずかな計算時間しか必要とされない。
較に基づいて欠陥が識別される。結果データの計算に使
用されるテスト関数は通常は非常に簡単に形成され、そ
れによってわずかな計算時間しか必要とされない。
【0013】図1は本発明装置の概略ブロック図であ
る。符号1で示すものはコンピュータであって、第1の
装置ともいわれる。符号2で示すものは第2の装置であ
って、監視装置ともいわれる。マイクロコンピュータ1
と監視装置2はデータ線5によって互いに接続されてい
る。さらにマイクロコンピュータは入力データ線6と接
続されている。この入力データ線6から第2の入力デー
タ線65が分岐しており、この線は監視装置2へ導かれ
ている。
る。符号1で示すものはコンピュータであって、第1の
装置ともいわれる。符号2で示すものは第2の装置であ
って、監視装置ともいわれる。マイクロコンピュータ1
と監視装置2はデータ線5によって互いに接続されてい
る。さらにマイクロコンピュータは入力データ線6と接
続されている。この入力データ線6から第2の入力デー
タ線65が分岐しており、この線は監視装置2へ導かれ
ている。
【0014】マイクロコンピュータ1も監視装置2もそ
れぞれ独立した時間基準発生器3ないし4と接続されて
いる。マイクロコンピュータは駆動線9を介して信号を
論理結合装置98に出力する。論理結合装置98の第2
の入力には安全線8を介して安全信号が供給される。ま
た出力線7を介してアクチュエータ94に出力量が供給
される。
れぞれ独立した時間基準発生器3ないし4と接続されて
いる。マイクロコンピュータは駆動線9を介して信号を
論理結合装置98に出力する。論理結合装置98の第2
の入力には安全線8を介して安全信号が供給される。ま
た出力線7を介してアクチュエータ94に出力量が供給
される。
【0015】本発明の特に好ましい実施例においては、
マイクロコンピュータ1並びに監視装置2は他の論理結
合装置99と接続されている。この第2の論理結合装置
は非常線92を介して非常装置93を駆動する信号を出
力する。好ましくはこの非常装置によって燃料供給が遮
断される。
マイクロコンピュータ1並びに監視装置2は他の論理結
合装置99と接続されている。この第2の論理結合装置
は非常線92を介して非常装置93を駆動する信号を出
力する。好ましくはこの非常装置によって燃料供給が遮
断される。
【0016】内燃機関の出力を変化させるアクチュエー
タには通常マイクロコンピュータ1からアクチュエータ
を所定に調節する信号が供給される。第2の装置はマイ
クロコンピュータの機能が正確であるかを監視する。
タには通常マイクロコンピュータ1からアクチュエータ
を所定に調節する信号が供給される。第2の装置はマイ
クロコンピュータの機能が正確であるかを監視する。
【0017】マイクロコンピュータ1と監視装置2はデ
ータ線5を介して情報を交換する。好ましくは情報は直
列あるいは並列状にパルス的にコード化されたデータで
ある。伝送はマイクロコンピュータから監視装置へ1方
向にのみ行われるか、あるいは両方向に行ってもよい。
ータ線5を介して情報を交換する。好ましくは情報は直
列あるいは並列状にパルス的にコード化されたデータで
ある。伝送はマイクロコンピュータから監視装置へ1方
向にのみ行われるか、あるいは両方向に行ってもよい。
【0018】マイクロコンピュータは、入力データ線6
を介して供給された種々の運転状態に関するデータに基
づいて内燃機関のアクチュエータを制御する出力量を計
算する。出力量が特に安全上重要なものである場合に
は、マイクロコンピュータ1の機能が正確かを監視装置
2によって監視しなければならない。この種の安全上重
要な(安全性に関連した)出力量ないしアクチュエータ
は、例えば特にディーゼル内燃機関の場合の燃料調量、
外部着火式内燃機関の場合の絞り弁位置、ステアリング
やブレーキへの作用量並びに内燃機関の走行特性に影響
を与えるすべての量が挙げられる。
を介して供給された種々の運転状態に関するデータに基
づいて内燃機関のアクチュエータを制御する出力量を計
算する。出力量が特に安全上重要なものである場合に
は、マイクロコンピュータ1の機能が正確かを監視装置
2によって監視しなければならない。この種の安全上重
要な(安全性に関連した)出力量ないしアクチュエータ
は、例えば特にディーゼル内燃機関の場合の燃料調量、
外部着火式内燃機関の場合の絞り弁位置、ステアリング
やブレーキへの作用量並びに内燃機関の走行特性に影響
を与えるすべての量が挙げられる。
【0019】監視装置によって安全上問題となる運転状
態が検出された場合には、監視装置は安全信号を発生
し、この信号が安全線8を介して論理結合装置98へ伝
達される。このとき論理結合装置98は非常処理を開始
する。これにより、安全上問題となる運転状態が存在す
る場合に、アクチュエータを駆動する出力量が危険な運
転状態が発生しない値の範囲になるように調節される。
すなわち例えば燃料供給を制御する場合には、噴射すべ
き燃料量が最大許容可能な最大値に制限される。
態が検出された場合には、監視装置は安全信号を発生
し、この信号が安全線8を介して論理結合装置98へ伝
達される。このとき論理結合装置98は非常処理を開始
する。これにより、安全上問題となる運転状態が存在す
る場合に、アクチュエータを駆動する出力量が危険な運
転状態が発生しない値の範囲になるように調節される。
すなわち例えば燃料供給を制御する場合には、噴射すべ
き燃料量が最大許容可能な最大値に制限される。
【0020】図2には監視装置の構成がより詳細に示さ
れている。すでに図1に図示した構成要素には同一の参
照符号が付されている。マイクロコンピュータ1は読み
取り制御線52を介して監視装置2の第1のバッファメ
モリ11及びタイミング制御装置16と接続されてい
る。
れている。すでに図1に図示した構成要素には同一の参
照符号が付されている。マイクロコンピュータ1は読み
取り制御線52を介して監視装置2の第1のバッファメ
モリ11及びタイミング制御装置16と接続されてい
る。
【0021】バッファメモリ11のデータは第1のデー
タ線51を介してマイクロコンピュータ1へ伝達され
る。第1のバッファメモリのデータは、時間基準発生器
4と接続された自走カウンタ10から読み出される。さ
らにカウンタ10はタイミング制御装置16と接続され
ている。第1のバッファメモリ11はさらにインバータ
14を介して第2のバッファメモリ132と接続されて
いる。マイクロコンピュータ1は書き込み制御線53を
介して第2のバッファメモリ132、第3のバッファメ
モリ131及びタイミング制御装置16と接続されてい
る。マイクロコンピュータは第2のデータ線54を介し
て第3のバッファメモリ131にデータを供給する。
タ線51を介してマイクロコンピュータ1へ伝達され
る。第1のバッファメモリのデータは、時間基準発生器
4と接続された自走カウンタ10から読み出される。さ
らにカウンタ10はタイミング制御装置16と接続され
ている。第1のバッファメモリ11はさらにインバータ
14を介して第2のバッファメモリ132と接続されて
いる。マイクロコンピュータ1は書き込み制御線53を
介して第2のバッファメモリ132、第3のバッファメ
モリ131及びタイミング制御装置16と接続されてい
る。マイクロコンピュータは第2のデータ線54を介し
て第3のバッファメモリ131にデータを供給する。
【0022】比較器15は第2のバッファメモリ132
及び第3のバッファメモリ131と接続されている。比
較器15とタイミング制御装置16の出力によって論理
結合装置17に信号が供給される。論理結合装置の出力
信号により安全信号が形成される。論理結合回路98に
はこの安全信号が供給されアクチュエータを駆動する出
力量が形成される。
及び第3のバッファメモリ131と接続されている。比
較器15とタイミング制御装置16の出力によって論理
結合装置17に信号が供給される。論理結合装置の出力
信号により安全信号が形成される。論理結合回路98に
はこの安全信号が供給されアクチュエータを駆動する出
力量が形成される。
【0023】次に、この監視装置の機能を説明する。マ
イクロコンピュータは読み取り制御線52を介して読み
取り命令を第1のバッファメモリ11に出力する。その
後データ線51を介してバッファメモリ11の内容がマ
イクロコンピュータに読み込まれる。第1のバッファメ
モリ11の内容は、自走カウンタ10の内容に相当す
る。このカウンタ10は時間基準発生器4から出力され
るパルスを計数する。マイクロコンピュータは第1のバ
ッファメモリ11から読み出されたデータを反転する。
これは反転した値を計算することを意味している。これ
はデジタル信号の場合には、すべての論理値を反転する
ことを意味している。
イクロコンピュータは読み取り制御線52を介して読み
取り命令を第1のバッファメモリ11に出力する。その
後データ線51を介してバッファメモリ11の内容がマ
イクロコンピュータに読み込まれる。第1のバッファメ
モリ11の内容は、自走カウンタ10の内容に相当す
る。このカウンタ10は時間基準発生器4から出力され
るパルスを計数する。マイクロコンピュータは第1のバ
ッファメモリ11から読み出されたデータを反転する。
これは反転した値を計算することを意味している。これ
はデジタル信号の場合には、すべての論理値を反転する
ことを意味している。
【0024】書き込み制御線53を介して第3のバッフ
ァメモリ131が起動され、マイクロコンピュータが第
3のバッファメモリ131にメインコンピュータによっ
て反転された計数値を読み込ませる。マイクロコンピュ
ータにより読み込まれる計数値は読み取り工程時第1の
バッファメモリ11に格納されており、書き込み工程に
おいてはメモリ内容がインバータ14において反転され
た形にされ、第2のバッファメモリ132に格納され
る。
ァメモリ131が起動され、マイクロコンピュータが第
3のバッファメモリ131にメインコンピュータによっ
て反転された計数値を読み込ませる。マイクロコンピュ
ータにより読み込まれる計数値は読み取り工程時第1の
バッファメモリ11に格納されており、書き込み工程に
おいてはメモリ内容がインバータ14において反転され
た形にされ、第2のバッファメモリ132に格納され
る。
【0025】従って第2のバッファメモリ132には監
視装置で直接反転された値が格納されている。第3のバ
ッファメモリ131にはマイクロコンピュータで反転さ
れた値が格納される。この両方の値が比較器15で比較
される。両方の値が一致しない場合には、非常処理が導
入される。そのための安全信号は、安全上重要な出力信
号が安全な運転状態へ移るような値をとる。好ましくは
内燃機関が停止される。
視装置で直接反転された値が格納されている。第3のバ
ッファメモリ131にはマイクロコンピュータで反転さ
れた値が格納される。この両方の値が比較器15で比較
される。両方の値が一致しない場合には、非常処理が導
入される。そのための安全信号は、安全上重要な出力信
号が安全な運転状態へ移るような値をとる。好ましくは
内燃機関が停止される。
【0026】タイミング制御装置16が他の論理結合装
置17を介して安全信号に作用する。タイミング制御装
置16によって、読み取り制御信号が周期的に印加され
るかどうか、並びに1つの読み取り制御信号が印加され
てから次の書き込み制御信号が印加されるまでの間に所
定の最大時間を越えていないかどうかがチェックされ
る。そうである場合にはそれに応じた信号が出力され
る。
置17を介して安全信号に作用する。タイミング制御装
置16によって、読み取り制御信号が周期的に印加され
るかどうか、並びに1つの読み取り制御信号が印加され
てから次の書き込み制御信号が印加されるまでの間に所
定の最大時間を越えていないかどうかがチェックされ
る。そうである場合にはそれに応じた信号が出力され
る。
【0027】特に好ましい実施例においては、監視装置
とマイクロコンピュータの機能の交換も行われる。この
ことは、例えばマイクロコンピュータにカウンタが設け
られ、監視装置がマイクロコンピュータからカウンタの
値を受け取ることを意味している。また、比較器15を
マイクロコンピュータに設けるようにすることも可能で
ある。重要なことは、マイクロコンピュータと監視装置
が同一のデータを処理(反転)し、マイクロコンピュー
タ及び/あるいは監視装置が両方の結果を比較すること
である。両方の結果が互いにずれている場合に、及び/
あるいは結果が所定の期間内に得られない場合には、欠
陥のある運転状態であると判断される。
とマイクロコンピュータの機能の交換も行われる。この
ことは、例えばマイクロコンピュータにカウンタが設け
られ、監視装置がマイクロコンピュータからカウンタの
値を受け取ることを意味している。また、比較器15を
マイクロコンピュータに設けるようにすることも可能で
ある。重要なことは、マイクロコンピュータと監視装置
が同一のデータを処理(反転)し、マイクロコンピュー
タ及び/あるいは監視装置が両方の結果を比較すること
である。両方の結果が互いにずれている場合に、及び/
あるいは結果が所定の期間内に得られない場合には、欠
陥のある運転状態であると判断される。
【0028】本発明の他の実施例によれば、監視装置の
誤動作をも監視することができる。その場合には以下の
ように行われる。すなわち、マイクロコンピュータがあ
るとき誤った結果を出力しないしは所定のタイムリミッ
トを超過する。その結果、監視装置は欠陥があることを
検出する。監視装置の欠陥情報はデータ線5を介してメ
インコンピュータへ伝送される。マイクロコンピュータ
は、欠陥情報が発生しているかを調べる。システム全体
において出力量の意図しない変化が生じないようにする
ために、マイクロコンピュータが遅延時間以内に結果を
補正しないときに、さらに遅延時間をおいてから安全信
号が有効になるようにされる。
誤動作をも監視することができる。その場合には以下の
ように行われる。すなわち、マイクロコンピュータがあ
るとき誤った結果を出力しないしは所定のタイムリミッ
トを超過する。その結果、監視装置は欠陥があることを
検出する。監視装置の欠陥情報はデータ線5を介してメ
インコンピュータへ伝送される。マイクロコンピュータ
は、欠陥情報が発生しているかを調べる。システム全体
において出力量の意図しない変化が生じないようにする
ために、マイクロコンピュータが遅延時間以内に結果を
補正しないときに、さらに遅延時間をおいてから安全信
号が有効になるようにされる。
【0029】そのためには、図2に示す装置に図3に示
す装置を付加することが必要である。論理結合装置17
の出力信号が遅延素子18、論理素子20及びマイクロ
コンピュータ1に供給される。論理素子は遅延素子18
の出力信号と論理結合装置17の出力信号を結合する。
安全信号がマイクロコンピュータへフィードバックされ
ることによって、マイクロコンピュータは監視装置が正
確に動作しているかどうかをチェックすることができ
る。マイクロコンピュータが意図的に誤りのある信号を
データ線54を介して出力した場合には、安全信号は欠
陥状態を示していなければならない。遅延素子18によ
って、所定の遅延時間後に論理素子20の第2の入力に
欠陥信号が印加される。論理素子の出力には、論理結合
装置17の出力信号が比較的長い期間欠陥があることを
示している場合に初めて安全信号が出力される。それに
よって、監視装置が短時間応答する結果欠陥情報となり
従って内燃機関の出力が低下してしまわないようにする
ことができる。信号が比較的長い期間印加され、マイク
ロコンピュータが意図的に誤りのある信号を出力したの
でないことが明らかになった場合に初めてそれに応じた
安全信号が出力される。
す装置を付加することが必要である。論理結合装置17
の出力信号が遅延素子18、論理素子20及びマイクロ
コンピュータ1に供給される。論理素子は遅延素子18
の出力信号と論理結合装置17の出力信号を結合する。
安全信号がマイクロコンピュータへフィードバックされ
ることによって、マイクロコンピュータは監視装置が正
確に動作しているかどうかをチェックすることができ
る。マイクロコンピュータが意図的に誤りのある信号を
データ線54を介して出力した場合には、安全信号は欠
陥状態を示していなければならない。遅延素子18によ
って、所定の遅延時間後に論理素子20の第2の入力に
欠陥信号が印加される。論理素子の出力には、論理結合
装置17の出力信号が比較的長い期間欠陥があることを
示している場合に初めて安全信号が出力される。それに
よって、監視装置が短時間応答する結果欠陥情報となり
従って内燃機関の出力が低下してしまわないようにする
ことができる。信号が比較的長い期間印加され、マイク
ロコンピュータが意図的に誤りのある信号を出力したの
でないことが明らかになった場合に初めてそれに応じた
安全信号が出力される。
【0030】図4には本発明の処理がフローチャートを
用いて説明されている。ステップ400において第2の
時間カウンタT2がゼロにセットされ、ステップ405
で第1の時間カウンタT1がゼロにセットされる。ステ
ップ410において第1の時間カウンタT1の増分が行
なわれる。ステップ420で所定の時間しきい値TSを
越えていないことが検出された場合には、ステップ41
0が繰り返される。このループは時間カウンタがしきい
値を越えるまで繰り返される。所定の時間しきい値を越
えた場合には、マイクロコンピュータはステップ430
において監視装置のカウンタ10からそのときの計数値
Zを読み出す。
用いて説明されている。ステップ400において第2の
時間カウンタT2がゼロにセットされ、ステップ405
で第1の時間カウンタT1がゼロにセットされる。ステ
ップ410において第1の時間カウンタT1の増分が行
なわれる。ステップ420で所定の時間しきい値TSを
越えていないことが検出された場合には、ステップ41
0が繰り返される。このループは時間カウンタがしきい
値を越えるまで繰り返される。所定の時間しきい値を越
えた場合には、マイクロコンピュータはステップ430
において監視装置のカウンタ10からそのときの計数値
Zを読み出す。
【0031】次のステップ440においてマイクロコン
ピュータと監視装置2は反転された値Z1’とZ2’を
形成する(なお、「’」は反転を示す)。デジタル信号
の場合には、簡単に1を0に、0を1に置き換えること
により実現できる。この反転はマイクロコンピュータと
監視装置において同時に行われる。ステップ450にお
いて比較器15が、反転された2つの値が一致するかど
うかを検査する。
ピュータと監視装置2は反転された値Z1’とZ2’を
形成する(なお、「’」は反転を示す)。デジタル信号
の場合には、簡単に1を0に、0を1に置き換えること
により実現できる。この反転はマイクロコンピュータと
監視装置において同時に行われる。ステップ450にお
いて比較器15が、反転された2つの値が一致するかど
うかを検査する。
【0032】比較する代りに、マイクロコンピュータの
値だけを反転するようにすることもできる。次に反転さ
れた値と元の値を加算すると、加算結果は1だけを含む
値にならなければならない。
値だけを反転するようにすることもできる。次に反転さ
れた値と元の値を加算すると、加算結果は1だけを含む
値にならなければならない。
【0033】判断ステップ450において、値が同一で
あることが検出された場合には、ステップ405におい
て第1の時間カウンタT1をリセットして、新たにプロ
グラムを実行する。それに対して判断ステップ450で
値が等しくないことが検出された場合には、これはマイ
クロコンピュータの動作に誤りのあることを示してい
る。従って簡単な場合にはステップ480において欠陥
信号を出力する。これが点線で示されている。
あることが検出された場合には、ステップ405におい
て第1の時間カウンタT1をリセットして、新たにプロ
グラムを実行する。それに対して判断ステップ450で
値が等しくないことが検出された場合には、これはマイ
クロコンピュータの動作に誤りのあることを示してい
る。従って簡単な場合にはステップ480において欠陥
信号を出力する。これが点線で示されている。
【0034】好ましい実施例においては、ステップ46
0で第2の時間カウンタT2が増分される。第2の判断
ステップ470において第2の時間カウンタT2がしき
い値Sより大きいことが検出された場合に初めて、欠陥
が出力される。まだこのしきい値に達していない場合に
は、ステップ410で第1の時間カウンタT1を増分し
てプログラムを続ける。この方法によって、判断ステッ
プ450で多数回信号の非妥当性を検出した場合にのみ
欠陥があると識別することが可能になる。それによって
1回だけの誤りは除外される。
0で第2の時間カウンタT2が増分される。第2の判断
ステップ470において第2の時間カウンタT2がしき
い値Sより大きいことが検出された場合に初めて、欠陥
が出力される。まだこのしきい値に達していない場合に
は、ステップ410で第1の時間カウンタT1を増分し
てプログラムを続ける。この方法によって、判断ステッ
プ450で多数回信号の非妥当性を検出した場合にのみ
欠陥があると識別することが可能になる。それによって
1回だけの誤りは除外される。
【0035】他の実施例においては次のような処理が行
われる。監視装置2は所定の時点にテスト値の形でデー
タをマイクロコンピュータ1に出力する。マイクロコン
ピュータはこのテスト値を少なくとも1つの所定のテス
ト関数に従って処理する。それと並行して、監視装置が
対応するテスト関数でテスト値を処理する。監視装置
は、マイクロコンピュータが監視装置に結果を伝達しな
ければならないTMINとTMAX間の時間範囲を設定
する。この所定の時間範囲の間に結果が発生しないかあ
るいは誤っている場合には、監視装置によって欠陥があ
ることが識別される。
われる。監視装置2は所定の時点にテスト値の形でデー
タをマイクロコンピュータ1に出力する。マイクロコン
ピュータはこのテスト値を少なくとも1つの所定のテス
ト関数に従って処理する。それと並行して、監視装置が
対応するテスト関数でテスト値を処理する。監視装置
は、マイクロコンピュータが監視装置に結果を伝達しな
ければならないTMINとTMAX間の時間範囲を設定
する。この所定の時間範囲の間に結果が発生しないかあ
るいは誤っている場合には、監視装置によって欠陥があ
ることが識別される。
【0036】監視装置がマイクロコンピュータからの結
果を受け取ると、監視装置は新しいテスト値をマイクロ
コンピュータへ出力する。特に好ましくはテスト値は、
ランダムな選択によって求められる。そのために、独立
したカウンタがゼロから最終値まで、ないしは最終値か
らゼロまで継続的にカウントする。所定の時点で自走カ
ウンタの計数値が読み出され、テスト値として使用され
る。このような好ましい時点は、監視装置がマイクロコ
ンピュータからデータを伝達されたとき、あるいは監視
装置がマイクロコンピュータの正確な機能を識別したと
きに与えられる。
果を受け取ると、監視装置は新しいテスト値をマイクロ
コンピュータへ出力する。特に好ましくはテスト値は、
ランダムな選択によって求められる。そのために、独立
したカウンタがゼロから最終値まで、ないしは最終値か
らゼロまで継続的にカウントする。所定の時点で自走カ
ウンタの計数値が読み出され、テスト値として使用され
る。このような好ましい時点は、監視装置がマイクロコ
ンピュータからデータを伝達されたとき、あるいは監視
装置がマイクロコンピュータの正確な機能を識別したと
きに与えられる。
【0037】特に好ましくは1MHzの周波数を有する
4ビットのカウンタが選ばれる。すなわち異なる16の
テスト値を設定することができる。監視装置に結果値が
伝達されると、計数値が読み出され、新しいテスト値と
してマイクロコンピュータに伝達される。新しいテスト
値は、監視装置に結果値が伝達された場合あるいは監視
装置がマイクロコンピュータの正確な動作を識別した場
合に常に形成される。テスト値のランダムな選択は、所
定の時点においてそれぞれの計数値を新しいテスト値と
して使用することによって行われる。新しいテスト値
は、前の結果値の発生に関係する。所定の時点は、好ま
しくは結果値の読み込みとマイクロコンピュータの正常
な機能の識別との間に設けられる。
4ビットのカウンタが選ばれる。すなわち異なる16の
テスト値を設定することができる。監視装置に結果値が
伝達されると、計数値が読み出され、新しいテスト値と
してマイクロコンピュータに伝達される。新しいテスト
値は、監視装置に結果値が伝達された場合あるいは監視
装置がマイクロコンピュータの正確な動作を識別した場
合に常に形成される。テスト値のランダムな選択は、所
定の時点においてそれぞれの計数値を新しいテスト値と
して使用することによって行われる。新しいテスト値
は、前の結果値の発生に関係する。所定の時点は、好ま
しくは結果値の読み込みとマイクロコンピュータの正常
な機能の識別との間に設けられる。
【0038】この処理を明確にするために、図5のフロ
ーチャートを参照する。左半分には監視装置のプログラ
ムの流れが記載され、右半分にはマイクロコンピュータ
のプログラムが記載されている。ステップ500におい
て監視装置のプログラムが開始されて、カウンタの計数
値が読み出される。この計数値がテスト値Xとして用い
られる。
ーチャートを参照する。左半分には監視装置のプログラ
ムの流れが記載され、右半分にはマイクロコンピュータ
のプログラムが記載されている。ステップ500におい
て監視装置のプログラムが開始されて、カウンタの計数
値が読み出される。この計数値がテスト値Xとして用い
られる。
【0039】ステップ505においてテスト値がマイク
ロコンピュータへ伝送される。次に監視装置によりステ
ップ510において下方の時間限界値TMINと上方の
時間限界値TMAXが設定される。ステップ515にお
いてテスト値Xからテスト関数(テストファンクショ
ン)Fに従って結果値Yが計算される。ステップ535
においてマイクロコンピュータにテスト値Xが伝達され
る。制御データを計算する通常のプログラムの流れのな
かで、テスト値Xから関数Fに従って結果値Y1を計算
する個々の計算ステップが行なわれる。この計算はステ
ップ540にまとめられている。
ロコンピュータへ伝送される。次に監視装置によりステ
ップ510において下方の時間限界値TMINと上方の
時間限界値TMAXが設定される。ステップ515にお
いてテスト値Xからテスト関数(テストファンクショ
ン)Fに従って結果値Yが計算される。ステップ535
においてマイクロコンピュータにテスト値Xが伝達され
る。制御データを計算する通常のプログラムの流れのな
かで、テスト値Xから関数Fに従って結果値Y1を計算
する個々の計算ステップが行なわれる。この計算はステ
ップ540にまとめられている。
【0040】特に好ましくは、マイクロコンピュータの
各機能ブロックに関連してテスト関数が設けられる。ス
テップ545において結果Y1が監視装置へ引き渡され
る。監視装置はステップ520でこの値を検出する。判
断ステップ525では、監視装置によって求められた結
果Yがマイクロコンピュータによって求められた結果Y
1と一致するかどうかが調べられる。そうでない場合に
は、ブロック550で欠陥であることが識別される。結
果が正しい場合には、時間判断ステップ530で、この
結果がTMINとTMAX間の予め定められた期間内に
入力されたかどうかが調べられる。これが肯定された場
合には、ステップ500において新しい計数値がテスト
値として読み出される。
各機能ブロックに関連してテスト関数が設けられる。ス
テップ545において結果Y1が監視装置へ引き渡され
る。監視装置はステップ520でこの値を検出する。判
断ステップ525では、監視装置によって求められた結
果Yがマイクロコンピュータによって求められた結果Y
1と一致するかどうかが調べられる。そうでない場合に
は、ブロック550で欠陥であることが識別される。結
果が正しい場合には、時間判断ステップ530で、この
結果がTMINとTMAX間の予め定められた期間内に
入力されたかどうかが調べられる。これが肯定された場
合には、ステップ500において新しい計数値がテスト
値として読み出される。
【0041】本実施例においても、マイクロコンピュー
タは所定の時間間隔で誤った結果値を監視装置へ出力し
て、その機能が正常であるかどうかを監視するようにす
ることができる。
タは所定の時間間隔で誤った結果値を監視装置へ出力し
て、その機能が正常であるかどうかを監視するようにす
ることができる。
【0042】テスト関数は、通常の制御プログラムの間
に実行される。しかしテスト関数は制御データの計算に
は必要ではない。テスト関数の計算は、マイクロコンピ
ュータとその周辺のユニットの個々の要素へ分配される
ので、メモリ並びにデータバス、アドレスバスなどの外
部素子もテストすることができる。
に実行される。しかしテスト関数は制御データの計算に
は必要ではない。テスト関数の計算は、マイクロコンピ
ュータとその周辺のユニットの個々の要素へ分配される
ので、メモリ並びにデータバス、アドレスバスなどの外
部素子もテストすることができる。
【0043】特に説得力のある監視を実施することがで
きるようにするために、次のような処理が用いられる。
監視装置によって監視しようとする安全上重要な機能の
量を考えた場合に、時間的な機能の流れを非サイクル的
な指向性のある図式として表示することができる。この
種の図式の例が図6に示されている。図式のスタートの
結節点Sで監視装置のテスト値が入力され、最終の結節
点Zでは結果が監視装置に引き渡される。
きるようにするために、次のような処理が用いられる。
監視装置によって監視しようとする安全上重要な機能の
量を考えた場合に、時間的な機能の流れを非サイクル的
な指向性のある図式として表示することができる。この
種の図式の例が図6に示されている。図式のスタートの
結節点Sで監視装置のテスト値が入力され、最終の結節
点Zでは結果が監視装置に引き渡される。
【0044】各結節点には複数の稜が導かれ、これら稜
のそれぞれによって入力量が供給される。結節点はこれ
らの入力量から関数F1、F2、...F6に従って出
力量を計算し、その出力量は直接結ばれているすべての
結節点に伝達される。最終の結節点にも同様に複数の入
力量が印加される。機能の流れに誤りがない場合には、
最終の結節点から監視装置へ結果が供給される。図式内
の並列の通路はプログラムの並列な流れを示し、直列の
通路はプログラムの直列な流れを示す。
のそれぞれによって入力量が供給される。結節点はこれ
らの入力量から関数F1、F2、...F6に従って出
力量を計算し、その出力量は直接結ばれているすべての
結節点に伝達される。最終の結節点にも同様に複数の入
力量が印加される。機能の流れに誤りがない場合には、
最終の結節点から監視装置へ結果が供給される。図式内
の並列の通路はプログラムの並列な流れを示し、直列の
通路はプログラムの直列な流れを示す。
【0045】マイクロコンピュータ内での制御量の計算
も、このような図式に従って行われる。制御量の計算に
使用される図式は同一の構造、すなわち同一の配置の結
節点と稜を有する。結果の計算は他の関数に従って行わ
れる。制御量を計算する各関数に関連して、制御機能の
間あるいはその前後に実行されるテスト関数が設けられ
る。個々のテスト関数F1、F2、...F6を適当に
選択する場合には、マイクロコンピュータの一部機能の
欠陥も確実に検出することができる。監視装置におい
て、同様に結果の計算がこの図式とテスト関数を用いて
行われる。マイクロコンピュータが正しく動作している
場合には、この2つの結果が一致する。
も、このような図式に従って行われる。制御量の計算に
使用される図式は同一の構造、すなわち同一の配置の結
節点と稜を有する。結果の計算は他の関数に従って行わ
れる。制御量を計算する各関数に関連して、制御機能の
間あるいはその前後に実行されるテスト関数が設けられ
る。個々のテスト関数F1、F2、...F6を適当に
選択する場合には、マイクロコンピュータの一部機能の
欠陥も確実に検出することができる。監視装置におい
て、同様に結果の計算がこの図式とテスト関数を用いて
行われる。マイクロコンピュータが正しく動作している
場合には、この2つの結果が一致する。
【0046】マイクロコンピュータ1と監視装置2は種
々の方法で互いに結合することができる。監視装置とマ
イクロコンピュータを結合する異なる3つの方法が図7
に示されている。
々の方法で互いに結合することができる。監視装置とマ
イクロコンピュータを結合する異なる3つの方法が図7
に示されている。
【0047】メモリ素子50、ゲートアレイ40及びマ
イクロコンピュータ1などの種々の素子がデータ/アド
レスバス55を介して互いに接続されている。ゲートア
レイは、種々の論理回路を実現する集積電子回路であ
る。ゲートアレイは好ましくはアドレスの復号と冗長な
信号検出に用いられる。図7(a)に示す実施例におい
ては監視装置2はシリアルインターフェイス45を介し
て直接マイクロコンピュータと結合されている。この構
成によれば、テスト時にデータ/アドレスバスを使用し
ないという利点が得られる。
イクロコンピュータ1などの種々の素子がデータ/アド
レスバス55を介して互いに接続されている。ゲートア
レイは、種々の論理回路を実現する集積電子回路であ
る。ゲートアレイは好ましくはアドレスの復号と冗長な
信号検出に用いられる。図7(a)に示す実施例におい
ては監視装置2はシリアルインターフェイス45を介し
て直接マイクロコンピュータと結合されている。この構
成によれば、テスト時にデータ/アドレスバスを使用し
ないという利点が得られる。
【0048】図7(b)に示す実施例においては、監視
装置はデータ/アドレスバスと接続されており、このバ
スを介してマイクロコンピュータとデータを交換する。
それによって、大きなハードウエアコストを伴う低速の
シリアルインターフェイスを必要としないという利点が
得られる。更にマイクロコンピュータ側にもシリアルイ
ンターフェースが不要になる。
装置はデータ/アドレスバスと接続されており、このバ
スを介してマイクロコンピュータとデータを交換する。
それによって、大きなハードウエアコストを伴う低速の
シリアルインターフェイスを必要としないという利点が
得られる。更にマイクロコンピュータ側にもシリアルイ
ンターフェースが不要になる。
【0049】図7(c)に示す他の実施例においては、
ゲートアレイ2と監視装置1がユニットを形成してい
る。それによって、図7(b)に示す実施例に比べて、
素子の数が少ないので故障率が減少するという利点が得
られる。
ゲートアレイ2と監視装置1がユニットを形成してい
る。それによって、図7(b)に示す実施例に比べて、
素子の数が少ないので故障率が減少するという利点が得
られる。
【0050】図8には本発明装置の主要な構成要素が概
略図示されている。図8(a)に示すように、マイクロ
コンピュータはそれぞれ一つの導線を介して監視装置2
及び非常装置93と結合されている。監視装置2は2本
の導線を介して結合装置98と接続されており、アクチ
ュエータ94にはこの結合装置から出力線7を介して出
力量が供給される。
略図示されている。図8(a)に示すように、マイクロ
コンピュータはそれぞれ一つの導線を介して監視装置2
及び非常装置93と結合されている。監視装置2は2本
の導線を介して結合装置98と接続されており、アクチ
ュエータ94にはこの結合装置から出力線7を介して出
力量が供給される。
【0051】この実施例においてはマイクロコンピュー
タと監視装置は、マイクロコンピュータがその時どのプ
ログラム部分を実行しているかを時間的に検出してい
る。マイクロコンピュータは出力量を監視装置へ出力
し、監視装置はそれを直接結合装置98へ伝達する。監
視装置が、マクロコンピュータの動作が正しくないこと
を検出した場合には、欠陥状態が存在する旨の信号を結
合装置98に出力する。この信号が存在する場合には、
非常処理が開始される。非常装置を介してマイクロコン
ピュータは他の構成要素とは無関係に内燃機関を停止さ
せることができる。非常装置は好ましくは燃料供給を遮
断する。
タと監視装置は、マイクロコンピュータがその時どのプ
ログラム部分を実行しているかを時間的に検出してい
る。マイクロコンピュータは出力量を監視装置へ出力
し、監視装置はそれを直接結合装置98へ伝達する。監
視装置が、マクロコンピュータの動作が正しくないこと
を検出した場合には、欠陥状態が存在する旨の信号を結
合装置98に出力する。この信号が存在する場合には、
非常処理が開始される。非常装置を介してマイクロコン
ピュータは他の構成要素とは無関係に内燃機関を停止さ
せることができる。非常装置は好ましくは燃料供給を遮
断する。
【0052】図8(b)に示す装置は図8(a)に示す
装置とは異なり、欠陥状態があればそれを結合装置へ伝
達する監視装置2の出力線8に計数装置(カウンタ)9
7が接続される。この計数装置97は、何回欠陥状態が
発生したかを計数する。この計数装置は所定の計数値に
達してから初めて欠陥状態に関する信号を出力する。
装置とは異なり、欠陥状態があればそれを結合装置へ伝
達する監視装置2の出力線8に計数装置(カウンタ)9
7が接続される。この計数装置97は、何回欠陥状態が
発生したかを計数する。この計数装置は所定の計数値に
達してから初めて欠陥状態に関する信号を出力する。
【0053】非常処理は、監視装置が第1の装置の欠陥
状態を多数回検出してから初めて開始される。
状態を多数回検出してから初めて開始される。
【0054】図8(c)に示す実施例は図8(b)に示
す実施例とは異なり、カウンタ97は監視装置に内蔵さ
れ、かつ監視装置と一体のユニットを形成している。
す実施例とは異なり、カウンタ97は監視装置に内蔵さ
れ、かつ監視装置と一体のユニットを形成している。
【0055】他の実施例によれば、マイクロコンピュー
タは所定の時間間隔で、例えばプログラムカウンタのそ
のときの値などの所定のデータを監視装置に伝達する。
監視装置は、そのデータが所定の目標データと一致する
かどうか、及びそれが所定の時点で存在するかどうかを
調べる。
タは所定の時間間隔で、例えばプログラムカウンタのそ
のときの値などの所定のデータを監視装置に伝達する。
監視装置は、そのデータが所定の目標データと一致する
かどうか、及びそれが所定の時点で存在するかどうかを
調べる。
【0056】上記目標データと時点は監視装置において
固定的に設定してもよく、あるいは全初期化の間にマイ
クロコンピュータによって予め設定することもできる。
さらに監視装置に事象(イベント)を特徴づける情報が
供給されかつ時間間隔が対応する事象に関係している場
合には、その事象に基づく動作を監視することができ
る。このことは、マイクロコンピュータがプログラムカ
ウンタによって定められる機能を実行することを意味し
ている。監視装置は、マイクロコンピュータが正しい時
点で正しい機能を実行するかどうか、かつその機能が所
定の時間内に実行されたかどうかを調べる。
固定的に設定してもよく、あるいは全初期化の間にマイ
クロコンピュータによって予め設定することもできる。
さらに監視装置に事象(イベント)を特徴づける情報が
供給されかつ時間間隔が対応する事象に関係している場
合には、その事象に基づく動作を監視することができ
る。このことは、マイクロコンピュータがプログラムカ
ウンタによって定められる機能を実行することを意味し
ている。監視装置は、マイクロコンピュータが正しい時
点で正しい機能を実行するかどうか、かつその機能が所
定の時間内に実行されたかどうかを調べる。
【0057】監視装置のメモリ72には、図9に示すよ
うに、目標データとそれに関連する時点(期間)を有す
るテーブルが格納されている。マイクロコンピュータは
メモリに格納されている時点にデータ線54を介してテ
ストデータを監視装置へ書き込む。目標データとテスト
データは比較器21で互いに比較される。タイミング回
路22はテストデータの発生の時点を監視する。タイミ
ング回路は、テストデータが所定の期間内に発生したか
どうかを調べる。データが尚早にあるいは遅れて発生し
た場合には、これは欠陥状態であることを意味してい
る。
うに、目標データとそれに関連する時点(期間)を有す
るテーブルが格納されている。マイクロコンピュータは
メモリに格納されている時点にデータ線54を介してテ
ストデータを監視装置へ書き込む。目標データとテスト
データは比較器21で互いに比較される。タイミング回
路22はテストデータの発生の時点を監視する。タイミ
ング回路は、テストデータが所定の期間内に発生したか
どうかを調べる。データが尚早にあるいは遅れて発生し
た場合には、これは欠陥状態であることを意味してい
る。
【0058】テストデータが目標データと一致せず、か
つ/あるいは上記期間を上回ったかあるいは下回った場
合には、監視回路23はそれに対応した安全信号を安全
線8を介して出力する。両データが一致した場合には、
メモリの次の値が処理される。メモリは好ましくはRA
Mメモリとして形成され、このRAMメモリはリングカ
ウンタとして形成されたカウンタ74によってアドレス
され、電源オン時にマイクロコンピュータによって初期
化される。
つ/あるいは上記期間を上回ったかあるいは下回った場
合には、監視回路23はそれに対応した安全信号を安全
線8を介して出力する。両データが一致した場合には、
メモリの次の値が処理される。メモリは好ましくはRA
Mメモリとして形成され、このRAMメモリはリングカ
ウンタとして形成されたカウンタ74によってアドレス
され、電源オン時にマイクロコンピュータによって初期
化される。
【0059】メモリに例えば制御プログラムの所定の時
点におけるマイクロコンピュータのプログラムカウンタ
の値とこれらの時点間におけるプログラム動作時間の最
大値を格納しておけば、監視装置を用いてプログラムの
流れをチェックすることができる。この場合には左の欄
に許容最大計算時間、右の欄に対応するプログラム命令
が格納される。それに対応して事象により制御される流
れも監視することができる。その場合には、所定の事象
後所定の期間内に他の事象が発生したかどうかが調べら
れる。すなわち例えば回転数信号の信号端部が変わった
場合には所定の期間内に新たに信号端部の変化が発生し
なければならない。
点におけるマイクロコンピュータのプログラムカウンタ
の値とこれらの時点間におけるプログラム動作時間の最
大値を格納しておけば、監視装置を用いてプログラムの
流れをチェックすることができる。この場合には左の欄
に許容最大計算時間、右の欄に対応するプログラム命令
が格納される。それに対応して事象により制御される流
れも監視することができる。その場合には、所定の事象
後所定の期間内に他の事象が発生したかどうかが調べら
れる。すなわち例えば回転数信号の信号端部が変わった
場合には所定の期間内に新たに信号端部の変化が発生し
なければならない。
【0060】他の実施例によれば、例えば回転数センサ
信号など特に安全上重要な入力信号はマイクロコンピュ
ータと監視装置に並列に供給され、かつ互いに独立して
検出される。マイクロコンピュータと監視装置には、第
1のデータとして1つあるいは複数のセンサの出力信号
が供給される。その後マイクロコンピュータと監視装置
によって検出されたデータの比較が行われる。そのため
に、好ましくは監視装置によって検出されたデータがマ
イクロコンピュータに供給され、そこで処理される。
信号など特に安全上重要な入力信号はマイクロコンピュ
ータと監視装置に並列に供給され、かつ互いに独立して
検出される。マイクロコンピュータと監視装置には、第
1のデータとして1つあるいは複数のセンサの出力信号
が供給される。その後マイクロコンピュータと監視装置
によって検出されたデータの比較が行われる。そのため
に、好ましくは監視装置によって検出されたデータがマ
イクロコンピュータに供給され、そこで処理される。
【0061】このようなシステムの他の実施例において
は、1つのセンサだけでなく2つのセンサが使用され
る。その場合、マイクロコンピュータに関連して本来の
回転数センサが、また監視装置に関連して補助回転数セ
ンサが設けられる。その場合にさらに、監視装置及び/
あるいはマイクロコンピュータが限界値を監視し、測定
値が限界値外であるかを調べるようにすることもでき
る。
は、1つのセンサだけでなく2つのセンサが使用され
る。その場合、マイクロコンピュータに関連して本来の
回転数センサが、また監視装置に関連して補助回転数セ
ンサが設けられる。その場合にさらに、監視装置及び/
あるいはマイクロコンピュータが限界値を監視し、測定
値が限界値外であるかを調べるようにすることもでき
る。
【0062】このようなシステムを実現するために、図
10を参照することができる。マイクロコンピュータ1
と監視装置2が導線61を介して不図示のセンサと接続
されている。センサ信号は、時間基準発生器3ないし4
と接続された周期及び/あるいは周波数測定装置24な
いし25に印加される。監視装置2はデータ線51を介
してマイクロコンピュータ1と接続されている。周期測
定装置25とデータ線51は比較ユニット26に接続さ
れている。比較ユニット26の出力信号は遮断素子27
に導かれる。遮断素子の第2の入力には操作量が供給さ
れる。
10を参照することができる。マイクロコンピュータ1
と監視装置2が導線61を介して不図示のセンサと接続
されている。センサ信号は、時間基準発生器3ないし4
と接続された周期及び/あるいは周波数測定装置24な
いし25に印加される。監視装置2はデータ線51を介
してマイクロコンピュータ1と接続されている。周期測
定装置25とデータ線51は比較ユニット26に接続さ
れている。比較ユニット26の出力信号は遮断素子27
に導かれる。遮断素子の第2の入力には操作量が供給さ
れる。
【0063】監視装置2の周期測定装置24の出力信号
はデータ線51を介してマイクロコンピュータと限界値
比較器28に出力される。限界値比較器は2つのバッフ
ァメモリ29及び30と接続されている。これらバッフ
ァメモリは導線54を介してマイクロコンピュータと接
続される。
はデータ線51を介してマイクロコンピュータと限界値
比較器28に出力される。限界値比較器は2つのバッフ
ァメモリ29及び30と接続されている。これらバッフ
ァメモリは導線54を介してマイクロコンピュータと接
続される。
【0064】センサ信号が導線61を介してマイクロコ
ンピュータ並びに監視装置へ供給される。そこで時間基
準発生器3ないし4を用いてそれぞれ周期及び/あるい
は周波数測定装置24ないし25により測定が行なわれ
る。監視装置の測定結果はデータ線51を介してマイク
ロコンピュータに伝達され、比較ユニット26において
マイクロコンピュータの測定結果と比較される。一致し
ない場合には、安全上重要な出力信号は遮断素子27を
介して遮断される。監視装置では、周期測定装置24の
測定結果が限界値比較器28において上方の限界値MA
X及び下方の限界値MINと比較される。測定結果がこ
の限界値内にない場合には、安全上重要な出力信号は安
全信号を介して遮断される。バッファメモリ29、30
に格納されている限界値MAXないしMINは、マイク
ロコンピュータによって導線54を介して任意に設定す
ることができる。
ンピュータ並びに監視装置へ供給される。そこで時間基
準発生器3ないし4を用いてそれぞれ周期及び/あるい
は周波数測定装置24ないし25により測定が行なわれ
る。監視装置の測定結果はデータ線51を介してマイク
ロコンピュータに伝達され、比較ユニット26において
マイクロコンピュータの測定結果と比較される。一致し
ない場合には、安全上重要な出力信号は遮断素子27を
介して遮断される。監視装置では、周期測定装置24の
測定結果が限界値比較器28において上方の限界値MA
X及び下方の限界値MINと比較される。測定結果がこ
の限界値内にない場合には、安全上重要な出力信号は安
全信号を介して遮断される。バッファメモリ29、30
に格納されている限界値MAXないしMINは、マイク
ロコンピュータによって導線54を介して任意に設定す
ることができる。
【0065】
【発明の効果】以上の説明から明らかなように、本発明
によれば、自動車の制御を監視する装置において、2コ
ンピュータを有する装置の場合よりも構造が簡単で、同
時にウォッチドッグを有する装置よりも多数の欠陥を検
出することができる。
によれば、自動車の制御を監視する装置において、2コ
ンピュータを有する装置の場合よりも構造が簡単で、同
時にウォッチドッグを有する装置よりも多数の欠陥を検
出することができる。
【図1】本発明装置の概略構成を示すブロック図であ
る。
る。
【図2】監視装置の詳細な構成を示すブロック図であ
る。
る。
【図3】図2に示す装置を補足する回路のブロック図で
ある。
ある。
【図4】本発明での処理を説明するフローチャート図で
ある。
ある。
【図5】本発明での処理を説明するフローチャート図で
ある。
ある。
【図6】本発明での処理を説明するフローチャート図で
ある。
ある。
【図7】(a)〜(c)は監視装置とマイクロコンピュ
ータを結合する種々の方法を説明するブロック図であ
る。
ータを結合する種々の方法を説明するブロック図であ
る。
【図8】(a)〜(c)は主要な構成要素の配置を概略
図示するブロック図である。
図示するブロック図である。
【図9】他の実施例の主要な構成要素の配置を示すブロ
ック図である。
ック図である。
【図10】他の実施例の詳細なブロック図である。
1 マイクロコンピュータ 2 監視装置 10 カウンタ 14 インバータ 24、25 周期測定装置 26 比較ユニット 27 遮断素子 29、30 バッファメモリ 93 非常装置 94 アクチュエータ 98 論理結合装置
フロントページの続き (72)発明者 デイーター ハル ドイツ連邦共和国 7141 シユヴイーバー デインゲン シユタムハイマーシユトラー セ 9 (72)発明者 ミヒヤエル キルシユナー ドイツ連邦共和国 7140 ルートヴイツヒ スブルクアルトビユルテンベルクアレー 19 (72)発明者 ヴエルナー ツインマーマン ドイツ連邦共和国 7000 シユトウツトガ ルト 40 ドロイゼシユトラーセ 9ベー (72)発明者 ヨアヒム ベルガー ドイツ連邦共和国 7065 ヴインターバツ ハ フアルケンシユトラーセ 11 (72)発明者 マルテイン グローサー ドイツ連邦共和国 7000 シユトウツトガ ルト 1ブルーメンシユトラーセ 44 (72)発明者 デイーター シエア ドイツ連邦共和国 7129 イルスフエルト ツアーバーゴイシユトラーセ 10 (72)発明者 ヴオルフ ヴエツセル ドイツ連邦共和国 7141 オーバーリーキ シンゲンミユールシユトラーセ 27 (72)発明者 ヴオルフガング ビツテインガー オーストリア国 1150 ウイーン キユツ ヒエルベツケルク 4/20 (72)発明者 ヴオルフガング デイツトリツヒ オーストリア国 1130 ウイーン ライテ ンヴアルトプラツツ 7 (72)発明者 フエリツクス フオルスター オーストリア国 1100 ウイーン ラクセ ンブルガーシユトラーセ 100/5/4 (72)発明者 シユテフアン ポレドウナ オーストリア国 1020 ウイーン ウンテ レ アウガルテンシユトラーセ 36/17 (72)発明者 カール ハインツ シユミツト オーストリア国 7400 オーベルヴアルト ウンテレ ホツホシユトラーセ 25
Claims (18)
- 【請求項1】 自動車の制御に必要な制御データを定め
る第1の装置と、第1の装置を監視する第2の装置とを
有する自動車の制御装置において、 第1の装置が第1のデータに基づいてテスト関数に従っ
て第2のデータを求め、第2の装置が第1のデータに基
づいてテスト関数に従って第3のデータを求め、第1及
び/あるいは第2の装置が第2のデータと第3のデータ
との比較に従って安全上重大な欠陥状態を識別すること
を特徴とする自動車の制御装置。 - 【請求項2】 第1と第2の装置が第1のデータに基づ
いてそれぞれ第2と第3のデータを求め、第2と第3の
データが一致せずかつ/あるいは所定の時点で得られな
いときに第1及び/あるいは第2の装置が欠陥状態を識
別することを特徴とする請求項1に記載の自動車の制御
装置。 - 【請求項3】 第1のデータが第1あるいは第2の装置
のカウンタの値によって求められることを特徴とする請
求項1あるいは2に記載の自動車の制御装置。 - 【請求項4】 第1及び/あるいは第2の装置がそれぞ
れ第1のデータの反転値を形成することを特徴とする請
求項1から3のいずれか1項に記載の自動車の制御装
置。 - 【請求項5】 第1の装置は、随時誤りのある第2のデ
ータを出力し第2の装置を検査することを特徴とする請
求項1から4のいずれか1項に記載の自動車の制御装
置。 - 【請求項6】 第1の装置は所定の時点で第2の装置へ
所定のデータを伝達し、第2の装置はデータの値が正し
いか並びにその時間間隔が正確であるかをチェックする
ことを特徴とする請求項1から5のいずれか1項に記載
の自動車の制御装置。 - 【請求項7】 第1のデータがプログラムカウンタのそ
のときの値を示すことを特徴とする請求項6に記載の自
動車の制御装置。 - 【請求項8】 第1の装置と第2の装置が安全上重要な
データを検出する1つのセンサと接続されることを特徴
とする請求項1から7のいずれか1項に記載の自動車の
制御装置。 - 【請求項9】 安全上重要な信号を検出する少なくとも
2つのセンサが設けられ、第1の装置と第2の装置がそ
れぞれ1つのセンサと接続されることを特徴とする請求
項8に記載の自動車の制御装置。 - 【請求項10】 2つのセンサのうち一方のセンサが冗
長な信号を検出することを特徴とする請求項8あるいは
9に記載の自動車の制御装置。 - 【請求項11】 第1の装置及び/あるいは第2の装置
がセンサの出力信号を検出し、第1の装置及び/あるい
は第2の装置が2つのセンサの信号を比較して、ずれが
ある場合には欠陥が識別されることを特徴とする請求項
8から10のいずれか1項に記載の自動車の制御装置。 - 【請求項12】 第1及び/あるいは第2の装置はセン
サの信号が所定の範囲にあるかどうかを監視することを
特徴とする請求項8から11のいずれか1項に記載の自
動車の制御装置。 - 【請求項13】 第1のデータがランダムな選択によっ
て設定されることを特徴とする請求項1から12のいず
れか1項に記載の自動車の制御装置。 - 【請求項14】 第1の装置が第2の装置へ第2のデー
タを伝達したときにカウンタの計数値が読み出され、こ
の計数値が第1のデータとして使用されることを特徴と
する請求項13に記載の自動車の制御装置。 - 【請求項15】 第1と第2の装置がシリアルインター
フェイスあるいはデータ/アドレスバスを介して互いに
データを交換することを特徴とする請求項1から14の
いずれか1項に記載の自動車の制御装置。 - 【請求項16】 第2の装置がゲートアレイと共に1つ
のユニットを形成することを特徴とする請求項1から1
5のいずれか1項に記載の自動車の制御装置。 - 【請求項17】 第2の装置が第1の装置の欠陥状態を
少なくとも1回検出したときに、非常走行処理が開始さ
れることを特徴とする請求項1から16のいずれか1項
に記載の自動車の制御装置。 - 【請求項18】 第1の装置の欠陥状態を計数する計数
手段が設けられ、欠陥状態が多数回検出された後に初め
て非常走行処理が開始されることを特徴とする請求項1
7に記載の自動車の制御装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE4114999.8 | 1991-05-08 | ||
| DE4114999A DE4114999C2 (de) | 1991-05-08 | 1991-05-08 | System zur Steuerung eines Kraftfahrzeuges |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH05147477A true JPH05147477A (ja) | 1993-06-15 |
| JP3330971B2 JP3330971B2 (ja) | 2002-10-07 |
Family
ID=6431227
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10712992A Expired - Lifetime JP3330971B2 (ja) | 1991-05-08 | 1992-04-27 | 自動車の制御装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US5436837A (ja) |
| EP (1) | EP0512240B1 (ja) |
| JP (1) | JP3330971B2 (ja) |
| DE (2) | DE4114999C2 (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1026058A2 (en) | 1999-02-01 | 2000-08-09 | Nissin Kogyo Co., Ltd. | Apparatus and method for diagnosing a wheel speed input system in a vehicle motion control apparatus |
| KR20020031646A (ko) * | 2000-10-20 | 2002-05-03 | 이계안 | 전자제어유닛 모니터링/매칭 방법 |
| JP2003020985A (ja) * | 2001-07-06 | 2003-01-24 | Hitachi Ltd | エンジン制御装置 |
| JP2009132281A (ja) * | 2007-11-30 | 2009-06-18 | Mitsubishi Electric Corp | ステアリング制御装置 |
| JP2010235116A (ja) * | 2010-06-22 | 2010-10-21 | Mitsubishi Electric Corp | ステアリング制御装置 |
| US7826962B2 (en) | 2005-06-23 | 2010-11-02 | Denso Corporation | Electronic control apparatus |
| KR101325498B1 (ko) * | 2011-10-31 | 2013-11-07 | 주식회사 현대케피코 | 차량의 고속 주행 중 의도하지 않은 저단 변속 및 후진 기어 변속을 방지 하기 위한 모니터링 시스템 |
| JP2015010498A (ja) * | 2013-06-27 | 2015-01-19 | 株式会社デンソー | 燃料噴射制御装置 |
| JP2022006244A (ja) * | 2020-06-24 | 2022-01-13 | 三菱電機株式会社 | 車載電子制御装置 |
Families Citing this family (60)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2880364B2 (ja) * | 1993-02-25 | 1999-04-05 | 株式会社日立製作所 | 自動車用エンジン制御装置 |
| DE4400079C2 (de) * | 1994-01-04 | 1997-01-30 | Bosch Gmbh Robert | Verfahren zur Prüfung von elektronischen Steuergeräten |
| DE4425254A1 (de) * | 1994-07-16 | 1996-01-18 | Telefunken Microelectron | Datenübertragungsverfahren in einem Echtzeitdatenverarbeitungssystem |
| DE4436371B4 (de) * | 1994-10-12 | 2006-07-27 | Robert Bosch Gmbh | Vorrichtung und Verfahren zur Steuerung einer Brennkraftmaschine |
| JP3358412B2 (ja) * | 1995-12-04 | 2002-12-16 | トヨタ自動車株式会社 | 車両用電子制御装置 |
| DE19609242A1 (de) * | 1996-03-09 | 1997-09-11 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung einer Antriebseinheit eines Fahrzeugs |
| DE19622041C2 (de) * | 1996-05-31 | 1998-03-26 | Siemens Ag | Verfahren zur Überwachung einer Recheneinheit |
| US5673668A (en) * | 1996-08-05 | 1997-10-07 | Ford Global Technologies, Inc. | Method and apparatus for electronic throttle monitoring |
| DE19640432C2 (de) * | 1996-09-30 | 2002-09-26 | Siemens Ag | Verfahren zum Überwachen einer Brennkraftmaschine |
| DE19653551C1 (de) * | 1996-12-20 | 1998-02-05 | Siemens Ag | Verfahren zur Überprüfung der Funktionsfähigkeit einer Recheneinheit |
| DE19653429C2 (de) * | 1996-12-20 | 1998-10-15 | Siemens Ag | Verfahren zur Überprüfung der Funktionsfähigkeit einer Recheneinheit |
| DE19731972C2 (de) * | 1997-07-24 | 2001-11-22 | Siemens Ag | Verfahren zum Steuern einer Brennkraftmaschine |
| DE19743463A1 (de) | 1997-10-01 | 1999-04-08 | Itt Mfg Enterprises Inc | Verfahren zur Fehlerkennung von Mikroprozessoren in Steuergeräten eines Kfz. |
| DE19749068B4 (de) * | 1997-11-06 | 2005-03-10 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren |
| JP2000029734A (ja) * | 1998-07-13 | 2000-01-28 | Nissan Motor Co Ltd | Cpu異常監視システム |
| DE19902031A1 (de) * | 1999-01-20 | 2000-07-27 | Bosch Gmbh Robert | Steuergerät zur Steuerung sicherheitskritischer Anwendungen |
| DE19944939C1 (de) * | 1999-09-20 | 2001-08-30 | Mannesmann Vdo Ag | Steuergerät für ein Kraftfahrzeug |
| DE10006206A1 (de) | 2000-02-11 | 2001-08-30 | Daimler Chrysler Ag | Elektronisches Steuersystem |
| DE10041888A1 (de) * | 2000-08-25 | 2002-03-07 | Hella Kg Hueck & Co | Steuergerät für ein Fahrzeug |
| DE10063449B4 (de) | 2000-12-20 | 2018-07-12 | Robert Bosch Gmbh | Steuergerät mit einer Konsistenzüberwachung von Interrupts und ein Verfahren zur Durchführung einer Konsistenzüberwachung von Interrupts bei einem Steuergerät |
| US6580974B2 (en) | 2001-06-08 | 2003-06-17 | Robert Bosch Gmbh | Method and apparatus for monitoring the control of operational sequences in a vehicle |
| JP4727896B2 (ja) | 2001-06-27 | 2011-07-20 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | システムの機能性の監視方法,その監視装置,メモリ素子,コンピュータプログラム |
| JP2003099120A (ja) | 2001-06-27 | 2003-04-04 | Robert Bosch Gmbh | システムの機能性の監視方法,その監視装置,メモリ素子,コンピュータプログラム |
| DE10220811B4 (de) * | 2001-06-27 | 2016-09-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems |
| DE10163655A1 (de) | 2001-12-21 | 2003-07-03 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung einer Funktionseinheit eines Kraftfahrzeugs |
| DE10200242B4 (de) | 2002-01-05 | 2006-01-05 | Robert Bosch Gmbh | Verfahren zur Funktionsüberwachung eines Steuergeräts |
| JP3818218B2 (ja) * | 2002-05-22 | 2006-09-06 | トヨタ自動車株式会社 | 車両用電子制御装置 |
| DE10236080A1 (de) | 2002-08-07 | 2004-02-19 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug |
| DE10303383A1 (de) * | 2003-01-29 | 2004-08-05 | Zf Lenksysteme Gmbh | Verfahren und Vorrichtung zur Überwachung des sicheren Betriebs einer Funktionseinheit in einem Kraftfahrzeug |
| DE10310422A1 (de) * | 2003-03-11 | 2004-09-23 | Zf Friedrichshafen Ag | Verfahren zur Vernetzung von Regelungs- und/oder Steuerungsfunktionen für ein Kraftfahrzeug |
| DE10351019A1 (de) * | 2003-10-31 | 2005-06-30 | P21 - Power For The 21St Century Gmbh | Verfahren zum Steuern und/oder Regeln wenigstens eines Aggregats in einem technischen System sowie technisches System |
| US7406370B2 (en) * | 2004-08-24 | 2008-07-29 | Honeywell International Inc. | Electrical energy management system on a more electric vehicle |
| US7426099B2 (en) * | 2005-06-30 | 2008-09-16 | Continental Automotive Systems Us, Inc. | Controller method, apparatus and article suitable for electric drive |
| US7367918B2 (en) * | 2005-11-08 | 2008-05-06 | Zf Friedrichshafen Ag | Method for self-configuring automated mechanical transmission and electronic controller |
| US7859392B2 (en) | 2006-05-22 | 2010-12-28 | Iwi, Inc. | System and method for monitoring and updating speed-by-street data |
| US9067565B2 (en) | 2006-05-22 | 2015-06-30 | Inthinc Technology Solutions, Inc. | System and method for evaluating driver behavior |
| US7899610B2 (en) | 2006-10-02 | 2011-03-01 | Inthinc Technology Solutions, Inc. | System and method for reconfiguring an electronic control unit of a motor vehicle to optimize fuel economy |
| US8825277B2 (en) | 2007-06-05 | 2014-09-02 | Inthinc Technology Solutions, Inc. | System and method for the collection, correlation and use of vehicle collision data |
| US8666590B2 (en) | 2007-06-22 | 2014-03-04 | Inthinc Technology Solutions, Inc. | System and method for naming, filtering, and recall of remotely monitored event data |
| US9129460B2 (en) | 2007-06-25 | 2015-09-08 | Inthinc Technology Solutions, Inc. | System and method for monitoring and improving driver behavior |
| US7999670B2 (en) | 2007-07-02 | 2011-08-16 | Inthinc Technology Solutions, Inc. | System and method for defining areas of interest and modifying asset monitoring in relation thereto |
| US8818618B2 (en) | 2007-07-17 | 2014-08-26 | Inthinc Technology Solutions, Inc. | System and method for providing a user interface for vehicle monitoring system users and insurers |
| US9117246B2 (en) | 2007-07-17 | 2015-08-25 | Inthinc Technology Solutions, Inc. | System and method for providing a user interface for vehicle mentoring system users and insurers |
| US8577703B2 (en) | 2007-07-17 | 2013-11-05 | Inthinc Technology Solutions, Inc. | System and method for categorizing driving behavior using driver mentoring and/or monitoring equipment to determine an underwriting risk |
| US7876205B2 (en) | 2007-10-02 | 2011-01-25 | Inthinc Technology Solutions, Inc. | System and method for detecting use of a wireless device in a moving vehicle |
| US8386101B2 (en) * | 2007-11-07 | 2013-02-26 | GM Global Technology Operations LLC | Detecting program flow fault in torque security software for hybrid vehicle electric drive system |
| US20090125171A1 (en) * | 2007-11-08 | 2009-05-14 | Gm Global Technology Operations, Inc. | Processor security diagnostics for hybrid vehicle electric motor control system |
| US8688180B2 (en) | 2008-08-06 | 2014-04-01 | Inthinc Technology Solutions, Inc. | System and method for detecting use of a wireless device while driving |
| US8892341B2 (en) | 2009-02-13 | 2014-11-18 | Inthinc Technology Solutions, Inc. | Driver mentoring to improve vehicle operation |
| US8963702B2 (en) | 2009-02-13 | 2015-02-24 | Inthinc Technology Solutions, Inc. | System and method for viewing and correcting data in a street mapping database |
| US8188887B2 (en) | 2009-02-13 | 2012-05-29 | Inthinc Technology Solutions, Inc. | System and method for alerting drivers to road conditions |
| US9623817B2 (en) * | 2010-02-12 | 2017-04-18 | GM Global Technology Operations LLC | Method and system for controlling electrical systems of vehicles |
| FR2968855B1 (fr) * | 2010-12-14 | 2012-12-07 | Schneider Electric Ind Sas | Procede et dispositif de surveillance d'un dispositif equipe d'un microprocesseur |
| US8831821B2 (en) | 2010-12-17 | 2014-09-09 | GM Global Technology Operations LLC | Controller area network message transmission disable testing systems and methods |
| US9122662B2 (en) | 2011-06-01 | 2015-09-01 | James Mason Faucett | Processor safety test control systems and methods |
| US8634995B2 (en) * | 2011-12-09 | 2014-01-21 | Ford Global Technologies, Llc | Method and system for providing a voting strategy for determining a mode state in a shift-by-wire transmission |
| US9172477B2 (en) | 2013-10-30 | 2015-10-27 | Inthinc Technology Solutions, Inc. | Wireless device detection using multiple antennas separated by an RF shield |
| KR101543103B1 (ko) * | 2013-12-04 | 2015-08-11 | 현대자동차주식회사 | 인젝터 드라이버 및 그 동작 방법 |
| DE102015222427A1 (de) * | 2015-11-13 | 2017-05-18 | Robert Bosch Gmbh | Verfahren zum Betreiben eines Steuergeräts eines Kraftfahrzeugs |
| DE102016217762A1 (de) * | 2016-09-16 | 2018-04-12 | Continental Automotive Gmbh | Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2026705A (en) * | 1978-07-21 | 1980-02-06 | Honda Motor Co Ltd | Monitoring control circuit operation |
| JPS5810246A (ja) * | 1981-07-13 | 1983-01-20 | Nissan Motor Co Ltd | 車両用ディジタル制御装置 |
| JPS5952306A (ja) * | 1982-09-18 | 1984-03-26 | Honda Motor Co Ltd | 電子制御装置の異常判別方法 |
| DE3240707A1 (de) * | 1982-11-04 | 1984-05-10 | Robert Bosch Gmbh, 7000 Stuttgart | Schaltungsanordnung zur ueberwachung von elektronischen rechenbausteinen |
| US4556943A (en) * | 1983-05-27 | 1985-12-03 | Allied Corporation | Multiprocessing microprocessor based engine control system for an internal combustion engine |
| DE3328450A1 (de) * | 1983-08-06 | 1985-02-28 | Daimler-Benz Ag, 7000 Stuttgart | Verfahren zur ueberpruefung von messfuehlern |
| JPS61212653A (ja) * | 1985-03-18 | 1986-09-20 | Honda Motor Co Ltd | 内燃エンジンの電子制御装置 |
| DE3531198A1 (de) * | 1985-08-31 | 1987-03-12 | Bosch Gmbh Robert | Sicherheits- und notfahrverfahren fuer eine brennkraftmaschine mit selbstzuendung und einrichtung zu dessen durchfuehrung |
| EP0222047B2 (en) * | 1985-11-13 | 1994-09-14 | Nec Home Electronics Ltd. | Fail-safe control circuit |
| DE3700986C2 (de) * | 1987-01-15 | 1995-04-20 | Bosch Gmbh Robert | Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug |
| JPH0717007Y2 (ja) * | 1987-05-28 | 1995-04-19 | 日産自動車株式会社 | 車速センサ−異常検出装置 |
| GB8729901D0 (en) * | 1987-12-22 | 1988-02-03 | Lucas Ind Plc | Dual computer cross-checking system |
| AU614178B2 (en) * | 1988-07-29 | 1991-08-22 | Mitsubishi Jidosha Kogyo Kabushiki Kaisha | Fail-safe device for a temperature sensor |
| US5235527A (en) * | 1990-02-09 | 1993-08-10 | Toyota Jidosha Kabushiki Kaisha | Method for diagnosing abnormality of sensor |
| JP2768791B2 (ja) * | 1990-03-09 | 1998-06-25 | 三菱自動車工業株式会社 | 車載用電子制御装置 |
| US5274554A (en) * | 1991-02-01 | 1993-12-28 | The Boeing Company | Multiple-voting fault detection system for flight critical actuation control systems |
-
1991
- 1991-05-08 DE DE4114999A patent/DE4114999C2/de not_active Expired - Lifetime
-
1992
- 1992-02-28 US US07/843,011 patent/US5436837A/en not_active Expired - Lifetime
- 1992-03-27 DE DE59200430T patent/DE59200430D1/de not_active Expired - Lifetime
- 1992-03-27 EP EP92105281A patent/EP0512240B1/de not_active Expired - Lifetime
- 1992-04-27 JP JP10712992A patent/JP3330971B2/ja not_active Expired - Lifetime
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1026058A2 (en) | 1999-02-01 | 2000-08-09 | Nissin Kogyo Co., Ltd. | Apparatus and method for diagnosing a wheel speed input system in a vehicle motion control apparatus |
| KR20020031646A (ko) * | 2000-10-20 | 2002-05-03 | 이계안 | 전자제어유닛 모니터링/매칭 방법 |
| JP2003020985A (ja) * | 2001-07-06 | 2003-01-24 | Hitachi Ltd | エンジン制御装置 |
| JP4516241B2 (ja) * | 2001-07-06 | 2010-08-04 | 日立オートモティブシステムズ株式会社 | エンジン制御装置 |
| US7826962B2 (en) | 2005-06-23 | 2010-11-02 | Denso Corporation | Electronic control apparatus |
| JP2009132281A (ja) * | 2007-11-30 | 2009-06-18 | Mitsubishi Electric Corp | ステアリング制御装置 |
| US8265829B2 (en) | 2007-11-30 | 2012-09-11 | Mitsubishi Electric Corporation | Steering control system |
| JP2010235116A (ja) * | 2010-06-22 | 2010-10-21 | Mitsubishi Electric Corp | ステアリング制御装置 |
| KR101325498B1 (ko) * | 2011-10-31 | 2013-11-07 | 주식회사 현대케피코 | 차량의 고속 주행 중 의도하지 않은 저단 변속 및 후진 기어 변속을 방지 하기 위한 모니터링 시스템 |
| JP2015010498A (ja) * | 2013-06-27 | 2015-01-19 | 株式会社デンソー | 燃料噴射制御装置 |
| JP2022006244A (ja) * | 2020-06-24 | 2022-01-13 | 三菱電機株式会社 | 車載電子制御装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE4114999C2 (de) | 2001-04-26 |
| EP0512240B1 (de) | 1994-08-31 |
| EP0512240A1 (de) | 1992-11-11 |
| DE4114999A1 (de) | 1992-11-12 |
| JP3330971B2 (ja) | 2002-10-07 |
| US5436837A (en) | 1995-07-25 |
| DE59200430D1 (de) | 1994-10-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH05147477A (ja) | 自動車の制御装置 | |
| US4386427A (en) | Fail-safe device in an electronic control system for an automotive vehicle | |
| JP2880165B2 (ja) | 2つのプロセッサからなる自動車のコンピュータシステムを監視する装置 | |
| JP4709268B2 (ja) | 車両制御用マルチコアシステムまたは内燃機関の制御装置 | |
| US9207661B2 (en) | Dual core architecture of a control module of an engine | |
| JPH04268646A (ja) | マイクロコンピュータとウォッチドッグ回路を備えた装置 | |
| JP3255693B2 (ja) | 自動車のマルチコンピュータシステム | |
| JPS63100843A (ja) | 通信制御機構 | |
| JP2004514215A (ja) | プロセッサを監視するための装置 | |
| US6067586A (en) | Method for checking a first processor performing functions by a data word received and stored, and modified after performing a given function, and monitored by a second processor | |
| US4709341A (en) | Self-monitoring system for detecting error at output port during cold start of microprocessor system | |
| US6076172A (en) | Monitoting system for electronic control unit | |
| US9707908B2 (en) | Driving device | |
| US5713643A (en) | Control circuit for automotive vehicle motion control systems | |
| JP4042467B2 (ja) | 信号処理装置 | |
| US6496946B2 (en) | Electronic control apparatus with memory validation and method | |
| KR20150007973A (ko) | 마이크로컴퓨터 | |
| JP2003323353A (ja) | メモリ診断装置及び制御装置 | |
| US4884204A (en) | Microcomputer system for regulating internal combustion vehicular engines | |
| JP2768693B2 (ja) | 2台のプロセッサを有するコンピュータシステムを監視する装置 | |
| JP2767857B2 (ja) | 複数のプロセッサユニットを有する制御システム | |
| JPS60162959A (ja) | 電子式エンジン制御装置 | |
| US6272408B1 (en) | Method and arrangement for transmitting data in a motor vehicle | |
| JPH05274189A (ja) | 計算機支援機器の監視保護回路装置 | |
| JPH0750020B2 (ja) | 電子制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20070719 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080719 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080719 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090719 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090719 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100719 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100719 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110719 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120719 Year of fee payment: 10 |
|
| EXPY | Cancellation because of completion of term | ||
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120719 Year of fee payment: 10 |