JPH0571963B2 - - Google Patents

Info

Publication number
JPH0571963B2
JPH0571963B2 JP58130360A JP13036083A JPH0571963B2 JP H0571963 B2 JPH0571963 B2 JP H0571963B2 JP 58130360 A JP58130360 A JP 58130360A JP 13036083 A JP13036083 A JP 13036083A JP H0571963 B2 JPH0571963 B2 JP H0571963B2
Authority
JP
Japan
Prior art keywords
microcomputer
control
signal
microcomputers
reset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP58130360A
Other languages
Japanese (ja)
Other versions
JPS6022202A (en
Inventor
Taiji Hasegawa
Yasunori Mori
Takashi Shiraishi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP13036083A priority Critical patent/JPS6022202A/en
Publication of JPS6022202A publication Critical patent/JPS6022202A/en
Publication of JPH0571963B2 publication Critical patent/JPH0571963B2/ja
Granted legal-status Critical Current

Links

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)
  • Electrical Control Of Air Or Fuel Supplied To Internal-Combustion Engine (AREA)

Description

【発明の詳細な説明】 〔発明の利用分野〕 本発明は、マイクロコンピユータを用いた制御
システムに係り、特に自動車のエンジン制御用に
適したマルチマイクロコンピユータ方式の自動車
制御システムに関する。DETAILED DESCRIPTION OF THE INVENTION [Field of Application of the Invention] The present invention relates to a control system using a microcomputer, and particularly to a multi-microcomputer type automobile control system suitable for controlling an automobile engine.

〔発明の背景〕[Background of the invention]

制御項目が多く、制御内容が複雑かつ多面的に
わたる場合の制御には、近年、マイクロコンピユ
ータを用いた制御システムが広く用いられるよう
になつてきた。 In recent years, control systems using microcomputers have come to be widely used for control when there are many control items and the control contents are complex and multifaceted.

例えば、自動車のエンジンでは、運転中の負荷
変動や回転数変動が著しく、その上、厳しい排ガ
ス規制に適合しなければならないから、多くの制
御項目にわたる多面的な制御を必要とする。 For example, an automobile engine has significant load fluctuations and rotational speed fluctuations during operation, and must also comply with strict exhaust gas regulations, requiring multifaceted control over many control items.

従つて、このような自動車用エンジンには、例
えば、特開昭56−92330号公報で知られているよ
うに、マイクロコンピユータ(以下、マイコンと
略称する)を用いた制御システムがかなり早期か
ら広く採用されるようになつてきた。 Therefore, control systems using microcomputers (hereinafter referred to as microcomputers) have been widely used in such automobile engines since a very early stage, as is known from, for example, Japanese Patent Laid-Open No. 56-92330. It is starting to be adopted.

しかして、近年、自動車に要求される制御は、
単にそのエンジンの運転制御だけにとどまらず、
エンジンを含むパワーシステムの異常を検出し、
自己診断して結果を記憶することにより整備作業
を容易にするダイアグノーシス機能のための制御
や、駆動システム、走行システムの制御など各種
の制御を必要とするようになつてきた。 However, in recent years, the control required for automobiles is
Not only does it control the operation of the engine,
Detects abnormalities in the power system including the engine,
Various types of control have become necessary, including control for a diagnosis function that facilitates maintenance work by self-diagnosing and storing the results, and control for drive systems and travel systems.

一方、このような制御システムに使用されるマ
イコンには、当然のこととしてそれぞれごとに能
力の限度があり、上記の自動車の制御の場合のよ
うに要求される制御対象が増加した場合には、そ
れに応じて能力の大きなマイコンが必要になり、
さらには専用品すら必要になる場合もあり、かな
りのコストアツプを免れない。 On the other hand, the microcomputers used in such control systems naturally have their own limits to their capabilities, and when the number of control objects that are required to control increases, as in the case of controlling automobiles mentioned above, Accordingly, a microcontroller with large capacity is required,
Furthermore, special equipment may be required, which inevitably increases costs considerably.

そこで、比較的ローコストの汎用マイコンを用
い、能力の不足分はマイコンを複数台用いること
により補うようにした、いわゆるマルチマイコン
方式の制御システムが使用されるようになつてき
た。 Therefore, a so-called multi-microcomputer type control system has come into use, which uses a relatively low-cost general-purpose microcomputer and compensates for the lack of capacity by using a plurality of microcomputers.

〔発明の目的〕[Purpose of the invention]

本発明は、上記事情に鑑みてなされたもので、
その目的とするところは、マルチマイコン方式の
物質を活かし、高い信頼性が得られるようにした
自動車制御システムを提供するにある。 The present invention was made in view of the above circumstances, and
The purpose is to provide a highly reliable automobile control system that utilizes multi-microcomputer materials.

〔発明の概要〕[Summary of the invention]

この目的を達成するため、本発明は、制御シス
テム内のマイコン間で、それらの制御項目の一部
に対する相互バツクアツプ機能と、相互監視によ
るリセツト機能とが働くようにすると共に、この
とき、相互バツクアツプ機能に優先してリセツト
機能が働くようにした点を特徴とする。 In order to achieve this object, the present invention allows microcomputers in a control system to have a mutual backup function for some of their control items and a reset function by mutual monitoring, and at this time, mutual backup The feature is that the reset function is given priority over other functions.

〔発明の実施例〕[Embodiments of the invention]

以下、本発明による自動車制御システムの実施
例について、図面を参照して説明する。 Embodiments of the vehicle control system according to the present invention will be described below with reference to the drawings.

第1図は本発明の一実施例で、1は制御ユニツ
ト、2,3はマイコン、4はパワーオンリセツト
回路、5,6はトランジスタ、7〜12はオアゲ
ートである。 FIG. 1 shows an embodiment of the present invention, in which 1 is a control unit, 2 and 3 are microcomputers, 4 is a power-on reset circuit, 5 and 6 are transistors, and 7 to 12 are OR gates.

制御ユニツト1はマルチマイコン方式のもの
で、2つのマイコン2,3をもち、例えば自動車
用エンジンの制御とダイアグノーシス制御とを行
なう。 The control unit 1 is of a multi-microcomputer type and has two microcomputers 2 and 3, and performs, for example, control of an automobile engine and diagnosis control.

マイコン2(以下、Aマイコンという)はエン
ジン制御用で、各種のセンサなどからエンジンの
運転状態を表わす多数のデータを入力AI1,AI2
……AIoから取込み、それに応じて各種の制御信
号を出力AO1,AO2……AOoからそれぞれの被制
御機器やアクチユエータに供給し、エンジンを適
切な運転状態に制御する。 Microcomputer 2 (hereinafter referred to as microcomputer A) is for engine control, and inputs a large amount of data representing the engine operating status from various sensors AI 1 , AI 2
...is taken in from AI o , and various control signals are supplied accordingly to the outputs AO 1 , AO 2 ...from AO o to the respective controlled devices and actuators, and the engine is controlled to an appropriate operating state.

マイコン3(以下、マイコンBという)はエン
ジンの異常検出と自己診断を行ない、ダイアグノ
ーシス制御を行なうもので、BI1,BI2……BIo
そのためのデータの入力、BO1,BO2……BOo
データや信号の出力である。 Microcomputer 3 (hereinafter referred to as microcomputer B) detects abnormalities in the engine, performs self-diagnosis, and performs diagnostic control. BI 1 , BI 2 ... BI o input data for this purpose, BO 1 , BO 2 ... …BO o is the data or signal output.

パワーリセツト回路4は、例えば自動車のエン
ジンキーがオンにされ、この制御ユニツト1に電
源電圧Vccが与えられたとき、所定のパルス幅を
有するパワーリセツト信号を発生し、Aマイコン
2とBマイコン3を一緒にリセツトさせ、電源投
入時でのイニシヤライズを行なわせる働きをす
る。 The power reset circuit 4 generates a power reset signal having a predetermined pulse width when, for example, the engine key of a car is turned on and the power supply voltage V cc is applied to the control unit 1, and the power reset signal is output to the A microcomputer 2 and the B microcomputer. 3 together, and performs initialization when the power is turned on.

トランジスタ5,6はオアゲート7,8からベ
ースに信号が入力されたときオンし、Aマイコン
2とBマイコン3のリセツト入力RESを接地電
位にしてこれらのマイコン2,3をリセツトする
働きをする。 The transistors 5 and 6 are turned on when signals are input to their bases from the OR gates 7 and 8, and serve to reset the A microcomputers 2 and B microcomputers 2 and 3 by setting their reset inputs RES to the ground potential.

次に、この実施例の動作について説明する。 Next, the operation of this embodiment will be explained.

まず、Aマイクロ2には第2図Aのフローチヤ
ートにしたがつた処理が行なわれるようなプログ
ラムが設けられ、同様に、Bマイコン3には第2
図Bのフローチヤートにしたがつた処理が行なわ
れるようなプログラムが設けられている。 First, the A microcomputer 2 is provided with a program that performs processing according to the flowchart shown in FIG.
A program is provided that performs processing according to the flowchart shown in Figure B.

電源が投入され、電圧Vccが制御システム1に
与えられると、まず、パワーオンリセツト回路4
がリセツトルスを発生し、Aマイコン2及びBマ
イコン3はイニシヤライズされ、それぞれ制御動
作を開始し、第2図のフローチヤートの処理に入
る。 When the power is turned on and the voltage Vcc is applied to the control system 1, the power-on reset circuit 4 is first activated.
generates a reset pulse, the A microcomputer 2 and the B microcomputer 3 are initialized, each starts a control operation, and enters the processing shown in the flowchart of FIG.

この処理に入ると、まずステツプ,で相手
方のマイコンから発生されるプログラム動作信号
PRを調べ、それが検出されたか否かを判断する。
つまりAマイコン2はBマイコン3から発生され
たプログラム動作信号PRbを調べ、Bマイコン3
はAマイコン2から発生されたプログラム動作信
号PRaを調べるのである。 When this process begins, the program operation signal generated from the other party's microcontroller is first entered in step .
Examine the PR and determine whether it was detected or not.
In other words, the A microcomputer 2 checks the program operation signal PR b generated from the B microcomputer 3, and
examines the program operation signal PR a generated from the A microcomputer 2.

ステツプ,での結果がYESとなつたとき
にはステツプ,でカウンタをクリアし、続い
てステツプ,でそれぞれの制御ルーチンを実
行する。つまりAマイコン2はエンジンの運転制
御に必要なデータ、例えばエンジン回転数、冷却
水温度、吸入空気流量などを取込み、点火信号、
燃料供給信号などの演算を行ない、それを出力
し、他方、Bマイコン3は各種センサやアクチユ
エータの異常検出、自己診断などを行なう。 When the result in step , is YES, the counter is cleared in step , and then each control routine is executed in step . In other words, the A microcomputer 2 takes in the data necessary for engine operation control, such as engine speed, cooling water temperature, intake air flow rate, etc., and receives the ignition signal,
The B microcomputer 3 performs calculations such as fuel supply signals and outputs them, while the B microcomputer 3 performs abnormality detection and self-diagnosis of various sensors and actuators.

ステツプ,の処理を終つたらステツプ,
に進み、それぞれのプログラム動作信号PRa
PRbの発生処理を行なう。なお、この結果、これ
らのプログラム動作信号PRa,PRbは、それぞれ
のマイコン2,3が正常に動作して所定の処理を
正確にはたしているときだけ発生されることにな
り、従つて、これらの信号PRa,PRbが所定の周
期で発生されているか否かを調べれば、そのマイ
コンが正しく動作しているか、或いはプログラム
暴走状態に入つてしまつているかを確認すること
ができる。このため、これらの信号を発生する機
能はウオツチドツグタイマ機能などとも呼ばれ、
広く慣用されている。 After completing the processing of step,
Proceed to the respective program operation signals PR a ,
Perform PR b generation processing. As a result, these program operation signals PR a and PR b are generated only when the respective microcomputers 2 and 3 are operating normally and accurately performing the prescribed processing. By checking whether the signals PR a and PR b are generated at a predetermined cycle, it is possible to confirm whether the microcomputer is operating correctly or whether the program has entered a program runaway state. For this reason, the function that generates these signals is also called the watchdog timer function.
It is widely used.

一方、ステツプ,での結果がNO、つまり
相手方のマイコンのプログラム動作信号が検出さ
れなかつたときには、ステツプ,からステツ
プ,に進み、ここでまず、それぞれのリセツ
ト信号Ra,Rbの発生処理を行ない、ついでステ
ツプ,でカウンタをインクリメント、つまり
1カウントだけカウント値を進めてからステツプ
,に向う。 On the other hand, if the result in step is NO, that is, the program operation signal of the other party's microcomputer is not detected, the process proceeds from step to step, where the generation processing of the respective reset signals R a and R b is first performed. Then, at step, the counter is incremented, that is, the count value is advanced by one count, and then it goes to step.

このときに発生されたリセツト信号Ra,Rbは、
第1図から明らかなように、それぞれオアゲート
7,8を介してトランジスタ5,6のベースに入
力されているから、結局、リセツト信号Raが発
生されるとBマイコン3にリセツトが掛かり、反
対にリセツト信号Rbが発生したときにはAマイ
コン2にリセツトが掛けられることになる。 The reset signals R a and R b generated at this time are
As is clear from Fig. 1, since it is input to the bases of transistors 5 and 6 via OR gates 7 and 8, respectively, when the reset signal R a is generated, the B microcomputer 3 is reset, and the opposite When the reset signal R b is generated, the A microcomputer 2 is reset.

さて、第2図に戻り、ステツプ,の後はス
テツプ,に進み、カウンタのカウント値を調
べ、それが所定値N以上になつているか否かを判
断し、結果がNOのときにはここで処理を終る
が、YESになつたときにはステツプ,を通
り、これによりAマイコン2ではバツクアツプ信
号AB1とAB2発生してから処理を終り、Bマイコ
ン3ではバツクアツプ信号BA1,BA2を発生して
から処理を終る。 Now, returning to Fig. 2, after step, proceed to step, check the count value of the counter, judge whether it is greater than or equal to the predetermined value N, and if the result is NO, perform the processing here. However, when the result is YES, the process passes through step , and the A microcomputer 2 generates the backup signals AB 1 and AB 2 before completing the process, and the B microcomputer 3 generates the backup signals BA 1 and BA 2 and then finishes the process. Finish processing.

そこで、いま、制御システム1が動作中、Aマ
イコン2に異常が発生し、それによる制御動作が
停止したとする。 Now, suppose that an abnormality occurs in the A microcomputer 2 while the control system 1 is operating, and the control operation is stopped due to this.

そうすると、Aマイコン2によるプログラム動
作信号PRaの発生が無くなり、このため、ステツ
プでの結果がNOになるのでBマイコン3から
はステツプの処理としてリセツト信号Rbが出
力される。 Then, the A microcomputer 2 no longer generates the program operation signal PR a , and the result of the step becomes NO, so the B microcomputer 3 outputs the reset signal R b as a step process.

この結果、Aマイコン2にはリセツトが掛けら
れ、このときのAマイコン2に発生していた異常
がノイズなどによるプログラムの暴走など一過性
のものであつたときには、このBマイコン3から
のリセツトによりAマイコン2はイニシヤライズ
され、この時点から再び正常な動作に復帰する。 As a result, a reset is applied to the A microcomputer 2, and if the abnormality occurring in the A microcomputer 2 at this time is temporary, such as a runaway program due to noise, a reset is applied from the B microcomputer 3. As a result, the A microcomputer 2 is initialized and returns to normal operation from this point on.

一方、制御システム1が動作中にBマイコン3
に異常が発生したときには、プログラム動作信号
PRbの消滅に伴なつて今度はAマイコン2からリ
セツト信号Raが発生され、従つて、Bマイコン
3の異常がプログラム暴走などによる一過性のも
のであつた場合には、上記した場合と同様に、こ
のときもBマイコン3は直ちに正常な動作に復帰
し、制御を続行することができる。 On the other hand, while the control system 1 is operating, the B microcomputer 3
When an error occurs, the program operation signal
With the disappearance of PR b , the reset signal R a is generated from the A microcomputer 2. Therefore, if the abnormality in the B microcomputer 3 is temporary due to program runaway, etc., the above case will occur. Similarly, at this time as well, the B microcomputer 3 immediately returns to normal operation and can continue control.

従つて、この実施例によれば、マルチマイコン
方式の利点を活かした相互監視によるリトライ機
能が得られ、ノイズなどにより一方のマイコンが
暴走しても、直ちに他方のマイコンによるリセツ
トで正常な動作状態に復帰し、制御が異常になる
のを防止することができる。 Therefore, according to this embodiment, a retry function is obtained through mutual monitoring that takes advantage of the multi-microcomputer system, and even if one microcomputer goes out of control due to noise, etc., the other microcomputer immediately resets it and returns to normal operation. It is possible to prevent the control from becoming abnormal.

次に、Aマイコン2又はBマイコン3に発生し
た異常が、上記したノイズなどによるプログラム
の暴走など一過性のものではなく、ハード的な異
常による半永久的な故障であつたとする。 Next, assume that the abnormality that occurs in the A microcomputer 2 or the B microcomputer 3 is not a temporary one such as a runaway program caused by the above-mentioned noise, but is a semi-permanent failure due to a hardware abnormality.

そうすると、このときには、相手方のマイコン
によるリセツトにもかかわらず、その故障したマ
イコンは正常な動作状態には復帰しないから、こ
の結果、相手方のマイコンが第2図の処理に入る
たびにステツプ又はでの結果がNOになり、
ステツプ又はによるカウンタのクリアが行な
われないままステツプ又はによるカウンタの
インクリメントが連続して行なわれ、やがてカウ
ンタのカウント値はNに達し、ステツプ又は
での結果がYESになる。 In this case, the malfunctioning microcomputer will not return to normal operating state despite the reset by the other party's microcomputer, and as a result, each time the other party's microcomputer enters the process shown in The result is NO,
The counter is continuously incremented by step or without clearing the counter at step or. Eventually, the count value of the counter reaches N, and the result at step or is YES.

こうしてステツプ又はでの結果がYESに
なると、この第2図の信号が行なわれるごとにA
マイコン2からはバツクアツプ信号AB1,AB2
発生され、Bマイコン3からはバツクアツプ信号
BA1,BA2が発生されるようになる。 In this way, if the result at step or is YES, each time the signal shown in Fig. 2 is
The microcomputer 2 generates backup signals AB 1 and AB 2 , and the B microcomputer 3 generates a backup signal.
BA 1 and BA 2 will now be generated.

そこで、いま、エンジン制御を受持つているA
マイコン2に上記したような半永久的な故障が発
生したとする。 Therefore, A, who is currently in charge of engine control,
Assume that a semi-permanent failure as described above occurs in the microcomputer 2.

そうすると、このときにはBマイコン3による
リセツトによつてもAマイコン2は正常な動作状
態に戻らないから、このままではエンジンの制御
が行なわれなくなり、エンジンは停止して自動車
の運行が不可能になつてしまう。 In this case, even if the B microcomputer 3 resets the A microcomputer 2, the A microcomputer 2 will not return to its normal operating state, so if this continues, the engine will no longer be controlled, the engine will stop, and the car will no longer be able to operate. Put it away.

しかして、この実施例では、Aマイクロ2に故
障が発生し、Bマイコン3によるリトライがN回
繰り返されると、その後でBマイコン3からバツ
クアツプ信号BA1,BA2が出力されるようにな
り、これらの信号BA1,BA2がオアゲート9,1
0を介して出力AO1,AO2に供給されるようにな
る。 In this embodiment, when a failure occurs in the A microcomputer 2 and the retry by the B microcomputer 3 is repeated N times, the B microcomputer 3 then outputs the backup signals BA 1 and BA 2 . These signals BA 1 and BA 2 are the OR gates 9 and 1
0 to the outputs AO 1 and AO 2 .

そこで、いま、Aマイコン2による出力信号の
うち、エンジンの運転に最低限必要な信号、例え
ば点火信号と燃料噴射信号が出力AO1とAO2に出
力されるようにしておき、これに応じてBマイコ
ン3によるバツクアツプ信号BA1,BA2を点火信
号と燃料噴射信号に類似した信号になるようにし
ておいたとする。例えば、バツクアツプ信号BA1
としてエンジンの運転状態が或る標準的な状態に
あるときの点火信号と同じクランク角位置で同じ
パルス幅となるようにしておき、同様にバツクア
ツプ信号BA2としては、標準的な燃料噴射信号と
同じパルスとなるようにしておく。 Therefore, among the output signals from the A microcomputer 2, the minimum necessary signals for engine operation, such as the ignition signal and fuel injection signal, are output to the outputs AO 1 and AO 2 . Assume that the backup signals BA 1 and BA 2 from the B microcomputer 3 are made similar to the ignition signal and the fuel injection signal. For example, backup signal BA 1
The back-up signal BA 2 is set to have the same pulse width at the same crank angle position as the ignition signal when the engine is in a certain standard operating state. Make sure the pulse is the same.

そうすると、Aマイコン2に故障が発生し、B
マイコン3によるN回のリトライにもかかわらず
Aマイコン2が正常な動作状態に戻らなかつたと
きには、その出力AO1,AO2……AOoから発生さ
れていた制御信号が一旦消滅したあと、出力AO1
とAO2からはBマイコン3からのバツクアツプ信
号BA1,BA2が出力され、信号BA1はエンジンの
点火系に、そして信号BA2は燃料噴射制御系にそ
れぞれ供給されるようになる。 Then, a failure occurs in A microcomputer 2, and B
When the A microcomputer 2 does not return to the normal operating state despite N times of retries by the microcomputer 3, its outputs AO 1 , AO 2 ... After the control signal generated from AO o disappears, the output AO 1
Backup signals BA 1 and BA 2 from the B microcomputer 3 are output from and AO 2 , and the signal BA 1 is supplied to the ignition system of the engine, and the signal BA 2 is supplied to the fuel injection control system.

従つて、Aマイコン2が故障しても、最低限、
エンジンの点火制御と燃料噴射制御だけは継続さ
れ、とにかく自動車の走行だけは可能な状態とす
ることができ、故障に対するバツクアツプ機能を
はたすことができる。 Therefore, even if A microcomputer 2 fails, at least
Only the engine's ignition control and fuel injection control are continued, and the vehicle can be kept in a state where it is possible to run, and a backup function can be performed in case of a failure.

そして、このとき、Bマイコン3からバツクア
ツプ信号が発生されるのは、Aマイコン2に複数
回リセツトが掛けられた後となるので、この間
に、たとえBマイコン3が、Aマイコン2のプロ
グラム動作信号PRaの読取りを1回ぐらい失敗し
たとしても直ちにバツクアツプ信号を発生してし
まうことはなく、従つて、この実施例によれば、
Aマイコン2(或いはBマイコン3が)半永久的
に故障したときだけ、バツクアツプ信号を確実に
出力させることができる。 At this time, the backup signal is generated from the B microcomputer 3 after the A microcomputer 2 has been reset multiple times, so even if the B microcomputer 3 does not receive the program operation signal of the A microcomputer 2 during this time, Even if PR a fails to be read once or so, a backup signal will not be generated immediately. Therefore, according to this embodiment,
Only when the A microcomputer 2 (or B microcomputer 3) semi-permanently breaks down can the backup signal be reliably output.

そして、また、これにより、Bマイコン3から
バツクアツプ信号が出力されるのは、Aマイコン
2に繰返しリセツトが掛り、それからの制御信号
が確実に消滅した後になるから、過渡的にエンジ
ンの制御状態が異常になることが確実に抑えら
れ、滑らかなバツクアツプが得られる。すなわ
ち、マイコン故障時には、それからの出力が異常
な状態になつてしまうことがあり、このため、確
実にリセツトが掛る前にバツクアツプ信号が出力
されると、この異常な信号と重複した制御信号が
エンジンに供給され、異常な制御状態になつてし
まう虞れを生じるが、この実施例によれば、バツ
クアツプ信号の発生に優先して複数回のリセツト
が働くため、常に的確なバツクアツプが得られる
のである。 Furthermore, as a result, the backup signal is output from the B microcomputer 3 only after the A microcomputer 2 has been repeatedly reset and the subsequent control signals have definitely disappeared, so the control state of the engine is temporarily changed. Abnormalities are reliably suppressed and a smooth backup is obtained. In other words, when a microcomputer malfunctions, the output from it may become abnormal. Therefore, if a backup signal is output before a reliable reset is applied, a control signal that overlaps with this abnormal signal will be sent to the engine. However, according to this embodiment, since multiple resets are performed prior to generation of the backup signal, accurate backup can always be obtained. .

また、Bマイコン3に故障が発生したときも同
様で、このときにはAマイコン2によるバツクア
ツプ信号AB1,AB2がオアゲート11,12を介
して出力BO1,BO2に現われ、故障したBマイコ
ン3の出力に代わつて必要な制御を続行し、バツ
クアツプ機能をはたす。なお、このときのBマイ
コン3の出力BO1とBO2としては、例えばダイア
グノーシス制御における警報信号とすればよく、
従つて、Aマイコン2によるバツクアツプ信号
AB1とAB2もそれに見合つた信号となるようにし
ておけばよい。 The same applies when a failure occurs in the B microcomputer 3. In this case, the backup signals AB 1 and AB 2 from the A microcomputer 2 appear at the outputs BO 1 and BO 2 via the OR gates 11 and 12, and In place of the output, the necessary control continues and the backup function is performed. Note that the outputs BO 1 and BO 2 of the B microcomputer 3 at this time may be, for example, alarm signals in diagnosis control.
Therefore, the backup signal from A microcomputer 2
AB 1 and AB 2 should also be made to provide signals commensurate with that.

なお、以上の説明では省略したが、第2図のス
テツプ,における所定値Nの値は任意に定め
てよいが、リセツトによるマイコン暴走のリトラ
イは実用上数回程度が一般的であり、従つて、上
記の所定値Nとしては例えばN=3とすればよ
い。 Although omitted in the above explanation, the value of the predetermined value N in step 2 of FIG. , the above predetermined value N may be set to, for example, N=3.

また、上記実施例ではそれぞれのマイコンによ
るバツクアツプ信号が2種類となつていたが、こ
れも任意に定めればよく、さらにそれによりバツ
クアツプすべき信号も任意に定め得るものである
こともいうまでもない。 Furthermore, in the above embodiment, there are two types of backup signals for each microcomputer, but these can also be determined arbitrarily, and it goes without saying that the signals to be backed up can also be determined arbitrarily. do not have.

さらに、上記実施例では、マイコンを2個含む
システムととなつているが、本発明はマイコンを
3個以上含むシステムとしても実施可能なことは
いうまでもなく、このときの相互バツクアツプと
相互リトライとは全てのマイクロ間で行なつても
よく、或いは順次隣り合つたマイコン間でだけ行
なうようにしてもよい。 Further, in the above embodiment, the system includes two microcomputers, but it goes without saying that the present invention can also be implemented as a system including three or more microcomputers, and mutual backup and mutual retry in this case can be implemented. may be performed between all microcomputers, or may be performed only between sequentially adjacent microcomputers.

〔発明の効果〕〔Effect of the invention〕

以上説明したように、本発明によれば、マルチ
マイコン方式の信頼性を充分に高めることができ
るから汎用マイコンの使用によるローコスト化
や、制御対象ごとにマイコンを分割できることに
よる設計自由度の向上及び開発作業の効率化など
マルチマイコン方式による利点を充分に活かすこ
とが可能な自動車制御システムを容易に提供する
ことができる。 As explained above, according to the present invention, it is possible to sufficiently improve the reliability of the multi-microcontroller system, thereby reducing costs by using a general-purpose microcontroller, and improving the degree of design freedom by dividing the microcontroller for each controlled object. It is possible to easily provide an automobile control system that can fully utilize the advantages of the multi-microcomputer method, such as improving the efficiency of development work.

【図面の簡単な説明】[Brief explanation of the drawing]

第1図は本発明による自動車制御システムの一
実施例を示すブロツク図、第2図A,Bはいずれ
も動作説明用のフローチヤートである。 1……制御ユニツト、2,3……マイコン(マ
イクロコンピユータ)、4……パワーリセツト回
路、5,6……トランジスタ、7〜12……オア
ゲート。 FIG. 1 is a block diagram showing an embodiment of the vehicle control system according to the present invention, and FIGS. 2A and 2B are flowcharts for explaining the operation. 1... Control unit, 2, 3... Microcomputer, 4... Power reset circuit, 5, 6... Transistor, 7-12... OR gate.

Claims (1)

【特許請求の範囲】 1 自動車を制御するための複数のマイクロコン
ピユータを備え、自動車の制御項目に応じてそれ
ぞれ異なつたマイクロコンピユータを用いるよう
にした自動車制御システムにおいて、 他方のマイクロコンピユータの制御プログラム
動作信号が検出されなかつたとき該他方のマイク
ロコンピユータに対するリセツト信号を発生する
リセツト信号発生処理と、 リセツト信号の発生回数をカウントするリセツ
ト回数計数処理と、 他方のマイクロコンピユータのプログラム動作
信号が検出されたとき計数されたリセツト回数を
初期値に戻す初期化処理と、 上記リセツト回数計数処理による計数値が所定
値に達したとき他方のマイクロコンピユータによ
る制御項目の一部をバツクアツプするための制御
信号を出力するバツクアツプ処理とを上記マイク
ロコンピユータのそれぞれに順次繰返し実行させ
るためのプログラムを、上記マイクロコンピユー
タのそれぞれの記憶装置に格納させ、 上記マイクロコンピユータの何れかの暴走時で
のリトライが制御機能の相互バツクアツプに優先
して行なわれるように構成したことを特徴とする
自動車制御システム。 2 特許請求の範囲第1項において、上記バツク
アツプすべき制御項目の一部が、内燃機関の燃料
供給制御機能と点火制御機能であることを特徴と
する自動車制御システム。[Scope of Claims] 1. In an automobile control system that includes a plurality of microcomputers for controlling an automobile, and uses different microcomputers depending on the control items of the automobile, the control program operation of the other microcomputer Reset signal generation processing that generates a reset signal to the other microcomputer when no signal is detected; Reset count counting processing that counts the number of times a reset signal has been generated; and a program operation signal of the other microcomputer is detected. Initialization processing to return the counted number of resets to the initial value; and outputting a control signal for backing up a part of the control items by the other microcomputer when the count value from the reset number counting process reaches a predetermined value. A program for causing each of the microcomputers to sequentially and repeatedly execute backup processing is stored in the storage device of each of the microcomputers, and a retry when one of the microcomputers goes out of control is a mutual backup of the control function. A vehicle control system characterized in that the vehicle control system is configured to give priority to the following operations. 2. The automobile control system according to claim 1, wherein some of the control items to be backed up are a fuel supply control function and an ignition control function of an internal combustion engine.
JP13036083A 1983-07-19 1983-07-19 Control system Granted JPS6022202A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP13036083A JPS6022202A (en) 1983-07-19 1983-07-19 Control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP13036083A JPS6022202A (en) 1983-07-19 1983-07-19 Control system

Publications (2)

Publication Number Publication Date
JPS6022202A JPS6022202A (en) 1985-02-04
JPH0571963B2 true JPH0571963B2 (en) 1993-10-08

Family

ID=15032513

Family Applications (1)

Application Number Title Priority Date Filing Date
JP13036083A Granted JPS6022202A (en) 1983-07-19 1983-07-19 Control system

Country Status (1)

Country Link
JP (1) JPS6022202A (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3639055C2 (en) * 1986-11-14 1998-02-05 Bosch Gmbh Robert Process for monitoring and correcting errors in computers of a multi-computer system and multi-computer system
JPH05340295A (en) * 1992-06-09 1993-12-21 Toyota Motor Corp Control device for multicylinder internal combustion engine
JP3482675B2 (en) * 1994-03-04 2003-12-22 トヨタ自動車株式会社 Safety control device for internal combustion engine
DE102017103147A1 (en) * 2017-02-16 2018-08-16 Infineon Technologies Ag Alarm handling circuitry and method for handling an alarm

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5640901A (en) * 1979-09-11 1981-04-17 Toshiba Corp Backup method of process control
JPS57150092A (en) * 1981-03-11 1982-09-16 Kubota Ltd Vending machine

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS622682Y2 (en) * 1981-02-27 1987-01-22

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5640901A (en) * 1979-09-11 1981-04-17 Toshiba Corp Backup method of process control
JPS57150092A (en) * 1981-03-11 1982-09-16 Kubota Ltd Vending machine

Also Published As

Publication number Publication date
JPS6022202A (en) 1985-02-04

Similar Documents

Publication Publication Date Title
JP2880165B2 (en) Apparatus for monitoring an automotive computer system comprising two processors
JP3330971B2 (en) Automotive control device
US7912600B2 (en) In-vehicle electronic control apparatus having monitoring control circuit
US6892129B2 (en) Vehicle electronic control system and method having fail-safe function
US6775609B2 (en) Electronic control unit for vehicle having operation monitoring function and fail-safe function
JP3255693B2 (en) Automotive multi-computer system
US4775957A (en) Microcomputer with abnormality sensing function
JPS59134340A (en) Safety apparatus of self-ignition type internal combustion engine
US6076172A (en) Monitoting system for electronic control unit
JPH0571963B2 (en)
JP3923810B2 (en) Electronic control device for vehicle
JP2768693B2 (en) Apparatus for monitoring a computer system having two processors
JP4195336B2 (en) Fail-safe CPU processing device for electric cars
JPS60162959A (en) Electronic engine controller
JPH06305376A (en) Control device for vehicle
JP3885011B2 (en) Operation control method and apparatus for fuel injection device
JPS6235917A (en) On-vehicle electronic controller
JPH06103467B2 (en) Preventing malfunction of automobile computer
JPS60142033A (en) Failsafe system for electronically controlled engine
JPS58210340A (en) Trouble data holding device in electronic control system for vehicle
JPS61292709A (en) Signal storage device
JP2000066965A (en) Diagnostic device for ram
JP2019164579A (en) Electronic control device
JPH04178839A (en) Microprocessor
JPH09259010A (en) Method for detecting abnormality of cpu