JPH07293320A - 電子制御装置 - Google Patents

電子制御装置

Info

Publication number
JPH07293320A
JPH07293320A JP6082885A JP8288594A JPH07293320A JP H07293320 A JPH07293320 A JP H07293320A JP 6082885 A JP6082885 A JP 6082885A JP 8288594 A JP8288594 A JP 8288594A JP H07293320 A JPH07293320 A JP H07293320A
Authority
JP
Japan
Prior art keywords
cpu
signal
abnormality
control
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP6082885A
Other languages
English (en)
Inventor
Hironari Nakagawa
裕也 中川
Nobushi Yasuura
信史 保浦
Kenzo Yano
健三 矢野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
NipponDenso Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NipponDenso Co Ltd filed Critical NipponDenso Co Ltd
Priority to JP6082885A priority Critical patent/JPH07293320A/ja
Publication of JPH07293320A publication Critical patent/JPH07293320A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Electrical Control Of Ignition Timing (AREA)
  • Electrical Control Of Air Or Fuel Supplied To Internal-Combustion Engine (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

(57)【要約】 【目的】この発明は、2CPUで構成した場合に、その
CPUの一方が異常となったときの制御手段を改良し、
例えばエンジン制御においてリンプホーム可能な制御を
可能とする電子制御装置を提供することを目的とする。 【構成】マスタCPU12とスレーブCPU13を備え、ス
レーブCPU13はマスタCPU12で監視してその異常時
にマスタCPU12でリセットされる。CPU暴走監視回
路18でマスタCPUを監視してその異常時に切り換え信
号を出力し、スレーブCPU13に異常時処理指令を与え
ると共にアンドゲート21、22、24のゲートを閉じ、第
1、第2のスイッチ19、20を切り換える。マスタCPU
12からのコンペア出力は、正常時にスイッチ19を介して
アンドゲート23から出力され、その異常時にはスレーブ
CPU13の異常時処理されたコンペア出力が、スイッチ
20、19を介してアンドゲート23からリンプホーム可能に
する信号として出力される。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】この発明は、例えば車両に搭載さ
れてエンジンの電子制御装置をCPUによって構成する
に際して、特にCPUフェイル時におけるフォールトト
レラントシステムを備え電子制御装置に関する。
【0002】
【従来の技術】車両用エンジンの電子制御装置において
は、エンジンの運転状態を検出する各種検出信号に基づ
いて、燃料噴射制御や点火制御等と共にノックコントロ
ール、スロットルコントロール、燃料ポンプ制御、EG
R制御、燃料噴射制御等の各種制御が行われており、そ
の制御対象が大幅に拡大される傾向にある。このため、
この様な電子制御装置にあっては、従来は1個のCPU
によって構成されていたものが、複数のCPUによって
構成されたマルチCPU構成の電子制御装置に移行して
いる。特に、2個のCPUを用いる2CPU構成の電子
制御装置が広く使用されるようになっている。
【0003】この様なマルチCPU構成の電子制御装置
では、それぞれのCPUにおいて別個の制御を行うよう
にしている。したがって、この複数のCPUの中で1つ
でもCPUがフェイルしたときには、そのCPUが行っ
ている制御が実行できなくなり、このため重大な障害の
発生となる。
【0004】この様な問題点に対処するため、特公表6
3−501303号公報には、2CPU構成の電子制御
装置において、その一方のCPUがフェイルした場合の
対策が開示されている。この例では、一方のCPUがフ
ェイルしたときに、他方のCPUによりバックアップす
るようにしている。ここで使用されている2個のCPU
においては、演算負荷を両CPUに対して均一に分配
し、特に重要な信号はプログラムとして両CPUにそれ
ぞれ用意されている。すなわち、全ての処理を一方のC
PUにおいて行わせるようにすると処理負荷が大きくな
るので、この処理を両CPUに分配することで処理能力
の向上を図っている。
【0005】具体的には、エンジン制御で必要なアクチ
ュエータを制御するために、その指令位置を演算する処
理と、その目標指令位置にアクチュエータを駆動する処
理とに分け、一方のCPUで目標位置を演算し、他方の
CPUでサーボ処理を行わせる。この2つのCPUにお
いてはそれぞれ異常監視回路を備えており、各CPUに
設けた異常監視回路において検出された異常状態に応じ
て各CPUのフェイルを検出し、そのCPUのフェイル
時には他方のCPUにおいて一方のCPUの処理も併せ
て実行されるようにしている。
【0006】したがって、この様に構成される電子制御
装置にあっては、この電子制御装置を構成する複数のC
PUそれぞれに対して異常検出回路を設けるようにして
いるものであるため、必然的に部品点数の増加を招き、
この電子制御装置の部品実装密度の上昇と共に、コスト
アップの問題を有する。
【0007】
【発明が解決しようとする課題】この発明は上記のよう
な点に鑑みなされたもので、複数のCPUを含むマルチ
CPU構成とした場合において、各CPUの異常の監視
が1つの異常監視回路および1つのCPUによって行わ
れるようにして、充分簡易化した部品構成が実現できて
信頼性の確保も容易ととされるようにした電子制御装置
を提供しようとするものである。
【0008】
【課題を解決するための手段】この発明に係る電子制御
装置に関する第1の発明は、図6で示すように第1の制
御対象51への制御信号を出力する第1のCPU52と、第
2の制御対象53への制御信号を出力する第2のCPU54
とを備えた電子制御ユニットにおいて、前記第1のCP
U52に設定された第1の異常監視手段521 で第2のCP
U54の異常を監視してその異常時に第2のCPU54をリ
セットし、第2の異常監視手段55で第1のCPU52の異
常を監視してその異常時に第1のCPU52をリセットす
る。また第1のCPUの異常検出に応じて切り換え手段
56を制御し、第1の制御対象51への制御信号を前記第1
のCPU52から第2のCPU54に切り換えるもので、第
2のCPU54には異常時制御信号出力手段541 を設定
し、切り換え手段56の切り換えに対応して前記第1の制
御対象51へ制御信号を出力する。
【0009】また第2の発明は、図7で示すように図6
と同様に第1および第2のCPU52および54、さらに第
1および第2の異常監視手段521 、55、切り換え手段56
を備え、この切り換え手段56による制御信号の切り換え
に対応して、前記第2の異常監視手段55に第2のCPU
54から出力される作動信号に切り換えて供給する作動信
号切り換え手段60を備えるもので、第2のCPUには切
り換え手段60で制御信号が切り換えられたときに第1の
制御対象51への制御信号を異常時制御信号出力手段542
で出力させる。
【0010】さらに第3の発明は、図8で示すようにこ
れまでと同様の電子制御ユニットにおいて、第1のCP
U52に設定される異常監視手段521 で第2のCPU54を
監視し、第2のCPUの異常の非検出状態で、第1の制
御信号演算手段523 で前記第1の制御対象51に対する制
御信号を演算し、異常監視手段521 での第2のCPU54
の異常の検出状態で、第2の制御信号演算手段524 で第
1の制御対象51に対する制御信号を演算させると共に、
前記第1および第2の制御信号演算演算手段543 、544
によって演算される演算信号の出力が切り換え手段525
によって切り換えられる。
【0011】
【作用】この様に構成される電子制御装置によれば、電
子制御ユニットを構成する2個のCPU52および54の中
で、第2のCPU54が異常となったときには第1のCP
U52においてこれを検出し、第2のCPU54がリセット
される。そして、第1のCPU52から出力される信号に
よって、リンプホーム可能な制御が実行される。また、
第1のCPU52に異常が生じたような場合には、これが
監視回路において検出されると共に、この第1のCPU
52にリセットが掛けられ、第2のCPU54において異常
時の処理が行われて、これまで第1のCPU52から出力
されていた噴射制御や点火制御の、リンプホームを可能
にする異常時処理が第2のCPU54において代行される
ようになって、第1のCPU52からの出力に代わって第
2のCPU54からの出力による制御が実行される。した
がって、例えばエンジンの制御装置において、このエン
ジン制御で最低限必要な点火制御と共に燃料噴射制御が
継続して行われ、電子制御装置のフェイルが避けられ
て、例えば修理工場までの運転が可能とされるようにな
る。
【0012】
【実施例】以下、図面を参照してこの発明の一実施例を
説明する。図1は例えばガソリン筒内直噴エンジンの電
子制御ユニット11を構成した場合を示す。この電子制御
ユニット11は、点火時期や燃料噴射等を制御するマスタ
CPU12と、その他のアクチュエータを制御するスレー
ブCPU13とを備えた2CPUで構成される。この電子
制御ユニット11に対する入力としては、エンジンの回転
に伴い発生される回転パルスNE、このエンジンの特定さ
れる基準回転角位置で発生される基準Gパルス、その他
エンジンの運転状態を検出したアナログ検出信号および
ディジタル検出信号が存在する。そして、エンジンに対
する点火信号および噴射信号と共に、その他のアクチュ
エータ制御信号が出力され、図では示されないエンジン
が回転速度や負荷状態等の運転状況に対応して運転制御
される。
【0013】すなわち、NEパルスやGパルスはそれぞれ
波形整形回路14および15に入力されて波形整形され、C
PU12および13に入力信号として供給される。また、ア
ナログ検出信号およびディジタル検出信号は、それぞれ
アナログバッファ16およびディジタルバッファ17を介し
て、CPU12および13に必要な信号が入力されるもの
で、CPU12および13においては、これらの入力信号に
基づいて演算処理が行われる。
【0014】そして、マスタCPU12においては点火信
号および燃料噴射信号をコンペア出力端子より出力し、
この信号に基づいて点火プラグおよびインジェクタが制
御される。さらにスレーブCPU13においてはその他の
エンジン制御に必要なアクチュエータ駆動信号等がコン
ペア出力端子から出力され、アクチュエータが制御され
る。なお、これらのCPU12および13においては、他の
制御信号がコンペア出力端子の他にポート出力端子から
も出力されている。
【0015】この様な電子制御ユニット11を構成するマ
スタCPU12およびスレーブCPU13は、それぞれ正常
に動作しているか否かが監視されている。すなわち、マ
スタCPU12およびスレーブCPU13は、それぞれ正常
動作時に所定周期で連続して発生されるウォッチドック
パルス(WD)を出力する。マスタCPU12からのウォ
ッチドックパルスはCPU暴走監視回路18に入力され
る。マスタCPU12が正常に動作しているか否かは、C
PU暴走検出回路18で監視されている。スレーブCPU
13からのウォッチドックパルスはマスタCPU12に入力
される。そして、このスレーブCPU13が正常に動作さ
れているか否かは、マスタCPU12において監視され
る。また、マスタCPU12の異常時には、スレーブCP
U13から出力されるウォッドックパルスを、マスタCP
U12からCPU暴走監視回路18に切り換え、スレーブC
PU13の異常が検出されるようにする。
【0016】マスタCPU12はスレーブCPU13から出
力されるウッチドックパルスを監視して、このパルスが
所定時間以上反転しなくなったとき、スレーブCPU13
の異常と判断する。この異常判断に伴って第1のゲート
信号が出力されて、スレーブCPU13からのコンペア出
力とポート出力とを無効にする。さらに、スレーブCP
U13をリセットしてその動作を停止する。
【0017】ここで、マスタCPU12は通常では正常プ
ログラムが稼働していて、スレーブCPU13の異常時に
おいても、マスタCPU12としては正常プログラムを稼
働できて正常パルスを出力する。しかし、この状況では
電子制御ユニット11としては正常ではないので、このマ
スタCPU12から出力される点火信号および噴射信号
も、異常時用の異常制御用出力とされる。すなわち、ス
レーブCPU13が異常と判定されたときには、マスタC
PU12においても異常時用の別プログラムが起動され
る。
【0018】CPU暴走監視回路18においてマスタCP
U12の異常が検出されたときには、切り換え信号が出力
される。具体的には、切り換え信号はCPU12および13
の正常時にはハイ(H)レベルであり、マスタCPU12
の異常が検出されたときにロー(L)レベルとされる。
この切り換え信号は第1および第2の切り換えスイッチ
19および20に切り換え指令として供給されると共に、ア
ンドゲート21、22および24それぞれにゲート信号として
供給される。また、マスタCPU12およびスレーブCP
U13が共に異常となったときには、切り換え信号と共に
第2のゲート信号が出力される。すなわち、正常時には
Hレベルである第2のゲート信号がLレベルとされるも
ので、この第2のゲート信号はアンドゲート23にゲート
信号として供給される。
【0019】マスタCPU12から出力された第1のゲー
ト信号は、アンドゲート22および24にゲート信号として
供給されるもので、このゲート信号は正常時にはHレベ
ルであり異常検出時にLレベルとされる。アンドゲート
24には、さらにCPU暴走監視回路18からの切り換え信
号がゲート信号として供給されている。
【0020】マスタCPU12からのコンペア出力は、第
1の切り換えスイッチ19の常閉の接点に入力され、スレ
ーブCPU13のコンペア出力が第2の切り換えスイッチ
20の可動接点に供給されて、この切り換えスイッチ20の
常開側接点からの出力が第1の切り換えスイッチ19の常
開側接点に入力される。そして、第1の切り換えスイッ
チ19の可動接点からの出力がアンドゲート23に入力さ
れ、第2の切り換えスイッチ20の常閉側接点からの出力
がアンドゲート24に入力される。そして、これらの第1
および第2の切り換えスイッチ19および20は、切り換え
信号のHレベルの状態で図の状態に設定される。
【0021】すなわち、マスタCPU12およびスレーブ
CPU13が共に正常動作している状態では、第1および
第2のゲート信号、さらに切り換え信号が全てHレベル
であり、したがって第1および第2の切り換えスイッチ
19および20が図の状態に設定されると共に、アンドゲー
ト21〜24には全てHレベルのゲート信号が供給されてい
る。
【0022】したがって、マスタCPU12のコンペア出
力は、第1の切り換えスイッチ19およびアンドゲート23
を介して点火信号および噴射信号として出力されると共
に、このマスタCPU12のポート出力はアンドゲート21
を介してその他の出力として取り出される。また、スレ
ーブCPU13のコンペア出力は、第2の切り換えスイッ
チ20およびアンドゲート24を介してアクチュエータ制御
信号として出力され、さらにポート出力はアンドゲート
22を介してその他の出力として取り出される。そして、
これらアンドゲート21〜24それぞれからの出力信号に基
づいて、エンジンが正常に電子制御されるようになる。
【0023】スレーブCPU13に異常が発生したときに
は、マスタCPU12から出力される第1のゲート信号が
Lレベルとなって、アンドゲート22および24からの出力
が禁止される安全側に落とされる制御が実行される。そ
して、異常を発生したスレーブCPU13からのコンペア
出力およびポート出力が禁止される。
【0024】また、マスタCPU12に異常が発生した場
合には、CPU暴走監視回路18からの切り換え信号がL
レベルとなってアンドゲート21、22、および24のゲート
が閉じられると共に、このCPU監視回路18からの指令
でマスタCPU12がリセットされる。そして、切り換え
信号によって第1および第2の切り換えスイッチ19およ
び20が図の状態から切り換えられて、スレーブCPU13
のコンペア出力が切り換えスイッチ20および19、さらに
アンドゲート23を介して出力される。
【0025】すなわち、マスタCPU12が異常となった
場合には、このCPU12のコンペア出力である点火信号
および噴射信号が出力されなくなるものであるが、第1
および第2の切り換えスイッチ19および20の切り換え
て、正常であるスレーブCPU13のコンペア出力を用い
て、リンプホームに必要な点火信号および噴射信号が、
アンドゲート23を介して出力されるようにする。ここ
で、スレーブCPU13においては、切り換え信号を監視
していて、切り換え信号がLレベルとされたときには異
常時プログラム(スレーブCPU13のアクチュエータ制
御用の信号コンペア出力を、リンプホーム可能な点火信
号および噴射信号とするプログラム)を起動する。
【0026】マスタCPU12およびスレーブCPU13の
両方が異常となった場合には、CPU暴走監視回路18か
らの切り換え信号と共に、第2のゲート信号がLレベル
とされる。したがって、アンドゲート21〜24の全てのゲ
ートが閉じられて、この電子制御ユニット11の全ての出
力が安全側に落とされる。
【0027】図2の(A)はマスタCPU12における処
理の流れを示しているもので、まずステップ201 におい
てスレーブCPU13を、このCPU13からのウォッチド
ックパルスによって異常であるか否かを判定する。スレ
ーブCPU13が異常でなく正常であると判定されたなら
ば、ステップ202 に進んでマスタCPU12において正常
時の点火信号処理を行う。そして、その後ステップ203
に進んで正常時の噴射信号処理を行う。さらにステップ
204 に進んで正常時のその他の処理を行う。この様な正
常時の処理を行いながら、常にスレーブCPU13のチェ
ックが行われている。
【0028】ステップ201 においてスレーブCPU13の
異常が判定されたならば、ステップ205 に進む。このス
テップ205 では第1のゲート信号の出力処理を行うもの
で、この第1のゲート信号がアンドゲート22および24を
安全側に落とす。この様にして出力のゲート処理が終了
されたならば、スレーブCPU13の異常に伴う異常時処
理が実行される。ステップ206 で異常時の点火信号処理
を行うと共に、ステップ207 で異常時の噴射信号処理を
行う。さらにステップ208 で異常時のその他の処理が行
われるようにする。すなわち、リンプホーム可能な信号
処理が行われ、この異常時処理に伴うマスタCPU12か
らのコンペア出力が、アンドゲート23を介して点火信号
および噴射信号として取り出される。
【0029】この図2の(A)で示して処理にあって
は、ステップ208 における異常時の処理が終了された後
はステップ206 に戻り、異常時の処理が繰り返し実行さ
れて、一旦異常と判定された後は正常時に戻ることのな
い不可逆性の判定処理を行っている。しかし、システム
によっては正常に戻った場合に正常時に対応した処理を
行わせる可逆性のある処理を実行させるようにしてもよ
い。
【0030】マスタCPU12の監視はCPU暴走監視回
路18において行われる。このマスタCPU12が異常とな
ったときのスレーブCPU13における処理の流れを、図
2の(B)によって説明する。まずステップ211 におい
てCPU暴走監視回路18から切り換え信号がHレベル
(正常)もしくはLレベル(異常)であるか否かを判定
する。切り換え信号がOFF の状態、すなわちHレベルで
マスタCPU12が正常と判定されたときは、ステップ21
2 に進んで点火系および噴射系以外のこのスレーブCP
U13で受け持たされた正常時における処理、すなわち正
常時のアクチュエータ処理が行われる。その後、ステッ
プ213 に進んでその他の処理を行った後ステップ211 に
戻る。
【0031】ステップ211 においてマスタCPU12が異
常であると判定されたならば、ステップ214 に進む。こ
のステップ214 においては、それまでこのスレーブCP
U13において行われていたアクチュエータ処理等を行わ
ずに、異常時の点火信号処理を行い、さらにステップ21
5 において異常時の噴射信号処理を実行する。すなわ
ち、このステップ214 および215 における処理によっ
て、スレーブCPU13のコンペア出力から、リンプホー
ムを可能にする点火信号および噴射信号が出力されるよ
うになり、切り換え信号によって切り換えられた切り換
えスイッチ20および19を介して、このスレーブCPU13
のコンペア出力である点火信号および噴射信号が、アン
ドゲート23から出力されるようになる。
【0032】そして、この電子制御ユニット11を構成す
る2つのCPU12および13が、共に異常となった場合に
は、これがCPU暴走監視回路18において検出され、こ
の監視回路18から切り換え信号と共に第2のゲート信号
が出力される。すなわち、切り換え信号および第2のゲ
ート信号が共にLレベルとされ、アンドゲート21〜24の
全てのゲートが閉じられて、この電子制御ユニット11か
らの全ての出力が安全側に落とされる。
【0033】したがって、この様に構成される電子制御
ユニットによれば、2CPU構成の一方が異常となった
場合においてリンプホーム可能なバックアップ機能が設
定される。この場合、このバックアップ機能はバックア
ップIC等のように固定出力を得るものではないもので
あるため、点火タイミングや噴射タイミングの制御を確
実に行うことの要求されるガソリン筒内直噴エンジンの
制御等が有効に実行される。
【0034】2CPU構成の電子制御ユニットにおい
て、ウォッチドック監視回路においてCPUの異常発生
を監視し、異常検出に伴いCPUに対してリセットを掛
けるようにした場合、CPUに対して何度もリセットを
掛けてもこのCPUが正常に復帰しない場合、出力を安
全側に落とす暴走検出手段が必要とされる。この場合、
単に出力を安全側に落とすのみではなく、いずれのCP
Uがフェイルしたかを判定して、その判定結果に基づい
てバックアップ制御が行われるようにする必要がある。
【0035】図3は第2の実施例を示すもので、電子制
御ユニット11は第1の実施例と同様にマスタCPU12お
よびスレーブCPU13の2CPU構成とされる。そし
て、図1で示した実施例と同様の入力信号がこれらマス
タCPU12およびスレーブCPU13に入力される。マス
タCPU12およびスレーブCPU13では、それぞれ第1
の実施例と同様に入力信号に基づく演算が実行され、こ
れらのCPU12および13のコンペア出力は、図1の場合
と同様に第1および第2の切り換えスイッチ19および20
に供給されている。
【0036】そして、これら切り換えスイッチ19および
20からそれぞれ出力される信号がアンドゲート23および
24に供給され、アンドゲート23からは点火信号および噴
射信号が、アンドゲート24からはリレー制御信号が出力
される。またマスタCPU12のポート出力はアンドゲー
ト21に供給され、スレーブCPU13のポート出力はアン
ドゲート22に供給されて、それぞれ燃料ポンプ制御出力
およびステップモータ制御、EGRバルブ制御、LSC
その他の制御等のための信号が出力され、図示されない
エンジンが電子的に制御される。
【0037】マスタCPU12から出力されるウォッチド
ックパルスは、第3の切り換えスイッチ31を介してウォ
ッチドック(W/D)監視回路32に入力され、監視され
ている。このW/D監視回路32は暴走検出回路33によっ
て監視されているもので、このW/D監視回路32にあっ
ては、正常時に一定周期でオン・オフを繰り返すウォッ
チドックパルスを監視して、このパルスが一定期間内で
反転されない状態が検出されたときには、このウォッチ
ドックパルスを出力するCPUが異常と判定して、リセ
ット信号が出力される。そして、このリセット信号はマ
スタCPU12に対してリセット指令として供給する。
【0038】暴走検出回路33にあってはW/D監視回路
32からのリセット信号を監視しているもので、CPUが
フェイルしてリセットが頻繁に行われたと判断すると、
そのCPUがフェイルになって数回リセットしても正常
に復帰しないと判断し、この暴走検出回路33からフェイ
ル検出信号が出力されるようにする。
【0039】この暴走検出回路33からのフェイル検出信
号は、ラッチ回路35および36にそれぞれクロックCLK と
して入力されるもので、ラッチ回路35のD入力には接地
電位が設定され、ラッチ回路35のQ出力がラッチ回路36
のD入力とされる。
【0040】ラッチ回路35からは第1のフェイル信号が
出力され、この第1のフェイル信号は第1の切り換え信
号として第3の切り換えスイッチ31に供給される。そし
て、正常時には図のようなマスタCPU12からのウォッ
チドックパルスがW/D監視回路32に入力する状態が、
第1のフェイル信号によって切り換えられることによ
り、スレーブCPU12からのウォッチドックパルスがW
/D監視回路31に供給されるようにする。ここで、この
第1の切り換え信号とされる第1のフェイル信号は、マ
スタCPU12が正常時にHレベルに設定され、フェイル
を判定してリセット指令を出力する状態でLレベルとさ
れる。
【0041】この第1のフェイル検出信号は、さらにス
レーブCPU13にリセット指令として供給されると共
に、第4の切り換えスイッチ34に切り換え指令として供
給される。この切り換えスイッチ34は、通常においては
マスタCPU12からのリセット指令信号をスレーブCP
U13に入力しているもので、切り換え指令によって切り
換えることにより、W/D監視回路32からのリセット出
力がスレーブCPU13に入力されるようにしている。そ
して、アンドゲート21、22、24に対してこの切り換え信
号がゲート信号として供給されている。
【0042】ラッチ回路36からの出力は、マスタおよび
スレーブの両CPU12および13が共に異常と判定される
状態でLレベルの異常信号を出力するもので、アンドゲ
ート23に対してゲート信号として供給する。
【0043】この様に構成される電子制御ユニット11に
おいて、一連の動作をマスタCPU12およびスレーブC
PU13において行われると、この両CPU12および13の
状況に応じて、次のような4つのモードに分けられる。 (1) 正常時からマスタCPU12がフェイルする場合 (2) 正常時からスレーブCPU13がフェイルする場合 (3) (1) の状態からさらにスレーブCPU13がフェイル
する場合 (4) (2) の状態からさらにマスタCPU12がフェイルす
る場合 以下に、この4つのモードそれぞれに対応してその動作
を説明する。
【0044】まず(1) のモードにおいて両CPU12およ
び13が正常状態にある正常時にあっては、マスタCPU
12からのウォッチドックパルスが正常の状態にあって、
W/D監視回路32において異常が検出されていない。し
たがって、このW/D監視回路32からの出力であるリセ
ット信号は正常を表すHレベルにあり、当然暴走検出回
路33において暴走が検出されていないものであるため、
第1ないし第4の切り換えスイッチ19、20、31、34はそ
れぞれ図の状態に設定されている。そして、W/D監視
回路32にはマスタCPU12からのウォッチドックパルス
が入力され、マスタCPU12の異常発生を監視してい
る。
【0045】このW/D監視回路32にあっては、入力さ
れるウォッチドックパルスが一定期間反転しない状態を
検出し、この検出に対応して一旦Lレベルにした後Hレ
ベルとするリセット信号を出力する。このリセット信号
がLレベルとされることによりマスタCPU12が一旦リ
セットを掛けられ、このリセット信号が解除されるもの
であるが、このリセット動作によってマスタCPU12が
正常に戻った場合は、再びこのCPU12からのウォッチ
ドックパルスがオン・オフを繰り返し、W/D監視回路
32はフェイル判定を行わずに、その出力であるリセット
信号がHレベルとされて正常動作状態に復帰される。
【0046】しかし、マスタCPU12がフェイルしてし
まい、W/D監視回路32からのリセット信号がHレベル
に戻ってもこのマスタCPU12が正常に戻らないと、こ
のマスタCPU12からのウォッチドックパルスが正常状
態に復帰しないため、W/D監視回路32から出力される
リセット信号は、HおよびLレベルの繰り返しが継続さ
れる。
【0047】暴走検出回路33にあっては、このW/D監
視回路32からのリセット信号を監視していて、このW/
D監視回路32からのリセット信号が特定される周波数以
上である期間でオン・オフ(Hレベル・Lレベル)を繰
り返すと、マスタCPU12がフェイルであると判定し
て、フェイル信号をLレベルからHレベルに反転する。
実際には、この暴走検出回路33はポンピンク回路によっ
て構成されている。
【0048】暴走検出回路33からのフェイル信号がHレ
ベルからLレベルに反転されると、ラッチ回路35におい
て、イニシャル状態でHレベルのQ出力がLレベルに反
転する。このラッチ回路35からのQ出力は、第1の切り
換え信号として用いられるようになるもので、この第1
の切り換え信号はアンドゲート21、22および24のゲート
を閉じて安全側に落とすようになり、さらにこの第1の
切り換え信号は暴走検出回路33のリセットに用いられ
る。
【0049】この暴走検出回路33は、ポンピンク回路に
よって構成されているものであるため、1度フェイルを
検出した後においては、直ちにその検出前の状態に戻し
て次のCPUフェイルの判定に備えなければならない。
そのため、第1の切り換え信号をリセット指令として暴
走検出回路33に入力し、この信号によってポンピンク回
路のコンデンサの電荷を抜いて、フェイル検出信号をL
レベルに設定し、切り換え指令が出されない状態とす
る。
【0050】第3の切り換えスイッチ31は、W/D監視
回路32に供給されるウォッチドックパルスを、マスタC
PU12からのものにするか、あるいはスレーブCPU13
からのものにするかを切り換え選択する。この電子制御
ユニット11が正常に作動している状態では、マスタCP
U12からのウォッチドックパルスがW/D監視回路32に
入力されるように設定されている。そして、ラッチ回路
35からの第1の切り換え信号が、マスタCPU12のフェ
イル検出に伴いLレベルとされると図の状態から切り換
えられ、スレーブCPU13からのウォッチドックパルス
がW/D監視回路32に入力されて、スレーブCPU12が
W/D監視回路32で監視されるようになる。
【0051】第4の切り換えスイッチ34は、スレーブC
PU13に対するリセット指令がマスタCPU12から得ら
れるようにするか、あるいはW/D監視回路32からのリ
セット信号にするかを切り換えている。正常時において
は、スレーブCPU13はマスタCPU12によって監視さ
れている。したがってスレーブCPU13に対するリセッ
ト信号はマスタCPU12から与えられる。そして、この
マスタCPU12がフェイルと認定されて第1の切り換え
信号がLレベルの状態で、この第4の切り換えスイッチ
34が切り換えられ、W/D監視回路32(この状態におい
てはスレーブCPU13からのウォッチドックパルスが入
力されている)によって、スレーブCPU13に対してリ
セットが掛けられるようにする。
【0052】第1および第2の切り換えスイッチ19およ
び20は、図で示す正常の状態ではマスタCPU12のコン
ペア出力がアンドゲート23に供給され、このマスタCP
U12で演算された点火信号および噴射信号が出力され
る。またスレーブCPU13のコンペア出力はアンドゲー
ト24を介して出力され、リレー制御信号等とされる。
【0053】そして、マスタCPU12がフェイルと判定
され、暴走検出回路33からのフェイル信号の供給される
ラッチ回路35からの出力である第1の切り換え信号がL
レベルとされると、第1および第2の切り換えスイッチ
19および20が図の状態から切り換えられて、スレーブC
PU13のコンペア出力が第2の切り換えスイッチ20、さ
らに第1の切り換えスイッチ19を介してアンドゲート23
に供給され、スレーブCPU13で演算された異常時点火
信号および異常時噴射信号が出力される。
【0054】次に(2) のモードの場合について説明す
る。スレーブCPU13からのウォッチドックパルスはマ
スタCPU12に入力され、正常時にスレーブCPU13が
マスタCPU12において監視されている。そして、スレ
ーブCPU13からのウォッチドックパルスが一定期間以
上反転されなくなると、マスタCPU12はスレーブCP
U13の異常を判定して、スレーブCPU13に対してリセ
ットを掛ける。
【0055】その後、スレーブCPU13が正常に戻って
ウォッチドックパルスが出力されるようになると、マス
タCPU12はスレーブCPU13に対してリセットを掛け
ることがなく、スレーブCPU13に正常動作状態が継続
される。しかし、スレーブCPU13がフェイルしてその
リセット動作によってウォッチドックパルスが復帰され
ないときには、マスタCPU12がスレーブCPU12のフ
ェイルを認知して、第2の切り換え信号をLレベルとす
る。このため、アンドゲート22および24のゲートが閉じ
られ、スレーブCPU12からの出力が安全側に落とされ
る。
【0056】(3) のモードの場合には、第1の段階とし
てマスタCPU12がフェイルしていて、ラッチ回路35か
らの第1の切り換え信号が異常時のLレベルとされ、第
3および第4の切り換えスイッチ31および34が図の状態
から切り換えられている。そして、この状態ではスレー
ブCPU13がW/D監視回路32および暴走検出回路33で
監視されている。
【0057】この様な状態でスレーブCPU13からのウ
ォッチドックパルスがなくなると、W/D監視回路32か
らのリセット信号が第4の切り換えスイッチ34を介して
スレーブCPU13に供給されて、このスレーブCPU13
にリセットが掛けられる。この様なリセット操作にもか
かわらずスレーブPU13の正常動作が復帰されないとき
には、これが暴走検出回路33で検出されて、その出力フ
ェイル信号がHレベルに反転されて、ラッチ回路35およ
び36にそれぞれクロックCLK が入力される。
【0058】ここで、ラッチ回路35のQ出力は、すでに
第1の段階のマスタCPU12のフェイルによってLレベ
ルとされているものであるため、ラッチ回路36において
このLレベルがラッチされる。すなわち、このラッチ回
路36のQ出力は、イニシャルの状態でHレベルであっ
て、マスタCPU12のフェイルが判定され、さらにその
後スレーブCPU13がフェイルと判定されると、Lレベ
ルに反転される。
【0059】したがって、このラッチ回路36のQ出力
は、マスタおよびスレーブの両CPU12および13が共に
フェイルするとLレベルとされて、両CPU12および13
が共に異常であることを示すLレベルとされ、すでに第
1の切り換え信号によってゲートを閉じられているアン
ドゲート21、22、24と共にアンドゲート23のゲートが閉
じられて安全側に設定される。すなわち、このアンドゲ
ート23はマスタCPU12のみがフェイルの状態ではゲー
トが閉じられないが、両CPU12および13が共にフェイ
ルしたときにその出力が遮断される。
【0060】最後の(4) のモードの場合には、第1の段
階でスレーブCPU13がフェイルしている状態で、マス
タCPU12がフェイルする。スレーブCPU13がフェイ
ルしたときには、(2) のモードで説明したように、アン
ドゲート22および24はマスタCPU12からの第2の切り
換え信号によって閉じられている。このマスタCPU12
の監視は、第3および第4の切り換えスイッチ31および
34が図の状態から切り換えられていないため、W/D監
視回路32および暴走検出回路33において行われる。
【0061】したがって、この様な状態でマスタCPU
12がフェイルすると、暴走検出回路33からのフェイル信
号がHレベルに反転される。この場合、ラッチ回路35に
おいてはまだラッチされていないためにそのQ出力はH
レベルであるが、マスタCPU12のフェイルによって暴
走検出回路33からのフェイル信号がHレベルに反転され
ると、ラッチ回路35のQ出力はLレベルにラッチされ、
第1の切り換え信号がLレベルとされる。
【0062】この第1の切り換え信号がLレベルとされ
ると、第3および第4の切り換えスイッチ31および34が
図の状態から切り換えられ、W/D監視回路32および暴
走検出回路33はスレーブCPU13を監視するように切り
換えられるが、このモードの状態ではスレーブCPU13
がすでにフェイルであるため、暴走検出回路33からすぐ
に再フェイル信号が出力される。したがって、ラッチ回
路36からのQ出力がLレベルにラッチされ、両CPU異
常信号が発生されて、第1の切り換え信号でゲートの閉
じられたアンドゲート21、22、24と共に、アンドゲート
23のゲートが閉じられて、安全側に設定される。
【0063】以上説明したように、マスタCPU12がフ
ェイルしたときには第1の切り換え信号が出力され、ス
レーブCPU13がフェイルしたときには第2の切り換え
信号が出力され、さらに両CPU12および13が共にフェ
イルしたときには、両CPU異常信号が出力される。し
たがって、W/D監視回路32および暴走検出回路33の1
つの回路要素によって、マスタおよびスレーブの両CP
U12、13の監視、さらにいずれのCPUがフェイルした
かの判定が可能とされる。
【0064】この様に構成される電子制御ユニット11
を、例えばガソリン筒内直噴エンジンに制御装置として
使用した場合、アンドゲート23には最も冗長性がない出
力が割り当てられるもので、具体的には点火信号および
噴射信号が割り当てられる。ガソリン筒内直噴エンジン
の場合、フェイル時においてもポート噴射のような固定
噴射や固定点火タイミングではエンジンが始動できな
い。このため、常にCPUからの制御が必要とされる。
【0065】アンドゲート21、22、24からの出力は、制
御プログラムの負荷の具合等に基づいて割り当てられる
もので、具体的には図でも示すようにステップモータの
制御や燃料ポンプの制御、さらにEGRバルブやISC
バルブ、その他のリレー等の制御信号に割り当てる。
【0066】図4はマスタCPU12のプログラム制御に
よる処理の流れを示す。まずステップ301 でスレーブC
PU13が正常動作状態にあると判定されたときは、ステ
ップ302 に進んでマスタCPU12において正常時の燃料
ポンプ制御を実行する。さらに、ステップ303 に進んで
正常時の噴射信号の処理を行い、ステップ304 に進んで
点火信号の処理を行い、ステップ305 に進んでその他の
信号処理を行う正常時の演算処理が実行されるようにす
る。そして、ステップ306 ではこのマスタCPU12の正
常動作を確認するウォッチドックパルスを出力する。
【0067】ステップ301 でスレーブCPU13がフェイ
ルしていると判定されたときは、ステップ307 に進んで
第2の切り換え信号を出力するものであり、その後ステ
ップ308 〜310 に順次進んで、マスタCPU12において
スレーブCPU13の異常時に対応する噴射信号処理、点
火信号処理、さらにその他の信号の処理を行う制御を実
行する。そして、ステップ311 でこのマスタCPU12の
正常動作を確認させるウォッチドックパルスを出力す
る。
【0068】このステップ308 〜310 における異常時の
処理は、正常時の処理を行うステップ302 〜305 の処理
とは異なり、異常時のプログラムによって実行される。
この異常時のプログラムはリンプホームが行える程度の
噴射信号および点火信号が出力されるようにするもの
で、容量的にも正常時のプログラムに比べて小さく、ま
た制御も機能ダウンされたものとされる。
【0069】図5はスレーブCPU13における処理の流
れを示すもので、ステップ321 において第1の切り換え
信号を監視する。そして、マスタCPU12が正常に動作
していて第1の切り換え信号がHレベルと判定されたと
きは、ステップ322 以降に進んで正常時の処理が実行さ
れるようにする。すなわち、ステップ322 ではスレーブ
CPU13における正常時のステップモータの制御を実行
し、ステップ323 ではEGRバルブの制御を、ステップ
324 ではISGバルブの制御を、さらにステップ325 で
はリレー制御をそれぞれ実行する。そして、ステップ32
6 でこのスレーブCPU13の正常状態を確認するウォッ
チドックパルスを出力する。
【0070】ステップ231 において、マスタCPU12が
フェイルであって第1の切り換え信号がLレベルである
と判定されたならば、ステップ327 に進む。このマスタ
CPU12がフェイルの状態では、正常動作に伴う噴射信
号および点火信号が出力されないようになっているもの
であるため、異常時プログラムを実行する。
【0071】すなわち、異常時プログラムにしたがっ
て、スレーブCPU13においてステップ327 〜329 にお
いて異常時処理が実行されるもので、ステップ327 にお
いては噴射信号処理が、ステップ328 においては点火信
号処理が、さらにステップ329においてはリレー制御が
それぞれ実行される。そして、スレーブCPU12のコン
ペア出力によってリンプホーム可能な程度のエンジン制
御を実行する。ステップ330 では、このスレーブCPU
13が正常に動作されていることを示すウォッチドックパ
ルスを出力し、ステップ327 に戻る。
【0072】
【発明の効果】以上のようにこの発明に係る電子制御装
置によれば、特に2CPUを使用するようなマルチCP
U構成とした場合に、メインCPUとスレーブCPUの
異常検出に際して、CPUの異常検出回路をCPU毎に
設けることなく、この電子制御装置を構成する複数のC
PUの異常が検出される。すなわち、電子制御装置をマ
ルチCPU構成とした場合において、各CPUの異常の
監視が1つの異常監視回路および1つのCPUによって
行われるようなり、充分簡易化した部品構成が実現でき
て信頼性も確実に確保され、2CPUの一方がフェイル
したような場合においても、特に処理系を2重にして用
意することなく必要最小限の制御動作が継続して実行さ
れる。例えば、この電子制御装置によってエンジン制御
を行う場合、特に重要な信号である点火制御および噴射
制御等の処理が残った正常なCPUを用いて行われて、
リンプホームが可能とされるようにしたエンジン制御機
能が確保される。
【図面の簡単な説明】
【図1】この発明の一実施例に係る電子制御装置を構成
する電子制御ユニットを説明するための構成図。
【図2】(A)および(B)はそれぞれ上記電子制御ユ
ニットを構成するマスタCPUおよびスレーブCPUの
制御の流れを説明するフローチャート。
【図3】この発明の第2の実施例を説明するための構成
図。
【図4】この第2の実施例のマスタCPUにおける制御
の流れを説明するフローチャート。
【図5】前記第2の実施例のスレーブCPUにおける制
御の流れを説明するフローチャート。
【図6】第1の発明の概要を説明するための構成図。
【図7】第2の発明の概要を説明するための構成図。
【図8】第3の発明の概要を説明するための構成図。
【符号の説明】
11…電子制御ユニット、12…マスタCPU、13…スレー
ブCPU、18…CPU暴走監視回路、19、20、31、34…
切り換えスイッチ、21〜24…アンドゲート、32…W/D
監視回路、33…暴走検出回路、35、36…ラッチ回路。
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 G05B 9/02 A

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】 第1の制御対象への制御信号を出力する
    第1のCPUと、第2の制御対象への制御信号を出力す
    る第2のCPUとを備えた電子制御ユニットにおいて、 前記第1のCPUに設定され、前記第2のCPUから出
    力される作動信号に基づいて前記第2のCPUの異常を
    監視し、その異常検出時に前記第2のCPUにリセット
    信号を出力する第1の異常監視手段と、 前記第1のCPUから出力される作動信号に基づいて前
    記第1のCPUの異常を監視し、その異常検出時に前記
    第1のCPUにリセット信号を出力する第2の異常監視
    手段と、 前記第1のCPUの異常検出に応じて、前記第1の制御
    対象への制御信号を前記第1のCPUからの制御信号出
    力から前記第2のCPUからの制御信号出力に切り換え
    る切り換え手段と、 前記第2のCPUに設定され、前記切り換え手段によっ
    て制御信号出力が切り換えられることに対応して前記第
    1の制御対象への制御信号を出力する異常時制御信号出
    力手段と、 を具備したことを特徴とする電子制御装置。
  2. 【請求項2】 前記電子制御ユニットはエンジンの制御
    装置を構成するもので、前記第1のCPUではエンジン
    の点火信号および燃料噴射信号が制御信号として出力さ
    れるようにした請求項1記載の電子制御装置。
  3. 【請求項3】 第1の制御対象への制御信号を出力する
    第1のCPUと、第2の制御対象への制御信号を出力す
    る第2のCPUとを備えた電子制御ユニットにおいて、 前記第1のCPUに設定され、前記第2のCPUから出
    力される作動信号に基づいて前記第2のCPUの異常を
    監視してその異常検出時に前記第2のCPUにリセット
    信号を出力する第1の異常監視手段と、 前記第1のCPUから出力される作動信号に基づいて前
    記第1のCPUの異常を監視してその異常検出時に前記
    第1のCPUにリセット信号を出力する第2の異常監視
    手段と、 前記第1のCPUの異常検出に応じて前記第1の制御対
    象への制御信号を、前記第1のCPUからの制御信号出
    力から前記第2のCPUからの制御信号出力に切り換え
    る切り換え手段と、 この切り換え手段によって制御信号の出力が切り換えら
    れた状態で、前記第2の異常監視手段に前記第1のCP
    Uから出力される作動信号を前記第2のCPUから出力
    される作動信号に切り換えて前記第2の異常監視手段に
    供給し、前記第2のCPUの異常を監視させる作動信号
    切り換え手段と、 前記第2のCPUに設定され、前記切り換え手段によっ
    て制御信号の出力が切り換えられたときには、前記第1
    の制御対象への制御信号を出力する異常時制御信号出力
    手段と、 を具備したことを特徴とする電子制御装置。
  4. 【請求項4】 前記第2の異常監視手段は、通常は前記
    第1のCPUからのウォッチドックパルスが作動信号と
    して入力され、前記作動信号切り換え手段によって作動
    信号が切り換えられたときには、前記第2のCPUから
    のウォッチドックパルスが作動信号として入力されるウ
    ォッチドック監視回路と、このウォッチドック監視回路
    からの出力に基づき前記第1および第2のCPUそれぞ
    れのフェイルを検出してそれぞれフェイル信号を出力す
    る暴走検出回路と、この暴走検出回路からの検出信号に
    基づき前記第1のCPUのフェイルに対応する第1のフ
    ェイル信号、さらに前記第1および第2の両CPUのフ
    ェイルに対応する第2のフェイル信号を出力する第1お
    よび第2のフェイル検出手段とを含み構成され、前記第
    1のフェイル信号が前記作動信号切り換え手段の切り換
    え信号として用いられ、前記第2のフェイル信号に基づ
    いて全ての制御出力が禁止されるようにした請求項3記
    載の電子制御装置。
  5. 【請求項5】 第1の制御対象への制御信号を出力する
    第1のCPUと、第2の制御対象への制御信号を出力す
    る第2のCPUとを備えた電子制御ユニットにおいて、 前記第1のCPUに設定され、前記第2のCPUから出
    力される作動信号に基づいて前記第2のCPUの異常を
    監視してその異常検出時に前記第2のCPUにリセット
    信号を出力する異常監視手段と、 この異常監視手段での前記第2のCPUの異常の非検出
    状態で、前記第1の制御対象に対する制御信号を演算す
    る第1の制御信号演算手段と、 前記異常監視手段での前記第2のCPUの異常の検出状
    態で、前記第1の制御対象に対する制御信号を演算する
    第2の制御信号演算手段と、 前記第1および第2の制御信号演算手段によって演算さ
    れる演算信号の出力を切り換える切り換え手段と、 を具備したことを特徴とする電子制御装置。
JP6082885A 1994-04-21 1994-04-21 電子制御装置 Pending JPH07293320A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP6082885A JPH07293320A (ja) 1994-04-21 1994-04-21 電子制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP6082885A JPH07293320A (ja) 1994-04-21 1994-04-21 電子制御装置

Publications (1)

Publication Number Publication Date
JPH07293320A true JPH07293320A (ja) 1995-11-07

Family

ID=13786733

Family Applications (1)

Application Number Title Priority Date Filing Date
JP6082885A Pending JPH07293320A (ja) 1994-04-21 1994-04-21 電子制御装置

Country Status (1)

Country Link
JP (1) JPH07293320A (ja)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1173203A (ja) * 1997-08-29 1999-03-16 Denso Corp 電子制御装置
JP2001243591A (ja) * 2000-02-29 2001-09-07 Toyota Motor Corp 電子制御ユニット、車両の走行支援装置、及び車両交通システム
US7373487B2 (en) 2002-04-10 2008-05-13 Alps Electric Co., Ltd Controller with fail-safe function
WO2008058435A1 (fr) * 2006-11-16 2008-05-22 Zte Corporation Procédé pour terminal mobile comprenant de doubles processeurs qui surveillent et commandent l'état de fonctionnement du processeur
JP2008223692A (ja) * 2007-03-14 2008-09-25 Denso Corp 電子制御装置
JP2010001872A (ja) * 2008-06-23 2010-01-07 Hitachi Ltd 内燃機関制御装置
JP2010185435A (ja) * 2009-02-13 2010-08-26 Denso Corp 車両制御システム
CN103206308A (zh) * 2013-04-18 2013-07-17 东风汽车公司 一种用于汽油发动机ecu安全监控系统的方法
US8571782B2 (en) 2003-01-31 2013-10-29 Robert Bosch Gmbh Computer system for use in vehicles
JP2018052315A (ja) * 2016-09-29 2018-04-05 日立オートモティブシステムズ株式会社 自動車用制御装置及び内燃機関用制御装置
US10808836B2 (en) 2015-09-29 2020-10-20 Hitachi Automotive Systems, Ltd. Monitoring system and vehicle control device
CN113110124A (zh) * 2021-03-11 2021-07-13 上海新时达电气股份有限公司 双mcu控制方法及控制系统
CN113335298A (zh) * 2021-05-28 2021-09-03 广汽丰田汽车有限公司 Cpu故障处理方法、车辆及可读存储介质

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1173203A (ja) * 1997-08-29 1999-03-16 Denso Corp 電子制御装置
JP2001243591A (ja) * 2000-02-29 2001-09-07 Toyota Motor Corp 電子制御ユニット、車両の走行支援装置、及び車両交通システム
US7373487B2 (en) 2002-04-10 2008-05-13 Alps Electric Co., Ltd Controller with fail-safe function
US8571782B2 (en) 2003-01-31 2013-10-29 Robert Bosch Gmbh Computer system for use in vehicles
WO2008058435A1 (fr) * 2006-11-16 2008-05-22 Zte Corporation Procédé pour terminal mobile comprenant de doubles processeurs qui surveillent et commandent l'état de fonctionnement du processeur
JP2008223692A (ja) * 2007-03-14 2008-09-25 Denso Corp 電子制御装置
JP2010001872A (ja) * 2008-06-23 2010-01-07 Hitachi Ltd 内燃機関制御装置
JP2010185435A (ja) * 2009-02-13 2010-08-26 Denso Corp 車両制御システム
CN103206308A (zh) * 2013-04-18 2013-07-17 东风汽车公司 一种用于汽油发动机ecu安全监控系统的方法
US10808836B2 (en) 2015-09-29 2020-10-20 Hitachi Automotive Systems, Ltd. Monitoring system and vehicle control device
JP2018052315A (ja) * 2016-09-29 2018-04-05 日立オートモティブシステムズ株式会社 自動車用制御装置及び内燃機関用制御装置
CN113110124A (zh) * 2021-03-11 2021-07-13 上海新时达电气股份有限公司 双mcu控制方法及控制系统
CN113110124B (zh) * 2021-03-11 2022-08-19 上海新时达电气股份有限公司 双mcu控制方法及控制系统
CN113335298A (zh) * 2021-05-28 2021-09-03 广汽丰田汽车有限公司 Cpu故障处理方法、车辆及可读存储介质

Similar Documents

Publication Publication Date Title
JP3330971B2 (ja) 自動車の制御装置
JP3255693B2 (ja) 自動車のマルチコンピュータシステム
US6892129B2 (en) Vehicle electronic control system and method having fail-safe function
US6718254B2 (en) Intake air quantity control system for internal combustion engine
US4598355A (en) Fault tolerant controller
US4890284A (en) Backup control system (BUCS)
JPH11294252A (ja) 電子制御装置
JPH07293320A (ja) 電子制御装置
US6775609B2 (en) Electronic control unit for vehicle having operation monitoring function and fail-safe function
JPS63501303A (ja) 2つのプロセツサを有するコンピユ−タシステム
US6067586A (en) Method for checking a first processor performing functions by a data word received and stored, and modified after performing a given function, and monitored by a second processor
JP2021124910A (ja) 電子制御装置
JP2877912B2 (ja) 内燃機関の電子制御装置
GB2255422A (en) Monitoring device for an i.c. engine control system.
US9903300B2 (en) Method for shutting down an electrically controlled component of a vehicle in a case of error of a processing unit controlling the component
JP2663982B2 (ja) 車両用のブレーキ・ストップランプ回路
JP3923810B2 (ja) 車両用電子制御装置
JP3370387B2 (ja) マルチcpu構成の車両制御用コンピュータシステムにおける異常対策方式
JP6681304B2 (ja) 自動車用制御装置及び自動車用内燃機関制御装置
JPH06305376A (ja) 車輌用制御装置
JP2003294129A (ja) 車両用電子制御装置
JPS6029982B2 (ja) 疑似障害発生装置
JPH1134766A (ja) 車輌制御用コンピュータの異常処理方法
JPH0571963B2 (ja)
JPS6235917A (ja) 車両用電子制御装置