[go: up one dir, main page]

DE3926377A1 - Elektronisches steuergeraet fuer eine brennkraftmaschine - Google Patents

Elektronisches steuergeraet fuer eine brennkraftmaschine

Info

Publication number
DE3926377A1
DE3926377A1 DE19893926377 DE3926377A DE3926377A1 DE 3926377 A1 DE3926377 A1 DE 3926377A1 DE 19893926377 DE19893926377 DE 19893926377 DE 3926377 A DE3926377 A DE 3926377A DE 3926377 A1 DE3926377 A1 DE 3926377A1
Authority
DE
Germany
Prior art keywords
computer
output
watchdog
signals
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19893926377
Other languages
English (en)
Other versions
DE3926377C2 (de
Inventor
Johannes Ing Grad Locher
Herbert Dipl Ing Graf
Wilhelm Dipl Ing Fahrbach
Georgios Dipl Ing Daniilidis
Werner Dr Ing Zimmermann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE19893926377 priority Critical patent/DE3926377C2/de
Priority to JP2187347A priority patent/JP2877912B2/ja
Publication of DE3926377A1 publication Critical patent/DE3926377A1/de
Priority to JP10290228A priority patent/JP2983532B2/ja
Application granted granted Critical
Publication of DE3926377C2 publication Critical patent/DE3926377C2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02BINTERNAL-COMBUSTION PISTON ENGINES; COMBUSTION ENGINES IN GENERAL
    • F02B3/00Engines characterised by air compression and subsequent fuel addition
    • F02B3/06Engines characterised by air compression and subsequent fuel addition with compression ignition

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Chemical & Material Sciences (AREA)
  • Mechanical Engineering (AREA)
  • Combustion & Propulsion (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Electrical Control Of Air Or Fuel Supplied To Internal-Combustion Engine (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Description

Die Erfindung betrifft ein elektronisches Steuergerät mit minde­ stens einem Ausgang zum Ausgeben von digitalen Steuersignalen an mindestens ein steuerbares Bauteil einer Brennkraftmaschine, z. B. an ein Stellwerk für eine Dieseleinspritzpumpe.
Stand der Technik
Elektronische Steuergeräte für eine Brennkraftmaschine weisen häufig zwei Rechner auf, die im folgenden als Hauptrechner und als Nebenrechner bezeichnet werden. Der Nebenrechner überwacht u.a. den Hauptrechner und übt bei Ausfall desselben Notfunktionen aus. Bei verschiedenen Steuergeräten hat der Nebenrechner nur diese Funktionen. Bei anderen Steuergeräten unterstützt der Nebenrechner den Hauptrechner auch bei ordnungsgemäßem Betrieb maßgeblich bei den Steuerungsaufgaben. Jeder der beiden Rech­ ner kann Notfunktionen ausüben, wenn der andere Rechner aus­ fällt.
Der Nebenrechner überwacht den Hauptrechner mit Hilfe von Daten, die über eine Datenleitung zwischen den beiden Rechnern ausge­ tauscht werden. Darüber hinaus werden beide Rechner durch einen Watchdog überwacht, der von beiden Rechnern getriggert wird. Solange mindestens einer der Rechner das Triggersignal für den Watchdog ausgibt, liefert dieser ein Durchlaßsignal an ein Sperrglied vor dem Steuerausgang. Sobald am Sperrglied das Sig­ nal vom Watchdog nicht mehr ansteht, gibt das Sperrglied den Pegel logisch "0" aus. Dieser Pegel entspricht einem Sicher­ heitspotential, das dafür sorgt, daß das angesteuerte Brenn­ kraftmaschinen-Bauteil in eine Stellung überführt wird, die da­ für sorgt, daß der Ausfall des Steuergeräts nicht zu einer Ge­ fährdung von Personen führt, die sich in dem Fahrzeug mit der überwachten Brennkraftmaschine befinden.
Sobald der Nebenrechner feststellt, daß der Hauptrechner ausge­ fallen ist, gibt er ein Übernahmesignal aus, das einem Signal­ ausgabemittel anzeigt, daß nun die Ausgangssignale vom Neben­ rechner auf den Steuerausgang gegeben werden sollen. Problema­ tisch ist, daß der Nebenrechner das Übernahmesignal auch auf­ grund einer Fehlfunktion ausgeben kann. Dann wird das Signal vom Hauptrechner vom Steuerausgang weggenommen und auf das Sig­ nal vom Nebenrechner umgeschaltet, obwohl dieser fehlerhaft ar­ beitet.
Es besteht grundsätzlich das Problem, ein elektronisches Steuer­ gerät mit einem Hauptrechner und einem Nebenrechner anzugeben, das so ausgestaltet ist, daß die Überwachung dahingehend, daß nicht unerwünschte Ausgangssignale auftreten, so zuverlässig ist wie möglich.
Darstellung der Erfindung
Die Erfindung betrifft verschiedene Ausgestaltungen elektroni­ scher Steuergeräte mit besonders hoher Zuverlässigkeit. Alle erfindungsgemäßen Steuergeräte gehören zur bekannten Gruppe von Steuergeräten mit den folgenden Merkmalen:
  • - einem Hauptrechner,
  • - einem Nebenrechner, der den Hauptrechner überwacht und bei Ausfall desselben Notfunktionen ausübt,
  • - einer Watchdog-Schaltung für die Rechner, und
  • - einem Signalausgabemittel zum Ausgeben von Signalen mit zwei Pegeln auf jeden Steuerausgang, wobei einer der Pegel ein Sicherheitspotential aufweist, das bei dauerndem Vorhanden­ sein für einen Sicherheits-Betriebszustand der Brennkraft­ maschine sorgt.
Von besonderem Vorteil ist es, wenn die Watchdog-Schaltung über zwei Watchdogs verfügt, nämlich einen ersten Watchdog zum Über­ wachen der Funktion des Hauptrechners und einen zweiten Watch­ dog zum Überwachen der Funktion des Nebenrechners.
Beim Steuergerät gemäß Anspruch 1 ist das Signalausgabemittel so ausgebildet, daß es
  • - die Ausgangssignale vom Nebenrechner an den jeweils zugehöri­ gen Steuerausgang gibt, wenn mindestens die Bedingungen er­ füllt sind, daß der Nebenrechner ein Übernahmesignal ausgibt und gleichzeitig der zweite Watchdog meldet, daß der Neben­ rechner ordnungsgemäß arbeitet,
  • - aber grundsätzlich das Sicherheitspotential an jeden Steuer­ ausgang gibt, wenn beide Watchdogs den Ausfall der überwach­ ten Rechner melden.
Durch diese Maßnahmen ist gewährleistet, daß das Signal vom Nebenrechner nur dann auf den mindestens einen Steuerausgang gegeben wird, wenn die Wahrscheinlichkeit sehr hoch ist, daß der Nebenrechner ordnungsgemäß arbeitet, was dadurch angezeigt wird, daß am Ausgang des zweiten Watchdogs ein entsprechendes Signal ansteht.
Das Steuergerät gemäß Anspruch 1 gibt die Ausgangssignale vom Nebenrechner auch dann an die Steuerausgänge, wenn nur der Ne­ benrechner fehlerhaften Betrieb des Hauptrechners anzeigt, der erste Watchdog aber unverändert ordnungsgemäßen Betrieb des Hauptrechners meldet. Beim Steuergerät gemäß Anspruch 2 ist das Signalausgabemittel so weitergebildet, daß es auch im eben genannten Fall das Sicherheitspotential an jeden Steueraus­ gang gibt.
Eine ähnliche Funktion wie das Steuergerät gemäß Anspruch 2 weist das Steuergerät gemäß Anspruch 3 auf. Es bietet ebenfalls eine Lösung für den Fall an, daß beide Watchdogs ordnungsgemä­ ßen Betrieb der zugehörigen Rechner melden, der Nebenrechner jedoch auf fehlerhaften Betrieb des Hauptrechners entscheidet. Beim Steuer­ gerät gemäß Anspruch 3 wird in diesem Fall nicht grundsätzlich das Sicherheitspotential an die Steuerausgänge gegeben wie beim Gerät gemäß Anspruch 2, sondern es ist nach wie vor möglich, Ausgangssignale unterschiedlicher Pegel auf Steuerausgänge zu legen, was aber immer nur dann geschieht, wenn die Ausgangssig­ nale der beiden Rechner für den Steuerausgang übereinstimmen.
Wie aus dem Vorstehenden ersichtlich, ist für die Gesamtfunk­ tion des Steuergeräts die Funktion der Watchdog-Schaltung ent­ scheidend. Das Steuergerät gemäß Anspruch 4 ist in vorteilhaf­ ter Weise so ausgestaltet, daß die Rechner Überwachungssignale an die Watchdog-Schaltung geben und sie die Ausgangssignale der Watchdog-Schaltung nach dem Ausgeben der Überwachungssig­ nale überprüfen. Das Signalausgabemittel legt das Sicherheits­ potential auf die Steuerausgänge, wenn die Überprüfung ergibt, daß die Watchdog-Schaltung nicht ordnungsgemäß arbeitet. Die Watchdog-Schaltung kann aus einem gemeinsamen Watchdog für beide Rechner, wie beim Stand der Technik, bestehen, oder es kann eine Watchdog-Schaltung mit zwei einzelnen Watchdogs sein, wie bei den Steuergeräten gemäß den Ansprüchen 1-3.
Selbst wenn Fehlfunktionen der Rechner ordnungsgemäß festge­ stellt werden, besteht immer noch die Gefahr, daß fehlerhafte Ausgangssignale ausgegeben werden. Um Fehlfunktionen aufgrund dieser Gefahr auszuschließen, werden beim Steuergerät gemäß Anspruch 5 die an den Steuerausgängen anliegenden Signale von mindestens einem der Rechner überprüft, und es wird eine Sicher­ heits-Steuerung vorgenommen, wenn festgestellt wird, daß die Werte der überprüften Signale nicht mit den erwarteten Werten übereinstimmen. Statt der an den Steuerausgängen anliegenden Signale können auch die Ausgangssignale der Steuerstufen über­ prüft werden, die von den Signalen der Steuerausgänge ange­ steuert werden, was Gegenstand von Anspruch 6 ist.
Die Funktionen zum Überwachen der beiden Rechner sowie die Funk­ tionen zum Überprüfen der Korrektheit von Ausgangssignalen können einzeln oder gemeinsam angewendet werden. Von besonderem Vorteil ist es, alle Maßnahmen, die zum Erhöhen der Sicherheit beitragen, gemeinsam anzuwenden.
Zeichnung
Fig. 1 Blockschaltbild eines elektronischen Steuergerätes, das so ausgebildet ist, daß Ausgangssignale von einem Nebenrechner nur dann auf Steuerausgänge gegeben wer­ den können, wenn ein dem Nebenrechner zugeordneter Watchdog ordnungsgemäßes Arbeiten des Nebenrechners anzeigt;
Fig. 2 Blockschaltbild eines elektronischen Steuergerätes, das so ausgebildet ist, daß Ausgangssignale von einem Nebenrechner nur dann auf einen Steuerausgang gege­ ben werden können, wenn ein dem Nebenrechner zugeord­ neter Watchdog ordnungsgemäßes Arbeiten des Neben­ rechners anzeigt und gleichzeitig ein einem Hauptrech­ ner zugeordneter Watchdog den Ausfall des Hauptrech­ ners anzeigt;
Fig. 3 Blockschaltbild eines elektronischen Steuergerätes, das so ausgebildet ist, daß Ausgangssignale von einem Nebenrechner nur dann an einen Steuerausgang gegeben werden, wenn ein dem Nebenrechner zugeordneter Watch­ dog ordnungsgemäßen Betrieb des Nebenrechners anzeigt und entweder ein einem Hauptrechner zugeordneter Watchdog den Ausfall des Hauptrechners anzeigt oder wenn der Hauptrechner jeweils dasselbe Ausgangssignal abgibt wie der Nebenrechner; und
Fig. 4 Blockschaltbild eines elektronischen Steuergerätes, das Ausgangssignale überwacht, und das ein Sicher­ heitspotential auf einen Steuerausgang gibt, wenn festgestellt wird, daß die ermittelten Ausgangssig­ nale nicht mit erwarteten übereinstimmen.
Beschreibung von Ausführungsbeispielen
Die Steuergeräte gemäß allen Fig. 1-4 weisen einen Hauptrech­ ner 10 mit zugehörigem ersten Watchdog 11, einen Nebenrechner 12 mit zugehörigem zweiten Watchdog 13 und ein Signalausgabemit­ tel 14 auf, das jeweils unterschiedliche Funktionsgruppen ent­ hält. Das Signalausgabemittel 14 ist durch eine strichpunktier­ te Linie angedeutet. Von jedem der Steuergeräte wird mindestens ein Bauteil einer Brennkraftmaschine angesteuert. Bei Fig. 1 sind es zwei Bauteile 15.1 und 15.2. Jedes Bauteil erhält ein Steuersignal von mindestens einem Steuerausgang 16. Das Steuer­ gerät gemäß Fig. 1 weist zwei Steuerausgänge 16.1 und 16.2 auf. Die Bauteile können Treiberstufen von Stellgliedern sein, es können aber auch Stellregler sein. Im ersten Fall stellt das ausgegebene Steuersignal ein Stellsignal dar, während es im zweiten Fall ein Sollwertsignal darstellt. An unterschiedlichen Steuerausgängen können unterschiedliche Arten von Steuersigna­ len ausgegeben werden. Es handelt sich jedoch immer um digitale Signale, also um Signale mit zwei Pegel. Jedes Bauteil 15 ist so ausgelegt, daß es dann, wenn ein vorgegebener Pegel dauernd auftritt, einen Zustand einstellt, der für einen solchen Betrieb der Brennkraftmaschine sorgt, der einen sicheren Betrieb des Fahrzeugs zur Folge hat, in dem die gesteuerte Brennkraftma­ schine angeordnet ist. Das Potential des Pegels, bei dem der Sicherheitszustand eintritt, wird im folgenden Sicherheitspo­ tential genannt. Es kann dies der niedrige oder der hohe Pegel des digitalen Ausgangssignales sein, je nachdem wie das ange­ steuerte Bauteil 15 ausgebildet ist.
Das Signalausgabemittel 14.1 beim Steuergerät gemäß Fig. 1 weist ein Oder-Glied 17, ein Und-Glied 18, eine Umschalteinrichtung 19 und zwei Sperr-Und-Glieder 20.1 und 20.2 auf. Das Oder-Glied 17 empfängt die Signale vom ersten Watchdog 11 und vom zweiten Watchdog 13. Sein Ausgangssignal ist ein Eingangssignal für die Sperr-Und-Glieder 20.1 und 20.2. Das zweite Eingangssignal für das erste Sperr-Und-Glied 20.1 ist ein erstes Ausgangssignal HAS.1 vom Hauptrechner. Für das zweite Sperr-Und-Glied 20.2 ist das zweite Eingangssignal ein zweites Ausgangssignal HAS.2 vom Hauptrechner 10. Das Ausgangssignal vom ersten Sperr-Und-Glied 20.1 gelangt an den ersten Steuerausgang 16.1. Entsprechend wird das Ausgangssignal vom zweiten Sperr-Und-Glied 20.2 auf den zweiten Steuerausgang 16.2 geführt.
Die Sperr-Und-Glieder 20.1 und 20.2 erhalten die Ausgangssig­ nale HAS.1 bzw. HAS.2 vom Hauptrechner 10 jedoch nur bei ord­ nungsgemäßem Betrieb dieses Rechners. Bei fehlerhaftem Betrieb schaltet die Umschalteinrichtung 19 um, wodurch die Sperr-Und- Glieder 20.1 und 20.2 Ausgangssignale NAS.1 bzw. NAS.2 vom Ne­ benrechner 12 erhalten. Das Umschalten erfolgt dann, wenn das Und-Glied 18 ein Ausgangssignal abgibt. Diese Und-Glied 18 er­ hält an seinem einen Eingang das Ausgangssignal vom zweiten Watchdog 13 und an seinem anderen Eingang ein Übernahmesignal US. Wenn beide Signale hohen Pegel einnehmen, erfolgt das Um­ schalten.
Die Verknüpfung der genannten Funktionsteile führt zum folgen­ den Ablauf.
Solange mindestens einer der beiden Watchdogs 11 und 13 ord­ nungsgemäßen Betrieb eines der beiden Rechner meldet, gibt das Oder-Glied 17 ein Signal hohen Pegels aus, das die beiden Sperr- Und-Glieder 20.1 und 20.2 auf Durchlaß schaltet. Diese stellen an ihrem Ausgang daher dasjenige Signal zur Verfügung, das am zweiten jeweiligen Eingang ansteht. Bei ordnungsgemäßem Betrieb ist dies das jeweilige Ausgangssignal HAS.1 bzw. HAS.2 vom Hauptrechner 10. Fällt dieser jedoch aus, was vom Nebenrechner 12 dadurch festgestellt wird, daß über eine Datenaustauschleitung 21 fehlerhafte Signale oder keine Signale mehr empfangen werden, erfolgt das beschriebene Umschalten auf die Ausgangssignale NAS.1 bzw. NAS.2 vom Nebenrechner 12. Dadurch, daß das Und- Glied 18 in der genannten Beschaltung vorhanden ist, ist sicher­ gestellt, daß der Nebenrechner 12 ein Umschalten mit Hilfe des Übernahmesignales US nur dann vornehmen kann, wenn gleichzeitig der ihm zugeordnete zweite Watchdog 13 ordnungsgemäßen Betrieb des Nebenrechners 12 meldet. Bei bisher bekannten Steuergeräten war es möglich, daß der Nebenrechner aufgrund fehlerhaften Be­ triebs annahm, der Hauptrechner sei nicht in Ordnung, woraufhin er auf sein eigenes fehlerhaftes Ausgangssignal umschaltete. Die­ ser Mangel ist beim Steuergerät gemäß Fig. 1 weitgehend behoben.
Noch weitergehend läßt sich der eben genannte Mangel vermeiden, wenn ein Prinzip angewandt wird, wie es nun mit Hilfe des Steuergerätes gemäß Fig. 2 erläutert wird. Gemäß diesem Prinzip wird nämlich das Ausgeben des Signales vom Nebenrechner nicht nur dann verhindert, wenn dessen Watchdog den Ausfall des Neben­ rechners anzeigt, sondern das Ausgeben wird auch dann verhin­ dert, wenn der Nebenrechner 12 anzeigt, der Hauptrechner 10 sei ausgefallen, der dem Hauptrechner zugeordnete erste Watchdog 11 jedoch ordnungsgemäßen Betrieb des Hauptrechners 10 meldet.
Um das eben genannte Prinzip zu realisieren, ist im Signalaus­ gabemittel 14.2 im Steuergerät gemäß Fig. 2 zusätzlich zu den Funktionsgruppen, die das Signalausgabemittel 14.1 gemäß Fig. 1 aufweist, noch ein zweites Und-Glied 22 vorhanden. Diesem, und nur diesem, werden die Ausgangssignale vom Oder-Glied 17 und vom Und-Glied 18 zugeführt, letzteres in negierter Form. Die Eingangssignale für das Oder-Glied 17 und das Und-Glied 18 sind die ausgehend von Fig. 1 beschriebenen Signale.
Der Einfachheit halber ist in Fig. 2, wie auch in den Fig. 3 und 4, nur jeweils ein Steuerausgang 16 mit angesteuertem Bau­ teil 15 dargestellt. Entsprechend gibt der Hauptrechner 10 nur ein einziges Ausgangssignal HAS und der Nebenrechner 12 nur ein einziges Ausgangssignal NAS aus. Es würde jedoch am Prinzip der Steuergeräte nichts ändern, wenn jeder der Rechner mehrere Aus­ gangssignale für mehrere Steuerausgänge ausgeben würde.
Der eben genannte Steuerausgang 16 erhält das Ausgangssignal vom Sperr-Und-Glied 20. Letzterem werden zwei Eingangssignale zugeführt, und zwar das Ausgangssignal vom zweiten Und-Glied 22 und das Ausgangssignal von der Umschalteinrichtung 19. Diese Umschalteinrichtung 19 wird bei der Variante gemäß Fig. 2 nicht mehr mit Hilfe eines Übernahmesignales US vom Nebenrechner 12 umgeschaltet, sondern mit Hilfe des Ausgangssignales vom ersten Watchdog 11. Sobald dieses Signal auf niedrigen Pegel fällt, schaltet die Umschalteinrichtung 19 vom Ausgangssignal HAS vom Hauptrechner 10 auf das Ausgangssignal NAS vom Nebenrechner 12 um.
Die eben beschriebene Ansteuerung der Umschalteinrichtung 19 gewährleistet, daß das Ausgangssignal NAS vom Nebenrechner 12 nicht auf den Steuerausgang 16 gelangen kann, solange der erste Watchdog 11 ordnungsgemäßen Betrieb des Hauptrechners 10 meldet. Stellt jedoch der Nebenrechner 12 gleichzeitig fehlerhaften Be­ trieb des Hauptrechners fest und gibt daher das Übernahmesig­ nal US an das Und-Glied 18 aus, führt dies bei der oben genann­ ten Schaltung dazu, daß das vom zweiten Und-Glied 22 an das Sperr-Und-Glied 20 ausgegebene Signal auf niedrigen Pegel fällt, weswegen das Sperr-Und-Glied 20 ein Dauersignal mit niedrigem Pegel auf den Steuerausgang 16 gibt. Dies wird erreicht, indem das Umschaltsignal US mit dem Watchdogsignal 13 im UND-Glied 18 verknüpft und invertiert auf den zweiten Eingang des zweiten UND-Gliedes geführt wird.
Bei der Schaltung gemäß Fig. 2 sperrt das Sperr-Und-Glied 20 also dann, wenn entweder die Signale von den beiden Watchdogs 11 und 13 ausfallen (niedriger Pegel am einen Eingang des zweiten Und-Gliedes 22) oder wenn der Nebenrechner 12 das Übernahme­ signal US ausgibt und sein Watchdog 13 ordnungsgemäßen Betrieb des Hauptrechners 12 meldet (niedriger Pegel am anderen Eingang des zweiten UND-Gliedes 22). Auf das Ausgangs­ signal NAS vom Nebenrechner 12 wird nur dann umgeschaltet, wenn der erste Watchdog 11 den Ausfall des Hauptrechners 10 meldet.
Das Steuergerät gemäß Fig. 3 ist eine Variante des Gerätes gemäß Fig. 2, und zwar dahingehend, daß in demjenigen Fall, in dem der Nebenrechner 12 Ausfall, der erste Watchdog 11 jedoch ord­ nungsgemäßen Betrieb des Hauptrechners 10 meldet, nicht grund­ sätzlich dauernd das Sicherheitspotential an den Steuerausgang gegeben wird, sondern daß dann noch mit digitalen Signalen ge­ steuert wird, wenn die Ausgangssignale HAS vom Hauptrechner 10 und NAS vom Nebenrechner 12 übereinstimmen. Weiterhin ist das Ausführungsbeispiel dahingehend gegenüber dem von Fig. 2 va­ riiert, daß keine Umschalteinrichtung 19 mehr vorhanden ist, sondern daß durch mehrere logische Funktionen gewährleistet wird, daß entweder das Ausgangssignal HAS vom Hauptrechner 10 oder das Ausgangssignal NAS vom Nebenrechner 12 auf den Steuer­ ausgang 16 gelangt, oder beide Signale dorthin gelangen, näm­ lich unter der im vorigen Absatz genannten Bedingung.
Das Signalausgabemittel 14.3 im Steuergerät gemäß Fig. 3 weist ein Haupt-Und-Glied 24.1, ein Neben-Und-Glied 24.2, ein Signal- Oder-Glied 25.1 und ein Sperr-Oder-Glied 25.2 auf. Letzteres erhält als Eingangssignale die Ausgangssignale von den Oder-Gliedern 25.1 und 25.2. Dem Signal-Oder-Glied 25.1 werden die Ausgangssignale von den beiden genannten Und-Gliedern 24.1 und 24.2 als Ein­ gangssignale zugeführt. Das Sperr-Oder-Glied 25.2 erhält als Eingangssignale die Ausgangssignale von den beiden Watchdogs 11 und 13. Das Ausgangssignal vom ersten Watchdog 11 gelangt darüber hinaus als Eingangssignal an das Haupt-Und-Glied 24.1. Entsprechend wird dem Neben-Und-Glied 24.2 als ein Eingangs­ signal das Ausgangssignal vom zweiten Watchdog 13 zugeführt. Das zweite Eingangssignal für das Haupt-Und-Glied 24.1 ist das Ausgangssignal HAS vom Hauptrechner 10, während das zweite Ein­ gangssignal für das Neben-Und-Glied 24.2 das Ausgangssignal NAS vom Nebenrechner 12 ist.
Die Funktion des so aufgebauten Steuergerätes sei hier nochmals kurz zusammengefaßt: Melden sowohl der erste Watchdog 11 wie auch der Nebenrechner 12 ordnungsgemäßen Betrieb des Hauptrech­ ners 10, gelangt dessen Ausgangssignal HAS an den Steueraus­ gang 16. Melden sowohl der ersten Watchdog 11 wie auch der Ne­ benrechner 12 Ausfall des Hauptrechners 10, gelangt das Aus­ gangssignal NAS vom Nebenrechner 12 an den Steuerausgang 16. Melden beiden Watchdogs 11 und 13 den Ausfall der zugehörigen Rechner 10 bzw. 12, liegt dauernd das Sicherheitspotential am Steuerausgang 16. Stellt schließlich der Nebenrechner 12 fehler­ haften Betrieb des Hauptrechners 10 fest, meldet jedoch der Watchdog 11 ordnungsgemäßen Betrieb des Hauptrechners 10, ge­ langt nur dann ein digitales Ausgangssignal an den Steueraus­ gang 16, wenn die Ausgangssignale HAS und NAS der beiden Rech­ ner 10 und 12 übereinstimmen. Andernfalls liegt das Sicherheits­ potential an.
Aus der vorstehenden Beschreibung ist ersichtlich, daß es für die erwünschte Betriebssicherheit darauf ankommt, daß die Watch­ dogs 11 und 13 ordnungsgemäß arbeiten. Um deren einwandfreie Funktion zu überprüfen, ist das Steuergerät in der Variante gemäß Fig. 4 so ausgestaltet, daß das Ausgangssignal vom ersten Watchdog 11 in den Hauptrechner 10 und das Ausgangssignal vom zweiten Watchdog 13 in den Nebenrechner 12 rückgeführt ist. In einem Prüfprogramm läßt der Hauptrechner 10 ein Triggersignal für den ersten Watchdog 11 ausfallen und überprüft, ob dann dessen Ausgangssignal auf niedrigen Pegel fällt. Ist dies nicht der Fall, zeigt dies fehlerhaften Betrieb des ersten Watchdogs 11 an, woraufhin der Hauptrechner 10 ein Notlaufsignal NLS.H an das Signalausgabemittel 14 ausgibt. Der Aufbau dieses Sig­ nalausgabemittels 14 ist in Fig. 4 nicht dargestellt. Es arbei­ tet vorzugsweise nach einem der anhand der Fig. 1-3 erläuter­ ten Prinzipien. Auf das Notlaufsignal NLS.H hin, gibt das Sig­ nalausgabemittel 14 entweder das Sicherheitspotential an den Steuerausgang 16 oder es gibt ein solches digitales Signal aus, das zu einem stark eingeschränkten Fahrbetrieb führt. Dadurch wird der Fahrzeugführer veranlaßt, eine Werkstatt aufzusuchen, um das Steuergerät reparieren zu lassen.
Entsprechend wie der Hauptrechner 10 den ersten Watchdog 11 überprüft und bei Ausfall desselben ein Notlaufsignal NLS.H ausgibt, überprüft der Nebenrechner 12 den zweiten Watchdog 13 und gibt im Fehlerfall ein Notlaufsignal NLS.N aus.
Die eben genannte Überprüfung kann auch dann stattfinden, wenn keine zwei gesonderten Watchdogs vorhanden sind, sondern beide Rechner einen gemeinsamen Watchdog triggern. Der Hauptrechner 10 meldet dann dem Nebenrechner 12 über die Datenaustauschleitung 21, daß die Triggersignale ausgesetzt werden sollen. Dann über­ prüft einer der Rechner, ob das Ausgangssignal vom Watchdog abfällt. Ist dies der Fall, werden Notlaufmaßnahmen ergriffen.
Aus der vorstehenden Beschreibung ist ersichtlich, daß die ver­ schiedenen Ausführungsformen der Signalausgabemittel alle dazu dienen, sicheren Betrieb einzustellen, wenn einer der Rechner ausfällt. Diesem Bestreben kann jedoch dann der Erfolg versagt sein, wenn das Signalausgabemittel selbst fehlerhaft arbeitet, oder wenn das angesteuerte Bauteil 15 das empfangene Signal falsch verarbeitet. Um auch in bezug auf derartige Fehler die Betriebssicherheit zu erhöhen, ist das Steuergerät gemäß Fig. 4 so ausgebildet, daß das Ausgangssignal vom Steuerausgang 16 so­ wohl auf den Hauptrechner 10 wie auf den Nebenrechner 12 rück­ geführt ist. Jeder der Rechner kann dann überprüfen, ob das am Steuerausgang 16 auftretende Signal mit dem erwarteten Signal übereinstimmt.Entsprechend kann das Ausgangssignal vom Bauteil 15 auf die beiden Rechner rückgeführt und mit einem erwarteten Sig­ nal verglichen werden. Wenn sich bei einem der Vergleiche ein Feh­ ler ergibt, wird ein Sperrsignal SPS.H oder ein Sperrsignal SPS.N vom Hauptrechner 10 bzw. vom Nebenrechner 12 ausgegeben. Diese Signale gelangen auf einen dem Bauteil 15 nachgeschalte­ ten Sicherheitsschalter 26, der Massepotential oder ein anderes für den jeweiligen Anwendungsfall geeignetes Sicherheitspoten­ tial auf die Ausgangsleitung legt. Alternativ zum nachgeschalteten Sicher­ heitsschalter 26 kann der sichere Zustand auch durch einen in Fig. 4 nicht dargestellten, parallel zum Ausgang 16 mit Bauteil 15 arbeitenden zweiten Eingriff über einen weiteren Ausgang erfolgen, wie z. B. in Fig. 1 dargestellt.
Die anhand von Fig. 4 erläuterten Sicherungsmaßnahmen werden vorteilhafterweise gemeinsam eingesetzt, können jedoch auch einzeln verwendet werden. Von ganz besonderem Vorteil ist es, die anhand von Fig. 4 erläuterten Maßnahmen mit solchen zusam­ men einzusetzen, wie sie anhand von Fig. 2 oder von Fig. 3 be­ schrieben wurden.

Claims (7)

1. Elektronisches Steuergerät für eine Brennkraftmaschine, mit
  • - einem Hauptrechner (10),
  • - einem Nebenrechner (12), der den Hauptrechner überwacht und bei Ausfall desselben Notfunktionen ausübt,
  • - einer Watchdog-Schaltung (11, 13) für die Rechner, und
  • - einem Signalausgabemittel (14; 14.1; 14.2; 14.3) zum Ausge­ ben von Signalen mit zwei Pegeln auf mindestens einen Steuer­ ausgang (16; 16.1; 16.2), wobei einer der Pegel ein Sicher­ heitspotential aufweist, das bei dauerndem Vorhandensein für einen Sicherheits-Betriebszustand der Brennkraftmaschine sorgt,
dadurch gekennzeichnet, daß
  • - ein erster Watchdog (11) zum Überwachen der Funktionen des Hauptrechners (10) vorhanden ist,
  • - ein zweiter Watchdog (13) zum Überwachen der Funktion des Nebenrechners (12) vorhanden ist, und
  • - das Signalausgabemittel (14.1) so ausgebildet ist, daß es
  • - die Ausgangssignale vom Nebenrechner an den jeweils zugehöri­ gen Steuerausgang (16.1, 16.2) gibt, wenn mindestens die Be­ dingungen erfüllt sind, daß der Nebenrechner ein Übernahme­ signal ausgibt und gleichzeitig der zweite Watchdog meldet, daß der Nebenrechner ordnungsgemäß arbeitet,
  • - aber grundsätzlich das Sicherheitspotential an jeden Steuer­ ausgang gibt, wenn beide Watchdogs den Ausfall der überwach­ ten Rechner melden.
2. Elektronisches Steuergerät nach Anspruch 1, dadurch gekennzeichnet, daß
  • - das Signalausgabemittel (14.2) so weitergebildet ist, daß es
    • - die Ausgangssignale vom Nebenrechner (12) nur dann an den jeweils zugehörigen Steuerausgang (16) gibt, wenn die Bedingung erfüllt ist, daß der erste Watchdog (11) den Ausfall des Hauptrechners (10) meldet, und
    • - das Sicherheitspotential auch dann an jeden Steuerausgang gibt, wenn beide Watchdogs (11, 13) ordnungsgemäßen Betrieb der Rechner melden, aber der Nebenrechner fehlerhaften Be­ trieb des Hauptrechners meldet.
3. Elektronisches Steuergerät gemäß dem Oberbegriff von An­ spruch 1, dadurch gekennzeichnet, daß
  • - ein erster Watchdog (11) zum Überwachen der Funktion des Hauptrechners (10) vorhanden ist,
  • - ein zweiter Watchdog (13) zum Überwachen der Funktion des Nebenrechners (12) vorhanden ist, und
  • - das Signalausgabemittel (14.3) so ausgebildet ist, daß es
    • - die Ausgangssignale vom Nebenrechner dann an den jeweils zu­ gehörigen Steuerausgang (16) gibt, wenn der zweite Watchdog ordnungsgemäßen Betrieb des Nebenrechners meldet und dabei der erste Watchdog den Ausfall des Hauptrechners meldet, aber auch dann, wenn beide Watchdogs ordnungsgemäßen Be­ trieb der Rechner melden, der Nebenrechner jedoch fehler­ haften Betrieb des Hauptrechners meldet, aber die Ausgangs­ signale der beiden Rechner für den Steuerausgang überein­ stimmen,
    • - aber grundsätzlich das Sicherheitspotential an jeden Steuer­ ausgang gibt, wenn beide Watchdogs den Ausfall der überwach­ ten Rechner melden.
4. Elektronisches Steuergerät nach einem der vorstehenden An­ sprüche, aber auch nach dem Oberbegriff von Anspruch 1, da­ durch gekennzeichnet, daß
  • - die Rechner (10, 12) Überwachungssignale an die Watchdog­ schaltung (11, 13) geben und die Ausgangssignale der Watch­ dog-Schaltung nach dem Ausgeben der Überwachungssignale über­ prüfen, und
  • - der Hauptrechner (10) oder der Nebenrechner (12) dann das Sicherheitspotential ausgeben, wenn die Überprüfung ergibt, daß die zum jeweiligen Rechner gehörende Watchdog-Schaltung nicht ordnungsgemäß arbeitet.
5. Elektronisches Steuergerät nach einem der vorstehenden An­ sprüche oder nach dem Oberbegriff von Anspruch 1, dadurch gekennzeichnet, daß
  • - die an den Steuerausgängen (16) anliegenden Signale von min­ destens einem der Rechner (10, 12) überprüft werden, und
  • - eine Sicherheits-Steuerung vorgenommen wird, wenn festge­ stellt wird, daß die Werte der überprüften Signale nicht mit den erwarteten Werten übereinstimmen.
6. Elektronisches Steuergerät nach einem der vorstehenden An­ sprüche oder nach dem Oberbegriff von Anspruch 1, dadurch gekennzeichnet, daß
  • - die Ausgangssignale angesteuerter Bauteile (15) von minde­ stens einem der Rechner (10, 12) überprüft werden, welche Bauteile von den Signalen am jeweils zugehörigen Steueraus­ gang (16) angesteuert werden, und
  • - eine Sicherheits-Steuerung vorgenommen wird, wenn festgestellt wird, daß die Werte der überprüften Signale nicht mit den er­ warteten Werten übereinstimmen.
DE19893926377 1989-08-04 1989-08-04 Elektronisches Steuergerät für eine Brennkraftmaschine Expired - Lifetime DE3926377C2 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE19893926377 DE3926377C2 (de) 1989-08-04 1989-08-04 Elektronisches Steuergerät für eine Brennkraftmaschine
JP2187347A JP2877912B2 (ja) 1989-08-04 1990-07-17 内燃機関の電子制御装置
JP10290228A JP2983532B2 (ja) 1989-08-04 1998-10-13 内燃機関の電子制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19893926377 DE3926377C2 (de) 1989-08-04 1989-08-04 Elektronisches Steuergerät für eine Brennkraftmaschine

Publications (2)

Publication Number Publication Date
DE3926377A1 true DE3926377A1 (de) 1991-02-07
DE3926377C2 DE3926377C2 (de) 2003-03-06

Family

ID=6386823

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19893926377 Expired - Lifetime DE3926377C2 (de) 1989-08-04 1989-08-04 Elektronisches Steuergerät für eine Brennkraftmaschine

Country Status (2)

Country Link
JP (2) JP2877912B2 (de)
DE (1) DE3926377C2 (de)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4113959A1 (de) * 1991-04-29 1992-11-05 Kloeckner Humboldt Deutz Ag Ueberwachungseinrichtung
US6480780B1 (en) 1999-04-29 2002-11-12 Mtu Aero Engines Gmbh Regulator or engine regulator, engine and a method for regulating an actuating or propulsion system and an engine
US7426430B2 (en) 2002-11-14 2008-09-16 Siemens Aktiengesellschaft Control unit for activating an occupant protection means in a motor vehicle and method for monitoring the proper functioning of a control unit preferably of this type
DE10255614B4 (de) * 2002-01-28 2009-04-09 Denso Corp., Kariya-shi Elektronisches Fahrzeug-Steuersystem mit betriebssicherer Funktion
US20120065823A1 (en) * 2010-09-13 2012-03-15 Denso Corporation Electronic control unit for vehicles

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06185442A (ja) * 1992-12-22 1994-07-05 Fujitsu Ten Ltd 内燃機関の点火時期制御装置
JP2003049875A (ja) * 2001-08-07 2003-02-21 Denso Corp 発電機及び車載機器駆動用の車両用電磁クラッチ装置
JP2003333675A (ja) 2002-05-14 2003-11-21 Hitachi Ltd 通信系制御装置およびそれの異常監視方法
JP5589635B2 (ja) * 2010-07-20 2014-09-17 いすゞ自動車株式会社 カムレスエンジン弁開閉制御装置
DE102013201702C5 (de) 2013-02-01 2017-03-23 Mtu Friedrichshafen Gmbh Verfahren und Anordnung zur Steuerung einer Brennkraftmaschine
CN103913988B (zh) * 2014-04-04 2016-04-13 中国海洋石油总公司 一种电流模拟量信号分配器
JP6647188B2 (ja) * 2016-11-14 2020-02-14 日立オートモティブシステムズ株式会社 変速機制御装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3322240A1 (de) * 1982-07-23 1984-01-26 Robert Bosch Gmbh, 7000 Stuttgart Sicherheits-notlaufeinrichtung fuer den leerlaufbetrieb von kraftfahrzeugen
DE3539407A1 (de) * 1985-11-07 1987-05-14 Bosch Gmbh Robert Rechnersystem mit zwei prozessoren

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3322240A1 (de) * 1982-07-23 1984-01-26 Robert Bosch Gmbh, 7000 Stuttgart Sicherheits-notlaufeinrichtung fuer den leerlaufbetrieb von kraftfahrzeugen
DE3539407A1 (de) * 1985-11-07 1987-05-14 Bosch Gmbh Robert Rechnersystem mit zwei prozessoren

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4113959A1 (de) * 1991-04-29 1992-11-05 Kloeckner Humboldt Deutz Ag Ueberwachungseinrichtung
US6480780B1 (en) 1999-04-29 2002-11-12 Mtu Aero Engines Gmbh Regulator or engine regulator, engine and a method for regulating an actuating or propulsion system and an engine
DE19919504B4 (de) * 1999-04-29 2005-10-20 Mtu Aero Engines Gmbh Triebwerksregler, Triebwerk und Verfahren zum Regeln eines Triebwerks
DE10255614B4 (de) * 2002-01-28 2009-04-09 Denso Corp., Kariya-shi Elektronisches Fahrzeug-Steuersystem mit betriebssicherer Funktion
US7426430B2 (en) 2002-11-14 2008-09-16 Siemens Aktiengesellschaft Control unit for activating an occupant protection means in a motor vehicle and method for monitoring the proper functioning of a control unit preferably of this type
US20120065823A1 (en) * 2010-09-13 2012-03-15 Denso Corporation Electronic control unit for vehicles

Also Published As

Publication number Publication date
JPH0370837A (ja) 1991-03-26
JPH11190251A (ja) 1999-07-13
JP2983532B2 (ja) 1999-11-29
DE3926377C2 (de) 2003-03-06
JP2877912B2 (ja) 1999-04-05

Similar Documents

Publication Publication Date Title
DE3111126C2 (de) Elektronische Steuereinrichtung für Kraftfahrzeugaggregate
DE4039355C2 (de) Vorrichtung zur Funktionsüberprüfung einer Watchdog-Schaltung
DE3923432C2 (de) Einrichtung zur Erzeugung von Meßsignalen mit einer Mehrzahl von Sensoren
DE3209965A1 (de) Steuereinrichtung fuer fahrzeuge
DE3926377C2 (de) Elektronisches Steuergerät für eine Brennkraftmaschine
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
EP1092177A1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
DE3514079C2 (de) Ausfallsicherungsschaltung
DE4134396C2 (de) Sicheres Automatisierungssystem
DE2651314B1 (de) Sicherheits-Ausgabeschaltung fuer eine Binaersignale abgebende Datenverarbeitungsanlage
EP0270871B1 (de) System zur Ein- und/oder Ausgabe von Signalen eines digitalen Steuersystems
EP0596297B1 (de) Verfahren und Vorrichtung zur Überprüfung einer Überwachungseinheit von Motorsteuersystem
DE4330940A1 (de) Verfahren zum Überwachen einer programmgesteuerten Schaltung
DE102006001805A1 (de) Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
DE10238547A1 (de) Steuersystem und Verfahren zur Fehlerbehebung in elektronischen Einheiten oder Teilnetzen
EP1740815A1 (de) Elektronische steuereinrichtung und verfahren zur steuerung des betriebs von kraftfahrzeugkomponenten
DE3531901C2 (de)
DE10347196B4 (de) Vorrichtung zur Überprüfung einer Schnittstelle
DE3739227C2 (de)
DE2842370C2 (de)
DE1513297B2 (de) Schaltungsanordnung zur erkennung von l bzw o signal fehlern fuer mindestens einen zweikanaligen steuerkreis
DE4319750C2 (de) Verfahren und Vorrichtung zur Funktionsüberwachung von Schalteinrichtungen einer Brückenschaltung sowie deren Verwendung
DE1513297C (de)
DE2151162A1 (de) Einrichtung zur funktionsueberwachung eines analogen dreikanaligen regelsystems
DE2831960C2 (de) Sicherungseinrichtung für die empfangsseitige Auswerteschaltung einer Datenübertragungsanlage mit sich paarweise ausschließenden Informationen

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8304 Grant after examination procedure
8364 No opposition during term of opposition
8320 Willingness to grant licenses declared (paragraph 23)