JPH02138642A - デュアル・コンピュータ相互点検システム - Google Patents

デュアル・コンピュータ相互点検システム

Info

Publication number
JPH02138642A
JPH02138642A JP63324723A JP32472388A JPH02138642A JP H02138642 A JPH02138642 A JP H02138642A JP 63324723 A JP63324723 A JP 63324723A JP 32472388 A JP32472388 A JP 32472388A JP H02138642 A JPH02138642 A JP H02138642A
Authority
JP
Japan
Prior art keywords
computer
control
data
inspection
dual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP63324723A
Other languages
English (en)
Other versions
JP2901258B2 (ja
Inventor
David C Hurst
デービッド・チャールズ・ハースト
Malcolm Brearley
マルコーム・ブレアリー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF International UK Ltd
Original Assignee
Lucas Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lucas Industries Ltd filed Critical Lucas Industries Ltd
Publication of JPH02138642A publication Critical patent/JPH02138642A/ja
Application granted granted Critical
Publication of JP2901258B2 publication Critical patent/JP2901258B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1654Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0763Error or fault detection not based on redundancy by bit configuration check, e.g. of formats or tags
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/165Error detection by comparing the output of redundant processing systems with continued operation after detection of the error
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/413Plausibility monitoring, cross check, redundancy

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Hardware Redundancy (AREA)
  • Regulating Braking Force (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)
  • Multi Processors (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 〔産業上の利用分野〕 本発明は、高い保全性を必要とする制御システムで使用
されるデユアル・コンピユータ相互点検システムに関す
る。
一例を挙げると本発明は車幅のブレーキ時のすべり防止
制御システムに適用できる。この場合コンピュータは車
輪の速度変換器から受は取られたデータを処理し、車輪
の減速が急すぎる場合にはその車輪に対するブレーキを
解除する制御を行なうために用いられる。
〔従来の技術〕
この種のシステムでは、すべり状態が存在していない時
にコンピュータの故障でブレーキが解除されるという状
態が決しておこらないようにしなければならないことは
重要であるのは明らかである。これを解決するために従
来から提案されている装置では、2台の同一のコンピュ
ータに同じ入力信号を受は取らせ、正常に動作している
間は両方のコンピュータから同じ制御信号を出力させる
2つのコンピュータは互いに接続されており相手のコン
ピュータの出力制御信号をモニターする。
冗長な処理により出力信号同士を比較し、不一致が見つ
かった場合にはすべり防止動作を禁止させてブレーキシ
ステムをすべり防止動作のない通常のシステムとして動
作させる。
〔発明hr解決しようとする課題〕
しかしながらこの従来技術にはい(つかの欠点がある。
第1には、比較的高価で高性能のコンピュータを2台使
用しなければならないことである。第2は、通常の場合
、装置は複数の独立なチーYンネルを有する場合にコン
ピュータ間の相互接続線の数が大きくなってしまう。こ
れは−層高価なコンピュータを使用しなければならない
ことを意味する。
第3は、−船釣に言ってコンピュータから制御出力が出
るのは実際にすべり状況が発生した時だけであるので実
際に充分な相互点検はごくまれにしか行なわれないとい
うことである。第4は、同一のプログラムをもつ同一の
コンピュータを使用しているため、特別な状況のもとで
しか実行されないルーチンにプログラムの欠陥がある場
合、この欠陥を発見できず、また、同じウェーハーから
作った同じデバイスを共通の電源で給電する場合に電源
の変動で同じようなコンピュータの故障が起り、そのた
め大きな事故にならない限り、このような故障は発見さ
れないままになってしまうことである。
本発明の目的は、これらの不都合を克服したデユアル・
コンピユータ相互点検システムを提供することである。
〔課題を解決するための手段及び作用〕本発明のデユア
ル・コンピユータ相互点検システムは、制御コンピュー
タとこの制御コンピュータに制御データを与える1Ij
IkQデ一タ供給手段とを有する。上記制御コンピュー
タはこの制御データを処理して制御出力信号を出力する
。さらに本システムには制御コンピュータの動作を点検
するモニターコンピュータが設けられ、上記制御コンピ
ュータとモニターコンピュータはサイクル毎に点検デー
タの交換を行なう。そして各コンピュータは相手のコン
ピュータから受信した点検データに所定の演算を施こし
、該受信した点検データが先行のサイクルで相手のコン
ピュータに送信した点検データと所定の関係を有するか
どうかについて点検する。更にこの2台のコンピュータ
により制御される停止手段が設けられる。この停止手段
は、上記点検処理の少なくとも1つにおいて不一致がみ
られた場合に制御システムを停止させる。
このような構成をとることによりモニターコンピユータ
ラ制御コンピュータより安価で、性能の低い機種で構成
できる。例えば、モニターコンピュータは低いクロック
周波数で動作しうる。
上記2つのコンピュータの一方が点検データの交換のタ
イミングを制御するマスターコンピュータとして動作す
ることが好ましい。好ましくは制御コンピュータがマス
ターコンピユーp−ctvる。
°これにより、制御コンピュータの制御動作サイクル内
の正確な時点に一致させるため点検データの交換のタイ
ミングを取ることができる。予想される正確な時点で点
検データが受信されなければ故障と解釈され、上記停止
手段が作動することになる。
点検データは、2台のコンピュータの間で直列あるいは
並列に送信される1バイトで構成できる。
この場合各コンピュータで実行される所定の演算には、
各サイクルのバイトの値に素数を加算する処理が含まれ
うる。この加算は当該コンピュータの動作サイクルをと
おしての一連の個々の段階で実行するのが好ましい。更
に「演算」処理には制御データバイトの個々のビットの
順序を逆にする処理が含まれうる。2台のコンピュータ
の使用するアルゴリズムの各々の演算全体の結果は同じ
にもかかわらず、2つのアルゴリズムは異なることが好
ましい。
停止手段は、点検データの不一致が最初に見つかった時
点で動作することができる。しかし、制御システムをノ
イズの多い環境で使用するような場合、例えば自動車の
ブレーキ制御システムの場合、それぞれのコンピュータ
に所定の期間内で生じた不一致の数を計数したカウント
値を保持し、カウント値がプリセットレベルに達した時
にのみ停止手段を作動させるようにするのがよい。例え
ばそれぞれのコンピュータに(ソフトウェアで動作する
)2つのカウンタをもたせ5る。一方のカウンタは正し
い点検サイクルの数を計数し、他方のカウンタは不一致
が生ずる点検サイクルの数をカウントする。そして上記
の一方のカウンタのカウント値が所定値に達する都度上
記他方のカウンタを減分する。(ただしすでにカウント
値がゼロになっている時は、行なわない。) 〔実施例〕 以下図面を参照してこの発明の詳細な説明する。
第1図において図示のシステムはメインの制御マイクロ
コンピュータ10を有する。このマイクロコンピュータ
10は4つの車輪速度センサーSl〜S4からの制御入
力データを受信し、その入力データに従って4つのソレ
ノイドSQL、からS OL4を制御するとともにポン
プリレー11を制御する。
すなわちメインコンピュータは車輪の速度センサーから
データを集め、制御判断を行いその結果をソレノイド駆
動信号を通じてブレーキに伝達する。
更にメインコンピュータからはポンプモーター駆動信号
と停止リレー14の駆動信号をランプ駆動信号とが出力
される。ポンプモーター駆動信号は1/L/−11を駆
動するもので、これによりブレーキをかけるためのエネ
ルギー源を確保している。
停止リレー14の駆動信号は、常時はバッチIJ−のB
十電源なソレノイドとポンプモーターのリレーコイルに
接続するように停止リレーを付勢している。ランプ駆動
信号は、故障が検出された時に故障警告ランプ15を点
灯する。このランプ駆動信号は、ORゲートGlにおい
てモニターコンピュータからの同様の信号と組み合わさ
れてから駆動回路に供給されるようになっており、従っ
て、いずれの信号によってもランプ13を点灯すること
ができる。
一般的に言って、このシステムはブレーキの動作中にい
ずれかの車輪が急に減速した場合によく知られた態様で
動作する。すなわち車輪に態様するソレノイドが付勢さ
れてバルブを作動させ該パルプは当該車輪のブレーキを
ブレーキの主シリンダーから外し、ブレーキの流体が流
体だめに放出され、しかる後再びブレーキがかかるよう
にリレー11によって制御されるポンプによりブレーキ
の流体が戻される。
モニターマイクロコンピュータ12が上記制御コンピュ
ータの動作をモニターするため設けられる。モニターコ
ンピュータは制御コンピュータよりも低速で走るそれ自
身のクロックを有する。好ましくはモニターコンピュー
タ12は、制御コンピュータ1oとは全く別の機種が使
用できる。
このモニターコンピュータ12は3つの線のみすなわち
S0% Sl及びSMのラインだけで制御コンピュータ
に接続されうる。ラインS、は、モニターコンピュータ
12の直列出力を制御コンピュータの直列入力に接続す
る。ラインS1は制御コンピュータの直列出力をモニタ
ーコンピュータの直列入力に接続し、ラインSMは制御
コンピュータの同期出力をモニターコンピュータの対応
する入力に接続する。モニターコンピュータの直列出力
は、トからとり出すことができる。(コストは高くなる
が専用のIloをもつ2つのコンピュータを相互接続す
ることは非常に容易であり、また非常に高い転送速度が
要求される場合に、直列データの代わりに並列データを
使用することができること〃に入力される。
全ての正常な動作状態では2台のコンピュータの間のデ
ータの流れは予想通りであり、2台のコンピュータの内
部で点検データの処理が行なわれ、メインコンピュータ
から独立のクロックで動作するモニターコンピュータへ
の同期化も規則的に行なわれる。更に2台のコンピュー
タは、リレーFSO付勢状態を保ち、これによりソレノ
イドとポンプリレPMへの給電の接続を保つために、A
NDゲー)G2を介して停止リレー駆動回路に駆動信号
を与える。更に各コンピュータからはORゲートG1を
介してランプ駆動回路に信号が供給される。ただし、こ
の信号はいずれかのコンピュータにより故障が検出され
ない限り、禁止されている。
メインコンピュータとモニターコンピュータは別々のク
ロック水晶発振器を有し、メインコンピュータの方が制
御の精度に関連するマスターのタイミング素子として使
用される。このマスタータイミングサイクルは、代表的
には8ミリ秒あるいは16ミリ秒に設定され、制御の判
定は前回のサイクルで集められたデータに基づいてサイ
クル毎に行なわれ、制御アルゴリズムの完了するや℃・
なやソレノイドパルプへの出力信号が生成される。
システムによっては診断の目的のためにサイクル毎にデ
ータバイトを出力するためメインコンピュータの直列出
力がまた用いられうる。この場合、サイクルは、マスタ
ーマイクロコンピュータによりつくられたマスタータイ
ミング波形信号により2等分される。これを第2図に示
す。図においてマスターコンピュータの8M波形はロー
レベルの時診断出力としてUART接続を選択し、ロー
からハイへの切り変わりでモニターコンピュータのタイ
ミングの再同期化を行な5゜SMがハイの時直列出力は
、2つのコンピュータの間の相互点検の相互通信処理に
向けられる。これは、診断通信とは異なるデータ伝送速
度(ボー速度)で行なわれる。第2図に示す代表的なタ
イミング波形は8ミリ秒サイクルに基づいており、この
サイクルはSMの0から1への切り変わりである同期エ
ツジで開始する。このエツジでモニターコンピュータの
タイミングは再度開始し、窓が短かい時間開かれ、該短
かい時間にバイトがメインコンピュータから送信される
ことが期待される。このバイトは前のサイクル内のセッ
ト期間においてモニターコンピュータから送信した刺激
(stimulus )バイトに対する応答である。こ
のバイトCHECKRが正しく受信されるとモニターの
内部で生ずる内部点検がもたらされ、CHECKRがモ
ニターコンピュータの演算した応答バイトと比較される
。一致する場合には、同期を行58M波形の立ち上がり
時点から一定の時間後にメインコンピュータへの送信の
ため、すでに演算しである次の刺激バイトがつくられる
。メインコンピュータは次の7ミリ秒(代表値)の間に
この刺激データを処理し応答パイ)CHECKRを用意
し、次の同期エツジの直後に送信する。
第2図を再び参照して、上側の波形2aは3Mラインの
信号を示しており、図示のように4m秒毎にハイとロー
を繰り返す。この波形の立ちあがりエツジは、モニター
コンピュータへの直列デー動する。倣形2bは制御コン
ピュータ10のラインSlへのデータ送信期間を示し、
波形2Cはモーターコンピュータ12のラインSoへの
送信期間を示している。
上述したように、制御コンピュータ10は、このデータ
送信形式でマスターコンピュータとして作用し、各折し
いサイクルは制御コンピュータ10からモニターコンピ
ュータへの点検データの送信で開始する。モニターコン
ピュータが、制御コンピュータから受信した点検データ
の結果を試験する時間中である一定の時間後に、モニタ
ーコンピュータは、制御コンピュータに対し次の点検デ
ータのバイトを送信する。点検の手11は次の通りであ
る。
(a)  メインコンピュータは前回のサイクルでモニ
ターコンピュータから受信した刺激バイトに応じて各8
m秒サイクルの特定の時点で点検応答バイトを送信する
(b)  この応答バイトがモニターコンピュータで受
信されるとモニターコンピュータはそのデータの値の点
検を行ない、正しければ新しい刺激バイトを出力し、メ
インコンピュータに直列に送信する。
メインコンピュータ側ではこの刺激バイトを受信するた
めに時間の窓が再び開かれる。
(C)  応答バイトを生成するためにメインコンピュ
ータは、モニターコンピュータにより生成された刺激デ
ータに対しデータ処理を行なう。
(d)  モニターコンピュータは又、応答バイトをζ
算し、次にメインコンピュータから送られてくると予想
されるデータ値を知り受信時に一致の点検ができるよう
にする。
(e)  モニターコンピュータはプログラムに従い前
回の点検応答バイトから次の刺激バイトを計算する。(
これにより予定通りの進行が得られる。)(f)  メ
インコンピュータの方でもプログラムに従い前回の刺激
データを単に処理することにより次にモニターから送ら
れてくるであろう次の刺激バイトを計算する。メインコ
ンピュータの受信した刺激バイトについての最初の点検
は、内部で計算した予想される刺激バイトと一致するは
ずである。
従って一致しない場合にはメインコンピュータの必要と
される処理が行われなくなり、次のサイクルの戻りバイ
トは省略される。
このコンピュータ相互点検の組合せにおいては、システ
ムの停止を防ぐためにはモニターとメインコンピュータ
の両方が、特定の出力信号を発生しなければならない。
すなわち、いずれかのコンピュータにおいて(内部演算
により)予想した値と異なる入力点検バイトを受信した
場合には、動作を維持するための局部サポート信号が除
去される。
代表的にはこのサポート信号の組合せは、停止リレー1
4の付勢を維持するものであり従っていずの制御出力が
禁止される。システムによってはこのリレーはノリラド
スラートスイッチで実現され、処理が、制御を完全には
取り除くことのできないよ5な車輛の重要な機能である
場合には、解除信号を用−・て適当な不履行(defa
ult)設定値の選択を行なうことができる。しかしな
がらブレーキのすべり防止システムの現状の慣行ではソ
レノイドに送る出力信号を禁止し、ブレーキを通常のブ
レーキ状態に戻し、故障を検知したいずれかのコンピュ
ータから故障警告ランプ13を点灯するための信号を送
出する。
応答バイトを生成する前に各点検の刺激バイトに対して
選択される処理は複雑なものにすることができ、当然の
ことであるがシステム設計者によって様々に変更するこ
とができる。処理は常に同じにならなくてもよく刺激バ
イトの値によって両方のコンピュータにあらかじめプロ
グラムされている複数のプロセスの中から1つのプロセ
スを選択するようにしてもよい。−例として第3図に2
台のコンピュータが相互に相手のコンピュータの動作を
点検するため点検データを用いる一つの方法を示す。シ
ステムの動作の最初のサイクルの開始時にモニターコン
ピュータは、点検データバイトとしてoooooooo
をもっており、このバイトを適切な時点でメインの制御
コンピュータに送信する。この点検データは最上位ビッ
トを先頭にして1ビツトずつ送信され、最上位ビットは
制御コンピュータには最下位のビットとして受信される
。従って点検データバイトに対して制御コンピユータが
最初に実行する処理は、ビットの順序を逆にすることで
ある。(この段階ではこの処理は、ビットが全てOであ
るので意味がないが、あとのサイクルでは意味をもつ。
)次に制御コンピュータに保持されるバイトに素数例え
ば19を加え、00010011の値を生成する。次に
このバイトのビットの順序を再度逆にし、適切な時点に
モニターコンピュータに送信する。モニターコンピュー
タでは受信したデータ(ビットを逆の順に記憶した受信
データ)の値を前回のサイクルで送信したバイトの元の
値に19を加えた値と比較する。この比較で値が同じこ
とが確認された場合には受信したバイトに4を加えて次
に送信すべき値(すなわち00010111)を生成し
、制御コンピュータに送信する。これにより再び制御コ
ンピュータでは逆の順序でバイトが受信される。制御コ
ンピュータでは、バイトを受信するとそのビットの順序
を逆に再び書き替え、その結果のノ(イトを前回逆の順
序で受信したバイトの値に23を加えた値と比較する。
この比較が正しければ再度19を加え、ビットの順序を
逆にし、その結果のバイトを送信する処理を以下同様に
して繰り返す。
上記ビットの逆転処理は、制御コンピュータの動作点検
に有効であるがデータ転送の試験において重要な部分を
なすものではない。
上記の例で選んだ数値19には別に意味はないことを強
調しておく。意味があるのは1つの点検刺激バイトから
次の点検刺激バイトへの変化にある。これは23の値に
設定される。他の素数でも充分であるが、23の素数を
使用することにより256回のデータ交換にわたって8
ビツトバイトの全ての可能なビット組み合せを刺激と応
答の両方のバイトについて使用することができる。すな
わち2秒の期間にわたり試験処理を多数の回数繰り返し
て各コンピュータの処理回路における主要な要素の全て
の並列な部分について充分な能力の点検を行なうことが
できる。
上記の例では第3図かられかるよ5にメインコンピュー
タの処理は典形的に次のステップから構成される。
(1)サイクル内の正確な時点で刺激データノ(イトを
受信する。
(2)  このバイトの全てビットの順序を逆にし逆の
順序で送信する。
(3)この値を記憶しである予想値と比較し23を加え
て次の予想値を計算し記憶する。
(4)正しい刺激バイトが受信された時は素数19をシ
ステム設計者の選択したいずれかの多数のステップの方
法により加算する。
(5)その結果得た全てのビットの順序を逆にする。
(6)その結果を同期エツジの直後でモニターに送信す
る。
このルーチンにおける主な処理、すなわち刺激バイトに
19を加算する処理は、単一ステップで容易に行なうこ
とができるが、メインの制御処理、時間、及びメインコ
ンピュータの能力の限界を実際に考慮しながらできるだ
け長く複雑で多数のステップ処理で実行するのが非常に
有効である。代表的には、この19の加算処理は充分な
数のステップに分割される。そのためコンピュータのメ
インの制御処理に分散配置されこれによりコンピュータ
の命令や資源例えばインデックスレジスターのアドレス
指定、スタック操作、条件付き分岐命令等を試験するこ
とができる。メイン、コンピュータの制御プログラムが
既知のサイクルで動作する場合、19の加算を行なうた
めの複数のステップが通常の制御ルーチンに分散配置さ
れる。そのため、どのルーチンでもスキップされた時に
は上記加算処理の重要なステップが抜けることになり、
正しくない結果が生じる。この正しくない結果は、モニ
ターコンピュータにより停止を与えられる故障を指示す
る。
第4図にアンチロック(anti−1ock )制御プ
ログラムの代表例を示す。ここでは制御コンピュータ1
0の受信した点検データに対する処理は、受信後にただ
ちに実行されるのではな(メインコンピュータ10のサ
イクル全体に渡り分散して行なわれる。すなわち最初の
ビットの順序の逆転、受信した前回のデータバイトとの
比較及び2回目のビットの逆転処理は、制御コンピュー
タにより実行される種々の制御処理の間に挿入される別
々のステージにおいて断片的に行なわれる。特に上述し
たように、19を加算する処理は断片化され、サイクル
の複数の異なるポイントで種々の値を加算したり減算し
たりする処理を含む複雑な操作を通じて行なわれる。更
にその他のありうる操作として異なるレジスター間での
バイトの移動処理、。
スタッフ・操作、及びいくつかの条件付き分岐を含みう
る。これらのルーチンは、メインの制御プログラムの異
なるサブルーチンとして組み込まれており、従って何ら
かの理由でサブルーチンが二つでも実行されなければ1
9の加算を行なうための重要なステップが抜けることに
なり加算にエラーを生じる。
第1図に示すように、ゲートGlとG2は2台のコンピ
ュータ10と12からの出力を受ける。
これらのゲートは、ランプ13とソレノイドの接続を切
るリレー14をそれぞれ制御する。予想した点検データ
のバイトが受信されなかったり、比較の結果が一致しな
かった場合にはいずれかのコンピュータによりGO倍信
号取り除かれ、これによりランプが点灯し、ソレノイド
への電源供給が遮断される。Go倍信号1回のエラーの
発生で取り除くことができる。この代わりに、それぞれ
のコンピュータのソフトウェアに2つのカウンタを用意
し一方のカウンタを不一致の結果が得られる毎に増分し
、当該一方のカウンタがゼロになっていないことを条件
として他方のカウンタを正しい比較結果が得られる毎に
増分・し、そして上記他方のカウンタの値が既にゼロに
なっていない場合には、正しい比較の回数がプリセット
値に達した後に第1のカウンタのカウント値を減分する
。第1のカウンタに、より保持されるカウント数がスレ
ッシュホールドレベルに達した場合はGO倍信号H&々
/=M’<1゜このフリセットレベルとスレッシュホー
ルドレベルは、設計者により選定され、制御すべき処理
対象及び電気的な環境にあわせて環境にあったノイズの
許容レベルを与える。
上述したシステムでは、2台のコンピュータが点検デー
タを繰り返し相互に渡たして点検を行ない、1回でもエ
ラーのあったときにはそれが演算によるものであろうと
送信によるものであろうと制御を停止するようにしてい
る。しかし、システムによっては非常にノイズの多い環
境、例えば電源に相当の過渡的な成分が乗るような環境
で使用しなければならない場合があり、そのような場合
にある種の条件下で点検データの送信が影響を受け、エ
ラーを生じ、システムが停止されることになる。そのよ
うなことが生じなければ申し分のないシステムである。
したがって、このような状況の下ではコンピュータの組
合せの動作計画に故障の許容の規定されたレベルを組み
込むことが望ましい。これを実現するには、単一のエラ
ーは記録されるが1回だけではシステムが停止しないよ
うに点検処理を変形し、送信エラーで刺激データの進行
の糸が消失したような場合に、動作のシーケンスが適当
な時点から回復するようにすればよい。
これは上述した処理にソフトウェアの変更を加えること
で基本的に実現できる。すなわち、メインコンピュータ
に、前回受信した刺激バイトが正しくない場合であって
も常に23を加えさせ、モニターコンピュータには前回
のサイクルの刺激バイト出力に19を加えさせて常に予
想値を算出させる。更に、予想結果と受信結果が一致し
ないときには、受信結果プラス4または予想結果プラス
4により次の刺激バイトを出力し、いずれのコンピュー
タもすぐには停止をかけないようにする。正しくないと
みえるデータを受信するいずれかのコンピュータは、擬
似故障ロケーションカウンタにゼロでないカウント数を
内部的に記録することにより故障の待機状態に入る。こ
の故障が繰り返される場合には、擬似故障のカウント数
は、nlのカウント数がいずれかのコンピュータに記録
されるまで増分される。このnlのカウント数まで達し
た点で、非過渡的な点検故障が検出されたものとみなし
て局部停止がなされる。過渡的な故障、例えば送信干渉
による故障が発生した場合、擬似故障カウンタはゼロか
ら増分されるが、繰り返し故障が検出されるわけでない
ので典形的な1または2程度のカウント値になったとこ
ろでデータ交換のシーケンスは回復する。この擬似故障
カウンタの中間的な非ゼロ状態の下では、第2カウンタ
が使用可能にされ、故障が記録されなかったデータ交換
のサイクル数をカウントし、このカウンタがレベルn2
に達すると、このカウント数はゼロにリセットされ、擬
似故障カウンタ数は低減される。正しいデータ交換が継
続すればやがて擬似故障カウンタの値はゼロに戻り、そ
の後は新たにデータ交換の故障が検出されるようになる
までカウンタに対する計数処理は停止される。nlと0
2の値を適当に選択することにより、処理や電気的な環
境に合った許容レベルを設定することを調整しうる。
以上のよ5に、本システムの場合、2台のコンピュータ
は同一にする必要がないので同じような故障モードにな
ることはなく、シたがって、特に低価格のアンチ・ロッ
ク装置に適している。にもかかわらず、相互に相手の動
作を連続的に検査することができ、その処理機能、又は
動作のサイクルに含まれる重大な故障を確実に検出する
ことができる。構成として2台の高価なコンピュータの
代りに1台のメインコンピュータと1台の低価格のモニ
ターコンピュータを使用するのでコストを大幅に下げる
ことができ、しかも、相互点検機能は連続的に動作し、
すべり入力信号の発生には依存しないので、充分な動作
点検が行なえる。
【図面の簡単な説明】
第1図は本発明に従うデユアル・コンピユータ相互点検
システムの一実施例を組み込んだアンチロック・ブレー
キシステムのブロック図、第2図は点検データ交換のタ
イミングの一例を示すタイムチャート、 第3図は2台のコンピュータに関する点検データのアル
ゴリズムの一例を示す図、 第4図は一方のコンピュータのメインの制御サイクルの
一例を示す図である。 lO・・・メインコンピュータ 12・・・モニターコ
ンピュータ S1〜S4・・・車輪速度センサー14・
・・停止リレー 5YNC・・・同期エツジ図面の、令
書(内容に変更なし) 手 続 補 正 書(方力 平成 元年 4月1011

Claims (13)

    【特許請求の範囲】
  1.  1.制御コンピユータ(10)と、  該制御コンピユータ(10)に制御データを供給する
    制御データ供給手段(S_1〜S_4)を有し、  前記制御コンピユータ(10)は、前記制御データを
    処理して、制御出力信号を生成し、  更に、前記制御コンピユータの動作を点検するモニタ
    ーコンピユータを設けるデユアル・コンピユータ相互点
    検システムにおいて、  前記制御コンピユータ(10)と前記モニターコンピ
    ユータ(12)とはサイクル毎に点検データを交換し、
    各コンピユータ(10,12)は、相手のコンピユータ
    から受信した点検データに所定の演算を施して、前記受
    信した点検データが先行のサイクルで相手のコンピユー
    タに送信した点検データと所定の関係を有することを点
    検し、  更に、両方のコンピユータ(10,12)により制御
    され、前記点検動作の少なくとも1つにおいて不一致が
    見つかつた場合に制御システムを停止する停止手段(1
    4)を有することを特徴とするデユアル・コンピユータ
    相互点検システム。
  2.  2.請求項1記載のデユアル・コンピユータ相互点検
    システムにおいて、前記モニターコンピユータ(12)
    は前記制御コンピユータ(10)より低い性能の機種で
    あること。
  3.  3.請求項1または2記載のデユアル・コンピユータ
    相互点検システムにおいて、前記のコンピユータ(10
    ,12)のうちいずれか一方のコンピユータが、マスタ
    ーコンピユータとして動作して点検データの交換のタイ
    ミングを制御し、それにより他方のコンピユータの動作
    を同期化し、点検データの各要素の送信がマスターコン
    ピユータとして動作するコンピユタの動作サイクル内の
    所定の正確な時点と一致すること。
  4.  4.請求項1または2に記載のデユアル・コンピユー
    タ相互点検システムにおいて、前記の両方のコンピユー
    タは、相手のコンピユータからの個々の送信データをマ
    スター動作サイクル内の所定の正確な時点で受信し、送
    信データが受信されなかつたときは動作故障と解釈して
    前記係止手段を作動すること。
  5.  5.請求項1または2記載のデユアル・コンピユータ
    相互点検システムにおいて、制御コンピユータ(10)
    は、点検データの交換のタイミングを該制御コンピユー
    タの制御動作サイクル内の所定の正確な時点に一致する
    ように制御するマスターコンピユータとして動作し、予
    想される正確な時点で点検データが受信されなかつた場
    合に故障と判断して前記停止手段を作動すること。
  6.  6.請求項5に記載のデユアル・コンピユータ相互点
    検システムにおいて、マスターコンピユータとして動作
    する前記のメインコンピユータ(10)は制御動作のサ
    イクルごとに同期化手段(SYNC)により他方のコン
    ピユータ(12)にマスタータイミングサイクルを伝達
    し、すべてのデータ交換が該同期化手段(SYNC)の
    実際の遷移に関連するタイミングで行われること。
  7.  7.請求項1から6のいずれか一項に記載のデユアル
    ・コンピユータ相互点検システムにおいて、点検データ
    は前記の2つのコンピユータ(10,12)の間で直列
    または並列に送信される1バイトから成り、各コンピユ
    ータで実行される所定の演算処理は、各サイクルの前記
    のバイトの値に素数を加算する処理を含むこと。
  8.  8.請求項7記載のデユアル・コンピユータ相互点検
    システムにおいて、前記所定の演算処理は単一のルーチ
    ンで実行されるのではなく制御処理シーケンスの全体に
    わたつて分散配置された断片的な複数のサブルーチンで
    実行されること。
  9.  9.請求項8記載のデユアル・コンピユータ相互点検
    システムにおいて、前記所定の演算処理は複数の段階に
    断片化されるだけでなく、各々のコンピユータで利用で
    きる多数の特性と資源を活用して更に複雑に行われ、こ
    れによりコンピユータ自身の動作がより完全に点検され
    ること。
  10.  10.請求項1から9のいずれかに記載のデユアル・
    コンピユータ相互点検システムにおいて、前記停止手段
    は点検バイトの不一致が発見された最初のときに作動す
    ること。
  11.  11.請求項1から9のいずれか一項に記載のデユア
    ル・コンピユータ相互点検システムにおいて、故障に許
    容レベルをつけるために、各コンピユータは或る期間内
    に生じた不一致のカウント数を保持し、該カウント数が
    所定のレベルに達した場合にのみ前記停止手段が作動す
    ること。
  12.  12.請求項11記載のデユアル・コンピユータ相互
    点検システムにおいて、各コンピユータはソフトウエア
    に2つのカウンタを有し、一方のカウンタは正しい点検
    サイクルの数をカウントし、他方のカウンタは不一致が
    生じた点検サイクルの数をカウントし、かつ所定のカウ
    ント数が前記一方のカウンタによりなされる毎に前記他
    方のカウンタが、既にゼロになつていないことを条件と
    して減分されること。
  13.  13.請求項1から9のいずれか一項に記載のデユア
    ル・コンピユータ相互点検システムにおいて、故障に許
    容レベルをつけるため、前記制御コンピユータ(10)
    が新たに受信した刺激バイトの各々を先行の同様のバイ
    トと比較し、 予めプログラムされている差が検出されない場合はただ
    ちに停止の作動をするのではなく、比較の故障となる都
    度ゼロから増分される第1カウンタが第1のプリセツト
    値に達するまで停止の作動を遅らせ、  前記第1のカウンタがゼロからプリセツトされた第1
    の値までの中間の非ゼロの値をとつている間、正しい比
    較結果となる都度第2カウンタが増分され、該第2カウ
    ンタは第2のプリセツトレベルに達したとき、該第2カ
    ウンタがリセツトされ、前記第1カウンタが低減され、  該第1カウンタが再びゼロに低減されるか、第1のプ
    リセツト値に達し停止を生ずるかいずれかになるまで上
    記処理を繰り返し、  且つ前記モニターコンピユータ(12)は、受信した
    応答バイトの各々を内部で演算した応答データと比較し
    、前記制御コンピユータ(10)の第1と第2のカウン
    タと同様な仕方で動作する第1と第2のカウンタを備え
    ること。
JP63324723A 1987-12-22 1988-12-22 デュアル・コンピュータ相互点検システム Expired - Fee Related JP2901258B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB878729901A GB8729901D0 (en) 1987-12-22 1987-12-22 Dual computer cross-checking system
GB8729901 1987-12-22

Publications (2)

Publication Number Publication Date
JPH02138642A true JPH02138642A (ja) 1990-05-28
JP2901258B2 JP2901258B2 (ja) 1999-06-07

Family

ID=10628886

Family Applications (1)

Application Number Title Priority Date Filing Date
JP63324723A Expired - Fee Related JP2901258B2 (ja) 1987-12-22 1988-12-22 デュアル・コンピュータ相互点検システム

Country Status (5)

Country Link
US (1) US5016249A (ja)
EP (1) EP0322141B1 (ja)
JP (1) JP2901258B2 (ja)
DE (1) DE3854044T2 (ja)
GB (1) GB8729901D0 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8091014B2 (en) 2007-08-22 2012-01-03 Denso Corporation Electronic apparatus in which functioning of a microcomputer is monitored by another microcomputer to detect abnormal operation
JP2014106145A (ja) * 2012-11-28 2014-06-09 Denso Corp 電池監視装置
JP2020192883A (ja) * 2019-05-28 2020-12-03 日立オートモティブシステムズ株式会社 制動機構の電子制御システム

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2241123B (en) * 1990-02-16 1993-09-29 Teves Gmbh Alfred Circuit arrangement for an anti-lock-controlled vehicle brake system
JP2698685B2 (ja) * 1990-03-27 1998-01-19 株式会社東芝 計算機システム遠隔操作装置
DE4022671A1 (de) * 1990-07-17 1992-01-23 Wabco Westinghouse Fahrzeug Elektronisches bremssystem fuer stassenfahrzeuge
GB9101227D0 (en) * 1991-01-19 1991-02-27 Lucas Ind Plc Method of and apparatus for arbitrating between a plurality of controllers,and control system
US6247144B1 (en) * 1991-01-31 2001-06-12 Compaq Computer Corporation Method and apparatus for comparing real time operation of object code compatible processors
US5274554A (en) * 1991-02-01 1993-12-28 The Boeing Company Multiple-voting fault detection system for flight critical actuation control systems
DE4114999C2 (de) * 1991-05-08 2001-04-26 Bosch Gmbh Robert System zur Steuerung eines Kraftfahrzeuges
US5458404A (en) * 1991-11-12 1995-10-17 Itt Automotive Europe Gmbh Redundant wheel sensor signal processing in both controller and monitoring circuits
GB9206344D0 (en) * 1992-03-24 1992-05-06 Lucas Ind Plc Improved braking in electronic braking systems
US5416908A (en) * 1992-04-28 1995-05-16 Allen-Bradley Company, Inc. Interface between industrial controller components using common memory
JPH064353A (ja) * 1992-06-17 1994-01-14 Sumitomo Electric Ind Ltd 複数のマイクロコンピュータの相互監視回路
JP3535531B2 (ja) * 1992-09-30 2004-06-07 本田技研工業株式会社 走行状態制御装置
US5434997A (en) * 1992-10-02 1995-07-18 Compaq Computer Corp. Method and apparatus for testing and debugging a tightly coupled mirrored processing system
US5471631A (en) * 1992-10-19 1995-11-28 International Business Machines Corporation Using time stamps to correlate data processing event times in connected data processing units
DE69325769T2 (de) * 1992-11-04 2000-03-23 Digital Equipment Corp., Maynard Erkennung von Befehlssynchronisationsfehlern
JP3343143B2 (ja) * 1992-12-02 2002-11-11 日本電気株式会社 故障診断方法
FR2704329B1 (fr) * 1993-04-21 1995-07-13 Csee Transport Système de sécurité à microprocesseur, applicable notamment au domaine des transports ferroviaires.
US5504859A (en) * 1993-11-09 1996-04-02 International Business Machines Corporation Data processor with enhanced error recovery
US5648759A (en) * 1994-02-02 1997-07-15 National Semiconductor Corporation Failsafe voltage regulator with warning signal driver
US5490072A (en) * 1994-07-18 1996-02-06 Kelsey-Hayes Company Method and system for detecting the proper functioning of an ABS control unit utilizing dual programmed microprocessors
DE19735956C1 (de) * 1997-08-19 1998-09-10 Siemens Ag Verfahren zum Überwachen eines Ermittlungsverfahrens
DE19743463A1 (de) 1997-10-01 1999-04-08 Itt Mfg Enterprises Inc Verfahren zur Fehlerkennung von Mikroprozessoren in Steuergeräten eines Kfz.
DE19749068B4 (de) * 1997-11-06 2005-03-10 Bosch Gmbh Robert Verfahren und Vorrichtung zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren
DE19902031A1 (de) 1999-01-20 2000-07-27 Bosch Gmbh Robert Steuergerät zur Steuerung sicherheitskritischer Anwendungen
FR2790857B1 (fr) 1999-03-12 2001-09-07 Siemens Automotive Sa Systeme de securite pour vehicule automobile
US6772367B1 (en) * 1999-10-13 2004-08-03 Board Of Regents, The University Of Texas System Software fault tolerance of concurrent programs using controlled re-execution
DE10006206A1 (de) 2000-02-11 2001-08-30 Daimler Chrysler Ag Elektronisches Steuersystem
JP3636031B2 (ja) 2000-04-28 2005-04-06 株式会社デンソー 電子制御装置内のマイクロコンピュータ監視方法
US7017073B2 (en) * 2001-02-28 2006-03-21 International Business Machines Corporation Method and apparatus for fault-tolerance via dual thread crosschecking
US6760653B2 (en) 2001-05-15 2004-07-06 Trw Inc. Electric power assisted steering system having a single integrated circuit with two processors
ITSV20020018A1 (it) * 2002-05-03 2003-11-03 Alstom Transp Spa Dispositivo di elaborazione o comando operante in sicurezza intrinseca
US20050240806A1 (en) * 2004-03-30 2005-10-27 Hewlett-Packard Development Company, L.P. Diagnostic memory dump method in a redundant processor
US20060020852A1 (en) * 2004-03-30 2006-01-26 Bernick David L Method and system of servicing asynchronous interrupts in multiple processors executing a user program
US7426656B2 (en) * 2004-03-30 2008-09-16 Hewlett-Packard Development Company, L.P. Method and system executing user programs on non-deterministic processors
DE102005037222A1 (de) * 2004-10-25 2007-02-15 Robert Bosch Gmbh Verfahren und Vorrichtung zur Auswertung eines Signals eines Rechnersystems mit wenigstens zwei Ausführungseinheiten
EP1672505A3 (en) * 2004-12-20 2012-07-04 BWI Company Limited S.A. Fail-silent node architecture
US8095549B2 (en) * 2005-10-05 2012-01-10 Intel Corporation Searching for strings in messages
DE102007029116A1 (de) 2007-06-25 2009-01-02 Continental Automotive Gmbh Verfahren zum Betreiben eines Mikrocontrollers und einer Ausführungseinheit sowie ein Mikrocontroller und eine Ausführungseinheit
US8352795B2 (en) * 2009-02-11 2013-01-08 Honeywell International Inc. High integrity processor monitor
JP5662181B2 (ja) * 2011-02-01 2015-01-28 株式会社ケーヒン 移動体の電子制御装置
US11151002B2 (en) * 2019-04-05 2021-10-19 International Business Machines Corporation Computing with unreliable processor cores
US20230229139A1 (en) 2020-03-31 2023-07-20 Stealth Technologies Pty Ltd Autonomous vehicle/robot control
JP2022106310A (ja) * 2021-01-07 2022-07-20 ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング 液圧制御ユニット
TWI785952B (zh) * 2021-12-30 2022-12-01 新唐科技股份有限公司 密碼加速器以及加解密運算的差分故障分析方法
TWI827237B (zh) * 2022-09-06 2023-12-21 新唐科技股份有限公司 密碼加速器以及加解密運算防篡改方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5913447A (ja) * 1982-07-14 1984-01-24 Hitachi Ltd 分散処理システムの処理方法
JPS5958560A (ja) * 1982-09-28 1984-04-04 Japanese National Railways<Jnr> デ−タ処理装置の診断方式
JPS61290566A (ja) * 1985-06-19 1986-12-20 Hitachi Ltd マルチネツトワ−クシステム故障診断方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3618015A (en) * 1970-06-30 1971-11-02 Gte Automatic Electric Lab Inc Apparatus for discriminating between errors and faults
US3810119A (en) * 1971-05-04 1974-05-07 Us Navy Processor synchronization scheme
FR2182259A5 (ja) * 1972-04-24 1973-12-07 Cii
DE3003291C2 (de) * 1980-01-30 1983-02-24 Siemens AG, 1000 Berlin und 8000 München Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke
GB2105492B (en) * 1981-09-05 1985-03-06 Lucas Ind Plc A duplicated computer control system
EP0096510B1 (en) * 1982-06-03 1988-07-27 LUCAS INDUSTRIES public limited company Control system primarily responsive to signals from digital computers
US4566101A (en) * 1983-02-28 1986-01-21 United Technologies Corporation Oscillatory failure monitor
DE3518105A1 (de) * 1985-05-21 1986-11-27 Alfred Teves Gmbh, 6000 Frankfurt Verfahren und schaltungsanordnung zur unterdrueckung von kurzzeitigen stoerungen
DE3621106C2 (de) * 1986-06-24 1995-03-23 Vdo Schindling Verfahren zur ON-LINE-Verarbeitung gleicher Eingabegrößen mittels zweier Prozessoren
US4792955A (en) * 1986-08-21 1988-12-20 Intel Corporation Apparatus for on-line checking and reconfiguration of integrated circuit chips
US4843608A (en) * 1987-04-16 1989-06-27 Tandem Computers Incorporated Cross-coupled checking circuit

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5913447A (ja) * 1982-07-14 1984-01-24 Hitachi Ltd 分散処理システムの処理方法
JPS5958560A (ja) * 1982-09-28 1984-04-04 Japanese National Railways<Jnr> デ−タ処理装置の診断方式
JPS61290566A (ja) * 1985-06-19 1986-12-20 Hitachi Ltd マルチネツトワ−クシステム故障診断方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8091014B2 (en) 2007-08-22 2012-01-03 Denso Corporation Electronic apparatus in which functioning of a microcomputer is monitored by another microcomputer to detect abnormal operation
JP2014106145A (ja) * 2012-11-28 2014-06-09 Denso Corp 電池監視装置
JP2020192883A (ja) * 2019-05-28 2020-12-03 日立オートモティブシステムズ株式会社 制動機構の電子制御システム

Also Published As

Publication number Publication date
EP0322141A3 (en) 1991-03-13
JP2901258B2 (ja) 1999-06-07
DE3854044T2 (de) 1995-10-26
EP0322141B1 (en) 1995-06-21
EP0322141A2 (en) 1989-06-28
DE3854044D1 (de) 1995-07-27
GB8729901D0 (en) 1988-02-03
US5016249A (en) 1991-05-14

Similar Documents

Publication Publication Date Title
JPH02138642A (ja) デュアル・コンピュータ相互点検システム
JP2001056701A (ja) 制御ユニットの相互監視のための方法並びに装置
JPH07504864A (ja) アンチロック制御およびまたはトラクションスリップ制御を有するブレーキ装置の回路構成
US5600788A (en) Digital test and maintenance architecture
US5490072A (en) Method and system for detecting the proper functioning of an ABS control unit utilizing dual programmed microprocessors
JPS5931738B2 (ja) 計算機システムの並列三重系構成方法
EP0687605B1 (en) Two state to three state emulator process and apparatus
JP3627545B2 (ja) Cpuの異常検出方法
JPS63238737A (ja) クロツク選択方式
JPH0787576A (ja) 機器の遠隔制御方法
JPS60219508A (ja) 多重化検出装置
JPH11312014A (ja) 制御装置の故障判定方法及びその装置
JPS5872226A (ja) クロツク切替え回路
JPS58103250A (ja) デ−タ通信制御装置
RU2467372C1 (ru) Устройство переключения каналов троированной системы управления
JPS6275705A (ja) デイジタル制御装置
JPH06161799A (ja) Cpu多重化瞬時切換装置
JPS61221698A (ja) 原子炉安全保護装置
JPS63272764A (ja) エレベ−タ−の信号伝送装置
JPS59112349A (ja) 二重化演算システム
JPH08104224A (ja) 電子制御ユニットの故障検出装置
JPS5832424B2 (ja) 二重系ハイアラ−キシステム
JP2001043200A (ja) データ伝送装置およびデータ伝送方法
JPS6334649A (ja) デ−タ処理装置
JPH05244128A (ja) 通信二重化装置

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees