JP4710973B2 - 車両監査装置 - Google Patents
車両監査装置 Download PDFInfo
- Publication number
- JP4710973B2 JP4710973B2 JP2008333704A JP2008333704A JP4710973B2 JP 4710973 B2 JP4710973 B2 JP 4710973B2 JP 2008333704 A JP2008333704 A JP 2008333704A JP 2008333704 A JP2008333704 A JP 2008333704A JP 4710973 B2 JP4710973 B2 JP 4710973B2
- Authority
- JP
- Japan
- Prior art keywords
- behavior
- control
- audit processing
- independent
- control target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0243—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
- G05B23/0245—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model based on a qualitative model, e.g. rule based; if-then decisions
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0002—Automatic control, details of type of controller or control system architecture
- B60W2050/0004—In digital systems, e.g. discrete-time systems involving sampling
- B60W2050/0006—Digital architecture hierarchy
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Regulating Braking Force (AREA)
- Safety Devices In Control Systems (AREA)
Description
本発明は、車両に搭載された制御対象の挙動を監査する車両監査装置に関する。
従来、車両制御システムにおいて、車両に搭載された制御対象の挙動を種々の方式で監視する監視装置が知られている。例えば、特許文献1では、システムにおける監視処理を階層化し、各層において監視処理の機能を設定している。そして、システムの下位層においては、監視対象である個々の機能内に分散型監視機能が設けられており、上位層においては、下位層の分散型監視機能を調整する監視機能が設けられている。例えば、下位層の監視機能は各機能のステータス情報を上位層の監視機能に供給し、上位層の監視機能は下位層の監視機能から供給されたステータス情報を診断ユニットに供給する。
特開2003−99120号公報
しかしながら、車両制御システムにおいて監視処理を階層化しても、下位層においては、監視対象に関連する監視対象特有の監視処理を実施するので、異なる車種であっても同じ車種であっても、監視対象が異なると、監視対象に応じて監視処理を変更する必要がある。また、上位層において下位層の監視対象に関連する監視処理を実施している場合には、下位層において監視対象の追加、削除、入れ替え等の変更があると、上位層においても監視対象に応じて監視処理を変更する必要がある。
この場合、監視対象に応じた変更が不要な監視処理も含めて、監視対象に応じて監視処理を差し替えて変更する構成では、監視処理の変更量が多くなるという問題がある。監視対象に応じた監視処理の変更量の問題は、監視処理を階層化するか否かに関わらず生じる問題である。
本発明は、上記問題を解決するためになされたものであり、挙動監査の対象である制御対象に応じて変更される監査処理の変更量を極力低減する車両監査装置を提供することを目的とする。
本願発明者は、挙動監査の対象である制御対象に応じて変更される監査処理の変更量を低減するため、制御対象に対する監査処理を、制御対象に関連する関連監査処理と、制御対象の構成や機能に関連せず独立した独立監査処理とに分類することを考えた。これにより、制御対象に変更がある場合に、関連監査処理だけを変更し、制御対象の構成や機能に関連しない独立監査処理は変更せずにそのまま使用できる。
しかしながら、通常、制御対象の挙動は制御対象毎に異なる物理量として検出されるので、制御対象の挙動を監査する場合に、制御対象に関連せず独立した独立監査処理をどのように分類して実現するかが問題である。
そこで、請求項1から18に記載の発明によると、車両に搭載され制御手段により制御される少なくとも一つの制御対象の挙動を監査する車両監査装置において、制御対象に関連する関連監査処理を実施し、制御対象に応じて関連監査処理が設定されている関連監査処理手段は、制御対象に対して所定の挙動を要求する挙動要求に基づいて制御対象の挙動を推定する挙動推定手段と、制御手段が制御対象を制御することにより生じる制御対象の挙動を検出する挙動検出手段と、挙動推定手段が推定する挙動推定値と挙動検出手段が検出する挙動検出値との物理量の次元を一致させる次元一致手段と、を有している。
そして、制御対象の構成や機能に関連せず独立した独立監査処理を実施する独立監査処理手段は、次元一致手段が物理量の次元を一致させた挙動推定値と挙動検出値との挙動ずれ量に基づいて制御対象の挙動が異常であるか否かを判定する挙動判定手段を有している。
尚、独立監査処理手段および関連監査処理手段が監査処理を実施する対象である制御対象は、車両に搭載されるステアリング、ブレーキ、インジェクタ、空調等の各車両搭載装置であってもよいし、パワートレイン系、シャーシ系、ボディ系等の機能ドメイン毎に統合した各機能ドメインを構成する複数の車両搭載装置であってもよいし、車両全体であってもよい。
ここで、制御対象に対する挙動要求に基づいて推定される制御対象の挙動推定値の物理量の次元、ならびに制御対象の挙動により生じるセンサ信号等から検出される制御対象の挙動検出値の物理量の次元が何であるかを、制御対象に応じた関連監査処理が設定されている関連監査処理手段は知っている。したがって、関連監査処理手段は、挙動推定値と挙動検出値との物理量の次元を次元一致手段により一致させることができる。これにより、挙動推定値と挙動検出値との挙動ずれ量は、制御対象に関連せず単なる数値のずれ量として処理できる。その結果、独立監査処理手段の挙動判定手段において、制御対象に関連せず独立した監査処理として、挙動推定値と挙動検出値との挙動ずれ量に基づいて制御対象の挙動が異常であるか否かを判定できる。
尚、次元一致手段が挙動検出値の物理量の次元を挙動推定値の次元に一致させる場合、例えば一つのセンサ信号から検出された挙動検出値の物理量の次元を挙動推定値に一致させるだけでなく、複数のセンサ信号から検出された挙動検出値を合成し、挙動推定値の物理量の次元と一致する一つの挙動検出値に変換してもよい。
そして、異なる制御対象に対して異なる関連監査処理が設定されるので、制御対象に応じて監査処理が変更される場合には、制御対象に関連する関連監査処理手段の関連監査処理は変更される。
一方、独立監査処理手段は、制御対象に関連せず独立した独立監査処理を実施するので、制御対象に応じて関連監査処理が変更されても、制御対象に応じて独立監査処理を変更する必要がない。
尚、独立監査処理手段が制御対象に応じて独立監査処理を変更する必要がないといっても、独立監査処理種手段のハードウェアおよびソフトウェアが全く変更されないわけではない。例えば、監査対象である制御対象の数が独立監査処理に必要であれば、独立監査処理において制御対象の数の設定は変更される。しかし、制御対象の数は、制御対象の構成や機能に関連する情報ではない。
このように、制御対象に対する監査処理が、制御対象に関連せず独立した独立監査処理と、制御対象に関連する関連監査処理とに分類されており、制御対象に応じて関連監査処理だけが変更され、独立監査処理は変更されないので、車両監査装置において、制御対象に応じた監査処理の変更量を極力低減できる。
また、異なる制御対象または制御対象の変更に対して独立監査処理が変更されないので、独立監査処理手段による独立監査処理として同じアルゴリズムが使用される。これにより、独立監査処理が適用されるにしたがい独立監査処理の問題点が解決され、独立監査処
理の信頼性が向上する。
理の信頼性が向上する。
ここで、制御対象に応じて関連監査処理だけを変更し、独立監査処理を変更しない車両監査装置とは、関連監査処理手段と独立監査処理手段とを構成するハードウェアとしての処理装置が、必ずしも別のものであることを表しているのではない。例えば、関連監査処理手段と独立監査処理手段との少なくとも一部が、同じ処理装置により構成されてもよい。処理装置としては、例えばCPU、ROM、RAM等から構成されるマイクロコンピュータ(以下、マイコンとも言う。)が考えられる。
関連監査処理を実行する関連監査処理プログラムと、独立監査処理を実行する独立監査処理プログラムとを同じROMまたはフラッシュメッモリに記憶する場合、関連監査処理プログラムと独立監査処理プログラムとをモジュール化し、異なる記憶領域に記憶する構成が考えられる。この場合、制御対象が変更になると、該当する記憶領域の関連監査処理プログラムだけを変更すればよい。
また、プログラム開発環境として、例えばMATLAB(登録商標)等を使用して監査装置のモデルを設定する場合に、機能単位として関連監査処理手段のブロックと独立監査処理手段のブロックとを設定してプログラムコードを自動生成することも考えられる。制御対象が変更になると、関連監査処理手段のブロックは機能設定を変更し、独立関連処理手段のブロックは機能設定を変更しない。プログラムコードを自動生成する場合、関連監査処理プログラムと独立監査処理プログラムとがどのような記憶領域に配置されるかは、自動コード生成の仕様によるので予測できない。
また、請求項1に記載の発明によると、次元一致手段は、挙動推定値および挙動検出値の物理量の次元と、制御対象に対する制御手段による制御指令値の物理量の次元とを一致させ、挙動判定手段は、挙動ずれ量に基づいて制御対象の挙動が異常であると判定すると、次元一致手段が物理量の次元を一致させた挙動検出値と制御指令値との制御ずれ量に基づき、制御手段により制御対象の挙動が制御される制御系が挙動異常の原因か否かを判定する。
このように、関連監査処理手段の次元一致手段が、挙動推定値および挙動検出値の物理量の次元と、制御対象に対する制御手段による制御指令値の物理量の次元とを一致させるので、独立監査処理手段の挙動判定手段において、制御対象に関連せず、挙動検出値と制御指令値との制御ずれ量に基づいて制御系に異常があるか否かを判定できる。
そして、挙動ずれ量に基づいて制御対象の挙動が異常であると判定されるときに、挙動検出値と制御対象に対する制御指令値との制御ずれ量が所定値を超えている場合、もしくは制御のずれがパターン化して継続して生じる場合は、挙動異常の原因が制御系にあると判定できる。そして、制御系に対して適切な処理を指令できる。一方、挙動ずれ量に基づいて制御対象の挙動が異常であると判定されるときに、挙動検出値と制御指令値との制御ずれ量が所定値以内であれば、制御系は正常であるが挙動異常が発生していると判定できる。この場合は、想定外の事象により挙動異常が発生していると考えられるので、挙動異常を極力解消するように制御系に対して適切な処理を指令できる。
請求項2に記載の発明によると、関連監査処理手段の異常箇所特定手段は、挙動異常の原因が制御系にあると挙動判定手段が判定すると、制御系において挙動異常を引き起こす箇所を特定する。
このように、制御対象の挙動異常の原因が制御系にある場合に、制御系の異常箇所を特定することにより、異常箇所に応じて適切な処理を実施できる。
請求項3に記載の発明によると、関連監査処理手段の異常箇所切り離し手段は、制御手段により制御対象の挙動が制御される制御系に異常箇所が存在すると異常箇所特定手段が特定すると、異常箇所を制御系から切り離す。尚、異常箇所は、制御対象に限らず制御手段の場合もある。
これにより、制御系において異常箇所の影響を排除した状態で制御対象に対する制御を適切に実施できる。
ところで、異常箇所と他の箇所が連動して機能する場合、異常箇所だけを切り離すと、異常箇所と連動して機能する箇所の挙動を予測できないことがある。
そこで、請求項4に記載の発明によると、異常箇所切り離し手段は、異常箇所と連動して機能する箇所も異常箇所として制御系から切り離す。
これにより、異常箇所と、異常箇所と連動して機能する箇所とを異常箇所のグループとして制御系から切り離し、制御対象の挙動に対する異常箇所の影響を排除した状態で制御対象に対する制御を適切に実施できる。
請求項5および6に記載の発明によると、関連監査処理手段の補正指令手段は、挙動ずれ量に基づいて制御対象の挙動が異常であると挙動判定手段が判定すると、挙動ずれ量と、挙動推定値と、制御対象に対する制御手段による制御指令値とに基づいて制御対象に対する制御指令値の補正量を算出し、算出した補正量に基づいた挙動制御を制御手段に指令する。
制御対象の挙動が異常であるとは、挙動要求に基づいて推定される制御対象の挙動と、実際の制御対象の挙動とがずれていることを表している。この場合、車両としては、挙動検出値が挙動推定値に極力近づく、つまり挙動ずれ量が極力小さくなるように制御指令値を補正することが望ましい。そこで、挙動ずれ量と、挙動検出値の目標値である挙動推定値と、制御指令値とに基づいて制御指令値の補正量を算出する。これにより、挙動の異常な制御対象に対して、挙動異常を解消するように制御指令値を補正して挙動制御を実施できる。
請求項7に記載の発明によると、関連監査処理手段の補正指令手段は、挙動ずれ量に基づいて制御対象の挙動が異常であると挙動判定手段が判定し、異常箇所切り離し手段が制御系から異常箇所を切り離した状態で、挙動ずれ量と、挙動推定値と、制御対象に対する制御手段による制御指令値とに基づいて制御対象に対する制御指令値の補正量を算出し、算出した補正量に基づいた挙動制御を制御手段に指令する。
これにより、制御対象の挙動に対する異常箇所の影響を排除した状態で、制御対象に対
して挙動異常を解消する制御指令値で挙動を制御できる。
して挙動異常を解消する制御指令値で挙動を制御できる。
請求項8に記載の発明によると、関連監査処理手段は、複数の制御対象に対して関連監査処理を実施し、独立監査処理手段は、複数の制御対象に対して独立監査処理を実施する。
これにより、個々の制御対象毎に監査を実施するのではなく、複数の制御対象の挙動を統合して監査することができる。その結果、制御対象毎の監査では利用できなかった、複数の制御対象の挙動が組み合わさって生じる挙動を表すセンサ信号等に基づいて、複数の制御対象を統合した監査を実施できる。
請求項9に記載の発明によると、関連監査処理手段は、車両全体に対して前記関連監査処理を実施し、独立監査処理手段は、車両全体に対して前記独立監査処理を実施する。
これにより、車両の一部の制御対象に対して監査を実施するのではなく、車両全体の制御対象の挙動を統合して監査することができる。
ところで、独立監査処理手段と関連監査処理手段とがそれぞれ異なる別の処理装置により構成されていると、一方の処理装置に故障等が発生した場合、独立監査処理手段または関連監査処理手段の一方の監査処理を実施できなくなる。この場合、独立監査処理手段と関連監査処理手段とを一組とした制御対象に対する監査処理を正常に実施できなくなる。
そこで、請求項10に記載の発明によると、独立監査処理手段と関連監査処理手段とは、同じ処理装置により構成されている。尚、処理装置としては、例えば、前述したようにマイクロコンピュータが考えられる。
これにより、処理装置に故障等が発生すると、独立監査処理手段および関連監査処理手段の両方の監査処理を実施できなくなる。その結果、独立監査処理手段または関連監査処理手段の一方だけが監査処理を実施し、車両監査装置として制御対象に対して不適切な監査を実施することを防止できる。
請求項11に記載の発明によると、制御手段と、独立監査処理手段および関連監査処理手段とは、互いの処理を干渉させずに実行できる保護機能を有する同じ処理装置により構成されている。
このように、互いの処理を干渉させずに実行できる保護機能、例えば制御手段が使用する記憶領域と、独立監査処理手段および関連監査処理手段が使用する記憶領域とは互いに書き換え禁止になっている保護機能を有する処理装置であれば、制御手段と、独立監査処理手段および関連監査処理手段とを同じ処理装置により構成できる。これにより、処理装置の個数を低減できる。
請求項12および13に記載の発明によると、独立監査処理手段および関連監査処理手段は、独立監査処理手段および関連監査処理手段が監査する制御対象とは異なる制御対象を制御する制御手段と同じ処理装置により構成されている。つまり、少なくとも2個の処理装置のそれぞれにおいて、監査処理手段および関連監査処理手段が監査する制御対象と、制御手段が制御する制御対象とは異なっている。
これにより、制御対象の異なる、監査処理手段および関連監査処理手段と制御手段とを構成している1組の処理装置のうち、一方の処理装置に故障が発生しても、他方の処理装置は正常に機能している。その結果、制御対象に対して、制御を実施する制御手段と、監査を実施する独立監査処理手段および関連監査処理手段との両方の処理が実施不能となることを防止できる。したがって、制御対象に対して、制御手段による制御、あるいは独立
監査処理手段および関連監査処理手段による監査のいずれかを実施できる。
監査処理手段および関連監査処理手段による監査のいずれかを実施できる。
請求項14および15に記載の発明によると、処理装置は、独立監査処理および関連監査処理を実行する演算装置と、制御手段による挙動制御を実行する演算装置とをそれぞれ有し、独立監査処理手段および関連監査処理手段は、制御手段とは異なる電源から電力を供給される。
これにより、独立監査処理手段および関連監査処理手段側の電源から電力が供給され、独立監査処理手段および関連監査処理手段側の演算装置が正常であれば、制御手段側の電源による電力供給が停止しても、あるいは制御手段側の演算装置が故障しても、独立監査処理手段および関連監査処理手段側による監査処理を実施できる。
請求項16に記載の発明によると、車両監査装置は、独立監査処理手段および前記関連監査処理手段を構成する複数の処理装置を備える。
このように、独立監査処理手段と関連監査処理手段とが複数の処理装置によりそれぞれ構成され、監査処理の冗長系を構成することにより、一つの処理装置が故障しても、監査処理が停止することを防止できる。特に、監査処理の対象である制御対象の数が多くなるほど、監査処理の冗長系を構成して監査処理が停止することを防止することにより、適切な監査処理を維持できる。
請求項17に記載の発明によると、関連監査処理手段の挙動推定手段は、制御対象の挙動を推定するために挙動要求を入力値とし制御対象に応じて設定された物理モデルと、物理モデルを特徴付ける車両に固有のパラメータとに基づいて制御対象の挙動を推定する。
物理モデルに基づいて制御対象の挙動を推定することにより、例えば制御対象の挙動パターンをデータベース化し、データベースに基づいて制御対象の挙動を推定する場合に比べ、挙動推定に必要な記憶容量を低減できる。また、データベースのように挙動パターンを補完して挙動を推定する必要がないので、制御対象の挙動をより高精度に推定できる。
請求項18に記載の発明によると、挙動判定手段は、挙動ずれ量として挙動推定値と挙動検出値との比率に基づいて制御対象の挙動が異常であるか否かを判定する。
これにより、挙動推定値と挙動検出値とのずれの程度を、単位およびそれぞれの数値の大きさに関連しない挙動推定値と挙動検出値との比率で一律に判定できる。その結果、異なる制御対象に対して挙動が異常であるか否かをより単純に判定できる。
尚、本発明に備わる複数の手段の各機能は、構成自体で機能が特定されるハードウェア資源、プログラムにより機能が特定されるハードウェア資源、またはそれらの組み合わせにより実現される。また、これら複数の手段の各機能は、各々が物理的に互いに独立したハードウェア資源で実現されるものに限定されない。
物理モデルに基づいて制御対象の挙動を推定することにより、例えば制御対象の挙動パターンをデータベース化し、データベースに基づいて制御対象の挙動を推定する場合に比べ、挙動推定に必要な記憶容量を低減できる。また、データベースのように挙動パターンを補完して挙動を推定する必要がないので、制御対象の挙動をより高精度に推定できる。
請求項18に記載の発明によると、挙動判定手段は、挙動ずれ量として挙動推定値と挙動検出値との比率に基づいて制御対象の挙動が異常であるか否かを判定する。
これにより、挙動推定値と挙動検出値とのずれの程度を、単位およびそれぞれの数値の大きさに関連しない挙動推定値と挙動検出値との比率で一律に判定できる。その結果、異なる制御対象に対して挙動が異常であるか否かをより単純に判定できる。
尚、本発明に備わる複数の手段の各機能は、構成自体で機能が特定されるハードウェア資源、プログラムにより機能が特定されるハードウェア資源、またはそれらの組み合わせにより実現される。また、これら複数の手段の各機能は、各々が物理的に互いに独立したハードウェア資源で実現されるものに限定されない。
以下、本発明の実施の形態を図に基づいて説明する。
[第1実施形態]
本発明の第1実施形態による車両監査装置を用いた車両制御システムを図1に示す。
本発明の第1実施形態による車両監査装置を用いた車両制御システムを図1に示す。
(車両制御システム10)
車両制御システム10は、パワートレインECU(Electronic Control Unit)20、シャーシECU30、ボディECU40等から構成されている。パワートレインECU20、シャーシECU30、ボディECU40は、それぞれ車両制御の機能に応じて分類された機能ドメインであるパワートレインドメイン、シャーシドメイン、ボディドメイン毎に、車両に搭載されている制御対象の挙動を制御するとともに、制御対象の挙動を監査する機能ドメインECUである。パワートレインECU20とシャーシECU30とボディECU40とは、CAN(Controller Area Network)、FlexRay(Daimler Chrysler社の登録商標)等の車内ネットワーク300により互いに通信可能に接続されている。
車両制御システム10は、パワートレインECU(Electronic Control Unit)20、シャーシECU30、ボディECU40等から構成されている。パワートレインECU20、シャーシECU30、ボディECU40は、それぞれ車両制御の機能に応じて分類された機能ドメインであるパワートレインドメイン、シャーシドメイン、ボディドメイン毎に、車両に搭載されている制御対象の挙動を制御するとともに、制御対象の挙動を監査する機能ドメインECUである。パワートレインECU20とシャーシECU30とボディECU40とは、CAN(Controller Area Network)、FlexRay(Daimler Chrysler社の登録商標)等の車内ネットワーク300により互いに通信可能に接続されている。
尚、機能ドメインとしては、上記以外に、図示しないオーディオ機器等を制御する機能ドメインも存在する。また、機能ドメインの分類は上記に限るものではなく、機能ドメインに含まれる制御対象も種々の組み合わせが考えられる。
パワートレインECU20は、パワートレイン制御手段22とパワートレイン関連監査処理手段24と独立監査処理手段26とを備えている。パワートレイン制御手段22は、制御対象であるインジェクタ、変速機等に対する挙動制御を実施する。パワートレイン関連監査処理手段24および独立監査処理手段26は車両監査装置を構成しており、パワートレインを構成するインジェクタ、変速機等の制御対象の挙動を監査する。
シャーシECU30は、シャーシ制御手段32とシャーシ関連監査処理手段34と独立監査処理手段36とを備えている。シャーシ制御手段32は、制御対象であるステアリング、ブレーキ等に対する挙動制御を実施する。シャーシ関連監査処理手段34および独立監査処理手段36は車両監査装置を構成しており、シャーシを構成するステアリング、ブレーキ等の制御対象の挙動を監査する。
ボディECU40は、ボディ制御手段42とボディ関連監査処理手段44と独立監査処理手段46とを備えている。ボディ制御手段42は、制御対象である空調、ドア等に対する挙動制御を実施する。ボディ関連監査処理手段44および独立監査処理手段46は車両監査装置を構成しており、ボディを構成する空調、ドア等の制御対象の挙動を監査する。
各機能ドメインのECUにおいて、関連監査処理手段および独立監査処理手段と制御手段とは、同じマイコンにより構成されてもよいし、別のマイコンにより構成されてもよい。
(車両監査装置50)
次に、パワートレインドメイン、シャーシドメイン、ボディドメインに共通な車両監査装置の構成について説明する。
次に、パワートレインドメイン、シャーシドメイン、ボディドメインに共通な車両監査装置の構成について説明する。
図2に示すように、各ドメインECUに設けられた車両監査装置50は、機能ドメインの個々の制御対象、または機能ドメイン全体として制御対象の挙動を監査する。車両監査装置50は、制御対象の構成や機能に関連する関連監査処理を実施する関連監査処理手段60と、制御対象の構成や機能に関連せず独立した独立監査処理を実施する独立監査処理手段100とを有している。車両監査装置50は、図示しないCPU、ROM、RAM、およびフラッシュメモリ等の書換可能な不揮発性メモリ等からなるマイコンにより構成されている。
(関連監査処理手段60)
関連監査処理手段60は、制御対象の挙動を推定する挙動推定手段62と、制御対象の挙動を検出する挙動検出手段70と、補正指令手段80(図4、7参照)と、異常箇所特定手段90(図5〜図7参照)と、異常箇所切り離し手段92(図6、7参照)とを有している。関連監査処理手段60の挙動推定手段62と挙動検出手段70と補正指令手段80と異常箇所特定手段90と異常箇所切り離し手段92とが実施する関連監査処理は、制御対象の構成や機能に関連しており、制御対象が異なれば処理が異なる。したがって、関連監査処理手段60では、制御対象に応じて関連監査処理を実施する処理プログラムが変更される。また、関連監査処理手段60では、制御対象に応じて、監査処理を実施するために入力するセンサ信号が変更されることがある。また、関連監査処理手段60では、制御対象に応じて、監査処理を実施するための回路等のハードウェア構成が変更されることがある。このように、関連監査処理手段60では、制御対象に応じて制御対象に関連した関連監査処理が設定される。
関連監査処理手段60は、制御対象の挙動を推定する挙動推定手段62と、制御対象の挙動を検出する挙動検出手段70と、補正指令手段80(図4、7参照)と、異常箇所特定手段90(図5〜図7参照)と、異常箇所切り離し手段92(図6、7参照)とを有している。関連監査処理手段60の挙動推定手段62と挙動検出手段70と補正指令手段80と異常箇所特定手段90と異常箇所切り離し手段92とが実施する関連監査処理は、制御対象の構成や機能に関連しており、制御対象が異なれば処理が異なる。したがって、関連監査処理手段60では、制御対象に応じて関連監査処理を実施する処理プログラムが変更される。また、関連監査処理手段60では、制御対象に応じて、監査処理を実施するために入力するセンサ信号が変更されることがある。また、関連監査処理手段60では、制御対象に応じて、監査処理を実施するための回路等のハードウェア構成が変更されることがある。このように、関連監査処理手段60では、制御対象に応じて制御対象に関連した関連監査処理が設定される。
次に、関連監査処理手段60の挙動推定手段62と挙動検出手段70とについて説明する。補正指令手段80と異常箇所特定手段90と異常箇所切り離し手段92とについては、独立監査処理手段100の後に説明する。
(挙動推定手段62)
挙動推定手段62は、制御対象の挙動を推定するための推定モデルとして、制御対象に対して所定の挙動を要求する挙動要求を入力値とし制御対象に応じて設定された物理モデル64と、制御対象に応じて物理モデル64を特徴付ける車両に固有のパラメータ66とに基づいて制御対象の挙動を推定し、挙動推定値を算出する。物理モデル64を特徴付け
るパラメータ66は、例えば、車両重量等の車両に固有のパラメータである。車両重量が異なると、同じ物理モデルであっても、推定される挙動が異なる。
挙動推定手段62は、制御対象の挙動を推定するための推定モデルとして、制御対象に対して所定の挙動を要求する挙動要求を入力値とし制御対象に応じて設定された物理モデル64と、制御対象に応じて物理モデル64を特徴付ける車両に固有のパラメータ66とに基づいて制御対象の挙動を推定し、挙動推定値を算出する。物理モデル64を特徴付け
るパラメータ66は、例えば、車両重量等の車両に固有のパラメータである。車両重量が異なると、同じ物理モデルであっても、推定される挙動が異なる。
また、物理モデル64の入力値である挙動要求として挙動推定手段62が入力するセンサ信号は、運転者による車両に対する挙動要求であるステアリング、アクセルペダル、ブレーキペダル等の操作量を検出するセンサ信号、ならびに車両の運転環境を表す水温センサ等のセンサ信号である。例えば、ブレーキのホイールシリンダに加わる油圧を電磁弁等から構成される油圧制御回路で制御するブレーキの油圧制御において、挙動推定手段62は、ブレーキペダルの踏み込み量を示すブレーキペダルセンサのセンサ信号を挙動要求として入力し、車重等を車両パラメータとして油圧制御回路の物理モデルから、各ホイールシリンダに加わる油圧を挙動推定値として推定する。物理モデル64の入力値としては、センサ信号以外にも、例えば車載カメラに基づいて車両の自動駐車を制御するECUから指令されるステアリング操作の制御信号であってもよい。つまり、挙動推定値とは、運転者または制御装置から車両に対する挙動要求に対し、車両はこのように挙動する筈だという目標値と言ってもよい。
また、物理モデルに代えて、シミュレーション等により、制御対象の挙動パターンのデータベースを予め推定モデルとして記憶手段に記憶しておき、車両に対する挙動要求等を入力値としてデータベースを参照し、制御対象の挙動を推定してもよい。
本実施形態では、機能ドメイン毎に機能ドメインを構成する制御対象の挙動を車両監査装置50が統合して監査する構成を採用している。これにより、ステアリング、ブレーキ等の制御対象の挙動を個別に推定するだけでなく、機能ドメイン内の複数の制御対象の挙動が組み合わさって生じる挙動を推定できる。
(挙動検出手段70)
挙動検出手段70は、制御対象に対して所定の挙動を要求する挙動要求に基づいて制御手段200が制御対象を制御し、その結果生じる制御対象の挙動に応じて変化するセンサ信号に基づいて制御対象の実際の挙動を挙動検出値72として検出する。挙動検出手段70は、制御対象に応じて異なるセンサ信号を入力する。例えば、挙動検出手段70は、前後の加速度センサおよび車速等のセンサ信号を入力し、前後の加速度および車速を挙動検出値として検出する。
挙動検出手段70は、制御対象に対して所定の挙動を要求する挙動要求に基づいて制御手段200が制御対象を制御し、その結果生じる制御対象の挙動に応じて変化するセンサ信号に基づいて制御対象の実際の挙動を挙動検出値72として検出する。挙動検出手段70は、制御対象に応じて異なるセンサ信号を入力する。例えば、挙動検出手段70は、前後の加速度センサおよび車速等のセンサ信号を入力し、前後の加速度および車速を挙動検出値として検出する。
ここで、本実施形態では、機能ドメイン毎に機能ドメイン内の制御対象の挙動を車両監査装置50が統合して監査する構成を採用している。これにより、ステアリング、ブレーキ等の制御対象の挙動を個別に検出するだけでなく、機能ドメイン内の複数の制御対象の挙動が組み合わさって生じる挙動を検出できる。その結果、個々の制御対象の挙動を表すセンサ信号ではなく、複数の制御対象の挙動が組み合わさって生じる挙動を表すセンサ信号を入力して機能ドメインの挙動を検出できる。
例えばシャーシドメインであれば、挙動検出手段70は、歪みセンサの出力信号に基づいてタイヤの歪みを検出して挙動検出値とする。タイヤの歪みは、例えばカーブ走行時において、シャーシドメイン内のステアリング、ブレーキ等の複数の制御対象の挙動が組み合わさって生じる。機能ドメイン単位で挙動監査を実施することにより、個々の制御対象の挙動を表すセンサ信号に基づいて検出していた挙動を、例えば一つのセンサ信号に基づいて検出できる。これにより、複数の制御対象の挙動が組み合わさって生じる挙動の検出が容易になる。その結果、挙動検出結果に基づく挙動監査が容易になる。
(次元一致手段74)
次元一致手段74は、挙動推定手段62が推定する制御対象の挙動推定値と、挙動検出
手段70が検出する制御対象の挙動検出値と、制御手段200が制御対象の挙動を制御する制御指令値との次元を一致させる。本実施形態では、挙動推定値および挙動検出値の物理量の次元を制御手段200の制御指令値の物理量に合わせているので、制御手段200の制御指令値は次元一致手段74に入力されていない。
次元一致手段74は、挙動推定手段62が推定する制御対象の挙動推定値と、挙動検出
手段70が検出する制御対象の挙動検出値と、制御手段200が制御対象の挙動を制御する制御指令値との次元を一致させる。本実施形態では、挙動推定値および挙動検出値の物理量の次元を制御手段200の制御指令値の物理量に合わせているので、制御手段200の制御指令値は次元一致手段74に入力されていない。
このように、次元一致手段74において、制御対象に関する挙動推定値と挙動検出値を制御指令値の次元に一致させるので、後述する独立監査処理手段100の挙動判定手段102において、挙動推定値と挙動検出値と制御指令値とを、制御対象に関連せず単なる数値として処理できる。
尚、次元一致手段74は、単に物理量の単位を変換するのではなく、挙動検出手段70がセンサ信号から検出した複数の挙動検出値をベクトル合成することにより、複数の挙動検出値を一つの挙動を表す挙動検出値に変換することもある。例えば、ブレーキの油圧制御において、次元一致手段74は、挙動推定手段62が推定した挙動推定値であるホイールシリンダの油圧に対し、挙動検出手段70が検出した挙動検出値である車速および前後の加速度等を各ホイールシリンダの油圧に変換して、挙動推定値と挙動検出値との次元を一致させる。
(独立監査処理手段100)
独立監査処理手段100は、制御対象の挙動が異常であるか否かを判定する。独立監査処理手段100が実施する独立監査処理は、制御対象の構成や機能に関連せず独立しており、制御対象が異なっても共通の同じ処理である。
独立監査処理手段100は、制御対象の挙動が異常であるか否かを判定する。独立監査処理手段100が実施する独立監査処理は、制御対象の構成や機能に関連せず独立しており、制御対象が異なっても共通の同じ処理である。
(挙動判定手段102)
独立監査処理手段100の挙動判定手段102は、関連監査処理手段60の次元一致手段74が物理量の次元を一致させた挙動推定値と挙動検出値とを比較し、挙動推定値と挙動検出値との挙動ずれ量に基づいて制御対象の挙動が異常であるか否かを判定する。関連監査処理手段60の次元一致手段74が挙動推定値と挙動検出値との物理量の次元を一致させているので、挙動判定手段102は、挙動推定値と挙動検出値とを、制御対象に関連しない単なる数値として比較できる。
独立監査処理手段100の挙動判定手段102は、関連監査処理手段60の次元一致手段74が物理量の次元を一致させた挙動推定値と挙動検出値とを比較し、挙動推定値と挙動検出値との挙動ずれ量に基づいて制御対象の挙動が異常であるか否かを判定する。関連監査処理手段60の次元一致手段74が挙動推定値と挙動検出値との物理量の次元を一致させているので、挙動判定手段102は、挙動推定値と挙動検出値とを、制御対象に関連しない単なる数値として比較できる。
挙動判定手段102は、制御対象毎の挙動ずれ量に基づいて個々の制御対象の挙動が異常であるか否かを判定するだけでなく、制御対象の挙動が組み合わさって生じる機能ドメインの挙動ずれ量に基づいて、各制御対象および機能ドメインの挙動が異常であるか否かを判定する。挙動判定手段102は、挙動ずれ量が所定範囲内であれば挙動は正常であり、挙動ずれ量が所定範囲を超えると挙動は異常であると判定する。関連監査処理手段60から挙動推定値および挙動検出値が独立監査処理手段100に入力されるので、関連監査処理手段60は、挙動判定手段102がどの制御対象の挙動推定値および挙動検出値を入力して挙動判定を実施しているかを知っている。
挙動判定手段102は、挙動推定値と挙動検出値との挙動ずれ量として、例えばその差が所定値以内であるか所定値を超えているかに基づいて、制御対象の挙動が異常であるか否かを判定してもよい。単位を考慮しない挙動推定値と挙動検出値との差に基づく挙動の異常判定は、制御対象が異なっても、制御対象に関連せず独立した監査処理である。
また、挙動判定手段102は、挙動ずれ量として、挙動推定値と挙動検出値との差の代わりに挙動推定値と挙動検出値との比率に基づいて、制御対象の挙動が異常であるか否かを判定してもよい。比率は挙動推定値および挙動検出値の単位に関係しない値である。また、比率は挙動推定値および挙動検出値の個々の数値の大きさに関係しない値である。例えば、単位を省略して挙動推定値が80、挙動検出値が100であっても、挙動推定値が
8、挙動検出値が10であっても、比率は同じ0.8である。したがって、挙動推定値と挙動検出値との不一致の程度を制御対象に関連せず一律に判定できる。
8、挙動検出値が10であっても、比率は同じ0.8である。したがって、挙動推定値と挙動検出値との不一致の程度を制御対象に関連せず一律に判定できる。
ところで、挙動推定値と挙動検出値との不一致により挙動異常と判定される場合、制御手段200により制御対象の挙動が制御される制御系の異常により挙動異常になるのか、あるいは、制御系は正常であるが、車両の走行環境等に想定外の事象が発生したことにより挙動異常となるのかを判別することが望ましい。これは、挙動異常の原因に応じて、制御対象に対する制御手段200による挙動制御の制御指令値を補正し、挙動異常を解消するためである。
そこで、図3に示すように、制御異常判定手段104と、挙動異常判定手段106と、異常原因判定手段108とから構成される独立監査処理手段100の挙動判定手段102により、挙動判定を実施することが望ましい。
(制御異常判定手段104)
制御異常判定手段104は、各制御対象に対する制御手段200の制御指令値と、次元一致手段74が制御指令値と物理量の次元を一致させた挙動検出値とを比較し、所定範囲内で一致するか不一致であるかに基づいて制御系が異常であるか否かを判定する。この場合、制御異常判定手段104は、制御指令値と挙動検出値との制御ずれ量として、制御指令値と挙動検出値との差に基づいて異常を判定してもよいし、制御指令値と挙動検出値との比率に基づいて制御系の異常を判定してもよい。関連監査処理手段60の次元一致手段74が挙動検出値の物理量の次元を制御指令値に一致させているので、制御異常判定手段104は、挙動検出値と制御指令値とを、制御対象に関連しない単なる数値として比較できる。
制御異常判定手段104は、各制御対象に対する制御手段200の制御指令値と、次元一致手段74が制御指令値と物理量の次元を一致させた挙動検出値とを比較し、所定範囲内で一致するか不一致であるかに基づいて制御系が異常であるか否かを判定する。この場合、制御異常判定手段104は、制御指令値と挙動検出値との制御ずれ量として、制御指令値と挙動検出値との差に基づいて異常を判定してもよいし、制御指令値と挙動検出値との比率に基づいて制御系の異常を判定してもよい。関連監査処理手段60の次元一致手段74が挙動検出値の物理量の次元を制御指令値に一致させているので、制御異常判定手段104は、挙動検出値と制御指令値とを、制御対象に関連しない単なる数値として比較できる。
(挙動異常判定手段106)
挙動異常判定手段106は、関連監査処理手段60の次元一致手段74が物理量の次元を一致させた挙動推定値と挙動検出値との挙動ずれ量に基づいて、制御対象および機能ドメインの挙動が異常であるか否かを判定する。この場合、挙動異常判定手段106は、前述したように、挙動推定値と挙動検出値との差に基づいて各制御対象および機能ドメインの挙動異常を判定してもよいし、挙動推定値と挙動検出値との比率に基づいて各制御対象および機能ドメインの挙動異常を判定してもよい。
挙動異常判定手段106は、関連監査処理手段60の次元一致手段74が物理量の次元を一致させた挙動推定値と挙動検出値との挙動ずれ量に基づいて、制御対象および機能ドメインの挙動が異常であるか否かを判定する。この場合、挙動異常判定手段106は、前述したように、挙動推定値と挙動検出値との差に基づいて各制御対象および機能ドメインの挙動異常を判定してもよいし、挙動推定値と挙動検出値との比率に基づいて各制御対象および機能ドメインの挙動異常を判定してもよい。
(異常原因判定手段108)
異常原因判定手段108は、制御異常判定手段104と挙動異常判定手段106との判定結果に基づいて、挙動推定値と挙動検出値とが不一致になり挙動推定値と挙動検出値との挙動ずれ量が所定値を超える挙動異常の原因が、制御系の異常によるものなのか、あるいは、制御系は正常であるが、車両の走行環境等に想定外の事象が発生したことによるものなのかを判定する。
異常原因判定手段108は、制御異常判定手段104と挙動異常判定手段106との判定結果に基づいて、挙動推定値と挙動検出値とが不一致になり挙動推定値と挙動検出値との挙動ずれ量が所定値を超える挙動異常の原因が、制御系の異常によるものなのか、あるいは、制御系は正常であるが、車両の走行環境等に想定外の事象が発生したことによるものなのかを判定する。
挙動推定値と挙動検出値とが一致せずに挙動異常判定手段106が挙動異常と判定し、さらに制御指令値と挙動検出値とが一致せず制御異常判定手段104が制御系を異常と判定する場合、異常原因判定手段108は、挙動異常の原因が、制御対象、または制御対象に対する制御手段200による挙動制御のいずれかであると判断する。
例えば、ブレーキの油圧制御における異常原因判定手段108の判定処理について考えてみる。ブレーキペダルの踏み込み量を挙動要求として挙動推定手段62が物理モデル64から推定したブレーキのホイールシリンダの油圧を挙動推定値とし、次元一致手段74が車速および前後の加速度から変換したホイールシリンダの油圧を挙動検出値とし、ブレーキペダルの踏み込み量を挙動要求として油圧の制御手段200が油圧制御回路に指令す
るホイールシリンダの油圧を制御指令値とする。異常原因判定手段108は、油圧の挙動推定値と挙動検出値とが一致しないので挙動異常であると挙動異常判定手段106が判定し、油圧の挙動検出値と制御指令値とが一致しないと制御異常判定手段104が判定すると、挙動異常の原因は制御系であると判定する。ただし、制御異常判定手段104と挙動異常判定手段106との判定結果だけでは、異常原因判定手段108は、制御対象または制御手段200のどちらが異常であるかを判断できない。
るホイールシリンダの油圧を制御指令値とする。異常原因判定手段108は、油圧の挙動推定値と挙動検出値とが一致しないので挙動異常であると挙動異常判定手段106が判定し、油圧の挙動検出値と制御指令値とが一致しないと制御異常判定手段104が判定すると、挙動異常の原因は制御系であると判定する。ただし、制御異常判定手段104と挙動異常判定手段106との判定結果だけでは、異常原因判定手段108は、制御対象または制御手段200のどちらが異常であるかを判断できない。
制御系の異常の場合には、後述するように、異常原因判定手段108の判定結果と各制御対象に対する診断結果とに基づいて、関連監査処理手段60の異常箇所特定手段90において制御系の異常箇所を特定し、必要に応じて異常箇所を切り離す。この場合、後述するように、異常箇所を切り離した状態で、関連監査処理手段60の補正指令手段80において、挙動推定値と制御指令値とに基づいて、制御手段200が制御対象の挙動を制御するときの制御指令値に対する補正量が算出される。
これに対し、制御指令値と挙動検出値とが一致し制御異常判定手段104が制御系を正常と判定する一方、挙動推定値と挙動検出値とが一致せず機能ドメインの挙動異常と挙動異常判定手段106が判定する場合、異常原因判定手段108は、個々の制御対象は制御手段200による制御指令に対して正常に挙動しているが、想定外の車両の走行環境の変化等により、制御対象の挙動が組み合わさった機能ドメインの挙動が異常になっていると判断する。
例えば、路面上の一部が凍結しており、左右のうち片側のタイヤが凍結路面上を走行する場合、シャーシドメイン内のステアリング、ブレーキ等の個々の制御対象の挙動検出値は制御手段200からの制御指令値にほぼ一致しており正常である一方、凍結路面のために車両がスリップする結果、タイヤの歪みの挙動推定値と歪みセンサにより検出されるタイヤの歪みの挙動検出値とが一致しないことがある。この場合、異常原因判定手段108は、個々の制御対象の挙動は正常であるものの、車両としてはタイヤが歪む状態にあり、異常であると判定する。
このように、制御系が正常であるにもかかわらず、制御対象の挙動が組み合わさった機能ドメインの挙動が異常である場合、後述するように、補正指令手段80において、挙動推定値と制御指令値とに基づいて、機能ドメインの挙動が正常になるように、制御手段200による制御対象に対する制御指令値の補正量が算出される。
挙動推定値と挙動検出値とが一致して挙動異常判定手段106が挙動を正常と判定する一方、制御指令値と挙動検出値とが一致せず制御異常判定手段104が制御系を異常と判定する現象は起こらないと考えられる。
次に、図4から図7に基づいて、制御対象または機能ドメインの挙動異常が発生したときの、関連監査処理手段60における補正指令手段80、異常箇所特定手段90、異常箇所切り離し手段92による監査処理について説明する。
(補正指令手段80)
図4に示すように、補正指令手段80は、挙動ベクトル分割手段82と補正量算出手段84とを有している。挙動ベクトル分割手段82は、機能ドメインの挙動推定値と挙動検出値とが一致しない場合、次元一致手段74から入力する機能ドメインの挙動推定値の大きさ、および方向を制御対象毎にベクトル分割する。挙動ベクトル分割手段82は、挙動推定手段62が推定する機能ドメインの挙動推定値の物理量の次元が制御指令値と一致している場合には、挙動推定手段62から挙動推定値を入力してもよい。制御対象毎の挙動推定値と挙動検出値とが一致しない場合には、挙動推定値は制御対象毎の値であるから、
挙動ベクトル分割手段82は挙動推定値をベクトル分割する必要はない。
図4に示すように、補正指令手段80は、挙動ベクトル分割手段82と補正量算出手段84とを有している。挙動ベクトル分割手段82は、機能ドメインの挙動推定値と挙動検出値とが一致しない場合、次元一致手段74から入力する機能ドメインの挙動推定値の大きさ、および方向を制御対象毎にベクトル分割する。挙動ベクトル分割手段82は、挙動推定手段62が推定する機能ドメインの挙動推定値の物理量の次元が制御指令値と一致している場合には、挙動推定手段62から挙動推定値を入力してもよい。制御対象毎の挙動推定値と挙動検出値とが一致しない場合には、挙動推定値は制御対象毎の値であるから、
挙動ベクトル分割手段82は挙動推定値をベクトル分割する必要はない。
補正量算出手段84は、挙動ベクトル分割手段82から制御対象毎の挙動推定値と、制御手段200から制御対象毎の制御指令値とを入力する。さらに、補正量算出手段84は、異常原因判定手段108から、挙動異常判定手段106において算出された挙動ずれ量と、挙動異常の判定結果と、制御系の異常のために挙動異常になっているのか、制御系が正常であるにも関わらず想定外の事象により挙動異常となっているのかを示す異常原因情報と、後述する異常箇所特定手段90から挙動異常を引き起こしている異常箇所とを入力する。補正量算出手段84は、関連監査処理手段60の一部であるから、前述したように、どの制御対象に対して独立監査処理手段100の挙動判定手段102が挙動異常を判定したかを知っている。
補正量算出手段84は、挙動ずれ量と挙動の異常原因情報と異常箇所とに基づいて、挙動推定値と制御指令値とから、挙動異常を示している制御対象または機能ドメインの挙動が極力正常になるように、制御手段200が制御対象に指令する制御指令値を補正する補正量を算出する。例えば、制御系において前輪の右ブレーキのホイールシリンダが異常であり油圧が上昇しない場合には、補正量算出手段84は、前輪の右ブレーキの油圧異常を考慮して、車両として横滑り等を起こさず、かつ必要な制動力が働くように、残りの正常な3箇所のホイールシリンダに対する油圧制御指令値の補正量を算出する。
また、制御系は正常であるが、想定外の走行環境の変化により挙動異常が発生している場合、例えば、ブレーキのホイールシリンダの油圧は制御手段200からの制御指令値に応じて正常に作動しているが、凍結路面のために車両が横滑りしている場合、補正量算出手段84は、タイヤのグリップ力が最適に働き車両の横滑りを回避するように、油圧制御指令値の補正量を算出する。
そして、補正量算出手段84は、算出した補正量に基づいて制御対象に対する挙動制御を制御手段200に指令する。この場合、挙動ずれ量として、挙動推定値と挙動検出値との差または比率の大きさをそのまま補正量に反映してもよいし、差または比率の大きさを制御対象に応じて変換し、補正量に反映してもよい。
制御対象の異常箇所が切り離される場合には、補正指令手段80は切り離される異常箇所を異常箇所特定手段90から入力し、図7に示すように、異常箇所が切り離された状態の制御対象202または機能ドメインに対して、制御対象または機能ドメインが極力正常に挙動するように、制御手段200による制御対象に対する制御指令値の補正量を算出する。図7では、制御対象202において異常箇所Xが切り離されている。右前輪のホイールシリンダが異常の場合には、右前輪のホイールシリンダを油圧制御から切り離し、右前輪のブレーキの油圧を0にして、残りの正常な3箇所のホイールシリンダに対する油圧制御指令値の補正量を算出する。そして、補正指令手段80は、算出した補正量に基づいて制御対象に対する挙動制御を制御手段200に指令する。
(異常箇所特定手段90)
図5に示す関連監査処理手段60の異常箇所特定手段90は、異常原因判定手段108の判定結果が制御系の異常である場合、車両に対する挙動監査とは別の各制御対象に対する診断結果に基づいて、制御系の異常箇所を特定する。異常箇所特定手段90は、さらに挙動推定値および挙動検出値を異常箇所の特定に用いてもよい。制御系の異常箇所は、制御対象または制御手段200による制御のいずれかである。
図5に示す関連監査処理手段60の異常箇所特定手段90は、異常原因判定手段108の判定結果が制御系の異常である場合、車両に対する挙動監査とは別の各制御対象に対する診断結果に基づいて、制御系の異常箇所を特定する。異常箇所特定手段90は、さらに挙動推定値および挙動検出値を異常箇所の特定に用いてもよい。制御系の異常箇所は、制御対象または制御手段200による制御のいずれかである。
例えば、ブレーキのホイールシリンダおよび油圧制御回路に対する診断結果に基づき、制御手段200から4論のブレーキの油圧制御回路に正常な信号レベルの油圧制御信号が
送出されているにも関わらず、挙動検出値として何れかのブレーキのホイールシリンダの油圧が異常である場合には、ブレーキのホイールシリンダまたは油圧制御回路が異常原因であると特定する。一方、ブレーキのホイールシリンダおよび油圧制御回路に対する診断結果に基づき、例えば制御手段200から4論のブレーキの油圧制御回路に送出されている信号レベルが「High」または「Low」に固定されている場合には、異常箇所特定手段90は、制御手段200から送出される制御信号の異常であると判断する。この場合には、異常箇所特定手段90は、異常箇所切り離し手段92に対して、制御手段200における処理プログラムの異常箇所の実行を禁止すること等により、油圧制御回路に対する油圧制御を禁止するよう指示する。
送出されているにも関わらず、挙動検出値として何れかのブレーキのホイールシリンダの油圧が異常である場合には、ブレーキのホイールシリンダまたは油圧制御回路が異常原因であると特定する。一方、ブレーキのホイールシリンダおよび油圧制御回路に対する診断結果に基づき、例えば制御手段200から4論のブレーキの油圧制御回路に送出されている信号レベルが「High」または「Low」に固定されている場合には、異常箇所特定手段90は、制御手段200から送出される制御信号の異常であると判断する。この場合には、異常箇所特定手段90は、異常箇所切り離し手段92に対して、制御手段200における処理プログラムの異常箇所の実行を禁止すること等により、油圧制御回路に対する油圧制御を禁止するよう指示する。
(異常箇所切り離し手段92)
図6に示す関連監査処理手段60の異常箇所切り離し手段92は、異常箇所特定手段90が特定する異常箇所の切り離し処理を実施する。例えば、異常箇所切り離し手段92は、図6に示すように、制御対象202の異常箇所Xに対して電源供給を遮断することにより、異常箇所を切り離す。異常箇所と連動して作動する箇所がある場合は、異常箇所と、異常箇所と連動して作動する箇所とを1グループと見なしてまとめて切り離してもよい。例えば、右前輪のホイールシリンダの油圧が異常の場合には、右前輪のホイールシリンダとブレーキ液の配管系統が同じである左後輪のホイールシリンダも、右前輪のホイールシリンダとともに油圧が0になるように油圧制御から切り離してもよい。
図6に示す関連監査処理手段60の異常箇所切り離し手段92は、異常箇所特定手段90が特定する異常箇所の切り離し処理を実施する。例えば、異常箇所切り離し手段92は、図6に示すように、制御対象202の異常箇所Xに対して電源供給を遮断することにより、異常箇所を切り離す。異常箇所と連動して作動する箇所がある場合は、異常箇所と、異常箇所と連動して作動する箇所とを1グループと見なしてまとめて切り離してもよい。例えば、右前輪のホイールシリンダの油圧が異常の場合には、右前輪のホイールシリンダとブレーキ液の配管系統が同じである左後輪のホイールシリンダも、右前輪のホイールシリンダとともに油圧が0になるように油圧制御から切り離してもよい。
制御手段200の制御が異常である場合には、異常箇所切り離し手段92は、処理プログラムの異常箇所の実行を禁止すること等により、制御手段200による異常制御を切り離す。
(マイコンによる車両監査装置50の構成例)
次に、マイコンによる車両監査装置50の構成例について説明する。
次に、マイコンによる車両監査装置50の構成例について説明する。
(構成例1)
図8の(A)に示すように、車両監査装置50の関連監査処理手段60と独立監査処理手段100とは、異なるマイコン210、212により構成されてもよいし、図8の(B)に示すように、同じマイコン214により構成されてもよい。尚、同じマイコンにより構成されるということは、関連監査処理手段60と独立監査処理手段100とが、同じOSの管理下の元で、同じメモリ装置に記憶されたそれぞれの処理プログラムを同じ演算処理装置(CPU)が実行することを表している。
図8の(A)に示すように、車両監査装置50の関連監査処理手段60と独立監査処理手段100とは、異なるマイコン210、212により構成されてもよいし、図8の(B)に示すように、同じマイコン214により構成されてもよい。尚、同じマイコンにより構成されるということは、関連監査処理手段60と独立監査処理手段100とが、同じOSの管理下の元で、同じメモリ装置に記憶されたそれぞれの処理プログラムを同じ演算処理装置(CPU)が実行することを表している。
関連監査処理手段60と独立監査処理手段100とが同じマイコン214により構成され、関連監査処理手段60および独立監査処理手段100の処理プログラムが同じメモリに記憶されている状態で、例えば機能ドメインを構成する制御対象の入れ替え、追加、または削除等の制御対象の変更がある場合、あるいは異なる機能ドメインに車両監査装置50を適用する場合の関連監査処理手段60の変更について説明する。
プログラムコードを自動生成する開発環境では、関連監査処理手段60用に設定するモデルの機能だけを変更してプログラムコードを自動生成してメモリを書き換える。これに対し、モジュール化したプログラム単位で開発する場合には、関連監査処理手段60の処理プログラムだけを変更してメモリを書き換える。
いずれの場合にも、関連監査処理手段60の設定だけを変更し、独立監査処理手段100の設定は変更されない。
関連監査処理手段60と独立監査処理手段100とが異なるマイコンにより構成されている場合には、マイコン単位で関連監査処理手段60を変更すればよい。
ところで、関連監査処理手段60と独立監査処理手段100とが異なるマイコンにより構成されている場合、2個のマイコンのうち少なくとも1個のマイコンが故障して監査処理が異常となる確率は、関連監査処理手段60と独立監査処理手段100とが同じマイコンにより構成され、そのマイコンが故障して監査処理が異常となる確率よりも高くなる。また、前述したように、関連監査処理手段60と独立監査処理手段100とは相手の監査処理結果を入力情報としている。したがって、関連監査処理手段60と独立監査処理手段100とは、図8の(B)に示すように同じマイコンにより構成されていることが望ましい。
(構成例2)
図9に示すように、車両監査装置50と機能ドメイン制御手段232を有する機能ドメイン制御装置230とを、機能ドメインECU220の同じマイコン222により構成してもよい。これにより、車両監査装置50と機能ドメイン制御装置230とを構成するマイコンの個数を低減できる。
図9に示すように、車両監査装置50と機能ドメイン制御手段232を有する機能ドメイン制御装置230とを、機能ドメインECU220の同じマイコン222により構成してもよい。これにより、車両監査装置50と機能ドメイン制御装置230とを構成するマイコンの個数を低減できる。
尚、車両監査装置50と機能ドメイン制御装置230とを同じマイコン222により構成する場合、車両監査装置50と機能ドメイン制御装置230とが互いに干渉せず独立して処理を実施するために、例えば車両監査装置50と機能ドメイン制御装置230とが共通に利用する記憶装置において、一方が参照する記憶領域に対して他方の書き込みを禁止する等の保護機能224をマイコン222が備えていることが望ましい。
(構成例3)
構成例2において、同じ機能ドメインに対して監査処理を実施する車両監査装置50と、機能ドメインの挙動を制御する機能ドメイン制御装置230とを同じマイコン222により構成すると、マイコン222が故障したときに、機能ドメインに対する監査処理および挙動制御の両方が実施できなくなる。この問題を解決するために、車両監査装置50と機能ドメイン制御装置230とを異なるマイコンにより構成すると、マイコンの個数が増加する。
構成例2において、同じ機能ドメインに対して監査処理を実施する車両監査装置50と、機能ドメインの挙動を制御する機能ドメイン制御装置230とを同じマイコン222により構成すると、マイコン222が故障したときに、機能ドメインに対する監査処理および挙動制御の両方が実施できなくなる。この問題を解決するために、車両監査装置50と機能ドメイン制御装置230とを異なるマイコンにより構成すると、マイコンの個数が増加する。
そこで、図10に示すように、例えば、一方の機能ドメインECU240の同じマイコン242により、パワートレインドメインの挙動を制御するパワートレイン制御手段22を有するパワートレイン制御装置246と、シャーシドメインの挙動を監査する車両監査装置38とを構成し、他方の機能ドメインECU250の同じマイコン252により、シャーシドメインの挙動を制御するシャーシ制御手段32を有するシャーシ制御装置256と、パワートレインドメインの挙動を監査する車両監査装置28とを構成することが考えられる。マイコン242、252は、それぞれ、前述した保護機能224と同様の保護機能244、254を備えている。
図10のように、同じマイコンにより処理対象である機能ドメインの異なる機能ドメイン制御装置と車両監査装置とを構成することにより、一つのマイコンが故障しても、別のマイコンにより構成されている機能ドメイン制御装置または車両監査装置により、機能ドメインに対して挙動制御または監査処理の一方を実施できる。
(構成例4)
図11に示すように、車両監査装置50と機能ドメイン制御装置230とが同じマイコン260により構成される場合、車両監査装置50の関連監査処理手段60および独立監査処理手段100と、機能ドメイン制御装置230の機能ドメイン制御手段232とは異なる電源270、272からそれぞれ電源を供給され、異なる演算装置262、264により実行されることが望ましい。異なる電源270、272からそれぞれ電源を供給されるのであれば、演算装置262、264は、異なるCPUであってもよいし、同じCPU
内の異なるコアでもよい。
図11に示すように、車両監査装置50と機能ドメイン制御装置230とが同じマイコン260により構成される場合、車両監査装置50の関連監査処理手段60および独立監査処理手段100と、機能ドメイン制御装置230の機能ドメイン制御手段232とは異なる電源270、272からそれぞれ電源を供給され、異なる演算装置262、264により実行されることが望ましい。異なる電源270、272からそれぞれ電源を供給されるのであれば、演算装置262、264は、異なるCPUであってもよいし、同じCPU
内の異なるコアでもよい。
これにより、同じマイコン260により構成される場合に、一方の演算装置または電源に故障が発生しても、他方の演算装置は処理を続けることができる。
(構成例5)
図12に示すように、車両監査装置280は、2個のマイコン282、284により、2組の同じ関連監査処理手段60および独立監査処理手段100を構成してもよい。車両監査装置280が監査する制御対象が増えるほど、車両監査装置280に対して要求される信頼性は増加する。そこで、2個のマイコン282、284により車両監査装置280の冗長系を構成することにより、例えば一方のマイコン282が故障しても正常な他方のマイコン284で監査処理を実施できるので、車両監査装置280による監査処理の信頼性が向上する。車両監査装置を構成するマイコンの個数は2個に限らず3個以上でもよい。尚、車両監査装置280を複数のマイコンで構成する場合、各マイコンは、異なるハードウェア構成で、車両上の離れた位置に設置されることが望ましい。これにより、車両監査装置を構成する複数のマイコンが同時に故障または破損する確率を低下できる。
図12に示すように、車両監査装置280は、2個のマイコン282、284により、2組の同じ関連監査処理手段60および独立監査処理手段100を構成してもよい。車両監査装置280が監査する制御対象が増えるほど、車両監査装置280に対して要求される信頼性は増加する。そこで、2個のマイコン282、284により車両監査装置280の冗長系を構成することにより、例えば一方のマイコン282が故障しても正常な他方のマイコン284で監査処理を実施できるので、車両監査装置280による監査処理の信頼性が向上する。車両監査装置を構成するマイコンの個数は2個に限らず3個以上でもよい。尚、車両監査装置280を複数のマイコンで構成する場合、各マイコンは、異なるハードウェア構成で、車両上の離れた位置に設置されることが望ましい。これにより、車両監査装置を構成する複数のマイコンが同時に故障または破損する確率を低下できる。
(監査ルーチン)
次に、車両監査処理を実施する監査ルーチンを図13に示す。監査ルーチンは常時実行される。S400において車両監査装置50は、制御対象の挙動を推定する推定モデルとして、前述した物理モデルまたはデータベースから、制御対象の挙動を推定して挙動推定値を算出する。
次に、車両監査処理を実施する監査ルーチンを図13に示す。監査ルーチンは常時実行される。S400において車両監査装置50は、制御対象の挙動を推定する推定モデルとして、前述した物理モデルまたはデータベースから、制御対象の挙動を推定して挙動推定値を算出する。
S402において車両監査装置50は、センサ信号から制御対象の挙動を挙動検出値として検出する。
S404において車両監査装置50は、制御手段200から制御対象に対する制御指令値を取得する。
S406において車両監査装置50は、S400〜S404で算出または取得した挙動推定値と挙動検出値と制御指令値との物理量の次元を一致させる。
S408において車両監査装置50は、挙動推定値と挙動検出値とを比較し、挙動推定値と挙動検出値との挙動ずれ量が所定値以内であれば(S408:Yes)、本ルーチンを終了する。
挙動ずれ量が所定値を超える場合(S408:No)、S410において車両監査装置50は、挙動検出値と制御指令値とを比較する。挙動検出値と制御指令値との制御ずれ量が所定値以内の場合(S410:Yes)、車両監査装置50は、制御系は正常であるが制御対象の挙動が異常であると判断する。つまり、想定外の事象のために挙動が異常になっていると判断する。そこで、車両監査装置50は、挙動が正常になるように、挙動ずれ量と挙動推定値と制御指令値とに基づいて制御指令値に対する補正量を算出し(S412)、補正量に基づく制御を制御手段200に指令する(S420)。
挙動検出値と制御指令値とが一致しない場合(S410:No)、車両監査装置50は、制御系に故障が発生していると判断する。そこで、車両監査装置50は、制御対象に対する診断結果と挙動推定値と挙動検出値とに基づいて制御系の異常箇所を特定し(S414)、異常箇所を制御対象から切り離す(S416)。この場合、異常箇所と連動して作動する箇所がある場合は、異常箇所と、異常箇所と連動して作動する箇所とを1グループと見なしてまとめて切り離してもよい。
車両監査装置50は、S418において異常箇所を切り離した状態で、制御指令値に対する補正量を算出し、S420において補正量に基づく制御を制御手段200に指令する
。
。
本実施形態では、パワートレイン制御手段22、シャーシ制御手段32、ボディ制御手段42、制御手段200が本発明の制御手段に相当する。また、パワートレイン関連監査処理手段24、シャーシ関連監査処理手段34、ボディ関連監査処理手段44、関連監査処理手段60が本発明の関連監査処理手段に相当する。また、パワートレイン関連監査処理手段24および独立監査処理手段26、シャーシ関連監査処理手段34および独立監査処理手段36、ボディ関連監査処理手段44および独立監査処理手段46はそれぞれ、該当する機能ドメインの挙動を監査する本発明の車両監査装置を構成する。また、マイコン210、212、214、222、242、252、260、282は本発明の処理装置に相当する。
尚、図13のS400、S402S406、およびS412〜S420は、本発明の車両監査装置における関連監査処理手段としての機能に相当し、S404、S408、およびS410は本発明の車両監査装置における独立監査処理手段としての機能に相当する。詳細には、S400は車両監査装置における挙動推定手段としての機能に相当し、S402は挙動検出手段としての機能に相当し、S408およびS410は挙動判定手段としての機能に相当し、S412、S418およびS420は補正指令手段としての機能に相当し、S414は異常箇所特定手段としての機能に相当し、S416は異常箇所切り離し手段としての機能に相当する。
[第2実施形態]
第2実施形態の車両監査装置を適用した車両制御システムを図14に示す。
第2実施形態の車両監査装置を適用した車両制御システムを図14に示す。
図14に示す車両制御システム290において、車両監査装置310は、第1実施形態における各機能ドメインの関連監査処理手段60および独立監査処理手段100を機能ドメイン制御手段から切り離して統合したものであり、車両全体の挙動を監査する。
関連監査処理手段312は、機能ドメイン単位ではなく、車両全体の制御対象に関連した関連監査処理を実施する。したがって、第1実施形態で機能ドメイン毎に設けられた関連監査処理手段60の関連監査処理とは設定が異なっている。
独立監査処理手段314は第1実施形態で説明した独立監査処理手段100と実質的に同一であり、機能ドメインに対する監査処理、あるいは車両全体に対する監査処理に関わらず、制御対象に関連せず独立した監査処理を実施する。
尚、車両監査装置310は、機能ドメインECU20、30、40とハードウェアを独立して設けられてもよいし、一部を共有して設けられてもよい。
以上説明した上記実施形態では、車両に搭載された制御対象の挙動を監査する車両監査装置において、制御対象に関連せず独立した独立監査処理を実施する独立監査処理手段と、制御対象に関連する関連監査処理を実施する関連監査処理手段とに分類して構成するために、制御対象の挙動推定値および挙動検出値と、制御対象に対する制御手段の制御指令との物理量の次元を関連監査処理手段が一致させた。これにより、独立監査処理手段は、制御対象に関連せず、独立した監査処理として制御対象の挙動が異常であるか否かを判定できる。
このように関連監査処理手段と独立監査処理手段とで制御対象に対する監査処理を分類したことにより、制御対象が変更になると、独立監査処理手段は変更せず、関連監査処理手段だけを変更すればよい。その結果、異なる制御対象に対して同じ共通の独立監査処理手段を使用して監査処理を実施できるので、制御対象に応じた車両監査装置の監査処理の変更量が低減する。また、車両監査装置が同じ独立監査処理手段を使用するので、制御対
象に応じて車両監査装置の監査処理全体を変更する場合に比べ、独立監査処理手段による監査処理の信頼性が向上する。
象に応じて車両監査装置の監査処理全体を変更する場合に比べ、独立監査処理手段による監査処理の信頼性が向上する。
[他の実施形態]
上記実施形態では、機能ドメイン単位、または車両全体に対し、複数の制御対象の挙動を監査する車両監査装置について説明した。これに対し、本発明の車両監査装置は、車両に搭載された制御対象毎に設けられ、各制御対象の挙動を監査してもよい。この場合にも、関連監査処理手段は、制御対象に応じて制御対象に関連する監査処理を設定される。一方、独立監査処理手段は、制御対象が変更になっても変更されず、制御対象に関連せず独立した監査処理を実施する。このように、本発明では、制御対象毎、または機能ドメイン毎、または車両に対して車両監査装置が設けられても、共通の同じ独立監査処理手段が使用される。
上記実施形態では、機能ドメイン単位、または車両全体に対し、複数の制御対象の挙動を監査する車両監査装置について説明した。これに対し、本発明の車両監査装置は、車両に搭載された制御対象毎に設けられ、各制御対象の挙動を監査してもよい。この場合にも、関連監査処理手段は、制御対象に応じて制御対象に関連する監査処理を設定される。一方、独立監査処理手段は、制御対象が変更になっても変更されず、制御対象に関連せず独立した監査処理を実施する。このように、本発明では、制御対象毎、または機能ドメイン毎、または車両に対して車両監査装置が設けられても、共通の同じ独立監査処理手段が使用される。
上記実施形態では、関連監査処理手段、独立監査処理手段、挙動推定手段、挙動検出手段、挙動判定手段、補正指令手段、異常箇所特定手段、異常箇所切り離し手段の機能を、処理プログラムにより機能が特定される車両監査装置により実現している。これに対し、上記複数の手段の機能の少なくとも一部を、回路構成自体で機能が特定されるハードウェアで実現してもよい。
このように、本発明は、上記実施形態に限定されるものではなく、その要旨を逸脱しない範囲で種々の実施形態に適用可能である。
10、290:車両制御システム、22:パワートレイン制御手段(制御手段)、24:パワートレイン関連監査処理手段(関連監査処理手段)、26、36、46、100、314:独立監査処理手段、32:シャーシ制御手段(制御手段)、34:シャーシ関連監査処理手段(関連監査処理手段)、42:ボディ制御手段(制御手段)、44:ボディ関連監査処理手段(関連監査処理手段)、50、310:車両監査装置、60、312:関連監査処理手段、62:挙動推定手段、64:物理モデル、66:パラメータ、70:挙動検出手段、72:挙動検出値、74:次元一致手段、80:補正指令手段、90:異常箇所特定手段、92:異常箇所切り離し手段、200:制御手段、210、212、214、222、242、252、260、282:マイコン(処理装置)、224、244、254:保護機能、262、264:演算装置、270、272:電源
Claims (18)
- 車両に搭載され制御手段により挙動を制御される少なくとも一つの制御対象の挙動を監査する車両監査装置において、
前記制御対象に関連する関連監査処理を実施し、前記制御対象に応じた前記関連監査処理が設定されている関連監査処理手段と、
前記制御対象の構成や機能に関連せず独立した独立監査処理を実施する独立監査処理手段と、
を備え、
前記関連監査処理手段は、
前記制御手段が前記制御対象を制御することにより生じる前記制御対象の挙動を検出する挙動検出手段と、
前記制御対象に対して所定の挙動を要求する挙動要求に基づいて前記制御対象の挙動を推定する挙動推定手段と、
前記挙動推定手段が推定する挙動推定値と、前記挙動検出手段が検出する挙動検出値と、前記制御対象に対する前記制御手段による制御指令値との物理量の次元を一致させる次元一致手段と、
を有し、
前記独立監査処理手段は、前記次元一致手段が物理量の次元を一致させた前記挙動推定値と前記挙動検出値との挙動ずれ量に基づいて前記制御対象の挙動が異常であるか否かを判定する挙動判定手段を有し、
前記挙動判定手段は、前記挙動ずれ量に基づいて前記制御対象の挙動が異常であると判定すると、前記次元一致手段が物理量の次元を一致させた前記挙動検出値と前記制御指令値との制御ずれ量に基づき、前記制御手段により前記制御対象の挙動が制御される制御系が挙動異常の原因か否かを判定する、
ことを特徴とする車両監査装置。 - 前記関連監査処理手段は、挙動異常の原因が前記制御系にあると前記挙動判定手段が判定すると、前記制御系において挙動異常を引き起こす箇所を特定する異常箇所特定手段を有することを特徴とする請求項1に記載の車両監査装置。
- 前記関連監査処理手段は、前記異常箇所特定手段が特定する前記異常箇所を前記制御系から切り離す異常箇所切り離し手段を有することを特徴とする請求項2に記載の車両監査装置。
- 前記異常箇所切り離し手段は、前記制御系において前記異常箇所と連動して機能する箇所も異常箇所として前記制御系から切り離すことを特徴とする請求項3に記載の車両監査装置。
- 前記関連監査処理手段は、前記挙動ずれ量に基づいて前記制御対象の挙動が異常であると前記挙動判定手段が判定すると、前記挙動ずれ量と、前記挙動推定値と、前記制御対象に対する前記制御手段による制御指令値とに基づいて前記制御対象に対する前記制御指令値の補正量を算出し、前記補正量に基づいた挙動制御を前記制御手段に指令する補正指令手段を有することを特徴とする請求項1または2に記載の車両監査装置。
- 車両に搭載され制御手段により挙動を制御される少なくとも一つの制御対象の挙動を監査する車両監査装置において、
前記制御対象に関連する関連監査処理を実施し、前記制御対象に応じた前記関連監査処理が設定されている関連監査処理手段と、
前記制御対象の構成や機能に関連せず独立した独立監査処理を実施する独立監査処理手段と、
を備え、
前記関連監査処理手段は、
前記制御手段が前記制御対象を制御することにより生じる前記制御対象の挙動を検出する挙動検出手段と、
前記制御対象に対して所定の挙動を要求する挙動要求に基づいて前記制御対象の挙動を推定する挙動推定手段と、
前記挙動推定手段が推定する挙動推定値と前記挙動検出手段が検出する挙動検出値との物理量の次元を一致させる次元一致手段と、
前記挙動ずれ量に基づいて前記制御対象の挙動が異常であると前記挙動判定手段が判定すると、前記挙動ずれ量と、前記挙動推定値と、前記制御対象に対する前記制御手段による制御指令値とに基づいて前記制御対象に対する前記制御指令値の補正量を算出し、前記補正量に基づいた挙動制御を前記制御手段に指令する補正指令手段と、
を有し、
前記独立監査処理手段は、前記次元一致手段が物理量の次元を一致させた前記挙動推定値と前記挙動検出値との挙動ずれ量に基づいて前記制御対象の挙動が異常であるか否かを判定する挙動判定手段を有する、
ことを特徴とする車両監査装置。 - 前記関連監査処理手段は、前記挙動ずれ量に基づいて前記制御対象の挙動が異常であると前記挙動判定手段が判定し、前記異常箇所切り離し手段が前記制御系から前記異常箇所を切り離した状態で、前記挙動ずれ量と前記挙動推定値と前記制御指令値とに基づいて前記制御対象に対する前記制御指令値の補正量を算出し、前記補正量に基づいた挙動制御を前記制御手段に指令する補正指令手段を有することを特徴とする請求項3または4に記載の車両監査装置。
- 前記関連監査処理手段は、複数の前記制御対象に対して前記関連監査処理を実施し、
前記独立監査処理手段は、複数の前記制御対象に対して前記独立監査処理を実施する、ことを特徴とする請求項1から7のいずれか一項に記載の車両監査装置。 - 前記関連監査処理手段は、車両全体に対して前記関連監査処理を実施し、
前記独立監査処理手段は、車両全体に対して前記独立監査処理を実施する、
ことを特徴とする請求項8に記載の車両監査装置。 - 前記独立監査処理手段および前記関連監査処理手段は、同じ処理装置により構成されていることを特徴とする請求項1から9のいずれか一項に記載の車両監査装置。
- 前記制御手段と、前記独立監査処理手段および前記関連監査処理手段とは、互いの処理を干渉させずに実行できる保護機能を有する同じ前記処理装置により構成されていることを特徴とする請求項10に記載の車両監査装置。
- 前記独立監査処理手段および前記関連監査処理手段は、前記独立監査処理手段および前記関連監査処理手段が監査する前記制御対象とは異なる前記制御対象の挙動を制御する前記制御手段と同じ前記処理装置により構成されていることを特徴とする請求項11に記載の車両監査装置。
- 車両に搭載され制御手段により挙動を制御される少なくとも一つの制御対象の挙動を監査する車両監査装置において、
前記制御対象に関連する関連監査処理を実施し、前記制御対象に応じた前記関連監査処理が設定されている関連監査処理手段と、
前記制御対象の構成や機能に関連せず独立した独立監査処理を実施する独立監査処理手段と、
を備え、
前記関連監査処理手段は、
前記制御手段が前記制御対象を制御することにより生じる前記制御対象の挙動を検出する挙動検出手段と、
前記制御対象に対して所定の挙動を要求する挙動要求に基づいて前記制御対象の挙動を推定する挙動推定手段と、
前記挙動推定手段が推定する挙動推定値と前記挙動検出手段が検出する挙動検出値との物理量の次元を一致させる次元一致手段と、
を有し、
前記独立監査処理手段は、前記次元一致手段が物理量の次元を一致させた前記挙動推定値と前記挙動検出値との挙動ずれ量に基づいて前記制御対象の挙動が異常であるか否かを判定する挙動判定手段を有し、
前記制御手段と、前記独立監査処理手段および前記関連監査処理手段とは、互いの処理を干渉させずに実行できる保護機能を有する同じ処理装置により構成されており、
前記独立監査処理手段および前記関連監査処理手段は、前記独立監査処理手段および前記関連監査処理手段が監査する前記制御対象とは異なる前記制御対象の挙動を制御する前記制御手段と同じ前記処理装置により構成されている、
ことを特徴とする車両監査装置。 - 前記処理装置は、前記独立監査処理および前記関連監査処理を実行する演算装置と、前記制御手段による挙動制御を実行する演算装置とをそれぞれ有し、
前記独立監査処理手段および前記関連監査処理手段は、前記制御手段とは異なる電源から電力を供給される、
ことを特徴とする請求項11から13のいずれか一項に記載の車両監査装置。 - 車両に搭載され制御手段により挙動を制御される少なくとも一つの制御対象の挙動を監査する車両監査装置において、
前記制御対象に関連する関連監査処理を実施し、前記制御対象に応じた前記関連監査処理が設定されている関連監査処理手段と、
前記制御対象の構成や機能に関連せず独立した独立監査処理を実施する独立監査処理手段と、
を備え、
前記関連監査処理手段は、
前記制御手段が前記制御対象を制御することにより生じる前記制御対象の挙動を検出する挙動検出手段と、
前記制御対象に対して所定の挙動を要求する挙動要求に基づいて前記制御対象の挙動を推定する挙動推定手段と、
前記挙動推定手段が推定する挙動推定値と前記挙動検出手段が検出する挙動検出値との物理量の次元を一致させる次元一致手段と、
を有し、
前記独立監査処理手段は、前記次元一致手段が物理量の次元を一致させた前記挙動推定値と前記挙動検出値との挙動ずれ量に基づいて前記制御対象の挙動が異常であるか否かを判定する挙動判定手段を有し、
前記制御手段と、前記独立監査処理手段および前記関連監査処理手段とは、互いの処理を干渉させずに実行できる保護機能を有する同じ処理装置により構成されており、
前記処理装置は、前記独立監査処理および前記関連監査処理を実行する演算装置と、前記制御手段による挙動制御を実行する演算装置とをそれぞれ有し、
前記独立監査処理手段および前記関連監査処理手段は、前記制御手段とは異なる電源から電力を供給される、
ことを特徴とする車両監査装置。 - 前記独立監査処理手段および前記関連監査処理手段を構成する複数の前記処理装置を備えることを特徴とする請求項10から15のいずれか一項に記載の車両監査装置。
- 前記挙動推定手段は、前記挙動要求を入力値とし前記制御対象に応じて設定された物理モデルと、前記物理モデルを特徴付ける車両に固有のパラメータとに基づいて前記制御対象の挙動を推定することを特徴とする請求項1から16のいずれか一項に記載の車両監査装置。
- 前記挙動判定手段は、前記挙動ずれ量として前記挙動推定値と前記挙動検出値との比率に基づいて前記制御対象の挙動が異常であるか否かを判定することを特徴とする請求項1から17のいずれか一項に記載の車両監査装置。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008333704A JP4710973B2 (ja) | 2008-12-26 | 2008-12-26 | 車両監査装置 |
| US12/634,090 US8392052B2 (en) | 2008-12-26 | 2009-12-09 | Vehicle inspection apparatus |
| DE102009060222A DE102009060222A1 (de) | 2008-12-26 | 2009-12-23 | Fahrzeugprüfvorrichtung |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008333704A JP4710973B2 (ja) | 2008-12-26 | 2008-12-26 | 車両監査装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010155487A JP2010155487A (ja) | 2010-07-15 |
| JP4710973B2 true JP4710973B2 (ja) | 2011-06-29 |
Family
ID=42221143
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008333704A Active JP4710973B2 (ja) | 2008-12-26 | 2008-12-26 | 車両監査装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8392052B2 (ja) |
| JP (1) | JP4710973B2 (ja) |
| DE (1) | DE102009060222A1 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5229265B2 (ja) * | 2010-04-13 | 2013-07-03 | 日産自動車株式会社 | 内燃機関の出力制御装置 |
| JP5282760B2 (ja) | 2010-04-13 | 2013-09-04 | 日産自動車株式会社 | 内燃機関の出力制御装置 |
| JP5692366B2 (ja) * | 2011-04-21 | 2015-04-01 | トヨタ自動車株式会社 | 車両の制御装置 |
| JP6553493B2 (ja) * | 2015-12-07 | 2019-07-31 | 日立オートモティブシステムズ株式会社 | 車両用電子制御装置 |
| CN106598026B (zh) * | 2016-12-15 | 2019-10-18 | 广州供电局有限公司 | 输变电设备状态检修时间检测方法和装置 |
| JP2019214249A (ja) * | 2018-06-11 | 2019-12-19 | 住友電気工業株式会社 | 検知装置、コンピュータプログラム、検知方法及び学習モデル |
| JP7242279B2 (ja) | 2018-12-10 | 2023-03-20 | 株式会社Subaru | 故障診断システム |
| DE102020211876A1 (de) | 2020-09-23 | 2022-03-24 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zum Erkennen eines Defektes an einem Fahrzeug |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS62126407A (ja) * | 1985-11-27 | 1987-06-08 | Nissan Motor Co Ltd | 異常検出装置 |
| JPS63167901A (ja) * | 1987-01-05 | 1988-07-12 | Toshiba Corp | 分散階層制御方式 |
| JPH09330120A (ja) * | 1996-06-11 | 1997-12-22 | Mitsubishi Heavy Ind Ltd | 故障診断システム |
| JP2001174366A (ja) * | 1999-11-26 | 2001-06-29 | General Electric Co <Ge> | モデルベースの診断方法と装置 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS54146346A (en) * | 1978-05-09 | 1979-11-15 | Nippon Denso Co Ltd | Fault diagnosing method and device for electronic controller for automobile |
| JPS5759138A (en) * | 1980-09-27 | 1982-04-09 | Toyota Motor Corp | Method and device for inspecting engine rough idling |
| FR2494839A1 (fr) * | 1980-11-21 | 1982-05-28 | Facom | Appareillage pour controler la geometrie des roues d'un vehicule |
| JPS57144441A (en) * | 1981-03-04 | 1982-09-07 | Nissan Motor Co Ltd | Diagnosis device for automobile |
| US5295073A (en) * | 1989-03-24 | 1994-03-15 | Celette S.A. | Device for checking the position of various points of a vehicle |
| JP3308322B2 (ja) | 1992-12-24 | 2002-07-29 | マツダ株式会社 | 車両の電装品制御装置 |
| US5430645A (en) * | 1993-09-07 | 1995-07-04 | Keller; A. Scott | Robotic system for testing of electric vehicles |
| DE19839193A1 (de) * | 1998-08-28 | 2000-03-02 | Bosch Gmbh Robert | Vorrichtung zur Steuerung und Überwachung eines Fahrzeuges |
| JP4727896B2 (ja) | 2001-06-27 | 2011-07-20 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | システムの機能性の監視方法,その監視装置,メモリ素子,コンピュータプログラム |
| JP2003099120A (ja) * | 2001-06-27 | 2003-04-04 | Robert Bosch Gmbh | システムの機能性の監視方法,その監視装置,メモリ素子,コンピュータプログラム |
| AU2003254228A1 (en) * | 2002-07-25 | 2004-04-19 | Snap-On Technologies, Inc. | Diagnosing malfunctioning wheel alignment system |
| JP2005067309A (ja) | 2003-08-21 | 2005-03-17 | Nissan Motor Co Ltd | 車両制御装置 |
| JP5324792B2 (ja) * | 2008-01-28 | 2013-10-23 | インターナショナル・ビジネス・マシーンズ・コーポレーション | システムの動作を検証するシステムおよび方法 |
-
2008
- 2008-12-26 JP JP2008333704A patent/JP4710973B2/ja active Active
-
2009
- 2009-12-09 US US12/634,090 patent/US8392052B2/en active Active
- 2009-12-23 DE DE102009060222A patent/DE102009060222A1/de active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS62126407A (ja) * | 1985-11-27 | 1987-06-08 | Nissan Motor Co Ltd | 異常検出装置 |
| JPS63167901A (ja) * | 1987-01-05 | 1988-07-12 | Toshiba Corp | 分散階層制御方式 |
| JPH09330120A (ja) * | 1996-06-11 | 1997-12-22 | Mitsubishi Heavy Ind Ltd | 故障診断システム |
| JP2001174366A (ja) * | 1999-11-26 | 2001-06-29 | General Electric Co <Ge> | モデルベースの診断方法と装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010155487A (ja) | 2010-07-15 |
| US8392052B2 (en) | 2013-03-05 |
| DE102009060222A1 (de) | 2010-07-01 |
| US20100168955A1 (en) | 2010-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4710973B2 (ja) | 車両監査装置 | |
| JP4569623B2 (ja) | 車両監査装置およびそれを用いた車両制御システム | |
| US10036341B2 (en) | Method and device for operating a drive system for a motor vehicle including an acceleration monitoring system | |
| US7877177B2 (en) | Fault-tolerant vehicle stability control | |
| US8754764B2 (en) | Good checking for vehicle pressure sensor | |
| JP4155198B2 (ja) | 車両の制御システムの異常検知装置 | |
| CN110168506B (zh) | 用于机动车的控制***、机动车、用于控制机动车的方法 | |
| KR101558383B1 (ko) | 차량의 스마트 센서 또는 액추에이터의 고장 진단 방법 | |
| US8260516B2 (en) | Good checking for vehicle brake light switch | |
| KR101816238B1 (ko) | 가속페달의 위치 변화량과 가속도정보를 이용한 차량의 안전상태 진단시스템 및 그 진단방법 | |
| US20100218047A1 (en) | Method and device for error management | |
| US20080319622A1 (en) | Operation of Electronic Stability Control Systems Using Data from a Plurality of Sources | |
| EP3335951B1 (en) | System for controlling cornering of vehicle and method thereof | |
| US20070078576A1 (en) | System and method for fuzzy-logic based fault diagnosis | |
| JP7199929B2 (ja) | 後輪操舵システムの制御方法 | |
| US11014546B2 (en) | Brake system and method for responding to external boost requests during predetermined loss or degraded boost assist conditions | |
| US20210086783A1 (en) | Electromechanical controller | |
| US20240067143A1 (en) | Adaptive braking and steering adjustment on a slope | |
| JP5546517B2 (ja) | 車両用ブレーキ液圧制御装置 | |
| CN115320565B (zh) | 车辆制动***的控制方法、装置、车辆及存储介质 | |
| US7729785B2 (en) | Method and controller for program control of a computer program having multitasking capability | |
| JP5713432B2 (ja) | 駆動ユニットの制御装置及び制御方法 | |
| JP2010179755A (ja) | ブレーキ装置 | |
| CN112810626B (zh) | 车辆的控制方法、装置及设备 | |
| WO2018036977A1 (en) | Watchdog controller for an electric vehicle |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100531 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101116 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101118 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101222 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110222 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110307 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 4710973 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140401 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |