JP5226653B2 - 車載制御装置 - Google Patents
車載制御装置 Download PDFInfo
- Publication number
- JP5226653B2 JP5226653B2 JP2009284144A JP2009284144A JP5226653B2 JP 5226653 B2 JP5226653 B2 JP 5226653B2 JP 2009284144 A JP2009284144 A JP 2009284144A JP 2009284144 A JP2009284144 A JP 2009284144A JP 5226653 B2 JP5226653 B2 JP 5226653B2
- Authority
- JP
- Japan
- Prior art keywords
- unit
- main
- sub
- value
- calculation unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Combined Controls Of Internal Combustion Engines (AREA)
Description
本発明は、車載制御装置に関するものである。
近年の車両制御システムは、市場要求、燃費向上、排気規制などの様々な要求により、プログラム量が増加する傾向にある。それに伴い、プログラム構成の複雑化による設計・プログラムミスに起因した故障が懸念されている。そのため、車両走行時の安全性を確保することがこれまで以上に重要視されている。
下記特許文献1では、走行中の挙動変化が運転者の意図したものであるかどうかを判定し、異常であればフェールセーフ処理を実行し、車両走行時の安全性を確保している。しかしながら、走行中による挙動変化ではなく、プログラムミスなどにより異常を発生する可能性もある。そこで一般的に知られている技術では、プログラムミスによる異常を検出するため、制御システムを2重冗長化して相互に演算結果を比較することにより、制御処理の品質を管理している。
一般に車両制御の2重冗長系システムでは、車両制御に対する影響が大きい演算処理(例えばトルクを演算する処理)について、例えば異なるプログラム言語で作成された関数を用いて同じ演算処理を実行し、演算結果を相互に比較する。演算結果が相互に一致しない場合は異常が発生しているものとみなし、その機能ブロックについてフェールセーフ処理を実行して安全性を確保する。
したがって、車両制御の2重冗長系システムは、同一の演算処理を複数実行することになるので、演算負荷が大きくなり、演算装置の演算処理能力では処理しきれなくなる可能性がある。
本発明は、上記のような課題を解決するためになされたものであり、車両制御に係る演算処理負荷を軽減しつつ、安全性を確保することのできる車載制御装置を提供することを目的とする。
本発明に係る車載制御装置は、主演算部とその確認演算を実行する副演算部を備え、主演算部の入力または出力が正常であるか否かに基づき、副演算部の確認演算を実行するか否かを判定する。
本発明に係る車載制御装置によれば、副演算部は必ずしも確認演算を毎回実行するわけではなく、主演算部の処理が正常であると想定されるときは確認演算を実行しない。これにより、安全性を確保しつつ車載制御装置の演算処理負荷を低減することができる。
<実施の形態1>
図1は、本発明の実施の形態1に係る車載制御装置100の機能ブロック図である。車載制御装置100は、車両の動作に関する制御、例えばエンジン制御や通信制御などを実行する装置である。
図1は、本発明の実施の形態1に係る車載制御装置100の機能ブロック図である。車載制御装置100は、車両の動作に関する制御、例えばエンジン制御や通信制御などを実行する装置である。
車載制御装置100は、主演算部B111、主演算部C112、主演算部D113、副演算部B’121、副演算部C’122、副演算部D’123、不整合診断部BB’131、不整合診断部CC’132、不整合診断部DD’133を備える。ここでは主演算部が3段構成となっている例を示したが、主演算部および副演算部の段数は任意でよい。また、必ずしも全ての主演算部に対して副演算部を設ける必要はなく、特に重要な制御演算についてのみ設けてもよい。
主演算部B111、主演算部C112、主演算部D113は、この順で直列的に接続されている。各主演算部は、車載制御装置100の制御対象に係る制御演算を実行する。主演算部B111はパラメータAを入力値として受け取り、以後の主演算部は前段の主演算部の出力値として受け取る。主演算部D113は、主演算部C112の出力値に加え、パラメータEを入力値として受け取る。主演算部D113は、最終出力値としてパラメータDを出力する。
副演算部B’121、副演算部C’122、副演算部D’123は、それぞれ対応する主演算部と同じ入力値を受け取り同じ制御演算を実行して主演算部の確認演算を行い、演算結果を対応する不整合診断部に出力する。ただし各副演算部は、対応する主演算部とは異なる手法で実装されている。例えば以下のような手法が考えられる。
(副演算部の実装手法その1)
主演算部と副演算部は、それぞれ異なる設計者が同じ制御処理について設計する。
(副演算部の実装手法その2)
主演算部と副演算部を、それぞれ異なる演算装置(マイコン、ROM:Read Only Memory)上に実装する。
(副演算部の実装手法その3)
主演算部と副演算部は、それぞれ異なるプログラム言語を用いて実装する。
(副演算部の実装手法その1)
主演算部と副演算部は、それぞれ異なる設計者が同じ制御処理について設計する。
(副演算部の実装手法その2)
主演算部と副演算部を、それぞれ異なる演算装置(マイコン、ROM:Read Only Memory)上に実装する。
(副演算部の実装手法その3)
主演算部と副演算部は、それぞれ異なるプログラム言語を用いて実装する。
不整合診断部BB’131、不整合診断部CC’132、不整合診断部DD’133は、それぞれ対応する主演算部と副演算部の演算結果を受け取り、両者が一致するか否かにより、主演算部に異常が発生しているか否かを診断する。両者の差分が0、または所定閾値未満で実質的に0とみなせる場合には、主演算部は正常動作しているものとみなす。両者の差分が所定閾値以上であれば、主演算部または副演算部のいずれかに異常が発生しているものとみなす。
上述の各機能部は、これらの機能を実現する回路デバイスなどのハードウェアを用いて実現してもよいし、マイコンやCPU(Central Processing Unit)などの演算装置とその動作を規定するソフトウェアを用いて構成することもできる。また、複数の機能部を一体的に構成することもできる。例えば、主演算部B111と主演算部C112の機能を実装するプログラムを同一のメモリ装置上に格納してもよい。
以上、本実施の形態1に係る車載制御装置100の構成を説明した。次に、副演算部の演算処理を低減する手法について説明する。
副演算部は、主演算部が実行した制御演算が正しいか否かを確認するための確認演算を実行する。したがって、主演算部が実行した制御演算が確実に正しいとみなすことができれば、副演算部の確認演算を実行する必要はない。車載制御装置100は、このことを利用して演算負荷の低減を図る。下記図2を用いてその手順を説明する。
図2は、車載制御装置100の1サイクル分の動作フローである。以下、図2の各ステップについて説明する。
(図2:ステップS201)
主演算部B111、主演算部C112、主演算部D113は、それぞれ規定の制御演算を実行する。
主演算部B111、主演算部C112、主演算部D113は、それぞれ規定の制御演算を実行する。
(図2:ステップS202)
不整合診断部BB’131は、入力値A、出力値Bの前回値を適当なメモリなどに保持しておく。不整合診断部BB’131は、出力値Bとその前回値の差分が所定閾値以内に収まる場合は、主演算部B111が安定して動作しており、副演算部B’121の確認演算を行う必要がないと判断する。以後は後述のステップS203とS204をスキップしてステップS205へ進む。差分が所定閾値を超える場合は、ステップS203へ進む。なお、出力値Bとその前回値の差分が所定閾値以内に収まるか否かは、下記のいずれかにより判断することができる。
不整合診断部BB’131は、入力値A、出力値Bの前回値を適当なメモリなどに保持しておく。不整合診断部BB’131は、出力値Bとその前回値の差分が所定閾値以内に収まる場合は、主演算部B111が安定して動作しており、副演算部B’121の確認演算を行う必要がないと判断する。以後は後述のステップS203とS204をスキップしてステップS205へ進む。差分が所定閾値を超える場合は、ステップS203へ進む。なお、出力値Bとその前回値の差分が所定閾値以内に収まるか否かは、下記のいずれかにより判断することができる。
(図2:ステップS202:判断手法その1)
不整合診断部BB’131は、出力値Bそのものを前回値と比較する。今回値と前回値の差分値が所定閾値以内である場合は、副演算部B’121の確認演算を行う必要がないものと判断する。
不整合診断部BB’131は、出力値Bそのものを前回値と比較する。今回値と前回値の差分値が所定閾値以内である場合は、副演算部B’121の確認演算を行う必要がないものと判断する。
(図2:ステップS202:判断手法その2)
不整合診断部BB’131は、入力値Aを前回値と比較する。入力値Aが前回値と近い値であれば、演算結果も前回値と近い値になると予想される。したがって不整合診断部BB’131は、入力値Aの今回値と前回値の差分値が所定閾値以内である場合は、副演算部B’121の確認演算を行う必要がないものと判断する。
不整合診断部BB’131は、入力値Aを前回値と比較する。入力値Aが前回値と近い値であれば、演算結果も前回値と近い値になると予想される。したがって不整合診断部BB’131は、入力値Aの今回値と前回値の差分値が所定閾値以内である場合は、副演算部B’121の確認演算を行う必要がないものと判断する。
(図2:ステップS202:判断手法その3)
不整合診断部BB’131は、入力値Aと出力値Bをともに前回値と比較する。いずれか一方のみが前回値とは異なり、かつ出力値Bの前回値からの差分値が所定範囲内に収まる場合、副演算部B’121の確認演算を行う必要がないものと判断する。双方の値が前回値とは異なる場合は、副演算部B’121の確認演算を行う必要があると判定する。
不整合診断部BB’131は、入力値Aと出力値Bをともに前回値と比較する。いずれか一方のみが前回値とは異なり、かつ出力値Bの前回値からの差分値が所定範囲内に収まる場合、副演算部B’121の確認演算を行う必要がないものと判断する。双方の値が前回値とは異なる場合は、副演算部B’121の確認演算を行う必要があると判定する。
(図2:ステップS202:判断手法その1〜その3共通)
出力値Bの前回値からの差分値が所定範囲内に収まらない場合は、副演算部B’121の確認演算を行う必要があるものと判断する。
出力値Bの前回値からの差分値が所定範囲内に収まらない場合は、副演算部B’121の確認演算を行う必要があるものと判断する。
(図2:ステップS203)
副演算部B’121は、主演算部B111と同じ制御演算を実行し、演算結果を出力値B’として不整合診断部BB’131に出力する。
副演算部B’121は、主演算部B111と同じ制御演算を実行し、演算結果を出力値B’として不整合診断部BB’131に出力する。
(図2:ステップS204)
不整合診断部BB’131は、主演算部B111の出力値Bと副演算部B’121の出力値B’が一致するか否か、または両者の差分が所定閾値未満であるか否かを判定する。両者が一致するかまたは差分が所定閾値未満である場合は、主演算部B111が正常動作しているものと判定し、ステップS205へ進む。両者が一致しないかまたは差分が所定閾値以上である場合は、ステップS211へ進む。
不整合診断部BB’131は、主演算部B111の出力値Bと副演算部B’121の出力値B’が一致するか否か、または両者の差分が所定閾値未満であるか否かを判定する。両者が一致するかまたは差分が所定閾値未満である場合は、主演算部B111が正常動作しているものと判定し、ステップS205へ進む。両者が一致しないかまたは差分が所定閾値以上である場合は、ステップS211へ進む。
(図2:ステップS205〜S207)
主演算部C112および副演算部C’122は、これらのステップをステップS202〜S204と同様に実行する。
主演算部C112および副演算部C’122は、これらのステップをステップS202〜S204と同様に実行する。
(図2:ステップS208〜S210)
主演算部D113および副演算部D’123は、これらのステップをステップS202〜S204と同様に実行する。ただしこれらの演算部には入力値が2つあるため、以下のいずれかのように処理する。
主演算部D113および副演算部D’123は、これらのステップをステップS202〜S204と同様に実行する。ただしこれらの演算部には入力値が2つあるため、以下のいずれかのように処理する。
(図2:ステップS208〜S210:処理例その1)
入力値Cまたは入力値Eの少なくともいずれか一方とその前回値の差分値が所定範囲内に収まらない場合、副演算部D’の確認演算を行う必要があると判定する。出力値DについてはステップS202〜S204と同様とする。
入力値Cまたは入力値Eの少なくともいずれか一方とその前回値の差分値が所定範囲内に収まらない場合、副演算部D’の確認演算を行う必要があると判定する。出力値DについてはステップS202〜S204と同様とする。
(図2:ステップS208〜S210:処理例その2)
入力値Cまたは入力値Eの双方とそれぞれの前回値の差分値がともに所定範囲内に収まらない場合、副演算部D’の確認演算を行う必要があると判定する。いずれか一方のみの差分値が所定範囲内に収まらない場合は、副演算部D’の確認演算を行う必要はないと判定する。出力値DについてはステップS202〜S204と同様とする。
入力値Cまたは入力値Eの双方とそれぞれの前回値の差分値がともに所定範囲内に収まらない場合、副演算部D’の確認演算を行う必要があると判定する。いずれか一方のみの差分値が所定範囲内に収まらない場合は、副演算部D’の確認演算を行う必要はないと判定する。出力値DについてはステップS202〜S204と同様とする。
(図2:ステップS211)
異常が発生していると判定された主演算部、または主演算部に代わる代替演算部は、異常が発生していると判定された機能ブロックの機能を縮退してフェールセーフモードでその機能を実行する。例えば、不整合診断部BB’131が主演算部B111に異常が発生していると判定した場合、主演算部B111はその機能を縮退して異常が発生しない範囲で機能を実行する。
異常が発生していると判定された主演算部、または主演算部に代わる代替演算部は、異常が発生していると判定された機能ブロックの機能を縮退してフェールセーフモードでその機能を実行する。例えば、不整合診断部BB’131が主演算部B111に異常が発生していると判定した場合、主演算部B111はその機能を縮退して異常が発生しない範囲で機能を実行する。
以上、車載制御装置100の1サイクル分の動作フローを説明した。車載制御装置100は、図2で説明した動作フローを、処理の内容に応じて、例えば数ms毎、数秒毎、などの単位で繰り返し実行する。
本実施の形態1において、主演算部の入力値および出力値が前回値から変化しているか否かを判定する閾値、および主演算部と副演算部の演算結果が一致しているか否かを判定する閾値は、各主演算部について同一としてもよいし、それぞれ異なる値としてもよい。また、前者の閾値と後者の閾値は、同じ値でもよいし異なる値でもよい。以下の実施形態でも同様である。
以上のように、本実施の形態1に係る車載制御装置100は、主演算部の出力値が前回値と比較して所定範囲の差分以内に収まる場合は、副演算部の演算を実行しない。これにより、副演算部の演算負荷を低減しつつ、主演算部の信頼性を維持することができる。
また、本実施の形態1に係る車載制御装置100は、副演算部が確認演算を行う必要があるか否かを判定する際に、主演算部の入力値の前回値からの変化量が所定範囲内に収まるか否かを基準とすることができる。これにより、主演算部の制御演算が完了する前に判定を並行処理して完了することができる。
また、本実施の形態1に係る車載制御装置100は、副演算部が確認演算を行う必要があるか否かを判定する際に、主演算部の入力値と出力値の双方の変化量が前回値から所定範囲内に収まるか否かを基準とすることができる。これにより、出力値の変化量が所定範囲内に収まるか否かのみを基準とする場合よりも、より厳密な判定を行うことができる。例えば、入力値が前回値から大幅に変化しているが、主演算部の異常動作により演算結果が偶然前回値と同じ値になる可能性がある。出力値のみチェックしていると、このような異常動作を検出することが難しくなる。入力値と出力値を双方チェックすることにより、このようなチェック漏れを防ぐことができる。
<実施の形態2>
実施の形態1では、副演算部の処理を行うか否かを、主演算部毎に判定する例を説明した。一方、複数の主演算部の制御演算が密接に関連しているような場合には、これらの主演算はまとめて1つの制御演算を実行するとみなすことができる。したがって、副演算部の処理を行うか否かも、一体的に判定することができる。本発明の実施の形態2では、その1動作例を説明する。
実施の形態1では、副演算部の処理を行うか否かを、主演算部毎に判定する例を説明した。一方、複数の主演算部の制御演算が密接に関連しているような場合には、これらの主演算はまとめて1つの制御演算を実行するとみなすことができる。したがって、副演算部の処理を行うか否かも、一体的に判定することができる。本発明の実施の形態2では、その1動作例を説明する。
図3は、本実施の形態2における車載制御装置100の動作フローである。ここでは主演算部B111と主演算部C112が密接に関連しており、両者をまとめて1つの制御演算とみなすことができる場合の例を示した。以下、図3の各ステップについて説明する。
(図3:ステップS301)
本ステップは、図2のステップS201と同様である。
本ステップは、図2のステップS201と同様である。
(図3:ステップS302)
不整合診断部CC’132は、出力値Cとその前回値の差分が所定閾値以内に収まる場合は、主演算部B111および主演算部C112が安定して動作しており、副演算部B’121および副演算部C’122の確認演算を行う必要がないと判断する。以後は、ステップS303〜S306をスキップし、出力値Dの変化をチェックするステップ(ステップS307)へ進む。
不整合診断部CC’132は、出力値Cとその前回値の差分が所定閾値以内に収まる場合は、主演算部B111および主演算部C112が安定して動作しており、副演算部B’121および副演算部C’122の確認演算を行う必要がないと判断する。以後は、ステップS303〜S306をスキップし、出力値Dの変化をチェックするステップ(ステップS307)へ進む。
(図3:ステップS303〜S306)
これらのステップは、図2のステップS203〜S204、S206〜S207と同様である。
これらのステップは、図2のステップS203〜S204、S206〜S207と同様である。
(図3:ステップS307〜S310)
これらのステップは、図2のステップS208〜S211と同様である。
これらのステップは、図2のステップS208〜S211と同様である。
以上、本実施の形態2における車載制御装置100の1サイクル分の動作フローを説明した。図3では、主演算部B111と主演算部C112を一体的に取り扱う例を説明したが、連続する2以上の主演算部の制御演算が密接に関連している場合は、その他の主演算部の組み合わせについても同様に取り扱うことができる。
以上のように、本実施の形態2によれば、連続する2以上の主演算部の制御演算が密接に関連している場合は、副演算部の処理を実行するか否かの判定をまとめて行うことができる。これにより、実施の形態1と同様の効果に加え、出力値Cの変化量をチェックするステップ(図2のステップS205)を省略して演算負荷をさらに低減することができる。
また、本実施の形態2によれば、図2のステップS202に相当する処理を省略し、出力値Cの変化量のみをチェックするのみで足りるので、その分の演算負荷を低減することができる。
<実施の形態3>
以上の実施の形態1〜2において、主演算部と副演算部の演算結果が一致していても、主演算部の出力値が異常である場合もある。例えば、主演算部の演算自体は正常に行われたとしても、車両の外部環境などからの影響により、本来出力されるべきでない出力値が出力される、などの場合が考えられる。
以上の実施の形態1〜2において、主演算部と副演算部の演算結果が一致していても、主演算部の出力値が異常である場合もある。例えば、主演算部の演算自体は正常に行われたとしても、車両の外部環境などからの影響により、本来出力されるべきでない出力値が出力される、などの場合が考えられる。
そこで、本発明の実施の形態3では、実施の形態1〜2で説明した手法に加え、各主演算部の出力値の異常を、副演算部の演算結果と合致するか否か以外の観点で検出する手法を説明する。
図4は、本実施の形態3に係る車両制御装置100の機能ブロック図である。実施の形態1〜2の構成に加え、新たに異常検出部B141、異常検出部C142、異常検出部D143を備える。異常検出部B141は主演算部B111に、異常検出部C142は主演算部C112に、異常検出部D143は主演算部D113に、それぞれ対応する。
各異常検出部は、対応する主演算部の出力値を受け取り、後述の図5〜図6で説明する手法を用いて、副演算部とは別の観点から異常検出処理を行う。副演算部とは別に異常検出を行うのは、上述の通り副演算部では検出できない異常を検出するためである。
異常検出部B141、異常検出部C142、異常検出部D143は、これらの機能を実現する回路デバイスなどのハードウェアを用いて実現してもよいし、マイコンやCPUなどの演算装置とその動作を規定するソフトウェアを用いて構成することもできる。また、いずれか複数を他の機能部と一体的に構成することもできる。
図5は、各異常検出部が主演算部の出力値の異常を検出する様子を示す図である。主演算部の演算結果は、車両が運転動作を開始した以後、運転状態が例えば「加速中」「定速運転」「減速中」「停止状態」などのように変化するにともない、経時変化する。図5の「出力値」は、主演算部の出力値の経時変化を示す。
実際の車両では、主演算部の出力値として通常はあり得ない値範囲が存在する。例えば、エンジン温度が許容範囲を超えて上昇した場合は、明らかに何らかの異常が発生していると考えられる。そこで異常検出部は、主演算部の出力値の上限閾値または下限閾値の少なくともいずれか一方を設定し、主演算部の出力値がこれらの範囲外に達したときは、主演算部に異常が発生しているものとみなす。以下、図5の各区間について説明する。
(図5:(1)出力値変化)
図5の区間(1)では、主演算部の出力値が上限閾値と下限閾値の範囲内にあるので、異常検出部は主演算部が正常に動作しているものとみなす。一方、主演算部の出力値は大きく経時変化しているので、副演算部および不整合診断部の処理は必要である。主演算部と副演算部の演算結果が一致しない場合、フェールセーフ処理が実行される。
図5の区間(1)では、主演算部の出力値が上限閾値と下限閾値の範囲内にあるので、異常検出部は主演算部が正常に動作しているものとみなす。一方、主演算部の出力値は大きく経時変化しているので、副演算部および不整合診断部の処理は必要である。主演算部と副演算部の演算結果が一致しない場合、フェールセーフ処理が実行される。
(図5:(2)出力値固定)
図5の区間(2)では、主演算部の出力値が上限閾値と下限閾値の範囲内にあるので、異常検出部は主演算部が正常に動作しているものとみなす。一方、主演算部の出力値は略一定であるため、主演算部は安定して動作しているものとみなされ、副演算部の処理は必要ない。フェールセーフ処理も同様に必要ない。
図5の区間(2)では、主演算部の出力値が上限閾値と下限閾値の範囲内にあるので、異常検出部は主演算部が正常に動作しているものとみなす。一方、主演算部の出力値は略一定であるため、主演算部は安定して動作しているものとみなされ、副演算部の処理は必要ない。フェールセーフ処理も同様に必要ない。
(図5:(3)出力値範囲外)
図5の区間(3)では、主演算部の出力値が上限閾値を超えているため、異常検出部は主演算部に異常が発生しているものとみなす。この場合、副演算部の処理は実行する必要はない。不整合診断部は、診断結果がNGであると判定する。また、フェールセーフ処理が実行される。
図5の区間(3)では、主演算部の出力値が上限閾値を超えているため、異常検出部は主演算部に異常が発生しているものとみなす。この場合、副演算部の処理は実行する必要はない。不整合診断部は、診断結果がNGであると判定する。また、フェールセーフ処理が実行される。
図6は、車両の運転状態に併せて上限閾値と下限閾値を変化させる例を示す。図5では車両の運転状態の変化によらず上限閾値と下限閾値を一定としたが、実際の車両では運転状態によって主演算部の出力値が取り得る範囲が変化する。そこで図6では、運転状態の変化に併せて上限閾値と下限閾値を変化させることとした。
図6の場合、異常検出部は、対応する主演算部の出力値に加えて、車両の運転状態を入力として受け取る。異常検出部は、受け取った運転状態に合わせて上限閾値と下限閾値の少なくともいずれかを変化させる。その他の処理は図5と同様である。異常検出部は、図5または図6いずれの手法を用いることもできる。
図5〜図6で説明した上限閾値および下限閾値、さらには運転状態との対応関係については、例えばあらかじめこれらの値および対応関係を適当なメモリ装置などに格納しておき、これを適宜参照するようにすればよい。
図7は、本実施の形態3における車載制御装置100の動作フローである。以下、図7の各ステップについて説明する。
(図7:ステップS701)
主演算部B111は、入力値Aを用いて制御演算を実行し、出力値Bを出力する。
主演算部B111は、入力値Aを用いて制御演算を実行し、出力値Bを出力する。
(図7:ステップS702)
異常検出部B141は、出力値Bが図4〜図5で説明した上限閾値と下限閾値の間にあるか否かを判定する。必要に応じて車両の運転状態をあらかじめ受け取っておく。出力値Bが上限閾値と下限閾値の間にあればステップS703へ進み、間になければステップS708へ進む。
異常検出部B141は、出力値Bが図4〜図5で説明した上限閾値と下限閾値の間にあるか否かを判定する。必要に応じて車両の運転状態をあらかじめ受け取っておく。出力値Bが上限閾値と下限閾値の間にあればステップS703へ進み、間になければステップS708へ進む。
(図7:ステップS703〜S706)
主演算部C112、異常検出部C142、主演算部D113、異常検出部D143は、ステップS701〜S702と同様の処理を実行する。
主演算部C112、異常検出部C142、主演算部D113、異常検出部D143は、ステップS701〜S702と同様の処理を実行する。
(図7:ステップS707)
以後の処理は、図2のステップS202以降、または図3のステップS302以降と同様である。
以後の処理は、図2のステップS202以降、または図3のステップS302以降と同様である。
(図7:ステップS708)
本ステップは、図2のステップS211と同様である。
本ステップは、図2のステップS211と同様である。
以上、本実施の形態3における車載制御装置100の1サイクル分の動作フローを説明した。図4では、主演算部ごとに異常検出部を設けた例を示したが、必ずしも全ての主演算部に異常検出部を設ける必要はない。
以上のように、本実施の形態3によれば、主演算部の出力値が異常であるにも関わらず主演算部と副演算部の演算結果が一致している場合でも、異常検出部は主演算部の出力値が上限閾値と下限閾値の間にあるか否かにより異常検出する。すなわち、副演算部の演算結果によらず主演算部の異常を検出することができる。これにより、主演算部に発生する異常の検出精度を向上させることができる。
また、本実施の形態3において、異常検出部は、車両の運転状態に応じて主演算部の異常動作判定を行うための上限閾値と下限閾値を変更することができる。これにより、運転状態毎に最適化した異常検出処理を実行することができる。
<実施の形態4>
実施の形態1〜3では、主演算部の入力値または出力値が略一定であれば、副演算部および不整合診断部の処理を実行しないことを説明した。しかし、副演算部および不整合診断部の処理を実行しない間に、これら各部の機能が正常動作しなくなっている可能性がある。例えば、各部の機能を実現するプログラムを格納したメモリ装置の故障、各部が演算過程で使用するメモリ装置上のデータ異常、などが考えられる。
実施の形態1〜3では、主演算部の入力値または出力値が略一定であれば、副演算部および不整合診断部の処理を実行しないことを説明した。しかし、副演算部および不整合診断部の処理を実行しない間に、これら各部の機能が正常動作しなくなっている可能性がある。例えば、各部の機能を実現するプログラムを格納したメモリ装置の故障、各部が演算過程で使用するメモリ装置上のデータ異常、などが考えられる。
そこで本発明の実施の形態4では、主演算部の入力値と出力値によらず、例えば所定間隔毎に副演算部の処理を実行し、上記のような状況を回避する動作例を説明する。その他の構成は、実施の形態1〜3いずれかと同様であるため、以下では差異点を中心に説明する。
図8は、主演算部と副演算部それぞれの処理の実行タイミングを示す図である。図8における演算タイミングとは、主演算部B111〜主演算部D113までの一連の制御演算を開始するタイミングのことであり、図2、図3、図7のいずれかに示した動作フロー1回分の処理を開始するタイミングに相当する。
図8において、全ての主演算部は演算タイミング毎に必ず制御演算を実行するが、副演算部については、演算タイミング毎にいずれか1の副演算部のみが確認演算を実行する。次の演算タイミングでは別の副演算部が確認演算を実行し、一巡すれば最初の順番に戻って同様に繰り返す。図8に示す演算タイミングによれば、副演算部の確認演算は3回の演算タイミング毎に必ず実行されることになる。
図9は、本実施の形態4における車載制御装置100の動作フローである。以下、図9の各ステップについて説明する。
(図9:ステップS901)
本ステップは、図2のステップS202以降、または図3のステップS302以降と同様である。
本ステップは、図2のステップS202以降、または図3のステップS302以降と同様である。
(図9:ステップS902)
副演算部B’121は、CNTの値と、ステップS901において副演算部B’121の確認演算を実行したか否かを確認する。CNT=0かつ副演算部B’121の確認演算を未実施であればステップS903へ進み、それ以外であればステップS905へ進む。
副演算部B’121は、CNTの値と、ステップS901において副演算部B’121の確認演算を実行したか否かを確認する。CNT=0かつ副演算部B’121の確認演算を未実施であればステップS903へ進み、それ以外であればステップS905へ進む。
(図9:ステップS902:補足)
実施の形態1で説明したように、主演算部の入力値または出力値が略一定であれば、副演算部B’121の確認演算は省略される。そのため、ステップS901において必ずしも副演算部B’121の処理は実行されるわけではない。本ステップは、そのような状態が長く続かないようにチェックする意義がある。ただし図8で説明したように、副演算部の処理を実行する順番を巡回させるため、巡回カウンタCNTの値も併せてチェックし、副演算部B’121の順番でなければ確認演算は行わない。
実施の形態1で説明したように、主演算部の入力値または出力値が略一定であれば、副演算部B’121の確認演算は省略される。そのため、ステップS901において必ずしも副演算部B’121の処理は実行されるわけではない。本ステップは、そのような状態が長く続かないようにチェックする意義がある。ただし図8で説明したように、副演算部の処理を実行する順番を巡回させるため、巡回カウンタCNTの値も併せてチェックし、副演算部B’121の順番でなければ確認演算は行わない。
(図9:ステップS903)
副演算部B’121は、主演算部B111の確認演算を実行する。
副演算部B’121は、主演算部B111の確認演算を実行する。
(図9:ステップS904)
不整合診断部BB’131は、主演算部B111の演算結果と副演算部B’121の演算結果を比較する。両者が一致すればステップS912へ進み、一致しなければステップS911へ進む。
不整合診断部BB’131は、主演算部B111の演算結果と副演算部B’121の演算結果を比較する。両者が一致すればステップS912へ進み、一致しなければステップS911へ進む。
(図9:ステップS905〜S907)
これらのステップでは、副演算部C’122と不整合診断部CC’132は、ステップS902〜S904と同様の処理を実行する。
これらのステップでは、副演算部C’122と不整合診断部CC’132は、ステップS902〜S904と同様の処理を実行する。
(図9:ステップS908〜S910)
これらのステップでは、副演算部D’123と不整合診断部DD’133は、ステップS902〜S904と同様の処理を実行する。
これらのステップでは、副演算部D’123と不整合診断部DD’133は、ステップS902〜S904と同様の処理を実行する。
(図9:ステップS911)
本ステップは、図2のステップS211と同様である。
(図9:ステップS912)
直前に確認演算を実行した副演算部は、巡回カウンタCNTの値を1増やし、3の剰余を取る。これにより、CNTの値は0〜2の間で1ずつ増加しながら巡回する。
本ステップは、図2のステップS211と同様である。
(図9:ステップS912)
直前に確認演算を実行した副演算部は、巡回カウンタCNTの値を1増やし、3の剰余を取る。これにより、CNTの値は0〜2の間で1ずつ増加しながら巡回する。
以上、本実施の形態4における車載制御装置100の1サイクル分の動作フローを説明した。
図9で説明した動作フローでは、実施の形態1〜3と比較して副演算部および不整合診断部の処理回数が増加するため、演算負荷は増加することになる。したがって、車載制御装置100に求められる信頼性と演算性能のバランスを取り、いずれの手法を用いるか適宜選択することが望ましい。
あるいは、例えば副演算部B’121と副演算部C’122についてのみ図8のように巡回実行して副演算部D’123については実施の形態1〜3のように実行するなど、各実施形態の手法を適宜組み合わせることもできる。
なお、本実施の形態4では、副演算部の演算タイミングを巡回させる例を説明したが、必ずしも規則的に巡回させなくともよい。例えば確認演算を実行させる副演算部をランダムに選択する、などの手法が考えられる。ただし、副演算部の動作確認を行う観点では、少なくとも所定周期ごとに各副演算部の確認演算が必ず実行されるようにしておくことが望ましい。
以上のように、本実施の形態4に係る車載制御装置100は、副演算部の確認演算を所定演算タイミング間隔で強制的に実行する。これにより、副演算部の処理が実行されない間に故障などが発生して発見が遅れる事態を防ぎ、車載制御装置100の信頼性を向上させることができる。
<実施の形態5>
以上の実施の形態1〜4において、車載制御装置100は、いずれかの主演算部に故障などの異常が発生した際にその旨を報知する報知部を備えることもできる。例えば、異常が発生した旨を通知する信号を車載制御装置100の上位装置や上位アプリケーションに対して出力する、車載制御装置100自身が報知音を出力する、などの具体的構成が考えられる。また、いずれの主演算部が故障したかなど、より詳細なエラー情報を報知部が提供するようにしてもよい。
以上の実施の形態1〜4において、車載制御装置100は、いずれかの主演算部に故障などの異常が発生した際にその旨を報知する報知部を備えることもできる。例えば、異常が発生した旨を通知する信号を車載制御装置100の上位装置や上位アプリケーションに対して出力する、車載制御装置100自身が報知音を出力する、などの具体的構成が考えられる。また、いずれの主演算部が故障したかなど、より詳細なエラー情報を報知部が提供するようにしてもよい。
さらに、その報知を受け取った車両側において、例えば運転席の非常ランプを点灯させるなどして、運転者に異常発生の旨を報知するようにしてもよい。
100:車載制御装置、111:主演算部B、112:主演算部C、113:主演算部D、121:副演算部B’、122:副演算部C’、123:副演算部D’、131:不整合診断部BB’、 132:不整合診断部CC’、 133:不整合診断部DD’、141:異常検出部B、142:異常検出部C、143:異常検出部D。
Claims (8)
- 車両の動作に関する制御演算を実行する主演算部と、
前記主演算部の動作を確認する確認演算を実行する副演算部と、
前記副演算部の確認演算の結果に基づき前記主演算部に異常が発生しているか否かを診断する診断部と、
を備え、
前記診断部は、
前記主演算部への入力値の前回値からの変化量または前記主演算部からの出力値の前回値からの変化量が所定範囲内にあるか否かに基づき、前記副演算部が確認演算を実行する必要があるか否かを判定する
ことを特徴とする車載制御装置。 - 前記診断部は、
前記主演算部への入力値または前記主演算部からの出力値のうち少なくともいずれかを前回値と比較し、
前記出力値の前回値からの変化量が所定範囲内に収まる場合は、前記副演算部は確認演算を実行する必要はないと判定し、
前記出力値の前回値からの変化量が前記所定範囲内に収まらない場合は、前記副演算部は確認演算を実行する必要があると判定する
ことを特徴とする請求項1記載の車載制御装置。 - 前記診断部は、
前記主演算部が前記出力値を出力する毎にその前回値と比較し、
前記出力値の前回値からの変化量が所定範囲内に収まる場合は、前記副演算部は確認演算を実行する必要はないと判定し、
前記出力値の前回値からの変化量が前記所定範囲内に収まらない場合は、前記副演算部は確認演算を実行する必要があると判定する
ことを特徴とする請求項1または請求項2記載の車載制御装置。 - 前記診断部は、
前記主演算部への入力値と前記主演算部からの出力値の双方を前回値と比較し、
いずれか片方のみが前回値とは異なり、かつ前記出力値の前回値からの変化量が所定範囲内に収まる場合は、前記副演算部は確認演算を実行する必要はないと判定し、
前記出力値の前回値からの変化量が前記所定範囲内に収まらない場合は、前記副演算部は確認演算を実行する必要があると判定し、
双方の値が前回値とは異なる場合は、前記副演算部は確認演算を実行する必要があると判定する
ことを特徴とする請求項1から請求項3のいずれか1項に記載の車載制御装置。 - 前記主演算部の出力値異常を検出する異常検出部を備え、
前記異常検出部は、
前記主演算部からの出力値が正常であるか否かを判定する閾値を前記車両の運転状態毎に設定し、
前記車両の運転状態とその運転状態に対応する前記閾値に基づき、前記主演算部に異常が発生しているか否かを検出する
ことを特徴とする請求項1から請求項4のいずれか1項に記載の車載制御装置。 - 前記異常検出部は、
前記主演算部からの出力値が前記車両のいかなる運転状態においても発生し得ない値となったとき前記主演算部に異常が発生しているものと判定する
ことを特徴とする請求項1から請求項5のいずれか1項に記載の車載制御装置。 - 前記副演算部は、
前記主演算部への入力値の前回値からの変化量または前記主演算部からの出力値の前回値からの変化量が所定範囲内にあるか否かによらず、少なくとも所定サイクル毎に必ず前記確認演算を実行する
ことを特徴とする請求項1から請求項6のいずれか1項に記載の車載制御装置。 - 前記主演算部に異常が発生している旨を報知する報知部を備えたことを特徴とする請求項1から請求項7のいずれか1項に記載の車載制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009284144A JP5226653B2 (ja) | 2009-12-15 | 2009-12-15 | 車載制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009284144A JP5226653B2 (ja) | 2009-12-15 | 2009-12-15 | 車載制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011126327A JP2011126327A (ja) | 2011-06-30 |
| JP5226653B2 true JP5226653B2 (ja) | 2013-07-03 |
Family
ID=44289416
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009284144A Expired - Fee Related JP5226653B2 (ja) | 2009-12-15 | 2009-12-15 | 車載制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5226653B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013057800A1 (ja) * | 2011-10-19 | 2013-04-25 | トヨタ自動車株式会社 | 車両用制御装置 |
| JP5598499B2 (ja) | 2012-06-15 | 2014-10-01 | 株式会社デンソー | 電池監視装置 |
| JP5983588B2 (ja) * | 2013-12-10 | 2016-08-31 | 株式会社デンソー | 車両用マイコンの異常判定装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS575518A (en) * | 1980-06-11 | 1982-01-12 | Toyota Motor Corp | Trouble checking device for car electronics |
| JPH01216057A (ja) * | 1988-02-20 | 1989-08-30 | Enomoto Shokai:Kk | エンジン回転制御回路付き自動車 |
| JPH04261396A (ja) * | 1991-02-14 | 1992-09-17 | Nippondenso Co Ltd | ステッピングモータの異常監視装置 |
| JPH0750020B2 (ja) * | 1992-10-28 | 1995-05-31 | 富士通テン株式会社 | 電子制御装置 |
| JP2001063492A (ja) * | 1999-08-27 | 2001-03-13 | Nec Corp | 車両安全制御装置の電子制御装置 |
| JP4296888B2 (ja) * | 2003-09-18 | 2009-07-15 | アイシン精機株式会社 | 電子制御装置 |
| JP4839711B2 (ja) * | 2005-07-21 | 2011-12-21 | 日産自動車株式会社 | 電流センサの故障診断装置 |
-
2009
- 2009-12-15 JP JP2009284144A patent/JP5226653B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011126327A (ja) | 2011-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6599054B2 (ja) | 異常判定装置、異常判定方法及び異常判定プログラム | |
| CN112004730B (zh) | 车辆控制装置 | |
| US9058419B2 (en) | System and method for verifying the integrity of a safety-critical vehicle control system | |
| JP5967059B2 (ja) | 車両用電子制御装置 | |
| US20150095724A1 (en) | Watchdog apparatus and control method thereof | |
| US20140351658A1 (en) | Redundant computing architecture | |
| JP2017033236A (ja) | 車両制御装置 | |
| JP5226653B2 (ja) | 車載制御装置 | |
| EP2482149B1 (en) | Electronic control unit | |
| CN108146250B (zh) | 一种基于多核cpu的汽车扭矩安全控制方法 | |
| JP2006259935A (ja) | 演算異常判断機能付き演算装置 | |
| JP5518021B2 (ja) | 情報処理装置 | |
| JP2016126692A (ja) | 電子制御装置 | |
| JP6332134B2 (ja) | メモリ診断回路 | |
| US10514970B2 (en) | Method of ensuring operation of calculator | |
| JP6075262B2 (ja) | 制御装置 | |
| JP5559100B2 (ja) | 電子制御システム | |
| WO2015136844A1 (ja) | 電子制御装置 | |
| JP6094387B2 (ja) | 制御装置 | |
| JP2014056396A (ja) | 電子制御装置 | |
| JP6766612B2 (ja) | 車載式故障診断装置 | |
| US20240140448A1 (en) | Electronic Control Device, On-Vehicle Control System, and Redundant Function Control Method | |
| JP4639920B2 (ja) | 電子制御装置 | |
| CN111078458B (zh) | 一种电子控制单元及其软件兼容性检测方法、装置和汽车 | |
| JP7504222B2 (ja) | 車載用制御システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111115 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130228 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130305 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130314 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5226653 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160322 Year of fee payment: 3 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |