JP2018052315A - Control device for automobile and control device for internal combustion engine - Google Patents

Control device for automobile and control device for internal combustion engine Download PDF

Info

Publication number
JP2018052315A
JP2018052315A JP2016191147A JP2016191147A JP2018052315A JP 2018052315 A JP2018052315 A JP 2018052315A JP 2016191147 A JP2016191147 A JP 2016191147A JP 2016191147 A JP2016191147 A JP 2016191147A JP 2018052315 A JP2018052315 A JP 2018052315A
Authority
JP
Japan
Prior art keywords
control
function
computer
control computer
control function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016191147A
Other languages
Japanese (ja)
Other versions
JP6681304B2 (en
Inventor
小川 洋一
Yoichi Ogawa
洋一 小川
晃良 滝田
Akiyoshi Takita
晃良 滝田
誠 伊集院
Makoto Ijuin
誠 伊集院
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2016191147A priority Critical patent/JP6681304B2/en
Publication of JP2018052315A publication Critical patent/JP2018052315A/en
Application granted granted Critical
Publication of JP6681304B2 publication Critical patent/JP6681304B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Combined Controls Of Internal Combustion Engines (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a novel control device for an automobile which can alternatively perform control function processing by mutual fallback functions even if two or more control computers perform the different control function processing, and a control device for an internal combustion engine.SOLUTION: A control device for an automobile comprises a storage region for storing a program for making two or more control computers (11, 12) which perform different control function processing perform fallback functions of the control function processing of the other control computers (11, 12), or a fixed value, and when an abnormal state of one control computer (11) is detected by a monitor computer (14), the control function processing which is performed by the abnormal control computer (11) is alternatively performed by the other normal control computer (12).SELECTED DRAWING: Figure 1

Description

本発明は自動車の運転状態を制御する自動車用制御装置及び内燃機関の動作状態を制御する内燃機関用制御装置に係り、特に異常状態に対応するフォールバック機能を備えた自動車用制御装置及び内燃機関用制御装置に関するものである。   The present invention relates to an automobile control device that controls the driving state of an automobile and an internal combustion engine control device that controls the operating state of an internal combustion engine, and more particularly to an automotive control device and an internal combustion engine having a fallback function corresponding to an abnormal state. The present invention relates to an industrial control device.

自動車における安全を図るための重要なシステム(例えば、電子アンチロックブレーキシステム、電子スタビリティシステム、電気/油圧式ブレーキシステム、電動パワーステアリングシステム等)は、夫々のシステムの制御機能を実行する、マイクロプロセッサコアを使用した制御コンピュータによって制御されている。そして、この制御コンピュータにおいては、システムの故障や異常が発生すると、制御機能が喪失しないようにフォールバックモード(縮退モード)が備えられている。尚、以下では故障や異常をまとめて「異常状態」と表記する
例えば、電子アンチロックブレーキシステムにおいては、システムに異常状態が発生した場合には、制御コンピュータを遮断してフォールバックモードを実行している。つまり、制御コンピュータの遮断時に無制御となる油圧弁は、通常のブレーキング動作を行うことができるように構成されている。すなわち、システムが異常状態を発生すると、緊急時運転又は制限された運転が保証されているものである。 Important systems for safety in automobiles (eg electronic anti-lock braking systems, electronic stability systems, electric / hydraulic braking systems, electric power steering systems, etc.) perform the control functions of the respective systems. It is controlled by a control computer using a processor core. The control computer is provided with a fallback mode (degenerate mode) so that the control function is not lost when a system failure or abnormality occurs. In the following, failures and abnormalities are collectively referred to as “abnormal conditions”. For example, in an electronic antilock brake system, if an abnormal condition occurs in the system, the control computer is shut down and the fallback mode is executed. ing. That is, the hydraulic valve that is not controlled when the control computer is shut off is configured to perform a normal braking operation. In other words, when an abnormal state occurs in the system, emergency operation or limited operation is guaranteed.

したがって、油圧等の機械的なフォールバック機能を有するシステムの場合、コンピュータの障害やメモリの障害を認識したとき、制御コンピュータを遮断するか、或いは周辺要素から制御コンピュータを切り離すことで充分である。   Therefore, in the case of a system having a mechanical fallback function such as hydraulic pressure, it is sufficient to shut down the control computer or to disconnect the control computer from the peripheral elements when a computer failure or a memory failure is recognized.

これは、例えば、制御コンピュータが同じプログラムを並行して同期実行する同一の2個の制御コンピュータ(マルチプロセッサコア方式)を備えていることによって達成される。そして、2個の制御コンピュータによる演算結果が偏差を有する場合には、異常状態が発生したと見做して制御コンピュータの処理が停止されるようになっている。このような二重系を備えたフォールトトレラント機能については、特表2005−512218号公報(特許文献1)等に記載されている。   This is achieved, for example, by including two identical control computers (multiprocessor core system) that execute synchronously and execute the same program in parallel. When the calculation results by the two control computers have a deviation, the processing of the control computer is stopped assuming that an abnormal state has occurred. The fault tolerant function provided with such a double system is described in Japanese translations of PCT publication No. 2005-512218 (patent document 1) etc.

特表2005−512218号公報JP 2005-512218 A

ところで、電気/機械式ブレーキシステムのような非油圧式ブレーキシステムの場合、上述した油圧を利用したフォールバック機能は利用することができないので、制御コンピュータを切り離してフォールバック機能を実行することができないものである。そこで、特許文献1においては、制御コンピュータに故障が発生した場合、通信コントローラを遮断して故障した制御コンピュータの制御値をデータバス上に送らないようにすることでフォールトトレラント機能を実現している。   By the way, in the case of a non-hydraulic brake system such as an electric / mechanical brake system, the fallback function using the hydraulic pressure described above cannot be used, and therefore the fallback function cannot be executed by disconnecting the control computer. Is. Therefore, in Patent Document 1, when a failure occurs in the control computer, a fault tolerant function is realized by cutting off the communication controller so that the control value of the failed control computer is not sent on the data bus. .

しかしながら、特許文献1においては2個(或いは2個以上)の制御コンピュータは、同じプログラムを並行して同期実行させている冗長システムであり、夫々の制御コンピュータが異なった制御機能処理、例えば制御機能の分割や制御処理の分散を行なって実行する構成の場合は、特許文献1のような方法を採用することができず、充分なフォールバック機能を確保することができないものである。   However, in Patent Document 1, two (or two or more) control computers are redundant systems in which the same program is executed synchronously in parallel, and each control computer has different control function processing, for example, control functions. In the case of a configuration in which the processes are divided and executed and the control process is distributed, the method as in Patent Document 1 cannot be adopted, and a sufficient fallback function cannot be ensured.

本発明の目的は、2個以上の制御コンピュータが異なった制御機能処理を行う場合においても、互いにフォールバック機能を代替して実行することができる新規な自動車用制御装置及び内燃機関用制御装置を提供することにある。   An object of the present invention is to provide a novel automobile control apparatus and internal combustion engine control apparatus that can execute a fallback function instead of each other even when two or more control computers perform different control function processes. It is to provide.

本発明の特徴は、異なった制御機能処理を行う2個以上の制御コンピュータの夫々に、他の制御コンピュータの制御機能処理のフォールバック機能を付与し、監視コンピュータによって1つの制御コンピュータの異常状態が検出されると、異常状態の制御コンピュータによる制御機能処理を、他の正常な制御コンピュータで代替して実行する、ところにある。   A feature of the present invention is that each of two or more control computers that perform different control function processes is provided with a fallback function of the control function process of another control computer, and an abnormal state of one control computer is detected by the monitoring computer. When detected, the control function processing by the control computer in the abnormal state is executed by another normal control computer.

本発明によれば、2個以上の制御コンピュータが異なった制御機能処理を行う場合においても、異常状態の制御コンピュータによる制御機能処理を他の制御コンピュータによって代替して実行することができるので、異常状態の制御コンピュータによって制御されるシステムの機能を確保することができるようになる。   According to the present invention, even when two or more control computers perform different control function processing, the control function processing by the control computer in the abnormal state can be executed by another control computer, so that the abnormality The function of the system controlled by the state control computer can be secured.

本発明の第1の実施形態になる自動車用制御装置のシステムブロック図である。1 is a system block diagram of an automotive control device according to a first embodiment of the present invention. 本発明の第2の実施形態になる内燃機関用制御装置の動作を説明する説明図である。It is explanatory drawing explaining operation | movement of the control apparatus for internal combustion engines which becomes the 2nd Embodiment of this invention.

本発明の実施形態について図面を用いて詳細に説明するが、本発明は以下の実施形態に限定されることなく、本発明の技術的な概念の中で種々の変形例や応用例をもその範囲に含むものである。   Embodiments of the present invention will be described in detail with reference to the drawings. However, the present invention is not limited to the following embodiments, and various modifications and application examples are included in the technical concept of the present invention. It is included in the range.

図1は本発明の第1の実施形態になる自動車用制御装置のシステムブロックを示しており、例えば、電動ブレーキシステムと電動パワーステアリングシステムを制御するものである。特に、電動ブレーキシステムと電動パワーステアリングシステムは自動車の自動運転システムに必要なシステム要素である。   FIG. 1 shows a system block of a control apparatus for an automobile according to a first embodiment of the present invention, and controls, for example, an electric brake system and an electric power steering system. In particular, the electric brake system and the electric power steering system are system elements necessary for an automatic driving system of an automobile.

図1において、自動車用制御装置10は、第1の制御コンピュータ11、第2の制御コンピュータ12を備えており、これらの制御コンピュータ11、12は通信コントローラ13に接続されている。これらの制御コンピュータ11、12は、時間同期、或いはクロック同期で同期作動する制御コンピュータシステムである。ここで、制御コンピュータ11、12はマルチプロセッサコア形式であり、1つのプロセッサパッケージ内に2個のプロセッサコア(制御コンピュータ11、12に対応)が搭載されているものである。これによれば実装面積を小さくでき、しかもプロセッサコア間の通信を高速化することができるものである。   In FIG. 1, the automobile control device 10 includes a first control computer 11 and a second control computer 12, and these control computers 11 and 12 are connected to a communication controller 13. These control computers 11 and 12 are control computer systems which operate synchronously with time synchronization or clock synchronization. Here, the control computers 11 and 12 are of a multiprocessor core format, and two processor cores (corresponding to the control computers 11 and 12) are mounted in one processor package. According to this, the mounting area can be reduced and the communication between the processor cores can be speeded up.

また、自動車用制御装置10は監視コンピュータ14を備えており、監視コンピュータ14は、制御コンピュータ11、12の動作状態を通信ラインによって監視する監視機能を備えているものである。例えば、制御コンピュータ11、12に相互診断プログラムを記憶させ、この相互診断プログラムの演算結果を監視コンピュータ14で監視しておき、監視コンピュータに記憶されている正規の演算結果と一致しないと異常と判断することができる。   The automobile control device 10 includes a monitoring computer 14, and the monitoring computer 14 includes a monitoring function for monitoring the operation state of the control computers 11 and 12 through a communication line. For example, the mutual diagnosis program is stored in the control computers 11 and 12, and the calculation result of the mutual diagnosis program is monitored by the monitoring computer 14, and if it does not coincide with the normal calculation result stored in the monitoring computer, it is determined as abnormal. can do.

更には、これ以外の方法によっても、制御コンピュータ11、12の動作状態を監視する監視機能を備えていても良いものである。また、監視コンピュータ14は、制御コンピュータ11、12に異常状態が発生すると、リセット信号を発生して異常状態の制御コンピュータ11、12をリセットする機能を備えている。   Furthermore, a monitoring function for monitoring the operation state of the control computers 11 and 12 may be provided by other methods. The monitoring computer 14 has a function of generating a reset signal and resetting the control computers 11 and 12 in an abnormal state when an abnormal state occurs in the control computers 11 and 12.

通信コントローラ13は、データバスライン15と接続され、通信コントローラ13から各種データを送るか、またはデータバスライン15から各種データを受け取る機能を備えている。したがって、制御コンピュータ11、12で演算されたアクチュエータの制御値は、データバスライン15に送ることが可能である。同様に、動作量検出センサからのセンサ信号をデータバスライン15から通信コントローラを介して制御コンピュータ11、12に送ることができる。データバスライン15は、例えばCAN、Flexray、TTCAN、TTP等の車載通信ネットワークから構成されている。   The communication controller 13 is connected to the data bus line 15 and has a function of transmitting various data from the communication controller 13 or receiving various data from the data bus line 15. Therefore, the actuator control values calculated by the control computers 11 and 12 can be sent to the data bus line 15. Similarly, the sensor signal from the operation amount detection sensor can be sent from the data bus line 15 to the control computers 11 and 12 via the communication controller. The data bus line 15 is configured by an in-vehicle communication network such as CAN, Flexray, TTCAN, TTP, or the like.

また、データバスライン15には第1の通信ユニット16と第2の通信ユニット17が接続されており、第1の通信ユニット16には第1のアクチュエータ18が接続され、第2の通信ユニット17には第2のアクチュエータ19が接続されている。   In addition, a first communication unit 16 and a second communication unit 17 are connected to the data bus line 15, a first actuator 18 is connected to the first communication unit 16, and a second communication unit 17. The 2nd actuator 19 is connected to.

したがって、第1の制御コンピュータ11からの制御値は、データバスライン15、第1の通信ユニット16を介して第1のアクチュエータ18に送られ、同様に第2の制御コンピュータ12からの制御値は、データバスライン15、第2の通信ユニット17を介して第2のアクチュエータ19に送られ、必要な制御機能が実行されるものである。   Therefore, the control value from the first control computer 11 is sent to the first actuator 18 via the data bus line 15 and the first communication unit 16, and similarly, the control value from the second control computer 12 is The data is sent to the second actuator 19 via the data bus line 15 and the second communication unit 17, and a necessary control function is executed.

例えば、第1の制御コンピュータ11が、電動ブレーキシステムに使用されるものであれば、第1の制御コンピュータ11の制御機能は制動機能であり、第1のアクチュエータ18はブレーキキャリパのピストンを制御する電動モータである。また、第2の制御コンピュータ12が、電動パワーステアリングシステムに使用されるものであれば、第2の制御コンピュータ12の制御機能は操舵機能であり、第2のアクチュエータ19は電動パワーステアリングシステムの操舵アシスト用の電動モータである。   For example, if the first control computer 11 is used in an electric brake system, the control function of the first control computer 11 is a braking function, and the first actuator 18 controls the piston of the brake caliper. It is an electric motor. If the second control computer 12 is used in an electric power steering system, the control function of the second control computer 12 is a steering function, and the second actuator 19 is a steering function of the electric power steering system. It is an electric motor for assist.

ここで、本実施形態の特徴であるフォールバック機能について説明する。第1の制御コンピュータ11の記憶領域には、第1の制御コンピュータ11自身に特有の機能(=電動ブレーキシステム特有の機能)を実行するプログラム或いは固定値と共に、第2の制御コンピュータ12に特有のフォールバック機能(=電動パワーステアリングシステム特有のフォールバック機能)を実行するプログラム或いは固定値とが記憶されている。   Here, the fallback function that is a feature of the present embodiment will be described. The storage area of the first control computer 11 is unique to the second control computer 12 together with a program or a fixed value for executing a function specific to the first control computer 11 itself (= function specific to the electric brake system). A program for executing a fallback function (= fallback function unique to the electric power steering system) or a fixed value is stored.

同様に、第2の制御コンピュータ12の記憶領域には、第2の制御コンピュータ12自身に特有の機能(=電動パワーステアリングシステム特有の機能)を実行するプログラム或いは固定値と共に、第1の制御コンピュータ11に特有のフォールバック機能(=電動ブレーキシステム特有のフォールバック機能)を実行するプログラム或いは固定値とが記憶されている。   Similarly, the storage area of the second control computer 12 has a program or a fixed value for executing a function specific to the second control computer 12 itself (= function specific to the electric power steering system), as well as the first control computer 12. 11 stores a program or a fixed value for executing a fallback function peculiar to 11 (= fallback function peculiar to the electric brake system).

このように、夫々の制御コンピュータ11、12には、互いに冗長性を持ったフォールバック機能が付与されているものである。つまり、制御コンピュータ11は、他方の第2の制御コンピュータ12に特有のフォールバック機能を実行できるとともに制御コンピュータ12は、第1の制御コンピュータ11に特有のフォールバック機能を実行することができるものである。   Thus, the control computers 11 and 12 are each provided with a fallback function having redundancy. That is, the control computer 11 can execute a fallback function specific to the other second control computer 12 and the control computer 12 can execute a fallback function specific to the first control computer 11. is there.

ここで、フォールバック機能のためのプログラムの実行によって得られた制御値、或いは固定値は、いわゆるバックアップデータとして各制御機能処理で使用されるものである。もちろん、このバックアップデータは、制御コンピュータ11、12が正常に動作している場合は、データバスライン15に送られないものである。   Here, the control value or the fixed value obtained by executing the program for the fallback function is used in each control function process as so-called backup data. Of course, this backup data is not sent to the data bus line 15 when the control computers 11 and 12 are operating normally.

以上のような構成において、制御コンピュータ11、12が動作して夫々の制御機能を実行するべくアクチュエータ18、19を制御している過程で、監視コンピュータ14は、制御コンピュータ11、12が正常に動作しているかを監視し、監視結果が通信コントローラ13を介して夫々の制御コンピュータ11、12に送られる。   In the configuration as described above, in the process in which the control computers 11 and 12 operate to control the actuators 18 and 19 to execute the respective control functions, the monitoring computer 14 operates normally. Monitoring results are sent to the control computers 11 and 12 via the communication controller 13.

そして、監視コンピュータ14が制御コンピュータ11、12に異常状態が生じたと判断すると、監視コンピュータ14によって、異常な制御コンピュータの情報、すなわち、第1の制御コンピュータ11が異常、或いは第2の制御コンピュータ2が異常、或いは両方の制御コンピュータ11、12が異常というエラー情報が、通信ライン及び通信コントローラ13を介して夫々の制御コンピュータ11、12に送られる。   When the monitoring computer 14 determines that an abnormal state has occurred in the control computers 11, 12, the monitoring computer 14 detects abnormal control computer information, that is, the first control computer 11 is abnormal or the second control computer 2. Error information indicating that the two control computers 11 and 12 are abnormal is sent to the control computers 11 and 12 via the communication line and the communication controller 13.

監視コンピュータ14は、例えば第1の制御コンピュータ11の異常状態を検出すると、正常な第2の制御コンピュータ12及び異常状態となった第1の制御コンピュータ11に対して、第1の制御コンピュータ11のエラー情報を送信する。   For example, when the monitoring computer 14 detects an abnormal state of the first control computer 11, the monitoring computer 14 detects the abnormal state of the first control computer 11 with respect to the normal second control computer 12 and the first control computer 11 in the abnormal state. Send error information.

そして、異常状態の第1の制御コンピュータ11は、自身で演算した制御値を通信コントローラ13に送るのを中断する。一方、正常な第2の制御コンピュータ12は、エラー情報を受信すると、異常状態の第1の制御コンピュータ11のフォールバック機能を実行するプログラムを起動して、バックアップデータである、制御値を演算するか、或いは固定値を読み出して通信コントローラ13に送信する。   Then, the first control computer 11 in the abnormal state interrupts sending the control value calculated by itself to the communication controller 13. On the other hand, when receiving the error information, the normal second control computer 12 starts a program that executes the fallback function of the first control computer 11 in the abnormal state, and calculates a control value that is backup data. Alternatively, a fixed value is read and transmitted to the communication controller 13.

通信コントローラ13は、正常な第2の制御コンピュータ12で求められたバックアップデータをデータバスライン15に送り、異常状態となった第1の制御コンピュータ11が制御していた第1のアクチュエータ18に、バックアップデータを送ってフォールバック機能を実行するものである。   The communication controller 13 sends the backup data obtained by the normal second control computer 12 to the data bus line 15, and sends the backup data to the first actuator 18 controlled by the first control computer 11 in an abnormal state. The fallback function is executed by sending backup data.

逆に、第2の制御コンピュータ12に異常状態が発生すると、監視コンピュータ14は、正常な第1の制御コンピュータ11及び異常状態となった第2の制御コンピュータ12に対して、第2の制御コンピュータ12のエラー情報を送信する。   Conversely, when an abnormal state occurs in the second control computer 12, the monitoring computer 14 sends a second control computer to the normal first control computer 11 and the second control computer 12 in the abnormal state. 12 error information is transmitted.

そして、異常状態の第2の制御コンピュータ12は、自身で演算した制御値を通信コントローラ13に送るのを中断する。一方、正常な第1の制御コンピュータ11は、エラー情報を受信すると、異常状態の第2の制御コンピュータ12のフォールバック機能を実行するプログラムを起動して、バックアップデータである、制御値を演算するか、或いは固定値を読み出して通信コントローラ13に送信する。   Then, the second control computer 12 in the abnormal state interrupts sending the control value calculated by itself to the communication controller 13. On the other hand, when the normal first control computer 11 receives the error information, the normal first control computer 11 starts a program that executes the fallback function of the abnormal second control computer 12 and calculates a control value that is backup data. Alternatively, a fixed value is read and transmitted to the communication controller 13.

通信コントローラ13は、正常な第1の制御コンピュータ11で求められたバックアップデータをデータバスライン15に送り、異常状態となった第2の制御コンピュータ12が制御していた第2のアクチュエータ19に、バックアップデータを送ってフォールバック機能を実行するものである。   The communication controller 13 sends the backup data obtained by the normal first control computer 11 to the data bus line 15, and sends the backup data to the second actuator 19 controlled by the second control computer 12 in an abnormal state. The fallback function is executed by sending backup data.

尚、両方の制御コンピュータ11、12が異常状態になると、監視コンピュータ14は、エラー情報を通信ライン及び通信コントローラ13を介して夫々の制御コンピュータ11、12に送ると共に、リセット信号を制御コンピュータ11、12に送り、制御コンピュータ11、12をリセット動作させるものである。この場合、制御コンピュータ11、12のエラーを含む制御値は、通信コントローラ13によってデータバスライン15に送られるのが遮断されるようになっている。   When both control computers 11 and 12 are in an abnormal state, the monitoring computer 14 sends error information to the respective control computers 11 and 12 via the communication line and the communication controller 13 and also sends a reset signal to the control computer 11 and 12. 12, the control computers 11 and 12 are reset. In this case, control values including errors of the control computers 11 and 12 are blocked from being sent to the data bus line 15 by the communication controller 13.

このように、本実施形態によれば、2個以上の制御コンピュータが異なった制御機能処理を行う場合においても、異常状態の制御コンピュータのフォールバック機能を他の制御コンピュータによって実行することができるので、異常状態の制御コンピュータによって制御されるシステムの機能を確保することができるようになる。   As described above, according to this embodiment, even when two or more control computers perform different control function processes, the fallback function of the control computer in an abnormal state can be executed by another control computer. The function of the system controlled by the control computer in the abnormal state can be secured.

図2は本発明の他の実施形態になる内燃機関用制御装置の動作状態を示している。基本的なシステムブロックの構成は図1に示すものとほぼ同じであるが、制御コンピュータの制御機能が、内燃機関の動作状態を制御、調整する機能である点で異なっている。   FIG. 2 shows an operating state of an internal combustion engine control apparatus according to another embodiment of the present invention. The basic system block configuration is almost the same as that shown in FIG. 1, except that the control function of the control computer is a function for controlling and adjusting the operating state of the internal combustion engine.

つまり、内燃機関用制御装置20は少なくとも、第1の制御コンピュータ21と第2の制御コンピュータ22を備えており、第1の制御コンピュータ21は、燃料噴射弁25を制御する燃料制御機能及び点火装置26を制御する点火制御機能を備えている。また、第2の制御コンピュータ22は、燃料制御機能及び点火制御機能を備えず、吸気弁や排気弁の開閉位相を制御する可変バルブタイミング装置(VTC)27を制御するバルブタイミング制御機能及び電制スロットルバルブ28を制御するスロットル制御機能を備えている。尚、これ以外の補機の制御機能を夫々の制御コンピュータ21、22に備えることも可能であるが、互いに同じ制御機能は備えていないものである。   That is, the internal combustion engine control device 20 includes at least a first control computer 21 and a second control computer 22, and the first control computer 21 controls a fuel injection valve 25 and a fuel control function and an ignition device. An ignition control function for controlling the motor 26 is provided. The second control computer 22 does not have a fuel control function and an ignition control function, and has a valve timing control function and an electric control system that control a variable valve timing device (VTC) 27 that controls the opening / closing phase of the intake valve and the exhaust valve. A throttle control function for controlling the throttle valve 28 is provided. Although it is possible to provide the control functions of other auxiliary machines in the respective control computers 21 and 22, they do not have the same control function.

そして、これらの制御コンピュータ21、22は、時間同期、或いはクロック同期、或いはクランク角同期で作動する制御コンピュータシステムである。ここで、実施例1と同様に制御コンピュータ21、22はマルチプロセッサコア形式であり、1つのプロセッサパッケージ内に2個のプロセッサコア(制御コンピュータ21、22)が搭載されているものである。   These control computers 21 and 22 are control computer systems that operate in time synchronization, clock synchronization, or crank angle synchronization. Here, as in the first embodiment, the control computers 21 and 22 are in a multiprocessor core format, and two processor cores (control computers 21 and 22) are mounted in one processor package.

また、内燃機関用制御装置20は監視コンピュータ24を備えており、監視コンピュータ24は、制御コンピュータ21、22の動作状態を通信ラインによって監視する監視機能を備えているものである。また、監視コンピュータ24は、制御コンピュータ21、22に異常状態が発生すると、リセット信号を発生して異常状態の制御コンピュータ21、22をリセットする機能を備えている。更に、通信コントローラ23は、制御コンピュータ21、22で演算された制御値を夫々の制御機能に対応する燃料噴射弁25、点火装置26、VTC装置27、電制スロットルバルブ28に送るものである。   The internal combustion engine control device 20 includes a monitoring computer 24. The monitoring computer 24 includes a monitoring function for monitoring the operation state of the control computers 21 and 22 through a communication line. The monitoring computer 24 has a function of generating a reset signal and resetting the control computers 21 and 22 in the abnormal state when an abnormal state occurs in the control computers 21 and 22. Furthermore, the communication controller 23 sends the control values calculated by the control computers 21 and 22 to the fuel injection valve 25, the ignition device 26, the VTC device 27, and the electric throttle valve 28 corresponding to the respective control functions.

次に、本実施形態の特徴であるフォールバック機能について説明する。第1の制御コンピュータ21の記憶領域には、第1の制御コンピュータ21自身の燃料制御機能と点火制御機能を実行する固定値(固定燃料噴射量と固定噴射時期、及び固定通電角と固定点火時期)と、第2の制御コンピュータ22のバルブタイミング制御機能とスロットル制御機能のフォールバック機能を実行する固定値(固定開閉位相及び固定スロットル開度)とが記憶されている。   Next, a fallback function that is a feature of the present embodiment will be described. The storage area of the first control computer 21 has fixed values (fixed fuel injection amount and fixed injection timing, fixed energization angle and fixed ignition timing) for executing the fuel control function and ignition control function of the first control computer 21 itself. ) And fixed values (fixed opening / closing phase and fixed throttle opening) for executing the valve timing control function and the throttle control function fallback function of the second control computer 22 are stored.

同様に、第2の制御コンピュータ22の記憶領域には、第2の制御コンピュータ22自身のバルブタイミング制御機能とスロットル制御機能を実行する固定値(固定開閉位相及び固定スロットル開度)と、第1の制御コンピュータ21の燃料制御機能と点火制御機能のフォールバック機能を実行する固定値(固定燃料噴射量と固定噴射時期、及び固定通電角と固定点火時期)とが記憶されている。   Similarly, the storage area of the second control computer 22 includes a fixed value (fixed opening / closing phase and fixed throttle opening) for executing the valve timing control function and the throttle control function of the second control computer 22 itself, and the first The fixed values (the fixed fuel injection amount and the fixed injection timing, and the fixed energization angle and the fixed ignition timing) for executing the fuel control function and the fallback function of the ignition control function of the control computer 21 are stored.

ここで、フォールバック機能のための固定値は、いわゆるバックアップデータとして各制御機能処理で使用されるものである。もちろん、このバックアップデータは、制御コンピュータ21、22が正常に動作している場合は、燃料噴射弁25、点火装置26、VTC装置27、電制スロットルバルブ28に送られないものである。   Here, the fixed value for the fallback function is used in each control function process as so-called backup data. Of course, this backup data is not sent to the fuel injection valve 25, the ignition device 26, the VTC device 27, and the electric throttle valve 28 when the control computers 21 and 22 are operating normally.

以上のような構成において、制御コンピュータ21、22が動作して夫々の制御機能を実行するべく燃料噴射弁25、点火装置26、VTC装置27、電制スロットルバルブ28を制御している過程で、監視コンピュータ24は、制御コンピュータ21、22が正常に動作しているかを監視し、監視結果が通信コントローラ13を介して夫々の制御コンピュータ21、22に送られる。   In the configuration as described above, in the process in which the control computers 21 and 22 operate to control the fuel injection valve 25, the ignition device 26, the VTC device 27, and the electric throttle valve 28 to execute the respective control functions, The monitoring computer 24 monitors whether the control computers 21 and 22 are operating normally, and the monitoring result is sent to each control computer 21 and 22 via the communication controller 13.

ここで、第1の制御コンピュータ21が正常に動作している場合は、第1の制御コンピュータ21は燃料噴射指令(演算された噴射量、噴射時期)を燃料噴射弁25に供給し、また、点火指令(演算された通電角、点火時期)を点火装置26に供給する。同様に、第2の制御コンピュータ22が正常に動作している場合は、第2の制御コンピュータ22はVTC制御指令(演算された開閉位相)をVTC装置27に供給し、また、スロットル制御指令(演算されたスロットル開度)を電制スロットル28に供給する。   Here, when the first control computer 21 is operating normally, the first control computer 21 supplies a fuel injection command (calculated injection amount, injection timing) to the fuel injection valve 25, and An ignition command (calculated energization angle and ignition timing) is supplied to the ignition device 26. Similarly, when the second control computer 22 is operating normally, the second control computer 22 supplies a VTC control command (calculated opening / closing phase) to the VTC device 27, and a throttle control command ( The calculated throttle opening) is supplied to the electric control throttle 28.

一方、監視コンピュータ24は、例えば第1の制御コンピュータ21の異常状態を検出すると、正常な第2の制御コンピュータ22及び異常状態となった第1の制御コンピュータ21に対して、第1の制御コンピュータ21のエラー情報を送信する。   On the other hand, when the monitoring computer 24 detects, for example, the abnormal state of the first control computer 21, the first control computer 24 is compared with the normal second control computer 22 and the first control computer 21 that has entered the abnormal state. 21 error information is transmitted.

そして、異常状態の第1の制御コンピュータ21は、自身で演算した燃料噴射指令と点火指令を通信コントローラ23に送るのを中断する。一方、正常な第2の制御コンピュータ22は、エラー情報を受信すると、異常状態の第1の制御コンピュータ21のフォールバック機能を実行するため、第2の制御コンピュータ22の記憶領域に記憶されているバックアップデータである固定燃料噴射量と固定噴射時期、及び固定通電角と固定点火時期を読み出して通信コントローラ23に送信する。   Then, the first control computer 21 in the abnormal state interrupts sending the fuel injection command and the ignition command calculated by itself to the communication controller 23. On the other hand, when the normal second control computer 22 receives the error information, it is stored in the storage area of the second control computer 22 in order to execute the fallback function of the first control computer 21 in the abnormal state. The fixed fuel injection amount and fixed injection timing, and the fixed energization angle and fixed ignition timing, which are backup data, are read and transmitted to the communication controller 23.

通信コントローラ23は、正常な第2の制御コンピュータ22で求められた固定燃料噴射量と固定噴射時期、及び固定通電角と固定点火時期を燃料噴射弁25と点火装置26に送り、異常状態となった第1の制御コンピュータ21が制御していた燃料噴射弁25と点火装置26のフォールバック機能を実行するものである。   The communication controller 23 sends the fixed fuel injection amount and the fixed injection timing, and the fixed energization angle and the fixed ignition timing obtained by the normal second control computer 22 to the fuel injection valve 25 and the ignition device 26, resulting in an abnormal state. The fallback function of the fuel injection valve 25 and the ignition device 26 controlled by the first control computer 21 is executed.

逆に、第2の制御コンピュータ22に異常状態が発生すると、監視コンピュータ24は、正常な第1の制御コンピュータ21及び異常状態となった第2の制御コンピュータ22に対して、第2の制御コンピュータ22のエラー情報を送信する。   Conversely, when an abnormal state occurs in the second control computer 22, the monitoring computer 24 sends a second control computer to the normal first control computer 21 and the second control computer 22 in the abnormal state. 22 error information is transmitted.

そして、異常状態の第2の制御コンピュータ22は、自身で演算したVTC制御指令とスロットル制御指令を通信コントローラ23に送るのを中断する。一方、正常な第1の制御コンピュータ21は、エラー情報を受信すると、異常状態の第2の制御コンピュータ22のフォールバック機能を実行するため、第1の制御コンピュータ21の記憶領域に記憶されているバックアップデータである固定開閉位相、及び固定スロットル開度を読み出して通信コントローラ23に送信する。   Then, the second control computer 22 in an abnormal state interrupts sending the VTC control command and the throttle control command calculated by itself to the communication controller 23. On the other hand, when the normal first control computer 21 receives the error information, it is stored in the storage area of the first control computer 21 in order to execute the fallback function of the abnormal second control computer 22. The fixed opening / closing phase and the fixed throttle opening which are backup data are read out and transmitted to the communication controller 23.

通信コントローラ23は、正常な第1の制御コンピュータ21で求められた固定開閉位相、及び固定スロットル開度をVTC装置27と電制スロットル28に送り、異常状態となった第2の制御コンピュータ22が制御していたVTC装置27と電制スロットル28のフォールバック機能を実行するものである。   The communication controller 23 sends the fixed opening / closing phase and the fixed throttle opening obtained by the normal first control computer 21 to the VTC device 27 and the electric control throttle 28, and the second control computer 22 in an abnormal state The fallback function of the controlled VTC device 27 and the electric throttle 28 is executed.

このように、本実施形態によれば、内燃機関の燃料制御機能と点火制御機能を実行する制御コンピュータと、これらの制御機能とは異なった内燃機関の制御機能を実行する制御コンピュータとを用いる場合においても、異常状態の制御コンピュータのフォールバック機能を他の制御コンピュータによって実行して内燃機関の動作状態を制御することができるので、異常状態の制御コンピュータによって制御される内燃機関の制御機能処理の機能を確保することができるようになる。   As described above, according to the present embodiment, the control computer that executes the fuel control function and the ignition control function of the internal combustion engine and the control computer that executes the control function of the internal combustion engine different from these control functions are used. However, the control function processing of the internal combustion engine controlled by the control computer in the abnormal state can be controlled by executing the fallback function of the control computer in the abnormal state by another control computer to control the operation state of the internal combustion engine. Functions can be secured.

以上述べた通り本発明によれば、異なった制御機能処理を行う2個以上の制御コンピュータの夫々に、他の制御コンピュータの制御機能処理のフォールバック機能を実行するプログラム、或いは固定値を記憶する記憶領域を備え、監視コンピュータによって1つの制御コンピュータの異常状態が検出されると、異常状態の制御コンピュータによる制御機能処理のフォールバック機能を他の正常な制御コンピュータで実行する、ところにある。   As described above, according to the present invention, a program for executing a fallback function of a control function process of another control computer or a fixed value is stored in each of two or more control computers that perform different control function processes. When an abnormal state of one control computer is detected by the monitoring computer, a fallback function of control function processing by the control computer in the abnormal state is executed by another normal control computer.

これによれば、2個以上の制御コンピュータが異なった制御機能処理を行う場合においても、異常状態の制御コンピュータのフォールバック機能を他の制御コンピュータによって実行することができるので、異常状態の制御コンピュータによって制御されるシステムの機能を確保することができるようになる。   According to this, even when two or more control computers perform different control function processing, the fallback function of the control computer in the abnormal state can be executed by another control computer. It becomes possible to secure the functions of the system controlled by the system.

尚、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。   In addition, this invention is not limited to an above-described Example, Various modifications are included. For example, the above-described embodiments have been described in detail for easy understanding of the present invention, and are not necessarily limited to those having all the configurations described. Further, a part of the configuration of one embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of one embodiment. Further, it is possible to add, delete, and replace other configurations for a part of the configuration of each embodiment.

10…自動車用制御装置、11…第1の制御コンピュータ、12…第2の制御コンピュータ、13…通信コントローラ、14…監視コンピュータ、15…データバスライン、16…第1の通信ユニット、17…第2の通信ユニット、18…第1のアクチュエータ、19…第2のアクチュエータ、20…内燃機関用制御装置、21…第1の制御コンピュータ、22…第2の制御コンピュータ、23…通信コントローラ、24…監視コンピュータ、25…燃料噴射弁、26…点火装置、27…VTC装置、28…電制スロットル。   DESCRIPTION OF SYMBOLS 10 ... Control apparatus for motor vehicles, 11 ... 1st control computer, 12 ... 2nd control computer, 13 ... Communication controller, 14 ... Monitoring computer, 15 ... Data bus line, 16 ... 1st communication unit, 17 ... 1st 2 communication units, 18 ... first actuator, 19 ... second actuator, 20 ... control device for internal combustion engine, 21 ... first control computer, 22 ... second control computer, 23 ... communication controller, 24 ... Monitoring computer, 25 ... fuel injection valve, 26 ... ignition device, 27 ... VTC device, 28 ... electric throttle.

Claims (5)

自動車の運転状態を制御する異なった制御機能処理を行う2個以上の制御コンピュータの夫々に、他の制御コンピュータの制御機能処理のフォールバック機能を付与し、監視コンピュータによって1つの前記制御コンピュータの異常状態が検出されると、異常状態の前記制御コンピュータによる制御機能処理を、他の正常な前記制御コンピュータが代替して実行することを特徴とする自動車用制御装置。   A fallback function of the control function processing of another control computer is given to each of two or more control computers that perform different control function processes for controlling the driving state of the automobile, and an abnormality of one of the control computers is performed by the monitoring computer. When the state is detected, a control function process by the control computer in an abnormal state is executed instead of another normal control computer. 請求項1に記載の自動車用制御装置において、
2個以上の前記制御コンピュータの夫々はマルチプロセッサコアから構成されており、前記マルチプロセッサコアの異常状態のプロセッサコアによる制御機能処理を前記マルチプロセッサコアの正常なプロセッサコアが代替して実行し、異常状態の前記プロセッサコアによって制御されるアクチュエータを、正常な前記プロセッサコアのフォールバック機能の実行によって得られたバックアップデータで制御することを特徴とする自動車用制御装置。 The vehicle control device according to claim 1,
Each of the two or more control computers is composed of a multiprocessor core, and the normal processor core of the multiprocessor core executes control function processing by the processor core in an abnormal state of the multiprocessor core, An automotive control device, wherein an actuator controlled by the processor core in an abnormal state is controlled by backup data obtained by executing a fallback function of a normal processor core. 内燃機関の少なくとも燃料制御機能と点火制御機能を備える第1の制御コンピュータと、前記燃料制御機能と前記点火制御機能とは別の前記内燃機関の動作状態を制御する動作状態制御機能を備える第2の制御コンピュータの2つを少なくとも備え、
前記第1の制御コンピュータに、前記動作状態制御機能のフォールバック機能を付与し、前記第2の制御コンピュータに前記燃料制御機能と前記点火制御機能のフォールバック機能を付与し、監視コンピュータによって2つの前記制御コンピュータの一方に異常状態が検出されると、異常状態の前記制御コンピュータによる制御機能処理を、他の正常な前記制御コンピュータが代替して実行することを特徴とする内燃機関用制御装置。 A first control computer having at least a fuel control function and an ignition control function of the internal combustion engine, and a second control state control function for controlling an operation state of the internal combustion engine different from the fuel control function and the ignition control function. At least two of the control computers
The first control computer is provided with a fallback function of the operating state control function, the second control computer is provided with a fallback function of the fuel control function and the ignition control function, When an abnormal state is detected in one of the control computers, a control function process by the control computer in the abnormal state is executed instead of another normal control computer. 請求項3に記載の内燃機関用制御装置において、
前記第1制御コンピュータ及び前記第2制御コンピュータの夫々はマルチプロセッサコアから構成されており、前記マルチプロセッサコアの異常状態のプロセッサコアによる制御機能処理を前記マルチプロセッサコアの正常なプロセッサコアが代替して実行し、異常状態の前記プロセッサコアによって制御されるアクチュエータを、正常な前記プロセッサコアのフォールバック機能の実行によって得られたバックアップデータで制御することを特徴とする内燃機関用制御装置。 The control device for an internal combustion engine according to claim 3,
Each of the first control computer and the second control computer is composed of a multiprocessor core, and the normal processor core of the multiprocessor core replaces the control function processing by the processor core in an abnormal state of the multiprocessor core. And controlling the actuator controlled by the processor core in an abnormal state with backup data obtained by executing the fallback function of the normal processor core. 請求項4に記載の内燃機関用制御装置において、
前記バックアップデータは、前記燃料制御機能、前記点火制御機能、又は前記動作状態制御機能で制御される前記アクチュエータを所定量だけ制御する固定値であることを特徴とする内燃機関用制御装置。 The control apparatus for an internal combustion engine according to claim 4,
The control apparatus for an internal combustion engine, wherein the backup data is a fixed value for controlling the actuator controlled by the fuel control function, the ignition control function, or the operation state control function by a predetermined amount.
JP2016191147A 2016-09-29 2016-09-29 Vehicle control device and vehicle internal combustion engine control device Active JP6681304B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016191147A JP6681304B2 (en) 2016-09-29 2016-09-29 Vehicle control device and vehicle internal combustion engine control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016191147A JP6681304B2 (en) 2016-09-29 2016-09-29 Vehicle control device and vehicle internal combustion engine control device

Publications (2)

Publication Number Publication Date
JP2018052315A true JP2018052315A (en) 2018-04-05
JP6681304B2 JP6681304B2 (en) 2020-04-15

Family

ID=61835000

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016191147A Active JP6681304B2 (en) 2016-09-29 2016-09-29 Vehicle control device and vehicle internal combustion engine control device

Country Status (1)

Country Link
JP (1) JP6681304B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021076021A (en) * 2019-11-05 2021-05-20 株式会社デンソー Electronic control unit
JP2021105371A (en) * 2019-12-26 2021-07-26 株式会社デンソー Electronic control unit

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07293320A (en) * 1994-04-21 1995-11-07 Nippondenso Co Ltd Electronic controller
JP2009069963A (en) * 2007-09-11 2009-04-02 Fujitsu Ltd Multiprocessor system
JP2012073748A (en) * 2010-09-28 2012-04-12 Denso Corp Control device
JP2014049013A (en) * 2012-09-03 2014-03-17 Hitachi Automotive Systems Ltd Electronic control system for automobile

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07293320A (en) * 1994-04-21 1995-11-07 Nippondenso Co Ltd Electronic controller
JP2009069963A (en) * 2007-09-11 2009-04-02 Fujitsu Ltd Multiprocessor system
JP2012073748A (en) * 2010-09-28 2012-04-12 Denso Corp Control device
JP2014049013A (en) * 2012-09-03 2014-03-17 Hitachi Automotive Systems Ltd Electronic control system for automobile

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021076021A (en) * 2019-11-05 2021-05-20 株式会社デンソー Electronic control unit
JP2021105371A (en) * 2019-12-26 2021-07-26 株式会社デンソー Electronic control unit

Also Published As

Publication number Publication date
JP6681304B2 (en) 2020-04-15

Similar Documents

Publication Publication Date Title
CN112004730B (en) vehicle control device
US9576137B2 (en) Method and system for analyzing integrity of encrypted data in electronic control system for motor vehicle
CN109804355B (en) Software updating device, software updating method, and software updating system
JP6189004B1 (en) Shared backup unit and control system
KR100767074B1 (en) Failure sensing device of vehicle control system
US9604585B2 (en) Failure management in a vehicle
KR102452555B1 (en) Apparatus for controlling fail-operational of vehicle, and method thereof
US10037016B2 (en) Hybrid dual-duplex fail-operational pattern and generalization to arbitrary number of failures
JP2020506472A (en) Redundant processor architecture
US20130158844A1 (en) Method for operating a control unit
JP5629646B2 (en) Vehicle control device
CN114348027B (en) Vehicle control method, device, platform and storage medium
JP6681304B2 (en) Vehicle control device and vehicle internal combustion engine control device
CN114616164A (en) Motor drive system
EP2482149B1 (en) Electronic control unit
CN112740121A (en) Control architecture for a vehicle
CN107038095B (en) Method for redundantly processing data
JP5223512B2 (en) Vehicle abnormality analysis system, vehicle abnormality analysis method, and vehicle failure analysis device
JP5226653B2 (en) In-vehicle control device
CN111367726B (en) Safe redundant automatic driving computing platform and control method thereof
JP7360277B2 (en) aircraft control system
JP4820679B2 (en) Electronic control device for vehicle
JP4856729B2 (en) Motor controller
JP3370387B2 (en) Abnormality countermeasure method in a multi-CPU vehicle control computer system
JP6016257B2 (en) Vehicle engine control device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180615

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190416

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190418

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190606

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191023

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191210

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200317

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200323

R150 Certificate of patent or registration of utility model

Ref document number: 6681304

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250