JP5226653B2 - In-vehicle control device - Google Patents

In-vehicle control device Download PDF

Info

Publication number
JP5226653B2
JP5226653B2 JP2009284144A JP2009284144A JP5226653B2 JP 5226653 B2 JP5226653 B2 JP 5226653B2 JP 2009284144 A JP2009284144 A JP 2009284144A JP 2009284144 A JP2009284144 A JP 2009284144A JP 5226653 B2 JP5226653 B2 JP 5226653B2
Authority
JP
Japan
Prior art keywords
unit
main
sub
value
calculation unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009284144A
Other languages
Japanese (ja)
Other versions
JP2011126327A (en
Inventor
健次 橋本
貴央 綿引
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2009284144A priority Critical patent/JP5226653B2/en
Publication of JP2011126327A publication Critical patent/JP2011126327A/en
Application granted granted Critical
Publication of JP5226653B2 publication Critical patent/JP5226653B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Combined Controls Of Internal Combustion Engines (AREA)

Description

本発明は、車載制御装置に関するものである。   The present invention relates to an in-vehicle control device.

近年の車両制御システムは、市場要求、燃費向上、排気規制などの様々な要求により、プログラム量が増加する傾向にある。それに伴い、プログラム構成の複雑化による設計・プログラムミスに起因した故障が懸念されている。そのため、車両走行時の安全性を確保することがこれまで以上に重要視されている。   In recent vehicle control systems, the amount of programs tends to increase due to various demands such as market demand, fuel efficiency improvement, and exhaust emission control. Along with this, there are concerns about failures due to design / program errors due to complicated program configurations. Therefore, it is more important than ever to ensure safety when the vehicle is traveling.

下記特許文献1では、走行中の挙動変化が運転者の意図したものであるかどうかを判定し、異常であればフェールセーフ処理を実行し、車両走行時の安全性を確保している。しかしながら、走行中による挙動変化ではなく、プログラムミスなどにより異常を発生する可能性もある。そこで一般的に知られている技術では、プログラムミスによる異常を検出するため、制御システムを2重冗長化して相互に演算結果を比較することにより、制御処理の品質を管理している。   In Patent Document 1 below, it is determined whether or not the behavior change during driving is intended by the driver, and if it is abnormal, fail-safe processing is executed to ensure safety during vehicle driving. However, there is a possibility that an abnormality may occur due to a program mistake or the like instead of a behavior change during traveling. Therefore, in a generally known technique, in order to detect an abnormality caused by a program mistake, the control processing quality is managed by making the control system double redundant and comparing the calculation results with each other.

特開2009−62998号公報JP 2009-62998 A

一般に車両制御の2重冗長系システムでは、車両制御に対する影響が大きい演算処理(例えばトルクを演算する処理)について、例えば異なるプログラム言語で作成された関数を用いて同じ演算処理を実行し、演算結果を相互に比較する。演算結果が相互に一致しない場合は異常が発生しているものとみなし、その機能ブロックについてフェールセーフ処理を実行して安全性を確保する。   In general, in a double redundant system for vehicle control, the same calculation process is executed using a function created in a different programming language, for example, for a calculation process (for example, a process for calculating torque) having a great influence on the vehicle control. Are compared with each other. If the calculation results do not match each other, it is considered that an abnormality has occurred, and failsafe processing is executed for the functional block to ensure safety.

したがって、車両制御の2重冗長系システムは、同一の演算処理を複数実行することになるので、演算負荷が大きくなり、演算装置の演算処理能力では処理しきれなくなる可能性がある。   Therefore, since the vehicle control double redundant system executes a plurality of the same arithmetic processing, the arithmetic load becomes large, and there is a possibility that the arithmetic processing capability of the arithmetic device cannot complete the processing.

本発明は、上記のような課題を解決するためになされたものであり、車両制御に係る演算処理負荷を軽減しつつ、安全性を確保することのできる車載制御装置を提供することを目的とする。   The present invention has been made to solve the above-described problems, and it is an object of the present invention to provide an in-vehicle control device capable of ensuring safety while reducing a processing load related to vehicle control. To do.

本発明に係る車載制御装置は、主演算部とその確認演算を実行する副演算部を備え、主演算部の入力または出力が正常であるか否かに基づき、副演算部の確認演算を実行するか否かを判定する。   The in-vehicle control device according to the present invention includes a main operation unit and a sub operation unit that executes a confirmation operation thereof, and executes the confirmation operation of the sub operation unit based on whether the input or output of the main operation unit is normal. It is determined whether or not to do.

本発明に係る車載制御装置によれば、副演算部は必ずしも確認演算を毎回実行するわけではなく、主演算部の処理が正常であると想定されるときは確認演算を実行しない。これにより、安全性を確保しつつ車載制御装置の演算処理負荷を低減することができる。   According to the vehicle-mounted control device according to the present invention, the sub calculation unit does not necessarily execute the confirmation calculation every time, and does not execute the confirmation calculation when it is assumed that the processing of the main calculation unit is normal. Thereby, the calculation processing load of the vehicle-mounted control device can be reduced while ensuring safety.

実施の形態1に係る車載制御装置100の機能ブロック図である。3 is a functional block diagram of the in-vehicle control device 100 according to Embodiment 1. FIG. 車載制御装置100の1サイクル分の動作フローである。It is the operation | movement flow for 1 cycle of the vehicle-mounted control apparatus 100. FIG. 実施の形態2における車載制御装置100の動作フローである。It is an operation | movement flow of the vehicle-mounted control apparatus 100 in Embodiment 2. FIG. 実施の形態3に係る車両制御装置100の機能ブロック図である。FIG. 6 is a functional block diagram of a vehicle control device 100 according to a third embodiment. 各異常検出部が主演算部の出力値の異常を検出する様子を示す図である。It is a figure which shows a mode that each abnormality detection part detects abnormality of the output value of a main calculating part. 車両の運転状態に併せて上限閾値と下限閾値を変化させる例を示す。The example which changes an upper limit threshold value and a lower limit threshold value according to the driving | running state of a vehicle is shown. 実施の形態3における車載制御装置100の動作フローである。12 is an operation flow of the in-vehicle control device 100 according to the third embodiment. 主演算部と副演算部それぞれの処理の実行タイミングを示す図である。It is a figure which shows the execution timing of each process of a main calculating part and a sub calculating part. 実施の形態4における車載制御装置100の動作フローである。10 is an operation flow of the in-vehicle control device 100 according to the fourth embodiment.

<実施の形態1>
図1は、本発明の実施の形態1に係る車載制御装置100の機能ブロック図である。車載制御装置100は、車両の動作に関する制御、例えばエンジン制御や通信制御などを実行する装置である。 <Embodiment 1>
FIG. 1 is a functional block diagram of in-vehicle control apparatus 100 according to Embodiment 1 of the present invention. The in-vehicle control device 100 is a device that executes control related to vehicle operation, such as engine control and communication control.

車載制御装置100は、主演算部B111、主演算部C112、主演算部D113、副演算部B’121、副演算部C’122、副演算部D’123、不整合診断部BB’131、不整合診断部CC’132、不整合診断部DD’133を備える。ここでは主演算部が3段構成となっている例を示したが、主演算部および副演算部の段数は任意でよい。また、必ずしも全ての主演算部に対して副演算部を設ける必要はなく、特に重要な制御演算についてのみ設けてもよい。   The in-vehicle control device 100 includes a main calculation unit B111, a main calculation unit C112, a main calculation unit D113, a sub calculation unit B′121, a sub calculation unit C′122, a sub calculation unit D′ 123, an inconsistency diagnosis unit BB′131, A mismatch diagnostic unit CC′132 and a mismatch diagnostic unit DD′133 are provided. Here, an example in which the main calculation unit has a three-stage configuration is shown, but the number of stages of the main calculation unit and the sub calculation unit may be arbitrary. In addition, it is not always necessary to provide sub-operation units for all main operation units, and it may be provided only for particularly important control operations.

主演算部B111、主演算部C112、主演算部D113は、この順で直列的に接続されている。各主演算部は、車載制御装置100の制御対象に係る制御演算を実行する。主演算部B111はパラメータAを入力値として受け取り、以後の主演算部は前段の主演算部の出力値として受け取る。主演算部D113は、主演算部C112の出力値に加え、パラメータEを入力値として受け取る。主演算部D113は、最終出力値としてパラメータDを出力する。   The main calculation unit B111, the main calculation unit C112, and the main calculation unit D113 are connected in series in this order. Each main calculation unit executes a control calculation related to a control target of the in-vehicle control device 100. The main calculation unit B111 receives the parameter A as an input value, and the subsequent main calculation unit receives the output value of the preceding main calculation unit. The main calculation unit D113 receives the parameter E as an input value in addition to the output value of the main calculation unit C112. The main calculation unit D113 outputs the parameter D as the final output value.

副演算部B’121、副演算部C’122、副演算部D’123は、それぞれ対応する主演算部と同じ入力値を受け取り同じ制御演算を実行して主演算部の確認演算を行い、演算結果を対応する不整合診断部に出力する。ただし各副演算部は、対応する主演算部とは異なる手法で実装されている。例えば以下のような手法が考えられる。
(副演算部の実装手法その1)
主演算部と副演算部は、それぞれ異なる設計者が同じ制御処理について設計する。
(副演算部の実装手法その2)
主演算部と副演算部を、それぞれ異なる演算装置(マイコン、ROM:Read Only Memory)上に実装する。
(副演算部の実装手法その3)
主演算部と副演算部は、それぞれ異なるプログラム言語を用いて実装する。 The sub operation unit B′121, the sub operation unit C′122, and the sub operation unit D′ 123 receive the same input value as the corresponding main operation unit, execute the same control operation, and perform the confirmation operation of the main operation unit, The calculation result is output to the corresponding inconsistency diagnosis unit. However, each sub operation unit is implemented by a method different from the corresponding main operation unit. For example, the following methods can be considered.
(Implementation method for sub-operation part 1)
The main calculation unit and the sub calculation unit are designed for the same control process by different designers.
(Method for mounting sub-operation part 2)
The main calculation unit and the sub calculation unit are mounted on different calculation devices (microcomputer, ROM: Read Only Memory).
(Method for mounting sub-operation part 3)
The main operation unit and the sub operation unit are implemented using different programming languages.

不整合診断部BB’131、不整合診断部CC’132、不整合診断部DD’133は、それぞれ対応する主演算部と副演算部の演算結果を受け取り、両者が一致するか否かにより、主演算部に異常が発生しているか否かを診断する。両者の差分が0、または所定閾値未満で実質的に0とみなせる場合には、主演算部は正常動作しているものとみなす。両者の差分が所定閾値以上であれば、主演算部または副演算部のいずれかに異常が発生しているものとみなす。   The inconsistency diagnosis unit BB′131, the inconsistency diagnosis unit CC′132, and the inconsistency diagnosis unit DD′133 receive the calculation results of the corresponding main calculation unit and sub calculation unit, respectively, and whether or not they match, Diagnose whether an abnormality has occurred in the main arithmetic unit. If the difference between the two is 0, or is substantially less than a predetermined threshold and can be regarded as substantially 0, the main calculation unit is regarded as operating normally. If the difference between the two is equal to or greater than a predetermined threshold value, it is considered that an abnormality has occurred in either the main calculation unit or the sub calculation unit.

上述の各機能部は、これらの機能を実現する回路デバイスなどのハードウェアを用いて実現してもよいし、マイコンやCPU(Central Processing Unit)などの演算装置とその動作を規定するソフトウェアを用いて構成することもできる。また、複数の機能部を一体的に構成することもできる。例えば、主演算部B111と主演算部C112の機能を実装するプログラムを同一のメモリ装置上に格納してもよい。   Each functional unit described above may be realized by using hardware such as a circuit device that realizes these functions, or by using an arithmetic device such as a microcomputer or a CPU (Central Processing Unit) and software that defines the operation thereof. It can also be configured. In addition, a plurality of functional units can be integrally configured. For example, programs that implement the functions of the main calculation unit B111 and the main calculation unit C112 may be stored on the same memory device.

以上、本実施の形態1に係る車載制御装置100の構成を説明した。次に、副演算部の演算処理を低減する手法について説明する。   The configuration of the in-vehicle control device 100 according to Embodiment 1 has been described above. Next, a method for reducing the calculation processing of the sub calculation unit will be described.

副演算部は、主演算部が実行した制御演算が正しいか否かを確認するための確認演算を実行する。したがって、主演算部が実行した制御演算が確実に正しいとみなすことができれば、副演算部の確認演算を実行する必要はない。車載制御装置100は、このことを利用して演算負荷の低減を図る。下記図2を用いてその手順を説明する。   The sub-operation unit executes a confirmation operation for confirming whether the control operation performed by the main operation unit is correct. Therefore, if the control calculation executed by the main calculation unit can be regarded as correct, it is not necessary to execute the confirmation calculation of the sub calculation unit. The in-vehicle control device 100 uses this fact to reduce the calculation load. The procedure will be described with reference to FIG.

図2は、車載制御装置100の1サイクル分の動作フローである。以下、図2の各ステップについて説明する。   FIG. 2 is an operation flow for one cycle of the in-vehicle control device 100. Hereinafter, each step of FIG. 2 will be described.

(図2:ステップS201)
主演算部B111、主演算部C112、主演算部D113は、それぞれ規定の制御演算を実行する。 (FIG. 2: Step S201)
The main calculation unit B111, the main calculation unit C112, and the main calculation unit D113 each execute a prescribed control calculation.

(図2:ステップS202)
不整合診断部BB’131は、入力値A、出力値Bの前回値を適当なメモリなどに保持しておく。不整合診断部BB’131は、出力値Bとその前回値の差分が所定閾値以内に収まる場合は、主演算部B111が安定して動作しており、副演算部B’121の確認演算を行う必要がないと判断する。以後は後述のステップS203とS204をスキップしてステップS205へ進む。差分が所定閾値を超える場合は、ステップS203へ進む。なお、出力値Bとその前回値の差分が所定閾値以内に収まるか否かは、下記のいずれかにより判断することができる。 (FIG. 2: Step S202)
The inconsistency diagnosis unit BB′131 holds the previous values of the input value A and the output value B in an appropriate memory or the like. When the difference between the output value B and the previous value falls within a predetermined threshold value, the inconsistency diagnosis unit BB′131 operates stably with the main calculation unit B111, and performs the confirmation calculation of the sub calculation unit B′121. Determine that there is no need to do so. Thereafter, steps S203 and S204, which will be described later, are skipped and the process proceeds to step S205. If the difference exceeds the predetermined threshold, the process proceeds to step S203. Whether or not the difference between the output value B and the previous value falls within a predetermined threshold can be determined by any of the following.

(図2:ステップS202:判断手法その1)
不整合診断部BB’131は、出力値Bそのものを前回値と比較する。今回値と前回値の差分値が所定閾値以内である場合は、副演算部B’121の確認演算を行う必要がないものと判断する。 (FIG. 2: Step S202: Determination method 1)
The inconsistency diagnosis unit BB′131 compares the output value B itself with the previous value. When the difference value between the current value and the previous value is within a predetermined threshold value, it is determined that it is not necessary to perform the confirmation calculation of the sub calculation unit B′121.

(図2:ステップS202:判断手法その2)
不整合診断部BB’131は、入力値Aを前回値と比較する。入力値Aが前回値と近い値であれば、演算結果も前回値と近い値になると予想される。したがって不整合診断部BB’131は、入力値Aの今回値と前回値の差分値が所定閾値以内である場合は、副演算部B’121の確認演算を行う必要がないものと判断する。 (FIG. 2: Step S202: Determination method 2)
The inconsistency diagnosis unit BB′131 compares the input value A with the previous value. If the input value A is close to the previous value, the calculation result is expected to be close to the previous value. Therefore, if the difference value between the current value and the previous value of the input value A is within a predetermined threshold, the inconsistency diagnosis unit BB′131 determines that it is not necessary to perform the confirmation calculation of the sub-operation unit B′121.

(図2:ステップS202:判断手法その3)
不整合診断部BB’131は、入力値Aと出力値Bをともに前回値と比較する。いずれか一方のみが前回値とは異なり、かつ出力値Bの前回値からの差分値が所定範囲内に収まる場合、副演算部B’121の確認演算を行う必要がないものと判断する。双方の値が前回値とは異なる場合は、副演算部B’121の確認演算を行う必要があると判定する。 (FIG. 2: Step S202: Determination method 3)
The inconsistency diagnosis unit BB′131 compares both the input value A and the output value B with the previous value. When only one of them is different from the previous value and the difference value of the output value B from the previous value is within the predetermined range, it is determined that it is not necessary to perform the confirmation calculation of the sub-operation unit B′121. If both values are different from the previous value, it is determined that it is necessary to perform a confirmation operation of the sub-operation unit B′121.

(図2:ステップS202:判断手法その1〜その3共通)
出力値Bの前回値からの差分値が所定範囲内に収まらない場合は、副演算部B’121の確認演算を行う必要があるものと判断する。 (FIG. 2: Step S202: common judgment methods 1 to 3)
When the difference value from the previous value of the output value B does not fall within the predetermined range, it is determined that it is necessary to perform the confirmation calculation of the sub calculation unit B′121.

(図2:ステップS203)
副演算部B’121は、主演算部B111と同じ制御演算を実行し、演算結果を出力値B’として不整合診断部BB’131に出力する。 (FIG. 2: Step S203)
The sub calculation unit B′121 executes the same control calculation as the main calculation unit B111, and outputs the calculation result to the inconsistency diagnosis unit BB′131 as an output value B ′.

(図2:ステップS204)
不整合診断部BB’131は、主演算部B111の出力値Bと副演算部B’121の出力値B’が一致するか否か、または両者の差分が所定閾値未満であるか否かを判定する。両者が一致するかまたは差分が所定閾値未満である場合は、主演算部B111が正常動作しているものと判定し、ステップS205へ進む。両者が一致しないかまたは差分が所定閾値以上である場合は、ステップS211へ進む。 (FIG. 2: Step S204)
The inconsistency diagnosis unit BB′131 determines whether the output value B of the main calculation unit B111 matches the output value B ′ of the sub calculation unit B′121, or whether the difference between the two is less than a predetermined threshold. judge. If they match or the difference is less than the predetermined threshold value, it is determined that the main operation unit B111 is operating normally, and the process proceeds to step S205. If they do not match or the difference is greater than or equal to a predetermined threshold, the process proceeds to step S211.

(図2:ステップS205〜S207)
主演算部C112および副演算部C’122は、これらのステップをステップS202〜S204と同様に実行する。 (FIG. 2: Steps S205 to S207)
The main calculation unit C112 and the sub calculation unit C′122 execute these steps in the same manner as steps S202 to S204.

(図2:ステップS208〜S210)
主演算部D113および副演算部D’123は、これらのステップをステップS202〜S204と同様に実行する。ただしこれらの演算部には入力値が2つあるため、以下のいずれかのように処理する。 (FIG. 2: Steps S208 to S210)
The main calculation unit D113 and the sub calculation unit D′ 123 execute these steps in the same manner as steps S202 to S204. However, since these arithmetic units have two input values, processing is performed as follows.

(図2:ステップS208〜S210:処理例その1)
入力値Cまたは入力値Eの少なくともいずれか一方とその前回値の差分値が所定範囲内に収まらない場合、副演算部D’の確認演算を行う必要があると判定する。出力値DについてはステップS202〜S204と同様とする。 (FIG. 2: Steps S208 to S210: Processing Example 1)
When the difference value between at least one of the input value C and the input value E and the previous value thereof does not fall within the predetermined range, it is determined that the confirmation calculation of the sub calculation unit D ′ needs to be performed. The output value D is the same as steps S202 to S204.

(図2:ステップS208〜S210:処理例その2)
入力値Cまたは入力値Eの双方とそれぞれの前回値の差分値がともに所定範囲内に収まらない場合、副演算部D’の確認演算を行う必要があると判定する。いずれか一方のみの差分値が所定範囲内に収まらない場合は、副演算部D’の確認演算を行う必要はないと判定する。出力値DについてはステップS202〜S204と同様とする。 (FIG. 2: Steps S208 to S210: Processing example 2)
When the difference value between both the input value C or the input value E and the previous value does not fall within the predetermined range, it is determined that it is necessary to perform a confirmation operation of the sub-operation unit D ′. If only one of the difference values does not fall within the predetermined range, it is determined that it is not necessary to perform the confirmation calculation of the sub calculation unit D ′. The output value D is the same as steps S202 to S204.

(図2:ステップS211)
異常が発生していると判定された主演算部、または主演算部に代わる代替演算部は、異常が発生していると判定された機能ブロックの機能を縮退してフェールセーフモードでその機能を実行する。例えば、不整合診断部BB’131が主演算部B111に異常が発生していると判定した場合、主演算部B111はその機能を縮退して異常が発生しない範囲で機能を実行する。 (FIG. 2: Step S211)
The main arithmetic unit that is determined to be abnormal or an alternative arithmetic unit that replaces the main arithmetic unit degenerates the function of the function block that is determined to be abnormal and executes that function in fail-safe mode. To do. For example, if the inconsistency diagnosis unit BB′131 determines that an abnormality has occurred in the main calculation unit B111, the main calculation unit B111 performs the function within a range in which the function is degenerated and no abnormality occurs.

以上、車載制御装置100の1サイクル分の動作フローを説明した。車載制御装置100は、図2で説明した動作フローを、処理の内容に応じて、例えば数ms毎、数秒毎、などの単位で繰り返し実行する。   The operation flow for one cycle of the in-vehicle control device 100 has been described above. The in-vehicle control device 100 repeatedly executes the operation flow described with reference to FIG. 2 in units of, for example, every few ms, every few seconds, or the like according to the contents of the processing.

本実施の形態1において、主演算部の入力値および出力値が前回値から変化しているか否かを判定する閾値、および主演算部と副演算部の演算結果が一致しているか否かを判定する閾値は、各主演算部について同一としてもよいし、それぞれ異なる値としてもよい。また、前者の閾値と後者の閾値は、同じ値でもよいし異なる値でもよい。以下の実施形態でも同様である。   In the first embodiment, the threshold value for determining whether the input value and the output value of the main calculation unit have changed from the previous value, and whether the calculation results of the main calculation unit and the sub calculation unit match. The threshold value to be determined may be the same for each main calculation unit, or may be a different value. Further, the former threshold value and the latter threshold value may be the same value or different values. The same applies to the following embodiments.

以上のように、本実施の形態1に係る車載制御装置100は、主演算部の出力値が前回値と比較して所定範囲の差分以内に収まる場合は、副演算部の演算を実行しない。これにより、副演算部の演算負荷を低減しつつ、主演算部の信頼性を維持することができる。   As described above, the in-vehicle control device 100 according to the first embodiment does not execute the calculation of the sub calculation unit when the output value of the main calculation unit falls within a predetermined range of difference compared to the previous value. Thereby, it is possible to maintain the reliability of the main calculation unit while reducing the calculation load of the sub calculation unit.

また、本実施の形態1に係る車載制御装置100は、副演算部が確認演算を行う必要があるか否かを判定する際に、主演算部の入力値の前回値からの変化量が所定範囲内に収まるか否かを基準とすることができる。これにより、主演算部の制御演算が完了する前に判定を並行処理して完了することができる。   Further, when the in-vehicle control device 100 according to the first embodiment determines whether or not the sub-operation unit needs to perform a confirmation operation, the amount of change from the previous value of the input value of the main operation unit is predetermined. It can be based on whether or not it falls within the range. Thereby, determination can be processed in parallel and completed before the control calculation of the main calculation unit is completed.

また、本実施の形態1に係る車載制御装置100は、副演算部が確認演算を行う必要があるか否かを判定する際に、主演算部の入力値と出力値の双方の変化量が前回値から所定範囲内に収まるか否かを基準とすることができる。これにより、出力値の変化量が所定範囲内に収まるか否かのみを基準とする場合よりも、より厳密な判定を行うことができる。例えば、入力値が前回値から大幅に変化しているが、主演算部の異常動作により演算結果が偶然前回値と同じ値になる可能性がある。出力値のみチェックしていると、このような異常動作を検出することが難しくなる。入力値と出力値を双方チェックすることにより、このようなチェック漏れを防ぐことができる。   Further, when the in-vehicle control device 100 according to the first embodiment determines whether or not the sub-operation unit needs to perform a confirmation operation, the amount of change in both the input value and the output value of the main operation unit is It can be based on whether or not it falls within a predetermined range from the previous value. As a result, it is possible to perform a stricter determination than in the case where only the change amount of the output value falls within the predetermined range. For example, although the input value has changed significantly from the previous value, there is a possibility that the calculation result accidentally becomes the same value as the previous value due to an abnormal operation of the main calculation unit. If only the output value is checked, it is difficult to detect such an abnormal operation. Such a check omission can be prevented by checking both the input value and the output value.

<実施の形態2>
実施の形態1では、副演算部の処理を行うか否かを、主演算部毎に判定する例を説明した。一方、複数の主演算部の制御演算が密接に関連しているような場合には、これらの主演算はまとめて1つの制御演算を実行するとみなすことができる。したがって、副演算部の処理を行うか否かも、一体的に判定することができる。本発明の実施の形態2では、その1動作例を説明する。 <Embodiment 2>
In Embodiment 1, the example which determines whether the process of a sub calculating part is performed for every main calculating part was demonstrated. On the other hand, when the control calculations of a plurality of main calculation units are closely related, these main calculations can be regarded as executing one control calculation collectively. Therefore, whether or not to perform the processing of the sub-operation unit can also be determined integrally. In the second embodiment of the present invention, one example of the operation will be described.

図3は、本実施の形態2における車載制御装置100の動作フローである。ここでは主演算部B111と主演算部C112が密接に関連しており、両者をまとめて1つの制御演算とみなすことができる場合の例を示した。以下、図3の各ステップについて説明する。   FIG. 3 is an operation flow of the in-vehicle control apparatus 100 according to the second embodiment. Here, an example in which the main calculation unit B111 and the main calculation unit C112 are closely related and can be regarded as one control calculation together is shown. Hereinafter, each step of FIG. 3 will be described.

(図3:ステップS301)
本ステップは、図2のステップS201と同様である。 (FIG. 3: Step S301)
This step is the same as step S201 in FIG.

(図3:ステップS302)
不整合診断部CC’132は、出力値Cとその前回値の差分が所定閾値以内に収まる場合は、主演算部B111および主演算部C112が安定して動作しており、副演算部B’121および副演算部C’122の確認演算を行う必要がないと判断する。以後は、ステップS303〜S306をスキップし、出力値Dの変化をチェックするステップ(ステップS307)へ進む。 (FIG. 3: Step S302)
When the difference between the output value C and the previous value falls within a predetermined threshold, the inconsistency diagnosis unit CC′132 operates stably with the main calculation unit B111 and the main calculation unit C112, and the sub calculation unit B ′. It is determined that it is not necessary to perform the confirmation calculation of 121 and the sub calculation unit C′122. Thereafter, steps S303 to S306 are skipped, and the process proceeds to a step (step S307) for checking a change in the output value D.

(図3:ステップS303〜S306)
これらのステップは、図2のステップS203〜S204、S206〜S207と同様である。 (FIG. 3: Steps S303 to S306)
These steps are the same as steps S203 to S204 and S206 to S207 in FIG.

(図3:ステップS307〜S310)
これらのステップは、図2のステップS208〜S211と同様である。 (FIG. 3: Steps S307 to S310)
These steps are the same as steps S208 to S211 in FIG.

以上、本実施の形態2における車載制御装置100の1サイクル分の動作フローを説明した。図3では、主演算部B111と主演算部C112を一体的に取り扱う例を説明したが、連続する2以上の主演算部の制御演算が密接に関連している場合は、その他の主演算部の組み合わせについても同様に取り扱うことができる。   The operation flow for one cycle of the in-vehicle control device 100 according to the second embodiment has been described above. In FIG. 3, the example in which the main calculation unit B111 and the main calculation unit C112 are integrally handled has been described. However, when the control calculations of two or more consecutive main calculation units are closely related, the other main calculation units This combination can also be handled in the same manner.

以上のように、本実施の形態2によれば、連続する2以上の主演算部の制御演算が密接に関連している場合は、副演算部の処理を実行するか否かの判定をまとめて行うことができる。これにより、実施の形態1と同様の効果に加え、出力値Cの変化量をチェックするステップ(図2のステップS205)を省略して演算負荷をさらに低減することができる。   As described above, according to the second embodiment, when the control calculations of two or more consecutive main calculation units are closely related, the determination as to whether or not to execute the process of the sub calculation unit is summarized. Can be done. Thereby, in addition to the same effects as those of the first embodiment, the calculation load can be further reduced by omitting the step of checking the change amount of the output value C (step S205 in FIG. 2).

また、本実施の形態2によれば、図2のステップS202に相当する処理を省略し、出力値Cの変化量のみをチェックするのみで足りるので、その分の演算負荷を低減することができる。   Further, according to the second embodiment, the processing corresponding to step S202 in FIG. 2 is omitted, and it is only necessary to check the amount of change in the output value C. Therefore, the calculation load can be reduced accordingly. .

<実施の形態3>
以上の実施の形態1〜2において、主演算部と副演算部の演算結果が一致していても、主演算部の出力値が異常である場合もある。例えば、主演算部の演算自体は正常に行われたとしても、車両の外部環境などからの影響により、本来出力されるべきでない出力値が出力される、などの場合が考えられる。 <Embodiment 3>
In the first and second embodiments described above, even if the calculation results of the main calculation unit and the sub calculation unit match, the output value of the main calculation unit may be abnormal. For example, even if the calculation of the main calculation unit is normally performed, an output value that should not be output may be output due to the influence of the external environment of the vehicle.

そこで、本発明の実施の形態3では、実施の形態1〜2で説明した手法に加え、各主演算部の出力値の異常を、副演算部の演算結果と合致するか否か以外の観点で検出する手法を説明する。   Therefore, in the third embodiment of the present invention, in addition to the method described in the first and second embodiments, a viewpoint other than whether or not the abnormality of the output value of each main arithmetic unit matches the arithmetic result of the sub arithmetic unit. The method to detect is demonstrated.

図4は、本実施の形態3に係る車両制御装置100の機能ブロック図である。実施の形態1〜2の構成に加え、新たに異常検出部B141、異常検出部C142、異常検出部D143を備える。異常検出部B141は主演算部B111に、異常検出部C142は主演算部C112に、異常検出部D143は主演算部D113に、それぞれ対応する。   FIG. 4 is a functional block diagram of the vehicle control apparatus 100 according to the third embodiment. In addition to the configurations of the first and second embodiments, an abnormality detection unit B141, an abnormality detection unit C142, and an abnormality detection unit D143 are newly provided. The abnormality detection unit B141 corresponds to the main calculation unit B111, the abnormality detection unit C142 corresponds to the main calculation unit C112, and the abnormality detection unit D143 corresponds to the main calculation unit D113.

各異常検出部は、対応する主演算部の出力値を受け取り、後述の図5〜図6で説明する手法を用いて、副演算部とは別の観点から異常検出処理を行う。副演算部とは別に異常検出を行うのは、上述の通り副演算部では検出できない異常を検出するためである。   Each abnormality detection unit receives the output value of the corresponding main calculation unit, and performs an abnormality detection process from a viewpoint different from that of the sub calculation unit, using the method described in FIGS. The reason why abnormality detection is performed separately from the sub-operation unit is to detect an abnormality that cannot be detected by the sub-operation unit as described above.

異常検出部B141、異常検出部C142、異常検出部D143は、これらの機能を実現する回路デバイスなどのハードウェアを用いて実現してもよいし、マイコンやCPUなどの演算装置とその動作を規定するソフトウェアを用いて構成することもできる。また、いずれか複数を他の機能部と一体的に構成することもできる。   The abnormality detection unit B141, the abnormality detection unit C142, and the abnormality detection unit D143 may be realized by using hardware such as a circuit device that realizes these functions, or defines an arithmetic device such as a microcomputer or a CPU and its operation. It can also be configured using software. Moreover, any one of them can be configured integrally with other functional units.

図5は、各異常検出部が主演算部の出力値の異常を検出する様子を示す図である。主演算部の演算結果は、車両が運転動作を開始した以後、運転状態が例えば「加速中」「定速運転」「減速中」「停止状態」などのように変化するにともない、経時変化する。図5の「出力値」は、主演算部の出力値の経時変化を示す。   FIG. 5 is a diagram illustrating how each abnormality detection unit detects an abnormality in the output value of the main calculation unit. The calculation result of the main calculation unit changes with time as the driving state changes to, for example, “accelerating”, “constant speed driving”, “decelerating”, “stopping state”, etc. after the vehicle starts driving operation. . “Output value” in FIG. 5 indicates a change with time of the output value of the main calculation unit.

実際の車両では、主演算部の出力値として通常はあり得ない値範囲が存在する。例えば、エンジン温度が許容範囲を超えて上昇した場合は、明らかに何らかの異常が発生していると考えられる。そこで異常検出部は、主演算部の出力値の上限閾値または下限閾値の少なくともいずれか一方を設定し、主演算部の出力値がこれらの範囲外に達したときは、主演算部に異常が発生しているものとみなす。以下、図5の各区間について説明する。   In an actual vehicle, there is a value range that is not normally possible as an output value of the main calculation unit. For example, when the engine temperature rises beyond the allowable range, it is apparent that some abnormality has occurred. Therefore, the abnormality detection unit sets at least one of the upper limit threshold and the lower limit threshold of the output value of the main calculation unit, and when the output value of the main calculation unit reaches outside these ranges, there is an abnormality in the main calculation unit. It is considered to have occurred. Hereinafter, each section in FIG. 5 will be described.

(図5:(1)出力値変化)
図5の区間(1)では、主演算部の出力値が上限閾値と下限閾値の範囲内にあるので、異常検出部は主演算部が正常に動作しているものとみなす。一方、主演算部の出力値は大きく経時変化しているので、副演算部および不整合診断部の処理は必要である。主演算部と副演算部の演算結果が一致しない場合、フェールセーフ処理が実行される。 (Figure 5: (1) Change in output value)
In section (1) of FIG. 5, the output value of the main calculation unit is within the range between the upper limit threshold and the lower limit threshold, so the abnormality detection unit considers that the main calculation unit is operating normally. On the other hand, since the output value of the main arithmetic unit greatly changes with time, the processing of the sub arithmetic unit and the inconsistency diagnosis unit is necessary. When the calculation results of the main calculation unit and the sub calculation unit do not match, fail-safe processing is executed.

(図5:(2)出力値固定)
図5の区間(2)では、主演算部の出力値が上限閾値と下限閾値の範囲内にあるので、異常検出部は主演算部が正常に動作しているものとみなす。一方、主演算部の出力値は略一定であるため、主演算部は安定して動作しているものとみなされ、副演算部の処理は必要ない。フェールセーフ処理も同様に必要ない。 (Figure 5: (2) Output value fixed)
In the section (2) in FIG. 5, the output value of the main calculation unit is within the range between the upper limit threshold and the lower limit threshold, so the abnormality detection unit considers that the main calculation unit is operating normally. On the other hand, since the output value of the main operation unit is substantially constant, the main operation unit is regarded as operating stably, and the processing of the sub operation unit is not necessary. Similarly, fail-safe processing is not necessary.

(図5:(3)出力値範囲外)
図5の区間(3)では、主演算部の出力値が上限閾値を超えているため、異常検出部は主演算部に異常が発生しているものとみなす。この場合、副演算部の処理は実行する必要はない。不整合診断部は、診断結果がNGであると判定する。また、フェールセーフ処理が実行される。 (Figure 5: (3) Out of output value range)
In section (3) in FIG. 5, the output value of the main calculation unit exceeds the upper limit threshold value, so the abnormality detection unit considers that an abnormality has occurred in the main calculation unit. In this case, it is not necessary to execute the processing of the sub-operation unit. The inconsistency diagnosis unit determines that the diagnosis result is NG. Further, fail-safe processing is executed.

図6は、車両の運転状態に併せて上限閾値と下限閾値を変化させる例を示す。図5では車両の運転状態の変化によらず上限閾値と下限閾値を一定としたが、実際の車両では運転状態によって主演算部の出力値が取り得る範囲が変化する。そこで図6では、運転状態の変化に併せて上限閾値と下限閾値を変化させることとした。   FIG. 6 shows an example in which the upper and lower thresholds are changed in accordance with the driving state of the vehicle. In FIG. 5, the upper limit threshold and the lower limit threshold are fixed regardless of the change in the driving state of the vehicle. However, in an actual vehicle, the range that the output value of the main calculation unit can take varies depending on the driving state. Therefore, in FIG. 6, the upper threshold and the lower threshold are changed in accordance with the change in the driving state.

図6の場合、異常検出部は、対応する主演算部の出力値に加えて、車両の運転状態を入力として受け取る。異常検出部は、受け取った運転状態に合わせて上限閾値と下限閾値の少なくともいずれかを変化させる。その他の処理は図5と同様である。異常検出部は、図5または図6いずれの手法を用いることもできる。   In the case of FIG. 6, the abnormality detection unit receives the driving state of the vehicle as an input in addition to the output value of the corresponding main calculation unit. The abnormality detection unit changes at least one of the upper threshold and the lower threshold in accordance with the received operating state. Other processes are the same as those in FIG. The abnormality detection unit can use any of the methods shown in FIGS.

図5〜図6で説明した上限閾値および下限閾値、さらには運転状態との対応関係については、例えばあらかじめこれらの値および対応関係を適当なメモリ装置などに格納しておき、これを適宜参照するようにすればよい。   For the correspondence between the upper threshold and the lower threshold described with reference to FIGS. 5 to 6 and the operation state, for example, these values and the correspondence are stored in advance in an appropriate memory device and the like is referred to as appropriate. What should I do?

図7は、本実施の形態3における車載制御装置100の動作フローである。以下、図7の各ステップについて説明する。   FIG. 7 is an operation flow of the in-vehicle control device 100 according to the third embodiment. Hereinafter, each step of FIG. 7 will be described.

(図7:ステップS701)
主演算部B111は、入力値Aを用いて制御演算を実行し、出力値Bを出力する。 (FIG. 7: Step S701)
The main calculation unit B111 executes a control calculation using the input value A and outputs an output value B.

(図7:ステップS702)
異常検出部B141は、出力値Bが図4〜図5で説明した上限閾値と下限閾値の間にあるか否かを判定する。必要に応じて車両の運転状態をあらかじめ受け取っておく。出力値Bが上限閾値と下限閾値の間にあればステップS703へ進み、間になければステップS708へ進む。 (FIG. 7: Step S702)
The abnormality detection unit B141 determines whether or not the output value B is between the upper limit threshold and the lower limit threshold described with reference to FIGS. If necessary, the driving state of the vehicle is received in advance. If the output value B is between the upper threshold and the lower threshold, the process proceeds to step S703, and if not, the process proceeds to step S708.

(図7:ステップS703〜S706)
主演算部C112、異常検出部C142、主演算部D113、異常検出部D143は、ステップS701〜S702と同様の処理を実行する。 (FIG. 7: Steps S703 to S706)
The main calculation unit C112, the abnormality detection unit C142, the main calculation unit D113, and the abnormality detection unit D143 perform the same processing as steps S701 to S702.

(図7:ステップS707)
以後の処理は、図2のステップS202以降、または図3のステップS302以降と同様である。 (FIG. 7: Step S707)
The subsequent processing is the same as that after step S202 in FIG. 2 or after step S302 in FIG.

(図7:ステップS708)
本ステップは、図2のステップS211と同様である。 (FIG. 7: Step S708)
This step is the same as step S211 in FIG.

以上、本実施の形態3における車載制御装置100の1サイクル分の動作フローを説明した。図4では、主演算部ごとに異常検出部を設けた例を示したが、必ずしも全ての主演算部に異常検出部を設ける必要はない。   The operation flow for one cycle of the in-vehicle control device 100 according to the third embodiment has been described above. Although FIG. 4 shows an example in which an abnormality detection unit is provided for each main calculation unit, it is not always necessary to provide an abnormality detection unit for all main calculation units.

以上のように、本実施の形態3によれば、主演算部の出力値が異常であるにも関わらず主演算部と副演算部の演算結果が一致している場合でも、異常検出部は主演算部の出力値が上限閾値と下限閾値の間にあるか否かにより異常検出する。すなわち、副演算部の演算結果によらず主演算部の異常を検出することができる。これにより、主演算部に発生する異常の検出精度を向上させることができる。   As described above, according to the third embodiment, even when the output value of the main operation unit is abnormal, even when the operation results of the main operation unit and the sub operation unit match, the abnormality detection unit An abnormality is detected based on whether or not the output value of the main arithmetic unit is between the upper threshold and the lower threshold. That is, it is possible to detect an abnormality in the main calculation unit regardless of the calculation result of the sub calculation unit. Thereby, the detection precision of the abnormality which generate | occur | produces in the main calculating part can be improved.

また、本実施の形態3において、異常検出部は、車両の運転状態に応じて主演算部の異常動作判定を行うための上限閾値と下限閾値を変更することができる。これにより、運転状態毎に最適化した異常検出処理を実行することができる。   Further, in the third embodiment, the abnormality detection unit can change the upper and lower thresholds for performing the abnormal operation determination of the main calculation unit according to the driving state of the vehicle. Thereby, the abnormality detection process optimized for every driving | running state can be performed.

<実施の形態4>
実施の形態1〜3では、主演算部の入力値または出力値が略一定であれば、副演算部および不整合診断部の処理を実行しないことを説明した。しかし、副演算部および不整合診断部の処理を実行しない間に、これら各部の機能が正常動作しなくなっている可能性がある。例えば、各部の機能を実現するプログラムを格納したメモリ装置の故障、各部が演算過程で使用するメモリ装置上のデータ異常、などが考えられる。 <Embodiment 4>
In the first to third embodiments, it has been described that if the input value or the output value of the main calculation unit is substantially constant, the processing of the sub calculation unit and the inconsistency diagnosis unit is not executed. However, there is a possibility that the functions of these units do not operate normally while the processes of the sub-operation unit and the inconsistency diagnosis unit are not executed. For example, a failure of a memory device that stores a program that realizes the function of each unit, a data abnormality on the memory device that each unit uses in the calculation process, and the like can be considered.

そこで本発明の実施の形態4では、主演算部の入力値と出力値によらず、例えば所定間隔毎に副演算部の処理を実行し、上記のような状況を回避する動作例を説明する。その他の構成は、実施の形態1〜3いずれかと同様であるため、以下では差異点を中心に説明する。   Therefore, in the fourth embodiment of the present invention, an example of an operation that avoids the above situation by executing the processing of the sub-operation unit at predetermined intervals, for example, regardless of the input value and output value of the main operation unit will be described. . Since the other configuration is the same as that of any one of the first to third embodiments, the difference will be mainly described below.

図8は、主演算部と副演算部それぞれの処理の実行タイミングを示す図である。図8における演算タイミングとは、主演算部B111〜主演算部D113までの一連の制御演算を開始するタイミングのことであり、図2、図3、図7のいずれかに示した動作フロー1回分の処理を開始するタイミングに相当する。   FIG. 8 is a diagram illustrating execution timings of the processes of the main calculation unit and the sub calculation unit. The calculation timing in FIG. 8 is a timing at which a series of control calculations from the main calculation unit B111 to the main calculation unit D113 is started, and corresponds to one operation flow shown in any of FIGS. This corresponds to the timing of starting the process.

図8において、全ての主演算部は演算タイミング毎に必ず制御演算を実行するが、副演算部については、演算タイミング毎にいずれか1の副演算部のみが確認演算を実行する。次の演算タイミングでは別の副演算部が確認演算を実行し、一巡すれば最初の順番に戻って同様に繰り返す。図8に示す演算タイミングによれば、副演算部の確認演算は3回の演算タイミング毎に必ず実行されることになる。   In FIG. 8, all the main arithmetic units always execute the control arithmetic at each arithmetic timing, but only one of the sub arithmetic units executes the confirmation arithmetic at each arithmetic timing. At the next calculation timing, another sub-operation unit executes the confirmation calculation, and once complete, returns to the first order and repeats the same. According to the calculation timing shown in FIG. 8, the confirmation calculation of the sub calculation unit is always executed every three calculation timings.

図9は、本実施の形態4における車載制御装置100の動作フローである。以下、図9の各ステップについて説明する。   FIG. 9 is an operation flow of the in-vehicle control device 100 according to the fourth embodiment. Hereinafter, each step of FIG. 9 will be described.

(図9:ステップS901)
本ステップは、図2のステップS202以降、または図3のステップS302以降と同様である。 (FIG. 9: Step S901)
This step is the same as that after step S202 in FIG. 2 or after step S302 in FIG.

(図9:ステップS902)
副演算部B’121は、CNTの値と、ステップS901において副演算部B’121の確認演算を実行したか否かを確認する。CNT=0かつ副演算部B’121の確認演算を未実施であればステップS903へ進み、それ以外であればステップS905へ進む。 (FIG. 9: Step S902)
The sub calculation unit B′121 checks the value of CNT and whether or not the confirmation calculation of the sub calculation unit B′121 has been executed in step S901. If CNT = 0 and the confirmation calculation of the sub calculation unit B′121 has not been performed, the process proceeds to step S903, and otherwise, the process proceeds to step S905.

(図9:ステップS902:補足)
実施の形態1で説明したように、主演算部の入力値または出力値が略一定であれば、副演算部B’121の確認演算は省略される。そのため、ステップS901において必ずしも副演算部B’121の処理は実行されるわけではない。本ステップは、そのような状態が長く続かないようにチェックする意義がある。ただし図8で説明したように、副演算部の処理を実行する順番を巡回させるため、巡回カウンタCNTの値も併せてチェックし、副演算部B’121の順番でなければ確認演算は行わない。 (FIG. 9: Step S902: Supplement)
As described in the first embodiment, if the input value or output value of the main calculation unit is substantially constant, the confirmation calculation of the sub calculation unit B′121 is omitted. Therefore, the process of the sub operation unit B ′ 121 is not necessarily executed in step S901. This step is meaningful to check that such a state does not last for a long time. However, as described with reference to FIG. 8, in order to cycle the order in which the processing of the sub-operation unit is executed, the value of the cyclic counter CNT is also checked. .

(図9:ステップS903)
副演算部B’121は、主演算部B111の確認演算を実行する。 (FIG. 9: Step S903)
The sub calculation unit B′121 executes the confirmation calculation of the main calculation unit B111.

(図9:ステップS904)
不整合診断部BB’131は、主演算部B111の演算結果と副演算部B’121の演算結果を比較する。両者が一致すればステップS912へ進み、一致しなければステップS911へ進む。 (FIG. 9: Step S904)
The inconsistency diagnosis unit BB′131 compares the calculation result of the main calculation unit B111 with the calculation result of the sub calculation unit B′121. If they match, the process proceeds to step S912, and if not, the process proceeds to step S911.

(図9:ステップS905〜S907)
これらのステップでは、副演算部C’122と不整合診断部CC’132は、ステップS902〜S904と同様の処理を実行する。 (FIG. 9: Steps S905 to S907)
In these steps, the sub-operation unit C′122 and the inconsistency diagnosis unit CC′132 perform the same processing as steps S902 to S904.

(図9:ステップS908〜S910)
これらのステップでは、副演算部D’123と不整合診断部DD’133は、ステップS902〜S904と同様の処理を実行する。 (FIG. 9: Steps S908 to S910)
In these steps, the sub-operation unit D′ 123 and the inconsistency diagnosis unit DD′133 perform the same processing as steps S902 to S904.

(図9:ステップS911)
本ステップは、図2のステップS211と同様である。
(図9:ステップS912)
直前に確認演算を実行した副演算部は、巡回カウンタCNTの値を1増やし、3の剰余を取る。これにより、CNTの値は0〜2の間で1ずつ増加しながら巡回する。 (FIG. 9: Step S911)
This step is the same as step S211 in FIG.
(FIG. 9: Step S912)
The sub-operation unit that executed the confirmation operation immediately before increases the value of the cyclic counter CNT by 1 and takes the remainder of 3. As a result, the value of CNT cycles while increasing by 1 between 0 and 2.

以上、本実施の形態4における車載制御装置100の1サイクル分の動作フローを説明した。   The operation flow for one cycle of the in-vehicle control device 100 according to the fourth embodiment has been described above.

図9で説明した動作フローでは、実施の形態1〜3と比較して副演算部および不整合診断部の処理回数が増加するため、演算負荷は増加することになる。したがって、車載制御装置100に求められる信頼性と演算性能のバランスを取り、いずれの手法を用いるか適宜選択することが望ましい。   In the operation flow described with reference to FIG. 9, the number of processing times of the sub-operation unit and the inconsistency diagnosis unit is increased as compared with the first to third embodiments, so that the calculation load increases. Therefore, it is desirable to appropriately select which method is used by balancing the reliability required for the in-vehicle control device 100 and the calculation performance.

あるいは、例えば副演算部B’121と副演算部C’122についてのみ図8のように巡回実行して副演算部D’123については実施の形態1〜3のように実行するなど、各実施形態の手法を適宜組み合わせることもできる。   Alternatively, for example, only the sub-operation unit B′121 and the sub-operation unit C′122 are cyclically executed as shown in FIG. 8 and the sub-operation unit D′ 123 is executed as in the first to third embodiments. It is also possible to appropriately combine the methods of the forms.

なお、本実施の形態4では、副演算部の演算タイミングを巡回させる例を説明したが、必ずしも規則的に巡回させなくともよい。例えば確認演算を実行させる副演算部をランダムに選択する、などの手法が考えられる。ただし、副演算部の動作確認を行う観点では、少なくとも所定周期ごとに各副演算部の確認演算が必ず実行されるようにしておくことが望ましい。   In the fourth embodiment, the example in which the operation timing of the sub-operation unit is circulated has been described. However, it is not always necessary to circulate regularly. For example, a method of randomly selecting a sub-operation unit that executes a confirmation operation is conceivable. However, from the viewpoint of confirming the operation of the sub-operation unit, it is desirable that the confirmation operation of each sub-operation unit is always executed at least every predetermined period.

以上のように、本実施の形態4に係る車載制御装置100は、副演算部の確認演算を所定演算タイミング間隔で強制的に実行する。これにより、副演算部の処理が実行されない間に故障などが発生して発見が遅れる事態を防ぎ、車載制御装置100の信頼性を向上させることができる。   As described above, the in-vehicle control device 100 according to the fourth embodiment forcibly executes the confirmation calculation of the sub calculation unit at predetermined calculation timing intervals. As a result, it is possible to prevent a situation in which a failure or the like occurs and the discovery is delayed while the processing of the sub-operation unit is not executed, and improve the reliability of the in-vehicle control device 100.

<実施の形態5>
以上の実施の形態1〜4において、車載制御装置100は、いずれかの主演算部に故障などの異常が発生した際にその旨を報知する報知部を備えることもできる。例えば、異常が発生した旨を通知する信号を車載制御装置100の上位装置や上位アプリケーションに対して出力する、車載制御装置100自身が報知音を出力する、などの具体的構成が考えられる。また、いずれの主演算部が故障したかなど、より詳細なエラー情報を報知部が提供するようにしてもよい。 <Embodiment 5>
In the above-described first to fourth embodiments, the in-vehicle control device 100 can also include a notification unit that notifies that when an abnormality such as a failure occurs in any of the main calculation units. For example, a specific configuration is conceivable in which a signal notifying that an abnormality has occurred is output to a host device or a host application of the vehicle-mounted control device 100, or the vehicle-mounted control device 100 itself outputs a notification sound. Further, the notification unit may provide more detailed error information such as which main arithmetic unit has failed.

さらに、その報知を受け取った車両側において、例えば運転席の非常ランプを点灯させるなどして、運転者に異常発生の旨を報知するようにしてもよい。   Furthermore, on the vehicle side that has received the notification, the driver may be notified of the occurrence of an abnormality, for example, by turning on an emergency lamp in the driver's seat.

100:車載制御装置、111:主演算部B、112:主演算部C、113:主演算部D、121:副演算部B’、122:副演算部C’、123:副演算部D’、131:不整合診断部BB’、 132:不整合診断部CC’、 133:不整合診断部DD’、141:異常検出部B、142:異常検出部C、143:異常検出部D。   100: In-vehicle control device, 111: Main operation unit B, 112: Main operation unit C, 113: Main operation unit D, 121: Sub operation unit B ′, 122: Sub operation unit C ′, 123: Sub operation unit D ′ 131: Inconsistency diagnostic unit BB ′, 132: Inconsistency diagnostic unit CC ′, 133: Inconsistency diagnostic unit DD ′, 141: Abnormality detection unit B, 142: Abnormality detection unit C, 143: Abnormality detection unit D

Claims (8)

車両の動作に関する制御演算を実行する主演算部と、
前記主演算部の動作を確認する確認演算を実行する副演算部と、
前記副演算部の確認演算の結果に基づき前記主演算部に異常が発生しているか否かを診断する診断部と、
を備え、
前記診断部は、
前記主演算部への入力値の前回値からの変化量または前記主演算部からの出力値の前回値からの変化量が所定範囲内にあるか否かに基づき、前記副演算部が確認演算を実行する必要があるか否かを判定する
ことを特徴とする車載制御装置。 A main calculation unit that executes a control calculation related to the operation of the vehicle;
A sub-operation unit that executes a confirmation operation for confirming the operation of the main operation unit;
A diagnosis unit for diagnosing whether or not an abnormality has occurred in the main calculation unit based on a result of the confirmation calculation of the sub calculation unit;
With
The diagnostic unit
Based on whether the amount of change from the previous value of the input value to the main operation unit or the amount of change from the previous value of the output value from the main operation unit is within a predetermined range, the sub operation unit performs a confirmation operation. It is determined whether or not it is necessary to execute the vehicle-mounted control device. 前記診断部は、
前記主演算部への入力値または前記主演算部からの出力値のうち少なくともいずれかを前回値と比較し、
前記出力値の前回値からの変化量が所定範囲内に収まる場合は、前記副演算部は確認演算を実行する必要はないと判定し、
前記出力値の前回値からの変化量が前記所定範囲内に収まらない場合は、前記副演算部は確認演算を実行する必要があると判定する
ことを特徴とする請求項1記載の車載制御装置。 The diagnostic unit
Compare at least one of the input value to the main calculation unit or the output value from the main calculation unit with the previous value,
When the amount of change from the previous value of the output value falls within a predetermined range, the sub-operation unit determines that it is not necessary to perform a confirmation operation,
The in-vehicle control device according to claim 1, wherein when the amount of change of the output value from the previous value does not fall within the predetermined range, the sub-operation unit determines that it is necessary to execute a confirmation operation. . 前記診断部は、
前記主演算部が前記出力値を出力する毎にその前回値と比較し、
前記出力値の前回値からの変化量が所定範囲内に収まる場合は、前記副演算部は確認演算を実行する必要はないと判定し、
前記出力値の前回値からの変化量が前記所定範囲内に収まらない場合は、前記副演算部は確認演算を実行する必要があると判定する
ことを特徴とする請求項1または請求項2記載の車載制御装置。 The diagnostic unit
Each time the main computation unit outputs the output value, it compares it with its previous value,
When the amount of change from the previous value of the output value falls within a predetermined range, the sub-operation unit determines that it is not necessary to perform a confirmation operation,
3. The sub-operation unit determines that it is necessary to perform a confirmation operation when the amount of change from the previous value of the output value does not fall within the predetermined range. In-vehicle control device. 前記診断部は、
前記主演算部への入力値と前記主演算部からの出力値の双方を前回値と比較し、
いずれか片方のみが前回値とは異なり、かつ前記出力値の前回値からの変化量が所定範囲内に収まる場合は、前記副演算部は確認演算を実行する必要はないと判定し、
前記出力値の前回値からの変化量が前記所定範囲内に収まらない場合は、前記副演算部は確認演算を実行する必要があると判定し、
双方の値が前回値とは異なる場合は、前記副演算部は確認演算を実行する必要があると判定する
ことを特徴とする請求項1から請求項3のいずれか1項に記載の車載制御装置。 The diagnostic unit
Compare both the input value to the main calculation unit and the output value from the main calculation unit with the previous value,
When only one of them is different from the previous value and the amount of change from the previous value of the output value is within a predetermined range, the sub-operation unit determines that it is not necessary to perform a confirmation operation,
When the amount of change from the previous value of the output value does not fall within the predetermined range, the sub-operation unit determines that it is necessary to perform a confirmation operation,
The in-vehicle control according to any one of claims 1 to 3, wherein when both values are different from a previous value, the sub-operation unit determines that a confirmation operation needs to be executed. apparatus. 前記主演算部の出力値異常を検出する異常検出部を備え、
前記異常検出部は、
前記主演算部からの出力値が正常であるか否かを判定する閾値を前記車両の運転状態毎に設定し、
前記車両の運転状態とその運転状態に対応する前記閾値に基づき、前記主演算部に異常が発生しているか否かを検出する
ことを特徴とする請求項1から請求項4のいずれか1項に記載の車載制御装置。 An abnormality detection unit for detecting an output value abnormality of the main arithmetic unit,
The abnormality detection unit
A threshold for determining whether or not the output value from the main calculation unit is normal is set for each driving state of the vehicle,
5. The apparatus according to claim 1, wherein whether or not an abnormality has occurred in the main calculation unit is detected based on the driving state of the vehicle and the threshold value corresponding to the driving state. The vehicle-mounted control apparatus as described in. 前記異常検出部は、
前記主演算部からの出力値が前記車両のいかなる運転状態においても発生し得ない値となったとき前記主演算部に異常が発生しているものと判定する
ことを特徴とする請求項1から請求項5のいずれか1項に記載の車載制御装置。 The abnormality detection unit
2. It is determined that an abnormality has occurred in the main calculation unit when an output value from the main calculation unit becomes a value that cannot be generated in any driving state of the vehicle. The vehicle-mounted control apparatus of any one of Claim 5. 前記副演算部は、
前記主演算部への入力値の前回値からの変化量または前記主演算部からの出力値の前回値からの変化量が所定範囲内にあるか否かによらず、少なくとも所定サイクル毎に必ず前記確認演算を実行する
ことを特徴とする請求項1から請求項6のいずれか1項に記載の車載制御装置。 The sub-operation unit is
Regardless of whether the amount of change from the previous value of the input value to the main arithmetic unit or the amount of change from the previous value of the output value from the main arithmetic unit is within a predetermined range, be sure to at least every predetermined cycle. The in-vehicle control device according to any one of claims 1 to 6, wherein the confirmation calculation is executed. 前記主演算部に異常が発生している旨を報知する報知部を備えたことを特徴とする請求項1から請求項7のいずれか1項に記載の車載制御装置。   The in-vehicle control device according to any one of claims 1 to 7, further comprising a notification unit that notifies that an abnormality has occurred in the main calculation unit.
JP2009284144A 2009-12-15 2009-12-15 In-vehicle control device Expired - Fee Related JP5226653B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009284144A JP5226653B2 (en) 2009-12-15 2009-12-15 In-vehicle control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009284144A JP5226653B2 (en) 2009-12-15 2009-12-15 In-vehicle control device

Publications (2)

Publication Number Publication Date
JP2011126327A JP2011126327A (en) 2011-06-30
JP5226653B2 true JP5226653B2 (en) 2013-07-03

Family

ID=44289416

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009284144A Expired - Fee Related JP5226653B2 (en) 2009-12-15 2009-12-15 In-vehicle control device

Country Status (1)

Country Link
JP (1) JP5226653B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9416870B2 (en) 2011-10-19 2016-08-16 Toyota Jidosha Kabushiki Kaisha Vehicle control apparatus
JP5598499B2 (en) * 2012-06-15 2014-10-01 株式会社デンソー Battery monitoring device
JP5983588B2 (en) * 2013-12-10 2016-08-31 株式会社デンソー Abnormality judgment device for vehicle microcomputer

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS575518A (en) * 1980-06-11 1982-01-12 Toyota Motor Corp Trouble checking device for car electronics
JPH01216057A (en) * 1988-02-20 1989-08-30 Enomoto Shokai:Kk Car equipped with engine rotation control circuit
JPH04261396A (en) * 1991-02-14 1992-09-17 Nippondenso Co Ltd Abnormality monitor for step motor
JPH0750020B2 (en) * 1992-10-28 1995-05-31 富士通テン株式会社 Electronic control unit
JP2001063492A (en) * 1999-08-27 2001-03-13 Nec Corp Electronic control device for vehicle safety control device
JP4296888B2 (en) * 2003-09-18 2009-07-15 アイシン精機株式会社 Electronic control unit
JP4839711B2 (en) * 2005-07-21 2011-12-21 日産自動車株式会社 Fault diagnosis device for current sensor

Also Published As

Publication number Publication date
JP2011126327A (en) 2011-06-30

Similar Documents

Publication Publication Date Title
JP6599054B2 (en) Abnormality determination device, abnormality determination method, and abnormality determination program
CN112004730B (en) vehicle control device
US9058419B2 (en) System and method for verifying the integrity of a safety-critical vehicle control system
US9606849B2 (en) Watchdog apparatus and control method thereof
WO2017022476A1 (en) Vehicle control device
US20140351658A1 (en) Redundant computing architecture
JP2015108944A (en) Vehicular electronic controller
JP5226653B2 (en) In-vehicle control device
EP2482149B1 (en) Electronic control unit
CN108146250B (en) Automobile torque safety control method based on multi-core CPU
JP2006259935A (en) Computation device with computation abnormality determination function
JP2013065220A (en) Information processor
JP2016126692A (en) Electronic control device
JP5978873B2 (en) Electronic control unit
WO2018116400A1 (en) Control device, and processing method in event of failure in control device
JP6332134B2 (en) Memory diagnostic circuit
US10514970B2 (en) Method of ensuring operation of calculator
JP6075262B2 (en) Control device
JP5559100B2 (en) Electronic control system
WO2015136844A1 (en) Electronic control unit
JP6094387B2 (en) Control device
JP2012068788A (en) Information processing device and failure detection method
JP6766612B2 (en) In-vehicle fault diagnosis device
JP2016189118A (en) Electronic control apparatus
US20240140448A1 (en) Electronic Control Device, On-Vehicle Control System, and Redundant Function Control Method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130305

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130314

R150 Certificate of patent or registration of utility model

Ref document number: 5226653

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160322

Year of fee payment: 3

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees