CN110088735B - 控制装置以及控制装置的故障时处理方法 - Google Patents

控制装置以及控制装置的故障时处理方法 Download PDF

Info

Publication number
CN110088735B
CN110088735B CN201680091553.XA CN201680091553A CN110088735B CN 110088735 B CN110088735 B CN 110088735B CN 201680091553 A CN201680091553 A CN 201680091553A CN 110088735 B CN110088735 B CN 110088735B
Authority
CN
China
Prior art keywords
phenomenon
error
control device
diagnosis
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201680091553.XA
Other languages
English (en)
Other versions
CN110088735A (zh
Inventor
东山知彦
川上大介
森田知宏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of CN110088735A publication Critical patent/CN110088735A/zh
Application granted granted Critical
Publication of CN110088735B publication Critical patent/CN110088735B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • G06F11/10Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1443Transmit or communication errors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3058Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

得到在错误检测时也使适用的系统的动作尽可能不停止而能够通过功能退化等继续动作,并且能够确定成为错误的原因的现象的控制装置。故障诊断部计算在成为错误的原因的现象的确定中能够花费的可诊断时间,并且关于由错误检测部检测的各错误,根据作为成为该错误的原因的各现象发生的概率的事后概率、为了确定为各现象是错误的原因而所需的诊断时间、以及可诊断时间,确定成为错误的原因的现象。

Description

控制装置以及控制装置的故障时处理方法
技术领域
本发明涉及设置有错误检测功能的控制装置以及该控制装置的故障时处理方法。
背景技术
在要求可靠性的控制装置中,一般设置有检测控制装置内的故障、异常的错误检测功能。此外,关于成为错误的原因的现象,考虑多个,所以未必能够通过错误检测功能确定成为原因的现象。
因此,有针对检测出的错误,使用例如作为故障分析手法的FTA(故障树解析:Fault Tree Analysis)列举可能成为原因的基本现象,从基本现象中解析成为错误的原因的现象的方法。
在此,已知应用该方法,根据依据事先的观察数据计算出的作为各现象发生的概率的事先概率和作为某个现象使检测到的错误发生的概率的似然度值,通过贝叶斯法计算成为原因的现象的事后概率,按照事后概率从高到低的顺序进行用于究明原因的诊断的设备诊断装置(参照例如专利文献1)。
现有技术文献
专利文献
专利文献1:日本特开平4-84222号公报
发明内容
然而,在专利文献1记载的设备诊断装置中,未考虑成为原因的现象的确定所需的时间,所以需要在使适用该装置的系统停止的状态下进行诊断。因此,存在无法将专利文献1记载的设备诊断装置适用于在错误检测时也要求通过退化动作等继续动作的系统这样的问题。
本发明是为了解决如上述的课题而完成的,其目的在于得到一种在错误检测时也使适用的系统的动作尽可能不停止而能够通过功能退化等继续动作并且能够确定成为错误的原因的现象的控制装置以及控制装置的故障时处理方法。
本发明涉及的控制装置,具备:错误检测部,检测在控制装置内发生的错误;以及故障诊断部,确定成为由错误检测部检测出的错误的原因的现象,故障诊断部计算在成为错误的原因的现象的确定中能够花费的可诊断时间,并且关于由错误检测部检测的各错误,根据作为成为该错误的原因的各现象发生的概率的事后概率、为了确定为各现象是错误的原因而所需的诊断时间、以及可诊断时间,确定成为错误的原因的现象。
另外,本发明涉及的控制装置的故障时处理方法,由控制装置执行,该控制装置具备:错误检测部,检测在控制装置内发生的错误;以及故障诊断部,确定成为由错误检测部检测出的错误的原因的现象,所述控制装置的故障时处理方法包括:由故障诊断部计算在成为错误的原因的现象的确定中能够花费的可诊断时间的步骤;以及由故障诊断部关于由错误检测部检测的各错误,根据作为成为该错误的原因的各现象发生的概率的事后概率、为了确定为各现象是错误的原因而所需的诊断时间、以及可诊断时间,确定成为错误的原因的现象的步骤。
根据本发明所涉及的控制装置以及控制装置的故障时处理方法,故障诊断部计算在成为错误的原因的现象的确定中能够花费的可诊断时间,并且关于由错误检测部检测的各错误,根据作为成为该错误的原因的各现象发生的概率的事后概率、为了确定为各现象是错误的原因而所需的诊断时间、以及可诊断时间,确定成为错误的原因的现象。
因此,在错误检测时也使适用的系统的动作尽可能不停止而能够通过功能退化等继续动作并且能够确定成为错误的原因的现象。
附图说明
图1是示出本发明的实施方式1所涉及的控制装置的块结构图。
图2是示出本发明的实施方式1所涉及的控制装置的硬件结构图。
图3是示出将本发明的实施方式1所涉及的控制装置适用于汽车的自动驾驶系统用控制器的状态的结构图。
图4是示出本发明的实施方式1所涉及的控制装置的故障诊断微型机中的ROM中保存的表的说明图。
图5是示出本发明的实施方式1所涉及的控制装置的事后故障概率表的说明图。
图6是示出本发明的实施方式1所涉及的控制装置的诊断时间表的说明图。
图7是示出本发明的实施方式1所涉及的控制装置的动作模式判定表的说明图。
图8是示出本发明的实施方式1所涉及的控制装置的运算部中的处理的流程图。
图9是示出本发明的实施方式1所涉及的控制装置的故障诊断部中的处理的流程图。
图10是示出本发明的实施方式1所涉及的控制装置中的可诊断时间的说明图。
图11是示出本发明的实施方式2所涉及的控制装置的故障诊断微型机中的ROM中保存的表的说明图。
图12是示出本发明的实施方式2所涉及的控制装置的事先故障概率表的说明图。
图13是示出本发明的实施方式2所涉及的控制装置的似然度值表的说明图。
图14是示出本发明的实施方式2所涉及的控制装置的故障诊断部中的处理的流程图。
图15是示出本发明的实施方式3所涉及的控制装置的故障诊断部中的处理的流程图。
图16是示出本发明的实施方式4所涉及的控制装置的故障诊断部中的处理的流程图。
图17是示出本发明的实施方式5所涉及的控制装置的动作模式判定表的说明图。
图18是示出本发明的实施方式5所涉及的控制装置的故障诊断部中的处理的流程图。
(符号说明)
1:控制装置;11:运算部;12:故障诊断部;13:错误检测部。
具体实施方式
以下,使用附图说明本发明所涉及的控制装置以及控制装置的故障时处理方法的优选的实施方式,但在各图中对同一或者相当的部分附加同一符号而说明。
实施方式1.
图1是示出本发明的实施方式1所涉及的控制装置的块结构图。在图1中,控制装置1具备:运算部11,进行作为控制装置1的主功能的控制运算;故障诊断部12,确定成为错误的原因的现象;以及错误检测部13,检测在控制装置1内发生的错误。
错误检测部13在检测到在控制装置1内发生的错误时,对故障诊断部12通知错误。故障诊断部12在确定成为错误的原因的现象后,将与该现象对应的接下来的动作模式通知给运算部11。
图2是示出本发明的实施方式1所涉及的控制装置的硬件结构图。在图2中,控制装置1具备控制运算微型机20和故障诊断微型机30。控制运算微型机20设想进行作为控制装置1的主功能的控制运算的微型机,故障诊断微型机30设想在错误检测时确定成为原因的现象的微型机。以下,还有时将硬件记载为H/W。
控制运算微型机20具有CPU21、ROM22、错误检测器23、RAM24、CAN(ControllerArea Network,控制器局域网)控制器25以及预备CAN控制器26。错误检测器23是检测在微型机内发生的错误的模块。故障诊断微型机30具有CPU31、ROM32以及RAM33。控制运算微型机20和故障诊断微型机30用总线桥40相互连接。
另外,控制装置1在控制运算微型机20之外具备CAN收发器50以及预备CAN收发器60,经由CAN收发器50以及预备CAN收发器60与CAN网络连接。即,在通常时,通过CAN控制器25以及CAN收发器50进行CAN通信,在这些装置故障的情况下,通过预备CAN控制器26以及预备CAN收发器60进行CAN通信。
在此,图1所示的运算部11与从控制运算微型机20去掉错误检测器23的部分和CAN收发器50以及预备CAN收发器60相当。另外,图1所示的故障诊断部12与故障诊断微型机30相当。另外,图1所示的错误检测部13与错误检测器23相当。
此外,控制运算微型机20和故障诊断微型机30相互独立,被设计成即使在控制运算微型机20中发生了错误的情况下,故障诊断微型机30也不会受到影响而能够动作。另外,故障诊断微型机30也可以安装为FPGA(Field Programmable Gate Array,现场可编程门阵列)。
图3是示出将本发明的实施方式1所涉及的控制装置适用于汽车的自动驾驶系统用控制器的状态的结构图。在图3中,被连接车辆导航系统2、GPS(Global PositioningSystem,全球定位系统)3、传感器4这样的与车外连接的装置的网络和被连接EPS ECU(Electric Power Steering Engine Control Unit,电动助力转向发动机控制单元)5、刹车ECU6这样的车内的控制ECU的网络用车载网关7相互连接。
在此,控制装置1与后者的网络连接,接受GPS3、传感器4的信息,运算EPS ECU5、刹车ECU6的控制指令值,输出到各ECU。但是,本发明的实施方式1所涉及的控制装置不限定于向自动驾驶系统用控制器的适用,能够适用于各种系统。
图4是示出本发明的实施方式1所涉及的控制装置的故障诊断微型机中的ROM中保存的表的说明图。在图4中,ROM32具有事后故障概率表321、诊断时间表322以及动作模式判定表323。
图5是示出本发明的实施方式1所涉及的控制装置的事后故障概率表的说明图。在图5中,事后故障概率表321是表示可能成为错误的原因的现象和可能发生的错误的矩阵表。
在此,应登记到现象字段的现象限于是否发生该现象对系统的接下来的动作的选择造成影响的例子。另外,应登记到现象字段的现象可以是故障模式单位,也可以是硬件模块单位,还可以是某个功能模块单位。
例如,在发生了CAN的通信CRC(循环冗余校验:Cyclic Redundancy Check)错误的情况下,作为成为原因的现象,在硬件模块单位中,考虑通信路、CAN控制器、CAN收发器、保存发送接收数据的存储器等的故障。
其中,关于通信路以及存储器,根据故障模式,接下来的动作变化。即,关于通信路,在由于临时的噪声而故障的情况下,通过数据重发而通信恢复的可能性高,但在断线的情况下,需要将CAN通信功能断开来进行退化动作。
另外,关于存储器,如果是放射线所致的位反转,则通过写入正确的值能够恢复通信,但如果是如位的固定、耦合故障那样的硬件的故障,则使用该RAM区域的通信的恢复困难,所以考虑数据保存地址的变更、如果组成冗余系统则考虑向待机系统的转移等。
另一方面,在上述硬件模块中的CAN控制器以及CAN收发器的故障的情况下,CAN通信的恢复困难,所以需要将CAN通信功能断开来进行退化动作。
以上,在上述例子中,关于与通信路、存储器有关的现象,在现象字段中登记故障模式,关于与CAN收发器、CAN控制器有关的现象,在现象字段中预先登记为CAN硬件模块故障。
另外,在事后故障概率表321的各要素中,将在检测到错误这样的条件下各现象发生的条件概率保存为事后概率。以下,说明事后概率的求出方法。首先,成为检测到错误Ei的情况的原因的现象Mj的事后概率P(Mj|Ei)通过贝叶斯法用下式(1)表示。
[式1]
Figure GDA0002092575180000071
在式(1)中,P(Mj)是现象Mj发生的事先概率,P(Ei|Mj)是在检测到错误Ei的情况下现象Mj发生的概率、即似然度值。另外,P(Ei)用下式(2)表示。
[式2]
P(Ei)=∑P(Mj)·P(Ei|Mj)    (2)
这关于成为错误的原因的所有现象共通。在本发明的实施方式1中,以对成为错误的原因的现象的事后概率进行比较评价为目的,所以用下式(3)表示事后概率P(Mj|Ei)。
[式3]
P(Mj|Ei)~P(Mj)·P(Ei|Mj)   (3)
在此,事先概率P(Mj)是该现象发生的次数相对所有现象的发生次数的比例。另外,在事先概率的计算方法中,例如,也可以将从硬件供应商等提供的故障率作为各现象的发生率,求出为该现象的发生率相对各现象的发生率的总和的比例。另外,作为其他例子,也可以根据过去的同一产品、同一部件的故障次数数据,求出为相对所有现象的发生次数的合计的该现象的发生次数。
另外,似然度值P(Ei|Mj)可以在理论上求出,也可以根据事先的观察数据求出。关于在理论上求出的方法,例如,关于与存储器的软错误对应的通信CRC错误的似然度值P(Ei|Mj),考虑用相对存储器的容量的通信缓冲器尺寸计算的方法。
另外,关于根据事先的观察数据求出的方法,例如,考虑模拟位反转而注入故障,使系统工作来求出被检测错误的概率的方法。以上是现象的事后概率的求出方法,在事后故障概率表321中,预先保存用式(3)求出的各现象的事后概率。
图6是示出本发明的实施方式1所涉及的控制装置的诊断时间表的说明图。在图6中,诊断时间表322在字段中具有成为错误的原因的现象和用于确定为各现象是错误的原因的诊断时间。
关于诊断时间的求出方法,例如如果是RAM的软错误,则考虑对发生了错误的地址的位写入特定的值,再次读出值并根据能否读出与写入的值相同的值来诊断的方法。在此,也可以在诊断时间中包括在诊断的结果能够确定为该现象是错误的原因的情况下,直至迁移到之后的动作模式所需的时间。
例如,在设为在发生了CAN硬件模块故障的情况下迁移到由预备的CAN硬件模块进行控制处理的动作模式的系统时,直至实施必要的硬件的初始化、向其他装置的通知等,跳转到保存有预备CAN硬件模块控制处理程序的地址的时间相当于直至迁移到之后的动作模式所需的时间。
图7是示出本发明的实施方式1所涉及的控制装置的动作模式判定表的说明图。在图7中,动作模式判定表323在字段中具有动作模式和与动作模式对应的现象。在本发明的实施方式1中,在确定了成为错误的原因的现象之后,迁移到与该现象对应的动作模式。
但是,存在在作为系统能够容许的功能停止时间的功能停止容许时间内无法诊断所有现象的可能性,所以有时无法确定成为错误的原因的现象。因此,在动作模式判定表323中,为了防备该情况,作为无法确定成为错误的原因的现象时的动作模式,预先具有向预先定义的安全状态的转移。
在图7中,例示预先组成冗余系统,在无法确定成为错误的原因的现象的情况下转移到待机系统。该例子设想在故障时也一定要求继续动作的自动驾驶系统用控制器,登记在无法确定成为错误的原因的现象的情况下,转移到待机系统而短暂继续控制装置1的动作,在该期间发出用于对驾驶员移交驾驶动作权限的超控要求这样的动作模式。
在该情况下,待机系统应被设计成充分高可靠、并且不论发生其他哪个现象即故障都不会受到其影响即不会引起从属故障。但是,在发生重大的故障时容许停止动作的情况下,也可以在动作模式判定表中定义在无法确定成为错误的原因的现象时停止动作这样的紧急停止模式。
图8是示出本发明的实施方式1所涉及的控制装置的运算部中的处理的流程图。图8的处理设想由运算部11周期性地起动,但也可以以事件为契机开始动作。
在图8中,在运算部11起动后,首先,运算部11判定是否从故障诊断部12有动作模式的迁移通知(步骤S101)。
在步骤S101中,判定为无迁移通知(即“否”)的情况下,运算部11以与上次起动时相同的动作模式进行运算处理(步骤S102),结束图8的处理。
另一方面,在步骤S101中,判定为有迁移通知(即“是”)的情况下,运算部11模式迁移到指定的动作模式(步骤S103),以迁移后的动作模式进行运算处理(步骤S104),结束图8的处理。
图9是示出本发明的实施方式1所涉及的控制装置的故障诊断部中的处理的流程图。图9的处理在错误检测部13检测到错误时由故障诊断部12起动。
在图9中,在故障诊断部12起动后,首先,故障诊断部12计算可诊断时间(步骤S201)。在此,可诊断时间是从S201的时间点的时刻至系统陷入到危险状态的时间。此外,可诊断时间根据系统的规格各种各样。
例如,在作为主功能的运算部11的控制处理是周期处理的情况下,也可以将从当前时刻至接下来的截止期限的时间作为可诊断时间。图10例示该情况的可诊断时间。
在图10中,运算部11在正常动作时,周期性地起动而输出控制值。另外,运算部11在错误检测时,如后所述通过由故障诊断部12决定的接下来的动作模式输出控制值。
此时,在将当前时刻设为t1、将接下来的截止期限的时刻设为t2、将接下来的动作模式下的每1周期的处理时间设为Δt时,可诊断时间用下式表示。
[式4]
t2-t1-Δt
在该情况下,需要预先定义各动作模式的每1周期的处理时间Δt,例如,预先追加为动作模式判定表323的字段。但是,可诊断时间无需一定等于控制周期。
即,在发生了运算部11的跳周期、即无输出时,通过采用上次值等,能够容许几次的运算部11的跳周期的系统中,考虑容许的跳周期次数来设定可诊断时间。另外,在组成冗余系统,在1个系统中检测到错误时,能够在其他系统中动作一定时间的系统中,与控制周期无关地根据系统的规格设定可诊断时间。
返回到图9,故障诊断部12根据保存于事后故障概率表321的各现象的事后概率、在步骤S201中求出的可诊断时间以及保存于诊断时间表322的各现象的诊断时间,决定作为诊断对象的现象的组(步骤S202)。
具体而言,故障诊断部12将诊断时间的合计收敛于可诊断时间的现象的组合中的现象的事后概率的总和最高的组合,决定为作为诊断对象的现象的组。
接下来,故障诊断部12在决定作为诊断对象的现象的组之后,在该组中按照现象的事后概率从高到低的顺序进行诊断(步骤S203、S204、S205)。
即,故障诊断部12首先判定是否已诊断所有现象(步骤S203)。
在步骤S203中,判定为未诊断所有现象(即“否”)的情况下,故障诊断部12诊断未诊断的现象中的事后概率最高的现象(步骤S204),判定是否已确定成为原因的现象(步骤S205)。
在步骤S205中,判定为未确定成为原因的现象(即“否”)的情况下,转移到步骤S203,故障诊断部12再次判定是否已诊断所有现象。
另一方面,在步骤S203中判定为已诊断所有现象(即“是”)的情况或者在步骤S205中判定为已确定成为原因的现象(即“是”)的情况下,故障诊断部12参照动作模式判定表323,决定接下来的动作模式(步骤S206)。
即,故障诊断部12在诊断了所有现象的结果,无法确定成为错误的原因的现象的情况下,依照动作模式判定表323选择无法确定现象时的动作模式。
接下来,故障诊断部12针对运算部11通知转移到选择出的动作模式(步骤S207),结束图9的处理。
在总结这些处理时,在接受在错误检测时检测到的错误,求出成为原因的每个现象的事后概率之后,求出作为系统能够容许的功能停止时间的功能停止容许时间。另一方面,预先求出针对各现象的诊断时间。
之后,根据诊断时间,选择现象的诊断所需的时间收敛于功能停止容许时间内的现象的组中的事后概率的总和最高的组。另外,从选择出的组中,按照事后概率从高到低的顺序进行故障诊断。
这样,通过将能够在可诊断时间内诊断的现象的组合中的事后概率的总和成为最大的组合设为作为诊断对象的现象的组,在现象的组中按照事后概率从高到低的顺序进行诊断,能够在可诊断时间内诊断成为错误的原因的现象。
由此,在发生错误时使系统的动作尽可能不停止,而能够确定成为错误的原因的现象,选择与该现象对应的动作模式,能够继续系统的动作。
在此,作为在故障时也继续动作的方法,有利用多路复用的途径。在大规模工厂管理系统等中,有通过例如进行同一运算的3重系系统的多数决定来判断故障系统,仅在正常的系统中继续动作的方式等。
另一方面,在自动驾驶系统用控制器、FA(Factory Automation,工厂自动化)用控制器等控制装置中,成本、空间的制约严格,未必能够实现多重系统的结构。
本发明的实施方式1所涉及的控制装置1通过确定成为错误的原因的现象,选择与该现象对应的动作模式,能够尽可能在单一系统中继续动作。因此,是在成本、空间的制约严格的控制装置中特别有效的单元。
另外,通过将作为诊断对象的现象仅作为对接下来的动作模式的选择造成影响的现象,在可诊断时间内能够诊断的现象增加,作为结果还具有继续动作可能性增加这样的效果。
此外,相比于服务器系系统、信息系系统,认为自动驾驶系统用控制器、FA用控制器等控制系系统的时间的制约更严格,可诊断时间也更短。因此,在时间的制约严格的系统中,本发明的实施方式1所涉及的控制装置1的、在可诊断时间内能够诊断的现象增加这样的效果特别有效。
如以上所述,根据实施方式1,故障诊断部计算在成为错误的原因的现象的确定中能够花费的可诊断时间,并且关于由错误检测部检测的各错误,根据作为成为该错误的原因的各现象发生的概率的事后概率、为了确定为各现象是错误的原因而所需的诊断时间、以及可诊断时间,确定成为错误的原因的现象。
因此,在错误检测时也使适用的系统的动作尽可能不停止而能够通过功能退化等继续动作,并且能够确定成为错误的原因的现象。
实施方式2.
在上述实施方式1中,在系统动作之前预先求出与各现象有关的各错误的事后概率。但是,设想可能同时检测多个错误的情况,故障诊断部12也可以设为在错误检测时求出事后概率的结构。
图11是示出本发明的实施方式2所涉及的控制装置的故障诊断微型机中的ROM中保存的表的说明图。在图11中,ROM32A的结构与上述实施方式1所示的图4中的ROM32的结构在以下的点中不同。
即,在图11中,在本发明的实施方式2所涉及的ROM32A中,代替图4所示的实施方式1所涉及的ROM32的事后故障概率表321,而设置有事先故障概率表324以及似然度值表325。另外,图11所示的其他构成要素与上述实施方式1相同,所以省略说明。
图12是示出本发明的实施方式2所涉及的控制装置的事先故障概率表的说明图。在图12中,事先故障概率表324在字段中具有可能成为错误的原因的现象和作为各现象发生的概率的事先概率。此外,各现象的事先概率的求出方法与上述实施方式1的方法相同。
图13是示出本发明的实施方式2所涉及的控制装置的似然度值表的说明图。在图13中,似然度值表325是表示检测的错误和成为错误的原因的现象的矩阵表。此外,各似然度值的求出方法与上述实施方式1的方法相同。
图14是示出本发明的实施方式2所涉及的控制装置的故障诊断部中的处理的流程图。在图14中,故障诊断部12的处理与上述实施方式1所示的图9中的处理在以下的点中不同。
即,在图14中,在故障诊断部12起动后,首先,故障诊断部12计算每个现象的事后概率(步骤S301)。
在本发明的实施方式2中,如上所述,设想可能同时检测多个错误的情况。在此,在将检测出的所有错误的集合设为E时,能够通过贝叶斯法用下式(4)表示成为检测到单一的错误Ei的情况的原因的现象Mj的事后概率P(Mj|Ei)。
[式5]
P(Mj|Ei)~P(Mj)·P(Ei|Mj)   (4)
上述实施方式1的式(1)中的贝叶斯法的分母的项由于与在实施方式1中叙述的理由同样的理由而可省略。另外,根据式(4),用下式(5)表示成为检测到错误E的情况的原因的现象Mj的事后概率P(Mj|E)。
[式6]
P(Mj|E)=P(Mj|E1)·P(Mj|E2)…P(Mj|En)   (5)
此外,在图14中,步骤S301以外的处理与上述实施方式1所述的处理相同,所以省略说明。
如以上所述,根据实施方式2,通过在错误检测之后计算成为错误的原因的现象的事后概率,即使在同时检测到多个错误的情况下,也能够求出以检测到所有错误为条件的现象的事后概率。
实施方式3.
在上述实施方式1中,如图9所示,在步骤S202中,故障诊断部12决定了作为诊断对象的现象的组。在此,在决定作为诊断对象的现象的组的处理中花费时间的情况下,也可以不进行该步骤,故障诊断部12按照针对现象的每个诊断,判定在进行了接下来的诊断时是否超过可诊断时间。
图15是示出本发明的实施方式3所涉及的控制装置的故障诊断部中的处理的流程图。在图15中,故障诊断部12的处理与上述实施方式1所示的图9中的处理在以下的点中不同。
即,在图15中,故障诊断部12在计算出可诊断时间之后(步骤S201),不决定作为诊断对象的现象的组(图9的步骤S202),按照现象的事后概率从高到低的顺序进行诊断(步骤S203、S204、S205)。
但是,故障诊断部12在开始各现象的诊断之前,判定在进行针对接下来的现象的诊断时是否超过可诊断时间(步骤S401)。
在步骤S401中,判定为在进行针对接下来的现象的诊断时超过可诊断时间(即“是”)的情况下,故障诊断部12选择无法确定现象时的动作模式(步骤S206)。
此外,在图15中,其他处理与上述实施方式1所述的处理相同,所以省略说明。
如以上所述,根据实施方式3,通过按照针对现象的每个诊断,判定在进行了接下来的诊断时是否超过可诊断时间,能够省略决定作为诊断对象的现象的组的处理。
实施方式4.
在上述实施方式1中,如图9所示,在步骤S202中,故障诊断部12决定了作为诊断对象的现象的组。在此,故障诊断部12也可以按照诊断时间的倒数的期望值的顺序进行诊断。
图16是示出本发明的实施方式4所涉及的控制装置的故障诊断部中的处理的流程图。在图16中,故障诊断部12的处理与其他实施方式所述的处理在以下的点中不同。
即,在图16中,故障诊断部12在计算出可诊断时间之后(步骤S201),计算成为错误的原因的各现象中的诊断时间的倒数的期望值(步骤S501)。
在此,诊断时间的倒数的期望值是保存于诊断时间表322的各现象的诊断时间的倒数与保存于事后故障概率表321的各现象的事后概率之积。另外,诊断时间的倒数的期望值也可以预先计算并保存到ROM32。
接下来,故障诊断部12在开始各现象的诊断之前,判定在进行针对接下来的现象的诊断时是否超过可诊断时间(步骤S401),在未超过的情况下,从未诊断的现象中的诊断时间的倒数的期望值最高的现象起依次进行诊断(步骤S502)。
此外,在图16中,其他处理与上述实施方式1~3所述的处理相同,所以省略说明。
如以上所述,根据实施方式4,通过按照诊断时间的倒数的期望值的顺序进行诊断,能够最优先缩短诊断所需的时间而进行诊断。
即,在上述实施方式1~3中,以使在可诊断时间内能够确定现象的概率成为最大为主要着眼点。其适合于如果是可诊断时间内,则诊断所需的时间的大小不对系统的价值造成影响这样的系统。
另一方面,在本发明的实施方式4中,并非一定能够使在可诊断时间内能够确定现象的概率成为最大,但能够使直至确定现象所需的时间的期望值成为最小。本发明的实施方式4在如软实时系统那样随着直至完成处理的时间而系统的价值逐渐降低的系统中有效。
实施方式5.
在上述实施方式1中,如图9所示,在步骤S202中,故障诊断部12决定了作为诊断对象的现象的组。在此,也可以对动作模式附加功能水平,故障诊断部12按照功能水平的期望值的顺序进行诊断。
图17是示出本发明的实施方式5所涉及的控制装置的动作模式判定表的说明图。在图17中,动作模式判定表323A除了图7所示的实施方式1所涉及的动作模式判定表323以外,还具有功能水平字段。该例子表示在功能水平的值高时是更高功能。
图18是示出本发明的实施方式5所涉及的控制装置的故障诊断部中的处理的流程图。在图18中,故障诊断部12的处理与其他实施方式所述的处理在以下的点中不同。
即,在图18中,故障诊断部12在计算出可诊断时间之后(步骤S201),计算功能水平的期望值(步骤S601)。
在此,功能水平的期望值是动作模式判定表323A中的功能水平与保存于事后故障概率表321的各现象的事后概率之积。另外,功能水平的期望值也可以预先计算并保存到ROM32。
接下来,故障诊断部12在开始各现象的诊断之前,判定在进行针对接下来的现象的诊断时是否超过可诊断时间(步骤S401),在未超过的情况下,从未诊断的现象中的功能水平的期望值最高的现象起依次进行诊断(步骤S602)。
此外,在图18中,其他处理与上述实施方式1~3所述的处理相同,所以省略说明。
如以上所述,根据实施方式5,通过按照功能水平的期望值的顺序进行诊断,能够提高迁移到高功能的动作模式的可能性。

Claims (10)

1.一种控制装置,具备:
故障诊断部,确定成为检测出的错误的原因的现象,
所述故障诊断部计算在成为所述错误的原因的现象的确定中能够花费的可诊断时间,并且,关于检测的各错误,根据作为成为该错误的原因的各现象发生的概率的事后概率、为了确定为各所述现象是所述该错误的原因而所需的诊断时间、以及所述可诊断时间,以作为诊断对象的各现象各自的所述诊断时间的合计不超过所述可诊断时间的方式,确定成为所述错误的原因的所述现象。
2.根据权利要求1所述的控制装置,其中,
所述故障诊断部从成为所述错误的原因的所述现象的组合中的所述诊断时间的合计收敛于所述可诊断时间的组合中,将所述事后概率的总和最高的组合设为作为诊断对象的现象的组,在所述组中按照所述事后概率从高到低的顺序进行诊断。
3.根据权利要求1所述的控制装置,其中,
所述故障诊断部按照所述事后概率从高到低的顺序进行诊断,在开始各所述现象的诊断之前,判定在进行针对接下来的现象的诊断时是否超过所述可诊断时间,在超过的情况下结束诊断。
4.根据权利要求3所述的控制装置,其中,
所述故障诊断部根据所述诊断时间与所述事后概率之积,计算所述诊断时间的倒数的期望值,按照所述诊断时间的倒数的期望值从高到低的顺序进行诊断。
5.根据权利要求3所述的控制装置,其中,
所述故障诊断部根据功能水平与所述事后概率之积,计算所述功能水平的期望值,按照所述功能水平的期望值从高到低的顺序进行诊断,所述功能水平表示与和成为所述错误的原因的现象对应的运算部的接下来的动作模式相关的功能的高低。
6.根据权利要求1至5中的任意一项所述的控制装置,其中,
还具备运算部,该运算部进行作为所述控制装置的主功能的控制运算,并且根据来自所述故障诊断部的通知迁移动作模式,
所述故障诊断部存储成为所述错误的原因的所述现象被确定出的情况下以及成为所述错误的原因的现象未被确定出的情况下的所述运算部中的接下来的动作模式,根据诊断结果选择所述运算部的动作模式并通知给所述运算部。
7.根据权利要求6所述的控制装置,其中,
所述故障诊断部仅将成为所述错误的原因的现象对所述运算部中的接下来的动作模式造成影响的部分作为诊断的对象。
8.根据权利要求1至5中的任意一项所述的控制装置,其中,
所述故障诊断部预先存储所述事后概率,在检测到错误的情况下,调出存储的所述事后概率来确定成为所述错误的原因的现象。
9.根据权利要求1至5中的任意一项所述的控制装置,其中,
所述故障诊断部在同时检测到多个错误的情况下,在发生多个所述错误之后,计算成为针对多个所述错误的集合的原因的每个现象的事后概率。
10.一种控制装置的故障时处理方法,由控制装置执行,该控制装置具备:
故障诊断部,确定成为检测出的错误的原因的现象,
所述控制装置的故障时处理方法包括:
由所述故障诊断部计算在成为所述错误的原因的现象的确定中能够花费的可诊断时间的步骤;以及
由所述故障诊断部关于检测的各错误,根据作为成为该错误的原因的各现象发生的概率的事后概率、为了确定为各所述现象是所述该错误的原因而所需的诊断时间、以及所述可诊断时间,以作为诊断对象的各现象各自的所述诊断时间的合计不超过所述可诊断时间的方式,确定成为所述错误的原因的所述现象的步骤。
CN201680091553.XA 2016-12-21 2016-12-21 控制装置以及控制装置的故障时处理方法 Active CN110088735B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2016/088090 WO2018116400A1 (ja) 2016-12-21 2016-12-21 制御装置および制御装置の故障時処理方法

Publications (2)

Publication Number Publication Date
CN110088735A CN110088735A (zh) 2019-08-02
CN110088735B true CN110088735B (zh) 2023-04-21

Family

ID=62626088

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680091553.XA Active CN110088735B (zh) 2016-12-21 2016-12-21 控制装置以及控制装置的故障时处理方法

Country Status (5)

Country Link
US (1) US11080161B2 (zh)
JP (1) JP6741353B2 (zh)
CN (1) CN110088735B (zh)
DE (1) DE112016007535T5 (zh)
WO (1) WO2018116400A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110737256B (zh) * 2018-07-18 2022-11-29 株洲中车时代电气股份有限公司 一种用于控制变频传动系统的方法及装置
US11561850B1 (en) * 2021-10-20 2023-01-24 Vmware, Inc. System and method for performing failure analysis on a computing system using a bayesian network

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0424869A1 (en) * 1989-10-23 1991-05-02 Komatsu Ltd. Fault diagnosing apparatus
JP2004348274A (ja) * 2003-05-20 2004-12-09 Fuji Heavy Ind Ltd 通信故障の診断装置
CN102844721A (zh) * 2010-02-26 2012-12-26 株式会社日立制作所 故障原因诊断系统及其方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0484222A (ja) 1990-07-27 1992-03-17 Yamatake Honeywell Co Ltd 設備診断装置
DE69323753T2 (de) * 1993-11-23 1999-07-01 Hewlett Packard Co Diagnoseeinrichtung
JPH084222A (ja) 1994-06-15 1996-01-09 Tajima Roofing Co Ltd コーナー成形体
JPH08164827A (ja) * 1994-12-13 1996-06-25 Nissan Motor Co Ltd 車両故障診断装置
DE10307342B4 (de) * 2003-02-21 2005-08-11 Volkswagen Ag Vorrichtung und Verfahren zur modellbasierten On-Board-Diagnose
JP2005309077A (ja) * 2004-04-21 2005-11-04 Fuji Xerox Co Ltd 故障診断方法および故障診断装置、並びに搬送装置および画像形成装置、並びにプログラムおよび記憶媒体
JP2008257656A (ja) * 2007-04-09 2008-10-23 Fuji Xerox Co Ltd 電子回路装置、故障診断装置、故障診断システム、及び故障診断プログラム。
JP5231035B2 (ja) * 2008-01-31 2013-07-10 株式会社野村総合研究所 ジョブ処理システムおよびジョブ処理方法
US8458525B2 (en) * 2010-03-19 2013-06-04 Hamilton Sundstrand Space Systems International, Inc. Bayesian approach to identifying sub-module failure
JP2012053830A (ja) * 2010-09-03 2012-03-15 Mitsubishi Electric Engineering Co Ltd 故障診断装置
JP2013222313A (ja) * 2012-04-17 2013-10-28 Hitachi Ltd 障害連絡効率化システム
JP5389239B1 (ja) * 2012-08-30 2014-01-15 三菱電機株式会社 メモリ診断装置およびメモリ診断方法
JP2016177676A (ja) * 2015-03-20 2016-10-06 株式会社東芝 診断装置、診断方法、診断システムおよび診断プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0424869A1 (en) * 1989-10-23 1991-05-02 Komatsu Ltd. Fault diagnosing apparatus
JP2004348274A (ja) * 2003-05-20 2004-12-09 Fuji Heavy Ind Ltd 通信故障の診断装置
CN102844721A (zh) * 2010-02-26 2012-12-26 株式会社日立制作所 故障原因诊断系统及其方法

Also Published As

Publication number Publication date
US20190258559A1 (en) 2019-08-22
WO2018116400A1 (ja) 2018-06-28
DE112016007535T5 (de) 2019-09-26
JP6741353B2 (ja) 2020-08-19
CN110088735A (zh) 2019-08-02
US11080161B2 (en) 2021-08-03
JPWO2018116400A1 (ja) 2019-06-24

Similar Documents

Publication Publication Date Title
US8498776B2 (en) Fault diagnosis and prognosis using diagnostic trouble code markov chains
CN112004730B (zh) 车辆控制装置
CN110116752B (zh) 基于冗余结构控制车辆的装置和方法
US9207661B2 (en) Dual core architecture of a control module of an engine
KR101744226B1 (ko) 진단 고장 정보를 제공하기 위한 시스템 및 방법
CN107077407B (zh) 车辆控制装置
US20030023407A1 (en) Method and device for monitoring the functioning of a system
JP2009253736A (ja) ネットワークシステム
CN110088735B (zh) 控制装置以及控制装置的故障时处理方法
US7788533B2 (en) Restarting an errored object of a first class
JP6207987B2 (ja) 車載用電子制御装置
US6856940B2 (en) Method and device for monitoring the functioning of a system
JP5295251B2 (ja) 給電電圧監視されるマイクロコントローラを有する車両制御ユニット、および関連の方法
JP2006259935A (ja) 演算異常判断機能付き演算装置
JP2005049967A (ja) フェイルセーフプロセッサ及び鉄道用保安制御装置
CN109709849B (zh) 单片机安全运行控制方法与装置
JP5327105B2 (ja) バックアップシステム
JP2015171853A (ja) 自動車用電子制御装置
CN100388220C (zh) 用于监控电子控制的方法和设备
US20130024011A1 (en) Method and system for limited time fault tolerant control of actuators based on pre-computed values
JP2001350735A (ja) 複数データ処理装置間相互監視方法
JP2019168835A (ja) 電子制御装置
JP5226653B2 (ja) 車載制御装置
US10514970B2 (en) Method of ensuring operation of calculator
US20230398955A1 (en) In-vehicle use control system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant