CN110650878B - 异常判定装置、异常判定方法以及计算机可读存储介质 - Google Patents

异常判定装置、异常判定方法以及计算机可读存储介质 Download PDF

Info

Publication number
CN110650878B
CN110650878B CN201880033412.1A CN201880033412A CN110650878B CN 110650878 B CN110650878 B CN 110650878B CN 201880033412 A CN201880033412 A CN 201880033412A CN 110650878 B CN110650878 B CN 110650878B
Authority
CN
China
Prior art keywords
processing circuit
control value
abnormality
value
abnormality determination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880033412.1A
Other languages
English (en)
Other versions
CN110650878A (zh
Inventor
大森康宏
石川博章
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of CN110650878A publication Critical patent/CN110650878A/zh
Application granted granted Critical
Publication of CN110650878B publication Critical patent/CN110650878B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0772Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/14Means for informing the driver, warning the driver or prompting a driver intervention
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • G06F11/0724Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU] in a multiprocessor or a multi-core unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2035Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant without idle spare hardware
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/085Registering performance data using electronic data carriers
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2556/00Input parameters relating to data
    • B60W2556/10Historical data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Steering Control In Accordance With Driving Conditions (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)

Abstract

故障诊断部(144)从作为被双重化的处理电路的第1处理电路(11)以及第2处理电路(12)分别取得用于控制致动器(20)的控制值。此外,故障诊断部(144)在从第1处理电路(11)取得的第1控制值与从第2处理电路(12)取得的第2控制值不一致的情况下,进行状态正常范围与第1控制值以及第2控制值中的至少任意一个的比较,判定第1处理电路(11)以及第2处理电路(12)中的哪一个发生了异常,该状态正常范围是根据包含致动器(20)的上位系统的当前的动作状态所估计的控制值的正常值的范围。

Description

异常判定装置、异常判定方法以及计算机可读存储介质
技术领域
本发明涉及异常判定装置、异常判定方法以及异常判定程序。
背景技术
在即使发生了故障等麻烦的情况下也要求继续处理的系统中,采用容错结构。在容错结构中,处理电路被冗余。并且,即使在任意处理电路发生了故障的情况下,也通过正常的处理电路继续动作来进行期望的处理。
在容错结构中,通过比较各处理电路的输出,能够对在任意处理电路中是否发生了故障进行检测。并且,在容错结构中,将被检测出发生故障的处理电路分离,由正常的处理电路来继续处理。
在处理电路被三重化的结构中,通过在各处理电路的输出之间采取多数决定,能够确定发生了故障的处理电路。
当在处理电路被双重化的结构中各处理电路的输出不一致的情况下,能够检测出在任意处理电路中发生了故障的情况。然而,在处理电路被双重化的结构中,难以确定在哪一个处理电路中发生了故障。
在汽车的车辆控制系统等、对于成本的条件严格的用途中,难以采用处理电路被三重化的结构。在这样的对于成本的条件严格的用途中,要求能够确定在处理电路被双重化的结构中发生了故障的处理电路。
现有技术文献
专利文献
专利文献1:日本特开2015-081013号公报
专利文献2:日本特开2010-076637号公报
专利文献3:日本特开2012-045990号公报
专利文献4:日本特开2015-223868号公报
发明内容
发明要解决的课题
在专利文献1中公开了一种电动动力转向控制装置。专利文献1的电动动力转向控制装置具备两个微型计算机。在专利文献1中,比较各微型计算机的控制值,如果两个控制值之间的差在既定范围外,则判定为任意微型计算机发生了异常。并且,在专利文献1中,对于各微型计算机,比较上次的控制值和本次的控制值。然后,判定为上次的控制值与本次的控制值之差较大的微型计算机发生了异常。
如上所述,在专利文献1中,仅通过上次的控制值与本次的控制值之差来确定发生了异常的微型计算机。但是,例如,当在车辆运转时发生了急刹车或急转向的情况下,存在与上次的控制值大不相同的控制值被输出的可能性。在这样的情况下,输出了与上次的控制值大不相同的控制值的微型计算机是正常地动作的微型计算机。
在专利文献1中,在这样控制值大幅变化的状况下,存在将正常地动作的微型计算机错误地判定为发生了异常的微型计算机的课题。
本发明的主要目的在于解决这样的课题。更具体而言,本发明的主要目的在于获得即使在控制值大幅变化的情况下也能够正确地判定出发生了异常的处理电路的结构。
用于解决课题的手段
本发明的异常判定装置具有:
控制值取得部,其从作为被双重化的处理电路的第1处理电路以及第2处理电路分别取得用于控制控制对象物的控制值;以及异常判定部,其在从所述第1处理电路取得的第1控制值与从所述第2处理电路取得的第2控制值不一致的情况下,进行状态正常范围与所述第1控制值以及所述第2控制值中的至少任意一个的比较,判定所述第1处理电路以及所述第2处理电路中的哪个处理电路发生了异常,该状态正常范围是根据包含所述控制对象物的上位系统的当前的动作状态或所述控制对象物的当前的动作状态所估计的控制值的正常值的范围。
发明效果
根据本发明,通过使用状态正常范围,即使在控制值大幅变化的情况下,也能够正确地判定出发生了异常的处理电路。
附图说明
图1是示出实施方式1的车辆控制系统的结构例的图。
图2是示出实施方式1的第2控制值的时间推移的示例的图。
图3是示出实施方式1的故障诊断电路的动作例的图。
图4是示出实施方式2的车辆控制系统的结构例的图。
图5是示出实施方式2的故障诊断电路的动作例的图。
图6是示出实施方式1和2的故障诊断电路的硬件结构例的图。
图7是示出实施方式3的车辆控制系统的结构例的图。
图8是示出实施方式3的故障诊断电路的动作例的图。
图9是示出实施方式4的车辆控制系统的结构例的图。
图10是示出实施方式4的故障诊断电路的动作例的图。
图11是示出实施方式4的第1处理电路以及第2处理电路的动作例的图。
具体实施方式
以下,使用附图对本发明的实施方式进行说明。在以下的实施方式的说明以及附图中,标注了相同标号的部分表示相同的部分或相当的部分。
实施方式1.
***结构的说明***
图1示出本实施方式的车辆控制系统10的结构例。
车辆控制系统10控制致动器20。致动器20是制动器、引擎、马达、转向装置等致动器。
车辆控制系统10由第1处理电路11、第2处理电路12、数据选择电路13以及故障诊断装置14构成。
第1处理电路11以及第2处理电路12由微型计算机、或微型计算机以及存储器构成。
数据选择电路13以及故障诊断装置14通过处理电路来实现。具体而言,处理电路是LSI(Large-Scale Integrated circuit:大规模集成电路)。LSI例如是FPGA (Field-Programmable Gate Array:现场可编程门阵列)。此外,LSI也可以是CPLD (ComplexProgrammable Logic Device:复杂可编程逻辑设备)或ASIC(Application SpecificIntegrated Circuit:专用集成电路)。
数据选择电路13以及故障诊断装置14可以分别通过不同的LSI来实现,也可以通过一个LSI来实现。
第1处理电路11以及第2处理电路12是被双重化的处理电路。
第1处理电路11以及第2处理电路12分别生成用于控制致动器20的控制值。致动器20相当于控制对象物。
由第1处理电路11生成的控制值被称为第1控制值。此外,由第2处理电路12 生成的控制值被称为第2控制值。
数字选择电路13选择第1控制值以及第2控制值中的、来自正常动作的处理电路的控制值,并将所选择的控制值输出至致动器20。数据选择电路13能够根据来自后述的故障诊断部144的正常通知信号来判别正常动作的处理电路。
另外,数据选择电路13相当于输出部。
故障诊断装置14判定正常动作的处理电路和发生了异常的处理电路。
故障诊断装置14由状态判定部141、控制值保存部142、历史记录正常范围估计部143以及故障诊断部144构成。
状态判定部141取得示出包含致动器20的上位系统的当前的动作状态的状态值。然后,状态判定部141根据所取得的状态值来估计状态正常范围,将状态正常范围输出至故障诊断部144。状态正常范围是根据上位系统的当前的动作状态估计出的控制值的正常值的范围。在本实施方式中,上位系统是指包含车辆控制系统10以及致动器20的车辆。
即,状态判定部141根据状态值,将作为上位系统的车辆的符合当前状态的正常值的范围估计为状态正常范围。
状态判定部141从位于车辆控制系统10外部的传感器等取得示出车辆的动作状态的状态值。状态值示出例如车辆在停车场行驶以及车辆在坡道上爬坡等车辆的状态。此外,状态值也可以示出车辆在高速公路上行驶的状态以及车辆在一般道路上行驶的状态等。此外,状态值也可以示出防撞功能正在工作的状态等。
此外,状态判定部141也可以取得示出致动器20的当前动作状态的状态值,将根据致动器20的当前动作状态所估计的控制值的正常值的范围估计为状态正常范围。
控制值保存部142在每次从第1处理电路11输出第1控制值时,保存所输出的第1控制值。此外,控制值保存部142在每次从第2处理电路12输出第2控制值时,保存所输出的第2控制值。因此,在控制值保存部142中保存有过去的多个第1控制值,并保存有过去的多个第2控制值。
历史记录正常范围估计部143根据控制值保存部142中保存的过去的多个第1 控制值来估计控制值的正常值的范围。由控制值保存部142估计出的控制值的正常值的范围被称为历史记录正常范围。
历史记录正常范围估计部143也可以根据控制值保存部142中保存的过去的多个第2控制值来估计历史记录正常范围。
故障诊断部144从第1处理电路11取得第1控制值,从第2处理电路12取得第 2控制值。
此外,故障诊断部144比较第1控制值与第2控制值。在第1控制值与第2控制值不一致的情况下,故障诊断部144从状态判定部141取得状态正常范围,从历史记录正常范围估计部143取得历史记录正常范围。然后,故障诊断部144进行状态正常范围与第1控制值以及第2控制值中的至少任意一个的比较,判定第1处理电路11 以及第2处理电路12中的哪一个发生了异常。
更具体而言,故障诊断部144进行状态正常范围与第1控制值的比较,在第1 控制值偏离状态正常范围的情况下,判定为第1处理电路发生了异常。另一方面,当第1控制值在状态正常范围内的情况下,故障诊断部144进行状态正常范围与第2 控制值的比较。然后,当第2控制值偏离状态正常范围的情况下,故障诊断部144 判定为第2处理电路发生了异常。另一方面,当第2控制值在状态正常范围内的情况下,故障诊断部144进行历史记录正常范围与第1控制值的比较。其结果,当第1 控制值偏离历史记录正常范围的情况下,故障诊断部144判定为第1处理电路11发生了异常。此外,当第1控制值在历史记录正常范围内的情况下,故障诊断部144 判定为第2处理电路12发生了异常。
故障诊断部144将通知判定为正常的处理电路的正常通知信号输出至数据选择电路13。
故障诊断部144相当于控制值取得部以及异常判定部。此外,由故障诊断部144 进行的处理相当于控制值取得处理以及异常判定处理。
如图1所示,数据选择电路13以及故障诊断装置14相当于异常判定装置。此外,由数据选择电路13以及故障诊断装置14进行的动作相当于异常判定方法。
***动作的说明***
接下来,对本实施方式的车辆控制系统10的动作的概要进行说明。
这里,假定在初始状态下第1处理电路11以及第2处理电路12正常、但是之后第1处理电路11发生了异常的示例。
在初始状态下,第1处理电路11以及第2处理电路12正常。因此,故障诊断装置14例如将通知第1处理电路11正常的情况的正常通知信号输出至数据选择电路 13。数据选择电路13选择来自第1处理电路11的第1控制值,并将所选择的第1控制值输出至致动器20。
当第1处理电路11发生异常时,第1控制值成为异常值。因此,故障诊断装置 14判定为,第2处理电路12正常,但是第1处理电路11异常。然后,故障诊断装置14将通知第2处理电路12正常的情况的正常通知信号输出至数据选择电路13。数据选择电路13根据正常通知信号,丢弃来自第1处理电路11的第1控制值,将来自第2处理电路12的第2控制值输出至致动器20。
图2示出正常的控制值的时间推移的示例。另外,在图2中,示出1秒输出一次第2控制值的示例。
首先,假设在6秒时发生了第1控制值和第2控制值的不一致。即,从0秒时到 5秒时的第1控制值和第2控制值一致,第1控制值以及第2控制值如图2所示。这里,着眼于前一个值(5秒时)、两个之前的值(4秒时)以及三个之前的值(3秒时)。 3秒时的值为56,4秒时的值为61,5秒时的值为63。从3秒时到4秒时的值的变化为+5,从4秒时到5秒时的值的变化为+2。这样,在从3秒时到5秒时的期间,值较小地变化,因此可以推测,6秒时的值收敛在相对于5秒时的值±5的范围内。
根据这样的推测,历史记录正常范围估计部143将5秒时的值±5的范围估计为6秒时的值的历史记录正常范围。
故障诊断部144在6秒时的控制值偏离了5秒时的控制值±5的范围的情况下,判定为6秒时的控制值异常。
接下来,假设在9秒时发生了第1控制值与第2控制值的不一致。即,从0秒时到8秒时的第1控制值和第2控制值一致,第1控制值以及第2控制值如图2所示。这里,着眼于前一个值(8秒时)、两个之前的值(7秒时)以及三个之前的值(6秒时)。6秒时的值为60,7秒时的值为50,8秒时的值为30。从6秒时到7秒时的值的变化为-10,从7秒时到8秒时的值的变化为-20。这样,在6秒时到8秒时,与从 3秒时到6秒时的值的变化相比,值大幅变化。因此可以推测,9秒时的值收敛在相对于8秒时的值±30的范围内。
根据这样的推测,历史记录正常范围估计部143将8秒时的值±30的范围估计为 9秒时的值的历史记录正常范围。
故障诊断部144在9秒时的控制值偏离了8秒时的控制值±30的范围的情况下,判定为9秒时的控制值异常。
这样,历史记录正常范围估计部143可以根据过去几次的控制值将正常值的范围估计为历史记录正常范围。然后,故障诊断部144能够根据历史记录正常范围来判定发生了异常的处理电路。然而,在仅使用历史记录正常范围的判定中,在发生了大大偏离过去的控制值的推移的控制值的骤变的情况下,故障诊断部144将正常值误识别为异常值,从而将正常动作的处理电路判定为异常。
考虑在图2的12秒时发生了第1控制值和第2控制值的不一致的情况。即,从 0秒时到11秒时的第1控制值和第2控制值一致,第1控制值以及第2控制值如图2 所示。这里,前一个值(11秒时)为0,两个之前的值(10秒时)为3,三个之前的值(9秒时)为10。从9秒时到10秒时的值的变化为-7,从10秒时到11秒时的值的变化为-3。因此可以推测,12秒时的值收敛在相对于11秒时的值±10的范围内。
根据这样的推测,历史记录正常范围估计部143将11秒时的值±10的范围估计为12秒时的值的历史记录正常范围。
但是,由于12秒时的值为56,因此未收敛在11秒时的值±10的范围内。因此,尽管作为12秒时的值的56是正常值,但也偏离历史记录正常范围,因此故障诊断部 144将该56错误地判定为是异常值。
为了防止这样的误判定,在本实施方式中,状态判定部141估计状态正常范围,故障诊断部144使用状态正常范围来判定第1控制值以及第2控制值是否正常。
例如,车辆在停车场行驶过程中具有发生急加速的可能性较小的特性。因此,状态判定部141估计符合该特性的状态正常范围。此外,例如,车辆在坡道爬坡过程中具有发生急加速的可能性较大的特性。因此,状态判定部141估计符合该特性的状态正常范围。此外,例如,车辆在高速公路上行驶过程中具有发生急转向的可能性较小的特性。因此,状态判定部141估计符合该特性的状态正常范围。这样,状态判定部 141估计适合车辆的状态的状态正常范围。
状态判定部141通过针对车辆的每个状态保持控制值的典型值,能够针对车辆的每个状态正确地估计状态正常范围。
这样,本实施方式的故障诊断装置14将历史记录正常范围和状态正常范围进行组合,来确定发生了异常的处理电路。
接下来,对本实施方式的故障诊断装置14的动作的详细情况进行说明。
图3是示出故障诊断装置14的动作例的流程图。
故障诊断部144从第1处理电路11取得第1控制值,从第2处理电路12取得第 2控制值。然后,故障诊断部144比较第1控制值和第2控制值(步骤S101)。
在第1控制值和第2控制值不一致的情况下(在步骤S101中为“否”),故障诊断部144指示历史记录正常范围估计部143估计历史记录正常范围,历史记录正常范围估计部143估计历史记录正常范围(步骤S102)。然后,历史记录正常范围估计部 143将历史记录正常范围通知给故障诊断部144。
接下来,故障诊断部144指示状态判定部141估计状态正常范围,状态判定部 141估计状态正常范围(步骤S103)。然后,状态判定部141将状态正常范围通知给故障诊断部144。
另外,步骤S102和步骤S103的顺序也可以相反。
接下来,故障诊断部144比较第1控制值和状态正常范围(步骤S104)。
在第1控制值偏离状态正常范围的情况下(步骤S104中为“否”),故障诊断部 144判定为第1处理电路11发生了异常(步骤S105)。然后,故障诊断部144将通知第2处理电路12正常动作的正常通知信号输出至数据选择电路13。
另一方面,如果第1控制值在状态正常范围内(步骤S104中为“是”),则故障诊断部144接下来比较第2控制值和状态正常范围(步骤S106)。
在第2控制值偏离状态正常范围的情况下(步骤S106中为“否”),故障诊断部 144判定为第2处理电路12发生了异常(步骤S107)。然后,故障诊断部144将通知第1处理电路11正常动作的正常通知信号输出至数据选择电路13。
如果第2控制值在状态正常范围内(步骤S106中为“是”),则故障诊断部144 接下来比较第1控制值和历史记录正常范围(步骤S108)。
在第1控制值偏离状态正常范围的情况下(步骤S108中为“否”),故障诊断部 144判定为第1处理电路11发生了异常(步骤S109)。然后,故障诊断部144将通知第2处理电路12正常动作的正常通知信号输出至数据选择电路13。
另一方面,如果第1控制值在历史记录正常范围内(步骤S108中为“是”),则故障诊断部144判定为第2处理电路12发生了异常(步骤S110)。然后,故障诊断部144将通知第1处理电路11正常动作的正常通知信号输出至数据选择电路13。
***实施方式的效果的说明***
在本实施方式中,根据车辆的状态(停车场行驶过程中、坡道爬坡过程中、高速公路行驶过程中等)来估计状态正常范围,使用状态正常范围来判定发生了异常的处理电路。因此,根据本实施方式,即使在控制值随车辆的状态而大幅变化的情况下,也能够正确地判定发生了异常的处理电路。
实施方式2.
图4示出本实施方式的车辆控制系统10的结构例。图4的车辆控制系统10与图 1所示的车辆控制系统10不同,数据选择电路13由正常控制值选择部131、平均值生成部132以及输出选择部133构成。
正常控制值选择部131依照来自故障诊断部144的正常通知信号,选择第1控制值和第2控制值中正常的控制值。然后,正常控制值选择部131将所选择的控制值输出至输出选择部133。
平均值生成部132生成第1控制值和第2控制值的平均值,并将生成的平均值输出至输出选择部133。
输出选择部133选择从正常控制值选择部131输出的控制值和从平均值生成部132输出的平均值中的向致动器20输出的控制值。更具体而言,输出选择部133在从故障诊断部144输出了平均输出信号的情况下,将来自平均值生成部132的平均值输出至致动器20。
另外,在本实施方式中,故障诊断部144在即使进行使用了状态正常范围以及历史记录正常范围的评价、也判定为第1处理电路11以及第2处理电路12均未发生异常的情况下,向输出选择部133输出平均输出信号。
例如,在图2的6秒时的第1控制值与第2控制值不一致的情况下,如果车辆的状态为停车场行驶过程中,则可以估计为6秒时的值收敛在相对于5秒时的值±5的范围内。该情况下,当第1控制值以及第2控制值均收敛在±5的范围内的情况下,故障诊断部144判定为第1处理电路11以及第2处理电路12均未发生异常。然后,故障诊断部144向输出选择部133输出平均输出信号。
另外,在本实施方式中,输出选择部133相当于输出部。
此外,在图4中,虽然省略了图示,但是与实施方式1同样,数据选择电路13 以及故障诊断装置14相当于异常判定装置。此外,故障诊断部144相当于控制值取得部以及异常判定部。
图5示出本实施方式的故障诊断装置14的动作例。
在图5中,由于步骤S101至步骤S109与图3所示的步骤相同,因此省略说明。
在步骤S108中,如果第1控制值在历史记录正常范围内(步骤S108中为“是”),则故障诊断部144比较第2控制值与历史记录正常范围(步骤S110)。
在第2控制值偏离历史记录正常范围的情况下(步骤S110中为“否”),故障诊断部144判定为第2处理电路12发生了异常(步骤S111)。然后,故障诊断部144 将通知第1处理电路11正常动作的正常通知信号输出至数据选择电路13。
另一方面,如果第2控制值在历史记录正常范围内(步骤S110中为“是”),则故障诊断部144判定为第1处理电路11以及第2处理电路12均未发生异常。然后,故障诊断部144向输出选择部133输出平均输出信号(步骤S112)。
在判定为第1处理电路11和第2处理电路12均未发生异常的情况下,不清楚第 1控制值和第2控制值中的哪一个是准确的值。
在本实施方式中,通过输出第1控制值和第2控制值的平均值,由此降低以错误的值来控制致动器20的风险。
实施方式3.
***结构的说明***
图7示出本实施方式的车辆控制系统10的结构例。在图7的车辆控制系统10 中,故障诊断部144取得从第1处理电路11输出的第1自我诊断信息和从第2处理电路12输出的第2自我诊断信息。然后,故障诊断部144将第1自我诊断信息和第 2自我诊断信息用于异常诊断。
因此,在本实施方式中,故障诊断部144相当于控制值取得部、异常判定部以及自我诊断信息取得部。
此外,在本实施方式中,第1处理电路11以及第2处理电路12是搭载有与功能安全(IEC61508、ISO26262等)对应的自我诊断功能的微型计算机或CPU(Central ProcessingUnit:中央处理器)。
在本实施方式中,作为自我诊断功能,第1处理电路11以及第2处理电路12能够实施例如比特反转检查功能、BIST(Background Intelligent Transfer Service:后台智能传输服务)功能、时钟周期检查功能、电压检查功能、温度检查功能以及双核锁步(Dual-Core Lockstep)功能。
在比特反转检查功能中,检查存储器的比特反转的有无。
在BIST功能中,对处理电路(微型计算机或CPU)内的各功能输入测试值,判定输入后的各功能的动作是否与期待值一致,检查处理电路的正常/异常。
在时钟周期检查功能中,对输入到处理电路(微型计算机或CPU)中的时钟频率不足额定值的情况进行检测。
在电压检查功能中,对输入到处理电路(微型计算机或CPU)中的电压不足处理电路的额定值的情况进行检测。
在温度检查功能中,对当前的温度不足处理电路(微型计算机或CPU)的额定温度的情况进行检测。
在双核锁步功能中,检查处理电路(微型计算机或CPU)内的被双重化的运算电路是否每1个时钟进行相同的动作。
图7的其它要素与图1所示的要素相同,因此省略说明。
在本实施方式中,主要对与实施方式1的差异进行说明。
另外,在以下内容中未说明的事项与实施方式1相同。
***动作的说明***
图8示出本实施方式的故障诊断装置14的动作例。
故障诊断部144取得从第1处理电路11输出的第1自我诊断信息和从第2处理电路12输出的第2自我诊断信息。
在第1自我诊断信息中示出使用第1处理电路11的自我诊断功能进行的自我诊断的结果。在第2自我诊断信息中示出使用第2处理电路12的自我诊断功能进行的自我诊断的结果。第1处理电路11持续输出第1自我诊断信息。此外,第2处理电路12持续输出第2自我诊断信息。
故障诊断部144解析第1自我诊断信息,判定第1自我诊断信息中是否包含异常发生通知(步骤S201)。第1自我诊断信息的异常发生通知是通知第1处理电路11 中的异常的发生的信息。
当在第1自我诊断信息中包含异常发生通知的情况下(步骤S201中为“是”),故障诊断部144判定为第1处理电路11发生了异常(步骤S202)。
当在第1自我诊断信息中不包含异常发生通知的情况下(步骤S201中为“否”),故障诊断部144解析第2自我诊断信息,判定第2自我诊断信息中是否包含异常发生通知(步骤S203)。第2自我诊断信息的异常发生通知是通知第2处理电路12中的异常的发生的信息。
当在第2自我诊断信息中包含异常发生通知的情况下(步骤S203中为“是”),故障诊断部144判定为第2处理电路12发生了异常(步骤S204)。
当在第2自我诊断信息中不包含异常发生通知的情况下(步骤S203中为“否”),故障诊断部144从第1处理电路11取得第1控制值,从第2处理电路12取得第2控制值,比较第1控制值与第2控制值(步骤S101)。
在第1控制值与第2控制值不一致的情况下(步骤S101中为“否”),故障诊断部144进行图3所示的步骤S102至步骤S110的处理。
另一方面,在第1控制值和第2控制值一致的情况下(步骤S101中为“是”),故障诊断部144进行步骤S201以后的处理。
***实施方式的效果的说明***
在本实施方式中,如果自我诊断信息中包含异常发生通知,则能够判定为作为自我诊断信息的输出源的处理装置发生了异常。即,如果自我诊断信息中包含异常发生通知,则能够省略实施方式1以及实施方式2所示的处理。这样,根据本实施方式,与实施方式1以及实施方式2相比,能够更高效地进行处理电路的异常判定。
实施方式4.
***结构的说明***
图9示出本实施方式的车辆控制系统10的结构例。在图9的车辆控制系统10 中,故障诊断部144在第1处理电路11或第2处理电路12发生了异常时,向发生了异常的处理电路输出初始化通知。初始化通知是使发生了异常的处理电路进行初始化处理的信息。故障诊断部144向第1处理电路11输出的初始化通知称为第1初始化通知。此外,故障诊断部144向第2处理电路12输出的初始化通知称为第2初始化通知。
此外,故障诊断部144从作为初始化通知的输出目的地的处理电路取得恢复完成通知。恢复完成通知是如下信息:在作为初始化通知的输出目的地的处理电路进行初始化处理后,变为使用从另一方的处理电路取得的计算信息能够进行与该另一方的处理电路相同的计算时,通知作为初始化通知的输出目的地的处理电路已恢复至正常的状态。第1处理电路11输出的恢复完成通知称为第1恢复完成通知。此外,第2处理电路12输出的恢复完成通知称为第2恢复完成通知。
在本实施方式中,故障诊断部144相当于控制值取得部、异常判定部以及处理电路恢复部。
此外,在本实施方式中,第1处理电路11在初始化处理后,从第2处理电路12 取得第2处理电路计算信息。在第2处理电路计算信息中,通知第2处理电路12中的当前的计算状态。第1处理电路11使用第2处理电路计算信息开始与第2处理电路12相同的计算。第1处理电路11在变为能够进行与第2处理电路12相同的计算时,向故障诊断部144输出第1恢复完成通知。
第2处理电路12在初始化处理后,从第1处理电路11取得第1处理电路计算信息。在第1处理电路计算信息中,通知第1处理电路11中的当前的计算状态。第2 处理电路12使用第1处理电路计算信息开始与第1处理电路11相同的计算。第2处理电路12在变为能够进行与第1处理电路11相同的计算时,向故障诊断部144输出第2恢复完成通知。
图9的其它要素与图1所示的要素相同,因此省略说明。
在本实施方式中,主要对与实施方式1的差异进行说明。
另外,在以下内容中未说明的事项与实施方式1相同。
***动作的说明***
图10表示本实施方式所涉及的故障诊断装置14的动作例。
更具体而言,图10示出检测出第1处理电路11或第2处理电路12的异常之后的故障诊断部144的动作例。
通过实施方式1、实施方式2以及实施方式3中的任意一种方法,在故障诊断部 144检测出第1处理电路11发生了异常的情况下(步骤S301中为“是”),故障诊断部144向第1处理电路11输出第1初始化通知(步骤S302)。
然后,故障诊断部144等待来自第1处理电路11的第1恢复完成通知,在从第 1处理电路11接收到第1恢复完成通知的情况下(步骤S303中为“是”),故障诊断部144结束处理。
此外,通过实施方式1、实施方式2以及实施方式3中的任意一种方法,在故障诊断部144检测出第2处理电路12发生了异常的情况下(步骤S304中为“是”),故障诊断部144向第2处理电路12输出第2初始化通知(步骤S305)。
然后,故障诊断部144等待来自第2处理电路12的第2恢复完成通知,在从第 2处理电路12接收到第2恢复完成通知的情况下(步骤S306中为“是”),故障诊断部144结束处理。
另外,故障诊断部144在输出第1初始化通知(或第2初始化通知)之后,在直到接收到第1恢复完成通知(或第2恢复完成通知)为止的期间中,与实施方式1-3 同样,对数据选择电路13输出通知正常动作的处理电路的正常通知信号。数据选择电路13依照正常通知信号,将正常动作的处理电路的控制值输出至致动器20。
此外,故障诊断部144在接收到第1恢复完成通知(或第2恢复完成通知)之后,对数据选择电路13输出通知第1处理电路11和第2处理电路12双方正常动作的正常通知信号。
图11示出本实施方式的第1处理电路11以及第2处理电路12的动作例。更具体而言,图11示出发生了异常的处理电路的动作例。
另外,在以下内容中,作为第1处理电路11的动作进行说明,但是第2处理电路12的动作也如下所示。
第1处理电路11在从故障诊断部144接收到第1初始化通知的情况下(步骤S401 中为“是”),通过重置等进行第1处理电路11的初始化处理(步骤S402)。
另外,第1处理电路11也可以通过自身的控制来开始初始化处理,第1初始化通知也可以成为使初始化处理开始的信号。
接下来,第1处理电路11在初始化处理完成时(步骤S403中为“是”),从第2 处理电路12读出第2处理电路12的计算信息(第2处理电路计算信息)(步骤S404)。第2处理电路计算信息示出第2处理电路12的当前的计算状态、即第2处理电路12 当前进行的计算的详细情况。
在第2处理电路计算信息的读出完成的情况下(步骤S405中为“是”),第1处理电路11使用第2处理电路计算信息来开始与第2处理电路12相同的计算(步骤 S406)。
然后,第1处理电路11向故障诊断部144输出第1恢复完成通知(步骤S407)。
***实施方式的效果的说明***
在实施方式1-3的结构中,在第1处理电路和第2处理电路中的任意处理电路发生了异常的情况下,为了使第1处理电路和第2处理电路双方返回正常动作的状态,需要暂时停止车辆控制系统,进行维护。
但是,在暂时性异常的情况下,存在仅通过复位等使处理电路初始化就使得处理电路返回正常状态的可能性。
在本实施方式中,能够进行在动作过程中发生了异常的处理电路的初始化。因此,根据本实施方式,即使不停止车辆控制系统,也能够使第1处理电路和第2处理电路双方返回正常的状态。
以上,对通过FPGA、CPLD、ASIC等LSI实现故障诊断装置14的示例进行了说明。也可以取而代之,如图6所示,使用处理器901、存储器902以及辅助存储装置903通过程序来实现故障诊断装置14。
即,也可以通过处理器901执行实现状态判定部141、历史记录正常范围估计部143以及故障诊断部144的功能的程序,由处理器901来进行上述的状态判定部141、历史记录正常范围估计部143以及故障诊断部144的动作。
实现状态判定部141、历史记录正常范围估计部143以及故障诊断部144的功能的程序存储在辅助存储装置903中,并被加载到存储器902中。然后,处理器901 从存储器902读取程序,并执行程序。
此外,控制值保存部142例如通过存储器902或辅助存储装置903来实现。
实现状态判定部141、历史记录正常范围估计部143以及故障诊断部144的功能的程序相当于异常判定程序。
实现状态判定部141、历史记录正常范围估计部143以及故障诊断部144的功能的程序也可以存储在磁盘、软盘、光盘、紧凑型光盘、蓝光(注册商标)盘、DVD 等可移动存储介质中。
此外,也可以将状态判定部141、历史记录正常范围估计部143以及故障诊断部144的“部”改写为“工序”或“步骤”或“处理”。
处理器901例如是CPU、DSP(Digital Signal Processor:数字信号处理器)。
存储器902例如是RAM(Random Access Memory:随机存取存储器)。
辅助存储装置903例如是ROM(Read Only Memory:只读存储器)、闪存、HDD (HardDisk Drive:硬盘驱动器)。
另外,在本说明书中,处理器901、以及处理器901、存储器902和辅助存储装置903的组合、以及LSI等处理电路的上位概念被称为“处理线路(processing circuitry)”。
即,处理器901、以及处理器901、存储器902和辅助存储装置903的组合、以及处理电路分别是“处理线路”的具体示例。
以上,对本发明的实施方式进行了说明,但是也可以将这两个实施方式进行组合来实施。
或者,也可以部分地实施这些实施方式中的一个。
或者,也可以将这些实施方式部分地进行组合来实施。
另外,本发明不限于这些实施方式,可以根据需要进行各种变更。
标号说明
10:车辆控制系统;11:第1处理电路;12:第2处理电路;13:数据选择电路; 14:故障诊断装置;20:致动器;131:正常控制值选择部;132:平均值生成部;133:输出选择部;141:状态判定部;142:控制值保存部;143:历史记录正常范围估计部;144:故障诊断部。

Claims (8)

1.一种异常判定装置,其中,该异常判定装置具有:
控制值取得部,其从作为被双重化的处理电路的第1处理电路以及第2处理电路分别取得用于控制致动器的控制值;
异常判定部,其在从所述第1处理电路取得的第1控制值与从所述第2处理电路取得的第2控制值不一致的情况下,进行状态正常范围以及历史记录正常范围与所述第1控制值以及所述第2控制值的比较,判定所述第1处理电路以及所述第2处理电路是否发生了异常,该状态正常范围是根据作为包含所述致动器的上位系统的车辆的当前的动作状态或所述致动器的当前的动作状态所估计的控制值的正常值的范围,该历史记录正常范围是根据过去从所述第1处理电路或所述第2处理电路取得的多个控制值所估计的控制值的正常值的范围;
平均值生成部,其生成所述第1控制值和所述第2控制值的平均值;以及
输出部,其当所述第1控制值和所述第2控制值处于所述状态正常范围内和所述历史记录正常范围内、且由所述异常判定部判定为所述第1处理电路和所述第2处理电路均未发生异常的情况下,将由所述平均值生成部生成的平均值输出至所述致动器。
2.根据权利要求1所述的异常判定装置,其中,
所述异常判定装置还具有状态判定部,该状态判定部根据示出所述车辆的当前的动作状态或所述致动器的当前的动作状态的状态值来估计所述状态正常范围。
3.根据权利要求1所述的异常判定装置,其中,
所述输出部在由所述异常判定部判定为所述第1处理电路异常的情况下,向所述致动器输出所述第2控制值,在由所述异常判定部判定为所述第2处理电路异常的情况下,向所述致动器输出所述第1控制值。
4.根据权利要求1所述的异常判定装置,其中,
所述异常判定装置还具有自我诊断信息取得部,该自我诊断信息取得部取得示出由所述第1处理电路进行的自我诊断的结果的第1自我诊断信息和示出由所述第2处理电路进行的自我诊断的结果的第2自我诊断信息,
所述异常判定部使用所述第1自我诊断信息来判定所述第1处理电路是否发生了异常,使用所述第2自我诊断信息来判定所述第2处理电路是否发生了异常,
在判定为所述第1处理电路以及所述第2处理电路均未发生异常的情况下,判定所述第1控制值与所述第2控制值是否一致。
5.根据权利要求1所述的异常判定装置,其中,
所述异常判定装置还具有处理电路恢复部,该处理电路恢复部在由所述异常判定部判定为所述第1处理电路以及所述第2处理电路中的任意处理电路发生了异常的情况下,向由所述异常判定部判定为发生了异常的处理电路输出使其进行初始化处理的初始化通知。
6.根据权利要求5所述的异常判定装置,其中,
在作为所述初始化通知的输出目的地的处理电路进行了所述初始化处理后变为能够使用从另一方的处理电路取得的、通知该另一方的处理电路中的计算状态的计算信息来进行与该另一方的处理电路相同的计算时,所述处理电路恢复部取得通知作为所述初始化通知的输出目的地的处理电路恢复至正常状态的恢复完成通知。
7.一种异常判定方法,其中,
计算机从作为被双重化的处理电路的第1处理电路以及第2处理电路分别取得用于控制致动器的控制值;
在从所述第1处理电路取得的第1控制值与从所述第2处理电路取得的第2控制值不一致的情况下,所述计算机进行状态正常范围以及历史记录正常范围与所述第1控制值以及所述第2控制值的比较,判定所述第1处理电路以及所述第2处理电路是否发生了异常,该状态正常范围是根据作为包含所述致动器的上位系统的车辆的当前的动作状态或所述致动器的当前的动作状态所估计的控制值的正常值的范围,该历史记录正常范围是根据过去从所述第1处理电路或所述第2处理电路取得的多个控制值所估计的控制值的正常值的范围;
所述计算机生成所述第1控制值和所述第2控制值的平均值;
当所述第1控制值和所述第2控制值处于所述状态正常范围内和所述历史记录正常范围内、且判定为所述第1处理电路和所述第2处理电路均未发生异常的情况下,所述计算机将所生成的平均值输出至所述致动器。
8.一种计算机可读存储介质,其存储有如下的异常判定程序,其中,该异常判定程序使计算机执行如下处理:
控制值取得处理,在该控制值取得处理中,从作为被双重化的处理电路的第1处理电路以及第2处理电路分别取得用于控制致动器的控制值;以及
异常判定处理,在该异常判定处理中,在从所述第1处理电路取得的第1控制值与从所述第2处理电路取得的第2控制值不一致的情况下,进行状态正常范围以及历史记录正常范围与所述第1控制值以及所述第2控制值的比较,判定所述第1处理电路以及所述第2处理电路是否发生了异常,该状态正常范围是根据作为包含所述致动器的上位系统的车辆的当前的动作状态或所述致动器的当前的动作状态所估计的控制值的正常值的范围,该历史记录正常范围是根据过去从所述第1处理电路或所述第2处理电路取得的多个控制值所估计的控制值的正常值的范围;
平均值生成处理,在该平均值生成处理中,生成所述第1控制值和所述第2控制值的平均值;以及
输出处理,在该输出处理中,当所述第1控制值和所述第2控制值处于所述状态正常范围内和所述历史记录正常范围内、且通过所述异常判定处理判定为所述第1处理电路和所述第2处理电路均未发生异常的情况下,将通过所述平均值生成处理所生成的平均值输出至所述致动器。
CN201880033412.1A 2017-05-29 2018-05-09 异常判定装置、异常判定方法以及计算机可读存储介质 Active CN110650878B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/JP2017/019842 WO2018220663A1 (ja) 2017-05-29 2017-05-29 異常判定装置、異常判定方法及び異常判定プログラム
JPPCT/JP2017/019842 2017-05-29
PCT/JP2018/017855 WO2018221136A1 (ja) 2017-05-29 2018-05-09 異常判定装置、異常判定方法及び異常判定プログラム

Publications (2)

Publication Number Publication Date
CN110650878A CN110650878A (zh) 2020-01-03
CN110650878B true CN110650878B (zh) 2022-08-30

Family

ID=64454506

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880033412.1A Active CN110650878B (zh) 2017-05-29 2018-05-09 异常判定装置、异常判定方法以及计算机可读存储介质

Country Status (5)

Country Link
US (1) US11010229B2 (zh)
JP (1) JP6599054B2 (zh)
CN (1) CN110650878B (zh)
DE (1) DE112018002176B4 (zh)
WO (2) WO2018220663A1 (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017218274A1 (de) * 2017-10-12 2019-04-18 Volkswagen Aktiengesellschaft Lenkungssteuersystem für ein Lenksystem eines Kraftfahrzeuges sowie Verfahren zum Betreiben eines Lenkungssteuersystems
US10933882B2 (en) 2017-12-27 2021-03-02 Micron Technology, Inc. Determination of reliability of vehicle control commands using a voting mechanism
US10836402B2 (en) * 2017-12-27 2020-11-17 Micron Technology, Inc. Determination of reliability of vehicle control commands via redundancy
US10981576B2 (en) 2017-12-27 2021-04-20 Micron Technology, Inc. Determination of reliability of vehicle control commands via memory test
CN109656166A (zh) * 2018-12-12 2019-04-19 北京长城华冠汽车科技股份有限公司 车辆的制动信号处理系统及其控制方法、车辆
JP7392293B2 (ja) * 2019-06-06 2023-12-06 マツダ株式会社 車両の故障診断装置
JP2021020648A (ja) * 2019-07-30 2021-02-18 マツダ株式会社 車両制御システム
JP7342495B2 (ja) * 2019-07-30 2023-09-12 マツダ株式会社 車両制御システム
JP2022051361A (ja) * 2020-09-18 2022-03-31 株式会社東芝 半導体装置
JP6991294B1 (ja) * 2020-10-09 2022-01-12 三菱電機株式会社 制御装置
EP4009121B1 (de) 2020-12-07 2024-04-03 TTTech Auto AG Verfahren zur steuerung einer technischen vorrichtung
JP2022107463A (ja) * 2021-01-08 2022-07-21 株式会社日立製作所 プラント制御装置、プラント制御方法及びプログラム
CN112699864A (zh) * 2021-03-24 2021-04-23 成都宜泊信息科技有限公司 一种停车场设备检测方法、系统、电子设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1140847A (zh) * 1994-08-23 1997-01-22 株式会社日立制作所 控制系统的诊断解析装置及其方法
CN101287634A (zh) * 2005-10-13 2008-10-15 日产自动车株式会社 车辆驾驶辅助系统
CN101386299A (zh) * 2007-09-13 2009-03-18 通用汽车环球科技运作公司 机电变速器操作期间检测模式-档位失配的方法和装置
CN101988439A (zh) * 2009-08-03 2011-03-23 日立汽车系统株式会社 内燃机控制装置
JP2012126162A (ja) * 2010-12-13 2012-07-05 Bosch Corp 車両駆動ユニットの制御装置
JP2016512483A (ja) * 2013-03-14 2016-04-28 エフティーエス コンピューターテクニク ジーエムビーエイチ 自動車の自律制御のための装置および方法
CN106061796A (zh) * 2014-02-24 2016-10-26 日立汽车系统株式会社 车辆搭载设备的控制装置及动力转向装置

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6015704A (ja) * 1983-07-07 1985-01-26 Hitachi Ltd 多重化制御装置
JPH06329042A (ja) * 1993-05-26 1994-11-29 Nippondenso Co Ltd 後輪操舵装置
JP3399311B2 (ja) 1997-09-05 2003-04-21 日産自動車株式会社 電動式パワーステアリング装置
JP3707276B2 (ja) 1998-12-21 2005-10-19 トヨタ自動車株式会社 車輌の運動制御装置
DE10015225A1 (de) * 1999-08-25 2001-04-05 Continental Teves Ag & Co Ohg Verfahren und Vorrichtung zur Ermittlung einer konsolidierten Eingangsgröße
JP4547793B2 (ja) * 2000-11-17 2010-09-22 株式会社アドヴィックス 車両の運動制御装置
JP4352998B2 (ja) 2004-05-31 2009-10-28 トヨタ自動車株式会社 異常検出装置
JP2006228002A (ja) 2005-02-18 2006-08-31 Japan Aviation Electronics Industry Ltd 故障検知機能付き二重系システム
JP2009029172A (ja) 2007-07-24 2009-02-12 Nsk Ltd 電動パワーステアリング装置
JP4492702B2 (ja) 2008-01-11 2010-06-30 トヨタ自動車株式会社 異常検出装置
JP5206279B2 (ja) 2008-09-26 2013-06-12 株式会社ジェイテクト 電動パワーステアリング装置
JP5541456B2 (ja) 2010-08-25 2014-07-09 トヨタ自動車株式会社 電動パワーステアリング装置
EP2572838A1 (en) * 2010-08-31 2013-03-27 Kabushiki Kaisha Yaskawa Denki Robot, robot system, robot control device, and state determining method
CN104011514B (zh) 2011-12-27 2015-12-09 丰田自动车株式会社 车辆的装载状态推定方法及装置
JP5726265B2 (ja) 2013-10-23 2015-05-27 三菱電機株式会社 電動パワーステアリング制御装置
JP2015182622A (ja) 2014-03-25 2015-10-22 Ntn株式会社 転舵制御装置
JP6407564B2 (ja) 2014-05-26 2018-10-17 Ntn株式会社 後輪転舵制御装置
DE102014220781A1 (de) * 2014-10-14 2016-04-14 Robert Bosch Gmbh Ausfallsichere E/E-Architektur für automatisiertes Fahren
JP6423759B2 (ja) 2015-06-24 2018-11-14 日立オートモティブシステムズ株式会社 車載制御装置
WO2018051550A1 (ja) * 2016-09-15 2018-03-22 日立オートモティブシステムズ株式会社 車両搭載機器のアクチュエータ及びパワーステアリング装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1140847A (zh) * 1994-08-23 1997-01-22 株式会社日立制作所 控制系统的诊断解析装置及其方法
CN101287634A (zh) * 2005-10-13 2008-10-15 日产自动车株式会社 车辆驾驶辅助系统
CN101386299A (zh) * 2007-09-13 2009-03-18 通用汽车环球科技运作公司 机电变速器操作期间检测模式-档位失配的方法和装置
CN101988439A (zh) * 2009-08-03 2011-03-23 日立汽车系统株式会社 内燃机控制装置
JP2012126162A (ja) * 2010-12-13 2012-07-05 Bosch Corp 車両駆動ユニットの制御装置
JP2016512483A (ja) * 2013-03-14 2016-04-28 エフティーエス コンピューターテクニク ジーエムビーエイチ 自動車の自律制御のための装置および方法
CN106061796A (zh) * 2014-02-24 2016-10-26 日立汽车系统株式会社 车辆搭载设备的控制装置及动力转向装置

Also Published As

Publication number Publication date
CN110650878A (zh) 2020-01-03
WO2018221136A1 (ja) 2018-12-06
DE112018002176B4 (de) 2021-03-04
JPWO2018221136A1 (ja) 2019-11-07
WO2018220663A1 (ja) 2018-12-06
DE112018002176T5 (de) 2020-01-09
JP6599054B2 (ja) 2019-10-30
US20200125441A1 (en) 2020-04-23
US11010229B2 (en) 2021-05-18

Similar Documents

Publication Publication Date Title
CN110650878B (zh) 异常判定装置、异常判定方法以及计算机可读存储介质
US20210046944A1 (en) Determination of reliability of vehicle control commands via redundancy
US20230339481A1 (en) Determination of reliability of vehicle control commands using a voting mechanism
CN107533498B (zh) 车辆控制装置
US9372774B2 (en) Redundant computing architecture
KR102089915B1 (ko) 방전 기능을 갖는 전력 변환 장치
JP6629463B2 (ja) 車両の少なくとも1つの負荷のためのヒューズシステム
JP6865572B2 (ja) 自動車のリスクベースの制御
WO1997031254A1 (fr) Methode et dispositif de diagnostic des defaillances d'un controleur de bord
CN107924348B (zh) 用于对车辆的电子的线路单元的状态进行监控的方法和装置
KR20180055433A (ko) 페일-세이프 기능을 갖는 자율 주행 시스템 및 이의 방법
US11080161B2 (en) Control device, and processing method in event of failure in control device
JP2020016511A (ja) 半導体集積回路および回転検出装置
CN113891824B (zh) 车载控制装置和车载控制系统
JP2011126327A (ja) 車載制御装置
JP5559100B2 (ja) 電子制御システム
KR101013775B1 (ko) 결함 허용 방법 및 시스템
JP6639552B2 (ja) フェールセーフ制御装置及びフェールセーフ制御方法
KR20110023160A (ko) 결함 허용 방법 및 시스템
US20240140448A1 (en) Electronic Control Device, On-Vehicle Control System, and Redundant Function Control Method
CN111078458B (zh) 一种电子控制单元及其软件兼容性检测方法、装置和汽车
JP6275098B2 (ja) 制御装置およびレジスタの故障復帰方法
JP7110732B2 (ja) センサシステムの異常診断方法、センサシステムの異常診断装置並びにセンサシステムおよびこれを備える車両
CN116700224A (zh) 车辆的功能安全机制故障的检测方法及装置
CN115848149A (zh) 电池管理系统的故障处理方法、装置、处理器和车辆

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant