CN114750712A - 负载驱动系统 - Google Patents
负载驱动系统 Download PDFInfo
- Publication number
- CN114750712A CN114750712A CN202210015182.4A CN202210015182A CN114750712A CN 114750712 A CN114750712 A CN 114750712A CN 202210015182 A CN202210015182 A CN 202210015182A CN 114750712 A CN114750712 A CN 114750712A
- Authority
- CN
- China
- Prior art keywords
- load
- driving
- drive
- signal
- map
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16H—GEARING
- F16H61/00—Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
- F16H61/02—Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing characterised by the signals used
- F16H61/0202—Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing characterised by the signals used the signals being electric
- F16H61/0204—Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing characterised by the signals used the signals being electric for gearshift control, e.g. control functions for performing shifting or generation of shift signal
- F16H61/0213—Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing characterised by the signals used the signals being electric for gearshift control, e.g. control functions for performing shifting or generation of shift signal characterised by the method for generating shift signals
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/03—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16H—GEARING
- F16H61/00—Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
- F16H61/12—Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16H—GEARING
- F16H61/00—Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
- F16H61/18—Preventing unintentional or unsafe shift, e.g. preventing manual shift from highest gear to reverse gear
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16H—GEARING
- F16H61/00—Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
- F16H61/26—Generation or transmission of movements for final actuating mechanisms
- F16H61/28—Generation or transmission of movements for final actuating mechanisms with at least one movement of the final actuating mechanism being caused by a non-mechanical force, e.g. power-assisted
- F16H61/32—Electric motors actuators or related electrical control means therefor
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16H—GEARING
- F16H61/00—Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
- F16H2061/005—Supply of electric power, e.g. batteries for back up supply
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16H—GEARING
- F16H61/00—Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
- F16H61/12—Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
- F16H2061/1208—Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures with diagnostic check cycles; Monitoring of failures
- F16H2061/1212—Plausibility checks; Counting means for repeated failures
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16H—GEARING
- F16H61/00—Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
- F16H61/12—Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
- F16H2061/1256—Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures characterised by the parts or units where malfunctioning was assumed or detected
- F16H2061/126—Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures characterised by the parts or units where malfunctioning was assumed or detected the failing part is the controller
- F16H2061/1268—Electric parts of the controller, e.g. a defect solenoid, wiring or microprocessor
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Small-Scale Networks (AREA)
- Communication Control (AREA)
- Programmable Controllers (AREA)
Abstract
一种负载驱动系统,能够提供从负载控制装置(200)传送到负载驱动装置(100)的指令的确定性以及抑制处理负载的增加,包括ECU(200)、驱动装置(100)、ECU和驱动装置所连接到的通信总线(B1)、和不同于连接ECU和驱动装置的通信总线(B1)的第三信号线(L3)。ECU生成包含驱动指令消息的帧,并且经由通信总线(B1)将消息传送到驱动装置。驱动装置经由通信总线(B1)接收帧(S30‑S32),并且从接收的帧中的数据域的数据提取驱动指令消息。驱动装置将驱动指令消息转换为负载驱动信号(S33、S34),并且经由第三信号线(L3)将转换后的负载驱动信号通知ECU。
Description
技术领域
本公开总体上涉及一种负载驱动系统。
背景技术
如专利文献1中公开的,存在一种涉及车载通信网络的网络安全(cybersecurity)的技术。
专利文献1是日本未审查专利公开No.2019-115067。
在一种比较性负载驱动系统中,负载控制装置经由通信总线向负载驱动装置指令负载驱动状态。在这种情况中,负载驱动系统可能被篡改而响应于网络攻击等来指令负载驱动装置。为了防止这种情况,可以设想负载驱动系统通过从负载控制装置到负载驱动装置的通信来执行加密(encryption)等。但是,负载驱动系统具有因执行加密而增加负载控制装置和负载驱动装置的处理负载的问题。
发明内容
本公开的一个目的是提供一种能够确认从负载控制装置到负载驱动装置的指令的确定性并且抑制处理负载的增加的负载驱动系统。
本文公开的负载驱动系统是一种通过具有负载控制装置、负载驱动装置、所述负载控制装置和负载驱动装置连接到的通信总线、和与所述负载控制装置和负载驱动装置连接到的所述通信总线不同的信号线以驱动负载的系统,和
所述负载控制装置包括发送器,所述发送器经由所述通信总线向所述负载驱动装置发送包含表示负载的驱动状态的驱动信息的多个消息,以及
所述负载驱动装置包括:
经由所述通信总线接收消息的接收器;
驱动器,其基于由所述接收器接收的消息中包含的驱动信息驱动所述负载;和
通知器,其从所接收的消息中提取所述驱动信息,并且经由所述信号线将所提取的驱动信息通知所述负载控制装置。
如上所述,所述负载驱动系统包括负载驱动装置,所述负载驱动装置接收从所述负载控制装置发送的消息并且基于所接收的消息中包含的驱动信息来驱动负载。然后,所述负载驱动装置从所接收的消息中提取所述驱动信息,并且经由不同于所述通信总线的信号线将所提取的驱动信息通知所述负载控制装置。因此,所述负载控制装置能够确认对所述负载驱动装置的指令的确定性。此外,由于所述负载驱动系统经由与所述通信总线不同的所述信号线通知所述负载控制装置信息,因此即使所述通信总线受到网络攻击,所述驱动信息也能被适当地传送并通知所述负载控制装置。此外,在所述负载驱动系统中,由于从所述负载控制装置到所述负载驱动装置的指令的确定性是可确认的,因此不需要执行加密等。因此,所述负载驱动系统能够抑制所述负载控制装置和负载驱动装置的处理负载的增加。
附图说明
本文公开的多个方面采用不同的技术手段来实现它们各自的目的。在权利要求中描述的括号中的附图标记和这样的部分示例性地示出了与稍后描述的实施例的部件的对应关系,并且不旨在限制技术范围。通过参考以下详细描述和附图,在此说明书中公开的目的、特征和优点将变得明显。
图1是示出第一实施例中驱动装置的示意配置的电路图。
图2是示出第一实施例中驱动IC部分的示意配置的电路图。
图3是示出第一实施例中控制寄存器的示意配置的图像示意图。
图4是示出第一实施例中时序电路的操作的框图。
图5是示出第一实施例中控制图谱(即,更新值)的设定操作的示意图。
图6是示出第一实施例中控制图谱(即,前一值)的设定操作的示意图。
图7是示出第一实施例中通电图谱的设定操作的示意图。
图8是示出第一实施例中转变禁止图谱的设定操作的示意图。
图9是示出第一实施例中通电图谱的示意配置的示意图。
图10是示出第一实施例中转变禁止图谱的示意配置的示意图。
图11是示出第一实施例中监控器寄存器的示意配置的示意图。
图12是示出第一实施例中ECU的操作的流程图。
图13是示出第一实施例中在接收通信数据时驱动装置的操作的流程图。
图14是示出第一实施例中在通知负载驱动信号时驱动装置的操作的流程图。
图15是示出第一实施例中驱动装置的操作的流程图。
图16是示出第一变型中的转变禁止图谱的示意图。
图17是示出第二变型中的转变禁止图谱的示意图。
图18是示出第二实施例中驱动装置的操作的流程图。
图19是示出第三实施例中驱动装置的操作的流程图。
图20是示出第四实施例中驱动装置的操作的流程图。
图21是示出第五实施例中驱动装置的操作的流程图。
图22是示出第六实施例中驱动装置的操作的流程图。
图23是示出第七实施例中驱动装置的操作的流程图。
图24是示出第八实施例中驱动装置的操作的流程图。
图25是示出第九实施例中驱动装置的示意配置的电路图。
图26是示出第九实施例中驱动装置的操作的流程图。
图27是示出第九实施例中ECU的操作的流程图。
图28是示出第十实施例中驱动装置的示意配置的电路图。
具体实施方式
下面将参考附图描述用于实现本公开的多个实施例。在每个实施例中,与前述实施例中描述的那些部分相对应的部分用相同的附图标记表示,并且在某些情况下可以省略冗余的描述。在每个实施例中,当仅说明该配置的一部分时,可以参考前述其他实施例来理解该实施例的其他部分。
(第一实施例,图1-15)
参考图1至图15描述本实施例的驱动装置100、ECU 200和负载驱动系统1000。负载驱动系统1000能够应用于例如用于驱动被安装在车辆上的负载的电路。在下文中将描述应用于车辆的自动变速器的示例。但是,本公开不限于这样的示例。
<自动变速器>
将描述自动变速器的示意配置。自动变速器包括例如阀体、传动机构、油泵、泊车锁机构(parking lock mechanism)等。传动机构具有多个摩擦元件,所述摩擦元件包括例如离合器、制动器等。传动机构能够通过选择性地接合每个摩擦元件来分级地改变传动齿轮比。
在阀体内形成用于调节被供给到传动机构的液压油的压力的液压回路。阀体具有多个电磁阀,所述电磁阀调节从油泵泵送的液压油,并将液压油供给到摩擦元件。电磁阀(solenoid valve)具有螺线管(solenoid)。螺线管有时称为线圈(coil)。通过控制对电磁阀的导电(即通电(energization))来调整液压油。
电磁阀与负载相对应。此外,在本实施例中,采用电磁阀作为后面将描述的多个致动器401至40n。因此,负载的通电状态与电磁阀(即,简言之,螺线管的)的通电状态相同。能够使用线性电磁阀作为电磁阀。此外,当不需要区分致动器401至40n时,致动器401至40n也可统称为致动器40n。
当选择泊车档(即变速器的P档位/位置)时,泊车锁机构设定泊车锁以锁定自动变速器的输出轴(即车轴(axle))的旋转。当从泊车锁的状态选择除泊车档(parking range)以外的档位时,泊车锁机构释放泊车锁定。因此,输出轴被解锁。但是,自动变速器不限于上述配置。
<负载驱动系统>
如图1所示,负载驱动系统1000至少包括驱动装置100、ECU 200、通信总线B1和第三信号线L3。在本实施例中,作为示例,采用具有分别不同于通信总线B1的第一信号线L1、第二信号线L2和第四信号线L4的负载驱动系统1000。第一信号线称为“供电信号线”,第二信号线称为“比较器信号线”,第三信号线称为“驱动控制器信号线”,和第四信号线称为“内部信号线”。
负载驱动系统1000控制多个致动器40n的驱动。负载驱动系统1000的驱动装置100布置/设置在阀体上。即,驱动装置100与自动变速器具有一体的机电结构。ECU 200与自动变速器在机械方面分离。包含阀体的自动变速器也可被视为负载。在图1中,致动器401至40n的通电路径被简化或示意性地示出。
请注意,n是2或更大的自然数。在本实施例中,采用n=8作为示例。因此,在本实施例中,采用对第一致动器401至第八致动器408通电并使其受到驱动的示例。此外,在本实施例中,采用如下示例,即通过控制第一致动器401至第八致动器408的驱动,自动变速器在第一至第五档位、P档位、R档位和N档位之间切换(即,在总共8个位置之间切换)。
但是,本公开不限于以上示例。即使通过控制多个致动器40n的驱动而在第一档位至第五档位之间切换自动变速器,也可以采用本公开。此外,本公开还可以采用通过控制多个致动器40n的驱动而在P档位、R档位、N档位和D档位之间切换自动变速器的示例。此外,作为致动器40n,也可以采用开关电磁阀(ON-OFF solenoid valve)。
此外,负载驱动系统1000通过控制多个驱动开关301至30n来控制多个致动器40n的驱动。驱动开关301至30n分别设置在相应致动器40n的导电路径(即,通电路径)中。因此,在本实施例中,作为示例,采用设置有第一驱动开关301至第八驱动开关308的配置。当不需要区分驱动开关301至308,即驱动开关301至308彼此之间区分时,也可以将驱动开关301至308统称为驱动开关30n。驱动开关30n也可被包括在稍后描述的驱动IC 20中。
当驱动开关30n接通时,电流被供给到相应的致动器40n。当驱动开关30n关断时,供给到相应致动器40n的电流被切断或中断。换言之,当相应的驱动开关30n接通时,致动器40n中的每个致动器导通或通电。此外,当相应的驱动开关30n关断时,致动器40n中的每个致动器不通电或断电。
如图1和图2所示,负载驱动系统1000包括馈电开关(power supply switch)500(用于接通/关断来自图1中的馈电电路或PSC 70的电力供给)。此外,负载驱动系统1000可以包括各种传感器。但是,负载驱动系统1000可以不包括馈电开关500和传感器,并且馈电开关500和传感器可以布置在负载驱动系统1000的外部。
馈电开关500设置在通向致动器40n的导电路径中。为所述多个致动器40n中的所有致动器设置单个(即,公共)馈电开关500。当馈电开关500接通时,致动器40n中的每个致动器能够接收电流供给。当馈电开关500关断时,中断对致动器40n中的每个致动器的电流供给。
馈电开关500可以相对于所述多个致动器40n布置在高侧,即电源侧,或低侧,即接地(GND)侧。本实施例的馈电开关500设置在高侧。作为馈电开关500,可采用诸如MOSFET的半导体开关。此外,馈电开关500设置在驱动装置100中。
传感器输出表示负载状态的信号(即,电信号)。也就是说,传感器检测包含阀体在内的自动变速器的状态。在本实施例中,采用包括旋转传感器600(RS)的一个示例作为传感器的示例。旋转传感器600包括例如输出表示在自动变速器的输入侧上的转速(例如,输入轴的转数)的信号的传感器和输出表示在输出侧上的转速(例如,输出轴的转数)的信号的传感器。
ECU 200和驱动装置100连接到单个/公共通信总线B1。除了ECU200和驱动装置100之外的装置(未示出)也可以连接到通信总线B1。在本实施例中,ECU 200和驱动装置100配置为能够经由符合CAN协议的车载网络的通信总线B1彼此通信。换言之,ECU 200和驱动装置100经由通信总线B1通过两线制差动系统(two-wire differential system)彼此进行数据通信。通信总线B1也可以称为CAN总线。CAN是Controller Area Network(控制器局域网)的缩写。CAN是注册商标。
以这种方式,ECU 200和驱动装置100经由用作CAN总线的通信总线B1彼此通信。因此,ECU 200和驱动装置100能够基本上通过/经由一条信号线发送和接收多条数据。即,ECU200和驱动装置100通过不同于需要三条或更多铜线的串行-并行接口(SPI)通信等的方法彼此通信。
在本实施例的负载驱动系统1000中,由ECU 200和驱动装置100传送的消息根据消息的重要性和类型预先确定优先级。然后,当传送每条消息时,首先传送表示每条消息的优先级的优先级信息(例如,ID码)。此时,如果多条消息的优先级信息的传送发生冲突(例如,相互冲突),则优先级信息用于仲裁,并且具有更高优先级的优先级信息获得发送权(例如,通过权,或首先传送)。
此外,ECU 200和驱动装置100通过第一信号线L1、第二信号线L2和第三信号线L3连接。与CAN总线不同,信号线L1至L3不用于传送或接收上述消息。信号线L1至L3分别为在串行外设接口(Serial Peripheral Interface,简称SPI)通信中使用的铜线、在没有并行转换的串行通信中使用的铜线等。因此,ECU 200和驱动装置100能够在不通过稍后描述的CAN收发器203的情况下发送和接收信号。
当经由信号线L1至L3执行SPI通信时,ECU 200和驱动装置100通过发送和接收串行数据并将接收到的串行数据转换为并行数据来获取信号。此外,当ECU 200和驱动装置100经由信号线L1至L3在没有并行转换的情况下执行串行通信时,ECU 200和驱动装置100通过检测信号线L1至L3所分别连接的端子的电平来获取信号。
第一信号线L1连接ECU 200和馈电电路70(PSC)。第二信号线L2连接ECU 200和第一比较器40(1CMP)。第三信号线L3连接ECU200和CAN控制器2(CTR)。
<ECU>
ECU 200对应于负载控制装置(或简称为控制装置)。即,ECU 200是设置在驱动装置100外部的控制装置。ECU 200包括第一微控制器201(MC)和第二微控制器202(MC)。此外,ECU 200包括用于经由通信总线B1执行通信的CAN收发器203(TRC)。
第一微控制器201是配备有CPU 2011、CAN控制器2012、ROM、RAM、寄存器等的微控制器。在第一微控制器201中,CPU 2011在使用RAM或寄存器的临时存储功能的同时,根据预先存储在ROM中的控制程序执行各种控制。CPU 2011使用从ECU 200外部获取的数据,例如传感器的检测信号,来执行控制。本实施例的CPU 2011控制致动器40n中的每个致动器,这最终是自动变速器的控制。
CPU 2011设定自动变速器的档位或排挡。CPU 2011向驱动装置100指令档位或排挡。CPU 2011通过输出对表示档位的负载驱动信号进行表示的数据来指令驱动装置100改变档位。表示负载驱动信号的数据是表示负载的驱动状态的信息。表示负载驱动信号的数据对应于驱动信息。在下文中,包含表示负载驱动信号的数据的消息可以称为驱动指令消息。
驱动指令消息包括表示致动器40n中的每个致动器的通电状态(即,驱动状态)的信号(即,值)。即,可以说驱动指令消息包括指令分别对应于致动器40n中的每个致动器的通电状态的信号。此外,可以说驱动指令消息包括指令致动器40n中的每个致动器的驱动状态的信号。
需要注意的是,CPU 2011可以执行预定计算以设定目标电流值。目标电流值是为了使致动器40n中的每一个致动器进入目标状态而应该传递到致动器401至40n中的每一个致动器上的电流的电流值。第一微控制器201获取自动变速器的状态并计算出目标油压,该目标油压是致动器40n中的每一个致动器的输出油压的要求值。第一微控制器201基于例如自动变速器的输入侧的转速和输出侧的转速来计算出目标油压。第一微控制器201基于计算出的目标油压设定目标电流值。目标油压与目标电流值之间的关系预先确定为例如映射或函数。ECU200向驱动装置100指令目标电流值。
CPU 2011可以基于自动变速器的状态设定占空比。第一微控制器201设定占空比以在换挡的初始阶段抑制诸如过冲(overshoot)和电流纹波(current ripple)的电流波动。所述占空比是输出到驱动开关30n的栅极的PWM信号的占空比,稍后对此进行描述。
第一微控制器201基于例如液压回路中的液压油的压力、液压油的温度、和流过每一个致动器40n的实际电流值中的至少一个来设定占空比。ECU 200向驱动装置100指令占空比。ECU 200可以指令在ECU 200的电力被接通的时间段期间的占空比,或者可以指令仅在的临时时间段期间,诸如换挡的初始阶段的短时间,的占空比。
CPU 2011基于自动变速器的状态确定是否发生了异常。第一微控制器201将例如液压油的压力与油压阈值进行比较,并且确定是否发生了异常。第一微控制器201将例如液压油的温度与温度阈值进行比较,并且确定是否发生了异常。
当确定已经发生了异常时,ECU 200向驱动装置100输出紧急指令,以使所有致动器40n进入预定的异常处理状态。作为紧急指令,本实施例的ECU 200向驱动装置100输出紧急中断指令以中断所有致动器40n的通电。注意,当从驱动装置100输入异常信号时,CPU2011可输出紧急中断指令。在这种情况下,CPU 2011经由例如第一信号线L1接收异常信号的输入。
顺便提一下,如后所述,当从驱动装置100输入异常信号时,通信总线B1有可能受到来自外部的攻击。也就是说,当经由通信总线B1传送紧急中断指令时,这样的紧急中断指令有可能被篡改。因此,即使CPU 2011经由CAN收发器203发送紧急中断指令,驱动装置100也可能不能接收到紧急中断指令。
因此,可能优选的是,CPU 2011经由第一信号线L1(即不通过CAN收发器203)输出紧急中断指令。结果,CPU 2011能够将紧急中断指令可靠地输出到驱动装置100。
第一微控制器201具有用于经由通信总线B1发送和接收消息的内置CAN控制器(built-in CAN controller)2012(图1中的CTR 2012)。CAN控制器2012根据CAN协议执行通信控制。CAN控制器2012执行例如发送控制、接收控制和仲裁控制。
CAN收发器203(图1中的TRC)与CAN控制器2012电连接,并且还与通信总线B1电连接。CAN收发器203通过在通信总线B1与CAN控制器2012之间双向转换电气特性,使得可以在通信总线B1与CAN控制器2012之间的双向上传送消息。例如,通过将通信总线B1的总线电平信号转换为能够由CAN控制器2012处理的数字信号,使显性(dominant)和隐性(recessive)得以识别。即,CAN控制器2012经由CAN收发器203连接到通信总线B1,从而能够向通信总线B1发送消息和从通信总线B1接收消息。
CAN控制器2012具有用于存储消息的消息框(图中未示出)。CAN控制器2012具有用于发送的消息框和用于接收的消息框。CAN控制器2012将经由通信接口获取的用于发送的消息依次存储在消息框中。CAN控制器2012根据各个存储消息的ID代码的优先级来发送(即,执行发送处理)所存储的消息。CAN控制器2012基于在消息框中存储的消息生成帧,并经由CAN收发器203将该帧发送到通信总线B1。
CPU 2011将例如驱动指令消息存储在CAN控制器2012的用于发送的消息框中。在这种情况下,CAN控制器2012生成包含驱动指令消息的帧,并经由CAN收发器203将该帧发送到通信总线B1。注意,CAN控制器2012生成在数据域(data field)中包含驱动指令消息的帧。以这种方式,驱动指令消息布置在帧的数据域中并进行发送。因此,驱动指令消息是CAN消息数据之一。
CAN控制器2012经由CAN收发器203从通信总线B1接收帧,提取消息等,并依次将消息等存储在消息框中。CAN控制器2012根据ID码的优先级将接收到的消息输出到发送目标。当帧在通信总线B1上发生冲突时,CAN控制器2012仲裁发送权(例如,位方式非破坏性仲裁(bit-wise non-destructive arbitration))。CAN控制器2012还检测和通知与帧的发送和接收相关联发生的错误。CAN收发器203和CAN控制器2012可以分别称为控制侧通信单元。
ECU 200还可以包括如图1所示的第二微控制器202。第二微控制器202监视第一微控制器201是否正常工作。第一微控制器201可以称为主微控制器,第二微控制器202可以称为监视微控制器。第二微控制器202监视例如第一微控制器201是否有看门狗异常、通信异常、或计算功能异常。除了上述监视功能之外,第二微控制器202还可具有辅助由第一微控制器201执行的控制的功能。第二微控制器202可以执行与负载驱动系统1000的控制不同的控制。第二微控制器202也可具有内置的CAN控制器(未示出)并且可以配置为经由通信总线B1发送和接收消息。
在本实施例中,第一微控制器201的监视装置配置为第二微控制器202,并且微控制器201和202相互监视它们是否正常工作。第一微控制器201的监视装置不限于第二微控制器202。可以提供监视IC来代替以第二微控制器202作为监视装置。ECU 200可以配置为不包括诸如第二微控制器202的监视装置。
<驱动装置的配置>
描述驱动装置100。在图2中,为方便起见,仅示出了对应于一个致动器(即致动器401)的部分。
驱动装置100对应于负载驱动装置。驱动装置100是对多个致动器40n进行通电和驱动(即通过通电来驱动)的电路。此外,驱动装置100通过控制多个驱动开关30n来通电和驱动多个致动器40n。与ECU 200不同,驱动装置100不包括微控制器。即,驱动装置100通过硬件逻辑对多个致动器40n进行通电和驱动。
驱动装置100包括CAN收发器1(TRC)、CAN控制器2(CTR)、包含控制寄存器11(CREG)的SPI电路10(SPIC)、驱动IC 20(DIC)、第一比较器40、和ROM 50作为它的主要部件。此外,驱动装置100包括时序电路30(SQC)、寄存器单元60(REG)、馈电电路70(PSC)、电流检测电阻81、放大器82、第二比较器83(2CMP)、监控器寄存器84(MREG)、波形分析电路90(WFA)等。
CAN收发器1电连接到CAN控制器2,并且也电连接到通信总线B1。CAN收发器1通过对通信总线B1与CAN控制器2之间的电气特性进行双向转换,使得可以在通信总线B1与CAN控制器2之间双向发送消息。CAN控制器2经由CAN收发器1连接到通信总线B1,使得能够向通信总线B1发送和从通信总线B1接收消息。
CAN控制器2具有用于存储消息的消息框(图中未示出)。CAN控制器2具有用于发送的消息框和用于接收的消息框。CAN控制器2将经由通信接口获取的发送消息依次存储在消息框中。CAN控制器2根据消息的ID码的优先级对存储的消息进行发送处理。CAN控制器2基于消息框中存储的消息生成帧,并经由CAN收发器1将帧发送到通信总线B1。
CAN控制器2经由CAN收发器从通信总线B1接收帧,并将这些帧依次存储在消息框中。CAN控制器2根据ID码的优先级将接收到的消息输出到发送目标。当帧在通信总线B1上发生冲突时,CAN控制器2对发送权进行仲裁(例如,位方式非破坏性仲裁)。CAN控制器2还检测和通知与帧的发送和接收相关联发生的错误。
更具体地,当CAN控制器2接收到例如包含驱动指令消息的帧时,CAN控制器2将接收到的帧的数据域中的数据存储在用于接收的消息框中(即,以下称为接收消息框)。此外,CAN控制器2从接收消息框中检出、即取出数据。然后,CAN控制器2从检出的数据中提取驱动指令消息并且将所述驱动指令消息转换为负载驱动信号。负载驱动信号对应于(i)驱动信息或(ii)对应于驱动信息的信号。
请注意,CAN控制器2可具有用于SPI通信的寄存器。在这种情况下,CAN控制器2可以从消息框移动/复制驱动指令消息,并且可以将这样的驱动指令消息存储在寄存器等中。以这种方式,CAN控制器2能临时存储从ECU 200发送的驱动指令消息。
存储在CAN控制器2中的负载驱动信号例如包括1作为指令通电的信号和0作为指令非通电的信号。因此,负载驱动信号能够通过0和1表征。在本实施例中,如图3的上框所示,以8位的负载驱动信号为例。但是,本公开不限于这样的配置,并且可以采用任何多位的负载驱动信号。
负载驱动信号是控制多个致动器40n的驱动的信号。因此,CAN控制器2中存储的负载驱动信号也可以理解为控制图谱(control pattern)。存储在CAN控制器2中的控制图谱是控制多个致动器40n的驱动的当前(即,正在使用的)控制图谱。因此,CAN控制器2中存储的控制图谱也可以理解为控制图谱的更新值。
此外,关于每个致动器40n的控制图谱的更新值对应于从一个驱动状态转变到另一驱动状态(即,下一驱动状态)之后的驱动状态,在下文中,这也可以被称为驱动转变。因此,当控制图谱从前值切换到更新值时,每个致动器40n的驱动状态改变/转变。稍后详细描述控制图谱的前值。
如图3的上框所示,在本实施例中,作为示例,采用了其中写入11100100(第一档位)作为控制图谱的更新值的CAN控制器2。此外,将控制图谱的更新值与用作转变确定值的转变禁止图谱52进行比较。因此,控制图谱也可以理解为比较图谱(或用于比较的数据/位图谱)。此外,转变禁止图谱52也可以理解为确定图谱(或用于转变的确定的数据/位图谱)。
图3的上框中的第一位211对应于第一致动器401。第二位212对应于第二致动器402。第三位213对应于第三致动器403。第四位214对应于第四致动器404。第五位215对应于第五致动器405。第六位216对应于第六致动器406。第七位217对应于第七致动器407。第八位218对应于第八致动器408。
注意,在本实施例中,采用控制图谱本身的更新值作为与由CAN收发器1和CAN控制器2接收的负载驱动信号相关的每个致动器40n的相关驱动状态。相关驱动状态可以视为从某个其他驱动状态转变后的驱动状态。因此,相关驱动状态也可以理解为下一驱动状态。
此外,CAN控制器2将控制图谱的更新值输出至SPI电路10。此时,只有在控制图谱的更新值正常时,CAN控制器2才将控制图谱输出至SPI电路10。即,当从后面将描述的第一比较器40输出正常信号时,CAN控制器2将控制图谱的更新值输出至SPI电路10。此外,当从第一比较器40输出异常信号时,CAN控制器2丢弃控制图谱的当前值,而不将其输出到SPI电路10。
SPI电路10(SPIC)与CAN控制器2、驱动IC 20、时序电路30等连接。SPI电路10具有控制寄存器11(CREG)。控制寄存器11也可以理解为控制存储单元。SPI是“SerialPeripheral Interface(串行外设接口)”的缩写。
控制寄存器11存储,即记忆,从CAN控制器2输出的控制图谱。如稍后描述的,在驱动装置100中,驱动IC 20根据控制寄存器11中存储的控制图谱来控制每个致动器40n的驱动。那么可以说控制寄存器11存储已被驱动IC 20用于驱动控制的控制图谱。因此,控制寄存器11中存储的控制图谱也可以理解为控制图谱的前值。即,控制图谱的前值对应于每个相应致动器40n当前所处的当前驱动状态。以此方式,SPI电路10获取控制图谱的前值。
如图3的下框所示,在本实施例中,示出了其中写入数据“01110100”(第四档位)作为控制图谱的前值的控制寄存器11的示例。控制寄存器11具有对应于各个致动器40n的地址的八个地址位111至118。在控制寄存器11中,在相关地址位中写入负载驱动信号中表示每个致动器40n的驱动状态的信号。
图3的下框中的第一个位111对应第一执行器401。第二位112对应第二执行器402。第三位113对应第三执行器403。第四位114对应第四执行器404。第五位115对应第五执行器405。第六位116对应第六致动器406。第七位117对应第七致动器407。第八位118对应第八致动器408。
如图1和图2所示,驱动IC 20连接到多个驱动开关30n。驱动IC 20根据控制图谱控制多个驱动开关30n。即,驱动IC 20根据存储在控制寄存器11中的控制图谱输出用于单个地接通/关断每个驱动开关30n的驱动信号。此外,驱动IC 20根据存储在控制寄存器11中的控制图谱选择性地接通/关断多个驱动开关301至308。
请注意,为方便起见,图1仅示出了一个驱动IC 20。但是,驱动装置100包括分别连接到对应的驱动开关30n的多个驱动IC 20。即,驱动装置100包括与驱动开关30n的数量相同数量的驱动IC 20。
因此,每个驱动IC 20根据与控制图谱中的相关驱动IC 20对应的值来接通/关断与其自身连接的驱动开关30n。例如,当第一驱动IC 20和第一驱动开关301连接时,第一驱动IC 20根据控制寄存器11的第一位111中存储的值来接通和关断第一驱动开关301。
作为驱动信号,可以采用PWM信号。在这种情况下,驱动IC 20能够通过改变PWM信号的占空比来改变流过致动器40n的电流(即,通电电流)。PWM是Pulse Width Modulation(脉冲宽度调制)的缩写。
例如,当控制图谱为11100100时,驱动IC 20接通第一驱动开关301至第三驱动开关303和第六驱动开关306。结果,驱动IC 20使第一致动器401至第三致动器403和第六致动器406通电。同时,驱动IC 20关断第四驱动开关304、第五驱动开关305、第七驱动开关307、和第八驱动开关308。结果,驱动IC 20使第四致动器404、第五致动器405、第七致动器407、和第八致动器408断电。
如图4所示,时序电路30(SQC)包括第一数据加载器31、第二数据加载器32、第三数据加载器33、第四数据加载器34、第三比较器41等。此外,时序电路30包括多个开关元件等。时序电路30与时钟同步工作。时序电路30工作以将控制图谱的更新值与确定图谱进行比较。请注意,对于有关第三比较器41的附加信息,请参见下面的图7的讨论。
如图5所示,第一数据加载器31将存储在CAN控制器2中的控制图谱的更新值写入第一数据寄存器61。即,第一数据加载器31复制CAN控制器2中每一位的信号,并且将其写入第一数据寄存器61的每一位。
如图6所示,第二数据加载器32将存储在控制寄存器11中的控制图谱的前值写入第二数据寄存器62。即,第二数据加载器32复制控制寄存器11中的每一位的信号,并且将其写入第二数据寄存器62的每一位。
如图7所示,第三数据加载器33将存储在ROM 50中的多个通电图谱51依序写入第三数据寄存器63。即,第三数据加载器33复制通电图谱51中的每一位的信号,并且将其写入第三数据寄存器63的每一位。稍后详细描述通电图谱51。
第三比较器41依序(即逐个图谱)将在第二数据寄存器62中设定的控制图谱与在第三数据寄存器63中设定的通电图谱51进行比较。第三比较器41从多个通电图谱51中选择与控制图谱的前值匹配的通电图谱51。这样的控制是选择与控制图谱的前值相对应的转变禁止图谱52。第三比较器41输出表示与控制图谱的前值匹配的通电图谱51的信号。
也可以理解,第三比较器41检测到控制图谱的前值是表示第四档位的控制图谱。此外,还可以理解,第三比较器41确定从由控制图谱的前值表示的一个驱动状态到由控制图谱的更新值表示的另一驱动状态的驱动转变。换句话说,第三比较器41(图4中示出,但图1中未示出)确认控制寄存器11(在SPI电路10中)中存储的前值是有效的,因为它与ROM 50中的EZP 51中已知/已识别的通电图谱匹配或“相符”。然后,第三比较器将这个确认/匹配/相符的前值传递给第四数据加载器34。第四数据加载器34使用这个确认的前值来选择和加载与所确认的前值相关联的转变禁止图谱。最后,第一比较器40将更新值与(关联于确认的前值的)转变禁止图谱相比较。
如果比较器40确定更新值被禁止(与转变禁止图谱匹配),则更新值是异常控制图谱,并且输出异常信号。可选地,该异常信号可以经由第二信号线L2传输到控制装置,从而避免潜在的篡改/异常的通信总线B1。
如果比较器40确定允许(未禁止)更新值,则更新值是正常控制图谱。
如图8所示,第四数据加载器34将存储在ROM 50中的转变禁止图谱52写入第四数据寄存器64。第四数据加载器34将对应于从第三比较器41输出的信号的转变禁止图谱52写入第四数据寄存器64。当存在多个转变禁止图谱52时,第四数据加载器34将转变禁止图谱52依序(即,逐个图谱)写入第四数据寄存器64。换言之,第四数据加载器34复制转变禁止图谱52中每一位的信号,并将其写入第四数据寄存器64的每一位。以这样的方式,第四数据加载器34从ROM 50获取与控制图谱相关联的转变禁止图谱52。
在本实施例中,采用转变禁止图谱52作为确定图谱。注意,转变禁止图谱52也可以理解为转变确定值和禁止确定值。稍后详细描述转变禁止图谱52。
第一比较器40(1CMP)由运算放大器等构成。第一比较器40将转变禁止图谱52与控制图谱的更新值进行比较。第一比较器40依序将转变禁止图谱52的每个信号与控制图谱的更新值中的每个信号进行比较。第一比较器40将转变禁止图谱52与控制图谱的更新值进行比较,并且确定转变禁止图谱52和控制图谱的更新值是否满足预定的对应关系。然后,当满足预定的对应关系时,第一比较器40确定控制图谱的更新值是异常的。
如上所述,在本实施例中,采用转变禁止图谱52作为转变确定值。因此,当转变禁止图谱52与控制图谱的更新值匹配时,第一比较器40确定满足预定的对应关系。此外,当转变禁止图谱52与控制图谱的更新值匹配时,可以理解为控制图谱的更新值被包括在转变禁止图谱52中。另一方面,当转变禁止图谱52与控制图谱的更新值不匹配时,第一比较器40确定不满足预定的对应关系。
与转变禁止图谱52匹配的控制图谱的更新值变成表示从当前驱动状态到禁止驱动状态的驱动转变的控制图谱。因此,这样的控制图谱的更新值是异常控制图谱。CAN控制器2接收到异常控制图谱的原因可能是消息欺骗等。也就是说,在负载驱动系统1000中,例如,当通信总线B1受到攻击并且负载驱动信号被伪造时,其导致异常控制图谱被传送到驱动装置100的情况。
另一方面,与转变禁止图谱52不匹配的控制图谱的更新值变成指令从当前驱动状态向非禁止驱动状态的驱动转变的控制图谱。因此,这种控制图谱的更新值是正常控制图谱。
因此,当转变禁止图谱52与控制图谱的更新值匹配时,第一比较器40确定控制图谱的更新值异常。另一方面,当转变禁止图谱52与控制图谱的更新值不匹配时,第一比较器40确定控制图谱的更新值正常。
此外,第一比较器40依据转变禁止图谱52与控制图谱的更新值是否匹配而输出不同的输出信号。如果它们匹配,则第一比较器40输出表示控制图谱的更新值是异常的异常信号。异常信号表示(i)控制图谱的更新值是异常的和(ii)经由通信总线B1的通信可能是异常的。
另一方面,如果它们不匹配,则第一比较器40输出表示控制图谱是正常的正常信号。异常信号和正常信号都输出到CAN控制器2、馈电电路70、ECU 200等。正常信号表示(i)控制图谱的更新值是正常的和(ii)经由通信总线B1的通信是正常的。
通过向CAN控制器2输出异常信号,第一比较器40通知CAN控制器2控制图谱的更新值是异常的。通过向CAN控制器2通知异常,第一比较器40指令CAN控制器2丢弃控制图谱的更新值。通过向馈电电路70和/或ECU 200输出异常信号,第一比较器40指令将致动器40n置于供电中断状态。注意,当指令中断供电时,第一比较器40可以向馈电电路70和ECU 200中的至少一个输出异常信号。
此外,通过向CAN控制器2输出正常信号,第一比较器40指令CAN控制器2输出控制图谱的更新值。通过向馈电电路70和/或者ECU200输出正常信号,第一比较器40指令将致动器40n置于供电状态。
如上所述,通信总线B1可能受到来自外部的攻击。即,当异常信号或正常信号经由通信总线B1传送时,这些信号可能被篡改或可能已经被篡改。因此,即使驱动装置100经由CAN收发器203发送异常信号或正常信号,ECU 200也可能不能接收到这些信号。
因此,可能优选的是,第一比较器40经由第二信号线L2向ECU200输出异常信号或正常信号。以这种方式,即使通信总线B1受到攻击,第一比较器40也能够将异常信号或正常信号输出至ECU 200。
ROM 50存储通电图谱51(EZP)和转变禁止图谱52(PHP)。可以理解,ROM 50具有存储通电图谱51的通电图谱存储器(energization pattern memory)和存储转变禁止图谱52的转变禁止图谱存储器。ROM50也可以理解为确定图谱存储单元。
如图9所示,通电图谱51是对应于所有致动器40n中的每个致动器的所有驱动状态的控制图谱。因此,ROM 50存储多个通电图谱51。此外,每个通电图谱51包括指令每个致动器40n的驱动状态的信号。此外,每个通电图谱51与自动变速器的每个状态(即,第一至第五和P、R、N的八个状态之一)相关联。如果控制图谱的前值与控制图谱的更新值分别是正常的,则它们分别是通电图谱51之一。注意,在图9和其他附图中,致动器401至408分别示为1ACT至8ACT。
如图10所示,转变禁止图谱52是表示每个致动器40n的驱动状态的通电图谱51。转变禁止图谱52是与从当前驱动状态的驱动转变相关的值。转变禁止图谱52是用于确定控制图谱的更新值是否异常的确定值。ROM 50相互关联地存储控制图谱和转变禁止图谱52。
转变禁止图谱52表示禁止从由控制图谱的前值表示的驱动状态驱动转变的禁止驱动状态。转变禁止图谱52也可以理解为示出作为自动变速器的不利/不期望的(即最好不发生的)操作的驱动转变的通电图谱51。
在图10的示例中,示出了与表示第四档位的控制图谱相关联的转变禁止图谱52。当自动变速器处于第四档位时,降档到第一档位会导致意外的急剧减速。此外,换档至R档位是无意中选择倒档。另外,换档到P档位会导致意外的P(泊车)锁定。因此,作为对应于第四档位的控制图谱,对应于第一档位、R档位、或P档位的通电图谱分别关联为转变禁止图谱。与控制图谱不同,转变禁止图谱52预先存储在ROM 50中。
ROM 50具有分别对应于致动器401至408的地址位。在ROM 50中,在转变禁止图谱52中表示致动器401至408中的每一个的驱动状态的信号(即,值)分别写入相关地址位。在本实施例中,以8位控制图谱为例。因此,每个转变禁止图谱52具有8位,这与控制图谱相同。每个转变禁止图谱52包括作为表示通电的信号的1和作为表示非通电的信号的0。因此,每个转变禁止图谱52可以用0和1表征。
ROM 50可以优选地配置为不能经由CAN控制器2访问。也就是说,ROM 50具有不能经由CAN控制器2从驱动装置100的外部重写的配置。此外,也可以理解为,ROM 50是独立于经由通信总线B1的通信而提供的。因此,通电图谱51和转变禁止图谱52在工厂、经销商等处写入ROM 50中。通过这样的配置,驱动装置100能够防止通电图谱51和转变禁止图谱52被无意地重写。
寄存器单元60(REG)包括第一数据寄存器61(1REG)、第二数据寄存器62(2REG)、第三数据寄存器63(3REG)和第四数据寄存器64(4REG)。如上所述,在数据寄存器61至64中的每一个中设定值。
如图1和图2所示,馈电电路70是用于切换馈电开关500的接通/关断的电路。馈电电路70通过接通和关断馈电开关500来切换对多个致动器401至408的供电状态。馈电电路70(PSC)也可以理解为馈电单元。
当从ECU 200输入紧急中断指令时,馈电电路70输出例如表示馈电开关500关断的信号。即,馈电电路70通过关断馈电开关500来将致动器40n中的每一个置于供电中断状态。此外,也可以理解为,馈电电路70关断馈电开关500,以便防止每个致动器40n被异常控制图谱驱动。另一方面,当控制图谱的更新值是正常的时,馈电电路70接通馈电开关500并且为每个致动器40n设定供电状态。
当从第一比较器40输入异常信号时,馈电电路70可输出表示馈电开关500关断的信号。紧急中断指令和异常信号也可以理解为指令馈电开关500关断的信号。
电流检测电阻器81与放大器82一起构成电流检测单元。为每个致动器40n单独提供电流检测单元。因此,在本实施例中,驱动装置100设有八个电流检测单元。在图1中,作为代表性示例,仅示出了对应于第一致动器401的电流检测单元。
每个电流检测单元检测实际流过相应致动器40n的电流。换言之,每个电流检测单元检测相应致动器40n的驱动状态。此外,还可以理解为,每个电流检测单元监视相应致动器40n的通电状态。
除了电流检测电阻器81和放大器82之外,每个电流检测单元可以包括去除/过滤由放大器82放大的电压的噪声的滤波器。滤波器可以包括例如电阻器和电容器.
电流检测电阻器81与致动器401串联连接。电流检测电阻器81设置在相对于第一致动器401的接地侧(即下游侧)。放大器82放大在电流检测电阻器81两端产生的电压,该电压与电流成比例。因此,放大器82输出与流过第一致动器401的电流(的大小)成比例的电压信号。因此,每个电流检测单元输出与流过相应致动器40n的电流(的大小)成比例的电压信号。
第二比较器83(2CMP)由运算放大器等构成。为每个致动器40n单独地提供第二比较器83。此外,第二比较器83与电流检测电阻器81和放大器82设置为一组。在本实施例中,在驱动装置100中设置八个第二比较器83。在图1中,作为代表性示例,仅示出了对应于第一致动器401的第二比较器83。
第二比较器83将由放大器82输出的电压信号与参考值进行比较。当该电压信号比参考值高时,第二比较器82输出正值;当该电压信号比参考值低时,第二比较器82输出负值。即,也可以理解,第二比较器83输出表示由每个电流检测单元所监视的每个致动器40n的通电状态的监控器结果。当例如第一致动器401通电时,第二比较器83输出正值。此外,当例如第一致动器401未通电时,第二比较器83输出负值。
如图11所示,每个第二比较器83的输出被写入监控器寄存器84(MREG)。即,也可以理解,监控器寄存器(monitor register)84存储作为监视各致动器40n的通电状态的结果的监控器图谱。监控器图谱能够视为当前驱动状态。监控器图谱也能够视为相关的驱动状态。监控器寄存器84也可以理解为监视(图谱)存储单元。在图11中,采用其中存储了表示第四档位的监控器图谱的监控器寄存器84作为示例。
以此方式,驱动装置100能够通过使用电流检测电阻器81、放大器82、第二比较器83和监控器寄存器84来获取每个致动器40n的当前驱动状态。在本实施例中,监控器图谱能够用作当前驱动状态而不是控制图谱的前值。这些部件81至84也可以分别理解为获取装置。但是,本公开可以不设置有部件81至84。特别地,可以不设置有监控器寄存器84。
监控器寄存器84具有分别对应于致动器401至408的地址位。在监控器寄存器84中,表示致动器401至408中的每一个的通电状态的信号(即,值)写入相关地址位中。表示致动器401至408的通电状态的信号是相关的一个第二比较器83的输出。
在监控器寄存器84中,例如,1作为表示通电的信号写入,0作为表示未通电的信号写入。因此,监控器图谱可以用0和1来表征。在本实施例中,以8位的控制图谱为例。因此,监控器图谱有8位,与控制图谱相同。
注意,监控器寄存器84的第一位841对应于第一致动器401。类似地,第二位842至第八位848中的每一个对应于第二致动器402至第八致动器408中的每一个。
波形分析电路90接收作为旋转传感器600的输出的旋转传感器信号。波形分析电路90基于旋转传感器信号,例如基于每秒脉冲数,确定车辆速度。波形分析电路90确定例如车辆速度是高的速度、低的速度、还是0(即,车辆停止)。
当旋转传感器信号达到预定阈值时,波形分析电路90确定速度是高的。此外,当旋转传感器信号未达到预定阈值且不为0时,波形分析电路90确定速度是低的。此外,当旋转传感器信号是0或表示0时,波形分析电路90确定车辆停止。
因此,车辆速度可以视为每个致动器40n的当前驱动状态。因此,波形分析电路90也可以理解为获取装置。但是,本公开不是必须包括波形分析电路90。注意,旋转传感器600是根据负载的驱动状态输出电信号的传感器。
此外,在本实施例中,采用旋转传感器600作为根据负载的驱动状态输出电信号的传感器的示例。但是,本公开不限于这样的示例。与后面的实施例类似,本实施例能够采用以下传感器作为输出电信号的传感器,例如液压传感器、油温传感器、泊车锁传感器(parking lock sensor,简写为P-lock sensor)等。即,驱动装置100可以连接到油压传感器、油温传感器、或泊车锁传感器。
在这种情况下,驱动装置100可以经由通信总线B1将从每个传感器输出的电信号发送到ECU 200。结果,负载驱动系统1000可以抑制信号线数量的增加。因此,负载驱动系统1000能够以低成本构造/制造。
<处理操作>
将参考图12至图15描述负载驱动系统1000的处理操作。
首先,参考图12描述ECU 200的处理操作。ECU 200以预定的时间间隔开始图12的流程图所示的处理操作或当事件发生时开始图12的流程图所示的处理操作。
在步骤S10中,确定负载驱动转变。CPU 2011通过确定向驱动装置100指令的负载驱动信号来确定负载驱动转变或当确定向驱动装置100指令的负载驱动信号时确定负载驱动转变。CPU 2011确定,例如,表示自动变速器切换到第一档位的负载驱动转变。
在步骤S11中,进入驱动禁止状态,即实施驱动禁止状态,或者负载的驱动被禁止(驱动允许单元)。CPU 2011将负载置于驱动禁止状态。即使CPU 2011确定负载驱动转变,也有可能不能正常驱动负载,直到在步骤S14中确定“匹配”。因此,CPU 2011将负载置于驱动禁止状态,直到在步骤S14中确定匹配为止。换言之,CPU 2011禁止负载的驱动,直到确定负载不处于被异常驱动的状态。驱动禁止状态是禁止由驱动装置100驱动负载的状态。换句话说,转变到新的/更新的状态被初始禁止,直到在步骤S14中匹配成功地发生之后,下面更详细地讨论。
例如,CPU 2011通过向驱动装置100输出表示允许驱动负载的驱动允许信号来解除负载驱动禁止,即,将负载置于驱动允许状态。另一方面,CPU 2011通过不向驱动装置100输出驱动允许信号而将负载置于驱动禁止状态。
CPU 2011经由第三信号线L3向CAN控制器2输出驱动允许信号。然后,CAN控制器2仅在输入驱动允许信号时才将控制图谱的更新值输出到SPI电路10。因此,驱动装置100仅在输入驱动允许信号时才能够驱动负载。
在步骤S12中,包含驱动指令消息的帧被发送(发送器)。CPU 2011将步骤S11中确定的负载驱动信号所对应的驱动指令消息存储在用于CAN控制器2012发送的消息框中。CAN控制器2012生成包含驱动指令消息的帧,并且经由CAN收发器203发送到通信总线B1。这里,包含表示切换到第一档位的切换指令的驱动指令消息的帧经由通信总线B1发送到驱动装置100。CPU 2011经由通信总线B1向驱动装置100发送包含表示负载的驱动状态的驱动信息的多个消息。
在步骤S13中,获取负载驱动信号(获取单元)。CPU 2011经由第三信号线L3获取负载驱动信号。即,CPU 2011从驱动装置100获取负载驱动信号。
CPU 2011获取负载驱动信号以便确定(i)向驱动装置100指令的驱动状态和(ii)驱动装置100试图执行的驱动状态是否匹配。此外,还可以理解,CPU 2011获取负载驱动信号以便根据指令的驱动状态(即,按照指令)确定驱动装置100是否驱动负载。此外,还可以理解,CPU 2011获取负载驱动信号以便确定被传送到驱动装置100的驱动指令消息是否已经被篡改。
在步骤S14中,比较驱动指令。CPU 2011将在步骤S12中发送的驱动指令消息与在步骤S13中接收的(即获取的)负载驱动信号进行比较。即,也可以理解,CPU 2011比较(i)由ECU 200经由通信总线B1发送的驱动信息与(ii)由驱动装置100经由第三信号线L3发送并且由ECU200获取的驱动信息。此外,还可以理解,ECU 200比较(i)由驱动装置100指令的驱动状态与(ii)从ECU 200向驱动装置100指令的驱动状态。例如,CPU 2011能够将发送的驱动指令消息转换为负载驱动信号,并且能够将其与接收到的负载驱动信号进行比较,类似于驱动装置100。
如稍后详细描述的,当驱动装置100接收到从ECU 200发送的驱动指令消息时,驱动装置100将驱动指令消息转换成负载驱动信号。然后,驱动装置100将转换后的负载驱动信号通知ECU 200。因此,如果没有被篡改,则在步骤S13中接收到的负载驱动信号与在步骤S12中发送的驱动指令消息匹配。
因此,当CPU 2011确定在步骤S12中发送的驱动指令消息与在步骤S13中接收到的负载驱动信号匹配时,CPU 2011前进到步骤S15。如果CPU 2011确定不匹配,则CPU 2011前进到步骤S17。如果它们匹配,则可以认为驱动装置100不处于异常驱动负载的状态。另一方面,如果它们不匹配,则可以将其视为驱动装置100异常驱动负载的状态。
本公开不限于上面所述的这样的配置。当在步骤S12中发送的驱动指令消息与在步骤S13中接收的负载驱动信号满足预定的对应关系时,CPU 2011可以前进到步骤S15。这样,如果不满足预定的对应关系,则CPU 2011可以前进到步骤S17。
在步骤S15中,改变驱动状态并且实施驱动允许状态,即进入驱动允许状态(驱动允许单元)。如果CPU 2011在步骤S14中确定匹配,则CPU 2011向驱动装置100输出驱动允许信号。结果,CPU 2011将驱动装置100置于驱动允许状态。注意,驱动允许状态是允许驱动装置100驱动负载的状态。
如上所述,负载驱动系统1000总是(即,换言之,初始)被置于驱动禁止状态,然后仅当在步骤S14中确定它们匹配时才被置于驱动允许状态。结果,负载驱动系统1000能够防止负载被错误/伪造的指令驱动。因此,负载驱动系统1000能够提高可靠性。但是,本公开可以不包括,即可以省略,步骤S11、S15。
在步骤S16中,确定操作是正常的。CPU 2011确定驱动装置100正常操作负载。此外,也可以理解为CPU 2011确定通过通信总线B1传送的驱动指令消息未被篡改。此外,还可以理解为CPU 2011确定在通信总线B1上正常进行通信。
在步骤S17中,对(异常)状态通知的数量进行计数(异常确定单元)。状态通知的数量是来自驱动装置100的负载驱动信号的通知的数量。即,状态通知的数量是在步骤S13中接收到负载驱动信号的次数。另外,状态通知的数量也可以理解为在S14中不匹配确定的次数。每当在步骤S14中确定存在不匹配时,CPU 2011就对状态通知的数量进行计数。状态通知的计数被指定为N。
在步骤S18中,判断是否N>5(异常确定单元)。当CPU 2011确定计数N超过5时,处理前进到步骤S19,并且当CPU 2011确定计数N不超过5时,处理返回到步骤S11。阈值“5”也可以理解为预定的次数。
注意,当例如在步骤S14中确定匹配时,CPU 2011清除计数。即,当计数N超过5但在步骤S14中未确定为匹配时,CPU 2011前进到步骤S19。
CPU 2011在步骤S18中确定为“否”,并返回到步骤S11以继续驱动禁止状态。此外,在步骤S11之后,CPU 2011在步骤S12中再次发送包含驱动指令消息的帧。
注意,采用5作为预定次数的示例,其是计数N的阈值。但是,本公开不限于这样的示例。预定的次数能够是任何数量,只要它是1或更大的自然数。预定次数越小,通信异常能够越快地确定。另一方面,规定次数越大,越能够抑制通信异常的误判。此外,本公开可以不包括,可以省略,步骤S17、S18。
在步骤S19中,确定通信是异常的(异常确定单元)。CPU 2011确定经由通信总线B1与驱动装置100的通信是异常的。即,CPU 2011确定通信总线B1已经受到来自外部的攻击,不能正常地发送负载驱动信号到驱动装置100。
如上所述,当在步骤S12中发送的驱动指令消息与在步骤S13中接收到的负载驱动信号不匹配时,CPU 2011确定在步骤S13中接收到的负载驱动信号是异常的。然后,因为在步骤S13中接收到的负载驱动信号是异常的,CPU 2011确定驱动装置100处于异常驱动负载的状态。
在步骤S20中,执行紧急中断(异常处理单元)。当CPU 2011确定驱动装置100处于异常驱动负载的状态时,CPU 2011中断负载。CPU2011经由第一信号线L1向馈电电路70输出紧急中断指令。即,CPU2011不经过CAN控制器2012和CAN收发器203而将紧急中断指令输出到馈电电路70。结果,CPU 2011能够基于经由在其中已经发生通信异常的通信总线B1所传送的负载驱动信号来抑制每个致动器40n的驱动控制。
CPU 2011可以经由第一信号线L1将转变指令输出到特定换档状态。即,只要CPU2011配置为经由第一信号线L1输出指令以将负载的通电设定为预定的异常处理状态,CPU2011就能够被采用。
接着,参考图13至图15说明驱动装置100的处理动作。一旦接收到帧,驱动装置100就开始图13的流程图所示的处理操作。
在步骤S30中,接收到的帧被存储在接收消息框(接收器)中。CAN控制器2经由通信总线B1接收帧。然后,CAN控制器2在接收消息框中存储所接收帧的数据域中的数据。这里,采用(即解释/描述)接收到包含驱动信号消息的帧的情况。此外,还可以理解,接收到的消息包含驱动信号消息。注意CAN控制器2接收多个消息。
在步骤S31中,取出数据。CAN控制器2从接收消息框取出数据。
在步骤S32中,提取驱动指令消息。CAN控制器2从上述取出的数据中提取驱动指令消息。
在步骤S33中,驱动指令消息被转换为负载驱动信号。CAN控制器2将驱动指令消息转换为负载驱动信号。结果,驱动指令消息被转换成例如8位数据(即,控制图谱)。因此,负载驱动信号由具有比驱动指令消息足够小的数据量(即,信息量)的数据构成。
在步骤S34中,通知负载驱动信号(通知器)。CAN控制器2经由第三信号线L3向ECU200通知(即,发送)在步骤S33中转换的负载驱动信号。即,CAN控制器2通知该转换后的负载驱动信号作为在步骤S32中提取的驱动指令消息。
因此,与作为CAN消息的驱动指令消息按原样传送到ECU的情况相比,CAN控制器2能够减少传送信息(即,信息量)。因此,负载驱动系统1000能够通过使用第三信号线L3,即通过使用一条信号线来通知,并且可具有不昂贵的配置。此外,CAN控制器2可以仅发送用于确定负载是否被异常驱动所需的信息。注意,ECU 200获取,如上所述,在步骤S13中由CAN控制器2输出的负载驱动信号。
顺便提及,当驱动装置100通知例如8位负载驱动信号时,能够想到使用多条信号线通知这样的负载驱动信号。在这样的情况下,负载驱动系统1000需要利用多条信号线连接驱动装置100和ECU 200。但是,当驱动装置100通知负载驱动信号时,它可以通知该信号作为脉冲信号的占空比。然后,ECU 200基于频率和/或占空比确定负载驱动信号。
在这种情况下,驱动装置100能够通过一条信号线,即经由第三信号线L3,来通知负载驱动信号。因此,在负载驱动系统1000中,不需要为了通知负载驱动信号而利用多条信号线连接驱动装置100和ECU 200。与上述类似,负载驱动系统1000能够通过单条信号线,即通过第三信号线L3,来通知信号,并且可具有不昂贵的配置。此外,由于ECU 200基于频率和/或占空比来确定负载驱动信号,因此它不容易受到噪声的影响。此外,由于在不使用通信总线B1的情况下通知ECU 200,因此在步骤S14中,能够快速执行比较和确定而无需数据转换时间。
在本实施例中,如步骤S33和S34所示,采用通知通过转换驱动指令消息所得到的负载驱动信号的示例。但是,本公开不限于这样的示例。在本公开中,在步骤S32中提取的驱动指令消息可以经由第三信号线L3通知到ECU 200。以这样的方式,负载驱动系统1000能够简化驱动装置100的配置,因为驱动装置100不执行转换。
在步骤S35中,按照所指令的对驱动器进行驱动。驱动装置100基于对被包含于在步骤S30中接收到的(来自ECU 200的)驱动指令消息中的负载驱动信号进行表示的数据来驱动(即,“最终”允许驱动)负载。即,驱动装置100根据在步骤S32中转换的负载驱动信号来驱动负载。在这样的时刻,CAN控制器2将转换后的负载驱动信号(即,控制图谱)存储在控制寄存器11中。在驱动装置100中,如上所述,驱动IC 20根据控制寄存器11中存储的控制图谱来控制每个致动器40n的驱动。
注意,如上所述,当ECU 200在步骤S14中确定不匹配时,ECU200执行负载的紧急中断。但是,驱动装置100在步骤S34与S35之间具有大约几百毫秒或大约100毫秒的时间限额(time allowance)。因此,当ECU 200不执行步骤S17和S18时或者当不匹配发生四次或更少时,能够防止驱动装置100利用被确定为不匹配的负载驱动信号驱动负载。在这种情况下,ECU 200不是必须前进到步骤S19并且不是必须执行设定驱动禁止状态的处理。此外,当驱动装置100将负载驱动信号通知给ECU 200时,可以开始图14的流程图中所示的处理。注意,步骤S41与步骤S35相同。
在步骤S40中,确定是否存在允许指令。CAN控制器2确定是否经由第三信号线L3输入了驱动允许信号。驱动允许信号是CPU 2011在步骤S15中输出的信号。
当输入驱动允许信号时,CAN控制器2确定存在允许指令,并且前进到步骤S41。如果没有输入驱动允许信号,则CAN控制器2确定不存在允许指令,并且前进到步骤S42。
在步骤S42中,确定是否已经经过了预定时间。CAN控制器2确定从被通知负载驱动信号起是否经过了预定时间。在这种情况下,当CAN控制器2在步骤S34中通知负载驱动信号时,通过使用计时器等在该时刻开始测量所经过的时间。当CAN控制器2确定已经经过预定时间时,CAN控制器2前进到步骤S43。如果CAN控制器2没有确定已经经过了预定时间,则CAN控制器2前进到步骤S40,即返回到步骤S40。
预定时间是预定的时间量或预定的时间段。例如,预定时间可以是通知负载驱动信号所需的时间段、步骤S14中的比较处理所需的时间、传送所述驱动允许信号所需的总时间、包含总时间和时间余量的时间等。
在步骤S43中,执行通知。CAN控制器2通知ECU 200没有输入驱动允许信号,即使被通知了负载驱动信号。
图12至图14的流程图中所示的处理操作能够应用于其他实施例。此外,当驱动装置100接收到负载驱动信号时,驱动装置100可以开始图15的流程图所示的处理操作。此时,假设馈电电路70输出表示馈电开关500接通的信号。即,能够给每个致动器40n提供电流。在本公开中,不要求执行图15的流程图所示的处理操作。在这种情况下,驱动装置100不是必须具有仅与这种处理操作相关的配置。
在步骤S50a中,设定转变禁止图谱。如上所述,第二数据加载器32、第三数据加载器33、和第四数据加载器34从ROM 50中选择与控制图谱的前值相对应的转变禁止图谱52,并将其设定在第四数据寄存器中64。
当在ROM 50中存储多个转变禁止图谱52时,第四数据加载器34将ROM 50的存储的转变禁止图谱52依序写入第四数据寄存器64。此外,当写入第四数据寄存器64的转变禁止图谱52输出到第一比较器40时,第四数据加载器34将下一转变禁止图谱52写入第四数据寄存器64。
在步骤S51中,设定负载驱动信号。如上所述,第一数据加载器31从CAN控制器2加载作为负载驱动信号的控制图谱更新值。然后,第一数据加载器31在第一数据寄存器61中设定被加载的控制图谱的更新值。当控制图谱在第一数据寄存器61中被设定时,控制图谱被输出到第一比较器40。
在步骤S52a中,比较所接收的信号和转变禁止图谱。所接收的信号是控制图谱的更新值。第一比较器40将在第一数据寄存器61中设定的控制图谱的更新值与在第四数据寄存器64中设定的转变禁止图谱52进行比较。当多个转变禁止图谱52存储在ROM 50中时,第一比较器40依序将控制图谱的更新值与每个转变禁止图谱52进行比较。以这种方式,第一比较器40将控制图谱的更新值与所有转变禁止图谱52中的每一个进行比较。
当控制图谱的更新值与所有转变禁止图谱52不匹配时,第一比较器40前进到步骤S53。在这种情况下,控制图谱的更新值能够认为是正常的。
另一方面,当控制图谱的更新值与转变禁止图谱52匹配时,第一比较器40前进到步骤S54。即,即使当转变禁止图谱52中仅有一个转变禁止图谱与控制图谱的更新值匹配时,第一比较器40也前进到步骤S54。在这种情况下,能够认为控制图谱的更新值是异常的。
在本实施例中,采用11100100作为控制图谱的更新值。此外,在本实施例中,采用图8所示的三个图谱等作为转变禁止图谱52。因此,控制图谱的更新值('11100100')与第三转变禁止图谱52匹配。因此,第一比较器40确定匹配,即确定控制图谱的更新值和转变禁止图谱52匹配。
在步骤S53中,根据负载驱动信号进行通电。第一比较器40输出表示控制图谱的更新值是正常的正常信号。当输入正常信号时,驱动IC 20根据写入控制寄存器11中的负载驱动信号对致动器40n通电。即,CAN控制器2将控制图谱的更新值存储在控制寄存器11中。然后,驱动IC 20根据在控制寄存器11中存储的控制图谱的更新值选择性地接通和关断驱动开关301至308。以这种方式,驱动IC 20选择性地向致动器40n供给电流。以此方式,步骤S53执行与步骤S35类似的处理。
在步骤S54中,通知异常。第一比较器40向ECU 200输出表示控制图谱的更新值是异常的异常信号。以这种方式,第一比较器40将异常通知给ECU 200。以这种方式,驱动装置100能够通过使用第一比较器40而不使用微控制器(即不执行算术运算或计算)来将异常快速地通知给ECU 200。即,也可以理解,与使用微控制器进行算术运算/计算的配置相比,驱动装置100通过使用第一比较器40能够更早地将异常通知给ECU 200。
在步骤S55中,关断供电。第一比较器40向馈电电路70输出表示控制图谱的更新值是异常的异常信号。也可以理解,第一比较器40向馈电电路70输出异常信号以关断(即,中断)向致动器40n供电。当输入异常信号时,馈电电路70关断馈电开关500以中断向每个致动器40n的电流供给。以此方式,驱动装置100能够防止致动器40n被异常控制图谱驱动。以此方式,步骤S55执行与步骤S20类似的处理。
需要注意的是,本公开可以配置为执行步骤S54和步骤S55中的至少一个。
此外,第一比较器40可以将异常信号输出到驱动IC 20而不将其输出到馈电电路70。在这种情况下,驱动IC 20根据控制图谱的前值选择性地接通和关断驱动开关301至308。以这种方式,驱动IC 20选择性地向(相关)致动器40n供给电流。
<效果>
如上所述,负载驱动系统1000包括驱动装置100,驱动装置100接收从ECU 200发送的驱动指令消息并且基于接收到的驱动指令消息中所包含的负载驱动信号来驱动负载。然后,驱动装置100提取所接收的消息或负载驱动信号,并且经由不同于通信总线B1的第三信号线L3将提取的负载驱动信号通知给ECU 200。因此,ECU 200能够确认对驱动装置100的指令的确定性。此外,由于负载驱动系统1000经由不同于通信总线B1的第三信号线L3通知ECU200,因此,即使通信总线B1受到网络攻击,负载驱动信号也能被适当地通知给ECU 200。此外,由于负载驱动系统1000能够确认从ECU 200到驱动装置100的指令的确定性,因此不需要执行加密等。因此,负载驱动系统1000能够抑制ECU 200和驱动装置100的处理负载的增加。
此外,ECU 200能够通过从驱动装置100获取的负载驱动信号来确定驱动装置100处于异常驱动负载的状态。当在驱动装置100实际驱动负载之前驱动装置100通知负载驱动信号时,ECU 200能够预先确定驱动装置100对负载的异常驱动。
此外,负载驱动系统1000能够在不使用加密处理等的情况下防止基于错误/伪造的负载驱动信号驱动负载。错误的负载驱动信号也可以理解为无意的负载驱动信号。当基于错误的负载驱动信号驱动负载时,负载所处的驱动状态与所表示的驱动状态不同。
此外,驱动装置100存储转变禁止图谱52。然后,通过比较控制图谱的更新值与转变禁止图谱52,驱动装置100能够确定情况是否是其中控制图谱的更新值转变为禁止转变图谱的异常。
更具体地,驱动装置100能够确定由CAN控制器2接收到的控制图谱的更新值是否异常,而不是在控制寄存器11中存储的控制图谱的当前值是否异常。因此,驱动装置100能够确定经由通信总线B1传送的帧中所包含的负载驱动信号是否已经被欺骗(spoofing)等篡改。因此,驱动装置100无需通过微控制器执行诸如通信认证和加密之类的复杂处理,就可以执行/实施针对控制图谱的更新值的伪造/篡改的对策。
此外,驱动装置100能够在控制每个致动器40n的驱动之前确定接收到的控制图谱更新值是否异常。即,驱动装置100能够抑制利用异常控制图谱驱动每个致动器40n。
此外,作为针对伪造/篡改的对策,如上所述,可以考虑通过微控制器对通信进行认证或加密。但是,通过认证和加密的对策需要始终对应/追上最新技术。因此,在这种方法中,需要更新微控制器等的程序,这导致成本增加。
而且,作为针对伪造/篡改的对策,可以考虑通过微控制器监视通信。但是,为了监视通信,由于消息/通信的加密,通信量增加,从而降低了通信速度。因此,这种方法增加了实现更高通信速度的成本。
因此,能够抑制上述额外成本。
作为确定图谱,也可以采用转变允许图谱,转变允许图谱表示这样一种驱动状态,即,允许从由控制图谱的前值所表示的驱动状态驱动转变的驱动状态。但是,驱动装置100在ROM 50中存储转变禁止图谱52作为确定图谱。转变禁止图谱52具有比转变允许图谱更少数量的图谱。因此,驱动装置100能够减少由ROM 50中的确定图谱所占用的容量(例如,存储区域)。
与ECU 200不同,驱动装置100不包括微控制器。因此,驱动装置100能够制造得比包括微控制器的配置更小。此外,与包括微控制器的配置相比,驱动装置100能够减少电力消耗和发热。以这种方式,与包括微控制器的配置相比,驱动装置100能够在与发热相关的构型结构(physique)和可安装性上具有更少的限制。即,与包括微控制器的配置相比,驱动装置100在安装在车辆上、例如安装在发动机舱中等时可具有更高的自由度。此外,与包括微控制器的配置相比,驱动装置100可具有关于功能安全性和可靠性的不太复杂/成本较低的对策。
负载驱动系统1000包括驱动装置100。因此,负载驱动系统1000能够在不由微控制器执行诸如通信认证和加密的复杂处理的情况下,执行/实施针对驱动装置100中的控制图谱的更新值的伪造/篡改的对策。与使用配备有微控制器的驱动装置的配置相比,负载驱动系统1000能够抑制成本的增加,并且能够以低成本防止由于篡改而转变到禁止转变图谱。负载驱动系统1000能够减少由ROM 50中的确定图谱所占用的容量。此外,与包括微控制器的配置相比,负载驱动系统1000能具有关于功能安全性和可靠性的不太复杂/成本较低的对策。
(第一实施例的第一变型,图16)
注意,(a)转变禁止图谱52和(b)转变禁止图谱52的比较目标不限于以上所述。例如,如图16所示的第一变型中所示,作为转变禁止图谱52的比较目标,可以采用其中(并排)布置控制图谱的前值和更新值的转变图谱。在这种情况下,作为转变禁止图谱52,可采用以下布置:(i)控制图谱的前值和(ii)表示禁止从由前值所表示的驱动状态驱动转变的禁止驱动状态的通电图谱并排布置。第一比较器40将转变图谱与转变禁止图谱52进行比较。
在图16的示例中,作为一个代表性示例,示出了这样的转变图谱,即,作为控制图谱的前值的表示第四档位的控制图谱与作为控制图谱的更新值的表示第一档位的控制图谱并排布置。在这种情况下,采用转变禁止图谱52作为三种布置:作为(a)表示第四档位的控制图谱和表示P档位的控制图谱的布置,(b)表示第四档位的控制图谱和表示R档位的控制图谱的布置,以及(c)表示第四档位的控制图谱和表示第一档位的控制图谱的布置(它们分别是并排的16位布置)。
(第一实施例的第二变型,图17)
此外,转变禁止图谱52和转变禁止图谱52的比较目标即使转换为标识符(identifiers)也可以采用。例如,如图17所示的第二变型所示,控制图谱(更新值、前值)和转变禁止图谱52被转换成4位标识符。第一比较器40将(i)其中控制图谱的更新值被转换的标识符与(ii)其中转变禁止图谱52被转换的标识符进行比较。
需要注意的是,第一变型和第二变型可以组合并且执行。在这种情况下,转变图谱是(i)通过转换控制图谱的前值获得的标识符和(ii)通过控制图谱的更新值转换的标识符的布置。类似地,转变禁止图谱52也可以是如下布置,即(i)其中控制图谱的前值被转换的标识符和(ii)其中表示如下驱动状态的通电图谱被转换的标识符,所述驱动状态是从由所述前值表示的驱动状态驱动转换被禁止的驱动状态。
上面已经描述了本公开的优选实施例之一。但是,本公开不限于上述实施例,并且在不脱离本公开的精神和范围的情况下可以进行各种变型。在下文中,第二至第十实施例被描述为本公开的其他实施例。上述实施例和第二至第十实施例可以单独实施,或者也可以适当组合地实施。本公开可以作为各种组合来实施,而不限于实施例中所示的组合。
(第二实施例,图18)
参考图18描述第二实施例的驱动装置100和负载驱动系统1000。在本实施例中,主要说明与上述实施例不同的部分。能够适当地采用与上述的前一实施例类似的部件。说明书中这样的体系在以下各实施例中均相同。
本实施例的驱动装置100和负载驱动系统1000具有与第一实施例相同的配置。因此,在本实施例中,相同的附图标记用于与第一实施例中相同的部件或相同的配置。本实施例与第一实施例的不同之处在于,使用转变允许图谱而不是转变禁止图谱52。
ROM 50存储通电图谱51和转变允许图谱。还可以理解,ROM 50具有存储通电图谱51的通电图谱存储器和存储转变允许图谱的转变允许图谱存储器。ROM 50也可以理解为确定图谱存储单元。
转变允许图谱是表示每个致动器40n的驱动状态的通电图谱。转变允许图谱是与从当前驱动状态驱动转变相关的值。转变允许图谱是用于确定控制图谱的更新值是否异常的确定值。ROM 50将控制图谱和转变允许图谱相互关联地存储。
转变允许图谱表示从由控制图谱的前值表示的驱动状态驱动转变被允许的驱动状态。也可以理解,转变允许图谱表示允许从当前驱动状态驱动转变。转变允许图谱也可以理解为表示作为自动变速器被允许操作的驱动转变的通电图谱。转变允许图谱也可以理解为转变确定值和允许确定值。
一旦接收到负载驱动信号,驱动装置100开始图18的流程图中所示的操作。在图18中,相同的步骤编号分配给与图15中相同的处理。
在步骤S50b中,设定转变允许图谱。时序电路30以与设定转变禁止图谱52相同的方式在第四数据寄存器64中设定转变允许图谱。即,时序电路30从ROM 50选择对应于控制图谱的前值的转变允许图谱,并且在第四数据寄存器64中设定所选择的转变允许图谱。
步骤S52b将接收到的信号与转变允许图谱进行比较。接收到的信号也可以理解为控制图谱的更新值。第一比较器40将第一数据寄存器61中设定的控制图谱的更新值与第四数据寄存器64中设定的转变允许图谱进行比较(即,确定单元)。
当控制图谱的更新值与至少一个转变允许图谱匹配时,第一比较器40前进到步骤S53。在这种情况下,控制图谱的更新值可以认为是正常的。如上所述,当控制图谱的更新值与至少一个转变允许图谱匹配时,第一比较器40确定不满足预定的对应关系。
另一方面,当控制图谱的更新值与所有转变允许图谱不匹配时,第一比较器40前进到步骤S54。在这种情况下,控制图谱的更新值可以认为是异常的。以这种方式,当控制图谱的更新值与所有转变允许图谱不匹配时,第一比较器40确定满足预定的对应关系。此外,当转变允许图谱与控制图谱的更新值不匹配时,也可以理解为控制图谱的更新值不包括在转变允许图谱中。
第二实施例的驱动装置100可以产生与第一实施例的驱动装置100相同的效果。第二实施例的负载驱动系统1000可以产生与第一实施例的负载驱动系统1000相同的效果。
(第三实施例,图19)
参考图19描述第三实施例的驱动装置100和负载驱动系统1000。例如,本实施例的驱动装置100和负载驱动系统1000具有与第一实施例相同的配置。因此,在本实施例中,相同的附图标记用于与第一实施例中相同的部件或相同的配置。
本实施例与第一实施例的不同之处在于,使用由波形分析电路90确定的车辆速度作为当前驱动状态,而不是使用控制图谱的前值。因此,本实施例的驱动装置100需要包括波形分析电路90。
转变禁止图谱52与由波形分析电路90确定的作为当前驱动状态的车辆速度相关联地存储。转变禁止图谱52与表示例如由0和1所表示的每一个车辆速度的信号相关联地存储。例如,与高的速度相关联的转变禁止图谱52采用表示第一档位、P档位、和R档位的通电图谱。与低的速度相关联的转变禁止图谱52采用表示P档位和R档位的通电图谱。与车辆的停止相关联的转变禁止图谱52采用表示第三档位和第四档位的通电图谱。转变禁止图谱52也可以理解为转变确定值或禁止确定值。
一旦接收到负载驱动信号,驱动装置100开始图19的流程图中所示的操作。步骤S65与步骤S51相同。步骤S66a与步骤S52a相同。步骤S67至S69与步骤S53至S55相同/相似。
在步骤S60中,接收旋转传感器信号。波形分析电路90从旋转传感器600接收旋转传感器信号。
在步骤S61中,确定车辆速度。波形分析电路90从接收到的旋转传感器信号确定车辆速度。波形分析电路90在车辆速度被确定为高的速度时前进到步骤S62,当车辆速度被确定为低的速度时前进到步骤S63,以及当车辆速度被确定为0(零:停止)时前进到步骤S64。
在步骤S62中,从存储器设定高的速度转变禁止图谱。时序电路30在第四数据寄存器64中设定与来自ROM 50的高的速度相关联的转变禁止图谱52。
在步骤S63中,从存储器设定低的速度转变禁止图谱。时序电路30在第四数据寄存器64中设定与来自ROM 50的低的速度相关联的转变禁止图谱52。
在步骤S64中,从存储器设定用于停止车辆的停止转变禁止图谱。时序电路30在第四数据寄存器64中设定与来自ROM 50的车辆停止(例如,泊车)相关联的转变禁止图谱52。
以此方式,时序电路30从ROM 50获取与由波形分析电路90获取的车辆速度相关联的转变禁止图谱52。注意,步骤S62至S64中的存储器也可以理解为ROM 50中的转变禁止图谱存储器。
第三实施例的驱动装置100可以产生与第一实施例的驱动装置100相同的效果。此外,第三实施例的负载驱动系统1000可以具有与第一实施例的负载驱动系统1000相同的效果。
(第四实施例,图20)
参考图20描述第四实施例的驱动装置100和负载驱动系统1000。例如,本实施例的驱动装置100和负载驱动系统1000具有与第一实施例相同的配置。因此,在本实施例中,相同的附图标记用于与第一实施例中相同的部件或相同的配置。与第三实施例类似,本实施例使用由波形分析电路90确定的车辆速度作为当前驱动状态。因此,本实施例的驱动装置100需要包括波形分析电路90。此外,在本实施例中,如在第二实施例中一样,转变允许图谱用作转变确定值。
转变允许图谱与在当前驱动状态中由波形分析电路90确定的车辆速度相关联地存储。转变允许图谱与表示由例如0和1代表的每一个车辆速度的信号相关联地存储。作为与高的速度相关联的转变允许图谱,采用表示第二档位、第三档位、和第四档位的通电图谱。作为与低的速度相关联的转变允许图谱,采用表示第一档位、第二档位和第三档位的通电图谱。作为与车辆停止相关联的转变允许图谱,采用表示第一档位、第二档位、P档位、R档位的通电图谱。转变允许图谱也可以理解为转变确定值和允许确定值。
一旦接收到负载驱动信号,驱动装置100开始图20的流程图中所示的操作。在图20中,相同的步骤编号分配给与图19中相同的处理。注意,步骤S66b与步骤S52b相同。
在步骤S62a中,从存储器设定高的速度转变允许图谱。时序电路30在第四数据寄存器64中设定与来自ROM 50的高的速度相关联的转变允许图谱。
在步骤S63a中,从存储器设定低的速度转变允许图谱。时序电路30在第四数据寄存器64中设定与来自ROM 50的低的速度相关联的转变允许图谱。
在步骤S64a中,从存储器设定在车辆停止时的停止转变允许图谱。时序电路30在第四数据寄存器64中设定与来自ROM 50的车辆停止相关联的转变允许图谱。
以此方式,时序电路30从ROM 50获取与由波形分析电路90所获取的车辆速度相关联的转变允许图谱。注意,步骤S62a至S64a中的存储器也可以理解为ROM 50中的转变允许图谱存储器。
第四实施例的驱动装置100可以产生与第一、第二、和第三实施例的驱动装置100相同的效果。此外,第四实施例的负载驱动系统1000可以具有与第一、第二、和第三实施例的负载驱动系统1000相同的效果。
(第五实施例,图21)
参考图21描述第五实施例的驱动装置100和负载驱动系统1000。例如,本实施例的驱动装置100和负载驱动系统1000具有与第一实施例相同的配置。因此,在本实施例中,相同的附图标记用于与第一实施例中相同的部件或相同的配置。本实施例与第一实施例的不同之处在于,在监控器寄存器84中存储的监控器图谱用作相关驱动状态,而不是使用控制图谱的更新值。因此,本实施例的驱动装置100需要包括电流检测电阻器81、放大器82、第二比较器83、和监控器寄存器84。注意,本实施例的转变禁止图谱52与第一实施例的相同。
一旦接收到负载驱动信号,驱动装置100就开始图21的流程图中所示的操作。在图21中,相同的步骤编号被分配给与图15中相同的处理。
在步骤S52c中,开始控制。CAN控制器2将控制图谱的更新值存储在控制寄存器11中。然后,驱动IC 20根据在控制寄存器11中存储的控制图谱的更新值选择性地接通和关断驱动开关301至308。以这种方式,驱动IC 20选择性地向致动器40n供给电流。驱动IC 20可被视为执行控制以获取监控器图谱。
在步骤S52d中,监视控制结果。驱动装置100通过如上所述操作电流检测电阻器81、放大器82和第二比较器83将监控器图谱存储在监控器寄存器84中。
在步骤S52e,比较监控器结果和转变禁止图谱。监控器结果也可以理解为监控器图谱。第一比较器40将第一数据寄存器61中设定的监控器图谱与第四数据寄存器64中设定的转变禁止图谱52进行比较。当多个转变禁止图谱52存储在ROM 50中时,以与上述实施例相同的方式执行比较。
当监控器图谱与所有转变禁止图谱52不匹配时,第一比较器40前进到步骤S53。在这种情况下,监控器图谱可以认为是正常的。此外,当监控器图谱是正常的时,可以认为控制图谱的更新值是正常的。
另一方面,当监控器图谱与转变禁止图谱52匹配时,第一比较器40前进到步骤S54。即,当转变禁止图谱52中的任何一个与监控器图谱匹配时,第一比较器40前进到步骤S54。在这种情况下,监控器图谱可以被认为是异常的。如上所述,当转变禁止图谱52中的任何一个与监控器图谱匹配时,第一比较器40确定满足预定对应关系。此外,由于监控器图谱是异常的,可以认为控制图谱的更新值是异常的。
第五实施例的驱动装置100可以产生与第一实施例的驱动装置100相同的效果。此外,第五实施例的负载驱动系统1000可以产生与第一实施例的负载驱动系统1000相同的效果。此外,例如,即使当自动变速器被实际指令从第四档位换档到P档位时,由于液压控制等的响应,自动变速器也不会立即换档(即,负载驱动转变没有立即实现为换档)到P档位。因此,驱动装置100能够使用监控器图谱而不是控制图谱的更新值。
(第六实施例,图22)
参考图22描述第六实施例的驱动装置100和负载驱动系统1000。例如,本实施例的驱动装置100和负载驱动系统1000具有与第一实施例相同的配置。因此,在本实施例中,相同的附图标记用于与第一实施例中相同的部件或相同的配置。在本实施例中,与第五实施例一样,在监控器寄存器84中存储的监控器图谱用作相关驱动状态而不是控制图谱的更新值。此外,在本实施例中,与第二实施例中一样,转变允许图谱用作转变确定值。
一旦接收到负载驱动信号,驱动装置100就开始图22的流程图中所示的操作。在图22中,相同的步骤编号分配给与图15和图18中相同的处理。此外,步骤S52f和S52g与步骤S52c和S52d相同。
在步骤S52h中,比较监控器结果和转变允许图谱。监控器结果也可以理解为监控器图谱。第一比较器40将第一数据寄存器61中设定的监控器图谱与第四数据寄存器64中设定的转变允许图谱进行比较。当多个转变允许图谱存储在ROM 50中时,以与以上实施方式相同的方式执行比较。
当监控器图谱与至少一个转变允许图谱匹配时,第一比较器40前进到步骤S53。在这种情况下,监控器图谱可以被认为是正常的。如上所述,当监控器图谱与至少一个转变允许图谱匹配时,第一比较器40确定不满足预定对应关系。
另一方面,当监控器图谱与所有转变允许图谱不匹配时,第一比较器40前进到步骤S54。在这种情况下,监控器图谱可以被认为是异常的。以这样的方式,在监控器图谱与所有转变允许图谱不匹配时第一比较器40确定满足预定的对应关系。此外,也可以理解为,当转变允许图谱与监控器图谱不匹配时,监控器图谱不包括在转变允许图谱中。
第六实施例的驱动装置100可以产生与第一、第二和第五实施例的驱动装置100相同的效果。第六实施例的负载驱动系统1000可以产生与第一、第二和第五实施例的负载驱动系统1000相同的效果。
(第七实施例,图23)
参考图23描述第七实施例的驱动装置100和负载驱动系统1000。例如,本实施例的驱动装置100和负载驱动系统1000具有与第一实施例相同的配置。因此,在本实施例中,相同的附图标记用于与第一实施例中相同的部件或相同的配置。
与第三实施例类似,本实施例使用由波形分析电路90所确定的车辆速度作为当前驱动状态。因此,本实施例的驱动装置100需要包括波形分析电路90。注意,本实施例的转变禁止图谱52与第三实施例的相同。
此外,在本实施例中,与第五实施例一样,监控器图谱被用作相关驱动状态。因此,本实施例的驱动装置100需要包括电流检测电阻81、放大器82、第二比较器83和监控器寄存器84。
一旦接收到负载驱动信号,驱动装置100就开始图23的流程图中所示的操作。在图23中,相同的步骤编号分配给与图19中相同的处理。此外,步骤S66c至S66e与步骤S52c至S52e相同。
第七实施例的驱动装置100可以产生与第一、第三和第五实施例的驱动装置100相同的效果。此外,第七实施例的负载驱动系统1000可以产生与第一、第三和第五实施例的负载驱动系统1000相同的效果。
(第八实施例,图24)
参考图24描述第八实施例的驱动装置100和负载驱动系统1000。例如,本实施例的驱动装置100和负载驱动系统1000具有与第一实施例相同的配置。因此,在本实施例中,相同的附图标记用于与第一实施例中相同的部件或相同的配置。
与第四实施例类似,本实施例使用由波形分析电路90所确定的车辆速度作为当前驱动状态。因此,本实施例的驱动装置100需要包括波形分析电路90。本实施例的转变允许图谱与第四实施例的相同。
此外,在本实施例中,如在第六实施例中一样,监控器图谱被用作相关驱动状态。因此,本实施例的驱动装置100需要包括电流检测电阻81、放大器82、第二比较器83和监控器寄存器84。
一旦接收到负载驱动信号,驱动装置100就开始图24的流程图中所示的操作。在图24中,相同的步骤编号被分配给与图20中相同的处理。此外,步骤S66f至S66h与步骤S52f至S52h相同。
第八实施例的驱动装置100可以产生与第一、第四和第六实施例的驱动装置100相同的效果。第八实施例的负载驱动系统1000可以产生与第一、第四和第六实施例的负载驱动系统1000相同的效果。
(第九实施例,图25-27)
将参考图25、26和27描述第九实施例的驱动装置100和负载驱动系统1000。本实施例与第一实施例的不同之处在于,传感器检测电路91(图25中的SEND 91)的每个检测结果被用作当前驱动状态,而不是使用控制图谱的前值。此外,本实施例的驱动装置100与第一实施例的驱动装置100的不同之处在于,提供了传感器检测电路91。传感器700连接到传感器检测电路91。
如图25所示,本实施例的传感器700包括油压传感器701(OPS)、旋转传感器702(RS)和油温传感器703(OTS)。油压传感器701输出表示液压回路中的液压油的压力的信号。旋转传感器702与旋转传感器600相同。油温传感器703输出表示液压回路中的液压油的温度的信号。传感器700根据负载的驱动状态输出电信号。
传感器检测电路91(SEND)检测传感器700的信号。传感器检测电路91对来自传感器700的输入信号进行诸如波形检测、A/D转换等的预定处理。传感器检测电路91检测负载的状态,即包含阀体的自动变速器的状态。也就是说,包含阀体的自动变速器的状态可被视为当前驱动状态,其是每个致动器40n的当前驱动状态。类似地,传感器检测电路91的每个检测结果都可以视为当前驱动状态。传感器检测电路91也可以理解为获取装置。
传感器检测电路91的每个检测结果可以利用例如0和1来表示。传感器检测电路91将各检测结果输出到时序电路30。另外,传感器检测电路91也可以将每个检测结果写入监控器寄存器84中。
每个检测结果和转变禁止图谱52相关联并存储在ROM 50中。此外,代替存储转变禁止图谱52,转变允许图谱可以与每个检测结果相关联地存储在ROM 50中。这里,作为示例,采用转变禁止图谱52。
驱动装置100以预定的时间间隔开始图26的流程图所示的操作。
在步骤S70中,接收通信数据。CAN控制器2经由CAN收发器1从通信总线B1接收帧。CAN控制器2提取接收到的消息等,并将接收到的消息依序存储在消息框中。
在步骤S71中,取出数据。CAN控制器2从消息框中取出表示负载驱动信号的数据。CAN控制器2将表示所提取的负载驱动信号的数据存储在寄存器中。寄存器中存储的表示负载驱动信号的数据也可以理解为控制图谱的更新值。时序电路30在第一数据寄存器61中设定控制图谱的更新值。
在步骤S72中,获取状态。时序电路30在第二数据寄存器62中设定在控制寄存器11中存储的控制图谱的前值。
在步骤S73中,确定转变。时序电路30由在步骤S71中取出的控制图谱的更新值和在步骤S72中获取的控制图谱的前值来确定驱动转变。也就是说,时序电路30确定从当前驱动状态到由控制图谱的更新值表示的驱动状态的驱动转变。
如图16所示,时序电路30通过生成其中控制图谱的更新值和控制图谱的前值被组合的转变图谱来确定驱动转变。在这种情况下,如图16所示,时序电路30在第四数据寄存器64中设定对应于该转变图谱的转变禁止图谱52。
在步骤S74中,进行比较。第一比较器40将转变图谱与转变禁止图谱52进行比较。当转变图谱与所有转变禁止图谱52不匹配时,第一比较器40前进到步骤S75。在这种情况下,控制图谱的更新值可以认为是正常的。
另一方面,当转变图谱与转变禁止图谱52匹配时,第一比较器40前进到步骤S77。即,即使当转变禁止图谱52中的仅一个转变禁止图谱与控制图谱的更新值匹配时,第一比较器40也前进到步骤S77。在这种情况下,控制图谱的更新值可以认为是异常的。
在步骤S75中,确定通信是正常的。第一比较器40确定通信是正常的。此时,第一比较器40可以经由第二信号线L2向ECU 200输出正常信号。
在步骤S76中,控制驱动IC 20。步骤S76类似于步骤S53。
在步骤S77中,数据被丢弃。如上所述,第一比较器40向CAN控制器2输出表示控制图谱的更新值异常的异常信号。当输入异常信号时,CAN控制器2丢弃控制图谱的更新值而不将它输出到SPI电路10。CAN控制器2通过不向SPI电路10输出控制图谱的更新值来丢弃控制图谱的更新值。注意,CAN控制器2可以通过擦除当输入异常信号时存储的控制图谱的更新值来丢弃数据,或在擦除当输入异常信号时存储的控制图谱的更新值来丢弃数据。
如上所述,第一比较器40输出异常信号到CAN控制器2,使得被确定为异常的控制图谱的更新值不存储在控制寄存器11中。因此,在驱动装置100中,确定为异常的控制图谱的更新值不写入控制寄存器11。因此,驱动装置100能够通过被确定为异常的控制图谱的更新值来抑制对每个致动器40n的驱动的控制。
在步骤S78中,通知数据丢弃。第一比较器40经由第二信号线L2向ECU 200输出异常信号。异常信号是表示控制图谱的更新值是异常的和数据被丢弃的信号。这里的数据是控制图谱的更新值。此外,以这样的方式,在驱动装置100中,第一比较器40在不使用微控制器等的情况下输出异常信号。
注意,第一比较器40不是必须向馈电电路70输出异常信号。此外,步骤S77和S78能够应用于其他实施例。
描述了ECU 200的操作。ECU 200以预定的时间间隔开始图27的流程图所示的操作。注意,步骤S80和S81与步骤S10和S12相同。
在步骤S82中,确定是否有数据丢弃通知。CPU 2011依据是否经由第二信号线L2从驱动装置100接收到数据丢弃通知来确定是否存在数据丢弃通知。当CPU 2011接收到丢弃通知时,确定存在丢弃通知,并且前进到步骤S84,并且当没有接收到丢弃通知时,确定不存在丢弃通知,并且前进到步骤S83。
在步骤S83中,作出正常确定。CPU 2011确定与驱动装置100的通信是正常的。
在步骤S84中,对通知进行计数。即,CPU 2011对丢弃通知的数量进行计数。步骤S85至S87与步骤S18至S20相同。
第九实施例的驱动装置100能够产生与第一实施例的驱动装置100相同的效果。此外,第九实施例的负载驱动系统1000能够产生与第一实施例的负载驱动系统1000相同的效果。此外,当发生通信异常时,第九实施例的负载驱动系统1000能够控制ECU 200以将每个致动器40n置于供电中断状态。因此,在第九实施例的负载驱动系统1000中,驱动装置100能够具有简化的配置,即能够具有比上述更简单的配置。
(第十实施例,图28)
参考图28描述第十实施例的驱动装置100和负载驱动系统1000。在本实施例中,为方便起见,使用与第一实施例中相同的附图标记。
第十实施例的驱动装置100与上述实施例的不同之处在于,线控换档系统(shift-by-wire system)中的马达800被驱动和控制。因此,致动器401至403也可以理解为马达800的U相绕组、V相绕组和W相绕组。
本实施例的驱动装置100与第一实施例的驱动装置100的不同之处在于,其包括传感器检测电路92。本实施例与第一实施例的不同之处在于,传感器检测电路的每个检测结果92被用作当前驱动状态,而不是使用控制图谱的前值。本实施例与第一实施例的不同之处在于,转变确定值是与从当前驱动状态和当前车辆状态的驱动转变相关联的值。
本实施例与第一实施例的不同之处在于,表示致动器401至403的驱动状态的负载驱动信号中的驱动状态信号被写入控制寄存器11的(相关)地址位中。在本实施例中,采用控制图谱的更新值本身作为与存储在控制寄存器11中的控制图谱的更新值相关的每个致动器401至408的相关驱动状态。
除了马达800之外,线控换档系统还包括泊车锁(P-lock)机构、档位切换机构等。马达800通过从安装在车辆(未示出)上的电池接收电力供给而旋转,并且用作档位切换机构的驱动动力源(即,物理动力)。在马达800中,通过接通馈电开关500能够向每个致动器40n供给电流。当馈电开关500关断时,向每个致动器40n的电流供给被中断。
作为控制图谱的更新值,例如,能够采用表示解除P锁定的值。即,ECU 200不仅具有或输出指令马达800旋转的信号而且具有或输出指令P锁定的解除的信号,作为用于驱动装置100的负载驱动信号。
本实施例的传感器具有制动开关704和泊车锁传感器705。制动开关704(BS)输出表示制动踏板是否被压下的信号。此外,制动开关704可以根据制动踏板的下压量输出信号。泊车锁传感器705(PLS)输出表示泊车锁处于锁定状态还是解锁状态的信号。
传感器检测电路92(SEND)检测传感器700的信号。传感器检测电路92对来自传感器700的输入信号进行诸如波形检测、A/D转换等的预定处理。传感器检测电路92检测负载的状态,即线控换档系统的状态。即,线控换档系统的状态能够视为当前驱动状态,其是每个致动器40n的当前驱动状态。类似地,传感器检测电路92的检测结果能够视为当前驱动状态。此外,传感器检测电路92检测车辆制动踏板的压下状态。车辆的制动踏板被压下的状态能够视为车辆状态。传感器检测电路92也可以理解为获取单元。
传感器检测电路92的每个检测结果能够利用例如0和1表征。传感器检测电路92将每个检测结果输出到时序电路30。此外,传感器检测电路92可以将每个检测结果写入监控器寄存器84中。
传感器检测电路92的每个检测结果与转变禁止图谱52相关联并且存储在ROM 50中。也就是说,转变禁止图谱52与当前驱动状态和当前车辆状态相关联。此外,代替存储转变禁止图谱52,转变允许图谱可以与每个检测结果相关联地存储在ROM 50中。这里,作为示例,采用转变禁止图谱52。
时序电路30基于每个检测结果确定当前驱动状态和当前车辆状态。此外,时序电路30在第四数据寄存器64中设定与每个检测结果相关联的转变禁止图谱52。作为转变禁止图谱52,关于P锁被锁定和制动踏板未被压下的状态,例如,表示解除P锁定的控制图谱的更新值可以被采用。
与上述实施例中一样,第一比较器40将控制图谱的更新值与转变禁止图谱52进行比较。在控制图谱的更新值与转变禁止图谱52匹配时第一比较器40确定其是异常的,并且在它们不匹配时确定是正常的。
第十实施例的驱动装置100能够产生与第一实施例的驱动装置100相同的效果。第十实施例的负载驱动系统1000能够产生与第一实施例的负载驱动系统1000相同的效果。
Claims (15)
1.一种用于驱动负载的负载驱动系统,包括:
负载控制装置(200)、负载驱动装置(100)、所述负载控制装置和所述负载驱动装置所连接到的通信总线(B1)、以及与所述负载控制装置和所述负载驱动装置所连接到的通信总线不同的信号线(L3),其中
所述负载控制装置(200)包括发送器(S12),所述发送器经由所述通信总线向所述负载驱动装置发送包含表示所述负载的驱动状态的驱动信息的消息,以及
所述负载驱动装置(100)包括:
经由所述通信总线接收消息的接收器(S30),
基于在所述接收器接收到的消息中包含的驱动信息驱动所述负载的驱动器(S35),以及
通知器(S32至S34),其从接收到的消息中提取所述驱动信息,并且经由所述信号线(L3)将所提取的驱动信息通知所述负载控制装置(200)。
2.如权利要求1所述的负载驱动系统,其中
在所述驱动器(S35)驱动所述负载之前,所述通知器(S32至S34)经由所述信号线(L3)将所提取的驱动信息通知所述负载控制装置(200)。
3.如权利要求1或2所述的负载驱动系统,其中
所述负载控制装置(200)包括:
经由所述信号线(L3)获取所述驱动信息的获取单元(S13),
比较单元(S14),其将从所述发送器(S12)发送的所述驱动信息与由所述获取单元(S13)获取的所述驱动信息进行比较,
异常确定单元(S17至S19),其一旦确定从所述发送器(S12)发送的驱动信息与由所述获取单元(S13)获取的驱动信息不满足预定对应关系,就认定(i)由所述获取单元(S13)获取的所述驱动信息是异常的,以及(ii)所述负载驱动装置(100)处于所述负载被异常驱动的状态。
4.如权利要求3所述的负载驱动系统,其中
所述负载控制装置(200)包括异常处理单元(S20),当所述异常确定单元(S17至S19)确定所述负载驱动装置(100)处于所述负载被异常驱动的状态时,所述异常处理单元(S20)将所述负载设定在异常处理状态。
5.如权利要求3所述的负载驱动系统,其中
所述负载控制装置(200)包括驱动允许单元(S11、S15),所述驱动允许单元(S11、S15)
(a)禁止所述负载的驱动直到所述异常确定单元(S17至S19)确定所述负载不处于被异常驱动的状态,和
(b)在所述异常确定单元(S17至S19)确定所述负载不处于被异常驱动的状态时,发送表示允许驱动所述负载的驱动允许信号。
6.如权利要求1或2所述的负载驱动系统,其中
所述通知器(S32至S34)(i)将所提取的驱动信息转换成当所述驱动器(S35)驱动所述负载时使用的且具有比所述驱动信息的数据更小的数据量的负载驱动信号,以及(ii)使用所述负载驱动信号通知所述负载控制装置(200)。
7.如权利要求1或2所述的负载驱动系统,其中
所述负载驱动装置(100)
(a)具有与其连接的传感器(700),所述传感器(700)根据所述负载的驱动状态输出电信号,和
(b)将从所述传感器(700)输出的所述电信号经由所述通信总线(B1)传送到所述负载控制装置(200)。
8.如权利要求1或2所述的负载驱动系统,其中
所述通知器(S32至S34)经由所述信号线(L3)将所提取的驱动信息作为脉冲信号的占空比通知所述负载控制装置(200)。
9.一种负载驱动系统,其包括:
控制装置(200),其包括:
(i)第一微控制器(201),其包括第一处理器和第一非暂时性计算机可读介质(2011),以及
(ii)控制收发器(203);
驱动装置(100),其包括:
(i)驱动收发器(1),
(ii)馈电电路(70),
(iii)驱动控制器(2),以及
(iv)第一比较器(40),
通信总线(B1),其将所述控制收发器连接到所述驱动收发器;
第一信号线(L1),其:
(i)独立于所述通信总线,并且
(ii)将所述控制装置连接到所述馈电电路;
第二信号线(L2),其:
(i)独立于所述通信总线,
(ii)独立于所述第一信号线,并且
(iii)将所述控制装置连接到所述第一比较器;和
第三信号线(L3),其:
(i)独立于所述通信总线,
(ii)独立于所述第一信号线,
(iii)独立于所述第二信号线,并且
(iv)将所述控制装置连接到所述驱动控制器。
10.如权利要求9所述的负载驱动系统,其中所述控制装置配置为:
确定负载驱动转变(S10);
通过以下方式驱动禁止状态(S11):
(i)不通过所述第三信号线向所述驱动控制器发送驱动允许信号,或
(ii)通过所述第三信号线向所述驱动控制器发送驱动禁止信号;
通过所述通信总线向所述驱动控制器(S12)发送驱动指令消息,其中所述驱动指令消息与负载驱动信号相关联;
通过所述第三信号线从所述驱动控制器接收所述负载驱动信号(S13);
将所接收的负载驱动信号与所发送的驱动指令消息进行比较(S14);和
一旦确定所接收的负载驱动信号与所发送的驱动指令消息匹配(S14=匹配),就通过以下方式驱动允许状态(S15):
(i)通过所述第三信号线向所述驱动控制器发送所述驱动允许信号,或
(ii)不通过所述第三信号线向所述驱动控制器发送所述驱动禁止信号。
11.如权利要求10所述的负载驱动系统,其中所述控制装置还配置为:
一旦确定所接收的负载驱动信号与所发送的驱动指令消息不匹配(S14=不匹配),就执行以下操作:
(i)增加不匹配确定的计数(N),(S17)和
(ii)确定增加的计数(N)是否超过计数阈值(S18)。
12.如权利要求11所述的负载驱动系统,其中所述控制装置还配置为:
一旦确定增加的计数超过所述计数阈值(S18=是),则:
(i)确定存在通信异常,(S19)和
(ii)通过所述第一信号线向所述馈电电路发送紧急中断指令(S20)。
13.如权利要求9所述的负载驱动系统,其中所述第一比较器配置为:
接收与所述负载驱动信号相关联的转变禁止图谱(S50a);
接收所述负载驱动信号(S51);
将所述转变禁止图谱与所述负载驱动信号进行比较(S52a);
一旦确定所述转变禁止图谱与所述负载驱动信号匹配(S52a=匹配),就执行以下至少一项:
(i)通过所述第二信号线向所述控制装置发送通电异常通知,(S54)和
(ii)通过内部信号线关断所述馈电电路,(L4、S55)
其中所述内部信号线独立于:所述通信总线、所述第一信号线、所述第二信号线、和所述第三信号线。
14.一种负载驱动系统(1000),包括:
控制装置(200),其包括:
(i)第一微控制器(201),其包括第一处理器和第一非暂时性计算机可读介质(2011),以及
(ii)控制收发器(203);
驱动装置(100),其包括:
(i)驱动收发器(1),
(ii)馈电电路(70),
(iii)驱动控制器(2),以及
(iv)第一比较器(40);
通信总线(B1),其将所述控制收发器连接到所述驱动收发器;和
驱动控制器信号线(L3),其:
(i)独立于所述通信总线,和
(ii)将所述控制装置连接到所述驱动控制器。
15.如权利要求14所述的负载驱动系统,其中所述控制装置配置为:
确定负载驱动转变(S10);
通过以下方式驱动禁止状态(S11):
(i)不通过所述驱动控制器信号线向所述驱动控制器发送驱动允许信号,或
(ii)通过所述驱动控制器信号线向所述驱动控制器发送驱动禁止信号;
通过所述通信总线向所述驱动控制器(S12)发送驱动指令消息,其中所述驱动指令消息与负载驱动信号相关联;
通过所述驱动控制器信号线从所述驱动控制器接收所述负载驱动信号(S13);
将所接收的负载驱动信号与所发送的驱动指令消息进行比较(S14);和
一旦确定所接收的负载驱动信号与所发送的驱动指令消息匹配(S14=匹配),就通过以下方式驱动允许状态(S15):
(i)通过所述驱动控制器信号线向所述驱动控制器发送所述驱动允许信号,或
(ii)不通过所述驱动控制器信号线向所述驱动控制器发送所述驱动禁止信号。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021002301A JP2022107380A (ja) | 2021-01-08 | 2021-01-08 | 負荷駆動システム |
| JP2021-002301 | 2021-01-08 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114750712A true CN114750712A (zh) | 2022-07-15 |
Family
ID=82116438
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210015182.4A Pending CN114750712A (zh) | 2021-01-08 | 2022-01-07 | 负载驱动系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11719333B2 (zh) |
| JP (1) | JP2022107380A (zh) |
| CN (1) | CN114750712A (zh) |
| DE (1) | DE102022100179A1 (zh) |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5305215A (en) * | 1991-05-15 | 1994-04-19 | Phoenix International Corporation | Expandable, mobile, modular microcomputer system for an off-road vehicle |
| US20040113412A1 (en) * | 1997-11-11 | 2004-06-17 | Go Giok Djien | Multi-point seat belt |
| JP3882786B2 (ja) * | 2003-05-30 | 2007-02-21 | セイコーエプソン株式会社 | デバイス障害対処依頼システム、障害対処依頼サーバ、デバイス障害対処依頼プログラム及びデバイス障害対処依頼方法 |
| JP4379793B2 (ja) | 2004-03-12 | 2009-12-09 | 株式会社デンソー | 車両用電子制御装置 |
| GB0605499D0 (en) * | 2006-03-17 | 2006-04-26 | Britax Roemer Kindersicherheit Gmbh | Belt guide |
| JP3164645U (ja) * | 2010-09-28 | 2010-12-09 | 利昭 丹治 | シートベルト |
| JP5333501B2 (ja) * | 2011-03-31 | 2013-11-06 | 株式会社デンソー | 車両の挙動データ記憶制御システム及び記憶装置 |
| JP5541245B2 (ja) | 2011-07-19 | 2014-07-09 | 株式会社デンソー | 燃料噴射制御装置 |
| JP5741480B2 (ja) | 2012-02-17 | 2015-07-01 | 株式会社オートネットワーク技術研究所 | 通信システム、中継装置及び電源制御方法 |
| EP3358800B1 (en) | 2014-01-06 | 2021-10-20 | Argus Cyber Security Ltd | Bus watchman |
| US9998040B2 (en) | 2015-06-05 | 2018-06-12 | Denso Corporation | Motor driver of motor for valve timing control of internal combustion engine |
| JP2018103972A (ja) * | 2016-12-22 | 2018-07-05 | パナソニックIpマネジメント株式会社 | 車載制御装置 |
| JP2018121109A (ja) | 2017-01-23 | 2018-08-02 | 本田技研工業株式会社 | 通信システム、移動体、及び通信方法 |
| JP2019219718A (ja) * | 2018-06-15 | 2019-12-26 | セイコーエプソン株式会社 | 回路装置、電子機器及び移動体 |
| JP2019218773A (ja) | 2018-06-21 | 2019-12-26 | 株式会社ケーヒン | 車両用電動部品の制御システム |
| JP2020108132A (ja) | 2018-12-26 | 2020-07-09 | パナソニックIpマネジメント株式会社 | 電子制御システム、電子制御装置、制御方法及びプログラム |
-
2021
- 2021-01-08 JP JP2021002301A patent/JP2022107380A/ja active Pending
- 2021-12-22 US US17/558,695 patent/US11719333B2/en active Active
-
2022
- 2022-01-05 DE DE102022100179.2A patent/DE102022100179A1/de active Pending
- 2022-01-07 CN CN202210015182.4A patent/CN114750712A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022107380A (ja) | 2022-07-21 |
| US11719333B2 (en) | 2023-08-08 |
| US20220221049A1 (en) | 2022-07-14 |
| DE102022100179A1 (de) | 2022-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3857678B2 (ja) | 車両用変速システム | |
| KR100747303B1 (ko) | 하이브리드 차량의 페일 세이프티 제어 시스템 | |
| US8914185B2 (en) | Vehicle control device | |
| US9008808B2 (en) | Control system for safely operating at least one functional component | |
| US20030105537A1 (en) | System and method for controlling and/or monitoring a control-unit group having at least two control units | |
| CN108025687B (zh) | 监视系统及车辆用控制装置 | |
| US20040172580A1 (en) | Electronic control unit for monitoring a microcomputer | |
| CN114750712A (zh) | 负载驱动系统 | |
| JP2002213331A (ja) | ドライブトレインの作動方法および該ドライブトレインの調整装置 | |
| EP3252350B1 (en) | Electronic control device for vehicular automatic transmission | |
| US11997114B2 (en) | Drive device and driving system | |
| US11993215B2 (en) | Drive device | |
| CN115344024A (zh) | 用于交通工具系统的诊断和控制方法 | |
| JP4820679B2 (ja) | 車両用電子制御装置 | |
| US9541192B2 (en) | Motor control apparatus | |
| US20220063523A1 (en) | Drive device | |
| US20080077924A1 (en) | System and method for distributing and executing program code in a control unit network | |
| CN112867653A (zh) | 响应于发动机通信丢失来控制变速器档位的方法及其系统 | |
| WO2018193533A1 (ja) | 安全なパークロックを実現する電子制御装置および制御の方法 | |
| JP6896126B1 (ja) | 車載電子制御装置 | |
| JP7070441B2 (ja) | シフトバイワイヤ制御装置 | |
| KR100200124B1 (ko) | 페일-세이프 제어장치 및 그 제어방법 | |
| JP2019055641A (ja) | 車輌用電子制御装置 | |
| CN115344023A (zh) | 用于交通工具系统的诊断和控制方法 | |
| JP2006113654A (ja) | 車両用コントローラ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |