DE102018221840A1 - Fahrzeugsteuerungssystem und Fahrzeugsteuerungsvorrichtung - Google Patents

Fahrzeugsteuerungssystem und Fahrzeugsteuerungsvorrichtung Download PDF

Info

Publication number
DE102018221840A1
DE102018221840A1 DE102018221840.4A DE102018221840A DE102018221840A1 DE 102018221840 A1 DE102018221840 A1 DE 102018221840A1 DE 102018221840 A DE102018221840 A DE 102018221840A DE 102018221840 A1 DE102018221840 A1 DE 102018221840A1
Authority
DE
Germany
Prior art keywords
calculation unit
calculation
unit
failed
units
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018221840.4A
Other languages
English (en)
Inventor
Kotaro Yasui
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Publication of DE102018221840A1 publication Critical patent/DE102018221840A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2028Failover techniques eliminating a faulty processor or activating a spare
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2041Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with more than one idle spare processing component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2048Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant where the redundant components share neither address space nor persistent storage
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Hardware Redundancy (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Ein Fahrzeugsteuerungssystem (1A, 1 B, 1C, 1D) in einem Fahrzeug enthält: drei oder mehr Berechnungseinheiten (A100, B200, C300, D400), von denen jede durch andere Berechnungseinheiten überwacht wird, die überwachen, ob jede Einheit ausgefallen ist. Jede Einheit enthält: eine Ausfallerkennungseinheit (S210, S302, S402, S502, S1302), die erkennt, ob die anderen Berechnungseinheiten ausgefallen sind, und eine Steuerungsausgabeeinheit (S214, S224, S234, S313, S323, S413, S423, S513, S523, S91, S125, S1313, S1323, S1333). Die Steuerungsausgabeeinheit gibt eine Anweisung für ein Ausführen eines vorgegebenen Ausfallsicherheitsprozesses aus, wenn eine numerische Zahl von ausgefallenen Berechnungseinheiten gleich einer vorgegebenen numerischen Zahl oder größer als diese ist. Die Steuerungsausgabeeinheit gibt eine Anweisung für ein Steuern der normalen Berechnungseinheit aus, um eine Fahrzeugfortbewegungssteuerung, die von dem vorgegebenen Ausfallsicherheitsprozess verschieden ist, auszuführen, wenn die numerische Zahl von ausgefallenen Berechnungseinheiten geringer als die vorgegebene numerische Zahl ist.

Description

  • Die vorliegende Offenbarung bezieht sich auf ein Fahrzeugsteuerungssystem und eine Fahrzeugsteuerungsvorrichtung, die in einem Fahrzeug installiert sind und derart konfiguriert sind, dass jede von vielfachen Berechnungseinheiten konfiguriert ist, um im Stande zu sein, zu erkennen, ob eine andere Berechnungseinheit ausgefallen ist oder nicht.
  • Patentliteratur 1, die nachstehend aufgelistet ist, offenbart ein Fahrzeugsteuerungssystem mit vielfachen Berechnungseinheiten, die eine aktive Berechnungseinheit, die normalerweise tätig ist, und eine Standby-Berechnungseinheit bzw. Bereitschaftsberechnungseinheit, die bereitsteht, ohne normalerweise tätig zu sein, enthält, in denen die aktive Berechnungseinheit durch das Standby-System bzw. Bereitschaftssystem ausgetauscht wird, um so die Steuerung fortzuführen.
  • Nebenbei ist ein Stopp eines Fahrzeugs, wenn das System ausfällt, nicht immer sicher, da solch ein Stopp einen ernsten Unfall aufgrund einer Hinteres-Ende-Kollision mit einem folgenden Fahrzeug auf einer Schnellstraße verursachen kann oder ein Menschenleben in extremen Umgebungen, wie beispielsweise extremer Kälter, hoher Temperatur oder Trockenheit, in ein Risiko bringen kann. Zusätzlich gibt es aus dem Gesichtspunkt des Anwenders ebenso einen Bedarf, das Fahrzeug zu einer Fahrzeugwartungsstation, wie beispielsweise einem Fahrzeughändler, in einer selbstangetriebenen Art und Weise zu bewegen. Deshalb gibt es einen Bedarf an einem elektrischen und elektronischen Steuerungssystem, das im Stande ist, eine Fortbewegungsfunktion des Fahrzeugs sicher fortzuführen, selbst wenn ein ausgefallenes Teil von dem System getrennt ist oder eine Fortbewegungsleistungsfähigkeit gesenkt ist.
  • Jedoch haben als Folge einer detaillierten Untersuchung durch die Erfinder die Erfinder herausgefunden, dass eine Technik von Patentliteratur 1 an solch einem Problem leidet, dass, wenn ein sogenannter doppelter Ausfall vorkommt, in dem ein Ausfall der Standby-Berechnungseinheit bzw. Bereitschaftsberechnungseinheit während dem Ausfall der aktiven Berechnungseinheit vorkommt, es eine Möglichkeit gibt, dass unbeabsichtigte Signale von den jeweiligen Berechnungseinheiten ausgegeben werden können und in der Situation das Fahrzeug nicht sicher steuerbar bzw. kontrollierbar ist.
  • PTL1: JP-A-2016-060413
  • Es ist eine Aufgabe der vorliegenden Offenbarung, ein Fahrzeugsteuerungssystem und eine Fahrzeugsteuerungsvorrichtung bereitzustellen, die jeweils in einem Fahrzeug installiert sind und konfiguriert sind, um zu erkennen, ob jede von drei oder mehr Berechnungseinheiten ausgefallen ist oder nicht, und zwar durch zwei oder mehr andere Berechnungseinheiten, in denen, wenn ein Ausfall von einigen Berechnungseinheiten vorkommt, eine Steuerung so weit wie möglich fortgesetzt werden kann, während das Fahrzeug sicherer gesteuert werden kann.
  • Gemäß einem ersten Aspekt der vorliegenden Offenbarung enthält ein Fahrzeugsteuerungssystem, das in einem Fahrzeug eingebaut ist: drei oder mehr Berechnungseinheiten, von denen jede durch andere Berechnungseinheiten überwacht wird, die überwachen, ob jede von drei oder mehr Berechnungseinheiten ausgefallen ist. Jede der Berechnungseinheiten enthält: eine Ausfallerkennungseinheit, die konfiguriert ist, um zu erkennen, ob die anderen Berechnungseinheiten ausgefallen sind, und eine Steuerungsausgabeeinheit. Eine der Berechnungseinheiten mit einem Ausfall ist als eine ausgefallene Berechnungseinheit definiert. Eine andere der Berechnungseinheiten ohne einen Ausfall ist als normale Berechnungseinheit definiert. Die Steuerungsausgabeeinheit ist konfiguriert, um eine Anweisung für ein Ausführen eines vorgegebenen Ausfallssicherheitsprozesses auszugeben, wenn eine numerische Zahl von ausgefallenen Berechnungseinheiten gleich einer vorgegebenen numerischen Zahl oder größer als diese ist. Die vorgegebene numerische Zahl wird einleitend auf zwei oder mehr festgesetzt. Die Steuerungsausgabeeinheit ist konfiguriert, um eine Anweisung für ein Steuern der normalen Berechnungseinheit auszugeben, um eine Fahrzeugfortbewegungsteuerung, die von dem vorgegeben Ausfallsicherheitsprozess verschieden ist, auszuführen, wenn die numerische Zahl von ausgefallenen Berechnungseinheiten geringer als die vorgegebene numerische Zahl ist.
  • Gemäß der oben beschriebenen Konfiguration führt, wenn die Berechnungseinheiten von der Zahl, die geringer als die vorgeschriebene Zahl ist, unter den drei oder mehr Berechnungseinheiten die ausgefallenen Einheiten sind, die normale Einheit eine Fortbewegungssteuerung des Fahrzeugs aus und kann, wenn die Berechnungseinheiten von mehr als der spezifizierten Zahl die ausgefallenen Einheiten sind, der Ausfallsicherheitsprozess implementiert werden. Deshalb kann das Fahrzeug sicherer gesteuert werden, während die Steuerung so weit wie möglich fortgeführt wird.
  • Gemäß einem zweiten Aspekt der vorliegenden Offenbarung enthält eine Fahrzeugsteuerungsvorrichtung, die in einem Fahrzeug eingebaut ist: drei oder mehr Berechnungseinheiten, von denen jede durch andere Berechnungseinheiten überwacht wird, die überwachen, ob jede von drei oder mehr Berechnungseinheiten ausgefallen ist. Jede der Berechnungseinheiten enthält: eine Ausfallerkennungseinheit, die konfiguriert ist, um zu erkennen, ob die anderen Berechnungseinheiten ausgefallen sind, und eine Steuerungsausgabeeinheit. Eine der Berechnungseinheiten mit einem Ausfall ist als eine ausgefallene Berechnungseinheit definiert. Eine andere der Berechnungseinheiten ohne einen Ausfall ist als eine normale Berechnungseinheit definiert. Die Steuerungsausgabeeinheit ist konfiguriert, um eine Anweisung für ein Ausführen eines vorgegebenen Ausfallssicherheitsprozesses auszugeben, wenn eine numerische Zahl von ausgefallenen Berechnungseinheiten gleich einer vorgegebenen numerischen Zahl oder größer als diese ist. Die vorgegebene numerische Zahl wird einleitend auf zwei oder mehr festgesetzt. Die Steuerungsausgabeeinheit ist konfiguriert, um eine Anweisung für ein Steuern der normalen Berechnungseinheit auszugeben, um eine Fahrzeugfortbewegungssteuerung, die von dem vorgegebenen Ausfallssicherheitsprozess verschieden ist, auszuführen, wenn die numerische Zahl von ausgefallenen Berechnungseinheiten geringer als die vorgegebene numerische Zahl ist.
  • Gemäß der oben beschriebenen Konfiguration führt, wenn die Berechnungseinheiten von der Zahl, die geringer als die vorgeschriebene Zahl ist, unter den drei oder mehr Berechnungseinheiten die ausgefallenen Einheiten sind, die normale Einheit eine Fortbewegungssteuerung des Fahrzeugs aus und kann, wenn die Berechnungseinheiten von mehr als der spezifizierten Zahl die ausgefallenen Einheiten sind, der Ausfallsicherheitsprozess implementiert werden. Deshalb kann das Fahrzeug sicher gesteuert werden, während die Steuerung so weit wie möglich fortgeführt werden kann.
  • Die obigen und anderen Aufgaben, Merkmale und Vorteile der vorliegenden Offenbarung werden aus der folgenden ausführlichen Beschreibung, die mit Bezug auf die beigefügten Zeichnungen gemacht wird, noch deutlicher. In den Zeichnungen:
    • ist in 1 ein Blockschaltbild, das eine Konfiguration eines Fahrzeugsteuerungssystems gemäß einer ersten Ausführungsform zeigt,
    • ist in 2 ein Flussdiagramm (Teil 1) eines Überwachungsprozesses gemäß der ersten Ausführungsform,
    • ist in 3 ein Flussdiagramm (Teil 2) des Überwachungsprozesses gemäß der ersten Ausführungsform,
    • ist in 4 ein Flussdiagramm (Teil 3) des Überwachungsprozesses gemäß der ersten Ausführungsform,
    • ist in 5 ein Flussdiagramm (Teil 4) des Überwachungsprozesses gemäß der ersten Ausführungsform,
    • ist in 6 ein Timing-Diagramm, das ein Beispiel eines Zustands von jedem Signal, das von einer Berechnungseinheit ausgegeben wird, zeigt,
    • ist in 7 eine veranschaulichende Ansicht, die den Betrieb eines Fahrzeugsteuerungssystems gemäß einer zweiten Ausführungsform zeigt,
    • ist in 8 ein Flussdiagramm eines Überwachungsprozesses gemäß der zweiten Ausführungsform,
    • ist in 9 ein Blockschaltbild, das eine Konfiguration eines Fahrzeugsteuerungssystems gemäß einer dritten Ausführungsform zeigt,
    • ist in 10 ein Flussdiagramm eines Überwachungsprozesses gemäß der dritten Ausführungsform,
    • ist in 11 ein Blockschaltbild, das eine Konfiguration eines Fahrzeugsteuerungssystems gemäß einer vierten Ausführungsform zeigt,
    • ist in 12 ein Flussdiagramm (Teil 1) eines Überwachungsprozesses gemäß der vierten Ausführungsform, und
    • ist in 13 ein Flussdiagramm (Teil 2) des Überwachungsprozesses gemäß der vierten Ausführungsform.
  • Im Nachfolgenden werden Ausführungsformen der vorliegenden Offenbarung mit Bezug auf die Zeichnungen beschrieben.
  • Erste Ausführungsform
  • Konfiguration
  • Ein Fahrzeugsteuerungssystem 1A, das in 1 dargestellt ist, enthält eine Berechnungseinheit A100, eine Berechnungseinheit B200 und eine Berechnungseinheit C300. Das Fahrzeugsteuerungssystem 1A ist konfiguriert, um zu überwachen, ob jede von drei oder mehr Berechnungseinheiten ausgefallen ist oder nicht, und zwar durch zwei oder mehr andere Berechnungseinheiten.
  • In diesem Beispiel bedeutet „um zu überwachen, ob jede Berechnungseinheit ausgefallen ist oder nicht, und zwar durch zwei oder mehr Berechnungseinheiten“ eine Konfiguration, in der wie in der ersten Ausführungsform eine bestimmte Berechnungseinheit durch zwei oder mehr Berechnungseinheiten überwacht wird, und eine Konfiguration, in der wie in einer zweiten Ausführungsform, die später beschrieben wird, eine bestimmte Berechnungseinheit zu einer Zeit von einer Berechnungseinheit überwacht wird und zu einer anderen Zeit von einer anderen Berechnungseinheit überwacht wird. Zusätzlich können die Berechnungseinheiten A100, B200 und C300 an jeweiligen unterschiedlichen elektronischen Steuerungseinheiten montiert bzw. befestigt sein oder an einer elektronischen Steuerungsvorrichtung montiert bzw. befestigt sein.
  • Das Fahrzeugsteuerungssystem 1A kann ein ODER-Gate 11, UND-Gates 12, 13, 14 und Verriegelungsschaltungen 15, 16, 17 enthalten.
  • Die jeweiligen Berechnungseinheiten A100, B200 und C300 enthalten Mikrocomputer, die CPUs 101, 201 und 301 und Halbleiterspeicher (im Nachfolgenden Speicher 102, 202 und 302), wie beispielsweise ein RAM (Random-Access-Memory, Direktzugriffspeicher) oder ein ROM (Read-Only-Memory, Festwertspeicher bzw. Nur-Lesen-Speicher), haben. Die jeweiligen Funktionen der Berechnungseinheiten A100, B200 und C300 werden realisiert, indem den in CPUs 101, 201 und 301 ermöglicht wird, Programme auszuführen, die in einem nichtvergänglichen greifbaren Speichermedium gespeichert sind. In diesem Beispiel entsprechen die Speicher 102, 202 und 302 den nichtvergänglichen greifbaren Speichermedien, die die Programme speichern. Zusätzlich wird mit einer Ausführung von jedem der Programme ein Verfahren entsprechend dem Programm ausgeführt.
  • Es soll angemerkt werden, dass das nichtvergängliche greifbare Speichermedium ein Aufzeichnungsmedium mit Ausnahme von elektromagnetischen Wellen bedeutet. Des Weiteren kann jede der Berechnungseinheiten A100, B200 und C300 einen Mikrocomputer oder vielfache Mikrocomputer enthalten.
  • Zusätzlich sind die Speicher 102, 202 und 302 nicht zwangsläufig in den jeweiligen Berechnungseinheiten A100, B200 und C300 bereitgestellt und können die Berechnungseinheiten A100, B200 und C300 konfiguriert sein, um sich einen Speicher, der außerhalb der Berechnungseinheiten A100, B200 und C300 platziert ist, zu teilen.
  • Die Berechnungseinheiten A100, B200 und C300 haben Fahrzeugsteuerungsfunktionen. Die Fahrzeugsteuerung bedeutet ein Steuern von irgendeiner Vorrichtung, die durch ein Fahrzeug besessen wird, und enthält zum Beispiel eine Motorsteuerung bzw. Verbrennungsmotorsteuerung, eine Bremssteuerung, eine Klimaanlagensteuerung und dergleichen. Insbesondere enthält in diesem Beispiel die Fahrzeugsteuerung eine Überwachungsfunktion. Die Überwachungsfunktion repräsentiert eine Funktion eines Überwachens, ob andere Berechnungseinheiten normal sind oder nicht, und zwar durch die Berechnungseinheiten A100, B200 und C300. Zum Beispiel ist die Berechnungseinheit A100 eine Einheit für ein Durchführen einer Antriebskraftsteuerung, ist die Berechnungseinheit B200 eine Einheit für ein Durchführen einer Batteriesteuerung und ist die Berechnungseinheit C300 eine Einheit, die einzig für ein Überwachen der Berechnungseinheit A100 und der Berechnungseinheit B200 da ist.
  • In der Überwachungsfunktion überwachen sich die Berechnungseinheiten A100, B200 und C300 einander. Infolgedessen können, wenn eine beliebige Berechnungseinheit ausfällt, die verbleibenden zwei Berechnungseinheiten einen Ausfall detektieren. Ebenso können, selbst nachdem eine beliebige Berechnungseinheit ausfällt, die verbleibenden zwei Berechnungseinheiten ein Überwachen wechselseitig fortführen.
  • Nebenbei ist die Bezeichnung „Überwachen“, wie sie in der vorliegenden Beschreibung verwendet wird, nicht auf ein Verfahren, das im Stande ist, einen Ausfall der Berechnungseinheit zu detektieren, beschränkt. Zum Beispiel gibt es ein Verfahren eines Überprüfens einer Berechnungseinheit, indem es einer Berechnungseinheit, die überwacht werden soll, ermöglicht wird, einen Basisbetrieb bzw. Basisvorgang auszuführen, und eines Ausgebens eines Berechnungsergebnis an eine Überwachungsberechnungseinheit. Es gibt ebenso ein anderes Verfahren eines Überprüfens eines CPU-Ablaufs, indem es der Berechnungseinheit, die überwacht werden soll, ermöglicht wird, Kommunikationsdaten, wie beispielsweise einen Watchdog-Puls bzw. Überwachungseinrichtungspuls oder einen Zähler, der in einem konstanten Zyklus betrieben wird, an die Überwachungsberechnungseinheit auszugeben.
  • Alternativ können Daten, die durch ein Steuern eines Berechnungsergebnisses von einer Fahrzeugsteuerungssoftware und dergleichen erhalten werden, durch eine andere Berechnungseinheit auf einer Anwendungsebene überwacht werden. Des Weiteren ist in der Konfiguration, die ein wechselseitiges Überwachen durchführt, ein Verfahren eines Ermöglichens einer Vorrichtung, um zu überprüfen, ob eine Abnormalitätsbestimmung geeignet durchgeführt wird oder nicht, das heißt, ob eine Überwachungsfunktion tätig ist oder nicht, wenn ein Abnormsignal oder die Kommunikationsdaten an eine andere Vorrichtung ausgegeben wird bzw. werden, vorstellbar.
  • Das Verfahren eines Realisierens der Funktionen der jeweiligen Einheiten, die in den Berechnungseinheiten A100, B200 und C300 enthalten sind, ist nicht auf Software beschränkt und einige oder alle von den Funktionen können mit der Verwendung von einer oder mehr Hardware realisiert werden. Zum Beispiel kann, wenn die Funktion durch eine elektronische Schaltung realisiert wird, die Hardware ist, die elektronische Schaltung durch eine digitale Schaltung, eine analoge Schaltung oder eine Kombination aus der digitalen Schaltung und der analogen Schaltung realisiert werden.
  • In diesem Beispiel ist das ODER-Gate 11 eine allgemein bekannte elektronische Schaltung, die eine logische Summe ausgibt. Die UND-Gates 12, 13 und 14 sind allgemein bekannte elektronische Schaltungen, die ein logisches Produkt ausgeben. Bei Erhalt von irgendeiner von einer FSx-Ausgabe von den Berechnungseinheiten A100, B200 und C300 gibt das ODER-Gate 11 ein Ausfallsicherheitssignal aus.
  • Die Verriegelungsschaltungen 15, 16 und 17 sind allgemein bekannte Schaltungen, die eine Funktion eines Fortführens einer EIN-Ausgabe bei Empfang eines Zurücksetzsignals an die Verriegelungsschaltung, sobald die EIN-Ausgabe empfangen wird, haben. Die Verriegelungsschaltungen 15, 16 und 17 sind jeweilig auf der Ausgabeseite der UND-Gates 12, 13 und 14 angeordnet.
  • 1-2. Signal
  • Die Signale, die von den jeweiligen Berechnungseinheiten A100, B200 und C300 ausgegeben werden, werden nachstehend beschrieben. Jede der Berechnungseinheiten A100, B200 und C300 ist mit einer Überwachungsausgabeterminaleinheit bereitgestellt und Wxy wird von der Überwachungsausgabeterminaleinheit ausgegeben. Wxy ist ein Signal, das ein Überwachungsergebnis repräsentiert, x ist eine Zahl, die die Berechnungseinheit einer Signalausgabequelle repräsentiert, und y ist eine Zahl, die die Berechnungseinheit eines Signalausgabeziels repräsentiert. In der vorliegenden Ausführungsform entspricht die Berechnungseinheit A100 x = 1 und y = 1, entspricht die Berechnungseinheit B200 x = 2 und y = 2, und entspricht die Berechnungseinheit C300 x = 3 und y = 3.
  • Mit anderen Worten ist W12 das Überwachungsergebnis der Berechnungseinheit B200, das durch die Berechnungseinheit A100 bestimmt wird, und ist W13 das Überwachungsergebnis der Berechnungseinheit C300, das durch die Berechnungseinheit A100 bestimmt wird. W21 ist das Überwachungsergebnis der Berechnungseinheit A100, das durch die Berechnungseinheit B200 bestimmt wird, und W23 ist das Überwachungsergebnis der Berechnungseinheit C300, das durch die Berechnungseinheit B200 bestimmt wird. W31 ist das Überwachungsergebnis der Berechnungseinheit A100, das durch die Berechnungseinheit C300 bestimmt wird, und W32 ist das Überwachungsergebnis der Berechnungseinheit B200, das durch die Berechnungseinheit C300 bestimmt wird.
  • Bevor eine Abnormalität in der Berechnungseinheit, die überwacht werden soll, detektiert wird, schaltet jede der Berechnungseinheiten A100, B200 und C300 das Wxy aus, und bei einem Detektieren der Abnormalität in der Berechnungseinheit, die überwacht werden soll, gibt jede der Berechnungseinheiten A100, B200 und C300 das auf EIN gesetzte Wxy aus.
  • Jede der Berechnungseinheiten A100, B200 und C300 enthält eine Eingabeterminaleinheit, an die RSTx eingegeben wird. x ist eine Zahl, die die Berechnungseinheit, die die Eingabeterminaleinheit hat, repräsentiert. Das RSTx ist ein externes Zurücksetzsignal, das jeder Berechnungseinheit eingegeben wird. Wenn das auf EIN gesetzte RSTx empfangen wird, wird die Berechnungseinheit in einen zurückgesetzten Zustand gebracht und werden alle Betriebe bzw. Vorgänge und Ausgaben der Berechnungseinheit gestoppt.
  • Mit anderen Worten fungiert RSTx als ein Stoppbefehl für ein Stoppen der Funktion der Berechnungseinheit. In der vorliegenden Offenbarung führt, da die Verriegelungsschaltungen 15, 16 und 17 den EIN-Zustand von dem RSTx fortführen, jede der Berechnungseinheiten A100, B200 und C300 einen zurückgesetzten Zustand durch ein kontinuierliches Empfangen von dem auf EIN gesetzten RSTx fort und stoppt diese eine Ausgabe des Signals.
  • RST1 ist eine Zurücksetzeingabe der Berechnungseinheit A100, RST2 ist eine Zurücksetzeingabe der Berechnungseinheit B200 und RST3 ist eine Zurücksetzeingabe der Berechnungseinheit C300. Wie es später beschrieben wird, wird die ausgefallene Berechnungseinheit bei einem Empfangen des EIN-Signals an einer Eingabeterminaleinheit von der anderen Berechnungseinheit in einen zurückgesetzten Zustand gebracht. In der folgenden Beschreibung wird die ausgefallene Berechnungseinheit ebenso als eine „ausgefallene Einheit“ bezeichnet und wird die nichtausgefallene Berechnungseinheit ebenso als eine „normale Einheit“ bezeichnet.
  • Nebenbei kann, da der Effekt, der durch die vorliegende Erfindung erwartet bzw. angenommen wird, darin liegt, dass die ausgefallene Berechnungseinheit nicht ein Abnormsignal an eine Außenseite abgibt, die Konfiguration, in der die Zurücksetzung fortgeführt wird, durch eine Konfiguration, die ein Signal für ein Fortführen eines Effekts einer Trennung bzw. Abschaltung einer Leistungsversorgung an die Berechnungseinheit oder eines Effekts eines Außerkraftsetzens von allen Ausgabeanschlüssen verwendet, ersetzt werden.
  • Als Nächstes ist jede der Berechnungseinheiten A100, B200, C300 mit einer Ausfallsicherheitsausgabe-Terminaleinheit bereitgestellt und wird FSx von der Ausfallsicherheitsausgabe-Terminaleinheit ausgegeben. x ist eine Zahl, die die Berechnungseinheit der Signalausgabequelle repräsentiert.
  • FS1 ist eine Ausfallsicherheitsausgabe von der Berechnungseinheit A100, FS2 ist eine Ausfallsicherheitsausgabe von der Berechnungseinheit bzw. der Berechnungseinheit B200 und FS3 ist eine Ausfallsicherheitsausgabe von der Berechnungseinheit C300. FS wird als eine logische Summe aus FS1, FS2 und FS3 durch das ODER-Gate 11 ausgegeben.
  • FS ist ein Ausfallsicherheitssignal, das die Ausfallsicherheitsausgabe repräsentiert, die von dem gesamten System, das in der vorliegenden Offenbarung vorgeschlagen wird, ausgegeben wird. Wenn das EIN-Signal ausgegeben wird, stoppt eine beliebige Steuerungsvorrichtung, die die Ausfallsicherheitsausgabe empfangen hat, die Fahrzeugsicherheit gemäß der Steuerung. Zum Beispiel ist in Hybridfahrzeugen und Elektrofahrzeugen die Steuerungsvorrichtung mit einer Antriebsvorrichtung für einen Elektromotor, der eine Antriebskraft des Fahrzeuges erzeugt, verbunden und schaltet diese zu der Zeit eines Ausgebens des EIN-Signals die Antriebsvorrichtung die Antriebskraft mit Gewalt ab bzw. trennt dieses.
  • Jede der Berechnungseinheiten A100, B200 und C300 gibt das auf EIN gesetzte Ausfallsicherheitssignal FSx aus, wenn ein doppelter Ausfall der Berechnungseinheit detektiert wird oder wenn eine fatale Abnormalität detektiert wird, die instabil bzw. unsicher wird, wenn die Fortbewegungsfunktion fortgeführt wird. Jedoch ist es in Anbetracht des Problems, das durch die vorliegende Offenbarung gelöst werden soll, bevorzugt, das auf AUS gesetzte Ausfallsicherheitssignal FSx auszugeben, wenn der Ausfall der Berechnungseinheit einzig ein einzelner Ausfall ist und die Fortbewegungsfunktion fortgeführt werden kann.
  • Um das Fahrzeug sicher zu stoppen, wenn irgendeine der Berechnungseinheiten einen doppelten Ausfall oder eine fatale Abnormalität detektiert, ist das ODER-Gate 11 erforderlich. Jede der Berechnungseinheiten A100, B200 und C300 wird festgesetzt, um das auf AUS gesetzte FSx in einem Zustand auszugeben, in dem die Berechnungseinheit nach einem Vorkommen des Ausfalls durch das RSTx zurückgesetzt wird.
  • Jedoch ist es, wenn das FSx, das in dem Zustand ausgegeben wird, in dem jede der Berechnungseinheiten A100, B200 und C300 zurückgesetzt ist, eine hohe Impedanz wird, bevorzugt, dass das FSx, das ausgegeben wird, durch ein externes Hochziehen oder Runterziehen auf AUS gesetzt wird. In der obigen Konfiguration wird das Fortbewegen durch die verbleibenden Berechnungseinheiten fortgeführt, falls ein einzelner Ausfall vorkommt, und wird das FS nur dann auf EIN gesetzt, wenn der doppelte Ausfall oder die fatale Abnormalität detektiert wird.
  • In diesem Beispiel ist RST1 ein Ausgabeergebnis des UND-Gates 12, das das W21 und das W31 empfängt, ist RST2 ein Ausgabeergebnis des UND-Gates 13, das das W12 und das W32 empfängt, und ist RST3 ein Ausgabeergebnis des UND-Gates 14, das das W13 und das W23 empfängt. Mit der obigen Konfiguration detektieren, zum Beispiel, wenn die Berechnungseinheit A100 ausgefallen ist, die Berechnungseinheit B200 und die Berechnungseinheit C300 einen Ausfall der Berechnungseinheit A100. Da W21 = EIN und W31 = EIN festgelegt sind, kann die Berechnungseinheit A100 zurückgesetzt werden und kann die Ausgabe der ausgefallenen Berechnungseinheit A100 gestoppt werden.
  • Wenn die UND-Gates 12 bis 14 zum Beispiel in dem Fall eines einzelnen Ausfalls der Berechnungseinheit A100 ODER-Gates anstelle von UND-Gates sind, wird das W12 eine Abnormausgabe und ist es nicht bekannt, wie das W12 ausgegeben wird. Zum Beispiel kann, wenn das W12 auf EIN geschaltet ist, die Berechnungseinheit B200 bei einem unbeabsichtigten Timing zurückgesetzt werden.
  • Aus diesem Grund wird in der vorliegenden Offenbarung, um die Berechnungseinheit auf einer Zurücksetzeingabeseite durch den einzelnen Ausfall der Berechnungseinheit auf einer Überwachungsergebnisausgabeseite nicht zu beeinflussen und um einzig die ausgefallene Berechnungseinheit zuverlässig zurückzusetzen, eine Konfiguration, die UND-Gates bereitstellt, verwendet.
  • Nebenbei ist jede der Berechnungseinheiten A100, B200 und C300 konfiguriert, um das auf AUS gesetzte Wxy in einem Zustand eines Zurückgesetztseins durch das RSTx auszugeben. Jedoch ist, wenn die Ausgabe von dem Wxy eine hohe Impedanz in dem Zustand wird, in dem jede der Berechnungseinheiten A100, B200 und C300 zurückgesetzt ist, jede Berechnungseinheit konfiguriert, um das auf AUS gesetzte Wxy durch das externe Hochziehen oder Herunterziehen auszugeben.
  • Die obige Konfiguration ist dafür da, die dritte normal tätige Berechnungseinheit davon abzuhalten, unbeabsichtigt zurückgesetzt zu werden, wenn die zweite Berechnungseinheit während der Fortführung eines Fortbewegens nach dem Ausfall der ersten Berechnungseinheit ausfällt. In dem Fall, in dem das Wxy nicht ausgeschaltet ist, sondem in dem zurückgesetzten Zustand eingeschaltet ist, zum Beispiel, wenn die Berechnungseinheit A100 in einem ausgefallenen Zustand ist, das heißt, wenn ein Ausfall der Berechnungseinheit B200 mit dem W13 = EIN vorkommt, falls das W23 als eine Abnormausgabe eingeschaltet ist, wird die normal tätige Berechnungseinheit C300 zurückgesetzt. In dem zurückgesetzten Zustand ist das Wxy = AUS gesetzt, so dass die dritte normal tätige Berechnungseinheit davon abgehalten wird, unbeabsichtigt zurückgesetzt zu werden, selbst wenn der doppelte Ausfall vorkommt.
  • Wenn sich das RSTx-Signal von AUS auf EIN ändert, gehen die Verriegelungsschaltungen 15 bis 17 von dem AUS-Zustand auf den EIN-Zustand über und halten diese danach den EIN-Zustand ungeachtet von Ausgabezuständen der UND-Gates 12 bis 14. Mit der obigen Konfiguration wird, selbst wenn die zweite Berechnungseinheit ausfällt, während ein Fortbewegen nach dem Ausfall der ersten Berechnungseinheit fortgeführt wird, der zurückgesetzte Zustand der ersten ausgefallenen Einheit fortgeführt und dauert der Ausgabestoppzustand an.
  • In dem Fall, in dem die Verriegelungsschaltungen nicht bereitgestellt sind, zum Beispiel, wenn ein Ausfall der Berechnungseinheit B200 in einem Zustand vorkommt, in dem die Berechnungseinheit A100 ausgefallen ist, wird das W21 aufgrund einer Abnormausgabe auf AUS geschaltet und kann die ausgefallene Berechnungseinheit A100 unbeabsichtigt aus dem zurückgesetzten Zustand zurückkehren. Außerdem kann der in Situation, falls das W13 und das W23, die Ausgaben von den ausgefallenen Einheiten sind, aufgrund der Abnormausgabe eingeschaltet werden, die normal tätige Berechnungseinheit C300 unbeabsichtigt zurückgesetzt werden.
  • Aus diesem Grund wird in der vorliegenden Offenbarung mit der Konfiguration, um die Berechnungseinheit einmal zurückzusetzen und danach den zurückgesetzten Zustand zu halten, die Berechnungseinheit, die zu der Zeit eines Vorkommens des doppelten Ausfalls zurückgesetzt wird, davon abgehalten, unbeabsichtigt zurückgeführt zu werden, wie es oben beschrieben wurde. In den Verriegelungsschaltungen 15 bis 17 wird ein Löschen des Verriegelungszustands, das heißt, ein Zurücksetzlösen bzw. Zurücksetzaufheben, durchgeführt, zum Beispiel, wenn alle von den drei Berechnungseinheiten normal sind. Bei einem Empfangen eines vorgegebenen Zurücksetzsignals gehen die Verriegelungsschaltungen 15 bis 17 von dem EIN-Zustand auf den AUS-Zustand über.
  • 1-2. bzw. 1-3. Verarbeitung
  • Als Nächstes wird ein Überwachungsprozess, der durch jede der Berechnungseinheiten A100, B200 und C300 ausgeführt werden soll, mit Bezug auf Flussdiagramme in 2 und nachfolgenden Figuren beschrieben. In dem Überwachungsprozess wird die oben beschriebene Überwachungsfunktion als ein Prozess implementiert. Des Weiteren startet der Überwachungsprozess, zum Beispiel, wenn eine Leistungszufuhr des Fahrzeugs eingeschaltet ist.
  • In dem Überwachungsprozess bestimmen als Erstes in S210 die Berechnungseinheiten A100, B200 und C300, ob ein Ausfall einer anderen Berechnungseinheit vorgekommen ist oder nicht. Die Berechnungseinheiten A100, B200 und C300 wiederholen S210, wenn kein Ausfall einer anderen Berechnungseinheit vorgekommen ist.
  • Zusätzlich rückt, falls die Berechnungseinheiten B200 und C300 bestimmten, dass die Berechnungseinheit A100 ausgefallen ist, der Prozess zu S212 vor. Zusätzlich rückt, falls die Berechnungseinheiten A100 und C300 bestimmen, dass die Berechnungseinheit B200 ausgefallen ist, der Prozess zu S222 vor. Des Weiteren rückt, falls die Berechnungseinheiten A100 und B200 bestimmen, dass die Berechnungseinheit C300 ausgefallen ist, der Prozess zu S232 vor.
  • In S212 detektieren die Berechnungseinheit B200 und die Berechnungseinheit C300, die die Berechnungseinheit A100 überwachen, die Abnormalität der Berechnungseinheit A100. In dem Fall gibt die Berechnungseinheit B200 das auf EIN gesetzte W21 aus und gibt die Berechnungseinheit C300 das auf EIN gesetzte W31 aus. Infolgedessen wird das RST1 eingeschaltet, wie es in S213 angegeben ist, und werden der Betrieb und die Ausgabe der Berechnungseinheit A100 gestoppt. Mit anderen Worten werden alle von den Abnormsignalen von der ausgefallenen Berechnungseinheit A100 zu der Außenseite getrennt bzw. abschaltet.
  • Anschließend führen in S214 die Berechnungseinheiten B200 und C300 eine Fortbewegungssteuerung für das Fahrzeug, die von dem Ausfallsicherheitsprozess verschieden sind, zum Beispiel, eine Steuerung in einem normalen Steuerungszustand, der einen Steuerungszustand repräsentiert, wenn die Berechnungseinheit A100 nicht ausgefallen ist, fort, während mindestens eine der Berechnungseinheiten B200 und C300 einen Fahrzeugsteuerungsfunktionsaustauschs, der anstelle der Fahrzeugsteuerung ausgeführt werden soll, die durch die Berechnungseinheit A100 ausgeführt wird, startet. Infolgedessen kann ein Fortbewegen in einem Zustand fortgeführt werden, in dem es die Berechnungseinheiten B200 und die Berechnungseinheit C300 fortführen, einander zu überwachen.
  • In dem Funktionsaustausch können alle von den Steuerungen, die durch die Berechnungseinheit A100 in den normalen Steuerungszustand durchgeführt werden, ausgeführt werden wie sie sind oder kann einzig eine Minimalfunktion, die für ein Fortbewegen erforderlich ist, ausgeführt werden, indem die Funktion degeneriert bzw. zurückbildet wird. Zusätzlich können die Berechnungseinheiten B200 und C300 die Steuerung, die ausgeführt werden soll, in Erwiderung auf den Ausfall der Berechnungseinheit A100 von dem normalen Steuerungszustand ändern. Des Weiteren kann nicht nur, wenn die Berechnungseinheit A100 ausfällt, sondern ebenso wenn die Berechnungseinheit B200 oder C300 ausfällt, eine andere Berechnungseinheit auf dieselbe Weise funktionieren.
  • Als Nächstes kommt in S222 ein Ausfall der Berechnungseinheit B200 vor und detektieren die Berechnungseinheit A100 und die Berechnungseinheit C300, die die Berechnungseinheit B200 überwachen, die Abnormalität der Berechnungseinheit B200. In dem Fall gibt die Berechnungseinheit A100 das auf EIN gesetzte W12 aus und gibt die Berechnungseinheit C300 das auf EIN gesetzte W32 aus. Infolgedessen wird das RST2 eingeschaltet, wie es in S223 angegeben ist, und werden der Betrieb und die Ausgabe der Berechnungseinheit B200 gestoppt. Mit anderen Worten werden alle von den Abnormsignalen von der ausgefallenen Berechnungseinheit B200 zu der Außenseite getrennt bzw. abgeschaltet.
  • Anschließend führen in S224 die Berechnungseinheiten A100 und C300 die Steuerung in dem normalen Steuerungszustand fort, während mindestens eine der Berechnungseinheiten A100 und C300 einen Fahrzeugsteuerungsfunktionsaustausch, der anstelle der Fahrzeugsteuerung ausgeführt werden soll, die durch die Berechnungseinheit B200 ausgeführt wird, startet. Unterdessen repräsentiert der normale Steuerungszustand in diesem Fall einen Steuerungszustand, wenn die Berechnungseinheit B200 nicht ausgefallen sit. Infolgedessen kann ein Fortbewegen in einem Zustand fortgeführt werden, in dem es die Berechnungseinheit A100 und die Berechnungseinheit C300 fortführen, einander zu überwachen.
  • Als Nächstes kommt in S232 ein Ausfall der Berechnungseinheit C300 vor und detektieren die Berechnungseinheiten A100 und B200, die die Berechnungseinheit C300 überwachen, die Abnormalität der Berechnungseinheit C300. In dem Fall gibt die Berechnungseinheit A100 das auf EIN gesetzte W13 aus und gibt die Berechnungseinheit B200 das auf EIN gesetzte W23 aus. Infolgedessen wird das RST3 eingeschaltet, wie es in S233 angegeben ist, und werden der Betrieb und die Ausgabe der Berechnungseinheit C300 gestoppt. Mit anderen Worten werden alle von den Abnormsignalen von der ausgefallenen Berechnungseinheit C300 zu der Außenseite getrennt bzw. abgeschaltet.
  • Anschließend führen in S234 die Berechnungseinheiten A100 und B200 die Steuerung in dem normalen Steuerungszustand fort, während mindestens eine der Berechnungseinheiten A100 und B200 einen Fahrzeugsteuerungsfunktionsaustausch, der anstelle der Fahrzeugsteuerung ausgeführt werden soll, die durch die Berechnungseinheit C300 ausgeführt wird, startet. Unterdessen repräsentiert der normale Steuerungszustand in diesem Fall einen Steuerungszustand, wenn die Berechnungseinheit C300 nicht ausgefallen ist. Infolgedessen kann ein Fortbewegen in einen Zustand fortgeführt werden, in dem es die Berechnungseinheit A100 und die Berechnungseinheit B200 fortführen, einander zu überwachen.
  • Anschließend wird eine Verarbeitung, wenn die Berechnungseinheit A100 ausgefallen ist, mit Bezug auf ein Flussdiagramm von 3 beschrieben. Während dem Ausfall der Berechnungseinheit A100 führen die Berechnungseinheiten B200 und C300 in S301 die Fortbewegungssteuerung, während die Berechnungseinheit A100 ausgefallen ist, fort und bestimmen diese des Weiteren in S302, ob ein Ausfall einer anderen Berechnungseinheit vorgekommen ist oder nicht. Mit anderen Worten bestimmen die Berechnungseinheiten B200 und C300, ob ein zweiter Ausfall, der ein Ausfall einer anderen Berechnungseinheit ist, während dem Ausfall der Berechnungseinheit A100, der ein erster Ausfall ist, vorgekommen ist oder nicht.
  • Wenn die Berechnungseinheit C300 das Vorkommen eines Ausfalls bzw. Defekts der Berechnungseinheit B200 erkennt, führt die Berechnungseinheit C300 die Verarbeitung von S312 und der anschließenden Schritte aus. Zusätzlich führt, wenn die Berechnungseinheit B200 das Vorkommen eines Ausfalls der Berechnungseinheit C300 erkennt, die Berechnungseinheit B200 die Verarbeitung von S322 und der anschließenden Schritte aus.
  • In S312 detektiert die Berechnungseinheit C300 eine Abnormalität der Berechnungseinheit B200 und erkennt die Berechnungseinheit C300 den doppelten Ausfall der Berechnungseinheit A100 und der Berechnungseinheit B200. Zu der Zeit wird das W21 gelöst bzw. aufgehoben, jedoch hält die Verriegelungsschaltung 15 das auf EIN gesetzte RST1 und führt die Berechnungseinheit A100 den Betrieb und den Ausgabestoppzustand fort.
  • Anschließend gibt in S313 die Berechnungseinheit C300 das auf EIN gesetzte FS3 als den Ausfallsicherheitsprozess aus. Infolgedessen kann, wie es in S314 zu sehen ist, selbst wenn das FS auf EIN geschaltet ist und die Berechnungseinheit B200 ein Abnormsignal an die Außenseite ausgibt, das Fahrzeug ein Fortbewegen sicher stoppen.
  • Dagegen detektiert in S332 die Berechnungseinheit B200 eine Abnormalität der Berechnungseinheit C300 und erkennt die Berechnungseinheit B200 einen doppelten Ausfall der Berechnungseinheit A100 und der Berechnungseinheit C300. Zu der Zeit wird das W31 gelöst bzw. aufgehoben, jedoch erhält die Verriegelungsschaltung 15 das auf EIN gesetzte RST1 und führt die Berechnungseinheit A100 den Betrieb und den Ausgabestoppzustand fort.
  • Anschließend gibt in S323 die Berechnungseinheit B200 das auf EIN gesetzte FS2 als den Ausfallsicherheitsprozess aus. Infolgedessen kann, wie es in S324 zu sehen ist, selbst wenn das FS auf EIN geschaltet ist und die Berechnungseinheit C300 ein Abnormsignal an die Außenseite ausgibt, das Fahrzeug ein Fortbewegen sicher stoppen.
  • Anschließend wird eine Verarbeitung, wenn die Berechnungseinheit B200 ausgefallen ist, mit Bezug auf ein Flussdiagramm von 4 beschrieben. Während dem Ausfall der Berechnungseinheit B200 führen die Berechnungseinheiten A100 und C300 die Fortbewegungssteuerung, während die Berechnungseinheit B200 ausgefallen ist, in S401 fort und bestimmen diese des Weiteren in S402, ob ein Ausfall einer anderen Berechnungseinheit vorgekommen ist oder nicht. Mit anderen Worten bestimmen die Berechnungseinheiten A100 und C300, ob ein zweiter Ausfall, der ein Ausfall einer anderen Berechnungseinheit ist, während dem Ausfall der Berechnungseinheit B200, der ein erster Ausfall ist, vorgekommen ist oder nicht.
  • Wenn die Berechnungseinheit C300 das Vorkommen eines Ausfalls bzw. Defekts der Berechnungseinheit A100 erkennt, führt die Berechnungseinheit C300 die Verarbeitung von S412 und der anschließenden Schritte aus. Zusätzlich führt, wenn die Berechnungseinheit A100 das Vorkommen eines Ausfalls der Berechnungseinheit C300 erkennt, die Berechnungseinheit A100 die Verarbeitung von S422 und der anschließenden Schritte aus.
  • In S412 detektiert die Berechnungseinheit C300 eine Abnormalität der Berechnungseinheit A100 und erkennt die Berechnungseinheit C300 den doppelten Ausfall der Berechnungseinheit B200 und der Berechnungseinheit A100. Zu der Zeit wird das W12 gelöst bzw. aufgehoben, jedoch hält die Verriegelungsschaltung 16 das auf EIN gesetzte RST2 und führt die Berechnungseinheit B200 den Betrieb und den Ausgabestoppzustand fort.
  • Anschließend gibt in S413 die Berechnungseinheit C300 das auf EIN gesetzte FS3 als den Ausfallsicherheitsprozess aus. Infolgedessen kann, wie es in S414 angegeben ist, selbst wenn das FS auf EIN geschaltet ist uns die Berechnungseinheit A100 ein Abnormsignal an die Außenseite ausgibt, das Fahrzeug ein Fortbewegen sicher stoppen.
  • Dagegen detektiert in S422 die Berechnungseinheit A100 eine Abnormalität der Berechnungseinheit C300 und erkennt die Berechnungseinheit A100 einen doppelten Ausfall der Berechnungseinheit B200 und der Berechnungseinheit C300. Zu der Zeit wird W32 gelöst bzw. aufgehoben, jedoch hält die Verriegelungsschaltung 16 das auf EIN gesetzte RST2 und führt die Berechnungseinheit B200 den Betrieb und den Ausgabestoppzustand fort.
  • Anschließend gibt in S423 die Berechnungseinheit A100 das auf EIN gesetzte FS1 als den Ausfallsicherheitsprozess aus. Infolgedessen kann, wie es in S424 repräsentiert wird, selbst wenn das FS auf EIN geschaltet ist und die Berechnungseinheit C300 ein Abnormsignal an die Außenseite ausgibt, das Fahrzeug ein Fortbewegen sicher stoppen.
  • Anschließend wird eine Verarbeitung, wenn die Berechnungseinheit C300 ausgefallen ist, mit Bezug auf ein Flussdiagramm von 5 beschrieben. Während dem Ausfall der Berechnungseinheit C300 führen die Berechnungseinheiten A100 und B200 die Fortbewegungssteuerung, während die Berechnungseinheit C300 ausgefallen ist, in S501 fort und bestimmen diese des Weiteren in S502, ob ein Ausfall einer anderen Berechnungseinheit vorgekommen ist oder nicht. Mit anderen Worten bestimmen die Berechnungseinheiten B200 und C300, ob ein zweiter Ausfall, der ein Ausfall einer anderen Berechnungseinheit ist, während dem Ausfall der Berechnungseinheit C300, der ein erster Ausfall ist, vorgekommen ist oder nicht.
  • Wenn die Berechnungseinheit B200 das Vorkommen eines Ausfalls der Berechnungseinheit A100 erkennt, führt die Berechnungseinheit B200 die Verarbeitung von S512 und der anschließenden Schritte aus. Zusätzlich führt, wenn die Berechnungseinheit A100 das Vorkommen eines Ausfalls der Berechnungseinheit B200 erkennt, die Berechnungseinheit A100 die Verarbeitung von S522 und der anschließenden Schritte aus.
  • In S512 detektiert die Berechnungseinheit B200 eine Abnormalität der Berechnungseinheit A100 und erkennt die Berechnungseinheit B200 den doppelten Ausfall der Berechnungseinheit C300 und der Berechnungseinheit A100. Zu der Zeit wird das W13 gelöst bzw. aufgehoben, jedoch hält die Verriegelungsschaltung 17 das auf EIN gesetzte RST3 und führt die Berechnungseinheit C300 den Betrieb und den Ausgabestoppzustand fort.
  • Anschließend gibt in S513 die Berechnungseinheit B200 das auf EIN gesetzte FS2 als den Ausfallsicherheitsprozess aus. Infolgedessen kann, wie es in S514 angegeben ist, selbst wenn das FS auf EIN geschaltet ist und die Berechnungseinheit A100 ein Abnormsignal an die Außenseite ausgibt, das Fahrzeug ein Fortbewegen sicher stoppen.
  • Dagegen detektiert in S522 die Berechnungseinheit A100 eine Abnormalität der Berechnungseinheit B200 und erkennt die Berechnungseinheit A100 einen doppelten Ausfall der Berechnungseinheit C300 und der Berechnungseinheit B200. Zu der Zeit wird das W23 gelöst bzw. aufgehoben, jedoch hält die Verriegelungsschaltung 17 das auf EIN gesetzte RST3 und führt die Berechnungseinheit C300 den Betrieb und den Ausgabestoppzustand fort.
  • Anschließend gibt in S523 die Berechnungseinheit A100 das auf EIN gesetzte FS1 als den Ausfallsicherheitsprozess aus. Infolgedessen kann, wie in S524 zu sehen ist, selbst wenn das FS auf EIN geschaltet ist und die Berechnungseinheit B200 ein Abnormsignal an die Außenseite ausgibt, das Fahrzeug ein Fortbewegen sicher stoppen.
  • In 6 ist ein Timing-Diagramm, das ein Beispiel eines Zustands von jedem Signal zeigt, wenn die Berechnungseinheit A100 von dem normalen Steuerungszustand ausfallen wird und dann die Berechnungseinheit B200 ausfallen wird. In dem normalen Steuerungszustand, der bei t61 zu sehen ist, ist jedes Signal auf AUS.
  • t62 ist ein Timing, bei dem die Berechnungseinheit A100 ausgefallen ist. t63 ist ein Timing, bei dem die Berechnungseinheit B200 und die Berechnungseinheit C300 die Abnormalität der Berechnungseinheit A100 detektieren, welches ein Timing ist, bei dem zumindest eine der Berechnungseinheiten B200 und C300 einen Funktionsaustausch der Berechnungseinheit A100 startet.
  • Bei t63 werden das W21 und das W31 auf EIN geschaltet und kommt danach die Berechnungseinheit A100 in einen Ausgabestoppzustand. Deshalb kann die Berechnungseinheit B200 den Betrieb fortführen, ohne durch die ausgefallene Berechnungseinheit A100 beeinflusst zu werden. In diesem Beispiel sind während einem Intervall von t62 bis t63 das W12 und das W13, die die Ausgabesignale der Berechnungseinheit A100 sind, in einem gelösten bzw. aufgehobenen Zustand, jedoch werden das in RST2 und das in RST3 fortgeführt, um durch die UND-Gates 13 und 14 und die Berechnungseinheit B200 auf AUS zu sein, und führt die Berechnungseinheit C300 den Betrieb und die Ausgabe fort.
  • Da das FS1 ebenso von t62 bis t63 gelöst bzw. aufgehoben wird, wird das Ausfallsicherheitssignal FS, das von dem gesamten System ausgegeben wird, nicht zeitweilig durch das ODER-Gate 11 festgesetzt. Jedoch ist, selbst wenn das FS während einem Zeitabschnitt von t62 bis t63 zeitweilig auf EIN geschaltet ist, falls das Ausfallssicherheitssignal FS bei dem Timing von t63 aufgehoben wird, eine Vorrichtung, die den Ausfallssicherheitsprozess durchführt, derart konfiguriert, dass das Fahrzeug aus dem Ausfallsicherheitszustand zurückkehren kann.
  • Zum Beispiel trennt, wenn ein Antriebsglied für einen Elektromotor eines Elektrofahrzeugs als eine Vorrichtung für ein Durchführen des Ausfallssicherheitsprozesses bereitgestellt wird, das Antriebsglied des Elektromotors lediglich zeitweilig eine Antriebskraft des Fahrzeugs in einem Zeitabschnitt von t62 bis t63 und wird das Antriebsglied durch eine befohlene bzw. angeordnete Antriebskraft ab dem Timing von t63 gesteuert, wie bei dem normalen Steuerungszustand.
  • t64 ist ein Timing, bei dem die Berechnungseinheit B200 ausfällt, und t65 ist ein Timing, bei dem die Berechnungseinheit C300 eine Abnormalität der Berechnungseinheit B200 detektiert und den Ausfallsicherheitsprozess durchführt. Bei t65 wird das FS3 auf EIN geschaltet und kann das Fahrzeug aufgrund einer Ausgabe des auf EIN gesetzten Ausfallssicherheitssignals ein Fortbewegen sicher stoppen.
  • Bei t64 wird das W21, das das Ausgabesignal der Berechnungseinheit B200 ist, in dem gelösten bzw. aufgehobenen Zustand gesetzt, jedoch wird der Ausgabestoppzustand der Berechnungseinheit A100 selbst nach t64 durch die Verriegelungsschaltung 15 fortgeführt. Nach t64 ist ebenso das W23 in dem gelösten bzw. aufgehobenen Zustand, jedoch wird das RST3 fortgeführt, um durch das UND-Gate 14 auf AUS zu sein, und führt die Berechnungseinheit C300 den Betrieb und die Ausgabe fort.
  • Nach t64 wird, da das FS2 ebenso in dem gelösten bzw. aufgehobenen Zustand ist, das Ausfallsicherheitssignal FS, das von dem gesamten System ausgegeben wird, während einem Zeitabschnitt von t64 bis t65 durch das ODER-Gate 11 gelöst bzw. aufgehoben. Jedoch wird, selbst wenn das FS2 während dem Zeitabschnitt in dem EIN-Zustand ausgegeben wird, das Timing, bei dem das FS auf EIN geschaltet wird, lediglich von t65 vorverlegt und kann das Fahrzeug ein Fortbewegen sicher stoppen, wobei das kein Problem zur Folge hat.
  • Mit der Konfiguration und dem Betrieb, die oben beschrieben wurden, kann, selbst wenn irgendeine der drei Berechnungseinheiten ausgefallen ist, eine Steuerung und ein Überwachen durch die verbleibenden zwei Berechnungseinheiten fortgeführt werden. Zusätzlich kann, da die verbleibenden zwei Berechnungseinheiten den Betrieb und die Ausgabe der ausgefallenen Einheit stoppen, die Fortbewegungsfunktion gegen den einzelnen Ausfall sicher fortgesetzt werden. Außerdem gibt, selbst wenn irgendwelche zwei Berechnungseinheiten unter den drei Berechnungseinheiten ausgefallen sind, die verbleibende Berechnungseinheit das Ausfallsicherheitssignal aus, wobei diese dadurch im Stande ist, ein Fortbewegen gegen den doppelten Ausfall sicher zu stoppen.
  • 1-3. bzw. 1-4. Vorteile
  • Das oben beschriebene Fahrzeugsteuerungssystem 1A hat die folgenden Vorteile.
  • Mit der Konfiguration, in der sich die Berechnungseinheiten A100, B200 und C300, die die drei Steuerungsvorrichtungen sind, einander überwachen, können, selbst wenn irgendeine Berechnungseinheit ausfällt, eine Steuerung und ein Überwachen durch die verbleibenden zwei Berechnungseinheiten fortgeführt werden. Zusätzlich stoppken die verbleidenden zwei Berechnungseinheiten die Ausgabe der ausgefallenen Einheit, um dadurch im Stande zu sein, die Fortbewegungsfunktion gegen einen einzelnen Ausfall sicher fortzuführen.
  • Falls beliebige zwei Berechnungseinheiten unter den drei Berechnungseinheiten ausfallen, kann die verbleibende Berechnungseinheit das Ausfallsicherheitssignal ausgeben. Mit anderen Worten kann ein Fortbewegen sicher gegen den doppelten Ausfall gestoppt werden.
  • Falls Software, die im Stande ist, jede Berechnungseinheit durch eine andere Berechnungseinheit zu ersetzen, in Voraus für jede Berechnungseinheit enthalten ist, ist es nicht nötig, eine Standbysystem-Berechnungsverarbeitungsvorrichtung bzw. Bereitschaftssystem-Berechnungsverarbeitungsvorrichtung einzeln bereitzustellen und kann die vorliegende Offenbarung einzig mit existierenden Berechnungseinheiten realisiert werden, und können ebenso Entwicklungskosten reduziert werden.
  • Noch ausführlicher stellt die erste Ausführungsform, die oben ausführlich beschrieben wurde, die folgende Konfiguration bereit und erlangt diese die folgenden Vorteile.
  • (1a) Das Fahrzeugsteuerungssystem 1A enthält drei oder mehr Berechnungseinheiten A100, B200 und C300. Die Berechnungseinheiten A100, B200 und C300 sind konfiguriert, um in S210, S302, S402 und S502 zu erkennen, dass die anderen Berechnungseinheiten abgesehen von der Subjektereglungseinheit ausgefallen sind.
  • Mit den ausgefallenen Berechnungseinheiten A100, B200 und C300, die als ausgefallene Einheiten betrachtet werden, und den nichtausgefallenen Berechnungseinheiten A100, B200 und C300, die als normale Einheiten betrachtet werden, geben die Berechnungseinheiten A100, B200 und C300 eine Anweisung für ein Implementieren eines Ausfallssicherheitsprozesses, der im Voraus festgesetzt wird, aus, wenn die Berechnungseinheiten A100, B200 und C300 von der Zahl, die gleiche einer vorgeschriebenen Zahl oder größer als diese ist, die im Voraus auf zwei oder mehr von den anderen Berechnungseinheiten festgesetzt wird, die ausgefallenen Einheiten sind, und zwar in S214, S224, S234, S313, S323, S413, S423, S513 und S523. Die Berechnungseinheiten A100, B200 und C300 geben eine Anweisung für ein Veranlassen der Normaleinheit, eine Fahrzeugfortbewegungssteuerung zu implementieren, die von dem Ausfallsicherheitsprozess verschieden ist, aus, wenn die Berechnungseinheiten A100, B200 und C300 von der Zahl, die geringer als die vorgeschriebene Zahl der anderen Berechnungseinheiten A100, B200 und C300 ist, die ausgefallenen Einheiten sind.
  • In der vorliegenden Ausführungsform ist die vorgeschriebene Zahl auf 2 festgesetzt. Aus diesem Grund geben, wenn die Zahl von ausgefallenen Einheiten gleich 1 ist, die Berechnungseinheiten A100, B200 und C300 eine Anweisung für ein Implementieren der normalen Steuerung als einer Fahrzeugfortbewegungsteuerung, die von dem Ausfallsicherheitsprozess verschieden ist, aus. Wenn die Zahl von ausgefallenen Einheiten gleich 2 ist, geben die Berechnungseinheiten A100, B200 und C300 eine Anweisung für ein Implementieren des Ausfallsicherheitsprozesses aus.
  • Gemäß der oben beschriebenen Konfiguration kann das Fahrzeug sicherer gesteuert werden, während es der Steuerung ermöglicht wird, so weit wie möglich fortgeführt zu werden.
  • (1b) In dem Fahrzeugsteuerungssystem 1A, das oben beschrieben wurde, ist, wenn irgendeine der anderen Berechnungseinheiten A100, B200 und C300 die normale Einheit ist, jede der Berechnungseinheiten A100, B200 und C300 konfiguriert, um in S212, S222 und S232 einen Stoppbefehl für ein Stoppen der Ausgabe an die ausgefallene Einheit zu übertragen.
  • Gemäß der oben beschriebenen Konfiguration kann die Ausgabe von der ausgefallenen Einheit, die die Fortbewegungssteuerung des Fahrzeugs nachteilig beeinflussen kann, getrennt bzw. abgeschaltet werden.
  • (1c) Das oben beschriebene Fahrzeugsteuerungssystem 1A enthält des Weiteren die UND-Gates 12, 13 und 14, die konfiguriert sind, um den Stoppbefehl, der von jeder der Berechnungseinheiten A100, B200 und C300 übertragen wird, zu empfangen und um die Ausgabe der ausgefallenen Einheit nur dann zu stoppen, wenn der Stoppbefehl von den zwei oder mehr Berechnungseinheiten empfangen wird.
  • Gemäß der oben beschriebenen Konfiguration wird die Berechnungseinheit auf der Zurücksetzeingabeseite nicht durch den einzelnen Ausfall der Berechnungseinheit auf der Überwachungsergebnisausgabeseite beeinflusst und kann einzig die ausgefallene Berechnungseinheit zuverlässig zurückgesetzt werden.
  • (1d) Das oben beschriebene Fahrzeugsteuerungssystem enthält des Weiteren Verriegelungsschaltungen 15, 16 und 17, die konfiguriert sind, um die Ausgabe des Stoppbefehls an die ausgefallenen Einheiten bis zumindest einem Start des Ausfallsicherheitsprozesses fortzuführen, wenn der Stoppbefehl empfangen worden ist.
  • Mit der oben beschriebenen Konfiguration kann die Ausgabe von der ausgefallenen Einheit bist zumindest dem Start des Ausfallsicherheitsprozesses abgehalten werden.
  • Zweite Ausführungsform
  • Unterschiede von der ersten Ausführungsform
  • Eine zweite Ausführungsform ist in einer Basiskonfiguration identisch mit der ersten Ausführungsform und deshalb werden nachstehend Unterschiede beschrieben. Nebenbei kennzeichnen dieselben Bezugszeichen wie diejenigen in der ersten Ausführungsform identische Konfigurationen und wird sich auf eine vorausgehende Beschreibung bezogen.
  • In der oben beschriebenen ersten Ausführungsform sind die vielfachen Berechnungseinheiten A100, B200 und C300 konfiguriert, um wechselseitig zu überwachen, ob sie ausgefallen sind oder nicht. Da ein Überwachen gedacht ist, um einen Ausfall irgendeiner Berechnungseinheit in dem normalen Steuerungszustand zu detektieren und um einen doppelten Ausfall der verbleibenden Berechnungseinheiten während dem Ausfall einer Berechnungseinheit zu detektieren, kann ein Überwachungssystem konfiguriert sein, um diese Detektionen zu realisieren.
  • Noch spezifischer ist die zweite Ausführungsform insofern von der ersten Ausführungsform verschieden, als jede der Berechnungseinheiten A100, B200 und C300 durch irgendeine oder mehrere andere Berechnungseinheiten überwacht wird und sich, nachdem ein erster Ausfall vorgekommen ist, die verbleibenden zwei Berechnungseinheiten einander in einer wechselnden bzw. schaltenden Art und Weise überwachen. Infolgedessen können Verarbeitungsressourcen, die auf das Überwachen durch jede Berechnungseinheit in dem normalen Steuerungszustand bezogen sind, reduziert werden.
  • 2-2. Konfiguration
  • 7 zeigt ein Fahrzeugsteuerungssystem 1B gemäß der zweiten Ausführungsform. In einem linken Diagramm von 7 wird, wenn die Berechnungseinheiten A100, B200 und C300 in dem normalen Steuerungszustand sind, die Berechnungseinheit A100 durch die Berechnungseinheit B200 überwacht, wird die Berechnungseinheit B200 durch die Berechnungseinheit C300 überwacht und wird die Berechnungseinheit C300 durch die Berechnungseinheit A100 überwacht. Mit anderen Worten ist in dem oben beschriebenen Fahrzeugsteuerungssystem 1 B jede der Berechnungseinheiten A100, B200 und C300 konfiguriert, um von einer Berechnungseinheit überwacht zu werden, die von einer anderen Berechnungseinheit, die durch die jeweilige Berechnungseinheit überwacht werden soll, verschieden ist. Infolgedessen sind die Berechnungseinheiten, die überwacht werden sollen, in einer Ringform miteinander verbunden und werden alle von den Berechnungseinheiten A100, B200 und C300 durch irgendeine Berechnungseinheit überwacht.
  • Des Weiteren stellt ein rechtes Diagramm von 7 einen Fall dar, in dem ein Überwachen auf ein wechselseitiges Überwachen, das zwischen der Berechnungseinheit B200 und der Berechnungseinheit C300 durchgeführt wird, wenn die Berechnungseinheit A100 ausfällt, geschaltet bzw. gewechselt wird. Mit anderen Worten wird in jeder der Berechnungseinheiten A100, B200 und C300, wenn es erkannt wird, dass die Berechnungseinheit, die überwacht werden soll, die ausgefallene Einheit ist, eine der normalen Einheiten mit bzw. zu einer Berechnungseinheit, die durch die ausgefallene Einheit überwacht wird, als eine Berechnungseinheit, die durch die eine normale Einheit überwacht werden soll, hinzugefügt.
  • Verarbeitung
  • Als Nächstes wird eine Beschreibung von einem Überwachungsprozess, der durch jede der Berechnungseinheiten A100, B200 und C300 ausgeführt wird, gemäß der zweiten Ausführungsform anstelle des Überwachungsprozesses der ersten Ausführungsform mit Bezug auf ein Flussdiagramm von 8 gegeben. In der vorliegenden Verarbeitung wird ein Teil der Beschreibung vereinfacht.
  • In dem Überwachungsprozess gemäß der zweiten Ausführungsform bestimmt jede der Berechnungseinheiten A100, B200 und C300 in oben beschriebenem S210, ob die Berechnungseinheit, die überwacht werden soll, ausgefallen ist oder nicht. Ein Beispiel in dem Fall, in dem die Berechnungseinheit A100 ausgefallen ist, wird beschrieben. Falls die Berechnungseinheit B200 oder die Berechnungseinheit C300 ausfällt, kann, obwohl eine Beschreibung weggelassen wird, ein Prozess, der mit dem nachstehend beschriebenen Prozess vergleichbar ist, durch die Berechnungseinheit, die nicht ausgefallen ist, gemäß der ausgefallenen Berechnungseinheit durchgeführt werden.
  • Wenn es in S210 bestimmt wird, dass die Berechnungseinheit A100 ausgefallen ist, detektiert die Berechnungseinheit B200 eine Abnormalität in der Berechnungseinheit A100 und gibt diese das auf EIN gesetzte W21 in S81 aus, wie es in 8 zu sehen ist. Zu dieser Zeit benachrichtigt die Berechnungseinheit B200 die Berechnungseinheit C300, dass die Abnormalität der Berechnungseinheit A100 detektiert worden ist.
  • Dann startet die Berechnungseinheit B200 ein Überwachen der Berechnungseinheit C300. Mit anderen Worten geht die Berechnungseinheit B200 von einem Zustand eines Überwachens von einzig der Berechnungseinheit A100 auf einen Zustand von ebenso einem Überwachen der Berechnungseinheit C300 über. Die Berechnungseinheit C300 hat die Berechnungseinheit B200 bereits überwacht und die Berechnungseinheit B200 startet ein Überwachen der Berechnungseinheit C300, so dass die Berechnungseinheit B200 und die Berechnungseinheit C300 ein wechselseitiges Überwachen starten, bei dem sie sich einander überwachen.
  • Anschließend empfängt in S82 die Berechnungseinheit C300 eine Abnormalitätdetektionsbenachrichtigung der Berechnungseinheit A100 von der Berechnungseinheit B200, bestätigt diese, dass die Berechnungseinheit B200 bei einem Überwachen normal ist, und gibt diese das auf EIN gesetzte W31 aus. Die Bestätigung, dass die Berechnungseinheit B200 bei einem Überwachen normal ist, ist dafür da, dass, wenn die Berechnungseinheit B200 ausgefallen ist, die Abnormalitätsdetektionsbenachrichtigung der Berechnungseinheit A100 an sich eine unzuverlässige Information wird. Falls die Berechnungseinheit B200 bei einem Überwachen normal ist, kann es, da die Abnormalitätsdetektionsbenachrichtigung der Berechnungseinheit A100 eine zuverlässige Information ist, korrekt bestimmt werden, dass die Berechnungseinheit A100 ausgefallen ist.
  • In S82 und den anschließenden Schritten ist es bevorzugt, die Verarbeitung in S213 und den anschließenden Schritten durchzuführen.
  • 1-5. bzw. 2-4. Vorteile
  • Gemäß der zweiten Ausführungsform, die oben im Detail beschrieben wurde, kann der Vorteil (1a) der ersten Ausführungsform, der oben beschrieben wurde, zusätzlich zu dem folgenden Vorteil erlangt werden.
  • (2a) Jede der Berechnungseinheiten A100, B200 und C300 in dem Fahrzeugsteuerungssystem 1B ist konfiguriert, um alle von den Berechnungseinheiten A100, B200 und C300 durch irgendeine oder mehrere Berechnungseinheiten zu überwachen. Wenn es erkannt wird, dass die Berechnungseinheit, die durch die jeweilige Berechnungseinheit überwacht werden soll, eine ausgefallene Einheit ist, wird, falls eine Berechnungseinheit, die durch die Subjekt-ausgefallene-Einheit überwacht wird, nicht durch irgendeine andere normale Einheit außer der Subjekt-ausgefallene-Einheit überwacht wird, die Berechnungseinheit, die durch die Subjekt-ausgefallene-Einheit überwacht wird, zu einer oder mehreren normalen Einheiten als eine Berechnungseinheit, die durch die Subjekt-normale-Einheiten überwacht werden soll, hinzugefügt.
  • Gemäß der oben beschriebenen Konfiguration sind die Berechnungseinheiten A100, B200 und C300 konfiguriert, um durch eine oder mehr Berechnungseinheiten überwacht zu werden, und, wenn irgendeine der Berechnungseinheiten A100, B200 und C300 ausfällt, wird eine andere Berechnungseinheit zu einem Ziel, das durch einige Berechnungseinheiten überwacht werden soll, hinzugefügt, wenn es ein Anlass erfordert. Infolgedessen gibt es keine Notwendigkeit, zwei oder mehr Berechnungseinheiten immer durch alle von den Berechnungseinheiten A100, B200 und C300 zu überwachen. Deshalb kann ein Austausch von Daten unter den Berechnungseinheiten A100, B200 und C300 reduziert werden und kann die Konfiguration vereinfacht werden.
  • In der zweiten Ausführungsform überwachen in dem Zustand, in dem es keinen Ausfall gibt, die Berechnungseinheiten A100, B200 und C300 fortlaufend bzw. aufeinanderfolgend eine Berechnungseinheit, um ein Überwachen in einer Ringform zu konfigurieren. Jedoch ist die vorliegende Offenbarung nicht auf die obige Konfiguration beschränkt und können die Berechnungseinheiten A100, B200 und C300 konfiguriert sein, um durch irgendeine oder mehrere Berechnungseinheiten überwacht zu werden. Zum Beispiel kann die Berechnungseinheit A100 durch die Berechnungseinheit B200 überwacht werden, kann die Berechnungseinheit B200 durch die Berechnungseinheit C300 überwacht werden und kann die Berechnungseinheit C300 durch die Berechnungseinheiten A100 und B200 überwacht werden. Alternativ kann die Berechnungseinheit A100 durch die Berechnungseinheit B200 überwacht und können die Berechnungseinheiten B200 und C300 durch die Berechnungseinheit A100 überwacht werden.
  • Dritte Ausführungsform
  • Unterschiede von der ersten Ausführungsform
  • In der oben beschriebenen ersten Ausführungsform wird das Ausfallsicherheitssignal ausgegeben, wenn die vielfachen Berechnungseinheiten ausfallen. Dagegen ist die dritte Ausführungsform insofern von der ersten Ausführungsform in dem Fall, in dem eine spezifische Berechnungseinheit ausfällt, verschieden, als ein Ausfallsicherheitssignal selbst bei einem einzelnen Ausfall ausgegeben wird.
  • Zum Beispiel werden eine Berechnungseinheit, die das Fortbewegen des Fahrzeugs aufgrund dem Vorkommen der ausgefallenen Einheit beeinflussen kann, eine Berechnungseinheit, die besonders wichtig ist, eine Berechnungseinheit, die ursprünglich unwahrscheinlich ausfallen sollte, und so weiter in der spezifischen Berechnungseinheit festgesetzt.
  • Ein Beispiel eines Ausgebens des Ausfallsicherheitssignals, selbst wenn die Berechnungseinheit C300 ausfällt und andere Berechnungseinheiten nicht ausfallen, wird beschrieben.
  • Konfiguration
  • Wie es in 9 zu sehen ist, ist ein Fahrzeugsteuerungssystem 1C gemäß der dritten Ausführungsform von dem Fahrzeugsteuerungssystem 1A der ersten Ausführungsform insofern verschieden, als das UND-Gate 14, die Verriegelungsschaltung 17 und Signalleitungen, die sich auf diese Schaltungen beziehen, weggelassen werden. Mit anderen Worten gibt es in dem Fahrzeugsteuerungssystem 1C, selbst wenn eine Berechnungseinheit C300 ein Abnormsignal ausgibt, da ein Ausfallsicherheitssignal ausgegeben wird an das Fahrzeug ein Fortbewegen sicher stoppen kann, keine Notwendigkeit, den Betrieb und die Ausgabe der Berechnungseinheit C300 zu stoppen, wobei RST3 unnötig wird.
  • Verarbeitung
  • Als Nächstes wird eine Beschreibung von einem Überwachungsprozess, der durch jede der Berechnungseinheiten A100, B200 und C300 ausgeführt wird, gemäß der dritten Ausführungsform anstelle des Überwachungsprozesses der ersten Ausführungsform mit Bezug auf ein Flussdiagramm von 10 gegeben.
  • In dem Überwachungsprozess gemäß der dritten Ausführungsform bestimmt in oben beschriebenem S210 jede der Berechnungseinheiten A100, B200 und C300, ob die Berechnungseinheit, die überwacht werden soll, ausgefallen ist oder nicht.
  • Wenn es in S210 bestimmt wird, dass die Berechnungseinheit C300 ausgefallen ist, gibt in S91, wie es in 9 zu sehen ist, die Berechnungseinheit A100, die Berechnungseinheit B200 oder beide von diesen Berechnungseinheiten A100 und B200 Ausfallsicherheitssignale FS1 und FS2 aus. Infolgedessen wird, wie es in S92 zu sehen ist, das FS auf EIN geschaltet und kann das Fahrzeug ein Fortbewegen sicher stoppen.
  • Wenn es in der Verarbeitung von S210 bestimmt wird, dass die Berechnungseinheiten abgesehen von der Berechnungseinheit C300 ausgefallen sind, kann derselbe Überwachungsprozess wie der in der ersten Ausführungsform durchgeführt werden, und deshalb wird eine Beschreibung von dem Überwachungsprozess weggelassen.
  • 3-4. Vorteile
  • Gemäß der dritten Ausführungsform, die oben ausführlich beschrieben wurde, kann der Vorteil (1a) der ersten Ausführungsform, der oben beschrieben wurde, zusätzlich zu dem folgenden Vorteil erlangt.
  • (3a) In dem oben beschriebenen Fahrzeugsteuerungssystem 1C bestimmen die Berechnungseinheiten A100, B200 und C300, ob eine Schwierigkeit bei dem Fortbewegen des Fahrzeugs aufgrund dem Vorkommen der ausgefallenen Einheit vorkommt oder nicht, und wird es bestimmt, dass die Schwierigkeit bei dem Fortbewegen des Fahrzeugs vorkommt, selbst wenn irgendeine der anderen Berechnungseinheiten A100, B200 und C300 die normale Einheit ist, wobei die Berechnungseinheit eine Anweisung für ein Ausführen des Ausfallsicherheitsprozesses ausführt.
  • Gemäß der oben beschriebenen Konfiguration kann, wenn die Berechnungseinheiten A100, B200 und C300, die das Fortbewegen des Fahrzeugs beeinflussen können, die ausgefallenen Einheiten werden, da der Ausfallsicherheitsprozess durchgeführt wird, das Fahrzeug sicherer gesteuert werden.
  • (3b) In dem Fahrzeugsteuerungssystem 1C, das oben beschrieben wurde, wird die Konfiguration für ein Zurücksetzen der Berechnungseinheit C300 weggelassen. Gemäß solch einer Konfiguration können die Kosten eines Bereitstellens einer Signalleitung für das RST3 reduziert werden.
  • (3c) Das Fahrzeugsteuerungssystem 1C, das oben beschrieben wurde, bestimmt, ob die spezifischen Berechnungseinheiten A100, B200 und C300, die im Voraus festgesetzt werden, die ausgefallenen Einheiten sind oder nicht, und wird, falls es bestimmt wird, dass die spezifischen Berechnungseinheiten die ausgefallenen Einheiten sind, selbst wenn die Berechnungseinheiten von der Zahl, die geringer als die vorgeschriebene Zahl der anderen Berechnungseinheiten ist, die ausgefallenen Einheiten sind, eine Anweisung für ein Implementieren des Ausfallsicherheitsprozesses ausgegeben.
  • Gemäß solch einer Konfiguration kann, wenn die spezifischen Berechnungseinheiten, wie beispielsweise wichtige Berechnungseinheiten oder Berechnungseinheiten, von denen angenommen wird, wahrscheinlich nicht ausfallen werden, die ausgefallenen Einheiten werden, der Ausfallsicherheitsprozess durchgeführt werden, selbst wenn die vielfachen normalen Einheiten vorhanden sind. Deshalb kann das Fahrzeug sicherer gesteuert werden.
  • (3d) Ob das Fahrzeugsteuerungssystem 1C, das oben beschrieben wurde, verwendet wird oder nicht, kann basierend auf der Kosteneffektivität durch ein Bereitstellen der RST3-Signalleitung bestimmt werden. Zum Beispiel kann, wenn es keine Notwendigkeit gibt, eine komplizierte Funktion zu haben, und zwar derart, dass die Berechnungseinheit C300 einzig ein einfaches Überwachen durchführt, die Berechnungseinheit C300 durch eine vergleichsweise kleine und einfache IC (Integrated Circuit, integrierte Treiberschaltung), die keine CPU oder keinen Speicher hat, realisiert werden.
  • Wenn eine einzige Ausfallrate der Berechnungseinheit C300 extrem niedriger als eine Wahrscheinlichkeit eines Vorkommens des doppelten Ausfalls der Berechnungseinheit A100 und der Berechnungseinheit B200 ist, da die Berechnungseinheit C300 durch die einfache IC realisiert wird, das heißt, wenn der doppelte Ausfall der Berechnungseinheit A100 und der Berechnungseinheit B200 vor dem einzelnen Ausfall der Berechnungseinheit C300 mit einer hohen Wahrscheinlichkeit vorkommt, kann, da die Kosteneffektivität doch ein Bereitstellen der RST3-Signalleitung niedrig ist, die Konfiguration der vorliegenden Ausführungsform verwendet werden.
  • Zusätzlich kann, wenn es eine Berechnungseinheit gibt, die immer für ein Fortführen eines Fortbewegens erforderlich ist, da ein Fortbewegen nicht zu der Zeit eines Ausfalls der Berechnungseinheit fortgeführt werden kann, die Konfiguration der vorliegenden Ausführungsform verwendet werden und kann das Ausfallsicherheitssignal von einer anderen Berechnungseinheit, die den einzelnen Ausfall der Berechnungseinheit detektiert hat, ausgegeben werden.
  • Vierte Ausführungsform
  • Unterschiede von der ersten Ausführungsform
  • Das Fahrzeugsteuerungssystem 1A gemäß der ersten Ausführungsform, das oben beschrieben wurde, ist konfiguriert, um die drei Berechnungseinheiten zu enthalten. Dagegen ist ein Fahrzeugsteuerungssystem 1D gemäß einer vierten Ausführungsform insofern verschieden von der ersten Ausführungsform, als vier oder mehr Berechnungseinheiten bereitgestellt werden.
  • Mit anderen Worten können, selbst wenn irgendeine Berechnungseinheit unter den vier oder mehr Berechnungseinheiten ausfällt, eine Steuerung und ein Überwachen durch die verbleibenden Berechnungseinheiten fortgeführt werden. Zusätzlich kann, wenn irgendwelche zwei Berechnungseinheiten ausfallen, die verbleibende oder können mehrere Berechnungseinheiten das Ausfallsicherheitssignal ausgeben.
  • 4-2. Konfiguration
  • 11 zeigt ein Beispiel einer Systemkonfiguration durch vier Berechnungseinheiten. Das Fahrzeugsteuerungssystem 1D enthält des Weiteren eine Berechnungseinheit D400, ein UND-Gate 18 und eine Verriegelungsschaltung 19. Die Berechnungseinheit D400 hat zum Beispiel dieselbe Hardwarekonfiguration wie die der anderen Berechnungseinheiten und führt irgendeine Fahrzeugsteuerung, die im Voraus festgesetzt wird, aus.
  • In dem Fahrzeugsteuerungssystem 1D überwacht eine Berechnungseinheit wechselseitig zwei benachbarte Berechnungseinheiten. Jedoch sind die Berechnungseinheiten, die an diagonalen Positionen 11 platziert sind, die nicht benachbart zueinander sind, nicht erforderlich, um einander zu überwachen.
  • Das UND-Gate 18 gibt Signale basierend auf W14 und W34, die von der Berechnungseinheit A100 und der Berechnungseinheit C300 ausgegeben werden, aus. Die Verriegelungsschaltung 19 empfängt die Ausgabe des UND-Gates 18 und ist auf dieselbe Weise wie die anderen Verriegelungsschaltungen 15 bis 17 tätig.
  • Verarbeitung
  • Als Nächstes wird eine Beschreibung von einem Überwachungsprozess, der durch jede der Berechnungseinheiten A100, B200, C300 und D400 gemäß der vierten Ausführungsform anstelle des Überwachungsprozesses der ersten Ausführungsform ausgeführt wird, mit Bezug auf ein Flussdiagramm von 12 gegeben. 12 zeigt die Ablaufdetails, wenn zum Beispiel die Berechnungseinheit A100 als der erste Ausfall ausfällt.
  • In dem Überwachungsprozess gemäß der vierten Ausführungsform bestimmt jede der Berechnungseinheiten A100, B200, C300 und D400 in oben beschriebenem S210, ob die Berechnungseinheit, die überwacht werden soll, ausgefallen ist oder nicht. Wenn es in S210 bestimmt wird, dass die Berechnungseinheit A100 ausgefallen ist, detektiert die Berechnungseinheit B200 oder die Berechnungseinheit D400 eine Abnormalität der Berechnungseinheit A100 und gibt diese die in S121 auf EIN gesetzten W21 und W41 aus, wie es in 12 zu sehen ist.
  • Infolgedessen wird das RST1 eingeschaltet, wie es in S122 angegeben ist, und werden der Betrieb und die Ausgabe der Berechnungseinheit A100 gestoppt. In S123 benachrichtigt die Berechnungseinheit B200 oder die Berechnungseinheit D400 die Berechnungseinheit C300, dass die Abnormalität der Berechnungseinheit A100 detektiert worden ist.
  • Anschließend empfängt in S124 die Berechnungseinheit C300 eine Abnormslitätsdetektionsbenachrichtigung der Berechnungseinheit A100 von der Berechnungseinheit B200 oder der Berechnungseinheit D400, bestätigt diese, dass die Berechnungseinheit B200 oder die Berechnungseinheit D400 bei einem Überwachen normal ist und speichert diese die Abnormalität der Berechnungseinheit A100 in einem Speicher. Die Bestätigung, dass die Berechnungseinheit B200 oder die Berechnungseinheit D400 bei einem Überwachen normal ist, ist dafür da, dass, wenn die Berechnungseinheit B200 oder die Berechnungseinheit D400 ausgefallen ist, die Abnormalitätsdetektionsbenachrichtigung der Berechnungseinheit A100 an sich von der Berechnungseinheit B200 oder der Berechnungseinheit D400 eine unzuverlässige Information ist. Falls die Berechnungseinheit B200 oder die Berechnungseinheit D400 bei einem Überwachen normal ist, kann es, da die Abnormalitätsdetektionsbenachrichtigung der Berechnungseinheit A100 eine zuverlässige Information ist, korrekt bestimmt werden, dass die Berechnungseinheit A100 ausgefallen ist.
  • Dann starten in S125 die Berechnungseinheiten B200, C300 und D400 den Fahrzeugsteuerungsfunktionsaustausch der Berechnungseinheit A100 mit irgendeiner oder mehreren Berechnungseinheiten, während die Steuerung in dem normalen Steuerungszustand fortgeführt wird. Infolgedessen kann ein Fortbewegen in einem Zustand fortgeführt werden, in dem die Berechnungseinheit B200 und die Berechnungseinheit C300 fortfahren, einander zu überwachen, und die Berechnungseinheit D400 und die Berechnungseinheit C300 fortfahren, einander zu überwachen.
  • Anschließend wird eine Verarbeitung, wenn die Berechnungseinheit A100 ausgefallen ist, mit Bezug auf ein Flussdiagramm von 13 beschrieben. Während dem Ausfall der Berechnungseinheit A100, führen die Berechnungseinheiten B200, C300 und D400 die Fortbewegungssteuerung in S1301 fort, während die Berechnungseinheit A100 ausgefallen ist, und bestimmen diese in S1302, ob ein Ausfall einer anderen Berechnungseinheit vorgekommen ist oder nicht. Mit anderen Worten bestimmen die Berechnungseinheiten B200 und C300, ob ein zweiter Ausfall, der ein Ausfall einer anderen Berechnungseinheit ist, während dem Ausfall der Berechnungseinheit A100, der ein erster Ausfall ist, vorgekommen ist oder nicht.
  • Wenn die Berechnungseinheit C300 das Vorkommen eines Ausfalls bzw. Defekts der Berechnungseinheit B200 erkennt, führt die Berechnungseinheit C300 die Verarbeitung von S1312 und der anschließenden Schritte aus. Zusätzlich führt, wenn die Berechnungseinheit B200 oder die Berechnungseinheit D400 das Vorkommen eines Ausfalls der Berechnungseinheit C300 erkennt, die Berechnungseinheit B200 oder die Berechnungseinheit D400 die Verarbeitung von S1322 und der anschließenden Schritte aus. Wenn die Berechnungseinheit C300 das Vorkommen eines Ausfalls bzw. Defekts der Berechnungseinheit D400 erkennt, führt die Berechnungseinheit C300 die Verarbeitung von S1332 und der anschließenden Schritte aus.
  • In S1312 detektiert die Berechnungseinheit C300 eine Abnormalität der Berechnungseinheit B200 und erkennt die Berechnungseinheit C300 den doppelten Ausfall der Berechnungseinheit A100 und der Berechnungseinheit B200.
  • Anschließend gibt in S1313 die Berechnungseinheit C300 das auf EIN gesetzte FS3 als den Ausfallsicherheitsprozess aus. Infolgedessen wird, wie es in S1314 zu sehen ist, das FS auf EIN geschaltet und kann das Fahrzeug ein Fortbewegen sicher stoppen. Mit anderen Worten kann, wenn die Berechnungseinheit C300 eine Abnormalität einer anderen Berechnungseinheit zusätzlich zu der Abnormalität der Berechnungseinheit A100, die in S124 gespeichert ist, erkennt, da die Berechnungseinheit C300 erkennen kann, dass der doppelte Ausfall vorkommt, der Ausfallsicherheitsprozess zufriedenstellend durchgeführt werden.
  • Dagegen detektiert in S1322 die Berechnungseinheit B200 oder die Berechnungseinheit D400 eine Abnormalität der Berechnungseinheit C300 und erkennt die Berechnungseinheit B200 oder die Berechnungseinheit D400 einen doppelten Ausfall der Berechnungseinheit A100 und der Berechnungseinheit C300. Anschließend gibt in S1323 die Berechnungseinheit B200 oder die Berechnungseinheit D400 das auf EIN gesetzte FS2 als den Ausfallsicherheitsprozess aus. Infolgedessen wird, wie es in S1324 zu sehen ist, das FS auf EIN geschaltet und kann das Fahrzeug ein Fortbewegen sicher stoppen.
  • In S1332 detektiert die Berechnungseinheit C300 eine Abnormalität der Berechnungseinheit D400 und erkennt die Berechnungseinheit C300 den doppelten Ausfall der Berechnungseinheit A100 und der Berechnungseinheit D400.
  • Anschließend gibt in S1333 die Berechnungseinheit C300 das auf EIN gesetzte FS3 als den Ausfallsicherheitsprozess aus. Infolgedessen wird, wie es im S1334 zu sehen ist, das FS auf EIN geschaltet und kann das Fahrzeug ein Fortbewegen sicher stoppen.
  • Es soll angemerkt werden, dass, falls es in der Verarbeitung von S210 bestimmt wird, dass eine Berechnungseinheit abgesehen von der Berechnungseinheit C300 ausgefallen ist, die Berechnungseinheit abgesehen von der ausgefallenen Berechnungseinheit eine Verarbeitung entsprechend zu S121 und den anschließenden Schritten gemäß der ausgefallenen Berechnungseinheit ausführen kann, und deshalb wird eine Beschreibung der obigen Verarbeitung weggelassen.
  • Vorteile
  • Gemäß der vierten Ausführungsform, die oben ausführlich beschrieben wurde, kann der Vorteil (1a) der ersten Ausführungsform, der oben beschrieben wurde, zusätzlich zu dem folgenden Vorteil erlangt werden.
  • (4a) Das Fahrzeugsteuerungssystem 1D gemäß der vierten Ausführungsform ist konfiguriert, um vier oder mehr Berechnungseinheiten zu enthalten. Gemäß der oben beschriebenen Konfiguration kann der doppelte Ausfall behandelt werden, selbst wenn die Zahl der Berechnungseinheiten vier oder mehr ist.
  • Andere Ausführungsformen
  • Die Ausführungsformen der vorliegenden Offenbarung sind oben beschrieben worden. Jedoch ist die vorliegende Offenbarung nicht auf die oben genannten Ausführungsformen beschränkt, sondern kann verschieden modifiziert werden.
  • (5a) In den oben beschriebenen Ausführungsformen wird der Ausfallsicherheitsprozess prinzipiell durchgeführt, wenn zwei Berechnungseinheiten ausfallen, jedoch ist die vorliegende Offenbarung nicht auf die obige Konfiguration beschränkt. Zum Beispiel kann in einer Konfiguration, die eine große Zahl von Berechnungseinheiten enthält, der Ausfallsicherheitsprozess durchgeführt werden, wenn zum Beispiel drei oder mehr Berechnungseinheiten ausfallen. Mit anderen Worten können mit den ausgefallenen Berechnungseinheiten A100, B200, C300 und D400, die als die ausgefallenen Einheiten betrachtet werden, und den nicht ausgefallenen Berechnungseinheiten A100, B200, C300 und D400, die als normale Einheiten angesehen werden, die Berechnungseinheiten A100, B200, C300 und D400 eine Anweisung für ein Implementieren eines im Voraus festgesetzten Ausfallsicherheitsprozesses ausgeben, wenn die Berechnungseinheiten von der Zahl, die gleich einer vorgeschriebenen Zahl oder größer als diese ist, die im Voraus auf drei oder mehr von den anderen Computereinheiten festgesetzt wird, die ausgefallenen Einheiten sind. Die Berechnungseinheiten A100, B200, C300 und D400 können eine Anweisung für ein Veranlassen der normalen Einheit, eine Fahrzeugfortbewegungsteuerung zu implementieren, die von dem Ausfallsicherheitsprozess verschieden, ausgeben, wenn die Berechnungseinheiten A100, B200, C300 und D400 von der Zahl, die geringer als die vorgeschriebene Zahl der anderen Berechnungseinheiten ist, die ausgefallenen Einheiten sind.
  • (5b) Die vielfachen Funktionen, die in einer Komponente in den obigen Ausführungsformen bereitgestellt sind, können durch vielfache Komponenten realisiert werden oder eine Funktion, die in einer Komponente bereitgestellt ist, kann durch die vielfachen Komponenten realisiert werden. Die vielfachen Funktionen, die in den vielfachen Komponenten bereitgestellt sind, können durch eine Komponente realisiert werden oder eine Funktion, die durch die vielfachen Komponenten realisiert wird, kann durch eine Komponente realisiert werden. Ein Teil der Konfiguration gemäß der oben beschriebenen Ausführungsform kann weggelassen werden. Ebenso kann zumindest ein Teil der Konfiguration in den obigen Ausführungsformen zu einer anderen Konfiguration in den obigen Ausführungsformen hinzugefügt oder durch diese ersetzt werden. Unterdessen sind alle Aspekte, die in einer technischen Idee enthalten sind, die von dem Wortlaut spezifiziert wird, der in den Ansprüchen beschrieben ist, Ausführungsformen der vorliegenden Offenbarung.
  • (5c) Zusätzlich zu den oben beschriebenen Fahrzeugsteuerungssystemen 1A, 1B, 1C und 1D kann die vorliegende Offenbarung durch verschiedene Konfigurationen, wie beispielsweise den Berechnungseinheiten A100, B200, C300 und D400, die die Komponenten der Fahrzeugsteuerungssysteme 1A, 1B, 1C und 1D sind, der Fahrzeugsteuerungsvorrichtung, die die Berechnungseinheiten A100, B200 und C300 enthält, einem Programm für ein Veranlassen des Computers, als das Fahrzeugsteuerungssystem 1A zu fungieren, einem nichtvergänglichen greifbaren Speichermedium, wie beispielsweise einem Halbleiterspeicher, in dem das Programm aufgezeichnet ist, oder einem Überwachungsverfahren, realisiert werden.
  • Entsprechungsverhältnis zwischen der Konfiguration der Ausführungsformen und der Konfiguration der vorliegenden Offenbarung
  • In den oben beschriebenen Ausführungsformen entsprechen die Fahrzeugsteuerungssysteme 1A, 1B, 1C und 1D einer Fahrzeugsteuerungsvorrichtung, auf die sich in der vorliegenden Offenbarung bezogen wird, und entsprechend die UND-Gates 12, 13, 14 und 18 einer Stoppausgabeeinheit, auf die sich in der vorliegenden Offenbarung bezogen wird, und entsprechend die Verriegelungsschaltungen 15, 16, 17 und 19 einer Ausgabefortführungseinheit, auf die sich in der vorliegenden Offenbarung bezogen wird.
  • Die Prozesse von S210, S302, S402, S502 und S1302 unter den Prozessen, die durch die Berechnungseinheiten A100, B200, C300 und D400 ausgeführt werden, entsprechen einer Ausfallerkennungseinheit, auf die sich in der vorliegenden Offenbarung bezogen wird, und die Prozesse in S214, S224, S234, S313, S323, S413, S423, S513, S523, S91, S125, S1313, S1323 und S1333 entsprechen einer Steuerungsausgabeeinheit.
  • Zusätzlich entsprechen die Prozesse von S212, S222, S232, S81, S82 und S121 einer Stoppübertragungseinheit, auf die sich in der vorliegenden Offenbarung bezogen wird, entspricht der Prozess von S81 einer Hinzufügungsfestsetzeinheit, auf die sich in der vorliegenden Offenbarung bezogen wird, und entspricht der Prozess von S210 einer Schwierigkeitsbestimmungseinheit und einer Ausfallbestimmungseinheit, auf die sich in der vorliegenden Offenbarung bezogen werden.
  • Es wird angemerkt, dass ein Flussdiagramm oder die Verarbeitung des Flussdiagramms in der vorliegenden Anmeldung Abschnitte (ebenso als Schritte bezeichnet) enthält, von denen jeder zum Beispiel als S210 repräsentiert wird. Des Weiteren kann jeder Abschnitt in verschiedene Unterabschnitte geteilt werden, während verschiedene Abschnitte zu einem einzelnen Abschnitt kombiniert werden können. Außerdem kann jeder von den so konfigurierten Abschnitten ebenso als eine Vorrichtung, ein Modul oder ein Mittel bezeichnet werden.
  • Während die vorliegende Offenbarung mit Bezug auf die Ausführungsformen von dieser beschrieben worden ist, soll es davon ausgegangen werden, dass die Offenbarung nicht auf die Ausführungsformen und Aufbauten beschränkt ist. Die vorliegende Offenbarung ist gedacht, um verschiedene Modifikationsanordnungen und äquivalente Anordnungen abzudecken. Zusätzlich sind während bzw. zu den verschiedenen Kombinationen und Konfigurationen, andere Kombinationen und Konfigurationen, die mehr, weniger oder einzig ein einzelnes Element enthalten, ebenso innerhalb des Sinnes und Geltungsbereichs der vorliegenden Offenbarung.

Claims (8)

  1. Fahrzeugsteuerungssystem (1A, 1B, 1C, 1D), das in einem Fahrzeug eingebaut ist, aufweisend: drei oder mehr Berechnungseinheiten (A100, B200, C300, D400), von denen jede durch andere Berechnungseinheiten überwacht wird, die überwachen, ob jede der drei oder mehr Berechnungseinheiten ausgefallen ist, wobei: jede der Berechnungseinheiten enthält: eine Ausfallerkennungseinheit (S210, S302, S402, S502, S1302), die konfiguriert ist, um zu erkennen, ob die anderen Berechnungseinheiten ausgefallen sind, und eine Steuerungsausgabeeinheit (S214, S224, S234, S313, S323, S413, S423, S513, S523, S91, S125, S1313, S1323, S1333), eine der Berechnungseinheiten mit einem Ausfall als eine ausgefallene Berechnungseinheit definiert ist, eine andere der Berechnungseinheiten ohne einen Ausfall als eine normale Berechnungseinheit definiert ist, die Steuerungsausgabeeinheit konfiguriert ist, um eine Anweisung für ein Ausführen eines vorgegebenen Ausfallsicherheitsprozesses auszugeben, wenn eine numerische Zahl von ausgefallenen Berechnungseinheiten gleich einer vorgegebenen numerischen Zahl oder größer als diese ist, die vorgegebene numerische Zahl einleitend auf zwei oder mehr festgesetzt wird, und die Steuerungsausgabeeinheit konfiguriert ist, um eine Anweisung für ein Steuern der normalen Berechnungseinheit auszugeben, um eine Fahrzeugfortbewegungssteuerung, die von dem vorgegebenen Ausfallsicherheitsprozesses verschieden ist, auszuführen, wenn die numerische Zahl von ausgefallenen Berechnungseinheiten geringer als die vorgegebene numerische Zahl ist.
  2. Fahrzeugsteuerungssystem gemäß Anspruch 1, wobei: jede der Berechnungseinheiten des Weiteren eine Stoppübertragungseinheit (S212, S222, S232, S81, S82, S121) enthält, die konfiguriert ist, um einen Stoppbefehl für ein Stoppen eines Ausgebens der Anweisung an die ausgefallenen Einheiten zu übertragen, wenn mindestens eine der anderen Berechnungseinheiten die normale Berechnungseinheit ist.
  3. Fahrzeugsteuerungssystem gemäß Anspruch 2, das des Weiteren aufweist: eine Stoppausgabeeinheit (12, 13, 14, 18), die konfiguriert ist, um den Stoppbefehl, der von einer der Berechnungseinheiten übertragen wird, zu empfangen, wobei: die Stoppausgabeeinheit ein Ausgeben der Anweisung an die ausgefallenen Einheiten nur dann stoppt, wenn die Stoppausgabeeinheit den Stoppbefehl von zwei oder mehr Berechnungseinheiten empfängt.
  4. Fahrzeugsteuerungssystem gemäß Anspruch 2 oder 3, das des Weiteren aufweist: eine Ausgabefortführungseinheit (15, 16, 17, 19), die konfiguriert ist, um ein Ausgeben des Stoppbefehls an die ausgefallenen Einheiten fortzuführen, nachdem die Stoppübertragungseinheit den Stoppbefehl übertragen hat, bis zumindest der Ausfallsicherheitsprozess startet.
  5. Fahrzeugsteuerungssystem gemäß einem der Ansprüche 1 bis 4, wobei: alle von den Berechnungseinheiten durch mindestens eine der Berechnungseinheiten überwacht werden, das Fahrzeugsteuerungssystem des Weiteren aufweist: eine Hinzufügungsfestsetzeinheit (S81), die konfiguriert ist, um eine oder mehr normale Berechnungseinheiten zu steuern, um zusätzlich ein Überwachungsobjekt der ausgefallenen Berechnungseinheit zu überwachen, wenn die Ausfallerkennungseinheit erkennt, dass eine der anderen Berechnungseinheiten, die durch die Berechnungseinheit überwacht werden soll, ausgefallen ist.
  6. Fahrzeugsteuerungssystem gemäß einem der Ansprüche 1 bis 5, das des Weiteren aufweist: eine Schwierigkeitsbestimmungseinheit (S210), die bestimmt, ob die ausgefallene Berechnungseinheit eine Schwierigkeit bei einem Fortbewegen des Fahrzeugs bereitstellt, wobei: wenn die Schwierigkeitsbestimmungseinheit bestimmt, dass die ausgefallene Berechnungseinheit die Schwierigkeit bei einem Fortbewegen des Fahrzeugs bereitstellt, die Steuerungsausgabeeinheit die Anweisung für ein Ausführen des Ausfallsicherheitsprozesses ausgibt, selbst wenn die numerische Zahl von ausgefallenen Berechnungseinheiten geringer als die vorgegebene numerische Zahl ist.
  7. Fahrzeugsteuerungssystem gemäß einem der Ansprüche 1 bis 6, das des Weiteren aufweist: eine Ausfallbestimmungseinheit (S210), die bestimmt, ob eine spezifische Berechnungseinheit, die unter den Berechnungseinheiten einleitend festgesetzt wird, die ausgefallene Berechnungseinheit ist, wobei: wenn die Ausfallbestimmungseinheit bestimmt, dass die spezifische Berechnungseinheit die ausgefallene Berechnungseinheit ist, die Steuerungsausgabeeinheit die Anweisung für ein Ausführen des Ausfallsicherheitsprozesses ausgibt, selbst wenn die numerische Zahl von ausgefallenen Berechnungseinheiten geringer als die vorgegebene numerische Zahl ist.
  8. Fahrzeugsteuerungsvorrichtung (1A, 1B, 1C, 1D), die in einem Fahrzeug eingebaut ist, aufweisend: drei oder mehr Berechnungseinheiten (A100, B200, C300, D400), von denen jede durch andere Berechnungseinheiten überwacht wird, die überwachen, ob jede der drei oder mehr Berechnungseinheiten ausgefallen ist, wobei: jede der Berechnungseinheiten enthält: eine Ausfallerkennungseinheit (S210, S302), die konfiguriert ist, um zu erkennen, ob die anderen Berechnungseinheiten ausgefallen sind, und eine Steuerungsausgabeeinheit (S214, S224, S234, S313, S323, S413, S423, S513, S523, S91, S125, S1313, S1323, S1333), eine der Berechnungseinheiten mit einem Ausfall als eine ausgefallene Berechnungseinheit definiert ist, eine andere der Berechnungseinheiten ohne einen Ausfall als eine normale Berechnungseinheit definiert ist, die Steuerungsausgabeeinheit konfiguriert ist, um eine Anweisung für ein Ausführen eines vorgegebenen Ausfallsicherheitsprozesses auszugeben, wenn eine numerische Zahl von ausgefallenen Berechnungseinheiten gleich einer vorgegebenen numerischen Zahl oder größer als diese ist, die vorgegebene numerische Zahl einleitend festgesetzt wird, um zwei oder mehr zu sein, und die Steuerungsausgabeeinheit konfiguriert ist, um eine Anweisung für ein Steuern der normalen Berechnungseinheit auszugeben, um eine Fahrzeugfortbewegungssteuerung, die von dem vorgegebenen Ausfallsicherheitsprozess verschieden ist, auszuführen, wenn die numerische Zahl von ausgefallenen Berechnungseinheiten geringer als die vorgegebene numerische Zahl ist.
DE102018221840.4A 2017-12-28 2018-12-14 Fahrzeugsteuerungssystem und Fahrzeugsteuerungsvorrichtung Pending DE102018221840A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2017253897A JP7163576B2 (ja) 2017-12-28 2017-12-28 車両制御システムおよび車両制御装置
JP2017-253897 2017-12-28

Publications (1)

Publication Number Publication Date
DE102018221840A1 true DE102018221840A1 (de) 2019-07-04

Family

ID=66817108

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018221840.4A Pending DE102018221840A1 (de) 2017-12-28 2018-12-14 Fahrzeugsteuerungssystem und Fahrzeugsteuerungsvorrichtung

Country Status (2)

Country Link
JP (1) JP7163576B2 (de)
DE (1) DE102018221840A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7338418B2 (ja) * 2019-11-15 2023-09-05 株式会社デンソー インバータの運転停止装置
WO2021255985A1 (ja) * 2020-06-16 2021-12-23 日立Astemo株式会社 電子制御装置、及び車両制御方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0887341A (ja) * 1994-09-16 1996-04-02 Fujitsu Ltd 自動縮退立ち上げ機能を有したコンピュータシステム
JP5423224B2 (ja) * 2009-08-07 2014-02-19 株式会社オートネットワーク技術研究所 制御システム
JP2011065528A (ja) * 2009-09-18 2011-03-31 Toyota Motor Corp マルチプロセッサシステム
JP2015058865A (ja) * 2013-09-20 2015-03-30 Ntn株式会社 後輪転舵装置の制御装置
JP2016071771A (ja) * 2014-10-01 2016-05-09 株式会社デンソー 制御装置及び監視装置
JP6474046B2 (ja) * 2015-11-24 2019-02-27 株式会社デンソー 電子制御装置

Also Published As

Publication number Publication date
JP2019121043A (ja) 2019-07-22
JP7163576B2 (ja) 2022-11-01

Similar Documents

Publication Publication Date Title
DE102017106087A1 (de) Fehlertoleranz-muster und schaltprotokoll für mehrere hot- und cold-standby-redundanzen
EP2972607B1 (de) Verfahren zur behandlung von fehlern in einem zentralen steuergerät sowie steuergerät
DE102014220781A1 (de) Ausfallsichere E/E-Architektur für automatisiertes Fahren
DE102016107015B4 (de) System mit integrierter Ruhigstellung bei Ausfall und Funktionsfähigkeit bei Ausfall
DE112017005762B4 (de) Fahrzeugsteuervorrichtung
DE112014005130T5 (de) Fahrzeugsteuervorrichtung und Ausfallsicherheitsverfahren
DE102015110968A1 (de) Fahrzeugparksystem-Ausfallmanagement
DE102014102582A1 (de) Fehlertolerantes Steuerungssystem
DE102015110958A1 (de) Ausfallverwaltung in einem Fahrzeug
WO2018233935A1 (de) Vorrichtung und verfahren zur ansteuerung eines fahrzeugmoduls in abhängigkeit eines zustandssignals
DE102017107284A1 (de) Verfahren und steuergerät zum überwachen eines bordnetzes eines fahrzeugs
EP2513796B1 (de) Verfahren zum betreiben einer recheneinheit
DE19919504A1 (de) Triebwerksregler, Triebwerk und Verfahren zum Regeln eines Triebwerks
DE112014002675T5 (de) Optimierte Spannungsversorgungsarchitektur
DE102019118742A1 (de) Fahrzeugleistungsversorgung mit lastabwurfsperre
DE102013113296A1 (de) Redundante Rechenarchitektur
DE102018221840A1 (de) Fahrzeugsteuerungssystem und Fahrzeugsteuerungsvorrichtung
DE112015001283T5 (de) Fehlertolernate Systeme und Verfahren zu deren Benutzung
DE102008004205A1 (de) Schaltungsanordnung und Verfahren zur Fehlerbehandlung in Echtzeitsystemen
EP3709166A1 (de) Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
EP1615087B1 (de) Steuer- und Regeleinheit
DE102015224696A1 (de) Risikobasierte Steuerung eines Kraftfahrzeugs
EP2648100B1 (de) Automatisierungsgerät mit Vorrichtungen zur Prozessorüberwachung
DE112012006843T5 (de) Fahrzeugkommunikationssystem und Fahrzeugkommunikationsverfahren
DE102013111035A1 (de) Mit Sicherheitsinstrumenten ausgestattete Prozesssteuerungsvorrichtung und -verfahren

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence