JP2009137382A - 電子制御システム - Google Patents
電子制御システム Download PDFInfo
- Publication number
- JP2009137382A JP2009137382A JP2007314522A JP2007314522A JP2009137382A JP 2009137382 A JP2009137382 A JP 2009137382A JP 2007314522 A JP2007314522 A JP 2007314522A JP 2007314522 A JP2007314522 A JP 2007314522A JP 2009137382 A JP2009137382 A JP 2009137382A
- Authority
- JP
- Japan
- Prior art keywords
- command value
- ecu
- priority
- module
- sensor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Hardware Redundancy (AREA)
Abstract
【課題】各機能モジュールが並列に構成され、安全性および運行継続性が確保された障害時の対応が可能な電子制御システムを提供する。
【解決手段】センサ3は、センサ異常判定装置5にセンサ値aを送信する。センサ異常判定装置5は、ECU7にセンサ値b、統括ECU11に異常通知cを送信する。ECU7は、ECU異常判定装置9に指令値dを送信する。ECU異常判定装置9は、統括ECU11に指令値e、異常通知fを送信する。統括ECU11は、ECU異常判定装置9から入力された指令値のうち、優先関係が高い方からの指令値を採用する。また、ECU7から異常であることを通知された場合、異常であると通知されたECU7からの指令値、および異常であると通知されたECU7よりも優先関係が低いECU7からの指令値を採用しない。そして、統括ECU11は、アクチュエータ13に指令値gを送信する。
【選択図】図2
【解決手段】センサ3は、センサ異常判定装置5にセンサ値aを送信する。センサ異常判定装置5は、ECU7にセンサ値b、統括ECU11に異常通知cを送信する。ECU7は、ECU異常判定装置9に指令値dを送信する。ECU異常判定装置9は、統括ECU11に指令値e、異常通知fを送信する。統括ECU11は、ECU異常判定装置9から入力された指令値のうち、優先関係が高い方からの指令値を採用する。また、ECU7から異常であることを通知された場合、異常であると通知されたECU7からの指令値、および異常であると通知されたECU7よりも優先関係が低いECU7からの指令値を採用しない。そして、統括ECU11は、アクチュエータ13に指令値gを送信する。
【選択図】図2
Description
本発明は、複数の機能モジュールで構成される電子制御システムに関する。
近年、商用車の電子制御システムが増加、高度化している(非特許文献1参照)。非特許文献1でも述べられているように、現状の商用車に搭載されている複数の機能モジュールは、それぞれ他の機能モジュールと協調するロジックを内包している。従って、(i)全体として統制が取れているかどうかの検証、(ii)新たな機能モジュールを追加する場合における他の機能モジュールに内包されている協調ロジックの修正、といった作業が非常に困難になっているという問題がある。
一方、ロボット制御の分野では、近年、サブサンプション・アーキテクチャ(SA)というソフトウェア、ハードウェアの区分を超越した新しい処理形態が注目されている(非特許文献2)。SAは、1986年に当時マサチューセッツ工科大学の助教授であったブルックス博士が発表したものである。
SAを商用車の電子制御システムに適用すると、各機能モジュールを並列的に構成することになる。そして、複数の機能モジュールが同時に起動された場合には、各機能モジュールとは独立した何らかの仕組みによって、いずれの機能モジュールの指令を優先するかという優先順位に従って制御が行われる。このように、各機能モジュールは協調ロジックを内包しないことから、前述の問題点を解消することができる。
森川倫仁著、「商用車の電子制御システムのあるべき姿に関する一考察−フォールトトレランスに注目して−」、電子情報通信学会技術研究報告 SSS2002−20,pp.5〜8、2002年10月. 五味隆志著、「サブサンプション・アーキテクチャ」、日本ファジイ学会 Vol.7,No.5,pp.909〜930、1995年10月.
森川倫仁著、「商用車の電子制御システムのあるべき姿に関する一考察−フォールトトレランスに注目して−」、電子情報通信学会技術研究報告 SSS2002−20,pp.5〜8、2002年10月. 五味隆志著、「サブサンプション・アーキテクチャ」、日本ファジイ学会 Vol.7,No.5,pp.909〜930、1995年10月.
しかしながら、非特許文献2では、障害時の対応については具体的な記載がない。非特許文献1でも述べているように、電子制御システムにおいては万一故障したときの安全性確保が不可欠であるとともに、商用車においては、特に運行継続性の確保が重要である。従って、SAを商用車の電子制御システムに適用した場合、障害時の対応をいかに行うかということが課題となる。
本発明は、前述した問題点に鑑みてなされたもので、その目的は、各機能モジュールが並列に構成され、安全性および運行継続性が確保された障害時の対応が可能な電子制御システムを提供することである。
前述した目的を達成するために第1の発明は、複数の機能モジュールと、前記機能モジュールを統括する統括機能モジュールと、から少なくとも構成される電子制御システムにおいて、前記機能モジュールは、他の前記機能モジュールと協調することなく、センサモジュールからの入力値を基に自らの機能に応じてアクチュエータに対する指令値を決定し、前記統括機能モジュールに出力する手段と、自らが故障した場合、自らが異常であることを前記統括機能モジュールに通知する手段と、を具備し、前記統括機能モジュールは、前記機能モジュール同士のいずれが優先されて実行されるかを示す優先関係が定義された優先順位テーブルを保持する手段と、前記機能モジュールから入力された指令値のうち、前記優先関係が高い前記機能モジュールからの指令値を採用する指令値採用手段と、前記指令値採用手段によって採用された指令値を前記アクチュエータに出力する手段と、を具備し、前記指令値採用手段は、前記機能モジュールから異常であることを通知された場合には、異常であると通知された前記機能モジュールからの指令値、および異常であると通知された前記機能モジュールよりも前記優先関係が低い前記機能モジュールからの指令値を採用しないことを特徴とする電子制御システムである。第1の発明における電子制御システムでは、各機能モジュールが並列に構成され、安全性および運行継続性が確保された障害時の対応ができる。
第1の発明における前記指令値採用手段は、前記センサモジュールから異常であることを通知された場合には、異常であると通知された前記センサモジュールからの入力値を用いる前記機能モジュールからの指令値を採用しないものであっても良い。
また、第1の発明における前記優先関係は、複数の優先順位を組み合わせて定義されたものであることが望ましい。複数の優先順位を組み合わせて定義することで、優先関係を正確に定義できるとともに、複雑な優先関係がある場合であっても統括機能モジュールの処理は単純になる。
また、第1の発明における前記優先関係は、フェールセーフ設計によって前記機能モジュールを順位付けした第1の優先順位と、前記第1の優先順位が同一である前記機能モジュール群の中からフォールトトレランス設計によって前記機能モジュールを順位付けした第2の優先順位と、を含むものであっても良い。このような優先関係を定義することで、電子制御システムの安全性および運行継続性が十分に確保される。
本発明により、各機能モジュールが並列に構成され、安全性および運行継続性が確保された障害時の対応が可能な電子制御システムを提供することができる。
以下図面に基づいて、本発明の実施形態を詳細に説明する。
図1は、本発明の実施の形態に係る電子制御システム1の概略構成を示す図である。電子制御システム1は、サブサンプション・アーキテクチャ(以下、「SA」と記載する。)を適用し、各機能モジュールを並列的に構成する。
図1は、本発明の実施の形態に係る電子制御システム1の概略構成を示す図である。電子制御システム1は、サブサンプション・アーキテクチャ(以下、「SA」と記載する。)を適用し、各機能モジュールを並列的に構成する。
図1に示すように、電子制御システム1は、複数のセンサ3、複数のセンサ異常判定装置5、複数のECU(Electronic Control Unit)7、複数のECU異常判定装置9、統括ECU11、複数のアクチュエータ13等から構成される。各装置は、必要があれば、例えば、車載LAN(Local Area Network)(図示しない)等を介して接続される。また、図中の矢印は、電子制御システム1における情報の流れを模式的に示している。但し、矢印で示した以外の経路でも、情報が伝達されることはある。
センサ3とセンサ異常判定装置5とは、一対一で対応している。センサ3とセンサ異常判定装置5とによって、特定の情報をセンシングするセンサモジュールを構成する。同様に、ECU7とECU異常判定装置9とは、一対一で対応している。ECU7とECU異常判定装置9とによって、特定の機能を実行する機能モジュールを構成する。
センサ3は、例えば、車速をセンシングする車速センサ、前輪の負荷をセンシングする前輪負荷センサ、前方の障害物をセンシングする前方障害物センサ、転舵角をセンシングする転舵角センサ等である。電子制御システム1は、目的に合致したセンサ3を構成に含めることによって、ECU7が必要とする様々な情報をセンシングすることができる。
センサ異常判定装置5は、対応するセンサ3が異常であるかどうかを判定し、異常と判定した場合、異常通知を出力する。
ECU7は、運転状態、車両状態、周辺環境状態など様々な条件に対して、自らの機能を達成するためのアクチュエータ13に対する最適な指令値を予め記憶している。そして、ECU7は、センサモジュールからの入力値を基に自らの機能に応じてアクチュエータ13に対する指令値を決定し、出力する。ここで、ECU7が入力する情報は、他の機能モジュールからの情報は一切含まない。すなわち、ECU7は、他の機能モジュールと協調することなく、アクチュエータ13に対する指令値を決定する。
ECU異常判定装置9は、対応するECU7が異常であるかどうかを判定し、異常と判定した場合、異常通知を出力する。
統括ECU11は、電子制御システム1を統括する。すなわち、統括ECU11は、各機能モジュールの機能が円滑に実行されるように、電子制御システム1全体を制御する。また、図示はしていないが、電子制御システム1は、統括ECU11が異常であるかどうかを判定する異常判定装置を構成に含めても良い。また、図示はしていないが、電子制御システム1は、バックアップ用として、統括ECU11と同等の装置を構成に含めても良い。統括ECU11と、必要があれば、異常判定装置、バックアップ用の装置とによって、電子制御システム1を統括する統括機能モジュールを構成する。
アクチュエータ13は、例えば、車速等各種のメータを表示する表示装置、警告音を出力する警告音出力装置、ブレーキを制御するブレーキ制御装置、転舵角を制御する転舵角制御装置等である。電子制御システム1は、各ECU7の機能に合致したアクチュエータ13を構成に含めることによって、ECU7の機能を実現することができる。
センサ3等によって構成されるセンサモジュールと、ECU7等によって構成される機能モジュールとは、m対n(m、nは自然数)で対応している。また、機能モジュールと、統括ECU11等で構成される統括機能モジュールとは、n対1で対応している。また、統括機能モジュールと、アクチュエータ13とは、1対k(kは自然数)で対応している。
次に、図2を参照しながら、電子制御システム1を構成する装置間の通信について説明する。
図2は、装置間の通信を示す図である。
図2は、装置間の通信を示す図である。
図2に示すように、センサ3は、センサ異常判定装置5にセンサ値aを送信する。センサ値aは、例えば、送信直前にセンシングした値である。センサ3は、例えば、センサ異常判定装置5からの問い合わせに応答する形で、センサ値aを送信しても良い。また、センサ3は、例えば、自らが正常に稼動していることを示す信号を継続的にセンサ異常判定装置5に送信するようにしても良い。
センサ異常判定装置5は、ECU7にセンサ値bを送信する。センサ値bは、ECU7が処理をし易い形に加工したものが望ましい。
また、センサ異常判定装置5は、統括ECU11にセンサ3が異常であることの通知、すなわち異常通知cを送信する。異常通知cは、センサ3が故障したときに送信される。尚、センサ3が故障から復旧した場合、センサ異常判定装置5は、統括ECU11にセンサ3が正常であることの通知を送信するようにしても良い。
例えば、センサ異常判定装置5は、対応するセンサ3が出力するセンサ値aが、予め設定したセンサ値の許容範囲外(例えば、上限値を上回る、下限値を下回る等)の場合、対応するセンサ3が故障したと判断し、異常と判定する。また、例えば、センサ異常判定装置5は、対応するセンサ3が所定のタイミング(例えば、センサ異常判定装置5が所定の時間だけポーリングし、センサ3に問い合わせる等)にセンサ値aを出力しない場合、対応するセンサ3が故障したと判断し、異常と判定する。また、例えば、対応するセンサ3が、自らが正常に稼動していることを示す信号を継続的にセンサ異常判定装置5に送信するように構成する場合、センサ異常判定装置5は、当該信号が所定の期間経過しても送信されないときに、対応するセンサ3が故障したと判断し、異常と判定するようにしても良い。
ECU7は、ECU異常判定装置9に指令値dを送信する。指令値dは、直前に受信したセンサ値を基に決定した値であり、NULLの場合(すなわち、あるアクチュエータ13に対しては、何ら指令をしない場合)も含む。また、ECU7は、例えば、自らが正常に稼動していることを示す信号を継続的にECU異常判定装置9に送信するようにしても良い。
ECU異常判定装置9は、統括ECU11に指令値eを送信する。指令値eは、NULLの場合(すなわち、あるアクチュエータ13に対しては、何ら指令をしない場合)も含む。
また、ECU異常判定装置9は、統括ECU11にECU7が異常であることの通知、すなわち異常通知fを送信する。異常通知fは、ECU7が故障したときに送信される。尚、ECU7が故障から復旧した場合、ECU異常判定装置9は、統括ECU11にECU7が正常であることの通知を送信するようにしても良い。
例えば、ECU異常判定装置9は、対応するECU7が出力する指令値dが、予め設定した指令値の許容範囲外(例えば、上限値を上回る、下限値を下回る等)の場合、対応するECU7が故障したと判断し、異常と判定する。また、例えば、ECU異常判定装置9は、対応するECU7が所定のタイミング(例えば、ECU異常判定装置9が所定の時間だけポーリングし、ECU7に問い合わせる等)に指令値dを出力しない場合、対応するECU7が故障したと判断し、異常と判定する。また、例えば、対応するECU7が、自らが正常に稼動していることを示す信号を継続的にECU異常判定装置9に送信するように構成する場合、ECU異常判定装置9は、当該信号が所定の期間経過しても送信されないときに、対応するECU7が故障したと判断し、異常と判定するようにしても良い。
統括ECU11は、アクチュエータ13に指令値gを送信する。あるアクチュエータ13に対しては何ら指令をする必要がない場合、そのアクチュエータ13に対する指令値gは、送信しないようにしても良い。
次に、図3、図4を参照しながら、ECU7、統括ECU11の構成について説明する。
図3は、ECU7の構成を示すブロック図である。図3に示すように、ECU7は、センサ値入力手段15、指令値決定手段17、指令値出力手段19等を具備する。
センサ値入力手段15は、ECU7がセンサモジュールから受信したセンサ値bを入力する。
指令値決定手段17は、センサ値入力手段15から入力したセンサ値bを条件として、自らの機能を達成するためのアクチュエータ13に対する最適な指令値dを決定する。尚、入力したセンサ値b、すなわち運転状態、車両状態、周辺環境状態などの状況によっては、自らの機能の実行条件に該当しない場合もある。その場合、指令値決定手段17は、例えば、指令値をNULL(各アクチュエータ13に対して何ら指令をしないことを意味する。)に決定しても良い。ここで、指令値決定手段17は、他のECU7と通信を行うことはしない。すなわち、指令値決定手段17には、他のECU7と協調するロジックは含まれない。
指令値出力手段19は、指令値決定手段17によって決定された指令値dを機能統括モジュールに出力する。
尚、図3では、3つの手段を示した。しかしながら、SAの処理形態は、入力−処理−出力という従来のコンピュータの基本的な考え方と異なり、感知−反応というダイレクトなものである。従って、図3に示すように手段を分けたことは、説明のための便宜に過ぎない。
図4は、統括ECU11の構成を示すブロック図である。図4に示すように、統括ECU11は、指令値入力手段21、異常通知入力手段23、指令値採用手段25、採用指令値出力手段27、優先順位テーブル29等を具備する。
指令値入力手段21は、統括ECU11が機能モジュールから受信した指令値eを入力する。
異常通知入力手段23は、統括ECU11がセンサモジュールから受信した異常通知c、または機能モジュールから受信した異常通知fを入力する。
指令値採用手段25は、機能モジュールから入力された指令値eのうち、優先関係が高い機能モジュールからの指令値eを採用する。また、指令値採用手段25は、機能モジュールから異常であることを通知された場合には、異常であると通知された機能モジュールからの指令値e、および異常であると通知された機能モジュールよりも優先関係が低い機能モジュールからの指令値eを採用しない。更に、指令値採用手段25は、センサモジュールから異常であることを通知された場合には、異常であると通知されたセンサモジュールからの入力値を用いる機能モジュールからの指令値eを採用しないようにしても良い。
採用指令値出力手段27は、指令値採用手段25によって採用された指令値gをアクチュエータ13に出力する。
優先順位テーブル29は、機能モジュール同士のいずれが優先されて実行されるかを示す優先関係が定義されている。例えば、機能モジュール(A)と機能モジュール(B)との関係において、機能モジュール(A)が優先されて実行される場合、機能モジュール(A)は機能モジュール(B)よりも優先関係が高い。
また、優先順位テーブル29に定義される優先関係は、複数の優先順位を組み合わせて定義されたものであることが望ましい。ここで、個々の優先順位は、様々な設計思想を反映することができる。例えば、優先関係は、フェールセーフ設計によって機能モジュールを順位付けした第1の優先順位と、第1の優先順位が同一である機能モジュール群の中からフォールトトレランス設計によって機能モジュールを順位付けした第2の優先順位と、を含むものとしても良い。このような優先関係を定義することで、電子制御システム1の安全性および運行継続性が十分に確保される。
尚、フェールセーフ設計とは、システムに障害が発生した場合、常に安全側に制御するように設計することをいう。また、フォールトトレランス設計とは、システムの一部に問題が生じても全体が機能停止せず、たとえ機能を縮小しても動作し続けるように設計することをいう。
尚、フェールセーフ設計とは、システムに障害が発生した場合、常に安全側に制御するように設計することをいう。また、フォールトトレランス設計とは、システムの一部に問題が生じても全体が機能停止せず、たとえ機能を縮小しても動作し続けるように設計することをいう。
次に、図5を参照しながら、統括ECU11の動作の詳細について説明する。図5は、統括ECU11の処理の流れを示すフローチャートである。以下では、優先順位テーブル29に定義された優先関係は、優先順位Aと優先順位Bの2種類の組み合わせによるものとする。優先順位Bは、例えば、同一の機能を有する機能モジュールの中での順位付けである。優先順位Aは、例えば、異なる機能を有する機能モジュール同士の順位付けである。
図5に示すように、統括ECU11は、指令値入力手段21によって指令値e、異常通知入力手段23によって異常通知c、異常通知fを入力する(ステップ101)。
次に、統括ECU11は、異常があるかどうか確認する(ステップ102)。
異常がある場合(ステップ102のYes)、統括ECU11は、異常扱いとする機能モジュールを決定する(ステップ103)。すなわち、異常通知fを入力した場合、統括ECU11は、異常であると通知された機能モジュールを異常扱いとする。また、異常通知cを入力した場合、統括ECU11は、異常であると通知されたセンサモジュールからのセンサ値bを用いる機能モジュールを異常扱いとする。
異常がない場合(ステップ102のNo)、統括ECU11は、ステップ104に進む。
異常がある場合(ステップ102のYes)、統括ECU11は、異常扱いとする機能モジュールを決定する(ステップ103)。すなわち、異常通知fを入力した場合、統括ECU11は、異常であると通知された機能モジュールを異常扱いとする。また、異常通知cを入力した場合、統括ECU11は、異常であると通知されたセンサモジュールからのセンサ値bを用いる機能モジュールを異常扱いとする。
異常がない場合(ステップ102のNo)、統括ECU11は、ステップ104に進む。
次に、統括ECU11は、優先順位テーブル29を参照し、優先順位Aごとの代表機能モジュールを決定する(ステップ104)。
ここで、図6を参照し、ステップ104の処理を詳細に説明する。図6は、優先順位Aごとの代表機能モジュールの決定について説明する図である。図6では、優先順位Bとして1位〜3位の機能モジュールが存在する場合を示している。すなわち、優先順位Aが同一の機能モジュールが3つ存在し、優先順位Bによって順位付けがなされている。図に示す「○」は、当該順位に係る機能モジュールが正常であることを示している。一方、図に示す「×」は、当該順位に係る機能モジュールが異常であることを示している。「代表機能モジュール」の欄に示された順位は、優先順位Bの順位である。
例えば、優先順位Bが1位、2位、3位の全ての機能モジュールが正常の場合、代表機能モジュールは、優先順位Bが1位の機能モジュールとなる。
また、例えば、優先順位Bが1位の機能モジュールが異常、優先順位Bが2位、3位の機能モジュールが正常の場合、代表機能モジュールは、優先順位Bが2位の機能モジュールとなる。
また、例えば、優先順位Bが1位、2位の機能モジュールが異常、優先順位Bが3位の機能モジュールが正常の場合、代表機能モジュールは、優先順位Bが3位の機能モジュールとなる。
また、例えば、優先順位Bが1位、2位、3位の全ての機能モジュールが異常の場合、代表機能モジュールはなしとなる。
また、例えば、優先順位Bが1位の機能モジュールが異常、優先順位Bが2位、3位の機能モジュールが正常の場合、代表機能モジュールは、優先順位Bが2位の機能モジュールとなる。
また、例えば、優先順位Bが1位、2位の機能モジュールが異常、優先順位Bが3位の機能モジュールが正常の場合、代表機能モジュールは、優先順位Bが3位の機能モジュールとなる。
また、例えば、優先順位Bが1位、2位、3位の全ての機能モジュールが異常の場合、代表機能モジュールはなしとなる。
図5の説明に戻る。次に、統括ECU11は、優先順位テーブル29を参照し、出力する指令値gの決定に用いる機能モジュールを決定する(ステップ105)。
ここで、図7を参照し、ステップ105の処理を詳細に説明する。図7は、出力する指令値gの決定に用いる機能モジュールの決定について説明する図である。図7では、優先順位Aとして1位〜4位の代表機能モジュールが決定されている場合(代表機能モジュールがなしの場合を含む。)を示している。図に示す「○」は、当該順位に係る代表機能モジュールが存在することを示している。一方、図に示す「×」は、当該順位に係る代表機能モジュールがなしであることを示している。「指令値gの決定に用いる機能モジュール」の欄に示された順位は、優先順位Aの順位である。
尚、優先順位Aが1位の代表機能モジュールが存在しない場合、指令値gが決定されることはない。この場合、電子制御システム1は、何らかの手段によって運行を安全に停止する。従って、優先順位Aが1位の代表機能モジュールが存在しない場合を考慮する必要がないことから、図7に示す優先順位Aが1位の欄には「×」の例がない。
尚、優先順位Aが1位の代表機能モジュールが存在しない場合、指令値gが決定されることはない。この場合、電子制御システム1は、何らかの手段によって運行を安全に停止する。従って、優先順位Aが1位の代表機能モジュールが存在しない場合を考慮する必要がないことから、図7に示す優先順位Aが1位の欄には「×」の例がない。
例えば、優先順位Aが1位、2位、3位、4位の全ての代表機能モジュールが存在する場合、指令値gの決定に用いる機能モジュールは、優先順位Aが1位、2位、3位、4位の代表機能モジュールとなる。
また、例えば、優先順位Aが1位、2位、3位の代表機能モジュールが存在し、優先順位Aが4位の代表機能モジュールが存在しない場合、指令値gの決定に用いる機能モジュールは、優先順位Aが1位、2位、3位の代表機能モジュールとなる。
また、例えば、優先順位Aが1位、2位、4位の代表機能モジュールが存在し、優先順位Aが3位の代表機能モジュールが存在しない場合、指令値gの決定に用いる機能モジュールは、優先順位Aが1位、2位の代表機能モジュールとなる。
また、例えば、優先順位Aが1位、3位、4位の代表機能モジュールが存在し、優先順位Aが2位の代表機能モジュールが存在しない場合、指令値gの決定に用いる機能モジュールは、優先順位Aが1位の代表機能モジュールとなる。
また、例えば、優先順位Aが1位、2位、3位の代表機能モジュールが存在し、優先順位Aが4位の代表機能モジュールが存在しない場合、指令値gの決定に用いる機能モジュールは、優先順位Aが1位、2位、3位の代表機能モジュールとなる。
また、例えば、優先順位Aが1位、2位、4位の代表機能モジュールが存在し、優先順位Aが3位の代表機能モジュールが存在しない場合、指令値gの決定に用いる機能モジュールは、優先順位Aが1位、2位の代表機能モジュールとなる。
また、例えば、優先順位Aが1位、3位、4位の代表機能モジュールが存在し、優先順位Aが2位の代表機能モジュールが存在しない場合、指令値gの決定に用いる機能モジュールは、優先順位Aが1位の代表機能モジュールとなる。
このように、統括ECU11は、機能モジュールから異常であることを通知された場合には、異常であると通知された機能モジュールからの指令値、および異常であると通知された機能モジュールよりも優先関係が低い機能モジュールからの指令値を採用しない。
図5の説明に戻る。次に、統括ECU11は、出力する指令値gを決定する(ステップ106)。ステップ105の処理において、複数の代表機能モジュールが、指令値gの決定に用いる機能モジュールとして決定されると、同一のアクチュエータ13に対する指令値が複数存在し、競合する場合がある。この場合、当然ながら、優先関係が高い代表機能モジュールからの指令値を採用し、出力する指令値gとして決定する。一方、競合していない場合、優先関係が一番低い代表機能モジュールからの指令値であっても採用し、出力する指令値gとして決定するようにしても良い。決定した指令値gは、採用指令値出力手段27によって、各アクチュエータ13に出力される。
次に、統括ECU11は、所定の時間ポーリングし(ステップ107)、ステップ101から繰り返す。尚、ポーリングする所定の時間は、電子制御システム1の周辺環境等の反応と比して、十分短いものである。
次に、図8、図9を参照しながら、本発明の実施の形態に係る実施例について説明する。本実施例は、「自動操舵」の電子制御システムである。図8は、実施例に係る優先順位テーブル29aを示す図である。
図8に示すように、優先順位テーブル29aでは、4つの機能モジュールが存在する。機能の種類は、Level0「人や車との衝突を避ける」機能、Level1「(静的)環境への衝突を避ける(車道の中央を走る)」機能、Level2「目的地に近づく」機能の3種類である。また、Level0の機能については、Level0−0、Level0−1の2つの機能モジュールが存在する。
優先順位テーブル29aの優先順位Aは、車両が安全側に制御されるように順位付けされている(フェールセーフ設計)。一方、優先順位テーブル29aの優先順位Bは、同等の機能(性能には優劣があっても良い。)を有するモジュールが複数ある場合(モジュールの二重化)についての順位付けである。モジュールの二重化によって、一部に故障が生じても動作し続けるシステムを実現する(フォールトトレランス設計)。
統括ECU11は、前述したように、優先順位テーブル29aに従い、様々な状況に対応しながら、「自動操舵」を実現する。尚、「自動操舵」は、完全に自動化されたものだけでなく、運転者の運転を自動的にアシストするようなものであっても良い。
図9は、実施例に係る優先順位テーブル29bを示す図である。図9に示す例では、機能拡張時における本発明の実施の形態の優位性について説明する。
図9に示すように、優先順位テーブル29bでは、5つの機能モジュールが存在する。優先順位テーブル29aと比較すると、Level1.5「通行止め箇所を避ける」機能が追加されている。Level1.5の機能は、優先順位Aについて、Level1とLevel2の間に順位付けされている。
従来のように、機能モジュール同士が協調して制御を行っている場合、機能拡張時には既存の機能モジュールとの整合性を確認し、既存の機能モジュールのロジックも修正する必要がある。しかしながら、本実施の形態に係る実施例では、Level1.5の機能が追加されても、図8に示す優先順位テーブル29aから図9に示す優先順位テーブル29bに書き換えるだけで良い。つまり、既存の機能モジュールのロジックは修正する必要がない。更に、図5に示すフローチャートを見れば分かるように、基本的には、統括機能モジュールのロジックも修正する必要がない。
尚、図5に示すステップ103の処理では、センサモジュールからの異常通知cを受けたときに、どの機能モジュールを異常扱いとするかを判定する為、追加する機能モジュールがどのセンサモジュールからのセンサ値を用いているかという情報は追加する必要がある。しかしながら、必要があれば、当該情報もテーブル化(また、初期設定ファイルを用いるなどでも良い。)することができる(プログラムのロジックと独立させることができる。)ことから、基本的には、統括機能モジュールのロジックを修正する必要はない。
尚、図5に示すステップ103の処理では、センサモジュールからの異常通知cを受けたときに、どの機能モジュールを異常扱いとするかを判定する為、追加する機能モジュールがどのセンサモジュールからのセンサ値を用いているかという情報は追加する必要がある。しかしながら、必要があれば、当該情報もテーブル化(また、初期設定ファイルを用いるなどでも良い。)することができる(プログラムのロジックと独立させることができる。)ことから、基本的には、統括機能モジュールのロジックを修正する必要はない。
以上説明したように、本発明の実施の形態によれば、各機能モジュールが並列に構成され、安全性および運行継続性が確保された障害時の対応が可能な電子制御システムを提供することができる。更に、機能追加をする際、既存の機能モジュールおよび統括機能モジュールのロジックを修正する必要がない電子制御システムを提供することができる。
以上、添付図面を参照しながら、本発明に係る電子制御システム等の好適な実施形態について説明したが、本発明はかかる例に限定されない。当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例又は修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
1………電子制御システム
3………センサ
5………センサ異常判定装置
7………ECU
9………ECU異常判定装置
11………統括ECU
13………アクチュエータ
15………センサ値入力手段
17………指令値決定手段
19………指令値出力手段
21………指令値入力手段
23………異常通知入力手段
25………指令値採用手段
27………採用指令値出力手段
29………優先順位テーブル
3………センサ
5………センサ異常判定装置
7………ECU
9………ECU異常判定装置
11………統括ECU
13………アクチュエータ
15………センサ値入力手段
17………指令値決定手段
19………指令値出力手段
21………指令値入力手段
23………異常通知入力手段
25………指令値採用手段
27………採用指令値出力手段
29………優先順位テーブル
Claims (4)
- 複数のセンサモジュールと、複数の機能モジュールと、前記機能モジュールを統括する統括機能モジュールと、から少なくとも構成される電子制御システムにおいて、
前記機能モジュールは、
他の前記機能モジュールと協調することなく、センサモジュールからの入力値を基に自らの機能に応じてアクチュエータに対する指令値を決定し、前記統括機能モジュールに出力する手段と、
自らが故障した場合、自らが異常であることを前記統括機能モジュールに通知する手段と、
を具備し、
前記統括機能モジュールは、
前記機能モジュール同士のいずれが優先されて実行されるかを示す優先関係が定義された優先順位テーブルを保持する手段と、
前記機能モジュールから入力された指令値のうち、前記優先関係が高い前記機能モジュールからの指令値を採用する指令値採用手段と、
前記指令値採用手段によって採用された指令値を前記アクチュエータに出力する手段と、
を具備し、
前記指令値採用手段は、前記機能モジュールから異常であることを通知された場合には、異常であると通知された前記機能モジュールからの指令値、および異常であると通知された前記機能モジュールよりも前記優先関係が低い前記機能モジュールからの指令値を採用しないことを特徴とする電子制御システム。 - 前記指令値採用手段は、前記センサモジュールから異常であることを通知された場合には、異常であると通知された前記センサモジュールからの入力値を用いる前記機能モジュールからの指令値を採用しないことを特徴とする請求項1に記載の電子制御システム。
- 前記優先関係は、複数の優先順位を組み合わせて定義されたものであることを特徴とする請求項1または請求項2に記載の電子制御システム。
- 前記優先関係は、フェールセーフ設計によって前記機能モジュールを順位付けした第1の優先順位と、前記第1の優先順位が同一である前記機能モジュール群の中からフォールトトレランス設計によって前記機能モジュールを順位付けした第2の優先順位と、を含むものであることを特徴とする請求項3に記載の電子制御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007314522A JP5119892B2 (ja) | 2007-12-05 | 2007-12-05 | 電子制御システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007314522A JP5119892B2 (ja) | 2007-12-05 | 2007-12-05 | 電子制御システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009137382A true JP2009137382A (ja) | 2009-06-25 |
| JP5119892B2 JP5119892B2 (ja) | 2013-01-16 |
Family
ID=40868475
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007314522A Expired - Fee Related JP5119892B2 (ja) | 2007-12-05 | 2007-12-05 | 電子制御システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5119892B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012073665A (ja) * | 2010-09-27 | 2012-04-12 | Denso Corp | 制御装置 |
| JP2016155436A (ja) * | 2015-02-24 | 2016-09-01 | 日本精工株式会社 | 操舵系電子制御装置 |
| JP2019188833A (ja) * | 2018-04-18 | 2019-10-31 | 三菱電機株式会社 | フェールセーフ制御装置及びフェールセーフ制御方法 |
| US10628234B2 (en) | 2015-12-10 | 2020-04-21 | Mitsubishi Electric Corporation | Data processing apparatus, data processing method, and computer readable medium |
| JP2020524353A (ja) * | 2017-06-19 | 2020-08-13 | ツェットエフ、フリードリッヒスハーフェン、アクチエンゲゼルシャフトZf Friedrichshafen Ag | 状態信号に応じて車両モジュールを制御する装置および方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101027167B1 (ko) | 2005-12-13 | 2011-04-05 | 인터내셔널 비지네스 머신즈 코포레이션 | 자동완성 방법 및 시스템 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06305376A (ja) * | 1993-04-22 | 1994-11-01 | Fuji Heavy Ind Ltd | 車輌用制御装置 |
| JPH11327606A (ja) * | 1998-05-14 | 1999-11-26 | Yamaha Motor Co Ltd | 総合制御方式 |
| JP2002221075A (ja) * | 2001-01-25 | 2002-08-09 | Denso Corp | 車両統合制御におけるフェイルセーフシステム |
| JP2002347479A (ja) * | 2001-05-29 | 2002-12-04 | Denso Corp | 車両統合制御システム |
| JP2006347333A (ja) * | 2005-06-15 | 2006-12-28 | Toyota Motor Corp | 遠隔操作装置 |
| JP2007118701A (ja) * | 2005-10-26 | 2007-05-17 | Fujitsu Ten Ltd | 異常検出処理装置および異常検出処理方法 |
-
2007
- 2007-12-05 JP JP2007314522A patent/JP5119892B2/ja not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06305376A (ja) * | 1993-04-22 | 1994-11-01 | Fuji Heavy Ind Ltd | 車輌用制御装置 |
| JPH11327606A (ja) * | 1998-05-14 | 1999-11-26 | Yamaha Motor Co Ltd | 総合制御方式 |
| JP2002221075A (ja) * | 2001-01-25 | 2002-08-09 | Denso Corp | 車両統合制御におけるフェイルセーフシステム |
| JP2002347479A (ja) * | 2001-05-29 | 2002-12-04 | Denso Corp | 車両統合制御システム |
| JP2006347333A (ja) * | 2005-06-15 | 2006-12-28 | Toyota Motor Corp | 遠隔操作装置 |
| JP2007118701A (ja) * | 2005-10-26 | 2007-05-17 | Fujitsu Ten Ltd | 異常検出処理装置および異常検出処理方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012073665A (ja) * | 2010-09-27 | 2012-04-12 | Denso Corp | 制御装置 |
| JP2016155436A (ja) * | 2015-02-24 | 2016-09-01 | 日本精工株式会社 | 操舵系電子制御装置 |
| US10628234B2 (en) | 2015-12-10 | 2020-04-21 | Mitsubishi Electric Corporation | Data processing apparatus, data processing method, and computer readable medium |
| JP2020524353A (ja) * | 2017-06-19 | 2020-08-13 | ツェットエフ、フリードリッヒスハーフェン、アクチエンゲゼルシャフトZf Friedrichshafen Ag | 状態信号に応じて車両モジュールを制御する装置および方法 |
| JP7089588B2 (ja) | 2017-06-19 | 2022-06-22 | ツェットエフ、フリードリッヒスハーフェン、アクチエンゲゼルシャフト | 状態信号に応じて車両モジュールを制御する装置および方法 |
| JP2019188833A (ja) * | 2018-04-18 | 2019-10-31 | 三菱電機株式会社 | フェールセーフ制御装置及びフェールセーフ制御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5119892B2 (ja) | 2013-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5119892B2 (ja) | 電子制御システム | |
| US9604585B2 (en) | Failure management in a vehicle | |
| CN110077420B (zh) | 一种自动驾驶控制系统和方法 | |
| JP6220232B2 (ja) | 車両の制御装置 | |
| CN110116752B (zh) | 基于冗余结构控制车辆的装置和方法 | |
| JP6167532B2 (ja) | 制御装置および制御装置の動作方法 | |
| CN105270364A (zh) | 车辆驻车系统故障管理 | |
| CN113994273B (zh) | 用于在车辆架构内提供冗余通信的设备和方法及相应的控制架构 | |
| JP5766360B2 (ja) | 車載通信システムおよび車載通信方法 | |
| JP2009509839A (ja) | 技術的装置のための通信システム、とりわけ自動車用の通信システム | |
| JP2017146897A (ja) | マイクロコントローラ及び電子制御装置 | |
| JP7180000B2 (ja) | 車両用制御アーキテクチャ | |
| CN107783530B (zh) | 基于软件代码迁移的失效可操作的系统设计模式 | |
| JP5327105B2 (ja) | バックアップシステム | |
| JP2014048849A (ja) | 安全制御システム、及び安全制御システムのプロセッサ | |
| JP2009026182A (ja) | プログラム実行システム及び実行装置 | |
| JP6317974B2 (ja) | データ収集システム | |
| CN112739578B (zh) | 辅助电源和用于提供辅助电力的方法 | |
| WO2020217927A1 (ja) | 車両制御装置及びコンピュータプログラム | |
| JP6109404B2 (ja) | 計算機装置及び計算機機構 | |
| JP2006279498A (ja) | ノード診断システム及びノード | |
| WO2014188764A1 (ja) | 機能安全制御装置 | |
| US7661024B2 (en) | Bus terminator/monitor/bridge systems and methods | |
| JP4348485B2 (ja) | プロセス制御装置 | |
| Weiß et al. | Fail-operational e/e architecture for highly-automated driving functions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101108 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120831 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120925 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121008 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151102 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151102 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |