JP2012245863A - Vehicle control device - Google Patents

Vehicle control device Download PDF

Info

Publication number
JP2012245863A
JP2012245863A JP2011118607A JP2011118607A JP2012245863A JP 2012245863 A JP2012245863 A JP 2012245863A JP 2011118607 A JP2011118607 A JP 2011118607A JP 2011118607 A JP2011118607 A JP 2011118607A JP 2012245863 A JP2012245863 A JP 2012245863A
Authority
JP
Japan
Prior art keywords
control device
failure
level
vehicle control
arithmetic processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011118607A
Other languages
Japanese (ja)
Other versions
JP5629646B2 (en
Inventor
Keisuke Honda
啓介 本田
Naoyuki Ozaki
直幸 尾崎
Yoshinobu Fukano
善信 深野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2011118607A priority Critical patent/JP5629646B2/en
Publication of JP2012245863A publication Critical patent/JP2012245863A/en
Application granted granted Critical
Publication of JP5629646B2 publication Critical patent/JP5629646B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a vehicle control device capable of achieving both of calculation performance and high reliability.SOLUTION: By performing execution control of a functional module in accordance with a safety level, the function of the vehicle control device is restricted to the minimum required one which is needed for safety of a vehicle, upon the failure of a part of a calculation processing part, and reliability of restricted functions is enhanced, and thereby, reliability upon the failure is improved. Further, when the failure occurs on a part of cores in a microcomputer in which a plurality of cores are incorporated, there is such a possibility that the failure extends to a part other than the core determined as a failure. When the vehicle control device is applied, the calculation processing of the core is restricted to the function necessary for the minimal travelling and consequently, even when the effect of the failure of the part extends to the other part, the effect of the failure can be minimized.

Description

本発明は、車両に搭載された機器を制御するための制御装置に関する。   The present invention relates to a control device for controlling equipment mounted on a vehicle.

自動車の電子化が進むなかで、車両用制御装置にはより高い信頼性が求められている。中でも搭乗者の安全に直結する操舵や制動に関わる車載機器の制御機能に関しては、より高度な信頼性が求められている。   As automobiles become more electronic, vehicle control devices are required to have higher reliability. In particular, higher reliability is required for the control functions of in-vehicle devices related to steering and braking that are directly connected to the safety of passengers.

車両制御装置に故障が発生すると、車両制御装置の信頼性は低下する。例えば、マイコンや演算処理部を複数搭載して冗長構成とした車両制御装置の、マイコンのうち一部が故障した場合、故障していないマイコンや演算処理部で処理を継続することになるが、その場合、演算結果の比較ができないため、車載制御装置の信頼性は低下してしまう。   When a failure occurs in the vehicle control device, the reliability of the vehicle control device decreases. For example, if a part of the microcomputer of the vehicle control device having a redundant configuration with a plurality of microcomputers and arithmetic processing units installed fails, processing will continue with the microcomputer and arithmetic processing unit that are not faulty, In that case, since the calculation results cannot be compared, the reliability of the in-vehicle control device is lowered.

また、このような車両制御装置に求められる高い安全度基準を満足するために、車載機器の故障に対応するためのフェールセーフ処理が煩雑になってしまうという問題がある。車載機器のフェールセーフ処理についての設計・開発を容易化すべく、予め設定された車載機器の動作モードに応じて、実行プログラムを制限する技術が特許文献1に記載されている。   Moreover, in order to satisfy the high safety | security standard calculated | required by such a vehicle control apparatus, there exists a problem that the fail safe process for responding to the failure of a vehicle-mounted apparatus will become complicated. Japanese Patent Application Laid-Open No. 2004-151867 describes a technique for restricting an execution program in accordance with a preset operation mode of an in-vehicle device in order to facilitate the design / development for the fail-safe processing of the in-vehicle device.

特開2010−30506号公報JP 2010-30506 A

しかしながら、従来技術においては車両用制御装置に搭載されるプログラム中の機能モジュールそれぞれが車両制御装置全体に及ぼす影響について格別の配慮がなされていない。   However, in the prior art, no special consideration is given to the influence of each functional module in the program mounted on the vehicle control device on the entire vehicle control device.

本発明は、車両制御装置に故障が発生した際に、車両制御装置全体に影響を及ぼすことなく、車両制御装置の信頼性維持とフェールセーフ処理の簡略化とを両立させることを目的とする。   An object of the present invention is to achieve both maintenance of reliability of a vehicle control device and simplification of fail-safe processing without affecting the entire vehicle control device when a failure occurs in the vehicle control device.

上記課題を解決するため、本発明は車両に搭載される機器を制御するための機能毎に分割された複数の機能モジュールと前記複数の機能モジュールを予め定められた順序で呼び出すオペレーションシステムとをプログラムとして格納するROMと、前記複数の機能モジュールと前記オペレーションシステムとを実行する演算処理部と、を備えた車両用制御装置であって、前記車両用制御装置の異常を検知するための異常検知部を備え、前記複数の機能モジュールそれぞれには、実行を停止した場合に前記車両の走行に与える影響に応じて予め安全度レベルが設定されており、前記オペレーションシステムは、前記異常検知部により異常が検知されたときに、前記安全度レベルに基づいて前記複数の機能モジュールのうちの一部の機能モジュールの実行を停止させる縮退モードへ遷移することを特徴とする車両用制御装置を提供する。   In order to solve the above problems, the present invention provides a program for a plurality of function modules divided for each function for controlling equipment mounted on a vehicle and an operation system for calling the plurality of function modules in a predetermined order. An abnormality detection unit for detecting an abnormality of the vehicle control device, comprising: a ROM stored as a storage unit; and an arithmetic processing unit that executes the plurality of functional modules and the operation system. Each of the plurality of functional modules has a safety level set in advance according to the influence on the traveling of the vehicle when the execution is stopped, and the operation system detects an abnormality by the abnormality detection unit. When detected, some of the plurality of functional modules are based on the safety level. To provide a vehicle control apparatus characterized by a transition of the execution to the degenerate mode to stop.

本発明によれば、車両制御装置に故障が発生した際、車両制御装置の機能を、走行に必要な最低限の機能に限定することで、車両制御装置の信頼性を向上することができる。   According to the present invention, when a failure occurs in the vehicle control apparatus, the reliability of the vehicle control apparatus can be improved by limiting the functions of the vehicle control apparatus to the minimum functions necessary for traveling.

本発明の実施例を示すプログラム構成図。The program block diagram which shows the Example of this invention. 図1の実施例におけるOSの動作を示すフローチャート。The flowchart which shows operation | movement of OS in the Example of FIG. 本発明を電動倍力装置に適用した実施例を示す構成図。The block diagram which shows the Example which applied this invention to the electric booster. 図3の実施例におけるプログラム構成図。The program block diagram in the Example of FIG. 図3の実施例における故障判断の動作を示すフローチャート。The flowchart which shows the operation | movement of the failure judgment in the Example of FIG. 本発明を複数の演算処理部を有する電動倍力装置に適用した実施例を示す構成図。The block diagram which shows the Example which applied this invention to the electric booster which has a some arithmetic processing part. 図6の実施例におけるモータ制御装置の動作フロー。The operation | movement flow of the motor control apparatus in the Example of FIG. 図6の実施例におけるプログラム構成図。The program block diagram in the Example of FIG. 図6の実施例における故障判断の動作を示すフローチャート。The flowchart which shows the operation | movement of the failure judgment in the Example of FIG.

以下、図面に基づき、本発明の実施例を説明する。   Embodiments of the present invention will be described below with reference to the drawings.

図1は本発明に関わる、車両制御装置に搭載された読出し専用メモリ(以下、ROM)に内蔵されるプログラムの構成である。プログラムは、プログラムを制御機能毎に分割した機能モジュール10と、機能モジュールを定められた実行順に実行するOS11とで構成される。機能モジュールには、設計者により安全度レベルが付与されており、機能モジュール毎の安全度レベルは車両制御装置に搭載された、ROMに格納される。安全度レベルは機能モジュールが車両制御装置全体に及ぼす影響などを考慮して、レベル1から3までの3段階で設定する。安全度レベル1,2は車両の走行に最低限必要な機能モジュールに対して設定され、レベル1,2の機能モジュールが健在であれば車両が走行可能となるよう設定する。機能が停止すると事故に繋がる場合など、特に信頼性が求められる機能モジュールにはレベル1を設定する。レベル3は停止しても車両の走行が継続可能な機能モジュールに対して設定する。たとえば、車両の乗り心地や燃費に関する機能などに対して設定する。   FIG. 1 shows the configuration of a program built in a read-only memory (hereinafter referred to as ROM) mounted on a vehicle control apparatus according to the present invention. The program includes a function module 10 obtained by dividing the program for each control function, and an OS 11 that executes the function modules in a predetermined execution order. The functional module is given a safety level by the designer, and the safety level for each functional module is stored in a ROM mounted on the vehicle control device. The safety level is set in three stages from level 1 to 3 in consideration of the influence of the functional module on the entire vehicle control device. The safety levels 1 and 2 are set for the function modules necessary for the vehicle to travel at least, and the level 1 and 2 function modules are set so that the vehicle can run if the function modules are healthy. Level 1 is set for a function module that particularly requires reliability, for example, when the function stops, leading to an accident. Level 3 is set for a functional module that can continue running of the vehicle even when stopped. For example, it is set for functions relating to the ride comfort and fuel consumption of the vehicle.

ただし、本実施例では3段階としたが、2段階や4段階以上でも良い。そして各安全度レベルに応じて、制御装置に異常や故障が発生したときの、各モジュールの動作をあらかじめ割り付けておく。たとえば、安全度レベルが1の機能モジュールには、規定実行回数が設定され、ROMに格納される。安全度レベルが3の機能モジュールには、異常時出力が設定され、ROMに格納される。
また、安全度レベルは、例えば機能安全規格であるISO26262におけるASILに対応してもよい。 However, in this embodiment, the number of stages is three, but it may be two or four or more. In accordance with each safety level, the operation of each module when an abnormality or failure occurs in the control device is assigned in advance. For example, a specified number of executions is set for a function module having a safety level of 1 and stored in the ROM. For function modules with a safety level of 3, an abnormal output is set and stored in the ROM.
The safety level may correspond to ASIL in ISO 26262, which is a functional safety standard, for example.

OSは、演算処理部外部に備えられる車両制御装置の故障を監視する故障検知手段からの故障情報を入力し、上記あらかじめ割り付けておいた動作に従い、機能モジュールの動作を決定する。   The OS inputs failure information from failure detection means for monitoring failure of the vehicle control device provided outside the arithmetic processing unit, and determines the operation of the functional module according to the operation assigned in advance.

図2はOSの動作を表すフローチャートである。OSは車両制御装置の故障、たとえばメモリの書き込み不能など、を検知する故障検知手段からの故障発生が発生したことを知らせる故障通知をチェックし(20)、正常動作時、すなわち故障通知がない場合、機能モジュールを実行する(21)。実行後、次に実行する機能モジュールを呼び出し(22)、あらかじめ定められた順序で機能モジュールを実行していく。   FIG. 2 is a flowchart showing the operation of the OS. The OS checks a failure notification that informs that a failure has occurred from a failure detection means that detects a failure of the vehicle control device, for example, the inability to write to the memory (20), and in normal operation, that is, when there is no failure notification The function module is executed (21). After execution, the function module to be executed next is called (22), and the function modules are executed in a predetermined order.

OSが車両制御装置上の故障検知手段から故障通知を受け取った場合、故障の内容に応じて、故障モードを、演算処理部の処理を全て停止する停止モードと、機能モジュールの一部を動作させる縮退モードに切り替える(24)。   When the OS receives a failure notification from the failure detection means on the vehicle control device, the failure mode, the stop mode for stopping all the processing of the arithmetic processing unit, and a part of the functional module are operated according to the content of the failure. Switch to the degenerate mode (24).

停止モードに遷移した場合、OSは機能モジュールを実行せず、演算処理部を停止する(25)。   When transitioning to the stop mode, the OS does not execute the functional module and stops the arithmetic processing unit (25).

縮退モードに遷移した場合、OSは機能モジュールの安全度レベルに応じて機能モジュールの動作を決定する(26)。   When transitioning to the degenerate mode, the OS determines the operation of the functional module according to the safety level of the functional module (26).

たとえば、演算処理部の故障により正常な演算を実施できなくなったと故障検知手段から通知を受けた場合、故障モードを停止モードに切り替え演算処理部は全ての処理を停止する。また、メモリの一部が故障した場合、走行に最低限必要な機能モジュールが使用するメモリ領域以外の領域での故障であれば、縮退モードに切り替え限定された機能モジュールにて処理を継続する。   For example, when receiving a notification from the failure detection means that a normal operation cannot be performed due to a failure of the arithmetic processing unit, the failure processing unit is switched to the stop mode and the arithmetic processing unit stops all processing. Further, when a part of the memory fails, if the failure is in an area other than the memory area used by the minimum function module required for traveling, the process is continued with the function module limited to the degeneration mode.

安全度レベル1のとき、機能モジュールの入力データ、すなわち機能モジュールが参照する、車両制御装置に搭載された、読出し書込みメモリ(以下、RAM)のアドレスとデータを、RAM上にあらかじめ設定したバックアップ領域に書き込む(27)。OSは機能モジュールの実行回数をカウントするカウンタを0に初期化する(28)。OSは機能モジュールを実行して(29)、カウンタをインクリメントする(210)。OSは機能モジュールの実行結果、すなわち機能モジュールが書き込みを行ったRAM領域のアドレスとデータをバックアップ領域に書き込む(211)。OSはバックアップ領域に書き込んだ入力データのアドレスとデータから、入力データのRAMを実行前の状態に復元する(212)。OSは機能モジュールを実行して(213)、カウンタをインクリメントする(214)。OSはカウンタが規定実行回数以上になれば、実行結果の比較を行う(216)。カウンタが規定実行回数より小さければ、実行結果をバックアップ領域に書き込む(211)。バックアップ領域に退避した全ての実行結果と、最後の実行結果を比較して(216)、一致していれば、次回実行する機能モジュールを呼び出し(219)、不一致であればカウンタを初期化して(28)再度機能モジュールの演算を実行する。このように、機能モジュールを複数回実行した結果を比較し、不一致の場合同様の演算を再度実施することで、制御装置外部の電気・磁気的な外乱等の影響で、演算処理部が不正な動作を行った結果、演算結果が不正となる場合においても、不正な結果の検知と訂正が可能となり、演算結果の信頼性を向上することができる。   When the safety level is 1, the input data of the functional module, that is, the backup area in which the address and data of the read / write memory (hereinafter referred to as RAM) mounted on the vehicle control device referred to by the functional module are preset on the RAM. (27). The OS initializes a counter for counting the number of executions of the functional module to 0 (28). The OS executes the functional module (29) and increments the counter (210). The OS writes the execution result of the functional module, that is, the address and data of the RAM area written by the functional module in the backup area (211). The OS restores the input data RAM to the state before execution from the address and data of the input data written in the backup area (212). The OS executes the functional module (213) and increments the counter (214). If the counter reaches the specified number of executions or more, the OS compares the execution results (216). If the counter is smaller than the specified number of executions, the execution result is written in the backup area (211). All execution results saved in the backup area are compared with the last execution result (216). If they match, the function module to be executed next is called (219), and if they do not match, the counter is initialized ( 28) Perform the operation of the functional module again. In this way, by comparing the results of executing the functional modules multiple times and performing the same calculation again if they do not match, the calculation processing unit is illegal due to the influence of electrical and magnetic disturbances outside the control device. Even when the operation result becomes invalid as a result of the operation, it is possible to detect and correct the invalid result, and to improve the reliability of the operation result.

安全度レベル2のとき、OSは機能モジュールを一回だけ実行して(217)、次に実行する機能モジュールを呼び出す(219)。安全度レベル2は、安全要求、信頼性が安全度レベル1を付与される機能モジュールよりも低い機能モジュールに付与される。こうすることでより信頼性の要求が高い機能モジュールに限定して複数回の演算を実行するので、演算処理部の処理負荷を低減することができる。   When the safety level is 2, the OS executes the function module only once (217) and calls the function module to be executed next (219). The safety level 2 is assigned to a functional module whose safety requirement and reliability are lower than the functional module to which the safety level 1 is assigned. By carrying out like this, since the calculation is executed a plurality of times only for functional modules with higher reliability requirements, the processing load on the arithmetic processing unit can be reduced.

安全度レベル3のとき、OSは機能モジュールを実行せず、ROMに格納された非常時出力を機能モジュールの実行結果を格納するRAMに書き込み(218)、機能モジュールの出力を固定値として、次に実行する機能モジュールを呼び出す(219)。安全度レベル3を設定する機能モジュールは処理を停止しても走行が可能なものである。安全度レベル3の機能モジュールを停止することで、安全度レベル1の機能モジュールにおいて、複数回処理を実施することで増加する処理負荷を軽減する。   When the safety level is 3, the OS does not execute the function module, but writes the emergency output stored in the ROM to the RAM storing the execution result of the function module (218), and sets the function module output as a fixed value. The function module to be executed is called (219). The functional module for setting the safety level 3 is capable of running even when the process is stopped. By stopping the safety level 3 function module, the safety load level 1 function module reduces the processing load that is increased by performing the process a plurality of times.

次に実行する機能モジュールの呼出し(219)後に、検知済みの故障以外の新たな故障があるかチェックして(220)、新規の故障があれば、故障判断(23)を実施し、新規の故障がなければ、次に実行する機能モジュールの安全度レベルを確認する(26)。このように、故障判断が新規の故障通知が無い限り実施されないようにすれば、さらに処理負荷を低減することが可能となる。   After calling the function module to be executed next (219), it is checked whether there is a new failure other than the detected failure (220), and if there is a new failure, the failure determination (23) is performed, If there is no failure, the safety level of the functional module to be executed next is confirmed (26). As described above, if the failure determination is not performed unless there is a new failure notification, the processing load can be further reduced.

以下に、電動倍力装置における実施例を示す。電動倍力装置は運転手のブレーキペダル踏力の倍力を一般に内燃機関で動作する車両が備えるバキュームブースタのように負圧を利用せず、モータの駆動力により発生させる。本システムは、ブレーキペダルの踏み込み量、または電動倍力装置外部からの液圧指令に応じて、モータによってマスタシリンダを駆動して液圧を発生させるものである。   Examples of the electric booster will be described below. The electric booster generates the boost of the driver's brake pedal depression force by using the driving force of the motor without using negative pressure unlike a vacuum booster provided in a vehicle that is generally operated by an internal combustion engine. In this system, a master cylinder is driven by a motor to generate a hydraulic pressure in accordance with a depression amount of a brake pedal or a hydraulic pressure command from the outside of the electric booster.

図3は電動倍力装置における構成図となっている。電動倍力装置は、ブレーキ液圧を発生するマスタシリンダ38と、マスタシリンダ38が発生させる液圧(M/C圧)を測定する圧力センサ39と、マスタシリンダ38を駆動するモータ35と、モータの位置を測定するレゾルバ37と、モータに流れる電流を測定する電流センサ36と、モータを駆動する三相ブリッジ34と、三相ブリッジ34へ電流指令を与えるモータ制御装置30と、ブレーキペダルの踏み量を検知するストロークセンサ310と車載ネットワーク311との接続手段を有する。   FIG. 3 is a block diagram of the electric booster. The electric booster includes a master cylinder 38 that generates a brake hydraulic pressure, a pressure sensor 39 that measures a hydraulic pressure (M / C pressure) generated by the master cylinder 38, a motor 35 that drives the master cylinder 38, a motor A resolver 37 for measuring the position of the motor, a current sensor 36 for measuring a current flowing through the motor, a three-phase bridge 34 for driving the motor, a motor control device 30 for giving a current command to the three-phase bridge 34, and a stepping on a brake pedal. A stroke sensor 310 for detecting the amount and a connection means for the in-vehicle network 311 are provided.

モータ制御装置30は、演算処理部31,メモリ部32と、メモリの故障を監視する故障検知部33を有する。演算処理部31は、メモリ部32と相互に接続され、メモリ部32からプログラムを読み込み、演算結果をメモリ部32に入力する。メモリ部32は、RAMとROMで構成される。故障検知部33は、演算処理部31とメモリ部32に接続され、メモリ部32の故障を監視する。故障検知部33がメモリ部32の故障を検知したとき演算処理部31にメモリ部32の故障情報を通知する。メモリ部32の故障情報には、メモリ部のどのアドレスで故障が発生したかが含まれる。   The motor control device 30 includes an arithmetic processing unit 31, a memory unit 32, and a failure detection unit 33 that monitors a memory failure. The arithmetic processing unit 31 is mutually connected to the memory unit 32, reads a program from the memory unit 32, and inputs a calculation result to the memory unit 32. The memory unit 32 includes a RAM and a ROM. The failure detection unit 33 is connected to the arithmetic processing unit 31 and the memory unit 32 and monitors the failure of the memory unit 32. When the failure detection unit 33 detects a failure of the memory unit 32, the failure detection unit 33 notifies the arithmetic processing unit 31 of failure information of the memory unit 32. The failure information of the memory unit 32 includes at which address of the memory unit the failure has occurred.

図4は本発明に関わる、電動倍力装置のモータ制御装置30に搭載されたメモリ部32のROMに内蔵されるプログラムの構成である。プログラムは、プログラムを制御機能毎に分割した機能モジュールと、機能モジュールを定められた実行順に実行するOSとで構成される。OSは、故障検知部から出力された故障情報を入力する。機能モジュールには安全度レベルが付与される。安全度レベル1の機能モジュールには、規定実行回数が付与される。安全度レベル1の機能モジュールは、付与された規定実行回数だけ処理を繰り返すことで、演算結果の信頼性を向上する。安全度レベル3の機能モジュールには、異常時出力が付与され、縮退モードに遷移した場合処理を停止し、異常時出力を固定値として出力する、これにより処理負荷を軽減する。以下に機能モジュールの詳細を述べる。「位置指令算出41」はストロークセンサからの入力から位置指令値を算出する。「M/C圧センサ信号処理42」はM/C圧センサの出力である電圧値を、実際の圧力量に変換する処理である。「モータ位置算出43」はレゾルバからのモータ角情報を下に、モータの位置を算出する。「液圧偏差算出44」は、電動倍力装置の外部から車載ネットワーク経由で電動倍力装置に入力される液圧指令値とM/C圧センサ信号処理で計算したM/C圧の偏差を算出する。「液圧相当位置指令算出45」は液圧偏差とモータ位置から、液圧に相当する位置指令値(液圧相当位置指令値)を生成する。「切替フラグ生成46」は、電動倍力装置内外からの情報を元に指令値として、位置指令か液圧相当位置指令かどちらを選択するかを判定する。「指令値選択47」は、切替フラグ生成の判定結果を元に指令値を、位置指令値と液圧相当位置指令値のいずれかから選択する。「位置偏差算出処理48」は、指令値選択で選択された指令値とモータ位置の偏差(位置偏差)を算出する。「サーボ制御49」は、位置偏差から、電流指令値を算出する。「電流制御処理410」は、電流指令値に、モータ電流などから生成される電流制限や電圧制限をかけて三相電流指令値を出力する。   FIG. 4 shows the configuration of a program built in the ROM of the memory unit 32 mounted on the motor control device 30 of the electric booster according to the present invention. The program includes a function module obtained by dividing the program for each control function and an OS that executes the function modules in a predetermined execution order. The OS inputs failure information output from the failure detection unit. The functional module is given a safety level. A specified number of executions is given to a functional module of safety level 1. The functional module of safety level 1 improves the reliability of the calculation result by repeating the process for the given specified number of executions. The function module of safety level 3 is given an abnormal output, stops processing when transitioning to the degenerate mode, and outputs the abnormal output as a fixed value, thereby reducing the processing load. Details of the functional modules are described below. “Position command calculation 41” calculates a position command value from an input from a stroke sensor. “M / C pressure sensor signal processing 42” is a process of converting a voltage value, which is an output of the M / C pressure sensor, into an actual pressure amount. “Motor position calculation 43” calculates the motor position based on the motor angle information from the resolver. “Hydraulic pressure deviation calculation 44” is the difference between the hydraulic pressure command value input to the electric booster from the outside of the electric booster via the in-vehicle network and the M / C pressure calculated by the M / C pressure sensor signal processing. calculate. The “hydraulic pressure equivalent position command calculation 45” generates a position command value (hydraulic pressure equivalent position command value) corresponding to the hydraulic pressure from the hydraulic pressure deviation and the motor position. The “switch flag generation 46” determines whether to select a position command or a hydraulic pressure equivalent position command as a command value based on information from inside and outside the electric booster. “Command value selection 47” selects a command value from either a position command value or a hydraulic pressure equivalent position command value based on the determination result of the switching flag generation. The “position deviation calculation process 48” calculates a deviation (position deviation) between the command value selected in the command value selection and the motor position. The “servo control 49” calculates a current command value from the position deviation. The “current control process 410” outputs a three-phase current command value by applying a current limit or voltage limit generated from a motor current or the like to the current command value.

位置指令値は、ストロークセンサから入力した、ブレーキペダルの移動量から算出する(41)。算出した位置指令を、レゾルバから入力したモータ角情報を元に算出したモータ位置と偏差を取り(48)、偏差からモータへの電流指令値を算出する(49)。   The position command value is calculated from the amount of movement of the brake pedal input from the stroke sensor (41). The calculated position command is deviated from the motor position calculated based on the motor angle information input from the resolver (48), and a current command value to the motor is calculated from the deviation (49).

液圧相当位置指令値は、液圧指令値とM/C圧の偏差から、液圧偏差に相当する位置偏差を算出し、液圧偏差に相当する位置偏差と現在のモータ位置を足して、算出する(45)。液圧相当位置指令をレゾルバから入力したモータ角情報を元に算出したモータ位置と偏差を取り(48)、偏差からモータへの電流指令値を算出する(49)。   The hydraulic pressure equivalent position command value calculates a positional deviation corresponding to the hydraulic pressure deviation from the deviation between the hydraulic pressure command value and the M / C pressure, and adds the positional deviation corresponding to the hydraulic pressure deviation and the current motor position, Calculate (45). The motor position and deviation calculated based on the motor angle information input from the resolver as a hydraulic pressure equivalent position command are taken (48), and the current command value to the motor is calculated from the deviation (49).

相対位置制御と液圧制御の切り替えは位置指令値の切り替えによって行われる。制御の切り替えの判定は、切替フラグ生成(46)で行い、実際の位置指令値の切り替えは指令値選択(47)により行う。   Switching between relative position control and hydraulic pressure control is performed by switching position command values. Control switching is determined by switching flag generation (46), and actual position command value switching is performed by command value selection (47).

各機能モジュールに設定されるレベルは、処理を停止しても車両が走行可能なものか否かで設定され、「位置指令算出41」がレベル2、「M/C圧センサ信号処理42」がレベル3、「モータ位置算出43」がレベル2、「液圧偏差算出44」がレベル3、「液圧相当位置指令算出45」がレベル3、「切替フラグ生成46」がレベル3、「指令値選択47」がレベル2、「位置偏差算出処理48」がレベル2、「サーボ制御49」がレベル2、「電流制御処理410」がレベル2となる。   The level set for each functional module is set based on whether or not the vehicle can run even if the processing is stopped. “Position command calculation 41” is level 2, and “M / C pressure sensor signal processing 42” is set. Level 3, “Motor position calculation 43” is level 2, “Hydraulic pressure deviation calculation 44” is level 3, “Hydraulic pressure equivalent position command calculation 45” is level 3, “Switching flag generation 46” is level 3, “Command value” “Selection 47” is level 2, “Position deviation calculation processing 48” is level 2, “Servo control 49” is level 2, and “Current control processing 410” is level 2.

電動倍力装置における、OS動作は前述の図2に示すフローチャートのとおりである。図5は電動倍力装置における、図2における故障判断(23)の詳細動作である。   The OS operation in the electric booster is as shown in the flowchart shown in FIG. FIG. 5 is a detailed operation of the failure determination (23) in FIG. 2 in the electric booster.

OSは故障検知部が出力するメモリ部の故障情報の、故障が起きたメモリのアドレスから、故障モードの判定を行う。走行に最低限必要となる安全度レベル1,2の機能モジュールが使用するメモリ領域が故障すると、走行が不可能となることから、制御装置として制御を停止する。安全度レベル3の機能モジュールは処理を停止しても走行を継続できるため、安全度レベル3の機能モジュールが使用するメモリ領域が故障した場合は、機能を限定して制御を継続する。OSは安全度レベルが1と2の機能モジュールが使用するメモリのアドレスを算出する(51)。ここでは、機能モジュールが使用するアドレスを算出するが、機能モジュールが使用するアドレスをあらかじめROMに格納していてもよい。故障情報に含まれる、故障メモリのアドレスと、算出した、安全度レベルが1,2の機能モジュールが使用するメモリのアドレスを比較して(52)、比較結果が一致すれば、走行に最低限必要となる安全度レベル1,2の機能モジュールが使用するメモリ領域が故障していることになるため、故障モードを停止モードに遷移する(54)。比較結果が不一致であれば、安全度レベル3の機能モジュールが使用するメモリ領域が故障したことになるため、故障モードを縮退モードに遷移する(55)。   The OS determines the failure mode from the address of the memory in which the failure has occurred in the failure information of the memory unit output by the failure detection unit. If the memory area used by the function modules of safety level 1 and 2 that are required at least for traveling breaks down, the traveling becomes impossible and the control is stopped as a control device. Since the safety level 3 function module can continue to run even if processing is stopped, if the memory area used by the safety level 3 function module fails, the function is limited and control is continued. The OS calculates the address of the memory used by the functional modules with safety level 1 and 2 (51). Here, the address used by the functional module is calculated, but the address used by the functional module may be stored in the ROM in advance. The address of the failure memory included in the failure information is compared with the address of the memory used by the calculated function module having the safety level of 1 or 2 (52). Since the memory area used by the necessary safety level 1 and 2 functional modules has failed, the failure mode is changed to the stop mode (54). If the comparison results do not match, the memory area used by the safety level 3 functional module has failed, and the failure mode is changed to the degenerate mode (55).

故障モードが縮退モードに遷移した場合、電動倍力装置のモータ制御装置の機能を走行に必要な必要最低限のものに限定し、制御を継続する。ここでいう走行に必要最低限必要な機能とはすなわち、通常のブレーキ動作であり、自動ブレーキ機能や回生協調機能については機能を停止する。そのため、機能モジュールの安全度レベルは、通常のブレーキ動作の制御である相対位置制御に関わる機能モジュール、すなわち、「位置指令算出41」,「モータ位置算出43」,「指令値選択47」,「位置偏差算出処理48」,「サーボ制御49」,「電流制御処理410」をレベル2に設定し、液圧制御に関わる、そのほかの機能モジュール,「M/C圧センサ信号処理42」,「液圧偏差算出44」,「液圧相当位置指令算出45」,「切替フラグ生成46」の安全度レベルをレベル3に設定する。安全度レベル3に設定した機能モジュールに対して、OSは異常時出力を保持しており、OSが機能モジュールの出力に対応するRAMに異常時出力を書き込み、機能モジュールは常に異常時出力を出力する。たとえば、機能モジュール「切替フラグ生成46」の異常時出力を、機能モジュール「位置指令算出41」からの指令値を常に選択するものに設定すると、OSは「切替フラグ生成46」の出力値が格納されるRAM、つまり「指令値選択47」の入力値が格納されるRAMに、機能モジュール「位置指令算出(41)」からの指令値を常に選択するデータを書き込む。これにより「指令値選択47」は「位置指令算出41」からの指令値を常に選択するようになる。   When the failure mode transitions to the degeneration mode, the function of the motor control device of the electric booster is limited to the minimum necessary one necessary for traveling, and the control is continued. The minimum necessary function for running here is a normal brake operation, and the automatic brake function and the regenerative cooperation function are stopped. Therefore, the safety level of the functional module is a functional module related to relative position control, which is normal brake operation control, that is, “position command calculation 41”, “motor position calculation 43”, “command value selection 47”, “ “Position deviation calculation process 48”, “servo control 49”, “current control process 410” are set to level 2 and other function modules related to the hydraulic pressure control, “M / C pressure sensor signal processing 42”, “liquid control” The safety level of “pressure deviation calculation 44”, “hydraulic pressure equivalent position command calculation 45”, and “switching flag generation 46” is set to level 3. For function modules set to safety level 3, the OS holds the output when abnormal, the OS writes the output when abnormal to the RAM corresponding to the output of the function module, and the function module always outputs the output when abnormal To do. For example, when the abnormal output of the function module “switch flag generation 46” is set to always select the command value from the function module “position command calculation 41”, the OS stores the output value of “switch flag generation 46”. The data for always selecting the command value from the function module “position command calculation (41)” is written into the RAM to be stored, that is, the RAM storing the input value of “command value selection 47”. Thereby, the “command value selection 47” always selects the command value from the “position command calculation 41”.

上記のように、安全度レベルと異常時出力を設定することで、OSは安全度レベル2に設定された、相対位置制御に関わる機能モジュールのみを動作させ、指令値の切り替えでは常に「位置指令算出41」の出力が選択されるようになるため、モータ制御装置は常に通常のブレーキ動作を行うことになり、必要最低限の機能である、通常のブレーキ動作を続行することができる。なお、本実施例においては、走行に必要最低限の機能モジュールに対して、安全度レベル1が設定されない場合を想定しているが、より高い信頼性が求められる場合、レベル2の機能モジュールをレベル1に置き換えても良い。   As described above, by setting the safety level and the abnormal output, the OS operates only the functional module related to the relative position control, which is set to the safety level 2. Since the output of “Calculation 41” is selected, the motor control device always performs the normal brake operation, and can continue the normal brake operation, which is the minimum necessary function. In the present embodiment, it is assumed that the safety level 1 is not set for the minimum functional modules required for traveling. However, when higher reliability is required, the level 2 functional modules are used. It may be replaced with level 1.

上記実施例によれば、一部のメモリが故障した際に、故障したメモリを使用する機能モジュールが、走行に最低限必要なものでない限り、演算処理部の全ての制御を停止することなく、走行に必要な最低限な機能に限定して制御を継続することができる。   According to the above embodiment, when a part of the memory fails, unless the functional module that uses the failed memory is the minimum required for traveling, without stopping all control of the arithmetic processing unit, Control can be continued by limiting to the minimum functions required for traveling.

図6に複数の演算処理部を有する電動倍力装置の実施例における構成図を示す。ここでは演算処理部を2つの場合として説明するが、本発明において、演算処理部の台数に制限は無い。   The block diagram in the Example of the electric booster which has a some arithmetic processing part in FIG. 6 is shown. Here, the case where there are two arithmetic processing units will be described, but in the present invention, the number of arithmetic processing units is not limited.

本実施例において、電動倍力装置は、ブレーキ液圧を発生するマスタシリンダ38と、マスタシリンダ38が発生させる液圧(M/C圧)を測定する圧力センサ39と、マスタシリンダ38を駆動するモータ35と、モータの位置を測定するレゾルバ37と、モータに流れる電流を測定する電流センサ36と、モータを駆動する三相ブリッジ34と、三相ブリッジ34へ電流指令を与えるモータ制御装置60と、ブレーキペダルの踏み量を検知するストロークセンサ310と車載ネットワーク311との接続手段を有する。   In this embodiment, the electric booster drives the master cylinder 38 that generates the brake fluid pressure, the pressure sensor 39 that measures the fluid pressure (M / C pressure) generated by the master cylinder 38, and the master cylinder 38. A motor 35, a resolver 37 for measuring the position of the motor, a current sensor 36 for measuring a current flowing through the motor, a three-phase bridge 34 for driving the motor, and a motor control device 60 for giving a current command to the three-phase bridge 34 And a connecting means for connecting the in-vehicle network 311 and the stroke sensor 310 for detecting the depression amount of the brake pedal.

モータ制御装置(60)は、2つの演算処理部(61a,61b),2つのメモリ部(62a,62b)と、演算処理部(61a,61b)の故障を監視する故障検知部(63)、2つの演算処理部の演算結果を比較する演算結果比較部(64)を有する。   The motor control device (60) includes two arithmetic processing units (61a, 61b), two memory units (62a, 62b), and a failure detection unit (63) that monitors failures of the arithmetic processing units (61a, 61b), An arithmetic result comparison unit (64) that compares the arithmetic results of the two arithmetic processing units is provided.

演算処理部61a,61bは、メモリ部62a,62bと相互に接続され、メモリ部62a,62bからプログラムを読み込み、演算結果をメモリ部62a,62bに入力する。全ての演算処理部61a,61bは固有の識別子を有する。メモリ部62a,62bは、RAMとROMで構成される。演算処理部61a,61bは、演算結果比較部64と相互に接続され、演算結果比較部64にどの演算処理部61a,61bが出力した演算結果であるかを特定するための識別子の情報を付与した演算結果信号を出力する。また全ての演算処理部61a,61bは故障検知部63に接続され、識別子の情報を付与した正常動作信号を出力する。   The arithmetic processing units 61a and 61b are mutually connected to the memory units 62a and 62b, read a program from the memory units 62a and 62b, and input the calculation results to the memory units 62a and 62b. All the arithmetic processing units 61a and 61b have unique identifiers. The memory units 62a and 62b are composed of a RAM and a ROM. The arithmetic processing units 61a and 61b are mutually connected to the arithmetic result comparing unit 64, and give the arithmetic result comparing unit 64 identifier information for specifying which arithmetic processing unit 61a and 61b is the arithmetic result output. The operation result signal is output. All of the arithmetic processing units 61a and 61b are connected to the failure detection unit 63 and output a normal operation signal to which identifier information is added.

故障検知部63は、演算処理部61a,61bと演算結果比較部64に接続され、演算処理部61a,61bから正常動作信号が送信されているか監視する。演算処理部61a,61bからの正常動作信号が一定時間受信できない場合、演算処理部61a,61bと演算結果比較部64に故障通知信号を出力する。   The failure detection unit 63 is connected to the calculation processing units 61a and 61b and the calculation result comparison unit 64, and monitors whether normal operation signals are transmitted from the calculation processing units 61a and 61b. When the normal operation signals from the arithmetic processing units 61a and 61b cannot be received for a certain period of time, a failure notification signal is output to the arithmetic processing units 61a and 61b and the arithmetic result comparison unit 64.

図7は図6の実施例における、モータ制御装置60の動作を示したフローチャートである。演算処理部61a,61bは一定のタイミングで故障検知部63に正常動作確認信号に出力する(710)。故障検知部63は正常動作信号を入力して(720)、一定時間入力がない場合、演算処理部が故障したと判断して、全ての演算処理部61a,61bと演算結果比較部64に故障通知信号を出力する(722)。故障通知信号には、故障した演算処理部61aないし61bの識別子が付与される。演算処理部61a,61bは故障通知の確認を行い(711)、故障通知がある場合、演算処理部61a,61bで実行されるOSに故障を通知する(713)。演算処理部61a,61bは、演算を実行し(714)、演算結果を演算結果比較部64に出力する(715)。演算結果比較部64は、故障検知部63から出力される、故障通知信号を確認して(730)、故障通知がなければ、全ての演算処理部61a,61bからの演算結果を比較する(732)。比較結果が一致すれば、演算結果をモータ制御装置の外部に出力して、出力完了通知を演算処理部61a,61bに出力する(736)。不一致であれば、演算処理部61a,61bに再計算要求信号を出力し(734)、再度演算結果を比較する(732)。故障検知部63から出力される、故障検知信号を確認したとき、故障通知があった場合、故障通知信号に含まれる故障した演算処理部61aないし61bの識別子をもとに、故障していない演算処理部61aないし61bの出力を比較結果として(735)、故障していない演算処理部61aないし61bでモータ制御を継続する。   FIG. 7 is a flowchart showing the operation of the motor control device 60 in the embodiment of FIG. The arithmetic processing units 61a and 61b output a normal operation confirmation signal to the failure detection unit 63 at a fixed timing (710). The failure detection unit 63 inputs a normal operation signal (720), and if there is no input for a certain period of time, it is determined that the operation processing unit has failed, and all the operation processing units 61a and 61b and the operation result comparison unit 64 have failed. A notification signal is output (722). The failure notification signal is given the identifier of the failed arithmetic processing unit 61a or 61b. The arithmetic processing units 61a and 61b confirm the failure notification (711), and if there is a failure notification, notifies the OS executed by the arithmetic processing units 61a and 61b of the failure (713). The arithmetic processing units 61a and 61b execute the calculation (714), and output the calculation result to the calculation result comparing unit 64 (715). The operation result comparison unit 64 checks the failure notification signal output from the failure detection unit 63 (730), and if there is no failure notification, compares the operation results from all the operation processing units 61a and 61b (732). ). If the comparison results match, the calculation result is output to the outside of the motor control device, and an output completion notification is output to the calculation processing units 61a and 61b (736). If they do not match, a recalculation request signal is output to the arithmetic processing units 61a and 61b (734), and the calculation results are compared again (732). When the failure detection signal output from the failure detection unit 63 is confirmed, if there is a failure notification, an operation that has not failed is performed based on the identifier of the failed operation processing unit 61a to 61b included in the failure notification signal. Using the outputs of the processing units 61a to 61b as a comparison result (735), motor control is continued in the arithmetic processing units 61a to 61b that are not in failure.

演算処理部61a,61bは演算結果比較部が出力した、再計算要求信号もしくは、出力完了通知を入力して(716)、再計算要求を入力した場合、再度演算を実行する(714)。出力完了通知を入力した場合、正常動作確認信号を出力する(710)。   The arithmetic processing units 61a and 61b input the recalculation request signal or the output completion notification output from the arithmetic result comparison unit (716), and when the recalculation request is input, execute the calculation again (714). When an output completion notification is input, a normal operation confirmation signal is output (710).

図8は図6の実施例における、モータ制御装置60に搭載されたメモリ部62a,62bのROMに内蔵されるプログラムの構成である。プログラムは、プログラムを制御機能毎に分割した機能モジュールと、機能モジュールを定められた実行順に実行するOSとで構成される。OSは、故障検知部63から出力された故障情報を入力する。機能モジュールには安全度レベルが付与される。安全度レベル1の機能モジュールには、規定実行回数が付与される。安全度レベル3の機能モジュールには、異常時出力が付与される。本実施例では、演算処理部の冗長化が実施されている制御装置であることから、制御装置に求められる信頼性は高いと想定し、走行に最低限必要な機能モジュールに安全度レベル1が設定しているが、これを安全度レベル2に設定してもよい。   FIG. 8 shows a configuration of a program built in the ROM of the memory units 62a and 62b mounted on the motor control device 60 in the embodiment of FIG. The program includes a function module obtained by dividing the program for each control function and an OS that executes the function modules in a predetermined execution order. The OS inputs the failure information output from the failure detection unit 63. The functional module is given a safety level. A specified number of executions is given to a functional module of safety level 1. An output at the time of abnormality is given to a functional module of safety level 3. In the present embodiment, since the arithmetic processing unit is made redundant, it is assumed that the reliability required for the control device is high, and the safety function level 1 is assigned to the minimum functional module required for traveling. Although set, this may be set to safety level 2.

以下に機能モジュールの詳細を述べる。「位置指令算出81」はストロークセンサからの入力から位置指令値を算出する。「M/C圧センサ信号処理82」はM/C圧センサの出力である電圧値を、実際の圧力量に変換する処理である。「モータ位置算出83」はレゾルバからのモータ角情報を下に、モータの位置を算出する。「液圧偏差算出84」は、電動倍力装置の外部から車載ネットワーク経由で電動倍力装置に入力される液圧指令値とM/C圧センサ信号処理で計算したM/C圧の偏差を算出する。「液圧相当位置指令算出85」は液圧偏差とモータ位置から、液圧に相当する位置指令値(液圧相当位置指令値)を生成する。「切替フラグ生成86」は、電動倍力装置内外からの情報を元に指令値として、位置指令か液圧相当位置指令かどちらを選択するかを判定する。「指令値選択87」は、切替フラグ生成の判定結果を元に指令値を、位置指令値と液圧相当位置指令値のいずれかから選択する。「位置偏差算出処理88」は、指令値選択で選択された指令値とモータ位置の偏差(位置偏差)を算出する。「サーボ制御89」は、位置偏差から、電流指令値(d軸q軸)を算出する。「電流制御処理810」は、電流指令値に、モータ電流などから生成される電流制限や電圧制限をかけて三相電流指令値を出力する。   Details of the functional modules are described below. “Position command calculation 81” calculates a position command value from an input from a stroke sensor. “M / C pressure sensor signal processing 82” is a process of converting a voltage value, which is an output of the M / C pressure sensor, into an actual pressure amount. “Motor position calculation 83” calculates the motor position based on the motor angle information from the resolver. “Hydraulic pressure deviation calculation 84” is the difference between the hydraulic pressure command value input to the electric booster from the outside of the electric booster via the in-vehicle network and the M / C pressure calculated by the M / C pressure sensor signal processing. calculate. “Hydraulic pressure equivalent position command calculation 85” generates a position command value (hydraulic pressure equivalent position command value) corresponding to the hydraulic pressure from the hydraulic pressure deviation and the motor position. The “switch flag generation 86” determines whether to select a position command or a hydraulic pressure equivalent position command as a command value based on information from inside and outside the electric booster. “Command value selection 87” selects a command value from either a position command value or a hydraulic pressure equivalent position command value based on the determination result of the switching flag generation. The “position deviation calculation process 88” calculates a deviation (position deviation) between the command value selected in the command value selection and the motor position. The “servo control 89” calculates a current command value (d-axis q-axis) from the position deviation. The “current control process 810” outputs a three-phase current command value by applying a current limit or voltage limit generated from a motor current or the like to the current command value.

位置指令値は、ストロークセンサから入力した、ブレーキペダルの移動量から算出する(81)。算出した位置指令を、レゾルバから入力したモータ角情報を元に算出したモータ位置と偏差を取り(88)、偏差からモータへの電流指令値を算出する(89)。   The position command value is calculated from the amount of movement of the brake pedal input from the stroke sensor (81). Based on the calculated position command, the motor position and deviation calculated based on the motor angle information input from the resolver are taken (88), and the current command value to the motor is calculated from the deviation (89).

液圧相当位置指令値は、液圧指令値とM/C圧の偏差から、液圧偏差に相当する位置偏差を算出し、液圧偏差に相当する位置偏差と現在のモータ位置を足して算出する(85)。液圧相当位置指令をレゾルバから入力したモータ角情報を元に算出したモータ位置と偏差を取り(88)、偏差からモータへの電流指令値を算出する(89)。   The hydraulic pressure equivalent position command value is calculated by calculating a positional deviation corresponding to the hydraulic pressure deviation from the deviation between the hydraulic pressure command value and the M / C pressure, and adding the positional deviation corresponding to the hydraulic pressure deviation and the current motor position. (85). The motor position and deviation calculated based on the motor angle information input from the resolver as a hydraulic pressure equivalent position command is taken (88), and the current command value to the motor is calculated from the deviation (89).

相対位置制御と液圧制御の切り替えは位置指令値の切り替えによって行われる。制御の切り替えの判定は、切替フラグ生成(86)で行い、実際の位置指令値の切り替えは指令値選択(87)により行う。   Switching between relative position control and hydraulic pressure control is performed by switching position command values. Control switching is determined by switching flag generation (86), and actual position command value switching is performed by command value selection (87).

図6の実施例における、OS動作は前述の図2に示すフローチャートに示すとおりである。   The OS operation in the embodiment of FIG. 6 is as shown in the flowchart of FIG.

一部の演算処理部に故障が発生した場合、残った演算処理部で制御を続行することになるが、演算結果の信頼性は低下してしまう。そこで、制御装置の機能を走行に必要な必要最低限のものに限定し、限定された機能について、複数回の演算を行うことで、限定された機能の信頼性を向上する。   When a failure occurs in some of the arithmetic processing units, control is continued with the remaining arithmetic processing units, but the reliability of the arithmetic result is lowered. Therefore, the reliability of the limited function is improved by limiting the functions of the control device to the minimum necessary ones necessary for traveling and performing a plurality of calculations for the limited functions.

図9は図6の実施例における、図2の故障判断23の詳細動作である。OSは故障検知部が出力する故障情報に含まれる、故障した演算処理部62aないし62bの識別子から、故障モードの判定を行う。故障情報に含まれる故障した演算処理部62aないし62bの識別子と、OSが実行される演算処理部62aないし62bの識別子を比較して(90)、比較結果が一致すれば、すなわち、故障した演算処理部がOSが実行される演算処理部であれば、暴走の可能性もあるため、故障モードを停止モードに遷移して(91)、処理を停止し、演算処理部が不正な出力をしないようにする。このとき演算処理部は故障によりすでに処理を停止している場合もある。比較結果が不一致であれば、すなわち、故障した演算処理部がOSが実行される演算処理部でなければ、故障モードを縮退モードに遷移する(92)。   FIG. 9 is a detailed operation of the failure determination 23 of FIG. 2 in the embodiment of FIG. The OS determines the failure mode from the identifiers of the failed arithmetic processing units 62a to 62b included in the failure information output by the failure detection unit. The identifier of the failed arithmetic processing unit 62a to 62b included in the failure information is compared with the identifier of the arithmetic processing unit 62a to 62b on which the OS is executed (90). If the processing unit is an arithmetic processing unit on which the OS is executed, there is a possibility of runaway. Therefore, the failure mode is changed to the stop mode (91), the processing is stopped, and the arithmetic processing unit does not output illegally. Like that. At this time, the arithmetic processing unit may have already stopped processing due to a failure. If the comparison results do not match, that is, if the failed arithmetic processing unit is not the arithmetic processing unit in which the OS is executed, the failure mode is changed to the degenerate mode (92).

故障モードが縮退モードに遷移した場合、電動倍力装置のモータ制御装置60の機能を走行に必要な必要最低限のものに限定し、通常動作において複数の演算処理部62a,62bでの並列計算で確保していた信頼性を、残った演算処理部62aないし62bにおいて、同じ処理を複数回実行することで、確保し、制御を継続する。ここでいう走行に必要最低限必要な機能とはすなわち、通常のブレーキ動作であり、自動ブレーキ機能や回生協調機能については機能を停止する。そのため、機能モジュールの安全度レベルは、相対位置制御に関わる機能モジュール、すなわち、「位置指令算出81」,「モータ位置算出83」,「指令値選択87」,「位置偏差算出処理88」,「サーボ制御89」,「電流制御処理810」をレベル1に設定し、液圧制御に関わる、そのほかの機能モジュールの安全度レベルをレベル3に設定する。安全度レベル3に設定した機能モジュールは、異常時出力を保持しており、OSがRAMに異常時出力を書き込む。機能モジュール「切替フラグ生成86」の異常時出力を、機能モジュール「位置指令算出81」からの指令値を常に選択するものに設定すると、「切替フラグ生成86」の出力値が格納されるRAMつまり、「指令値選択87」の入力値が格納されるRAMに機能モジュール「位置指令算出81」からの指令値を常に選択するデータを書き込む。   When the failure mode transitions to the degenerate mode, the function of the motor control device 60 of the electric booster is limited to the minimum necessary for traveling, and parallel calculation is performed by the plurality of arithmetic processing units 62a and 62b in normal operation. The remaining reliability is ensured by executing the same process a plurality of times in the remaining arithmetic processing units 62a to 62b, and the control is continued. The minimum necessary function for running here is a normal brake operation, and the automatic brake function and the regenerative cooperation function are stopped. Therefore, the safety level of the functional module is the functional module related to the relative position control, that is, “position command calculation 81”, “motor position calculation 83”, “command value selection 87”, “position deviation calculation processing 88”, “ Servo control 89 ”and“ current control processing 810 ”are set to level 1, and the safety level of other functional modules related to hydraulic pressure control is set to level 3. The function module set to the safety level 3 holds the abnormal output, and the OS writes the abnormal output to the RAM. When the abnormal output of the function module “switch flag generation 86” is set to always select the command value from the function module “position command calculation 81”, the RAM in which the output value of “switch flag generation 86” is stored. The data for always selecting the command value from the functional module “position command calculation 81” is written in the RAM in which the input value of “command value selection 87” is stored.

上記のように、安全度レベルと異常時出力を設定することで、OSは安全度レベル1に設定された、相対位置制御に関わる機能モジュールに関しては複数回実行し、その結果を比較して信頼性を確保し、指令値の切り替えでは常に「位置指令算出81」の出力が選択されるようになるため、モータ制御装置は常に通常のブレーキ動作を行うことになり、必要最低限の機能である、通常のブレーキ動作を演算結果の信頼性を確保して続行することができる。   As described above, by setting the safety level and the abnormal output, the OS executes the function module related to the relative position control that is set to the safety level 1 multiple times, and compares the results to confirm the reliability. Since the output of “position command calculation 81” is always selected when the command value is switched, the motor control device always performs a normal brake operation, which is the minimum necessary function. The normal braking operation can be continued while ensuring the reliability of the calculation result.

上記のように、安全度レベルに応じて機能モジュールの実行制御を行うことで、一部の演算処理部の故障時に、車両の安全上必要最低限の機能に限定して、限定された機能の信頼性を高めることで、故障時における信頼性を向上する。   As described above, by executing the execution control of the function modules according to the safety level, it is possible to limit the functions limited to the minimum necessary functions for vehicle safety when some arithmetic processing units fail. By improving the reliability, the reliability at the time of failure is improved.

また、複数コアを内蔵するマイコンにおいて一部のコアに故障が発生した場合、故障と判定されたコア以外の部分へ故障が波及している可能性がある。今発明を適用すれば、コアの演算処理を最低限走行に必要な機能に限定するため、一部コアの故障の影響が他の部分へ波及していた場合でも、故障の影響を最小限にすることができる。   Further, when a failure occurs in some cores in a microcomputer incorporating a plurality of cores, there is a possibility that the failure has spread to portions other than the core determined to be a failure. If the present invention is applied, the core calculation processing is limited to the functions required for running at the minimum, so even if the effects of some core failures have spread to other parts, the effects of the failure are minimized. can do.

10 機能モジュール
11,80 OS
20 故障有無判断
21,29,213,217 機能モジュール実行
22,219 実行モジュール更新
23,50,712,721,731 故障判断
24 故障モード判断
25 処理停止
26 安全度レベル判断
27 初期RAM情報退避
28 実行回数初期化
30,60 モータ制御装置
31,61 演算処理部
32,62 メモリ部
33,63 故障検知部
34 三相ブリッジ
35 モータ
36 電流センサ
37 レゾルバ
38 マスタシリンダ
39 圧力センサ
41,81 位置指令算出
42,82 M/C圧センサ信号処理
43,83 モータ位置算出
44,84 液圧偏差算出
45,85 液圧相当位置指令算出
46,86 切替フラグ生成
47,87 指令値選択
48,88 位置偏差算出処理
49,89 サーボ制御
51 機能モジュールアドレス算出
52 アドレス比較
53 故障メモリ判断
54,91 停止モード選択
55,92 縮退モード選択
64 演算結果比較部
90 識別子比較
210,214 カウントアップ
211 実行結果退避
212 ロールバック
215 実行回数判断
216,732 演算結果比較
218 非常時出力書込
220 新規故障通知
310 ストロークセンサ
311 車載ネットワーク
410,810 電流制御処理
710 正常動作確認信号出力
711,730 故障通知信号入力
713 OSに故障通知
714 演算実行
715 演算結果出力
716 再計算要求信号入力
717 再計算判断
720 正常動作確認信号入力
722 故障通知信号出力
734 再計算要求信号出力
735 演算結果切替
736 比較結果出力 10 Function module 11, 80 OS
20 Failure existence determination 21, 29, 213, 217 Functional module execution 22, 219 Execution module update 23, 50, 712, 721, 731 Failure determination 24 Failure mode determination 25 Process stop 26 Safety level determination 27 Initial RAM information save 28 Execution Number of times initialization 30, 60 Motor control device 31, 61 Arithmetic processing unit 32, 62 Memory unit 33, 63 Failure detection unit 34 Three-phase bridge 35 Motor 36 Current sensor 37 Resolver 38 Master cylinder 39 Pressure sensor 41, 81 Position command calculation 42 , 82 M / C pressure sensor signal processing 43, 83 Motor position calculation 44, 84 Hydraulic pressure deviation calculation 45, 85 Hydraulic pressure equivalent position command calculation 46, 86 Switching flag generation 47, 87 Command value selection 48, 88 Position deviation calculation processing 49, 89 Servo control 51 Function module address calculation 52 Add Comparison 53 Fault memory judgment 54, 91 Stop mode selection 55, 92 Degeneration mode selection 64 Operation result comparison unit 90 Identifier comparison 210, 214 Count up 211 Execution result saving 212 Rollback 215 Execution time judgment 216,732 Operation result comparison 218 Emergency Time output writing 220 New failure notification 310 Stroke sensor 311 In-vehicle network 410, 810 Current control processing 710 Normal operation confirmation signal output 711, 730 Failure notification signal input 713 Failure notification to OS 714 Calculation execution 715 Calculation result output 716 Recalculation request signal Input 717 Recalculation judgment 720 Normal operation confirmation signal input 722 Failure notification signal output 734 Recalculation request signal output 735 Operation result switching 736 Comparison result output

Claims (5)

車両に搭載される機器を制御するための機能毎に分割された複数の機能モジュールと前記複数の機能モジュールを予め定められた順序で呼び出すオペレーションシステムとをプログラムとして格納するROMと、
前記複数の機能モジュールと前記オペレーションシステムとを実行する演算処理部と、
を備えた車両用制御装置であって、
前記車両用制御装置の異常を検知するための異常検知部を備え、
前記複数の機能モジュールそれぞれには、実行を停止した場合に前記車両の走行に与える影響に応じて予め安全度レベルが設定されており、
前記オペレーションシステムは、前記異常検知部により異常が検知されたときに、
前記安全度レベルに基づいて前記複数の機能モジュールのうちの一部の機能モジュールの実行を停止させる縮退モードへ遷移することを特徴とする車両用制御装置。 ROM that stores a plurality of function modules divided for each function for controlling devices mounted on a vehicle and an operation system that calls the plurality of function modules in a predetermined order as a program;
An arithmetic processing unit for executing the plurality of functional modules and the operation system;
A vehicle control device comprising:
An abnormality detection unit for detecting an abnormality of the vehicle control device,
In each of the plurality of functional modules, a safety level is set in advance according to the influence on the travel of the vehicle when execution is stopped,
When the operation system detects an abnormality by the abnormality detection unit,
The vehicular control device is configured to shift to a degeneration mode in which execution of some of the plurality of functional modules is stopped based on the safety level. 請求項1に記載の車両用制御装置であって、
前記複数の機能モジュールの実行結果を格納するRAMを備え、
前記安全度レベルは、前記オペレーションシステムが前記縮退モードへ遷移したときに、
機能モジュールを複数回実行した結果を前記RAMへ格納し、実行結果の比較を行う第一のレベルと、
機能モジュールを一度のみ実行する第二のレベルと、
機能モジュールの実行を停止して所定の異常時出力を行う第三のレベルと、を有することを特徴とする制御装置。 The vehicle control device according to claim 1,
A RAM for storing execution results of the plurality of functional modules;
The safety level is determined when the operation system transitions to the degenerate mode.
A result of executing the function module a plurality of times is stored in the RAM, and a first level for comparing the execution results;
A second level that executes the functional module only once,
And a third level for stopping the execution of the function module and outputting a predetermined abnormal time. 請求項2に記載の車両用制御装置であって、
前記オペレーションシステムは、前記異常検知部が検知した異常の種類に応じて、
前記複数の機能モジュール全てを停止する停止モードと、前記縮退モードのいずれかへ遷移することを特徴とする制御装置。 The vehicle control device according to claim 2,
According to the type of abnormality detected by the abnormality detection unit, the operation system
A control device that makes a transition to one of a stop mode in which all of the plurality of functional modules are stopped and the degeneration mode. 請求項3に記載の車両用制御装置であって、
前記オペレーションシステムは、前記RAMにおいて、前記第一のレベルまたは前記第二のレベルが設定された機能モジュールが使用する領域に故障が発生した場合には前記停止モードに遷移し、
前記第一のレベルおよび前記第二のレベル以外のレベルが設定された機能モジュールが使用する領域に故障が発生した場合には前記遷移モードに遷移することを特徴とする制御装置。 The vehicle control device according to claim 3,
The operation system transitions to the stop mode when a failure occurs in an area used by the functional module in which the first level or the second level is set in the RAM.
The control device, wherein a failure mode occurs in a region used by a functional module in which a level other than the first level and the second level is set, makes a transition to the transition mode. 請求項2に記載の車両用制御装置であって、
前記演算処理部は複数の演算処理部からなり、
前記複数の演算処理部は出力信号にいずれの演算処理部の出力結果かを表す識別子を付与し、前記識別子を付与した正常動作信号を定期的に出力し、
前記複数の演算処理部それぞれの出力結果の比較または前記正常動作信号の出力に基づいて前記車両用制御装置の異常を検知することを特徴とする車両用制御装置。 The vehicle control device according to claim 2,
The arithmetic processing unit comprises a plurality of arithmetic processing units,
The plurality of arithmetic processing units give an identifier representing which output processing unit outputs to the output signal, and periodically output a normal operation signal with the identifier,
A vehicle control device that detects an abnormality of the vehicle control device based on comparison of output results of the plurality of arithmetic processing units or output of the normal operation signal.
JP2011118607A 2011-05-27 2011-05-27 Vehicle control device Active JP5629646B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011118607A JP5629646B2 (en) 2011-05-27 2011-05-27 Vehicle control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011118607A JP5629646B2 (en) 2011-05-27 2011-05-27 Vehicle control device

Publications (2)

Publication Number Publication Date
JP2012245863A true JP2012245863A (en) 2012-12-13
JP5629646B2 JP5629646B2 (en) 2014-11-26

Family

ID=47466761

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011118607A Active JP5629646B2 (en) 2011-05-27 2011-05-27 Vehicle control device

Country Status (1)

Country Link
JP (1) JP5629646B2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016165990A (en) * 2015-03-06 2016-09-15 株式会社デンソー Control system
JP2017043166A (en) * 2015-08-25 2017-03-02 日立オートモティブシステムズ株式会社 Vehicle control device
WO2018207551A1 (en) * 2017-05-12 2018-11-15 日立オートモティブシステムズ株式会社 Information processing device and anomaly response method
JP2019095967A (en) * 2017-11-21 2019-06-20 三菱電機株式会社 Vehicle control unit
JP2020077233A (en) * 2018-11-08 2020-05-21 株式会社デンソー Communication device
WO2021261113A1 (en) * 2020-06-25 2021-12-30 住友電気工業株式会社 Vehicle monitoring program, on-board device, and vehicle monitoring method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009029172A (en) * 2007-07-24 2009-02-12 Nsk Ltd Electric power steering system
JP2010162982A (en) * 2009-01-14 2010-07-29 Nsk Ltd Electric power steering device
JP2010184689A (en) * 2009-02-13 2010-08-26 Nsk Ltd Electric power steering device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009029172A (en) * 2007-07-24 2009-02-12 Nsk Ltd Electric power steering system
JP2010162982A (en) * 2009-01-14 2010-07-29 Nsk Ltd Electric power steering device
JP2010184689A (en) * 2009-02-13 2010-08-26 Nsk Ltd Electric power steering device

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016165990A (en) * 2015-03-06 2016-09-15 株式会社デンソー Control system
JP2017043166A (en) * 2015-08-25 2017-03-02 日立オートモティブシステムズ株式会社 Vehicle control device
WO2018207551A1 (en) * 2017-05-12 2018-11-15 日立オートモティブシステムズ株式会社 Information processing device and anomaly response method
JP2018194909A (en) * 2017-05-12 2018-12-06 日立オートモティブシステムズ株式会社 Information processing device and abnormality coping method
JP2019095967A (en) * 2017-11-21 2019-06-20 三菱電機株式会社 Vehicle control unit
JP2020077233A (en) * 2018-11-08 2020-05-21 株式会社デンソー Communication device
JP7077920B2 (en) 2018-11-08 2022-05-31 株式会社デンソー Communication device
WO2021261113A1 (en) * 2020-06-25 2021-12-30 住友電気工業株式会社 Vehicle monitoring program, on-board device, and vehicle monitoring method

Also Published As

Publication number Publication date
JP5629646B2 (en) 2014-11-26

Similar Documents

Publication Publication Date Title
JP5629646B2 (en) Vehicle control device
US9576137B2 (en) Method and system for analyzing integrity of encrypted data in electronic control system for motor vehicle
US8099179B2 (en) Fault tolerant control system
US6823251B1 (en) Microprocessor system for safety-critical control systems
US10017188B2 (en) Method and device for handling safety critical errors
EP3330857B1 (en) Vehicle control device
CN108698630B (en) Computing and functional architecture system for improving failure safety of power steering apparatus
US8956266B2 (en) Vehicle driving force control device
US20130282249A1 (en) Fail-Safe Parking Brake for Motor Vehicles
JP5980936B2 (en) Device for controlling the brake lamp of an automobile
US20140351658A1 (en) Redundant computing architecture
US11491957B2 (en) Electronic hydraulic brake device and control method thereof
CN111891134A (en) Automatic driving processing system, system on chip and method for monitoring processing module
JP4598245B2 (en) Electrically controlled brake device
JPH05294207A (en) Air bag device and operating method thereof
CN108146250B (en) Automobile torque safety control method based on multi-core CPU
KR20210151296A (en) Method And Apparatus for Vehicle Braking
JP2002502755A (en) Method and apparatus for handling errors in electronic brake systems
CN113815424B (en) Vehicle braking force control method, device and computer readable storage medium
CN105313880A (en) A motor vehicle having at least two driving actuators and improved failure safety, a running method and a mechanism for implementing the running method
JP6681304B2 (en) Vehicle control device and vehicle internal combustion engine control device
KR20210005394A (en) Active fault tolerant control apparatus and method for vehicle
JP5226653B2 (en) In-vehicle control device
US11511689B2 (en) Supplementary power supply and a method for providing supplemental power
JP7250601B2 (en) vehicle control system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130821

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130821

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140410

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140507

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140707

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140909

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141006

R150 Certificate of patent or registration of utility model

Ref document number: 5629646

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350