JP2014080951A - 車両用制御装置 - Google Patents

車両用制御装置 Download PDF

Info

Publication number
JP2014080951A
JP2014080951A JP2012230972A JP2012230972A JP2014080951A JP 2014080951 A JP2014080951 A JP 2014080951A JP 2012230972 A JP2012230972 A JP 2012230972A JP 2012230972 A JP2012230972 A JP 2012230972A JP 2014080951 A JP2014080951 A JP 2014080951A
Authority
JP
Japan
Prior art keywords
control
monitoring
storage device
vehicle
area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012230972A
Other languages
English (en)
Other versions
JP5842783B2 (ja
Inventor
Futoshi Tamanoi
太 玉野井
Hiroo Kunibe
浩生 国部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2012230972A priority Critical patent/JP5842783B2/ja
Priority to DE102013221098.1A priority patent/DE102013221098B4/de
Publication of JP2014080951A publication Critical patent/JP2014080951A/ja
Application granted granted Critical
Publication of JP5842783B2 publication Critical patent/JP5842783B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D11/00Arrangements for, or adaptations to, non-automatic engine control initiation means, e.g. operator initiated
    • F02D11/06Arrangements for, or adaptations to, non-automatic engine control initiation means, e.g. operator initiated characterised by non-mechanical control linkages, e.g. fluid control linkages or by control linkages with power drive or assistance
    • F02D11/10Arrangements for, or adaptations to, non-automatic engine control initiation means, e.g. operator initiated characterised by non-mechanical control linkages, e.g. fluid control linkages or by control linkages with power drive or assistance of the electric type
    • F02D11/105Arrangements for, or adaptations to, non-automatic engine control initiation means, e.g. operator initiated characterised by non-mechanical control linkages, e.g. fluid control linkages or by control linkages with power drive or assistance of the electric type characterised by the function converting demand to actuation, e.g. a map indicating relations between an accelerator pedal position and throttle valve opening or target engine torque
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0005Processor details or data handling, e.g. memory registers or chip architecture
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0043Signal treatments, identification of variables or parameters, parameter estimation or state estimation
    • B60W2050/0044In digital systems
    • B60W2050/0045In digital systems using databus protocols
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D11/00Arrangements for, or adaptations to, non-automatic engine control initiation means, e.g. operator initiated
    • F02D11/06Arrangements for, or adaptations to, non-automatic engine control initiation means, e.g. operator initiated characterised by non-mechanical control linkages, e.g. fluid control linkages or by control linkages with power drive or assistance
    • F02D11/10Arrangements for, or adaptations to, non-automatic engine control initiation means, e.g. operator initiated characterised by non-mechanical control linkages, e.g. fluid control linkages or by control linkages with power drive or assistance of the electric type
    • F02D11/107Safety-related aspects

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Electrical Control Of Air Or Fuel Supplied To Internal-Combustion Engine (AREA)

Abstract

【課題】記憶装置のうちいずれの記憶領域で異常が発生したかに応じて、適切なフェールセーフ制御を実施可能にした、車両用制御装置を提供する。
【解決手段】車両用制御装置は、記憶装置に記憶された制御情報にしたがって車両の運転状態を制御(車両制御)する車両制御手段と、記憶装置に記憶された監視情報にしたがって車両制御が正常に実行されていることを監視するとともに、その監視結果に基づき車両制御の内容に制限をかける第1監視手段と、記憶装置の異常状態に応じて、車両制御の内容に制限をかける第2監視手段S20と、を備える。第2監視手段は、記憶装置のうち制御情報が記憶された第1領域、および第1監視情報が記憶された第2領域のいずれで異常が生じているかを判別する判別手段S23と、その判別結果に応じて第2制限の内容を異ならせるフェールセーフ制御手段S25と、を有する。
【選択図】図3

Description

本発明は、車両の運転状態を制御する車両用制御装置に関する。
近年の車両では、燃料噴射弁や点火装置等の各種アクチュエータを電子制御して、車両の運転状態を制御することが一般的である。すなわち、制御情報にしたがってCPU(中央演算処理装置)が燃料噴射量や点火時期等を演算し、その演算結果に基づき各種アクチュエータの作動を制御する。
そして特許文献1には、監視プログラムにしたがって制御情報の異常有無を検査(内部検査)する旨と、これらの監視プログラムおよび制御情報が記憶されたマイクロコンピュータ(メインマイコン)に対して、バックアップマイコンにより異常有無を検査(外部検査)する旨とが記載されている。
特表平11−505587号公報
上述した内部検査や外部検査により異常を検知した場合には、各種アクチュエータの制御内容に制限をかけるフェールセーフ制御が要求される。しかしながら、制限をかける機会を増やしたり制限量を大きくしたりすると、制御の信頼性は向上する反面、制御の可用性が著しく低下する。
本発明は、上記問題を鑑みてなされたもので、その目的は、記憶装置のうちいずれの記憶領域で異常が発生したかに応じて、適切なフェールセーフ制御を実施可能にした、車両用制御装置を提供することにある。
開示されたひとつの発明は上記目的を達成するために以下の技術的手段を採用する。なお、特許請求の範囲に記載した括弧内の符号は、ひとつの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、開示された発明の技術的範囲を限定するものではない。
開示された発明のひとつは、記憶装置に記憶された制御情報にしたがって、車両の運転状態を制御する車両制御手段と、前記記憶装置に記憶された監視情報にしたがって、前記車両制御手段による制御が正常に実行されていることを監視するとともに、その監視結果に基づき前記車両制御手段が実行する制御の内容に制限をかける第1監視手段と、前記記憶装置の異常状態に応じて、前記車両制御手段が実行する制御の内容に制限をかける第2監視手段と、を備えることを前提とする。
そして、前記第2監視手段は、前記記憶装置のうち前記制御情報が記憶された第1領域、および前記第1監視情報が記憶された第2領域のいずれで異常が生じているかを判別する判別手段と、前記判別手段による判別結果に応じて前記第2制限の内容を異ならせるフェールセーフ制御手段と、を有することを特徴とする。
これによれば、制御情報が記憶された第1領域、および監視情報が記憶された第2領域のいずれで異常が生じているかに応じて、車両運転状態にかかる制御(車両制御)に対する第2制限の内容を異ならせる。そのため、例えば、第1領域での異常の場合には厳しい内容の第2制限をかけることで車両制御の信頼性を向上させ、その一方で、第2領域での異常の場合には緩い内容の第2制限をかけることで、車両制御の可用性が低下することを抑制できる。このように、本発明によれば、記憶装置のうちいずれの記憶領域で異常が発生したかに応じて、適切なフェールセーフ制御を実施できるようになる。
本発明の第1実施形態にかかる車両用制御装置を示すブロック図。 図1のモニタプログラムによる、第1FS制御の手順を示すフローチャート。 図1のレベル3ソフトウェアにより実行される、第3FS制御の手順を示すフローチャート。 図1のレベル3ソフトウェアにより実行される、ROMチェック手順を示すフローチャート。 図1のレベル3ソフトウェアにより実行される、RAMチェック手順を示すフローチャート。 図1のレベル3ソフトウェアにより実行される、インストラクションチェック手順を示すフローチャート。 図1のレベル3ソフトウェアにより実行される、エラー送信処理手順を示すフローチャート。
以下、本発明にかかる車両用制御装置の一実施形態について、図面を参照しつつ説明する。
図1に示す電子制御装置(ECU10)は、車両の運転状態を制御する装置である。具体的には、スロットルバルブや燃料噴射弁、点火装置等の各種アクチュエータを電子制御することで、エンジンの燃焼室へ吸入される吸気量や、燃料噴射量、燃料噴射時期、点火時期等を制御し、ひいてはエンジン出力や排気エミッション等を制御する。例えば、図1に示すスロットルモータ20は、スロットルバルブを回転駆動させるためのモータであり、ECU10は、車両運転者によるアクセルペダル操作量やエンジン回転速度等に基づきスロットルバルブの開度(スロットル開度)の要求値THtrgを算出し、その要求値THtrgにしたがってスロットルモータ20の作動を制御する。
ECU10は、各種センサからの信号を入力処理する入力装置(図示せず)や、各種アクチュエータへの駆動信号を出力する出力装置(図示せず)、入力処理された信号に基づき演算処理するマイクロコンピュータ(マイコン10MC)を備える。マイコン10MCは、CPU11、12(中央演算処理装置)、不揮発性メモリであるROM13(記憶装置)および揮発性メモリであるRAM14(記憶装置)を有しており、これらのCPU11、12、ROM13およびRAM14は、1つの集積回路チップに統合されている。図1に示す例では、マイコン10MCは2つのCPU11、12を有している。
ROM13には、先述した要求値THtrg等の演算をCPU11、12に実行させるためのエンジン制御プログラム(制御情報)や、その演算に必要なエンジン制御定数(制御情報)が記憶されている。また、RAM14には、エンジン制御にかかるCPU11、12の演算に用いられるエンジン制御データ(制御情報)が記憶される。エンジン制御データの具体例としては、エンジン回転速度の検出値や、排気中の酸素濃度の検出値等が挙げられる。なお、このようにエンジン制御を実行している時のマイコン10MCは、「車両制御手段」に相当する。
さらにROM13には、エンジン制御プログラムにしたがったエンジン制御が正常に実行されていることを監視するためのエンジン制御モニタプログラム(第1監視情報)が記憶されている。このモニタプログラムは、前記監視のための演算をCPU11、12に実行させるためのプログラムである。また、RAM14には、モニタにかかるCPU11、12の演算に用いられるエンジン制御モニタデータ(第1監視情報)が記憶される。
図2のフェールセーフ処理(第1FS処理S10)は、モニタプログラムにしたがって演算するCPU11、12により実行される。なお、この処理を実行している時のマイコン10MCは「第1監視手段」に相当する。
先ず、図2のステップS11において、先述した各種アクチュエータの要求値(例えばスロットル開度の要求値THtrg)を算出する。続くステップS12では、アクチュエータの作動状態を表した検出値を取得する。例えば、図示しない角度センサにより検出されたスロットル開度の値(検出値THact)を取得する。
続くステップS13では、要求値THtrgと検出値THactとの差分の絶対値が規定値以上であるか否かを判定する。規定値以上であれば(S13:YES)、続くステップS14において、エンジン制御が正常に為されていない異常状態であるとみなし、異常カウンタの値を1だけ増加させる。
異常状態の具体例としては、先述した各種アクチュエータの故障が原因で、車両の運転状態が指令した制御内容とは異なる内容でアクチュエータが作動し、その結果、エンジン出力や排気エミッション等、車両の運転状態を表す検出値と目標値とのずれが規定値以上になることが挙げられる。或いは、ROM13やRAM14の故障が原因で、エンジン制御定数やエンジン制御データが文字化け等により異常値になり、その結果、エンジン出力や排気エミッション等、車両の運転状態を表す検出値と目標値とのずれが規定値以上になることも、具体例として挙げられる。
続くステップS15において、異常カウンタの値が規定数以上であると判定されれば(S15:YES)、次のステップS16において、予め設定しておいた第1上限値を超えないように要求値THtrgの値を制限(第1制限)する。具体的には、ステップS11で算出した要求値が第1上限値を超えている場合には、要求値を第1上限値に補正する。
以上により、マイコン10MCは、エンジン制御プログラムにしたがってエンジン制御にかかる指令信号をアクチュエータ(スロットルモータ20)へ出力する通常出力と、第1上限値に制限されたフェールセーフ信号をアクチュエータへ出力するフェールセーフ出力(第1FS出力)とを実行する。なお、エンジン制御プログラムにしたがって車両の運転状態を制御している時のマイコン10MCは、車両制御手段として機能する。また、エンジン制御モニタプログラムにしたがってエンジン制御が正常に実行されていることを監視している時のマイコン10MCは、第1監視手段として機能する。
ここで、アクチュエータの故障が原因で異常状態に陥っている場合には、モニタプログラムによるフェールセーフ制御(第1FS制御)が正常に機能する。しかし、マイコン10MCの故障が原因で異常状態に陥っている場合には、フェールセーフ制御が正常に機能しないことが懸念される。この懸念に対し、ECU10は、マイコン10MCとは別に設けられた監視回路15(図1参照)を備えることで、第2のフェールセーフ制御(第2FS制御)の実行を図っている。
監視回路15は、マイコン10MCに異常が生じているか否かを監視する。そして、異常を検知した場合に、スロットルモータ20等の各種アクチュエータに対して、フェールセーフ信号を出力(第2FS出力)する。これにより、図2の処理が正常に実行されない場合であっても、監視回路15がアクチュエータの作動に制限をかけるため、前記懸念は解消される。
監視回路15の構成について、図1を用いて詳細に説明する。監視回路15は、以下に説明する比較器15a、ROMメモリチェック装置15b(異常領域検査装置)、RAMメモリチェック装置15c(異常領域検査装置)およびエラーマネジメント装置15dを備える。比較器15aは、2つのCPU11、12の演算結果を比較して、両演算結果が一致しているか否かに応じた信号をエラーマネジメント装置15dへ出力する。例えば、同一の処理を2つのCPU11、12に実行させ、互いに演算結果が異なっていれば、少なくとも一方のCPUが故障していると診断できる。
このようにCPU11、12が故障していると診断された場合には、エラーマネジメント装置15dは、その旨のエラー信号を監視IC15eへ出力する。その場合、監視IC15eは、スロットルモータ20等の各種アクチュエータに対して、フェールセーフ信号を出力(第2FS出力)する。このフェールセーフ制御(第2FS制御)では、スロットルモータ20への通電を遮断する等により、マイコン10MCによるアクチュエータの制御を禁止(シャットダウン)することが望ましい。
ROMメモリチェック装置15bは、ROM13の故障有無をチェックする。具体的には、ROM13の全ての記憶領域をチェック対象とし、記憶領域の個々のアドレスについて故障有無を順次チェックしていく。RAMメモリチェック装置15cは、RAM14の故障有無をチェックする。具体的には、RAM14の全ての記憶領域をチェック対象とし、記憶領域の個々のアドレスについて故障有無を順次チェックしていく。これらの装置15b、15cによれば、ROM13およびRAM14の故障有無を診断できるとともに、故障しているアドレスを把握できる。メモリチェック装置15b、15cは、故障有りと診断されたアドレスがいずれであるかの情報を、エラーマネジメント装置15dへ出力する。
なお、ROM13の記憶領域のうち、制御情報が記憶された第1領域M10、M11は、連続したアドレスの集合となるように設定されている。また、ROM13の記憶領域のうち、第1監視情報が記憶された第2領域M12は、連続したアドレスの集合となるように設定されている。
エラーマネジメント装置15dは、ROM13およびRAM14が故障しておらず、かつ、いずれのCPU11、12も異常な値を演算している場合には、マイコン10MCのバス等の断線異常であると診断する。この場合にも、エラーマネジメント装置15dは、その旨のエラー信号を監視IC15eへ出力して、マイコン10MCによるアクチュエータの制御を禁止させる。
メモリチェック装置15b、15cによりROM13またはRAM14に故障有りと診断されると、CPU11、12が故障と診断されていないことを条件として、エラーマネジメント装置15dは故障有りと診断されたアドレス番号を監視ソフトウェア16へ出力する。監視ソフトウェア16はマイコン10MCが作動することにより実現される機能である。すなわち、ROM13に記憶された故障部位判別プログラム(第2監視情報)にしたがってCPU11、12が図3のFS処理S20を実行することにより、第3のフェールセーフ制御(第3FS制御)が実行される。つまり、エラーマネジメント装置15dは故障有りと診断されたアドレス番号を、マイコン10MCへ出力しているとも言える。
また、ハードウェアである監視回路15と監視ソフトウェア16が第2監視手段に相当する。また、以下の説明では、ROM13およびRAM14の記憶領域のうち、制御情報に関する記憶領域M10、M11、M20をレベル1と呼び、第1監視情報に関する記憶領域M12、M21およびCPU11、12をレベル2と呼び、第2監視情報に関する記憶領域M13、M14および監視回路15をレベル3と呼ぶ。つまり、レベル1の異常をレベル2で診断し、レベル2の異常をレベル3で診断するといった、診断の二重化が為されている。
図3の処理は、監視回路15にて異常が検知されたことをトリガとして実行され、先ず、ステップS21において、監視回路15(ハードウェア)による異常情報を収集する。すなわち、比較器15aによるCPU11、12の診断情報、メモリチェック装置15b、15cによるROM13とRAM14の診断情報、およびバス等の他の診断情報を取得する。
収集した診断情報に基づきマイコン10MCに異常が有ると判定され(S22:YES)、かつ、その異常箇所がROM13またはRAM14であると判定された場合(S23:YES)には、続くステップS24において、異常発生しているアドレス番号が、第1監視情報に関する記憶領域(レベル2)であるか否かを判定する。レベル2と判定されれば(S24:YES)、続くステップS25(フェールセーフ制御手段)において、予め設定しておいた第2上限値を超えないように要求値THtrgの値を制限する。具体的には、図2のステップS11で算出した要求値が第2上限値を超えている場合には、要求値を第2上限値に補正する。
第2上限値は、第1上限値と同じ値に設定してもよいし、第1上限値よりも緩い制限値(例えばスロットル開度の場合大きい開度)に設定してもよい。ちなみに、アクチュエータへの通電をシャットダウンさせる監視IC15eによる第2FS制御では、第1FS制御および第3FS制御よりも厳しく制限していると言える。
さらに、監視ソフトウェア16(レベル3)は、図3のFS処理が正常に実行されているか否かをチェックする機能を有する。この機能は、マイコン10MCが作動することにより実現される機能である。すなわち、ROM13に記憶されたROM/RAMチェックプログラム(第2監視情報)およびインストラクションチェックプログラムにしたがって、CPU11、12が図4〜図6のチェック処理S30、S40、S50を実行することにより実行される。
先ず、図4を用いてROMチェックプログラムによる処理S30の手順を説明する。この処理S30は、故障部位判別プログラムが記憶されているROM13の記憶領域M13の確からしさを検査するものである。はじめに、ステップS31において、故障部位判別プログラムの記憶領域M13を対象領域とし、その対象領域のチェックサム値を算出する。続くステップS32では、算出したチェックサム値が規定値と一致するか否かを判定する。一致していないと判定されれば(S32:NO)、監視ソフトウェア16がエラー状態であるとみなし、続くステップS33にてROMエラー状態の情報を出力する。具体的には、図7の送信処理S60により、ROM13のサムチェック結果を監視IC15eへ送信する。
次に、図5を用いてRAMチェックプログラムによる処理S40の手順を説明する。この処理S40は、故障部位判別プログラムが使用するRAM14の記憶領域M13の確からしさを検査するものである。はじめに、ステップS41において、チェック対象となるRAM14の記憶領域M13の全てのアドレスのデータを取得する。続くステップS42では、記憶領域M13のうちのチェック対象となるアドレスへ、特定のメモリパターンを書き込む。そして、次のステップS43にて同じチェック対象アドレスから改めて値を読み出す。続くステップS44では、書込値と読込値が一致しているか否かを判定する。
一致していないと判定されれば(S44:NO)、監視ソフトウェア16がエラー状態であるとみなし、続くステップS45にてRAMエラー状態の情報を出力する。具体的には、図7の送信処理S60により、RAM14のチェック結果を監視IC15eへ送信する。一致していると判定された場合(S44:YES)、対象メモリの終端に到達したと判定(S46:YES)されるまで、ステップS47にてチェック対象アドレスを1つ進める。
次に、図6を用いてインストラクションチェックプログラムによる処理S50の手順を説明する。この処理S50は、故障部位判別プログラムの挙動について確認するものである。はじめに、ステップS51において、予め用意されたテスト信号の中から使用するテスト信号を選択して出力する。該テスト信号とは、CPU11、12にテスト演算させるための信号であり、演算の正解値を予め記憶させておく。続くステップS52では、CPU11、12によるテスト演算結果を読み込む。テスト演算結果が正解値でなければ(S53:NO)、監視ソフトウェア16がエラー状態であるとみなし、続くステップS54にてエラー状態の情報を出力する。具体的には、図7の送信処理S60により、インストラクションチェック結果を監視IC15eへ送信する。
図7は、監視ソフトウェア16(つまりマイコン10MC)により実行される送信処理S60であり、ステップS61、S62、S63の各々において、チェック処理S30、S40、S50により検知されたエラー状態のデータ(チェック結果)をバッファにコピーし、続くステップS64において、バッファ内のデータを監視IC15eへ送信する。監視IC15eは、これらのエラー状態のうち1つでも受信すると、第2FS出力による第2FS制御を実施する。なお、図3〜図7の処理S30〜S60を実行している時のマイコン10MCは「第2監視手段」に相当する。また、図3〜図6の処理S30〜S50を実行している時のマイコン10MCは「モニタ手段」に相当する。
以上により、本実施形態によれば、メモリチェック装置15b、15cによりROM13およびRAM14の異常が検知された場合に、第1監視情報が記憶された第2領域で異常が生じているか否かを判別する(S23)。そして、第2領域で異常が生じている場合(S24:YES)には、スロットルモータ20等のアクチュエータに対する要求値が第2上限値を超えないように制限(第3FS制御)する。その一方で、制御情報が記憶された第1領域で異常が生じている場合には、その異常はモニタプログラムにより検知され(S15:YES)、スロットルモータ20等のアクチュエータに対する要求値が第1上限値を超えないように制限(第1FS制御)されることとなる。
そのため、制御情報が記憶された第1領域、および監視情報が記憶された第2領域のいずれで異常が生じているかに応じて、車両運転状態にかかる制御(車両制御)に対する第2制限の内容を異ならせる。すなわち、第1領域M10、M11、M20が異常であれば監視IC15eにより第2FS制御(シャットダウン)が実行され、第2領域M12、M21が異常であれば監視ソフトウェア16(つまりマイコン10MC)により第3FS制御(第2上限値に制限)が実行される。そのため、第1領域M10、M11、M20での異常の場合にはシャットダウンにより車両制御の信頼性を向上させ、その一方で、第2領域M12、M21での異常の場合には第2上限値に制限することで、車両制御の可用性が低下することを抑制できる。このように、本実施形態によれば、ROM13およびRAM14で生じた異常箇所に応じて、適切なフェールセーフ制御を実施できるようになる。
要するに、、レベル1の異常をレベル2で診断し、レベル2の異常をレベル3で診断するといった、診断の二重化を実現するにあたり、レベル3において、レベル2にかかるメモリ異常を検知した場合には、レベル1にかかるメモリ異常を検知した場合に比べて、フェールセーフ制御による制限を緩くする(第3FS制御)。これにより、車両制御の可用性向上を図る。その一方で、レベル1にかかるメモリ異常を検知した場合には、第3FS制御に比べて厳しい制限による第2FS制御を実施することにより、車両制御の信頼性向上を図る。
さらに、以下に列挙する特徴を備えた本実施形態によれば、各々の特徴により以下に説明する作用効果が発揮される。
<特徴1>
判別手段が正常に判別を実行しているか否かを監視するモニタ手段S30、S40、S50を備えることを特徴とする。詳細には、判別手段は、故障部位判別プログラム(第2監視情報)にしたがってCPU11、12が実行することで、第1領域M10、M11、M20および第2領域M12、M21のいずれが異常であるかを判別する監視ソフトウェア16により実現されており、ROM13、RAM14およびCPU11、12についての異常を監視するモニタ手段S30、S40、S50を備えることを特徴とする。
この特徴によれば、判別手段を監視するモニタ手段を備えるので、判別手段が異常であることに起因して第2制限の設定が不適切になることを回避できる。換言すれば、第2FS制御および第3FS制御のいずれを実行するかの選択が不適切になることを回避できる。よって、異常に対する信頼性を多重化でき、フェールセーフ制御の信頼性をより一層向上できる。
<特徴2>
第2監視手段は、制御情報または第1監視情報にしたがって演算処理する装置(マイコン10MC)とは別に設けられた装置であって、ROM13、RAM14の異常発生領域を検査するメモリチェック装置15b、15c(異常領域検査装置)を有し、判別手段は、メモリチェック装置15b、15cの検査結果に応じて、異常領域がいずれであるかを判別することを特徴とする。
ここで、上記特徴に反して、エンジン制御および第1FS制御を実行するマイコン10MCを、ROM13、RAM14の異常発生領域を検査する異常領域検査装置として用いると、該装置に異常が発生した場合、車両制御または第1FS制御が正常に作動できないことに加え、異常発生領域の検査も正常に実施できない蓋然性が高くなる。すると、第2監視手段にて第2制限を適切に設定することの確実性が低下する。換言すれば、第2FS制御および第3FS制御のいずれを実行するかの選択が不適切になる。
これに対し、上記特徴によれば、ROM13、RAM14の異常を第2監視手段が検知してフェールセーフ制御を実施するにあたり、マイコン10MCとは別に設けられたメモリチェック装置15b、15cを用いて異常発生領域を検査する。そのため、ROM13、RAM14の異常に対する信頼性を多重化でき、フェールセーフ制御の信頼性をより一層向上できる。
<特徴3>
ROM13の記憶領域は、第1領域M10、M11および第2領域M12が連続したアドレスの集合となるように設定されていることを特徴とする。
ここで、上記特徴に反して、第1領域のアドレスと第2領域のアドレスとが混在するように記憶領域を設定すると、第1領域および第2領域のいずれで異常が生じているかを第2監視手段が判別するにあたり、その判別の処理が煩雑になる。これに対し、上記特徴によれば、第1領域および第2領域が連続したアドレスの集合となるように記憶領域が設定されているので、判別手段による判別処理を簡素にでき、判別精度を向上できる。
(第2実施形態)
上述した実施形態では、第2監視情報は、第1監視手段に用いられるROM13、RAM14と同じ記憶装置に記憶されている。これに対し、第2監視情報を、ROM13、RAM14とは別に設けられた記憶装置に記憶させることを特徴としてもよい。
ここで、上記特徴に反して、ROM13、RAM14に第2監視情報も記憶させると、ROM13、RAM14に異常が発生した場合、車両制御手段または第1監視手段が正常に作動できないことに加え、判別手段(第2監視手段)も正常に作動できない蓋然性が高くなる。すると、第2監視手段にて第2制限を適切に設定することの確実性が低下する。
これに対し、上記特徴によれば、ROM13、RAM14とは別に設けられた記憶装置に第2監視情報を記憶させるので、ROM13、RAM14の異常に対する信頼性を多重化でき、フェールセーフ制御の信頼性をより一層向上できる。
(他の実施形態)
本発明は上記実施形態の記載内容に限定されず、以下のように変更して実施してもよい。また、各実施形態の特徴的構成をそれぞれ任意に組み合わせるようにしてもよい。
・上記CPU11、12、ROM13およびRAM14は、1つの集積回路チップに統合されており、1チップマイコン10MCに設けられている。これに対し、CPU11、12、ROM13およびRAM14の各々を別々の集積回路チップで構成してもよい。
10MC…マイコン(車両制御手段)、11、12…CPU(中央演算処理装置)、13…ROM(記憶装置)、14…RAM(記憶装置)、15b…ROMメモリチェック装置(異常領域検査装置)、15c…RAMメモリチェック装置(異常領域検査装置)、M10、M11、M20…第1領域、M12、M21…第2領域、S10…第1監視手段、S20…第2監視手段、S23…判別手段、S25…フェールセーフ制御手段、S30、S40、S50…モニタ手段。

Claims (5)

  1. 記憶装置(13、14)に記憶された制御情報にしたがって、車両の運転状態を制御する車両制御手段(10MC)と、
    前記記憶装置に記憶された第1監視情報にしたがって、前記車両制御手段による制御が正常に実行されていることを監視し、その監視により異常が検知された場合には前記車両制御手段が実行する制御の内容に第1制限をかける第1監視手段(S10)と、
    前記記憶装置の異常状態に応じて、前記車両制御手段が実行する制御の内容に第2制限をかける第2監視手段(S20、S30、S40、S50、S60)と、
    を備え、
    前記第2監視手段は、
    前記記憶装置のうち前記制御情報が記憶された第1領域(M10、M11、M20)、および前記第1監視情報が記憶された第2領域(M12、M21)のいずれで異常が生じているかを判別する判別手段(S23)と、
    前記判別手段による判別結果に応じて前記第2制限の内容を異ならせるフェールセーフ制御手段(S25)と、
    を有することを特徴とする車両用制御装置。
  2. 前記判別手段が正常に判別を実行しているか否かを監視するモニタ手段(S30、S40、S50)を備えることを特徴とする請求項1に記載の車両用制御装置。
  3. 前記第2監視手段は、前記制御情報または前記第1監視情報にしたがって演算処理する装置とは別に設けられた装置であって、前記記憶装置の異常発生領域を検査する異常領域検査装置(15b、15c)を有し、
    前記判別手段は、前記異常領域検査装置の検査結果に応じて前記判別を実行することを特徴とする請求項1または2に記載の車両用制御装置。
  4. 前記記憶装置の記憶領域は、前記第1領域および前記第2領域が連続したアドレスの集合となるように設定されていることを特徴とする請求項1〜3のいずれか1つに記載の車両用制御装置。
  5. 前記判別手段は、第2監視情報にしたがって中央演算処理装置(11、12)が前記判別の演算を実行するものであり、
    前記第2監視情報は、前記記憶装置とは別に設けられた記憶装置に記憶されていることを特徴とする請求項1〜4のいずれか1つに記載の車両用制御装置。
JP2012230972A 2012-10-18 2012-10-18 車両用制御装置 Active JP5842783B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2012230972A JP5842783B2 (ja) 2012-10-18 2012-10-18 車両用制御装置
DE102013221098.1A DE102013221098B4 (de) 2012-10-18 2013-10-17 Fahrzeugsteuereinheit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012230972A JP5842783B2 (ja) 2012-10-18 2012-10-18 車両用制御装置

Publications (2)

Publication Number Publication Date
JP2014080951A true JP2014080951A (ja) 2014-05-08
JP5842783B2 JP5842783B2 (ja) 2016-01-13

Family

ID=50437234

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012230972A Active JP5842783B2 (ja) 2012-10-18 2012-10-18 車両用制御装置

Country Status (2)

Country Link
JP (1) JP5842783B2 (ja)
DE (1) DE102013221098B4 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017222328A (ja) * 2016-06-17 2017-12-21 株式会社デンソー 車両制御装置
JP2018087499A (ja) * 2016-11-28 2018-06-07 ボッシュ株式会社 電子制御装置
WO2019026545A1 (ja) * 2017-08-01 2019-02-07 株式会社デンソー トルク監視装置および内燃機関制御システム
WO2019044216A1 (ja) * 2017-08-30 2019-03-07 株式会社デンソー 内燃機関制御システム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11294252A (ja) * 1998-04-13 1999-10-26 Denso Corp 電子制御装置
JP2007207092A (ja) * 2006-02-03 2007-08-16 Denso Corp 電子制御装置
JP2008088885A (ja) * 2006-10-02 2008-04-17 Denso Corp 内燃機関の制御装置
JP2010102686A (ja) * 2008-09-29 2010-05-06 Denso Corp 電子制御装置及びマイクロコンピュータ

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19609242A1 (de) 1996-03-09 1997-09-11 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung einer Antriebseinheit eines Fahrzeugs
US8180517B2 (en) 2010-02-02 2012-05-15 GM Global Technology Operations LLC Diagnostic system and method for processing continuous and intermittent faults

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11294252A (ja) * 1998-04-13 1999-10-26 Denso Corp 電子制御装置
JP2007207092A (ja) * 2006-02-03 2007-08-16 Denso Corp 電子制御装置
JP2008088885A (ja) * 2006-10-02 2008-04-17 Denso Corp 内燃機関の制御装置
JP2010102686A (ja) * 2008-09-29 2010-05-06 Denso Corp 電子制御装置及びマイクロコンピュータ

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017222328A (ja) * 2016-06-17 2017-12-21 株式会社デンソー 車両制御装置
JP2018087499A (ja) * 2016-11-28 2018-06-07 ボッシュ株式会社 電子制御装置
WO2019026545A1 (ja) * 2017-08-01 2019-02-07 株式会社デンソー トルク監視装置および内燃機関制御システム
JP2019027394A (ja) * 2017-08-01 2019-02-21 株式会社デンソー トルク監視装置および内燃機関制御システム
US11313306B2 (en) 2017-08-01 2022-04-26 Denso Corporation Torque monitoring device
WO2019044216A1 (ja) * 2017-08-30 2019-03-07 株式会社デンソー 内燃機関制御システム
JP2019044625A (ja) * 2017-08-30 2019-03-22 株式会社デンソー 内燃機関制御システム
US11028793B2 (en) 2017-08-30 2021-06-08 Denso Corporation Internal combustion engine control system

Also Published As

Publication number Publication date
DE102013221098A1 (de) 2014-04-24
DE102013221098B4 (de) 2018-12-13
JP5842783B2 (ja) 2016-01-13

Similar Documents

Publication Publication Date Title
JP4924905B2 (ja) 車両の制御装置
JP5867495B2 (ja) 電子制御装置
US7877637B2 (en) Multicore abnormality monitoring device
US7092848B2 (en) Control system health test system and method
JP5967059B2 (ja) 車両用電子制御装置
JP5842783B2 (ja) 車両用制御装置
JP4753085B2 (ja) 内燃機関の制御装置
WO2017078093A1 (ja) 電子制御装置及び電子制御方法
US7248932B2 (en) Electronic control unit
US7130768B2 (en) Method and device for fault diagnosis in control systems in an internal combustion engine in a motor vehicle
JP2011032903A (ja) 車両の制御装置
JP2009062998A (ja) 車両制御システム
JP6075262B2 (ja) 制御装置
JP2016170567A (ja) 自動車用電子制御装置
JP6663371B2 (ja) 電子制御装置
JP2002091834A (ja) Rom診断装置
JP2019168835A (ja) 電子制御装置
JP2016126692A (ja) 電子制御装置
JP2010101249A (ja) 内燃機関のアイドルストップ制御装置
JP2009215944A (ja) 電子制御装置及びその運転方法
JP7024582B2 (ja) 車載制御装置
JP2006264540A (ja) 異常検出装置、異常情報出力装置、異常情報出力方法、車両制御装置および車両制御方法
JP5713432B2 (ja) 駆動ユニットの制御装置及び制御方法
JP2020035503A (ja) 自動車用電子制御装置
WO2023233611A1 (ja) 電子制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141023

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150414

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150416

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150526

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151020

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151102

R151 Written notification of patent or utility model registration

Ref document number: 5842783

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250