JP2015182622A - 転舵制御装置 - Google Patents
転舵制御装置 Download PDFInfo
- Publication number
- JP2015182622A JP2015182622A JP2014061272A JP2014061272A JP2015182622A JP 2015182622 A JP2015182622 A JP 2015182622A JP 2014061272 A JP2014061272 A JP 2014061272A JP 2014061272 A JP2014061272 A JP 2014061272A JP 2015182622 A JP2015182622 A JP 2015182622A
- Authority
- JP
- Japan
- Prior art keywords
- microprocessor
- sub
- main
- monitoring unit
- external monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Steering-Linkage Mechanisms And Four-Wheel Steering (AREA)
- Steering Control In Accordance With Driving Conditions (AREA)
- Power Steering Mechanism (AREA)
Abstract
【課題】 二重化されたマイクロプロセッサの相互監視、外部監視機能の異常を監視する機能において、マイクロプロセッサの単独異常、及び外部監視部とマイクロプロセッサの重複異常を確実に、かつ少ない部品構成で検出する。【解決手段】 転舵用のモータの駆動量を出力する主マイクロプロセッサ16と、その異常の監視のために前記駆動量を演算する副マイクロプロセッサ18とで二重化し、かつ相互監視部27,28を有する転舵制御装置15に適用する。主副のマイクロプロセッサ16,18の異常をそれぞれを監視する主外部監視部17および副外部監視部19を備える。これら主副の外部監視部17,19は、いずれも、異常を検出すると前記主副の両マイクロプロセッサ16,18に信号を送信する。【選択図】 図3
Description
この発明は、自動車の後輪転舵装置または主転舵装置を制御する転舵制御装置に関し、その制御に使用されるマイクロプロセッサと、このマイクロプロセッサを外部から監視する外部監視回路の故障診断の技術に関する。
従来から、車両の安定走行性能を図る目的で、前輪転舵に加え、後輪を転舵させる後輪転舵装置が知られている。後輪転舵装置の制御装置は、車両の状態を監視するための各種センサ群の出力から的確な転舵角の目標値を決定し、転舵アクチュエータを駆動している。このように車両に搭載されるアクチュエータの駆動源は、多くはモータが使用されている。この制御装置は、マイクロプロセッサを搭載し、制御プログラムを実行している。
特に車両の走行性能を左右するアクチュエータを制御する電子制御装置は、後輪転舵装置に限らず、万一機能失陥した際に、走行性能が維持できないことによる重大事故を起こしかねないため、アクチュエータの制御を実施する主マイクロプロセッサと、主マイクロプロセッサを常時監視する副マイクロプロセッサによる二重化回路を構成するのが一般的である。
特に車両の走行性能を左右するアクチュエータを制御する電子制御装置は、後輪転舵装置に限らず、万一機能失陥した際に、走行性能が維持できないことによる重大事故を起こしかねないため、アクチュエータの制御を実施する主マイクロプロセッサと、主マイクロプロセッサを常時監視する副マイクロプロセッサによる二重化回路を構成するのが一般的である。
この二重化されたマイクロプロセッサを用いた制御回路は、マイクロプロセッサの相互監視機能によるプログラムの異常動作のほか、各々のマイクロプロセッサ自体の故障を検出する監視機能が装備される。この監視機能としては、いわゆるウォッチドッグタイマが知られている。ウォッチドッグタイマは、マイクロプロセッサから定周期で送信されるパルスを読み取ることで、マイクロプロセッサを監視し、このパルスが所定の時間以上送信されなかった場合、マイクロプロセッサに対してリセット信号を送信する機能を有する。
ところで、このマイクロプロセッサを監視する監視機能が異常な状態においては、リセットがかけられないために、異常から復旧できないという問題が発生する。監視機能の異常な状態は潜在的な故障であり、マイクロプロセッサとの重複故障によって、重大な事故につながる可能性がある。従って、監視機能の異常な状態を監視することも重要である。
特許文献1では、電動パワーステアリング装置の制御装置において、操舵補助を担うCPU が正常である限り操舵補助の継続を可能とするために、メインCPU とサブCPU で構成され、サブCPUの状態を監視している電源監視IC(いわゆるウォッチドッグタイマ)からのリセット信号に応じて、アシストの延命や禁止処理を実行する装置が提案されている。
特許文献2では、マイクロプロセッサのウォッチドッグタイマを複数持ち、マイクロプロセッサの外部監視機能を停止することなく、マイクロセッサの動作中にウォッチドッグタイマの診断を行うことで、外部監視機能の喪失を防止している。
特許文献1の開示技術では、電源監視ICからのリセット信号によって、安全状態へ遷移することができるが、この電源監視ICが失陥した際の対策がなされていない。よって、万一CPUと電源監視ICが共に故障した場合、安全状態への遷移が不可能になる。
特許文献2の開示技術では、ウォッチドッグタイマの潜在故障を常時監視することができ、この点で望ましい。しかし一方で、ウォッチドッグタイマを一つのCPUに対し複数設置する必要がある点、さらに外部監視機能の切り替え手段が不可欠な点より、経済的に不利という点がある。また、万一外部監視切り換え手段に故障が発生した場合は、ウォッチドッグタイマの診断と、その切替え自体が実施できない、という問題がある。
特許文献2の開示技術では、ウォッチドッグタイマの潜在故障を常時監視することができ、この点で望ましい。しかし一方で、ウォッチドッグタイマを一つのCPUに対し複数設置する必要がある点、さらに外部監視機能の切り替え手段が不可欠な点より、経済的に不利という点がある。また、万一外部監視切り換え手段に故障が発生した場合は、ウォッチドッグタイマの診断と、その切替え自体が実施できない、という問題がある。
この発明は、上記課題を解消するものであり、二重化されたマイクロプロセッサの相互監視、及びマイクロプロセッサの外部監視機能の異常を監視する機能において、マイクロプロセッサの異常診断と、マイクロプロセッサが異常な状態にある際における外部監視部の異常診断とを実施し、マイクロプロセッサの単独異常、及び外部監視部とマイクロプロセッサの重複異常を確実に、かつ少ない部品構成で検出することを目的とする。
この発明の転舵制御装置は、自動車の車輪の転舵角をモータ31で変更する転舵装置12を制御する転舵制御装置であって、与えられた目標転舵角に従って前記モータ31を制御する駆動量の指令を演算し出力する主マイクロプロセッサ16と、前記主マイクロプロセッサ16の異常を監視するために前記目標転舵角に従って前記モータ31を制御する駆動量を演算する副マイクロプロセッサ18とを備え、前記主マイクロプロセッサ16と前記副マイクロプロセッサ18とに、相互の異常状態を監視する相互監視部25,26を有する転舵制御装置15において、
前記主マイクロプロセッサ16の異常な状態を監視する主外部監視部17と、前記副マイクロプロセッサ18の異常な状態を監視する副外部監視部19を備え、これら主外部監視部17および副外部監視部19は、いずれも、異常を検出すると前記主マイクロプロセッサ16と前記副マイクロプロセッサ18との両方に信号を送信することを特徴とする。
前記主マイクロプロセッサ16の異常な状態を監視する主外部監視部17と、前記副マイクロプロセッサ18の異常な状態を監視する副外部監視部19を備え、これら主外部監視部17および副外部監視部19は、いずれも、異常を検出すると前記主マイクロプロセッサ16と前記副マイクロプロセッサ18との両方に信号を送信することを特徴とする。
この構成によると、前記主マイクロプロセッサ16の異常な状態を監視する主外部監視部17と、前記副マイクロプロセッサ18の異常な状態を監視する副外部監視部19を備え、これら主外部監視部17および副外部監視部19は、いずれも、異常を検出すると前記主マイクロプロセッサ16と前記副マイクロプロセッサ18との両方に信号を送信する。
そのため、二重化された主マイクロプロセッサ16、及び副マイクロプロセッサ18のいずれかの異常発生時に、異常発生したマイクロプロセッサ16,18の状態を監視する異常監視機能の潜在的な故障を検出することが可能である。また、少ない部品構成で、二重化されたマイクロプロセッサ16,18とその外部監視機能の異常を相互で診断することができる。
また、主マイクロプロセッサ16の異常が発生した際、主マイクロプロセッサ16から出力されるモータ31の制御信号を無効化させ、副マイクロプロセッサ18から出力される副制御信号に切替えて、安全な状態に至るまでの当面の制御を継続させることが可能となる。
そのため、二重化された主マイクロプロセッサ16、及び副マイクロプロセッサ18のいずれかの異常発生時に、異常発生したマイクロプロセッサ16,18の状態を監視する異常監視機能の潜在的な故障を検出することが可能である。また、少ない部品構成で、二重化されたマイクロプロセッサ16,18とその外部監視機能の異常を相互で診断することができる。
また、主マイクロプロセッサ16の異常が発生した際、主マイクロプロセッサ16から出力されるモータ31の制御信号を無効化させ、副マイクロプロセッサ18から出力される副制御信号に切替えて、安全な状態に至るまでの当面の制御を継続させることが可能となる。
この発明において、前記主マイクロプロセッサ16は、前記副マイクロプロセッサ18の前記副外部監視部19の異常を検出するために、前記副外部監視部19から出力されるリセット信号が接続され、同様に、前記副マイクロプロセッサ18は、前記主外部監視部19の異常を検出するために、前記主外部監視部17から出力されるリセット信号が接続され、前記主マイクロプロセッサ16と前記副マイクロプロセッサ18のうち一方の異常検出と、前記主外部監視部17と、前記副外部監視部19のうち一方の異常検出を行う異常検出処理手段61を有するようにしても良い。
この発明において、前記主外部監視部17と、前記副外部監視部19が、前記各リセット信号の出力によって前記主マイクロプロセッサ16と前記副マイクロプロセッサ18をリセットする機能をそれぞれ備え、
前記少なくとも主副の二つのマイクロプロセッサ16,18の相互の異常状態を監視するための前記相互監視部25,26の通信による監視周期を、前記主外部監視部17、及び前記副外部監視部19による監視周期より短く設定し、前記異常検出処理手段61は、前記主外部監視部17、及び前記副外部監視部19が前記主マイクロプロセッサ16と前記副マイクロプロセッサ18の異常を検出しリセット動作を実施する前に、前記監視周期によって、前記各マイクロプロセッサ16,18の異常を検出するようにしても良い。
これにより、監視周期を適切に設定するという簡単な構成で、各マイクロプロセッサ16,18の異常を検出することができる。
前記少なくとも主副の二つのマイクロプロセッサ16,18の相互の異常状態を監視するための前記相互監視部25,26の通信による監視周期を、前記主外部監視部17、及び前記副外部監視部19による監視周期より短く設定し、前記異常検出処理手段61は、前記主外部監視部17、及び前記副外部監視部19が前記主マイクロプロセッサ16と前記副マイクロプロセッサ18の異常を検出しリセット動作を実施する前に、前記監視周期によって、前記各マイクロプロセッサ16,18の異常を検出するようにしても良い。
これにより、監視周期を適切に設定するという簡単な構成で、各マイクロプロセッサ16,18の異常を検出することができる。
この発明において、前記主外部監視部17と、前記副外部監視部19から出力される前記リセット信号を前記主副相互のマイクロプロセッサ16,18で監視し、前記異常検出処理手段61は、前記少なくとも二つのマイクロプロセッサ16,18の相互の異常状態を監視するための前記相互監視部25,26間の通信による監視周期毎に、前記リセット信号が所定時間内に監視対象のマイクロプロセッサ16,18の挙動に応じた状態遷移を実施したか否かを他方のマイクロプロセッサ16,18で監視することで、前記各外部監視部17、19の異常を検出するようにしても良い。
これにより、リセット信号による状態遷移を監視するという簡単な構成で、各外部監視部17、19の異常を検出することができる。
これにより、リセット信号による状態遷移を監視するという簡単な構成で、各外部監視部17、19の異常を検出することができる。
この発明において、前記主マイクロプロセッサ16には前記モータ31を制御するための主制御出力部29を備え、前記副マイクロプロセッサ18には、前記主制御出力29と同等の制御信号を出力する副制御出力部30を備え、前記主マイクロプロセッサ16と前記主外部監視部17の少なくとも一方が失陥した場合に、副制御出力によって前記モータ31の制御の続行を可能としても良い。
これにより、制御をつかさどる主マイクロプロセッサ16、または外部監視機能が異常な状態にあるとき、当面の異常な挙動を回避するために、副マイクロプロセッサ18によって制御を継続することができる。すなわち、フォールトトレランス機能が得られる。
これにより、制御をつかさどる主マイクロプロセッサ16、または外部監視機能が異常な状態にあるとき、当面の異常な挙動を回避するために、副マイクロプロセッサ18によって制御を継続することができる。すなわち、フォールトトレランス機能が得られる。
前記のように副制御出力部30を備える場合に、前記主マイクロプロセッサ16と前記主外部監視部17の少なくとも一方が失陥した場合に、前記副制御出力によって前記モータ31の制御を続行するために制御出力を切替える出力選択手段66を有するようにしても良い。
前記のように副制御出力部30を備える場合に、前記主マイクロプロセッサ16と前記主外部監視部17の少なくとも一方が失陥した場合に、前記副マイクロプロセッサ18が前記モータ31を制御するための主制御出力を無効化させる出力無効化手段67を有するようにしても良い。
この発明において、制御対象となる転舵装置12は、ハンドル4の操作に従って前輪2,3の転舵を行わせる前輪転舵装置5と併用される後輪転舵装置であっても良い。また、制御対象となる転舵装置12は、前記前輪転舵装置5であっても良い。制御対象が後輪転舵装置である場合に、この発明の各効果がより効果的に発揮される。
この発明の転舵制御装置は、自動車の車輪の転舵角をモータで変更する転舵装置を制御する転舵制御装置であって、与えられた目標転舵角に従って前記モータを制御する駆動量の指令を演算し出力する主マイクロプロセッサと、前記主マイクロプロセッサの異常を監視するために前記目標転舵角に従って前記モータを制御する駆動量を演算する副マイクロプロセッサとを備え、前記主マイクロプロセッサと前記副マイクロプロセッサとに、相互の異常状態を監視する相互監視部を有する転舵制御装置において、前記主マイクロプロセッサの異常な状態を監視する主外部監視部と、前記副マイクロプロセッサの異常な状態を監視する副外部監視部を備え、これら主外部監視部および副外部監視部は、いずれも、異常を検出すると前記主マイクロプロセッサと前記副マイクロプロセッサとの両方に信号を送信するため、二重化されたマイクロプロセッサの異常診断と、マイクロプロセッサが異常な状態にある際における外部監視部の異常診断とを実施し、マイクロプロセッサの単独異常、及び外部監視部とマイクロプロセッサの重複異常を確実に、かつ少ない部品構成で検出することができる。
この発明の第1の実施形態を図1ないし図7と共に説明する。図1に、後輪転舵装置を搭載した自動車の概略構成図を示す。
自動車1の前輪2,3は、ステアリングホイール4の操舵角をラックアンドピニオンからなる主転舵装置である前輪転舵装置5に伝達することで左右に転舵される。ステアリングホイール4の操舵軸に設けた舵角センサ6、車速センサ7、ヨーレートセンサ8の出力は、自動車1の全体の協調制御,統括制御等の制御を行うメインの電子制御ユニット9に入力される。この電子制御ユニット9は、ECUまたはVCUと称される制御手段である。
自動車1の前輪2,3は、ステアリングホイール4の操舵角をラックアンドピニオンからなる主転舵装置である前輪転舵装置5に伝達することで左右に転舵される。ステアリングホイール4の操舵軸に設けた舵角センサ6、車速センサ7、ヨーレートセンサ8の出力は、自動車1の全体の協調制御,統括制御等の制御を行うメインの電子制御ユニット9に入力される。この電子制御ユニット9は、ECUまたはVCUと称される制御手段である。
後輪10、11は、後輪転舵装置12と連結されたタイロッド13、14を介して転舵される。後輪10、11の転舵角は、舵角センサ6、車速センサ7、ヨーレートセンサ8など、自動車1の走行情報が入力される電子制御ユニット9で決定された目標転舵角を、後輪転舵制御装置15が受信して、制御される。この後輪転舵制御装置15に、この実施形態の転舵制御装置が適用される。
後輪転舵装置12は、前輪転舵角に対して後輪を同位相、逆位相に転舵する駆動手段を配置する。たとえばこの駆動手段は滑りねじまたはボールねじ等の送りねじ機構(図示せず)を有し、この送りねじ機構のねじ軸に螺合するナットを、減速機(図示せず)を介してモータ31で回転させる。
図2に後輪転舵制御装置15の構成図を示す。後輪転舵制御装置15は、主マイクロプロセッサ16、この主マイクロプロセッサ16を監視する主外部監視部17、副マイクロプロセッサ18、この副マイクロプロセッサ18を監視する副外部監視部19、入力インターフェース部20、出力インターフェース部21、及びモータドライブ回路部22で構成される。
電子制御ユニット9で決定された後輪転舵角の目標値は、入力インターフェース部20を介して主マイクロプロセッサ16と副マイクロプロセッサ18に送信される。
主マイクロプロセッサ16と副マイクロプロセッサ18は、制御目標値である目標転舵角を受け、モータ31の駆動量(この実施例の場合、目標転舵角だけ転舵させるモータ回転角度)を演算する駆動量演算部23、24と、演算された駆動量を基に互いのマイクロプロセッサ16,18の異常を診断するための相互監視部25、26を備えている。相互監視部25、26は、駆動量演算部23、24で演算された駆動量を比較するための比較部27、28を備えている。
主マイクロプロセッサ16と副マイクロプロセッサ18は、制御目標値である目標転舵角を受け、モータ31の駆動量(この実施例の場合、目標転舵角だけ転舵させるモータ回転角度)を演算する駆動量演算部23、24と、演算された駆動量を基に互いのマイクロプロセッサ16,18の異常を診断するための相互監視部25、26を備えている。相互監視部25、26は、駆動量演算部23、24で演算された駆動量を比較するための比較部27、28を備えている。
主マイクロプロセッサ16及び副マイクロプロセッサ18は、この他に、主異常検出処理手段62及び副異常検出処理手段63を備え、これら主異常検出処理手段62及び副異常検出処理手段63により、請求項で言う異常検出処理手段61が構成されている。主異常検出処理手段62及び副異常検出処理手段63は、それぞれ、主マイクロプロセッサ16及び副マイクロプロセッサ18において、相互監視部25、26以外の、主マイクロプロセッサ16及び副マイクロプロセッサ18で行う異常検出のための各処理、および異常検出の結果による対応処理を行う手段を纏めて示した手段である。以下の説明において、各マイクロプロセッサ16、18が行う異常検出の処理、及び異常検出の結果による対応処理のうち、どの手段が行うかを記載していない処理は、異常検出処理手段61が行う。
異常検出処理手段61は、前記主マイクロプロセッサ16と前記副マイクロプロセッサ18のうち一方の異常検出と、前記主外部監視部17と、前記副外部監視部19のうち一方の異常検出を行うが、詳しくは、タイムチャート等と共に後に説明する機能を備える。
異常検出処理手段61は、前記主マイクロプロセッサ16と前記副マイクロプロセッサ18のうち一方の異常検出と、前記主外部監視部17と、前記副外部監視部19のうち一方の異常検出を行うが、詳しくは、タイムチャート等と共に後に説明する機能を備える。
主マイクロプロセッサ16は、主制御出力部29を備え、駆動量演算部23で演算された駆動力を、モータ31の制御を実行するための主制御出力として出力インターフェース部21へ送信する。
副マイクロプロセッサ18は、主に、主マイクロプロセッサ16の異常を監視すると同時に、副制御出力部30を備え、モータ31の制御を実行するための主制御出力と同等の副制御出力を出力インターフェース部21へ送信する。前記副制御出力は、前記駆動量演算部24で演算された駆動量である。
副マイクロプロセッサ18は、主に、主マイクロプロセッサ16の異常を監視すると同時に、副制御出力部30を備え、モータ31の制御を実行するための主制御出力と同等の副制御出力を出力インターフェース部21へ送信する。前記副制御出力は、前記駆動量演算部24で演算された駆動量である。
モータ31は、位置検出器32、回転角検出器33からのフィードバック信号を基に、回転制御、位置制御等によって、制御される。
図3に、主マイクロプロセッサ16、主外部監視部17、副マイクロプロセッサ18、および副外部監視部19に関する詳細図を示す。
主外部監視部17,副外部監視部19は、いわゆるウォッチドッグタイマあり、それぞれマイクロプロセッサ16,18から定周期で送信されるパルス信号(WDCLR1,WDCLR2) を読み取ることで、それらマイクロプロセッサ16,18を監視し、このパルスが所定の時間以上送信されなかった場合、マイクロプロセッサ16,18に対してリセット信号(RESET1,RESET2) を送信する。
主外部監視部17,副外部監視部19は、いわゆるウォッチドッグタイマあり、それぞれマイクロプロセッサ16,18から定周期で送信されるパルス信号(WDCLR1,WDCLR2) を読み取ることで、それらマイクロプロセッサ16,18を監視し、このパルスが所定の時間以上送信されなかった場合、マイクロプロセッサ16,18に対してリセット信号(RESET1,RESET2) を送信する。
主外部監視部17のリセット信号(RESET1)は、主マイクロプロセッサ16のリセット端子と、副マイクロプロセッサ18の割り込み入力(INT2)に接続される。これと同様に、副外部監視部19のリセット信号(RESET2)は、副マイクロプロセッサ18のリセット端子と、主マイクロプロセッサ16の割り込み入力(INT1)に接続される。
副マイクロプロセッサ18は、副制御出力のほか、主マイクロプロセッサ16の出力を確実に無効化するための出力無効化信号、及び主制御出力と副制御出力を選択する出力選択信号を出力し、出力切替部34へ送信する。これら出力無効化信号及び出力選択信号は、副異常検出処理手段63に設けられた出力無効化指令部64及び出力選択指令部65が出力する。出力切替部34のうちの切替部34aと前記出力選択指令部65とで、出力選択手段66が構成される。主制御出力と副制御出力は、それぞれのマイクロプロセッサ16,18の異常により、出力がハイインピーダンスになった際には、プルダウン抵抗Rが接続されていることで、Loに保持される。
以上の構成において、主マイクロプロセッサ16と、主外部監視部17の異常を副マイクロプロセッサ17が監視する事例の、具体的な動作をタイムチャートに示し説明する。 図4は、主マイクロプロセッサ異常で、かつ主外部監視機能によって正常にリセットされた場合を示すタイムチャートである。図3とともに説明する。
図4に示す動作は、主マイクロプロセッサ16の異常時の正常復旧動作を示している。主マイクロプロセッサ16のプログラムが正常に動作していない場合、WDCLR1信号が途絶え、主外部監視部17は、予め設定されたタイムアウト時間Twd 後にRESET1を出力する。RESET1信号のパルス幅は、主マイクロプロセッサ16のリセット動作を保証する時間Trstに設定され、Trst後に、主マイクロプロセッサ16が初期化され、制御を続行することが可能となる。
主マイクロプロセッサ16の異常検出は、相互監視機能によって副マイクロプロセッサ18で確認することができる。相互監視機能は、マイクロプロセッサ間の相互監視部25,26による通信機能でそれぞれの比較部27,28の比較結果を比較することによって実行される。
ここで、相互監視の通信周期(相互監視周期)Tを、T<Twdと設定する。この設定によって、主マイクロプロセッサ16の異常は、異常発生から、Twd 時間未満に確実に検出することが可能となる。従って、リセット動作を実行する前に異常を検出し、副マイクロプロセッサ18が主マイクロプロセッサ16の出力を無効化する。この無効化は、例えば主制御出力の経路に介在させたゲート回路67に、前記出力無効化指令部64により出力した効化指令を出力することで行う。これらゲート回路67と出力無効化指令部64とで出力無効化手段68が構成される。相互監視周期T をTwd よりも十分小さく設定することで少しでも出力不確定期間を短くする効果を得る。
副マイクロプロセッサ18は、相互監視機能によって、主マイクロプロセッサ16の異常を検出した後、RESET1のリセット開始トリガ(この実施形態ではLoへの立下り)を待つ。RESET1のリセット開始トリガを検出することで、リセット動作の開始(この実施形態では、Loへの立下りでリセット状態)を確認する。リセット開始トリガは、副マイクロプロセッサ18の割り込み入力として検出されるため、相互監視周期と非同期で検出することができる。
その後、RESET1が復帰(この実施形態ではHiへの立ち上がりで復帰)することを、
主異常検出処理手段62で確認する。RESET1の復帰は、主外部監視部17が正常に機能していれば、相互監視による異常検出後、Twd +Trst時間以降で復帰することが保証されるため、Twd +Trst時間経過後のRESET1の復帰有無を監視すれば、RESET1の正常動作を確認することができる。
主異常検出処理手段62で確認する。RESET1の復帰は、主外部監視部17が正常に機能していれば、相互監視による異常検出後、Twd +Trst時間以降で復帰することが保証されるため、Twd +Trst時間経過後のRESET1の復帰有無を監視すれば、RESET1の正常動作を確認することができる。
RESET1の正常復帰確認の後、その直後の相互監視周期の監視タイミングで、主マイクロプロセッサ16の状態を監視する。
主マイクロプロセッサ16の状態が正常であれば、主異常検出処理手段62により機能を続行させ、リセット動作後も引き続き異常な状態と判断した場合は、副マイクロプロセッサ18から出力される副制御信号へ切り替え、機能を続行する。この副制御信号へ切り替え、および機能の続行は、副異常検出処理手段63により行う。
主マイクロプロセッサ16の状態が正常であれば、主異常検出処理手段62により機能を続行させ、リセット動作後も引き続き異常な状態と判断した場合は、副マイクロプロセッサ18から出力される副制御信号へ切り替え、機能を続行する。この副制御信号へ切り替え、および機能の続行は、副異常検出処理手段63により行う。
なお、主マイクロプロセッサ16の異常発生から復帰まで、または副制御信号への切り替え実施までの間、主制御出力の値は保証されないが、例えば、Twd 時間を数ms、Trst時間を数百μs に設定すれば、相互監視周期T (<Twd )、及び主マイクロプロセッサ16の初期化に関わる時間などを考慮しても車両制御の挙動に大きな影響を与えることはない。
図5は、主マイクロプロセッサ16の異常時に主外部監視機能17に異常が発生した場合(1)のタイムチャート2を示す。
この場合、図4で説明したフローにおいて、Twd+Trst時間経過後にRESET1が復帰(この実施形態ではHiへの立ち上がりで復帰)できない状態を示している。
副マイクロプロセッサ18では、RESET1の復帰不能、つまり、主マイクロプロセッサ16と、主外部監視部17の異常と判定し、副制御信号へ切り替え、機能を続行する。
この場合、図4で説明したフローにおいて、Twd+Trst時間経過後にRESET1が復帰(この実施形態ではHiへの立ち上がりで復帰)できない状態を示している。
副マイクロプロセッサ18では、RESET1の復帰不能、つまり、主マイクロプロセッサ16と、主外部監視部17の異常と判定し、副制御信号へ切り替え、機能を続行する。
図6に、主マイクロプロセッサ16の異常時に主外部監視機能に異常が発生した場合(2)のタイムチャート3を示す。
この場合、主マイクロプロセッサ16の異常発生後、RESET1が実行されない状態を示している。
RESET1からのリセット開始トリガは、主外部監視部17が正常に機能していれば、相互監視による異常検出後、少なくともTwd時間以降でリセット検出トリガの検出が保証されるため、異常検出よりTwd時間経過後にRESET1のリセット開始トリガが検出されなければ、RESET1が異常な状態と認識することができる。
副マイクロプロセッサ18では、RESET1の失陥、つまり、主マイクロプロセッサ16と、主外部監視部17の異常と判定し、副制御信号へ切り替え、機能を続行する。
この場合、主マイクロプロセッサ16の異常発生後、RESET1が実行されない状態を示している。
RESET1からのリセット開始トリガは、主外部監視部17が正常に機能していれば、相互監視による異常検出後、少なくともTwd時間以降でリセット検出トリガの検出が保証されるため、異常検出よりTwd時間経過後にRESET1のリセット開始トリガが検出されなければ、RESET1が異常な状態と認識することができる。
副マイクロプロセッサ18では、RESET1の失陥、つまり、主マイクロプロセッサ16と、主外部監視部17の異常と判定し、副制御信号へ切り替え、機能を続行する。
図7に、主マイクロプロセッサ16が正常で主外部監視機能17に異常が発生した場合のタイムチャート(2)を示す。
この場合、相互監視による異常検出が無きまま、RESET1からのリセット開始トリガを検出する。
副マイクロプロセッサ18では、主マイクロプロセッサ16の異常検出が無い状態でリセットが開始されたと認識し、即座に主外部監視部17の異常と判定する。
この場合、相互監視による異常検出が無きまま、RESET1からのリセット開始トリガを検出する。
副マイクロプロセッサ18では、主マイクロプロセッサ16の異常検出が無い状態でリセットが開始されたと認識し、即座に主外部監視部17の異常と判定する。
以上の説明の通り、主マイクロプロセッサ16、及び主外部監視部17の少なくとも一方が異常となった場合、副マイクロプロセッサ18がその異常を確実に検知し、副マイクロプロセッサ18の副制御出力へ切り替えることが可能となる。
これと同様に、副マイクロプロセッサ18、及び副外部監視部19の異常検知についても、主マイクロプロセッサ16で実施することで、システムの安全性を高めることが可能となる。その実施形態は主マイクロプロセッサ16、及び主外部監視部17の異常検知と同様の実施形態となるため説明は省略する。
これと同様に、副マイクロプロセッサ18、及び副外部監視部19の異常検知についても、主マイクロプロセッサ16で実施することで、システムの安全性を高めることが可能となる。その実施形態は主マイクロプロセッサ16、及び主外部監視部17の異常検知と同様の実施形態となるため説明は省略する。
この実施形態によると、上記のように二重化された、モータ31を制御する転舵制御装置15の主副のマイクロプロセッサ16,18の相互監視、及び各マイクロプロセッサ16,18の外部監視機能の異常を監視する機能において、下記の効果が得られる。
・最低限の部品構成で、二重化されたマイクロプロセッサ16,18とその外部監視部17,19の異常を相互で診断することができる。
・これにより、二重化された主マイクロプロセッサ16、及び副マイクロプロセッサ18のいずれかの異常発生時に、異常発生したマイクロプロセッサ16,18の状態を監視する異常監視機能の潜在的な故障を検出することが可能。
・主マイクロプロセッサ16の異常が発生した際、または外部監視機能が異常な状態にあるとき、当面の異常な挙動を回避するために、主マイクロプロセッサ16から出力されるモータ31の制御信号を無効化させ、副マイクロプロセッサ18から出力される副制御信号に切替えて、安全な状態に至るまでの当面の制御を継続させることが可能(フォールトトレランス機能)。
・最低限の部品構成で、二重化されたマイクロプロセッサ16,18とその外部監視部17,19の異常を相互で診断することができる。
・これにより、二重化された主マイクロプロセッサ16、及び副マイクロプロセッサ18のいずれかの異常発生時に、異常発生したマイクロプロセッサ16,18の状態を監視する異常監視機能の潜在的な故障を検出することが可能。
・主マイクロプロセッサ16の異常が発生した際、または外部監視機能が異常な状態にあるとき、当面の異常な挙動を回避するために、主マイクロプロセッサ16から出力されるモータ31の制御信号を無効化させ、副マイクロプロセッサ18から出力される副制御信号に切替えて、安全な状態に至るまでの当面の制御を継続させることが可能(フォールトトレランス機能)。
図8に、第2の実施形態として、3つのマイクロプロセッサによる実施形態を示す。
第2の実施形態は、制御出力を2系統備え、3つのマイクロプロセッサによって構成する例である。前記2系統の制御出力は、制御対象となる後輪転舵装置等の転舵装置12〈図1〉が、転舵角の調整用のモータ31に加え、トー角調整用のモータ(図示せず)を有していて、転舵角とトー角の両方を調整可能な構成である場合に、転舵用のモータ31、およびトー角調整用のモータにそれぞれ与えられる。
マイクロプロセッサ35、37は、いずれも請求項で言う主マイクロプロセッサであり、マイクロプロセッサ39は請求項で言う副マイクロプロセッサである。
第2の実施形態は、制御出力を2系統備え、3つのマイクロプロセッサによって構成する例である。前記2系統の制御出力は、制御対象となる後輪転舵装置等の転舵装置12〈図1〉が、転舵角の調整用のモータ31に加え、トー角調整用のモータ(図示せず)を有していて、転舵角とトー角の両方を調整可能な構成である場合に、転舵用のモータ31、およびトー角調整用のモータにそれぞれ与えられる。
マイクロプロセッサ35、37は、いずれも請求項で言う主マイクロプロセッサであり、マイクロプロセッサ39は請求項で言う副マイクロプロセッサである。
各マイクロプロセッサ35、37、39は、第1の実施形態と同様に、内部に駆動量演算部41、42、43、相互監視部48,49、50、及び比較部51、52、53を、外部に第一〜第三外部監視部36,38,40を備える。マイクロプロセッサ35は制御出力部1(44)、マイクロプロセッサ37は制御出力部2(45)、そしてマイクロプロセッサ39は制御出力部1(44)、制御出力部2(45)の副制御出力となる副制御出力部1(46)、副制御出力部2(47)を備える。
各マイクロプロセッサ35、37、39は、それぞれ第一ないし第三の異常検出処理手段72、73、74を備える。第一および第二の異常検出処理手段72、73は主異常検出処理手段であり、第三の異常検出処理手段74は副異常検出処理手段である。これら第一ないし第三の異常検出処理手段72、73、74により、請求項で言う異常検出処理手段71が構成される。第一ないし第三の異常検出処理手段72、73、74は、それぞれ、マイクロプロセッサ35,37,39において、相互監視部48,49、50以外の、各マイクロプロセッサ35,37,39で行う異常検出のための各処理、および異常検出の結果による対応を行う手段である。
マイクロプロセッサ35は、マイクロプロセッサ37、39に監視され、マイクロプロセッサ37は、マイクロプロセッサ35、39に監視されることで、いずれかのマイクロプロセッサまたは、外部監視部の異常が発生した場合、出力が無効化され、マイクロプロセッサ39から出力される副制御出力が選択される。
出力無効化信号と出力選択信号はゲート55a、55b、56a、56bで生成されるが、これらはマイクロプロセッサ内のソフトウエアの演算によって生成しても構わない。
以上、実施形態に基づいて本発明を実施するための形態を説明したが、今回開示された実施の形態はすべての点で例示であって制限的なものではない。実施例として車両の後輪転舵装置を引用して説明したが、例えば第1の実施形態では、電動パワーステアリングへの応用も可能である。また、第2の実施形態のように複数の出力を有することで、車両のステアバイワイヤ操舵システムなどへの適用も可能である。
1:自動車
9:電子制御ユニット
10、11:後輪
12:後輪転舵装置
15:転舵制御装置
16:主マイクロプロセッサ
17:主外部監視部
18:副マイクロプロセッサ
19:副外部監視部
23、24:駆動量演算部
25、26:相互監視部
27、28:比較部
29:主制御出力部
30:副制御出力部
31:モータ
61:異常検出処理手段
62:主異常検出処理手段
63:副異常検出処理手段
66:出力選択手段
68:出力無効化手段
9:電子制御ユニット
10、11:後輪
12:後輪転舵装置
15:転舵制御装置
16:主マイクロプロセッサ
17:主外部監視部
18:副マイクロプロセッサ
19:副外部監視部
23、24:駆動量演算部
25、26:相互監視部
27、28:比較部
29:主制御出力部
30:副制御出力部
31:モータ
61:異常検出処理手段
62:主異常検出処理手段
63:副異常検出処理手段
66:出力選択手段
68:出力無効化手段
Claims (8)
- 自動車の車輪の転舵角をモータで変更する転舵装置を制御する転舵制御装置であって、与えられた目標転舵角に従って前記モータを制御する駆動量の指令を演算し出力する主マイクロプロセッサと、前記主マイクロプロセッサの異常を監視するために前記目標転舵角に従って前記モータを制御する駆動量を演算する副マイクロプロセッサとを備え、前記主マイクロプロセッサと前記副マイクロプロセッサとに、相互の異常状態を監視する相互監視部を有する転舵制御装置において、
前記主マイクロプロセッサの異常な状態を監視する主外部監視部と、前記副マイクロプロセッサの異常な状態を監視する副外部監視部を備え、これら主外部監視部および副外部監視部は、いずれも、異常を検出すると前記主マイクロプロセッサと前記副マイクロプロセッサとの両方に信号を送信することを特徴とする転舵制御装置。 - 請求項1に記載の転舵制御装置において、前記主マイクロプロセッサは、前記副マイクロプロセッサの前記副外部監視部の異常を検出するために、前記副外部監視部から出力されるリセット信号が接続され、同様に、前記副マイクロプロセッサは、前記主外部監視部の異常を検出するために、前記主外部監視部から出力されるリセット信号が接続され、前記主マイクロプロセッサと前記副マイクロプロセッサのうち一方の異常検出と、前記主外部監視部と、前記副外部監視部のうち一方の異常検出を行う異常検出処理手段を有する転舵制御装置。
- 請求項2に記載の転舵制御装置において、
前記主外部監視部と、前記副外部監視部が、前記各リセット信号の出力によって前記主マイクロプロセッサと前記副マイクロプロセッサをリセットする機能をそれぞれ備え、
前記少なくとも主副の二つのマイクロプロセッサの相互の異常状態を監視するための前記相互監視部の通信による監視周期を、前記主外部監視部、及び前記副外部監視部による監視周期より短く設定し、前記異常検出処理手段は、前記主外部監視部、及び前記副外部監視部が前記主マイクロプロセッサと前記副マイクロプロセッサの異常を検出しリセット動作を実施する前に、前記監視周期によって、前記各マイクロプロセッサの異常を検出する転舵制御装置。 - 請求項2または請求項3に記載の転舵制御装置において、
前記主外部監視部と、前記副外部監視部から出力される前記リセット信号を前記主副相互のマイクロプロセッサで監視し、前記異常検出処理手段は、前記少なくとも二つのマイクロプロセッサの相互の異常状態を監視するための前記相互監視部間の通信による監視周期毎に、前記リセット信号が所定時間内に監視対象のマイクロプロセッサの挙動に応じた状態遷移を実施したか否かを他方のマイクロプロセッサで監視することで、前記外部監視部の異常を検出する転舵制御装置。 - 請求項1ないし請求項4のいずれか1項に記載の転舵制御装置において、
前記主マイクロプロセッサには前記モータを制御するための主制御出力部を備え、前記副マイクロプロセッサには、前記主制御出力と同等の制御信号を出力する副制御出力部を備え、前記主マイクロプロセッサと前記主外部監視部の少なくとも一方が失陥した場合に、副制御出力によって前記モータの制御の続行を可能とする転舵制御装置。 - 請求項5に記載の転舵制御装置において、
前記主マイクロプロセッサと前記主外部監視部の少なくとも一方が失陥した場合に、前記副制御出力によって前記モータの制御を続行するために制御出力を切替える出力選択手段を有する転舵制御装置。 - 請求項5または請求項6に記載の転舵制御装置において、
前記主マイクロプロセッサと前記主外部監視部の少なくとも一方が失陥した場合に、前記副マイクロプロセッサが前記モータを制御するための主制御出力を無効化させる出力無効化手段を有する転舵制御装置。 - 請求項1ないし請求項7のいずれか1項に記載の転舵制御装置において、前記転舵装置が後輪を転舵させる後輪転舵装置である転舵制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014061272A JP2015182622A (ja) | 2014-03-25 | 2014-03-25 | 転舵制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014061272A JP2015182622A (ja) | 2014-03-25 | 2014-03-25 | 転舵制御装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2015182622A true JP2015182622A (ja) | 2015-10-22 |
Family
ID=54349649
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014061272A Pending JP2015182622A (ja) | 2014-03-25 | 2014-03-25 | 転舵制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2015182622A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20190096053A (ko) * | 2018-02-08 | 2019-08-19 | 주식회사 만도 | 차량의 조향 장치 및 방법 |
| US11010229B2 (en) | 2017-05-29 | 2021-05-18 | Mitsubishi Electric Corporation | Abnormality determination apparatus, abnormality determination method, and computer readable medium |
-
2014
- 2014-03-25 JP JP2014061272A patent/JP2015182622A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11010229B2 (en) | 2017-05-29 | 2021-05-18 | Mitsubishi Electric Corporation | Abnormality determination apparatus, abnormality determination method, and computer readable medium |
| KR20190096053A (ko) * | 2018-02-08 | 2019-08-19 | 주식회사 만도 | 차량의 조향 장치 및 방법 |
| KR102066221B1 (ko) * | 2018-02-08 | 2020-01-14 | 주식회사 만도 | 차량의 조향 장치 및 방법 |
| US11124225B2 (en) | 2018-02-08 | 2021-09-21 | Mando Corporation | Steering apparatus and method for vehicle |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9606537B2 (en) | Fail-safe EE architecture for automated driving | |
| CN111699125B (zh) | 为包括有冗余设计的控制装置的机动车辆的机电转向系统提供转向辅助的方法 | |
| JP3660105B2 (ja) | 車両用制御装置 | |
| JP6350723B2 (ja) | 車載用電子機器の制御装置及び制御方法 | |
| JP4379793B2 (ja) | 車両用電子制御装置 | |
| CN109533007B (zh) | 线控转向系统诊断 | |
| KR20200122247A (ko) | 조타 제어 시스템 | |
| JP5682861B2 (ja) | 電子制御装置、および、これを用いた電動パワーステアリング装置 | |
| JP2015182622A (ja) | 転舵制御装置 | |
| CN108604083B (zh) | 具有集成的反向再生支持件的外部监视器 | |
| JP5076564B2 (ja) | 駆動制御装置およびそれを用いた操舵制御装置 | |
| JP6540227B2 (ja) | 車両用制御装置 | |
| JP2013079003A (ja) | 車両用操舵装置 | |
| JP6378119B2 (ja) | 制御コントローラ、ステアバイワイヤシステムおよび機械 | |
| RU2432297C1 (ru) | Способ отказобезопасного автоматического управления движением корабля | |
| EP3676157B1 (en) | Multichannel ecu architecture for eps | |
| JP6214984B2 (ja) | 後輪転舵装置の制御装置 | |
| JPH06329042A (ja) | 後輪操舵装置 | |
| CN107921994B (zh) | 用于运行伺服转向系统的装置以及伺服转向系统 | |
| JP3906000B2 (ja) | フェールセーフ機構 | |
| JP2011097726A (ja) | 主幹制御装置 | |
| JP2015214212A (ja) | 車両転舵制御装置 | |
| JP2004276834A (ja) | 車両用操舵装置 | |
| JP2003175846A (ja) | 操舵制御装置 | |
| KR20230140934A (ko) | 조향 제어 장치 및 방법 |