JP2017228159A - 制御装置、および制御装置の制御方法 - Google Patents

制御装置、および制御装置の制御方法 Download PDF

Info

Publication number
JP2017228159A
JP2017228159A JP2016124882A JP2016124882A JP2017228159A JP 2017228159 A JP2017228159 A JP 2017228159A JP 2016124882 A JP2016124882 A JP 2016124882A JP 2016124882 A JP2016124882 A JP 2016124882A JP 2017228159 A JP2017228159 A JP 2017228159A
Authority
JP
Japan
Prior art keywords
main control
unit
control unit
load
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016124882A
Other languages
English (en)
Other versions
JP6942444B2 (ja
Inventor
崇 及川
Takashi Oikawa
崇 及川
辰則 高木
Tatsunori Takagi
辰則 高木
敦之 小林
Atsushi Kobayashi
敦之 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honda Motor Co Ltd
Shindengen Electric Manufacturing Co Ltd
Original Assignee
Honda Motor Co Ltd
Shindengen Electric Manufacturing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honda Motor Co Ltd, Shindengen Electric Manufacturing Co Ltd filed Critical Honda Motor Co Ltd
Priority to JP2016124882A priority Critical patent/JP6942444B2/ja
Publication of JP2017228159A publication Critical patent/JP2017228159A/ja
Application granted granted Critical
Publication of JP6942444B2 publication Critical patent/JP6942444B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

【課題】製造コストの増加を抑制しつつ、主制御部の異常状態において、フォールトトレラントとなるように負荷を制御する。【解決手段】制御装置100は、主制御部10が生成して出力するクロック信号に基づいて主制御部の動作状態を監視し、クロック信号が予め設定された周期で出力されない場合には、主制御部の動作に異常が発生したことを示す異常検出信号ADを出力する第1のウオッチドックタイマー部WT1と、第1のウオッチドックタイマー部から異常検出信号が出力されていない通常状態では、主制御部から出力される主制御信号MSを駆動回路DCへ伝送し、一方、第1のウオッチドックタイマー部から異常検出信号が出力された異常状態では、主制御部から出力される主制御信号を駆動回路へ伝送しないように遮断する伝送遮断部TBと、異常検出信号に応じて、第1の負荷を冗長制御信号RSにより制御する冗長処理部RPと、を備える。【選択図】図1

Description

本発明は、制御装置、および制御装置の制御方法に関する発明である。
従来の制御装置には、負荷を制御するCPUと、このCPUが出力するクロック信号を監視するウオッチドックタイマー回路と、このウオッチドックタイマー部が出力するリセット信号を監視するワンショットタイマー回路と、を備えるものが知られている(例えば、特許文献1参照)。当該制御装置のCPUが何等かの異常で暴走してウオッチドックタイマー回路がリセット信号を出力すると、ワンショットタイマー回路が該リセット信号に基づいて信号を出力する。そして、このワンショットタイマー回路が出力する信号に応じてCPUの出力を禁止して、当該制御装置の誤動作を防ぐようになっている。
このような従来技術として、例えば、制御装置100A(図2)では、電源回路Sが出力する電力でCPUである主制御部10が起動し、この主制御部10のクロック信号をウオッチドックタイマー回路WTが監視する。そして、ワンショットタイマー回路TCは、ウオッチドックタイマー回路WTのリセット信号を監視し、該リセット信号に応じて所定の信号を出力する。そして、出力禁止論理回路RCは、ワンショットタイマー回路TCが該リセット信号に応じて出力した信号に基づいて、主制御部10の信号の出力を禁止する。この場合、この制御装置100Aでは、主制御部10に異常が発生した異常状態では、駆動回路DCを介した負荷Lの制御を完全に停止してしまうこととなる。
このため、制御装置100Aを適用するアプリケーションによっては、フォールトトレラントとならず、負荷Lに対する異常状態の対応として問題がある可能性がある。
また、制御装置100Aに別の主制御部(図示せず)を追加して2重の主制御部構成とすることで、異常状態ではない主制御部で継続して負荷Lの制御を引継ぐことができるが、制御装置100Aの製造コストが増加する問題がある。
昭和64−61830号公報
そこで、本発明は、上記問題に鑑みてなされたものであり、追加の主制御部を設けないことで製造コストの増加を抑制しつつ、主制御部の異常状態において、フォールトトレラントとなるように負荷を制御することが可能な制御装置を提供することを目的とする。
本発明の一態様に係る実施例に従った制御装置は、
第1の負荷への電源供給又は前記第1の負荷の動作の少なくとも何れか一方を、主制御信号により制御する主制御部と、
前記主制御部が出力する前記主制御信号に基づいて、前記第1の負荷を駆動する駆動回路と、
前記主制御部が生成して出力するクロック信号に基づいて前記主制御部の動作状態を監視し、前記クロック信号が予め設定された周期で出力されない場合には、前記主制御部の動作に異常が発生したことを示す異常検出信号を出力する第1のウオッチドックタイマー部と、
前記第1のウオッチドックタイマー部から前記異常検出信号が出力されていない通常状態では、前記主制御部から出力される前記主制御信号を前記駆動回路へ伝送し、一方、前記第1のウオッチドックタイマー部から前記異常検出信号が出力された異常状態では、前記主制御部から出力される前記主制御信号を前記駆動回路へ伝送しないように遮断する伝送遮断部と、
前記異常検出信号に応じて、前記第1の負荷を冗長制御信号により制御する冗長処理部と、を備える
ことを特徴とする。
前記制御装置において、
前記冗長処理部は、
前記異常検出信号に応じて、前記第1の負荷を、前記主制御部が前記通常状態において前記第1の負荷に対して実行する制御内容とは異なる冗長制御内容で、前記冗長制御信号により制御する
ことを特徴とする。
前記制御装置において、
前記冗長処理部は、
前記異常検出信号に応じて、前記第1の負荷の動作が停止するように前記冗長制御信号により制御する
ことを特徴とする。
前記制御装置において、
前記冗長処理部は、
前記異常検出信号に応じて、前記第1の負荷を、前記主制御部が前記通常状態で前記第1の負荷に対して実行する制御内容よりも少ない制御内容で、前記冗長制御信号により制御する
ことを特徴とする。
前記制御装置において、
前記伝送遮断部は、
前記主制御部から出力される前記主制御信号を前記駆動回路へ伝送しないように遮断した場合には、前記主制御信号を遮断したことを示す遮断情報信号を、前記主制御部に出力する
ことを特徴とする。
前記制御装置において、
前記主制御部の動作状態を監視し、前記クロック信号が予め設定された周期で出力されない場合には、前記主制御部に異常が発生したとして、前記主制御部の動作をリセットさせるリセット信号を出力する第2のウオッチドックタイマー部をさらに備える
ことを特徴とする。
前記制御装置において、
前記主制御部は、
前記リセット信号によりその動作がリセットされて前記異常状態から前記通常状態に復帰した場合には、前記伝送遮断部が前記主制御部から出力される前記主制御信号を前記駆動回路へ伝送するように前記伝送遮断部の設定を戻すとともに、前記冗長処理部に前記冗長制御信号の出力を停止させる
ことを特徴とする。
前記制御装置において、
前記主制御部は、
前記遮断情報信号に応じて、前記主制御部自体の動作を停止することを特徴とする。
前記制御装置において、
前記伝送遮断部は、
前記主制御部から出力される前記主制御信号が前記駆動回路に論理的に伝送しないように遮断する
ことを特徴とする。
前記制御装置において、
前記伝送遮断部は、
前記主制御部から出力される前記主制御信号の前記駆動回路への伝送路を回路的に遮断することを特徴とする。
前記制御装置において、
前記冗長処理部および前記伝送遮断部に、前記冗長処理部および前記伝送遮断部が駆動するための電力を供給する冗長電源と、
前記主制御部に、前記主制御部が駆動するための電力を供給する電源回路と、を備え、
前記電源回路が故障した場合には、前記冗長電源から前記主制御部に、前記主制御部が駆動するための電力を供給し、
一方、前記冗長電源が故障した場合には、前記電源回路から前記冗長処理部および前記伝送遮断部に、前記冗長処理部および前記伝送遮断部が駆動するための電力を供給する
ことを特徴とする。
前記制御装置において、
前記第1の負荷とは異なる第2の負荷の動作を制御するとともに、前記主制御部と通信するECUをさらに備え、
前記ECUは、
前記主制御部との通信により前記主制御部に異常が発生したことを検出した場合には、前記第1の負荷の動作に関連する前記第2の負荷の動作を停止させる
ことを特徴とする。
前記制御装置において、
前記第1の負荷は、モーター、ソレノイド、ランプ、又は、リレーの少なくともの何れか1つ以上であることを特徴とする。
前記制御装置において、
前記制御装置は、二輪車に積載され、前記第1の負荷は、前記二輪車に積載された車載機器である
ことを特徴とする。
前記制御装置において、
前記第1及び第2のウオッチドックタイマー部は、前記主制御部が出力する前記クロック信号を監視し、前記主制御部の動作状態に異常が発生した場合には、前記第1のウオッチドックタイマー部により前記主制御部の前記主制御信号の出力を制御する
ことを特徴とする。
前記制御装置において、
前記伝送遮断部は、
スリーステートバッファ機能を有したロジックIC、又は、バイラテラルスイッチのいずれかである
ことを特徴とする。
本発明の一態様に係る実施例に従った制御装置の制御方法は、
第1の負荷への電源供給又は前記第1の負荷の動作の少なくとも何れか一方を、主制御信号により制御する主制御部と、前記主制御部が出力する前記主制御信号に基づいて、前記第1の負荷を駆動する駆動回路と、前記主制御部が生成して出力するクロック信号に基づいて前記主制御部の動作状態を監視し、前記クロック信号が予め設定された周期で出力されない場合には、前記主制御部の動作に異常が発生したことを示す異常検出信号を出力する第1のウオッチドックタイマー部と、前記第1のウオッチドックタイマー部から前記異常検出信号が出力されていない通常状態では、前記主制御部から出力される前記主制御信号を前記駆動回路へ伝送し、一方、前記第1のウオッチドックタイマー部から前記異常検出信号が出力された異常状態では、前記主制御部から出力される前記主制御信号を前記駆動回路へ伝送しないように遮断する伝送遮断部と、前記異常検出信号に応じて、前記第1の負荷を冗長制御信号により制御する冗長処理部と、を備えた制御装置の制御方法であって、
前記冗長処理部により、前記異常検出信号に応じて、前記第1の負荷を、前記主制御部が前記通常状態において前記第1の負荷に対して実行する制御内容とは異なる冗長制御内容で、前記冗長制御信号により制御する
ことを特徴とする。
本発明の一態様に係る制御装置は、第1の負荷への電源供給又は第1の負荷の動作の少なくとも何れか一方を、主制御信号により制御する主制御部と、主制御部が出力する主制御信号に基づいて、第1の負荷を駆動する駆動回路と、主制御部が生成して出力するクロック信号に基づいて主制御部の動作状態を監視し、クロック信号が予め設定された周期で出力されない場合には、主制御部の動作に異常が発生したことを示す異常検出信号を出力する第1のウオッチドックタイマー部と、第1のウオッチドックタイマー部から異常検出信号が出力されていない通常状態では、主制御部から出力される主制御信号を駆動回路へ伝送し、一方、第1のウオッチドックタイマー部から異常検出信号が出力された異常状態では、主制御部から出力される主制御信号を駆動回路へ伝送しないように遮断する伝送遮断部と、異常検出信号に応じて、第1の負荷を冗長制御信号により制御する冗長処理部と、を備える。
このように、当該制御装置において、主制御部の動作に異常が発生した場合には、伝送遮断部は主制御部から出力される主制御信号を駆動回路へ伝送しないように遮断するとともに、冗長処理部は第1の負荷を冗長制御信号により制御する。
これにより、本発明に係る制御装置は、追加の主制御部を設けないことで製造コストの増加を抑制しつつ、主制御部の異常状態において、フォールトトレラントとなるように負荷を制御することができる。
図1は、第1の実施形態に係る制御装置100の構成の一例を示す図である。 図2は、従来の制御装置100Aの構成の一例を示す図である。
以下、本発明に係る実施形態について図面に基づいて説明する。
第1の実施形態
図1は、第1の実施形態に係る制御装置100の構成の一例を示す図である。
第1の実施形態に係る制御装置100(図1)は、例えば、第1の負荷L1を主制御信号により制御するための主制御部(CPU)10と、冗長電源供給ブロックRBを介して主制御部10に接続され、主制御信号MSに基づいて、第1の負荷L1を駆動する駆動回路DCと、主制御部10に接続され、主制御部10が生成して出力するクロック信号CLKに基づいて主制御部10の動作状態を監視する第1のウオッチドックタイマー部(ウオッチドックタイマー回路)WT1と、主制御部10に接続され、主制御部10の動作状態を監視し、主制御部10の動作をリセットさせるリセット信号を出力する第2のウオッチドックタイマー部(ウオッチドックタイマー回路)WT2と、を備える。
さらに、この制御装置100は、主制御部10と駆動回路DCとの間に接続され、第1のウオッチドックタイマー部WT1が出力する異常検出信号ADに基づいて主制御部10から出力される主制御信号MSを遮断する伝送遮断部(伝送遮断回路)TBと、駆動回路DCに接続され、第1のウオッチドックタイマー部WT1が出力する異常検出信号ADに応じて、第1の負荷L1を冗長制御信号RSにより駆動回路DCを介して制御する冗長処理部RPと、を備える。
さらに、この制御装置100は、主制御部10及び第2のウオッチドックタイマー部TW2に電力する供給する電源回路S1と、冗長電源供給ブロックRBに電力を供給する冗長電源S2と、第2の負荷L2を制御するためのECU20と、を備える。
なお、第1のウオッチドックタイマー部WT1、伝送遮断部TB、及び、冗長処理部RPは、冗長電源供給ブロックRBを構成する(図1)。
このような構成を有する制御装置100は、例えば、二輪車等の車両に積載される。そして、制御装置100は、例えば、当該二輪車に積載された第1の負荷L1および第2の負荷L2を制御(駆動)するようになっている。
ここで、上記第1の負荷L1は、モーター(例えば、燃料噴射用のポンプを含む)、ソレノイド、ランプ、又は、リレー等の少なくともの何れか1つ以上の負荷である。特に、第1の負荷L1は、当該二輪車に積載される場合、例えば、当該二輪車の、ECU(Engine Control Unit)、メータのコントローラ、又は、燃料ポンプ等の車載機器である。
また、第1の負荷L1とは異なる第2の負荷L2は、例えば、当該二輪車に積載されたエンジンを制御するための回路や装置等である。なお、後述のように、この第2の負荷L2の動作には、例えば、第1の負荷L1の動作に関連するものが含まれる。
また、電源回路S1は、主制御部10および第2のウオッチドックタイマー部WT2に、主制御部10および第2のウオッチドックタイマー部WT2が駆動するための電力(電源電圧VDD)を供給するようになっている。
また、冗長電源S2は、第1のウオッチドックタイマー部WT1、冗長処理部RPおよび伝送遮断部TBに、第1のウオッチドックタイマー部WT1、冗長処理部RPおよび伝送遮断部TBが駆動するための電力を供給するようになっている。
これらの電源回路S1と冗長電源S2とは、別々に設けられており、個別に所定の電力を供給するようになっている。
なお、電源回路S1が故障した場合には、冗長電源S2から主制御部10および第2のウオッチドックタイマー部WT2に、主制御部10および第2のウオッチドックタイマー部WT2が駆動するための電力を供給するようにしてもよい。
一方、冗長電源S2が故障した場合には、電源回路S1から第1のウオッチドックタイマー部WT1、冗長処理部RPおよび伝送遮断部TBに、第1のウオッチドックタイマー部WT1、冗長処理部RPおよび伝送遮断部TBが駆動するための電力を供給するようにしてもよい。
また、主制御部10は、例えば、第1の負荷L1への電源供給又は第1の負荷L1の動作の少なくとも何れか一方を、主制御信号MSにより制御するようになっている。なお、この主制御部(CPU)10は、既述の二輪車の構成の動作を制御するために必要な処理を実行するようにしてもよい。
ここで、この主制御部10は、異常状態の検出のために、周期的に発振するクロック信号CLKを出力するようになっている。例えば、主制御部10が正常に動作する通常状態では、このクロック信号CLKが予め設定された周期(所定期間)で主制御部10から出力される。一方、主制御部10に異常が発生した異常状態では、このクロック信号CLKが予め設定された周期(所定期間)で主制御部10から出力されない。
また、ECU20は、第1の負荷L1とは異なる第2の負荷L2の動作を制御するとともに、主制御部10と通信するようになっている。
このECU20は、主制御部10との通信により主制御部10に異常が発生したことを検出した場合には、例えば、第1の負荷L1の動作に関連する第2の負荷L2の動作を停止させるようになっている。
また、駆動回路DCは、主制御部10が出力する主制御信号MS、又は、冗長処理部RPが出力する冗長制御信号RSに応じて、第1の負荷L1を駆動(第1の負荷L1に対する電力供給を含む)するようになっている。換言すれば、主制御部10は、主制御信号MSにより、駆動回路DCを介して、第1の負荷L1を制御し、一方、冗長処理部RPは、冗長制御信号RSにより、駆動回路DCを介して、第1の負荷L1を制御するものである。
また、第1のウオッチドックタイマー部WT1は、主制御部10が生成して出力するクロック信号CLKに基づいて主制御部10の動作状態を監視するようになっている。そして、この第1のウオッチドックタイマー部WT1は、主制御部10からクロック信号CLKが予め設定された周期(所定期間)で出力されない場合には、主制御部10の動作に異常が発生したことを示す異常検出信号ADを出力するようになっている。
なお、既述のように、この第1のウオッチドックタイマー部WT1は、冗長電源S2から供給される電力により駆動するようになっている。
また、伝送遮断部TBは、第1のウオッチドックタイマー部WT1から異常検出信号ADが出力されていない通常状態では、主制御部10から出力される主制御信号MSを駆動回路DCへ伝送するようになっている。
一方、伝送遮断部TBは、第1のウオッチドックタイマー部WT1から異常検出信号ADが出力された異常状態では、主制御部10から出力される主制御信号MSを駆動回路DCへ伝送しないように遮断するようになっている。
なお、この伝送遮断部TBは、例えば、スリーステートバッファ機能を有したロジックIC、又は、バイラテラルスイッチ(アナログスイッチ)のいずれかである。
そして、例えば、伝送遮断部TBは、主制御部10から出力される主制御信号MSの駆動回路DCへの伝送路を回路的に遮断するように(例えば、主制御部10の出力を絶縁する等)してもよい。
すなわち、伝送遮断部TBは、図示しないスイッチ素子等により、主制御部10から出力される主制御信号MSを回路的に遮断するようにしてもよい。
また、伝送遮断部TBは、主制御部10から出力される主制御信号MSが駆動回路DCに論理的に伝送しないように遮断するように(例えば、主制御部10の出力を固定値にする等)してもよい。
すなわち、伝送遮断部TBは、図示しないロジックIC等により、主制御部10から出力される主制御信号MSを論理的に遮断するようにしてもよい。
ここで、この伝送遮断部TBは、主制御部10から出力される主制御信号MSを駆動回路DCへ伝送しないように遮断した場合には、主制御信号MSを遮断したことを示す遮断情報信号BSを、主制御部10に出力するようにしてもよい。
これにより、主制御部10は、上記遮断情報信号BSに基づいて、主制御信号MSが遮断されている状態であるか否かを判断することができる。
この場合、主制御部10は、上記遮断情報信号BSに応じて、主制御部10自体の動作を停止するようにしてもよい。
これにより、主制御部10に異常が発生して主制御信号MSが遮断されている場合に、この異常が発生した主制御部10の動作を停止することができる。
なお、既述のように、この伝送遮断部TBは、冗長電源S2から供給される電力により駆動するようになっている。
また、冗長処理部RPは、第1のウオッチドックタイマー部WT1が出力した異常検出信号ADに応じて、第1の負荷L1を冗長制御信号RSにより(駆動回路DCを介して)制御するようになっている。すなわち、冗長処理部RPは、主制御部10の異常状態において、フォールトトレラントとなるように第1の負荷L1を制御する。
より詳しくは、この冗長処理部RPは、異常検出信号ADに応じて、第1の負荷L1を、主制御部10が既述の通常状態において第1の負荷L1に対して実行する制御内容とは異なる冗長制御内容で、冗長制御信号RSにより(駆動回路DCを介して)制御するようになっている。なお、冗長制御内容には、例えば、第1の負荷Lを継続して駆動させるための制御や、第1の負荷Lを安全に停止させるための制御等が含まれる。
これにより、主制御部10の動作に異常が発生した場合に、既述の通常状態における制御内容とは異なる冗長制御内容で、冗長制御信号RSにより第1の負荷L1を制御することができる。
また、冗長処理部RPは、異常検出信号ADに応じて、第1の負荷L1を、主制御部10が通常状態で第1の負荷L1に対して実行する制御内容よりも少ない制御内容で、冗長制御信号RSにより制御するようにしてもよい。
これにより、主制御部10の動作に異常が発生した場合に、第1の負荷L1に対して最小限の処理を継続させるようにすることができる。
また、既述のように、冗長処理部RPは、異常検出信号ADに応じて、第1の負荷L1の動作が停止するように冗長制御信号RSにより制御するようにしてもよい。
これにより、主制御部10の動作に異常が発生した場合に、第1の負荷L1を停止させることができる。
なお、既述のように、この冗長処理部RPは、冗長電源S2から供給される電力により駆動するようになっている。
また、第2のウオッチドックタイマー部WT2は、主制御部10が生成して出力するクロック信号CLKに基づいて主制御部10の動作状態を監視するようになっている。そして、この第2のウオッチドックタイマー部WT2は、クロック信号CLKが予め設定された周期で出力されない場合には、主制御部10に異常が発生したとして、主制御部10の動作をリセットさせるリセット信号RESETを出力するようになっている。
なお、既述のように、この第2のウオッチドックタイマー部WT2は、電源回路S1から供給される電力により駆動するようになっている。
ここで、主制御部10は、リセット信号RESETによりその動作がリセットされて異常状態から通常状態に復帰した場合には、伝送遮断部TBが主制御部10から出力される主制御信号MSを駆動回路DCへ伝送するように伝送遮断部TBの設定を戻すようになっている。
さらに、主制御部10は、リセット信号RESETによりその動作がリセットされて異常状態から通常状態に復帰した場合には、冗長処理部RPに冗長制御信号RSの出力を停止させるようになっている。
これにより、主制御部10が異常状態から通常状態に復帰した場合に、主制御部10が、主制御信号MSにより、駆動回路DCを介して、第1の負荷L1を再度制御するようにできる。
なお、第1及び第2のウオッチドックタイマー部WT1、WT2は、主制御部10が出力するクロック信号CLKを監視し、主制御部10の動作状態に異常が発生した場合(例えば、主制御部10からクロック信号CLKが予め設定された周期(所定期間)で出力されない場合)には、第1のウオッチドックタイマー部WT1により主制御部10の主制御信号MSの出力を制御するようにしてもよい。
以上のような構成を有する制御装置100は、適用されるアプリケーションによりフォールトトレラントとなる制御が異なる点に対しても、冗長処理部RPの構成を見直せば対応できる。
そして、冗長処理部RPを構成するハードウエアによりある程度の制御を保持できるなど、主制御部10を使用した複雑な制御を要しない場合は、動的な制御もシステム停止まで維持することができる。
また、主制御部10の故障率に応じて、冗長電源を供給している冗長電源供給ブロックRB(冗長処理部RP、伝送遮断部、第1のウオッチドックタイマー部WT1)を設計することにより、主制御部10の異常状態において、確実にフォールトトレラントとなるように負荷を制御することができる。
ここで、以上のような構成を有する、第1の実施形態に係る制御装置100の動作の一例について説明する。
既述のように、主制御部10は、第1の負荷L1への電源供給又は第1の負荷L1の動作の少なくとも何れか一方を、主制御信号MSにより制御する。
例えば、主制御部10が正常に動作する通常状態では、このクロック信号CLKが予め設定された周期(所定期間)で主制御部10から出力される。
そして、第1のウオッチドックタイマー部WT1は、主制御部10からクロック信号CLKが予め設定された周期(所定期間)で出力されているので、主制御部10の動作に異常が発生したことを示す異常検出信号ADを出力しない。
そして、伝送遮断部TBは、第1のウオッチドックタイマー部WT1から異常検出信号ADが出力されていないので、主制御部10から出力される主制御信号MSを駆動回路DCへ伝送する。
これにより、主制御部10が出力した主制御信号MSにより、駆動回路DCを介して、第1の負荷L1が制御されることとなる。
一方、主制御部10に異常が発生した異常状態では、このクロック信号CLKが予め設定された周期(所定期間)で主制御部10から出力されない。
そして、第1のウオッチドックタイマー部WT1は、主制御部10からクロック信号CLKが予め設定された周期(所定期間)で出力されないので、主制御部10の動作に異常が発生したことを示す異常検出信号ADを出力する。
そして、伝送遮断部TBは、第1のウオッチドックタイマー部WT1から異常検出信号ADが出力された異常状態であるので、主制御部10から出力される主制御信号MSを駆動回路DCへ伝送しないように遮断する。
さらに、冗長処理部RPは、第1のウオッチドックタイマー部WT1が出力した異常検出信号ADに応じて、第1の負荷L1を冗長制御信号RSにより(駆動回路DCを介して)制御する。
これにより、冗長処理部RPが出力した冗長制御信号RSにより、駆動回路DCを介して、第1の負荷L1が制御されることとなる。すなわち、冗長処理部RPは、主制御部10の異常状態において、フォールトトレラントとなるように第1の負荷L1を制御する。
より詳しくは、この冗長処理部RPは、異常検出信号ADに応じて、第1の負荷L1を、主制御部10が既述の通常状態において第1の負荷L1に対して実行する制御内容とは異なる冗長制御内容で、冗長制御信号RSにより(駆動回路DCを介して)制御する。
これにより、主制御部10の動作に異常が発生した場合に、既述の通常状態における制御内容とは異なる冗長制御内容で、冗長制御信号RSにより第1の負荷L1を制御することができる。
また、既述のように、冗長処理部RPは、異常検出信号ADに応じて、第1の負荷L1の動作が停止するように冗長制御信号RSにより制御するようにしてもよい。
これにより、主制御部10の動作に異常が発生した場合に、第1の負荷L1を停止させることができる。
また、既述のように、冗長処理部RPは、異常検出信号ADに応じて、第1の負荷L1を、主制御部10が通常状態で第1の負荷L1に対して実行する制御内容よりも少ない制御内容で、冗長制御信号RSにより制御するようにしてもよい。
これにより、主制御部10の動作に異常が発生した場合に、第1の負荷L1に対して最小限の処理を継続させるようにすることができる。
ここで、伝送遮断部TBは、主制御部10から出力される主制御信号MSを駆動回路DCへ伝送しないように遮断した場合には、主制御信号MSを遮断したことを示す遮断情報信号BSを、主制御部10に出力する。
そして、主制御部10は、上記遮断情報信号BSに応じて、主制御部10自体の動作を停止するようにしてもよい。
これにより、主制御部10に異常が発生して主制御信号MSが遮断されている場合に、この異常が発生した主制御部10の動作を停止することができる。
また、ECU20は、主制御部10との通信により主制御部10に異常が発生したことを検出すると、第1の負荷L1の動作に関連する第2の負荷L2の動作を停止させる。
なお、既述のように、第2のウオッチドックタイマー部WT2は、クロック信号CLKが予め設定された周期で出力されないことにより、主制御部10に異常が発生したとして、主制御部10の動作をリセットさせるリセット信号RESETを出力する。これにより、主制御部10は、リセット信号RESETによりその動作がリセットされることとなる。
そして、主制御部10は、リセット信号RESETによりその動作がリセットされて異常状態から通常状態に復帰した場合には、伝送遮断部TBが主制御部10から出力される主制御信号MSを駆動回路DCへ伝送するように伝送遮断部TBの設定を戻す。
さらに、主制御部10は、リセット信号RESETによりその動作がリセットされて異常状態から通常状態に復帰した場合には、冗長処理部RPに冗長制御信号RSの出力を停止させる。
これにより、主制御部10が異常状態から通常状態に復帰した場合に、主制御部10が、主制御信号MSにより、駆動回路DCを介して、第1の負荷L1を再度制御するようにできる。
以上のように、本発明の一態様に係る制御装置は、第1の負荷L1への電源供給又は第1の負荷L1の動作の少なくとも何れか一方を、主制御信号MSにより制御する主制御部10と、主制御部10が出力する主制御信号MSに基づいて、第1の負荷L1を駆動する駆動回路DCと、主制御部10が生成して出力するクロック信号に基づいて主制御部10の動作状態を監視し、クロック信号が予め設定された周期で出力されない場合には、主制御部10の動作に異常が発生したことを示す異常検出信号ADを出力する第1のウオッチドックタイマー部WT1と、第1のウオッチドックタイマー部WT1から異常検出信号ADが出力されていない通常状態では、主制御部10から出力される主制御信号MSを駆動回路DCへ伝送し、一方、第1のウオッチドックタイマー部WT1から異常検出信号ADが出力された異常状態では、主制御部10から出力される主制御信号MSを駆動回路DCへ伝送しないように遮断する伝送遮断部TBと、異常検出信号ADに応じて、第1の負荷L1を冗長制御信号RSにより制御する冗長処理部RPと、を備える。
このように、当該制御装置において、主制御部10の動作に異常が発生した場合には、伝送遮断部TBは主制御部10から出力される主制御信号MSを駆動回路DCへ伝送しないように遮断するとともに、冗長処理部RPは第1の負荷L1を冗長制御信号RSにより制御する。
これにより、本発明に係る制御装置は、追加の主制御部10を設けないことで製造コストの増加を抑制しつつ、主制御部10の異常状態において、フォールトトレラントとなるように負荷を制御することができる。
特に、既述のように、制御装置100は、適用されるアプリケーションによりフォールトトレラントとなる制御が異なる点に対しても、冗長処理部RPの構成を見直せば対応できる。
そして、冗長処理部RPを構成するハードウエアによりある程度の制御を保持できるなど、主制御部10を使用した複雑な制御を要しない場合は、動的な制御もシステム停止まで維持することができる。
また、既述のように、主制御部10の故障率に応じて、冗長電源を供給している冗長電源供給ブロックRB(冗長処理部RP、伝送遮断部、第1のウオッチドックタイマー部WT1)を設計することにより、主制御部10の異常状態において、確実にフォールトトレラントとなるように負荷を制御することができる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
100 制御装置
10 主制御部
DC 駆動回路
WT1 第1のウオッチドックタイマー部
WT2 第2のウオッチドックタイマー部
TB 伝送遮断部
RP 冗長処理部
S1 電源回路
S2 冗長電源
20 ECU
RB 冗長電源供給ブロック
L1 第1の負荷
L2 第2の負荷

Claims (17)

  1. 第1の負荷への電源供給又は前記第1の負荷の動作の少なくとも何れか一方を、主制御信号により制御する主制御部と、
    前記主制御部が出力する前記主制御信号に基づいて、前記第1の負荷を駆動する駆動回路と、
    前記主制御部が生成して出力するクロック信号に基づいて前記主制御部の動作状態を監視し、前記クロック信号が予め設定された周期で出力されない場合には、前記主制御部の動作に異常が発生したことを示す異常検出信号を出力する第1のウオッチドックタイマー部と、
    前記第1のウオッチドックタイマー部から前記異常検出信号が出力されていない通常状態では、前記主制御部から出力される前記主制御信号を前記駆動回路へ伝送し、一方、前記第1のウオッチドックタイマー部から前記異常検出信号が出力された異常状態では、前記主制御部から出力される前記主制御信号を前記駆動回路へ伝送しないように遮断する伝送遮断部と、
    前記異常検出信号に応じて、前記第1の負荷を冗長制御信号により制御する冗長処理部と、を備える
    ことを特徴とする制御装置。
  2. 前記冗長処理部は、
    前記異常検出信号に応じて、前記第1の負荷を、前記主制御部が前記通常状態において前記第1の負荷に対して実行する制御内容とは異なる冗長制御内容で、前記冗長制御信号により制御する
    ことを特徴とする請求項1に記載の制御装置。
  3. 前記冗長処理部は、
    前記異常検出信号に応じて、前記第1の負荷の動作が停止するように前記冗長制御信号により制御する
    ことを特徴とする請求項2に記載の制御装置。
  4. 前記冗長処理部は、
    前記異常検出信号に応じて、前記第1の負荷を、前記主制御部が前記通常状態で前記第1の負荷に対して実行する制御内容よりも少ない制御内容で、前記冗長制御信号により制御する
    ことを特徴とする請求項2に記載の制御装置。
  5. 前記伝送遮断部は、
    前記主制御部から出力される前記主制御信号を前記駆動回路へ伝送しないように遮断した場合には、前記主制御信号を遮断したことを示す遮断情報信号を、前記主制御部に出力する
    ことを特徴とする請求項2に記載の制御装置。
  6. 前記主制御部の動作状態を監視し、前記クロック信号が予め設定された周期で出力されない場合には、前記主制御部に異常が発生したとして、前記主制御部の動作をリセットさせるリセット信号を出力する第2のウオッチドックタイマー部をさらに備える
    ことを特徴とする請求項5に記載の制御装置。
  7. 前記主制御部は、
    前記リセット信号によりその動作がリセットされて前記異常状態から前記通常状態に復帰した場合には、前記伝送遮断部が前記主制御部から出力される前記主制御信号を前記駆動回路へ伝送するように前記伝送遮断部の設定を戻すとともに、前記冗長処理部に前記冗長制御信号の出力を停止させる
    ことを特徴とする請求項6に記載の制御装置。
  8. 前記主制御部は、
    前記遮断情報信号に応じて、前記主制御部自体の動作を停止することを特徴とする請求項1に記載の制御装置。
  9. 前記伝送遮断部は、
    前記主制御部から出力される前記主制御信号が前記駆動回路に論理的に伝送しないように遮断する
    ことを特徴とする請求項1に記載の制御装置。
  10. 前記伝送遮断部は、
    前記主制御部から出力される前記主制御信号の前記駆動回路への伝送路を回路的に遮断することを特徴とする請求項1に記載の制御装置。
  11. 前記冗長処理部および前記伝送遮断部に、前記冗長処理部および前記伝送遮断部が駆動するための電力を供給する冗長電源と、
    前記主制御部に、前記主制御部が駆動するための電力を供給する電源回路と、を備え、
    前記電源回路が故障した場合には、前記冗長電源から前記主制御部に、前記主制御部が駆動するための電力を供給し、
    一方、前記冗長電源が故障した場合には、前記電源回路から前記冗長処理部および前記伝送遮断部に、前記冗長処理部および前記伝送遮断部が駆動するための電力を供給する
    ことを特徴とする請求項1に記載の制御装置。
  12. 前記第1の負荷とは異なる第2の負荷の動作を制御するとともに、前記主制御部と通信するECUをさらに備え、
    前記ECUは、
    前記主制御部との通信により前記主制御部に異常が発生したことを検出した場合には、前記第1の負荷の動作に関連する前記第2の負荷の動作を停止させる
    ことを特徴とする請求項1に記載の制御装置。
  13. 前記第1の負荷は、モーター、ソレノイド、ランプ、又は、リレーの少なくともの何れか1つ以上であることを特徴とする請求項1に記載の制御装置。
  14. 前記制御装置は、二輪車に積載され、前記第1の負荷は、前記二輪車に積載された車載機器である
    ことを特徴とする請求項12に記載の制御装置。
  15. 前記第1及び第2のウオッチドックタイマー部は、前記主制御部が出力する前記クロック信号を監視し、前記主制御部の動作状態に異常が発生した場合には、前記第1のウオッチドックタイマー部により前記主制御部の前記主制御信号の出力を制御する
    ことを特徴とする請求項6に記載の制御装置。
  16. 前記伝送遮断部は、
    スリーステートバッファ機能を有したロジックIC、又は、バイラテラルスイッチのいずれかである
    ことを特徴とする請求項1に記載の制御装置。
  17. 第1の負荷への電源供給又は前記第1の負荷の動作の少なくとも何れか一方を、主制御信号により制御する主制御部と、前記主制御部が出力する前記主制御信号に基づいて、前記第1の負荷を駆動する駆動回路と、前記主制御部が生成して出力するクロック信号に基づいて前記主制御部の動作状態を監視し、前記クロック信号が予め設定された周期で出力されない場合には、前記主制御部の動作に異常が発生したことを示す異常検出信号を出力する第1のウオッチドックタイマー部と、前記第1のウオッチドックタイマー部から前記異常検出信号が出力されていない通常状態では、前記主制御部から出力される前記主制御信号を前記駆動回路へ伝送し、一方、前記第1のウオッチドックタイマー部から前記異常検出信号が出力された異常状態では、前記主制御部から出力される前記主制御信号を前記駆動回路へ伝送しないように遮断する伝送遮断部と、前記異常検出信号に応じて、前記第1の負荷を冗長制御信号により制御する冗長処理部と、を備えた制御装置の制御方法であって、
    前記冗長処理部により、前記異常検出信号に応じて、前記第1の負荷を、前記主制御部が前記通常状態において前記第1の負荷に対して実行する制御内容とは異なる冗長制御内容で、前記冗長制御信号により制御する
    ことを特徴とする制御装置の制御方法。
JP2016124882A 2016-06-23 2016-06-23 制御装置、および制御装置の制御方法 Active JP6942444B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016124882A JP6942444B2 (ja) 2016-06-23 2016-06-23 制御装置、および制御装置の制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016124882A JP6942444B2 (ja) 2016-06-23 2016-06-23 制御装置、および制御装置の制御方法

Publications (2)

Publication Number Publication Date
JP2017228159A true JP2017228159A (ja) 2017-12-28
JP6942444B2 JP6942444B2 (ja) 2021-09-29

Family

ID=60891884

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016124882A Active JP6942444B2 (ja) 2016-06-23 2016-06-23 制御装置、および制御装置の制御方法

Country Status (1)

Country Link
JP (1) JP6942444B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110989468A (zh) * 2019-12-26 2020-04-10 东风电子科技股份有限公司 冗余控制系统及相应的汽车电子微控制系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5829327A (ja) * 1981-08-14 1983-02-21 松下電工株式会社 電源装置
JPS6461830A (en) * 1987-08-31 1989-03-08 Aisin Seiki Protecting device for automobile microcomputer
JPH0544484A (ja) * 1991-08-08 1993-02-23 Isuzu Motors Ltd 回転電機付ターボチヤージヤの安全装置
JP2004222404A (ja) * 2003-01-14 2004-08-05 Auto Network Gijutsu Kenkyusho:Kk 車両の給電回路
JP2009061987A (ja) * 2007-09-07 2009-03-26 Hitachi Ltd 車両用電子制御装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5829327A (ja) * 1981-08-14 1983-02-21 松下電工株式会社 電源装置
JPS6461830A (en) * 1987-08-31 1989-03-08 Aisin Seiki Protecting device for automobile microcomputer
US4951210A (en) * 1987-08-31 1990-08-21 Aisin Seiki Kabushiki Kaisha Protective apparatus of vehicle microcomputer
JPH0544484A (ja) * 1991-08-08 1993-02-23 Isuzu Motors Ltd 回転電機付ターボチヤージヤの安全装置
JP2004222404A (ja) * 2003-01-14 2004-08-05 Auto Network Gijutsu Kenkyusho:Kk 車両の給電回路
JP2009061987A (ja) * 2007-09-07 2009-03-26 Hitachi Ltd 車両用電子制御装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110989468A (zh) * 2019-12-26 2020-04-10 东风电子科技股份有限公司 冗余控制系统及相应的汽车电子微控制系统

Also Published As

Publication number Publication date
JP6942444B2 (ja) 2021-09-29

Similar Documents

Publication Publication Date Title
JP5752266B2 (ja) 電源電圧監視機能を有する電子制御装置及びそれを備えた車両ステアリング制御装置
JP5885005B2 (ja) 電磁ブレーキ制御装置
WO2015194407A1 (ja) 車載制御装置または車載制御システム
WO2016170840A1 (ja) 駆動制御装置
WO2018155423A1 (ja) モータ制御装置およびモータ制御システム
US8340793B2 (en) Architecture using integrated backup control and protection hardware
US10592356B2 (en) Microcontroller and electronic control unit
US9367375B2 (en) Direct connect algorithm
JP6222362B2 (ja) 電力変換装置
JP2006036187A (ja) 自動車用制御装置およびそれの異常監視方法
JP2019128638A (ja) 二重化制御システム
US7952314B2 (en) Electronic control device of an electrical drive system with redundant disconnection device
JP7014140B2 (ja) 電磁ブレーキ制御装置及び制御装置
JP6416718B2 (ja) フェールセーフ回路
JP6942444B2 (ja) 制御装置、および制御装置の制御方法
US9665447B2 (en) Fault-tolerant failsafe computer system using COTS components
KR101764680B1 (ko) 이중화 제어 시스템
JP2002116921A (ja) 中央演算装置の補助装置
JP2018131030A (ja) 電子制御装置
WO2014188764A1 (ja) 機能安全制御装置
JP2008017406A (ja) リレー駆動制御装置
JP2010233290A (ja) バッテリー駆動装置
US11760203B2 (en) On-vehicle control device
WO2023157365A1 (ja) 機能安全装置
JP2017220842A (ja) 二重化切替システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190530

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200416

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200708

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200811

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201006

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20201006

C11 Written invitation by the commissioner to file amendments

Free format text: JAPANESE INTERMEDIATE CODE: C11

Effective date: 20201020

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20201201

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20201208

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20210129

C211 Notice of termination of reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C211

Effective date: 20210202

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20210216

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20210406

C23 Notice of termination of proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C23

Effective date: 20210706

C03 Trial/appeal decision taken

Free format text: JAPANESE INTERMEDIATE CODE: C03

Effective date: 20210810

C30A Notification sent

Free format text: JAPANESE INTERMEDIATE CODE: C3012

Effective date: 20210810

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210908

R150 Certificate of patent or registration of utility model

Ref document number: 6942444

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150