JP2018059419A - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP2018059419A
JP2018059419A JP2016195654A JP2016195654A JP2018059419A JP 2018059419 A JP2018059419 A JP 2018059419A JP 2016195654 A JP2016195654 A JP 2016195654A JP 2016195654 A JP2016195654 A JP 2016195654A JP 2018059419 A JP2018059419 A JP 2018059419A
Authority
JP
Japan
Prior art keywords
drive unit
unit
signal
forced
actuator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016195654A
Other languages
English (en)
Inventor
信昭 成田
Nobuaki Narita
信昭 成田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2016195654A priority Critical patent/JP2018059419A/ja
Priority to DE102017217439.0A priority patent/DE102017217439A1/de
Publication of JP2018059419A publication Critical patent/JP2018059419A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L15/00Methods, circuits, or devices for controlling the traction-motor speed of electrically-propelled vehicles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/12Recording operating variables ; Monitoring of operating variables
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D11/00Arrangements for, or adaptations to, non-automatic engine control initiation means, e.g. operator initiated
    • F02D11/06Arrangements for, or adaptations to, non-automatic engine control initiation means, e.g. operator initiated characterised by non-mechanical control linkages, e.g. fluid control linkages or by control linkages with power drive or assistance
    • F02D11/10Arrangements for, or adaptations to, non-automatic engine control initiation means, e.g. operator initiated characterised by non-mechanical control linkages, e.g. fluid control linkages or by control linkages with power drive or assistance of the electric type
    • F02D11/107Safety-related aspects
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D17/00Controlling engines by cutting out individual cylinders; Rendering engines inoperative or idling
    • F02D17/04Controlling engines by cutting out individual cylinders; Rendering engines inoperative or idling rendering engines inoperative or idling, e.g. caused by abnormal conditions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/0002Controlling intake air
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02NSTARTING OF COMBUSTION ENGINES; STARTING AIDS FOR SUCH ENGINES, NOT OTHERWISE PROVIDED FOR
    • F02N11/00Starting of engines by means of electric motors
    • F02N11/08Circuits or control means specially adapted for starting of engines
    • F02N11/087Details of the switching means in starting circuits, e.g. relays or electronic switches
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02NSTARTING OF COMBUSTION ENGINES; STARTING AIDS FOR SUCH ENGINES, NOT OTHERWISE PROVIDED FOR
    • F02N11/00Starting of engines by means of electric motors
    • F02N11/10Safety devices
    • F02N11/101Safety devices for preventing engine starter actuation or engagement
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L2220/00Electrical machine types; Structures or applications thereof
    • B60L2220/10Electrical machine types
    • B60L2220/12Induction machines
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • F02D2041/227Limping Home, i.e. taking specific engine control measures at abnormal conditions
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/60Other road transportation technologies with climate change mitigation effect
    • Y02T10/64Electric machine technologies in electromobility

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • General Engineering & Computer Science (AREA)
  • Transportation (AREA)
  • Power Engineering (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Sustainable Development (AREA)
  • Sustainable Energy (AREA)
  • Control Of Throttle Valves Provided In The Intake System Or In The Exhaust System (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Electrical Control Of Air Or Fuel Supplied To Internal-Combustion Engine (AREA)

Abstract

【課題】保護領域をむやみに増加させることなく、安全保証設計を実現する。
【解決手段】電子制御装置1は、車両に搭載されるものであり、制御部7、強制駆動部8および電スロカット機構15を備える。制御部7は、ハザードの要因となり得るアクチュエータ4、5を制御するものであり、機能安全上の保護を必要とする。強制駆動部8は、アクチュエータ4、5を強制的に駆動するものであり、機能安全上の保護を必要としない。電スロカット機構15は、強制駆動部8によるアクチュエータ4、5の駆動が実行される際、スロットルモータ2への電源供給をカットすることで車両のシステムを安全側に移行する。
【選択図】図1

Description

本発明は、車両に搭載される電子制御装置に関する。
車両に搭載される電子制御装置では、機能安全において暴走などのハザードが発生しないような安全保証された設計にする必要がある。安全保証された設計にするためには、ハザードの要因となる保護すべき機能への侵害を防止すること、つまり非干渉性を実現する仕組みを適用し、保護されるべき領域(以下、保護領域と呼ぶ)と保護を必要としない領域(以下、非保護領域と呼ぶ)に分けて設計をする必要がある。
なお、上述した保護すべき機能としては、例えばソフトウェアであればプログラムやRAMであり、ハードウェアであればドライバなどである。また、上記ソフトウェアの保護方法としては、メモリに外部からアクセスや書き換え不可の領域を設けることやECCを採用することなどが挙げられる。
また、上記ハードウェアの保護方法としては、故障しないように設計すること、システムを冗長化すること、監視用ICでマイコンを監視することなどが挙げられる。また、上述した侵害とは、メモリなどへの不正アクセス、ノイズなどによるデータ化けなどが該当する。
上述した保護を必要としない機能としては、例えば強制駆動機能を挙げることができる。強制駆動とは、アクチュエータなどを、通常の制御に関係なく、強制的に駆動するものであり、例えば、異常個所を特定するための検査や、製造工程で実施される完成検査などで用いられる(例えば、特許文献1参照)。
特開2005−248825号公報
上述したような安全保証された設計を実現するためには、ハザードの要因となる機能を全て保護領域に配置することが必要となる。しかし、保護領域をむやみに増加させることは、保護するための診断機能の増加に伴うリソースの増加、保護機能を検証するための作業の増加などに繋がるため、大きなデメリットとなる。
本発明は上記事情に鑑みてなされたものであり、その目的は、保護領域をむやみに増加させることなく、安全保証設計を実現することができる電子制御装置を提供することにある。
請求項1に記載の電子制御装置(1、21、41)は、車両に搭載されるものであり、制御部(7、24、44)と、強制駆動部(8、25、45)と、安全状態移行部(15、32、54)と、を備える。制御部は、ハザードの要因となり得るアクチュエータ(4、5、23、43)を制御するものであり、機能安全上の保護を必要とする。また、強制駆動部は、上記アクチュエータを強制的に駆動するものであり、機能安全上の保護を必要としない。そして、安全状態移行部は、強制駆動部によるアクチュエータの駆動が実行される際、車両のシステムを安全側に移行する。
上記構成によれば、強制駆動部によるアクチュエータの駆動が実行される際、車両のシステムは安全側に移行されており、システムが暴走などのハザードに至ることはない。したがって、強制駆動部に対する保護を行う必要がなくなるため、保護領域を比較的小さい領域とすることが可能となる。したがって、上記構成によれば、保護領域をむやみに増加させることなく、安全保証設計を実現することができる。
第1実施形態に係る電子制御装置および周辺の構成を模式的に示す図 第2実施形態に係る電子制御装置および周辺の構成を模式的に示す図 第3実施形態に係る電子制御装置および周辺の構成を模式的に示す図
以下、本発明の複数の実施形態について図面を参照して説明する。なお、各実施形態において実質的に同一の構成には同一の符号を付して説明を省略する。
(第1実施形態)
以下、本発明の第1実施形態について図1を参照して説明する。
図1に示す電子制御装置1(以下、ECU1と呼ぶ)は、車両に搭載されるものであり、電子スロットルエンジン制御システムに用いられる。ECU1は、スロットルモータ2を駆動してスロットルバルブ3の開度を制御する。また、ECU1は、複数のアクチュエータ4、5を駆動して内燃機関に相当するエンジン6の出力を制御する。
アクチュエータ4、5は、ハザードの要因となり得る車両の走行、つまりエンジン6の出力に関与するものである。具体的には、アクチュエータ4、5は、例えば可変バルブタイミング機構(VVT)、排気ガス還流システム(EGR)、インジェクタ、点火プラグなどを構成するものである。なお、図1では、2つのアクチュエータ4、5だけを図示しているが、ECU1により3つ以上のアクチュエータを駆動する構成でもよい。
ECU1は、制御部7、強制駆動部8、ドライバ9〜11、切替スイッチSW1、SW2、リレー12、NPN形のバイポーラトランジスタT1、T2(以下、トランジスタT1、T2と省略する)、NOR回路13、監視部14などを備えている。車両に搭載されたバッテリ(図示略)から供給されるバッテリ電圧BATTが与えられる電源線Lbとスロットルモータ2の電源供給端子との間には、リレー12の接点12aおよびトランジスタT1が接続されている。
トランジスタT1のベースにはドライバ9から出力される駆動信号が与えられている。また、電源線Lbと、回路の基準電位(0V)が与えられるグランド線Lgとの間には、トランジスタT2およびリレー12のコイル12bが接続されている。トランジスタT2のベースには、NOR回路13の出力信号が与えられている。
制御部7は、ASIL(Automotive Safety Integrity Level)レベルが要求されているものであり、機能安全上の保護を必要とする。制御部7は、CPU、ROM、RAMなどを有するマイクロコンピュータ(以下、マイコンと省略する)を主体として構成されている。
制御部7は、ドライバ9に電スロ駆動要求を表す信号Saを出力する。ドライバ9は、信号Saが与えられると、その信号Saに基づいてトランジスタT1を駆動することでスロットルモータ2への通電を行う。また、制御部7は、切替スイッチSW1、SW2を介して、ドライバ10、11に通常駆動要求を表す信号Sb、Scを出力する。ドライバ10、11は、信号Sb、Scが与えられると、それら信号Sb、Scに基づいてアクチュエータ4、5を駆動する。このような構成により、制御部7は、スロットルモータ2およびアクチュエータ4、5の駆動を制御する。
強制駆動部8は、ASILレベルが要求されていないものであり、機能安全上の保護を必要としない。強制駆動部8は、CPU、ROM、RAMなどを有するマイコンを主体として構成されている。強制駆動部8は、切替スイッチSW1、SW2を介して、ドライバ10、11に強制駆動要求を表す信号Sd、Seを出力する。ドライバ10、11は、信号Sd、Seが与えられると、それら信号Sd、Seに基づいてアクチュエータ4、5を駆動する。このような構成により、強制駆動部8は、アクチュエータ4、5を強制的に駆動する強制駆動を行うことが可能となっている。
強制駆動部8は、切替スイッチSW1、SW2に強制駆動実行要求を表す信号Sf、Sgを出力する。信号Sf、Sgは、強制駆動を実行する場合にはハイレベル(例えば、ECU1の電源電圧の電圧レベル)となり、強制駆動を実行しない場合にはロウレベル(例えば、各回路の基準電位である0V)となる。
切替スイッチSW1の接点は、信号Sfがハイレベルのときに信号Sdがドライバ10に与えられ、信号Sfがロウレベルのときに信号Sbがドライバ10に与えられるように切り替えられる。切替スイッチSW2の接点は、信号Sgがハイレベルのときに信号Seがドライバ11に与えられ、信号Sgがロウレベルのときに信号Scがドライバ11に与えられるように切り替えられる。
強制駆動部8から出力される信号Sf、Sgは、NOR回路13の各入力端子にも与えられるようになっている。そのため、信号Sf、Sgの少なくとも一方がハイレベルである場合、つまり強制駆動が実行される場合には、NOR回路13の出力信号はロウベルとなる。これにより、トランジスタT2がオフ駆動されるため、リレー12がオフしてスロットルモータ2に対する電源供給が不可能な状態となる。
また、信号Sf、Sgの双方がロウレベルである場合、つまり強制駆動が実行されない場合には、NOR回路13の出力信号はハイレベルとなる。これにより、トランジスタT2がオン駆動されるため、リレー12がオンしてスロットルモータ2に対する電源供給が可能な状態となる。
このような構成により、強制駆動部8による強制駆動が実行される際に、スロットルモータ2への電源供給をカットする電スロカット機構15が構成されている。電スロカット機構15によりスロットルモータ2への電源供給がカットされると、スロットルバルブ3が僅かに開いた状態、つまりエンジン6への吸入空気量が制限された状態となる。そうすると、車両は走行できるものの、退避走行が可能な程度の速度しか出せない、リンプホーム制御された状態になる。
すなわち、電スロカット機構15は、強制駆動部8によるアクチュエータ4、5の強制駆動が実行される際、電子スロットルエンジン制御システムをリンプホーム制御に切り替えることにより、そのシステムの状態を安全側に移行するものであり、安全状態移行部に相当する。
監視部14は、制御部7および強制駆動部8を監視する。ただし、監視部14は、強制駆動部8により強制駆動が実行される際には、強制駆動部8に対する監視を行わないようになっている。監視部14による監視の種類としては、ROM診断、RAM診断、マイコン診断、メモリ修復不可などが挙げられる。
ROM診断は、マイコンのプログラムや動作を決めるパラメータが記憶されているROM領域に対する診断である。この場合、診断対象となるROM領域のCRC値やチェックサム値を予め計算した値とマイコンに計算させた値とが一致しない場合に異常と判定する。RAM診断は、マイコンの演算結果が保存されるRAM領域に対する診断である。この場合、診断対象となるRAM領域にテストデータを書き込んだ後に読み出し、書き込んだデータと読み出したデータとが一致しない場合に異常と判定する。
マイコン診断は、マイコンに搭載されているロックステップ機構やMPU(Memory Protection Unit)、BIST(Built In Self Test)により異常が検出された場合に異常と判定する。メモリ修復不可は、マイコンに搭載されているECC機能で修復できない場合に異常と判定するものである。
監視部14は、監視結果を表す信号ShをNOR回路13の入力端子に出力する。信号Shは、制御部7および強制駆動部8の少なくとも一方が異常であると判定した場合にはハイレベルとなり、制御部7および強制駆動部8の双方が正常であると判定した場合にはロウレベルとなる信号である。
このような構成により、信号Shがハイレベルである場合、つまり制御部7および強制駆動部8の少なくとも一方が異常と診断された場合、NOR回路13の出力信号はロウベルとなってトランジスタT2がオフ駆動されるため、リレー12がオフしてスロットルモータ2に対する電源供給が不可能な状態となる。また、信号Shがロウレベルである場合、つまり制御部7および強制駆動部8の双方が正常であると診断された場合、NOR回路13の出力信号はハイレベルとなってトランジスタT2がオン駆動されるため、リレー12がオンしてスロットルモータ2に対する電源供給が可能な状態となる。
以上説明した本実施形態によれば、次のような効果が得られる。
上記したような電子スロットルエンジン制御システムにおいて、エンジン6の出力に関与するアクチュエータ4、5を駆動するための制御は、制御部7および強制駆動部8により行われる。言い換えると、アクチュエータ4、5に対する出力は、制御部7および強制駆動部8の双方からの影響を受けるようになっている。そのため、制御部7および強制駆動部8のうち少なくともいずれかの制御が侵害された場合には、エンジン6が暴走するといったハザードが発生するおそれがある。そのため、従来では、制御部7および強制駆動部8の双方を保護領域として安全保証設計を行わなければならなかった。
これに対し、本実施形態では、強制駆動部8から出力される強制駆動実行要求を表す信号Sf、Sgの少なくとも一方がハイレベルである場合、電スロカット機構15によりスロットルモータ2に対する電源供給がカットされるようになっている。つまり、本実施形態では、強制駆動部8によるアクチュエータ4、5の強制駆動が実行される場合、それに合わせてスロットルモータ2への電源供給をカットすることによりエンジン6への吸入空気量が制限されたリンプホーム制御に切り替えられる。そのため、仮に強制駆動部8の制御が侵害された場合であっても、システムが暴走に至ることはない。
このようなことから、本実施形態では、強制駆動部8に対する保護を行う必要がなくなり、保護の対象としては、制御部7だけとなる。そのため、本実施形態における保護領域は、制御部7および強制駆動部8の双方を保護する場合に比べ、小さい領域とすることができる。したがって、本実施形態によれば、保護領域をむやみに増加させることなく、安全保証設計を実現することができる。
なお、強制駆動部8の制御が侵害されることにより、信号Sf、Sgが異常、つまり本来の意図とは異なるレベルとなっても問題は生じない。その理由は、次の通りである。すなわち、信号Sf、Sgがハイレベルである場合、アクチュエータ4、5に強制駆動要求を表す信号Sd、Seが与えられるものの、スロットルモータ2への電源供給がカットされるため、ハザードが発生することはない。また、信号Sf、Sgがロウレベルである場合、スロットルモータ2への電源供給が可能な状態になるものの、アクチュエータ4、5には、保護された制御部7から出力される信号Sb、Scが与えられる。
つまり、上記構成によれば、強制駆動部8の制御が侵害されるなどして信号Sf、Sgが本来の意図とは異なるレベルになったとしても、アクチュエータ4、5に強制駆動部8から出力される信号Sf、Sgが与えられるとともに、スロットルモータ2への電源供給が可能な状態になることはなく、そのため、ハザードが発生することはない。
また、上記構成では、強制駆動部8による強制駆動が実行される際、エンジン6への吸入空気量を制限することによりシステムをリンプホーム制御に切り替え、システムを安全側に移行させるようになっている。そのため、強制駆動部8が侵害されるなどして強制駆動が意図せずに実行されたとしても、システムが暴走に至ることを防止しつつ、ユーザが車両を退避走行させるといった非常時回避の動作を行うことが可能となる。
強制駆動が実行される際、電スロカット機構15によりシステムは安全側に移行されているため、敢えて監視部14が強制駆動部8を監視する必要はない。そこで、本実施形態では、監視部14は、強制駆動部8によるアクチュエータ4、5の強制駆動が実行される際、強制駆動部8に対する監視を行わないようにしている。このようにすれば、監視部14による処理負荷を軽減することができる。
(第2実施形態)
以下、第2実施形態について図2を参照して説明する。
図2に示す電子制御装置21(以下、ECU21と呼ぶ)は、インジェクタ22への通電を制御するとともに、アクチュエータ23を駆動してエンジン(図示略)の出力を制御する。アクチュエータ23は、第1実施形態のアクチュエータ4、5と同様、ハザードの要因となり得る車両の走行に関与するものである。
ECU21は、制御部24、強制駆動部25、噴射要求制御部26、ドライバ27、Nチャネル型MOSトランジスタM21、M22(以下、トランジスタM21、M22と省略する)、切替スイッチSW21、リレー28、AND回路29、NOT回路30、監視部31などを備えている。
電源線Lbとグランド線Lgとの間には、インジェクタ22、トランジスタM21およびリレー28の接点28aが接続されている。トランジスタM21のゲートには、噴射要求制御部26から出力される噴射要求を表す信号Siが与えられている。また、電源線Lbとグランド線Lgとの間には、トランジスタM22およびリレー28のコイル28bが接続されている。トランジスタM22のゲートには、AND回路29の出力信号が与えられている。
制御部24は、第1実施形態の制御部7と同様、機能安全上の保護を必要とするものであり、マイコンを主体として構成されている。制御部24は、切替スイッチSW21を介して、ドライバ27に通常駆動要求を表す信号Sjを出力する。ドライバ27は、信号Sjが与えられると、その信号Sjに基づいてアクチュエータ23を駆動する。このような構成により、制御部24は、アクチュエータ23の駆動を制御する。
強制駆動部25は、第1実施形態の強制駆動部8と同様、機能安全上の保護を必要としないものであり、マイコンを主体として構成されている。強制駆動部25は、切替スイッチSW21を介して、ドライバ27に強制駆動要求を表す信号Skを出力する。ドライバ27は、信号Skが与えられると、その信号Skに基づいてアクチュエータ23を駆動する。このような構成により、強制駆動部25は、アクチュエータ23を強制的に駆動する強制駆動を行うことが可能となっている。
強制駆動部25は、切替スイッチSW21に強制駆動実行要求を表す信号Slを出力する。信号Slは、強制駆動を実行する場合にはハイレベルとなり、強制駆動を実行しない場合にはロウレベルとなる。切替スイッチSW21の接点は、信号Slがハイレベルのときに信号Skがドライバ27に与えられ、信号Slがロウレベルのときに信号Sjがドライバ27に与えられるように切り替えられる。
強制駆動部25から出力される信号Slは、NOT回路30の入力端子にも与えられるようになっている。そのため、信号Slがハイレベルである場合、つまり強制駆動が実行される場合には、NOT回路30の出力信号はロウベルとなる。これにより、監視部31から出力される信号Smのレベルに関係なく、AND回路29の出力信号がロウレベルとなってトランジスタM22がオフ駆動されるため、リレー28がオフしてインジェクタ22への通電が不可能な状態となる。
また、信号Slがロウレベルである場合、つまり強制駆動が実行されない場合には、NOT回路30の出力信号はハイレベルとなる。これにより、監視部31から出力される信号SmがハイレベルであればAND回路29の出力信号がハイレベルとなってトランジスタM22がオン駆動されるため、リレー28がオンしてインジェクタ22への通電が可能な状態となる。
このような構成により、強制駆動部25による強制駆動が実行される際に、インジェクタ22への通電をカットする通電カット機構32が構成されている。通電カット機構32によりインジェクタ22への通電がカットされると、エンジンへの燃料の噴射量が制限された状態となる。すなわち、通電カット機構32は、強制駆動部25によるアクチュエータ23の強制駆動が実行される際、車両のシステムの状態を安全側に移行するものであり、安全状態移行部に相当する。
監視部31は、第1実施形態の監視部14と同様、制御部24および強制駆動部25を監視する。監視部31は、監視結果を表す信号SmをAND回路29の入力端子に出力する。信号Smは、制御部24および強制駆動部25の少なくとも一方が異常であると判定した場合にはロウレベルとなり、制御部24および強制駆動部25の双方が正常であると判定した場合にはハイレベルとなる信号である。
このような構成により、信号Smがロウレベルである場合、つまり制御部24および強制駆動部25の少なくとも一方が異常と診断された場合、NOT回路30の出力信号のレベルに関係なくAND回路29の出力信号がロウベルとなってトランジスタM22がオフ駆動されるため、リレー28がオフしてインジェクタ22への通電が不可能な状態となる。また、信号Smがハイレベルである場合、つまり制御部24および強制駆動部25の双方が正常であると診断された場合、NOT回路30の出力信号がハイレベルであればAND回路29の出力信号がハイレベルとなってトランジスタM22がオン駆動されるため、リレー28がオンしてインジェクタ22への通電が可能な状態となる。
以上説明した本実施形態によっても、第1実施形態と同様の効果が得られる。すなわち、本実施形態では、強制駆動部25から出力される強制駆動実行要求を表す信号Slがハイレベルである場合、通電カット機構32によりインジェクタ22への通電がカットされるようになっている。つまり、本実施形態では、強制駆動部25によるアクチュエータ23の強制駆動が実行される場合、それに合わせてインジェクタ22への通電をカットすることにより車両のシステムが安全側に移行される。そのため、仮に強制駆動部25の制御が侵害された場合であっても、システムが暴走に至ることはない。
このようなことから、強制駆動部25に対する保護を行う必要がなくなり、保護の対象としては、制御部24だけとなる。そのため、本実施形態における保護領域は、制御部24および強制駆動部25の双方を保護する場合に比べ、小さい領域とすることができる。したがって、本実施形態によっても、保護領域をむやみに増加させることなく、安全保証設計を実現することができる。
(第3実施形態)
以下、第3実施形態について図3を参照して説明する。
図3に示す電子制御装置41(以下、ECU41と呼ぶ)は、スタータモータ42の駆動を制御するとともに、アクチュエータ43を駆動してエンジン(図示略)の出力を制御する。アクチュエータ43は、第1実施形態のアクチュエータ4、5と同様、ハザードの要因となり得る車両の走行に関与するものである。
ECU41は、制御部44、強制駆動部45、スタータ駆動要求制御部46、ドライバ47、Nチャネル型MOSトランジスタM41、M42(以下、トランジスタM41、M42と省略する)、切替スイッチSW41、NOT回路48、AND回路49、NOR回路50、監視部51などを備えている。
電源線Lbとグランド線Lgとの間には、リレー52の接点52a、スタータモータ42およびリレー53の接点53aが接続されている。また、電源線Lbとグランド線Lgとの間には、トランジスタM41およびリレー52のコイル52bが接続されている。トランジスタM41のゲートには、スタータ駆動要求制御部46から出力されるスタータカット要求を表す信号Snを、NOT回路48を通じて反転させた信号が与えられている。
また、電源線Lbとグランド線Lgとの間には、トランジスタM42およびリレー53のコイル53bが接続されている。トランジスタM52のゲートには、AND回路49の出力信号が与えられている。AND回路49の一方の入力端子には、スタータ駆動要求制御部46から出力されるスタータ駆動要求を表す信号Soが与えられている。AND回路49の他方の入力端子には、NOR回路50の出力信号が与えられている。
制御部44は、第1実施形態の制御部7と同様、機能安全上の保護を必要とするものであり、マイコンを主体として構成されている。制御部44は、切替スイッチSW41を介して、ドライバ47に通常駆動要求を表す信号Spを出力する。ドライバ47は、信号Spが与えられると、その信号Spに基づいてアクチュエータ43を駆動する。このような構成により、制御部44は、アクチュエータ43の駆動を制御する。
強制駆動部45は、第1実施形態の強制駆動部8と同様、機能安全上の保護を必要としないものであり、マイコンを主体として構成されている。強制駆動部45は、切替スイッチSW41を介して、ドライバ47に強制駆動要求を表す信号Sqを出力する。ドライバ47は、信号Sqが与えられると、その信号Sqに基づいてアクチュエータ43を駆動する。このような構成により、強制駆動部45は、アクチュエータ43を強制的に駆動する強制駆動を行うことが可能となっている。
強制駆動部45は、切替スイッチSW41に強制駆動実行要求を表す信号Srを出力する。信号Srは、強制駆動を実行する場合にはハイレベルとなり、強制駆動を実行しない場合にはロウレベルとなる。切替スイッチSW41の接点は、信号Srがハイレベルのときに信号Sqがドライバ47に与えられ、信号Srがロウレベルのときに信号Spがドライバ47に与えられるように切り替えられる。
強制駆動部45から出力される信号Srは、NOR回路50の入力端子にも与えられるようになっている。そのため、信号Srがハイレベルである場合、つまり強制駆動が実行される場合には、監視部51から出力される信号Ssのレベルに関係なく、NOR回路50の出力信号はロウベルとなる。これにより、スタータ駆動要求制御部46から出力される信号Soのレベルに関係なく、AND回路49の出力信号がロウレベルとなってトランジスタM42がオフ駆動されるため、リレー53がオフしてスタータモータ42への通電が不可能な状態となる。
また、信号Srがロウレベルである場合、つまり強制駆動が実行されない場合には、監視部51から出力される信号SsがロウレベルであればNOR回路50の出力信号はハイレベルとなる。これにより、スタータ駆動要求制御部46から出力される信号SoがハイレベルであればAND回路49の出力信号がハイレベルとなってトランジスタM42がオン駆動されるため、リレー53がオンしてスタータモータ42への通電が可能な状態となる。
このような構成により、強制駆動部45による強制駆動が実行される際に、スタータモータ42への通電をカットする通電カット機構54が構成されている。通電カット機構54によりスタータモータ42への通電がカットされると、エンジンの始動ができない状態となる。すなわち、通電カット機構54は、強制駆動部45によるアクチュエータ43の強制駆動が実行される際、車両のシステムの状態を安全側に移行するものであり、安全状態移行部に相当する。
監視部51は、第1実施形態の監視部14と同様、制御部44および強制駆動部45を監視する。監視部51は、監視結果を表す信号SsをNOR回路50の入力端子に出力する。信号Ssは、制御部44および強制駆動部45の少なくとも一方が異常であると判定した場合にはハイレベルとなり、制御部44および強制駆動部45の双方が正常であると判定した場合にはロウレベルとなる信号である。
このような構成により、信号Ssがハイレベルである場合、つまり制御部44および強制駆動部45の少なくとも一方が異常と診断された場合、信号So、Srのレベルに関係なくAND回路49の出力信号がロウベルとなってトランジスタM42がオフ駆動されるため、リレー53がオフしてスタータモータ42への通電が不可能な状態となる。
また、信号Ssがロウレベルである場合、つまり制御部44および強制駆動部45の双方が正常であると診断された場合、信号Srがロウレベルであり且つ信号SoがハイレベルであればAND回路49の出力信号がハイレベルとなってトランジスタM42がオン駆動されるため、リレー53がオンしてスタータモータ42への通電が可能な状態となる。
以上説明した本実施形態によっても、第1実施形態と同様の効果が得られる。すなわち、本実施形態では、強制駆動部45から出力される強制駆動実行要求を表す信号Srがハイレベルである場合、通電カット機構54によりスタータモータ42への通電がカットされるようになっている。つまり、本実施形態では、強制駆動部45によるアクチュエータ43の強制駆動が実行される場合、それに合わせてスタータモータ42への通電をカットすることにより車両のシステムが安全側に移行される。そのため、仮に強制駆動部45の制御が侵害された場合であっても、システムが暴走に至ることはない。
このようなことから、強制駆動部45に対する保護を行う必要がなくなり、保護の対象としては、制御部44だけとなる。そのため、本実施形態における保護領域は、制御部44および強制駆動部45の双方を保護する場合に比べ、小さい領域とすることができる。したがって、本実施形態によっても、保護領域をむやみに増加させることなく、安全保証設計を実現することができる。
(その他の実施形態)
なお、本発明は上記し且つ図面に記載した各実施形態に限定されるものではなく、その要旨を逸脱しない範囲で任意に変形、組み合わせ、あるいは拡張することができる。
上記各実施形態では、本発明を、電子スロットル制御、インジェクタ通電制御、スタータモータ駆動制御などを行う電子制御装置に適用した例に説明したが、本発明は、車両に搭載される電子制御装置全般に適用することができる。
本開示は、実施例に準拠して記述されたが、本開示は当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、さらには、それらに一要素のみ、それ以上、あるいはそれ以下、を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。
1、21、41…電子制御装置、4、5、23、43…アクチュエータ、7、24、44…制御部、8、25、45…強制駆動部、14、31、51…監視部、15…電スロカット機構、32、54…通電カット機構。

Claims (6)

  1. 車両に搭載される電子制御装置(1、21、41)であって、
    ハザードの要因となり得るアクチュエータ(4、5、23、43)を制御するものであり、機能安全上の保護を必要とする制御部(7、24、44)と、
    前記アクチュエータを強制的に駆動するものであり、機能安全上の保護を必要としない強制駆動部(8、25、45)と、
    前記強制駆動部による前記アクチュエータの駆動が実行される際、前記車両のシステムの状態を安全側に移行する安全状態移行部(15、32、54)と、
    を備える電子制御装置。
  2. 前記アクチュエータは、前記車両の走行に関与するものであり、
    前記安全状態移行部(15)は、前記強制駆動部(8)による前記アクチュエータ(4、5)の駆動が実行される際、前記車両のシステムをリンプホーム制御に切り替えることで前記車両のシステムの状態を安全側に移行する請求項1に記載の電子制御装置。
  3. 前記安全状態移行部は、前記車両が備える内燃機関(6)への吸入空気量を制限することにより前記リンプホーム制御への切り替えを実行する請求項2に記載の電子制御装置。
  4. 前記安全状態移行部(32)は、前記強制駆動部(25)による前記アクチュエータ(23)の駆動が実行される際、前記車両が備える内燃機関への燃料の噴射量を制限することで前記車両のシステムの状態を安全側に移行する請求項1に記載の電子制御装置。
  5. 前記安全状態移行部(54)は、前記強制駆動部(45)による前記アクチュエータ(43)の駆動が実行される際、前記車両が備えるスタータモータ(42)への通電をカットすることで前記車両のシステムの状態を安全側に移行する請求項1に記載の電子制御装置。
  6. さらに、前記強制駆動部を監視する監視部(14、31、51)を備え、
    前記監視部は、前記強制駆動部による前記アクチュエータの駆動が実行される際、前記強制駆動部に対する監視を行わない請求項1から5のいずれか一項に記載の電子制御装置。
JP2016195654A 2016-10-03 2016-10-03 電子制御装置 Pending JP2018059419A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016195654A JP2018059419A (ja) 2016-10-03 2016-10-03 電子制御装置
DE102017217439.0A DE102017217439A1 (de) 2016-10-03 2017-09-29 Elektronische steuereinheit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016195654A JP2018059419A (ja) 2016-10-03 2016-10-03 電子制御装置

Publications (1)

Publication Number Publication Date
JP2018059419A true JP2018059419A (ja) 2018-04-12

Family

ID=61623771

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016195654A Pending JP2018059419A (ja) 2016-10-03 2016-10-03 電子制御装置

Country Status (2)

Country Link
JP (1) JP2018059419A (ja)
DE (1) DE102017217439A1 (ja)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08123732A (ja) * 1994-10-28 1996-05-17 Hitachi Constr Mach Co Ltd Eepromの書込み装置
JP2005248825A (ja) * 2004-03-04 2005-09-15 Denso Corp 内燃機関の異常診断装置
JP2005330955A (ja) * 2004-04-19 2005-12-02 Denso Corp 電子制御装置
JP2008144721A (ja) * 2006-12-13 2008-06-26 Hitachi Ltd 自動車用電子制御装置
JP2016018993A (ja) * 2014-07-04 2016-02-01 アーベーベー・テクノロジー・アーゲー 半導体モジュールおよび半導体モジュールの製造方法
JP2016108984A (ja) * 2014-12-03 2016-06-20 株式会社デンソー インジェクタ駆動装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08123732A (ja) * 1994-10-28 1996-05-17 Hitachi Constr Mach Co Ltd Eepromの書込み装置
JP2005248825A (ja) * 2004-03-04 2005-09-15 Denso Corp 内燃機関の異常診断装置
JP2005330955A (ja) * 2004-04-19 2005-12-02 Denso Corp 電子制御装置
JP2008144721A (ja) * 2006-12-13 2008-06-26 Hitachi Ltd 自動車用電子制御装置
JP2016018993A (ja) * 2014-07-04 2016-02-01 アーベーベー・テクノロジー・アーゲー 半導体モジュールおよび半導体モジュールの製造方法
JP2016108984A (ja) * 2014-12-03 2016-06-20 株式会社デンソー インジェクタ駆動装置

Also Published As

Publication number Publication date
DE102017217439A1 (de) 2018-04-05

Similar Documents

Publication Publication Date Title
JP5867495B2 (ja) 電子制御装置
JP4065790B2 (ja) 車載電子制御装置
JP3967599B2 (ja) 車両用電子制御装置
US20090030587A1 (en) Vehicle-mounted engine control apparatus
US20180111626A1 (en) Method and device for handling safety critical errors
JPH11294252A (ja) 電子制御装置
EP3460632B1 (en) Microcontroller and control method of the same
JP4042466B2 (ja) メモリ診断装置及び制御装置
JP3970196B2 (ja) エンジン用吸気量制御装置及びエンジン用吸気量制御方法
JP6692312B2 (ja) 電子制御装置
JP2015022622A (ja) 自動車用電子制御装置
JP2012224315A (ja) 車載電子制御装置、診断ツールおよび診断システム
JP5874445B2 (ja) 異常診断装置
JP2011032903A (ja) 車両の制御装置
JP2013143095A (ja) 電子制御装置、メモリ検査方法
US9671769B2 (en) ECU monitoring system and monitoring method
JP2009062998A (ja) 車両制御システム
JP5842783B2 (ja) 車両用制御装置
CN109716300B (zh) 故障检测方法
JP2018059419A (ja) 電子制御装置
JP2005315245A (ja) Lpi燃料ポンプの診断方法
JP2016170567A (ja) 自動車用電子制御装置
US6334084B1 (en) Fail-safe apparatus and fail-safe method for electronic control system
JP2017047760A (ja) 電子制御装置及びコンピュータプログラム
JP2010101249A (ja) 内燃機関のアイドルストップ制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181203

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190823

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190827

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191016

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200327

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200707