JP2019121043A - 車両制御システムおよび車両制御装置 - Google Patents

車両制御システムおよび車両制御装置 Download PDF

Info

Publication number
JP2019121043A
JP2019121043A JP2017253897A JP2017253897A JP2019121043A JP 2019121043 A JP2019121043 A JP 2019121043A JP 2017253897 A JP2017253897 A JP 2017253897A JP 2017253897 A JP2017253897 A JP 2017253897A JP 2019121043 A JP2019121043 A JP 2019121043A
Authority
JP
Japan
Prior art keywords
unit
units
failure
output
operation unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017253897A
Other languages
English (en)
Other versions
JP7163576B2 (ja
Inventor
興太郎 安井
Kotaro Yasui
興太郎 安井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2017253897A priority Critical patent/JP7163576B2/ja
Priority to DE102018221840.4A priority patent/DE102018221840A1/de
Publication of JP2019121043A publication Critical patent/JP2019121043A/ja
Application granted granted Critical
Publication of JP7163576B2 publication Critical patent/JP7163576B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2028Failover techniques eliminating a faulty processor or activating a spare
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2041Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with more than one idle spare processing component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2048Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant where the redundant components share neither address space nor persistent storage
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems

Abstract

【課題】車両に搭載された車両制御システムにおいて、一部の演算部に故障が発生したときに、可能な限り制御を継続できるようにしつつ、より安全に車両を制御できるような技術を提供する。【解決手段】本開示の一態様による車両制御システムにおいて故障認識部は、S302で、当該演算部を除く他の演算部が故障していることを認識するように構成される。制御出力部は、故障した演算部を故障部とし、故障していない演算部を正常部として、他の演算部のうちの予め2以上の数に設定された規定数以上の演算部が故障部である場合、S313,S323で、予め設定されたフェールセーフ処理を実施する旨の出力を行い、他の演算部のうちの規定数未満の演算部が故障部である場合、正常部がフェールセーフ処理とは異なる車両の走行制御を実施する旨の出力を行うように構成される。【選択図】図3

Description

本開示は、車両に搭載され、複数の演算部のそれぞれが他の演算部の故障の有無を認識可能に構成された車両制御システム、および車両制御装置に関する。
下記の特許文献1には、複数の演算部を有する車両制御システムにおいて、通常時に作動する現用系の演算部および通常時は作動せず待機する待機系の演算部を備え、現用系の演算部が故障したときに待機系の演算部が現用系の演算部の代替をすることで、制御を継続するという技術が開示されている。
特開2016−060413号公報
ところで、システムの故障時に車両を停止させることは、高速道路上において後続車の追突による重大事故を引き起こす虞があり、あるいは、極寒・高温・乾燥などの極限環境においては人命を危険にさらす虞があり、必ずしも安全とは限らない。また、ユーザ視点として、カーディーラー等、自動車の点検整備場へ、自走で移動させたいというニーズも存在する。故に、故障部位を切り離す、あるいは、走行性能を低下させてでも、安全に自動車の走行機能を継続させられる電気・電子制御システムが求められる。
しかしながら、発明者の詳細な検討の結果、特許文献1の技術では、現用系の演算部の故障中に、待機系の演算部にも故障が発生する、いわゆる二重故障が発生した場合に、各演算部から意図しない信号が出力される可能性があり、この際には車両を安全に制御できない虞がある、という課題が見出された。
本開示の1つの局面は、車両に搭載され、3以上の演算部のそれぞれが他の2以上の演算部から故障の有無を認識可能に構成された車両制御システム、および車両制御装置において、一部の演算部に故障が発生したときに、可能な限り制御を継続できるようにしつつ、より安全に車両を制御できるような技術を提供することにある。
本開示の一態様による車両制御システムは、故障認識部(S210,S302,S402,S502,S1302)と、制御出力部(S214,S224,S234,S313,S323,S413,S423,S513,S523,S91,S125,S1313,S1323,S1333)と、を備える。故障認識部は、当該演算部を除く他の演算部が故障していることを認識するように構成される。
制御出力部は、故障した演算部を故障部とし、故障していない演算部を正常部として、他の演算部のうちの予め2以上の数に設定された規定数以上の演算部が故障部である場合、予め設定されたフェールセーフ処理を実施する旨の出力を行い、他の演算部のうちの規定数未満の演算部が故障部である場合、正常部がフェールセーフ処理とは異なる車両の走行制御を実施する旨の出力を行うように構成される。
このような構成によれば、3つ以上の演算部のうちの規定数未満の演算部が故障部である場合には正常部に車両の走行制御を実施させ、規定数以上の演算部が故障部である場合にはフェールセーフ処理を実施することができる。よって、可能な限り制御を継続できるようにしつつ、より安全に車両を制御することができる。
なお、この欄および特許請求の範囲に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本開示の技術的範囲を限定するものではない。
第1実施形態の車両制御システムの構成を示すブロック図である。 第1実施形態の監視処理のフローチャート(その1)である。 第1実施形態の監視処理のフローチャート(その2)である。 第1実施形態の監視処理のフローチャート(その3)である。 第1実施形態の監視処理のフローチャート(その4)である。 演算部から出力される各信号の状態の一例を示すタイミングチャートである。 第2実施形態の車両制御システムの作動を示す説明図である。 第2実施形態の監視処理のフローチャートである。 第3実施形態の車両制御システムの構成を示すブロック図である。 第3実施形態の監視処理のフローチャートである。 第4実施形態の車両制御システムの構成を示すブロック図である。 第4実施形態の監視処理のフローチャート(その1)である。 第4実施形態の監視処理のフローチャート(その2)である。
以下、図面を参照しながら、本開示の実施形態を説明する。
[1.第1実施形態]
[1−1.構成]
図1に示す車両制御システム1Aは、演算部A100と、演算部B200と、演算部C300と、を備える。車両制御システム1Aは、3以上の演算部のそれぞれが他の2以上の演算部から故障の有無を監視可能に構成される。
ここで、「他の2以上の演算部から故障の有無を監視可能」とは、第1実施形態のように、ある演算部が2以上の演算部から監視される構成、および後述する第2実施形態のように、ある演算部が、あるときは1つの演算部から監視され、他のときに異なる1つの演算部から監視される構成、を含む意味である。また、演算部A100,B200,C300は、それぞれが異なる電子制御装置に搭載されてもよいし、1つの電子制御装置に搭載されてもよい。
また、車両制御システム1Aは、ORゲート11,ANDゲート12,13,14、ラッチ回路15,16,17を備えてもよい。
演算部A100,B200,C300は、それぞれ、CPU101,201,301と、例えば、RAM又はROM等の半導体メモリ(以下、メモリ102,202,302)と、を有するマイクロコンピュータを備える。演算部A100,B200,C300の各機能は、CPU101,201,301が非遷移的実体的記録媒体に格納されたプログラムを実行することにより実現される。この例では、メモリ102,202,302が、プログラムを格納した非遷移的実体的記録媒体に該当する。また、このプログラムが実行されることで、プログラムに対応する方法が実行される。
なお、非遷移的実体的記録媒体とは、記録媒体のうちの電磁波を除く意味である。また、演算部A100,B200,C300は、1つのマイクロコンピュータを備えてもよいし、複数のマイクロコンピュータを備えてもよい。
また、メモリ102,202,302は、それぞれの演算部A100,B200,C300に備えられる必要はなく、演算部A100,B200,C300が、演算部A100,B200,C300の外部に配置されたメモリを共用するように構成されてもよい。
演算部A100,B200,C300は、車両制御の機能を備える。車両制御とは、車両が有する任意の装置を制御することを表し、例えば、エンジン制御、制動制御、エアコン制御、等を含む。特に、ここでは、監視機能を含む。監視機能とは、演算部A100,B200,C300が、他の演算部が正常に作動しているか否かを監視する機能を表す。例えば、演算部A100が駆動力制御を行うユニット、演算部B200が電池制御を行うユニット、演算部C300が演算部A100および演算部B200の監視のみを行うユニットといった構成にすることができる。
監視機能では、演算部A100,B200,C300は、相互に監視を行う。これにより、任意の1つの演算部が故障したときに残りの2つの演算部が故障を検出することが可能である。また、任意の1つの演算部の故障後も、残りの2つの演算部で相互に監視を継続することが可能である。
なお、ここでいう監視とは、演算部の故障を検知できる方法であれば、その手段は問わない。例えば、被監視側に基本的な演算を実行させ、監視側に結果を出力することで、演算器をチェックする方法、被監視側がウォッチドッグパルスや一定周期で動作するカウンタ等の通信データを監視側に出力し、CPUフローをチェックする方法、などがある。
あるいは、アプリケーションレベルで、車両制御ソフトウェアの演算結果等の制御で得られるデータを他の演算部で監視してもよい。また、相互監視を行う構成においては、一方の装置へ異常な信号、あるいは通信データを出力したときに、正しく異常判定されるか、すなわち監視機能が動いているか、を他方の装置でチェックする方法なども考えられる。
演算部A100,B200,C300に含まれる各部の機能を実現する手法はソフトウェアに限るものではなく、その一部又は全部の機能は、一つあるいは複数のハードウェアを用いて実現されてもよい。例えば、上記機能がハードウェアである電子回路によって実現される場合、その電子回路は、デジタル回路、又はアナログ回路、あるいはこれらの組合せによって実現されてもよい。
ここで、ORゲート11は、論理和を出力する周知の電子回路である。ANDゲート12,13,14は、論理積を出力する周知の電子回路である。ORゲート11は、演算部A100,B200,C300から出力されるFSxの何れかを受けると、フェールセーフ信号を出力する。
ラッチ回路15,16,17は、一度ONが入力されると、ラッチ回路に対するリセット信号を受けるまで、ONの出力を継続する機能を有する周知の回路である。ラッチ回路15,16,17は、それぞれANDゲート12,13,14の出力側に配置される。
[1−2.信号]
各演算部A100,B200,C300から出力される信号について以下に説明する。各演算部A100,B200,C300には監視出力端子部を備え、この監視出力端子部からは、Wxyが出力される。Wxyは、監視結果を表す信号であり、xは信号出力元の演算部を表す番号、yは信号出力先の演算部を表す番号である。本実施形態では、演算部A100がx=1、y=1に対応し、演算部B200がx=2、y=2に対応し、演算部C300がx=3、y=3に対応する。
すなわち、W12は演算部A100が判定する演算部B200の監視結果、W13は演算部A100が判定する演算部C300の監視結果である。また、W21は演算部B200が判定する演算部A100の監視結果、W23は演算部B200が判定する演算部C300の監視結果である。また、W31は演算部C300が判定する演算部A100の監視結果、W32は演算部C300が判定する演算部B200の監視結果である。
各演算部A100,B200,C300は、監視する演算部の異常を検出する前は、WxyをOFFとし、監視する演算部の異常を検出すると、WxyをONにした出力をする。
また、各演算部A100,B200,C300には、RSTxが入力される入力端子部を備える。xは入力端子部を有する演算部を表す番号である。RSTxは、各演算部に入力される外部リセット信号であり、RSTxのONが入力されると演算部はリセット状態となり、演算部の全ての作動および出力が停止する。
つまり、RSTxは演算部の機能を停止させる停止指令として機能する。本実施形態では、ラッチ回路15,16,17がRSTxのONを継続するので、各演算部A100,B200,C300は、RSTxのON入力の継続により、リセット状態が継続し、信号の出力が停止する。
なお、RST1は演算部A100のリセット入力、RST2は演算部B200のリセット入力、RST3は演算部C300のリセット入力である。後述するように、故障した演算部は、他の演算部から入力端子部にONが入力されることで、リセット状態となる。ここで、以下の説明では、故障した演算部を「故障部」とも表記し、また、故障していない演算部を「正常部」とも表記する。
なお、本案が期待する効果は、本信号のON入力により、故障した演算部が外部に異常な信号を出力しないことにあるので、リセットを継続する構成に換えて、演算部の電源カットをする効果や、全出力ポートを無効化する効果が継続する信号を採用する構成であってもよい。
次に、各演算部A100,B200,C300にはフェールセーフ出力端子部を備え、このフェールセーフ出力端子部からは、FSxが出力される。xは信号出力元の演算部を表す番号である。
FS1は演算部A100からのフェールセーフ出力、FS2は演算部からのフェールセーフ出力、FS3は演算部C300からのフェールセーフ出力である。FSはORゲート11により、FS1,FS2,FS3の論理和として出力される。
FSは、本案で提案するシステム全体から出力されるフェールセーフ出力を表すフェールセーフ信号であり、ONが出力されたときに、フェールセーフ出力を受けた任意の制御装置が車両を安全に停止するように制御する。例えば、ハイブリッド車や電気自動車において、車両の駆動力を生み出す電動モータの駆動装置につながっており、ON出力時には、駆動装置が駆動力を強制的にカットする。
各演算部A100,B200,C300は、演算部の二重故障を検出した場合、あるいは走行機能を継続すると不安全な状態となる致命的な異常を検出した場合に、フェールセーフ信号FSxのONを出力する。ただし、本案の課題を鑑みると、演算部の故障が単一故障のみで、走行機能を継続できる場合は、フェールセーフ信号FSxはOFF出力とすることが好ましい。
何れかの演算部が二重故障や致命的な異常を検出した場合に、車両を安全に停止させるためには、ORゲート11が必要である。なお、各演算部A100,B200,C300は、故障発生後にRSTxによりリセットされた状態ではFSxがOFF出力となるように設定される。
ただし、各演算部A100,B200,C300がリセットされた状態でのFSx出力がハイインピーダンスになる場合は、FSx出力は、外部プルアップまたはプルダウンによりOFF出力となるようにしておくとよい。この構成は、単一の故障であれば、残りの演算部で走行継続させ、二重故障や致命的な異常を検出した時のみ、FSをONにするためである。
ここで、RST1はW21,W31を入力とするANDゲート12の出力結果であり、RST2はW12,W32を入力とするANDゲート13の出力結果であり、RST3はW13,W23を入力とするANDゲート14の出力結果である。本構成とすることで、例えば、演算部A100が故障したときには、演算部B200および演算部C300が演算部A100の故障を検出し、W21=ON,W31=ONとなるため、演算部A100をリセットさせることができ、故障している演算部A100の出力を停止できる。
なお、ANDゲート12〜14が、ANDゲートではなくORゲートである場合には、例えば演算部A100の単一故障の際、W12が異常出力となり、どのような出力になるか分からない状況となる。例えば、W12がONとなってしまった場合、演算部B200が意図しないタイミングでリセットされてしまう虞がある。
このため、本案では、リセット入力側の演算部に対し、監視結果出力側の演算部の単一故障による影響を与えないために、また、故障している演算部のみを確実にリセットさせるために、ANDゲートを備える構成を採用する。
なお、各演算部A100,B200,C300は、RSTxによりリセットされた状態ではWxyがOFF出力となるようにしておく。ただし、各演算部A100,B200,C300がリセットされた状態でのWxyの出力がハイインピーダンスになる場合は、外部プルアップまたはプルダウンによりWxyがOFF出力となるように設定する。
この構成は、1つの演算部故障後の走行継続中に、2つ目の演算部が故障した時に、3つ目の正常動作している演算部が意図せずリセットされることを防ぐためである。リセット状態でWxyがOFFではなくONとなってしまう場合、例えば演算部A100が故障している状態、すなわち、W13=ONで、演算部B200の故障が発生したときに、W23が異常出力によりONとなってしまうと、正常動作している演算部C300がリセットされてしまう。リセット状態ではWxy=OFFとすることで、二重故障発生時にも3つ目の正常動作している演算部が意図せずリセットされることがなくなるようにしている。
ラッチ回路15〜17は、RSTx信号がOFFからONになると、OFF状態からON状態に遷移し、その後は、ANDゲート12〜14の出力状態に関わらず、ON状態を保持する。本構成とすることで、1つの演算部故障後の走行継続中に、2つ目の演算部が故障した時も、1つ目の故障部はリセット状態が継続され、出力停止状態が継続する。
なお、ラッチ回路を備えない場合は、例えば演算部A100が故障している状態で、演算部B200の故障が発生すると、W21が異常出力によりOFFとなってしまい、故障している演算部A100がリセット状態から意図せず復帰してしまう虞がある。さらに、この際、故障部からの出力であるW13,W23が異常出力によりONとなってしまうと、正常動作している演算部C300が意図せずリセットしてしまう虞がある。
このため、本案では、演算部が一度リセットされたら、その後はリセット状態を保持する構成とすることで、上記のような、二重故障発生時にリセットした演算部が意図せずに復帰する虞を取り除いている。なお、ラッチ回路15〜17において、ラッチ状態のクリア、すなわちリセット解除は、例えば、3つ全ての演算部が正常である場合に行うように構成する。ラッチ回路15〜17は、所定のリセット信号を受けるとON状態からOFF状態に遷移する。
[1−2.処理]
次に、各演算部A100,B200,C300が実行する監視処理について、図2以下のフローチャートを用いて説明する。監視処理では、前述の監視機能を処理として実現する。また、監視処理は、例えば、車両の電源が投入されると開始される。
監視処理では、まず、S210で、演算部A100,B200,C300は、他の演算部に故障が発生したか否かを判定する。演算部A100,B200,C300は、他の演算部に故障が発生していない場合に、S210を繰り返す。
また、演算部B200,C300は、演算部A100が故障したと判定すると、S212に移行する。また、演算部A100,C300は、演算部B200が故障したと判定すると、S222に移行する。また、演算部A100,B200は、演算部C300が故障したと判定すると、S232に移行する。
S212では、演算部A100を監視している演算部B200、および演算部C300が演算部A100の異常を検出している。この場合、演算部B200はW21をON出力し、および演算部C300はW31をON出力する。これにより、S213で示すように、RST1がONとなり、演算部A100は動作および出力が停止する。すなわち、故障している演算部A100から外部への異常な信号は全てカットされる。
続いてS214で、演算部B200およびC300は、フェールセーフ処理とは異なる車両の走行制御、例えば、演算部A100が故障していないときの制御状態を表す通常制御状態における制御を継続しつつ、演算部B200およびC300のうちの少なくとも一方は、演算部A100が実行していた車両制御を代替して実行する車両制御機能代替を開始する。この結果、演算部B200と演算部C300とが相互に監視を継続している状態で、走行を継続できる。
なお、機能代替では、通常制御状態で演算部A100が行っている制御全てをそのまま実行してもよいし、機能を縮退して走行に必要な最低限の機能のみを実行してもよい。また、演算部B200およびC300は、演算部A100の故障を受けて、通常制御状態から実行する制御を変更してもよい。また、演算部A100が故障したときに限らず、演算部B200またはC300が故障したときは、他の演算部が同様に機能してもよい。
次に、S222では、演算部B200に故障が発生しており、演算部B200を監視している演算部A100およびC300が演算部B200の異常を検出している。この場合、演算部A100は、W12をON出力し、演算部C300は、W32をON出力する。これにより、S223に示すように、RST2がONとなり、演算部B200は動作および出力が停止する。すなわち、故障している演算部B200から外部への異常な信号は全てカットされる。
続いてS224で、演算部A100およびC300は、通常制御状態における制御を継続しつつ、演算部A100およびC300のうちの少なくとも一方は、演算部B200が実行していた車両制御を代替して実行する車両制御機能代替を開始する。なお、ここでの通常制御状態は、演算部B200が故障していないときの制御状態を表す。この結果、演算部A100と演算部C300とが相互に監視を継続している状態で、走行を継続できる。
次に、S232では、演算部C300に故障が発生しており、演算部C300を監視している演算部A100およびB200が演算部C300の異常を検出している。この場合、演算部A100は、W13をON出力し、演算部B200がW23をON出力する。これにより、S233に示すように、RST3がONとなり、演算部C300は動作および出力が停止する。すなわち、故障している演算部C300から外部への異常な信号は全てカットされる。
続いてS234で、演算部A100およびB200は、通常制御状態における制御を継続しつつ、演算部A100およびB200のうちの少なくとも一方は、演算部C300が実行していた車両制御を代替して実行する車両制御機能代替を開始する。なお、ここでの通常制御状態は、演算部C300が故障していないときの制御状態を表す。この結果、演算部A100と演算部B200とが相互に監視を継続している状態で、走行を継続できる。
引き続き、演算部A100が故障しているときの処理を図3のフローチャートで説明する。演算部A100の故障中には、S301で、演算部B200およびC300は、演算部A100の故障中での走行制御を継続し、S302で、さらに他の演算部の故障が発生したか否かを判定する。すなわち、第一の故障である演算部A100の故障中に、他の演算部の故障である第二の故障が発生したか否かを判定する。
演算部C300が演算部B200の故障の発生を認識した場合、演算部C300は、S312以下の処理を実施する。また、演算部B200が演算部C300の故障の発生を認識した場合、演算部B200は、S322以下の処理を実施する。
S312では、演算部C300が演算部B200の異常を検出し、演算部C300は演算部A100と演算部B200の二重故障を認識する。このとき、W21は不定となるが、ラッチ回路15により、RST1はONが保持され、演算部A100は動作および出力の停止状態が継続される。
続いて、S313で、演算部C300はフェールセーフ処理として、FS3をON出力する。これにより、S314に示すように、FSがONとなり、演算部B200が外部へ異常な信号を出力していたとしても、車両は安全に走行停止することができる。
一方、S322では、演算部B200が演算部C300の異常を検出し、演算部B200は演算部A100と演算部C300の二重故障を認識する。このとき、W31は不定となるが、ラッチ回路15により、RST1はONが保持され、演算部A100は動作および出力の停止状態が継続される。
続いて、S323で、演算部B200はフェールセーフ処理として、FS2をON出力する。これにより、S324に示すように、FSがONとなり、演算部C300が外部へ異常な信号を出力していたとしても、車両は安全に走行停止することができる。
引き続き、演算部B200が故障しているときの処理を図4のフローチャートで説明する。演算部B200の故障中には、S401で、演算部A100およびC300は、演算部B200の故障中での走行制御を継続し、S402で、さらに他の演算部の故障が発生したか否かを判定する。すなわち、第一の故障である演算部B200の故障中に、他の演算部の故障である第二の故障が発生したか否かを判定する。
演算部C300が演算部A100の故障の発生を認識した場合、演算部C300は、S412以下の処理を実施する。また、演算部A100が演算部C300の故障の発生を認識した場合、演算部A100は、S422以下の処理を実施する。
S412では、演算部C300が演算部A100の異常を検出し、演算部C300は演算部B200と演算部A100の二重故障を認識する。このとき、W12は不定となるが、ラッチ回路16により、RST2はONが保持され、演算部B200は動作および出力の停止状態が継続される。
続いて、S413で、演算部C300はフェールセーフ処理として、FS3をON出力する。これにより、S414に示すように、FSがONとなり、演算部A100が外部へ異常な信号を出力していたとしても、車両は安全に走行停止することができる。
一方、S422では、演算部A100が演算部C300の異常を検出し、演算部A100は演算部B200と演算部C300の二重故障を認識する。このとき、W32は不定となるが、ラッチ回路16により、RST2はONが保持され、演算部B200は動作および出力の停止状態が継続される。
続いて、S423で、演算部A100はフェールセーフ処理として、FS1をON出力する。これにより、S424に示すように、FSがONとなり、演算部C300が外部へ異常な信号を出力していたとしても、車両は安全に走行停止することができる。
引き続き、演算部C300が故障しているときの処理を図5のフローチャートで説明する。演算部C300の故障中には、S501で、演算部A100およびB200は、演算部C300の故障中での走行制御を継続し、S502で、さらに他の演算部の故障が発生したか否かを判定する。すなわち、第一の故障である演算部C300の故障中に、他の演算部の故障である第二の故障が発生したか否かを判定する。
演算部B200が演算部A100の故障の発生を認識した場合、演算部B200は、S512以下の処理を実施する。また、演算部A100が演算部B200の故障の発生を認識した場合、演算部A100は、S522以下の処理を実施する。
S512では、演算部B200が演算部A100の異常を検出し、演算部B200は演算部C300と演算部A100の二重故障を認識する。このとき、W13は不定となるが、ラッチ回路17により、RST3はONが保持され、演算部C300は動作および出力の停止状態が継続される。
続いて、S513で、演算部B200はフェールセーフ処理として、FS2をON出力する。これにより、S514に示すように、FSがONとなり、演算部A100が外部へ異常な信号を出力していたとしても、車両は安全に走行停止することができる。
一方、S522では、演算部A100が演算部B200の異常を検出し、演算部A100は演算部C300と演算部B200の二重故障を認識する。このとき、W23は不定となるが、ラッチ回路17により、RST3はONが保持され、演算部C300は動作および出力の停止状態が継続される。
続いて、S523で、演算部A100はフェールセーフ処理として、FS1をON出力する。これにより、S524に示すように、FSがONとなり、演算部B200が外部へ異常な信号を出力していたとしても、車両は安全に走行停止することができる。
次に、図6は、通常制御状態から演算部A100が故障し、続いて演算部B200が故障したときの各信号の状態の一例を示すタイミングチャートである。t61に示す通常制御状態では、各信号はOFFである。
t62は、演算部A100が故障したタイミングである。t63は、演算部B200および演算部C300が演算部A100の異常を検出したタイミングであって、演算部B200およびC300のうちの少なくとも一方が演算部A100の機能代替を開始するタイミングである。
t63ではW21およびW31がONとなり、以降、演算部A100は出力停止状態となるため、演算部B200は故障している演算部A100の影響を受けることなく、動作を継続できる。ここで、t62からt63の間は、演算部A100の出力信号である、W12,W13が不定状態となるが、ANDゲート13および14により、RST2,RST3はOFFを継続し、演算部B200および演算部C300は動作および出力を継続する。
t62からt63の間は、FS1も不定となるため、ORゲート11により、システム全体から出力されるフェールセーフ信号FSは一時的に不定となる。ただし、フェールセーフ処理を実施する装置は、t62からt63の間、一時的にFSがON出力されたとしても、t63のタイミングで、フェールセーフ信号FSが解除された場合には、車両がフェールセーフ状態から復帰できるように構成される。
例えば、フェールセーフ処理を実施する装置として、電動自動車の電動モータのドライバが備えられる場合には、電動モータのドライバは、t62からt63の間、一時的に車両の駆動力をカットするだけで、t63のタイミングからは、通常制御状態と同じく、指令した駆動力で制御するように構成される。
t64は、演算部B200が故障したタイミングであり、t65は、演算部C300が演算部B200の異常を検出し、フェールセーフ処理を行うタイミングである。t65でFS3がONとなり、フェールセーフ信号FSのON出力により、車両は安全に走行停止することができる。
ここでt64以降は、演算部B200の出力信号である、W21が不定状態となるが、ラッチ回路15により、t64以降も演算部A100の出力停止状態が継続する。また、t64以降は、W23も不定状態となるが、ANDゲート14により、RST3はOFFを継続し、演算部C300は動作および出力を継続する。
さらに、t64以降は、FS2も不定状態となるため、ORゲート11により、システム全体から出力されるフェールセーフ信号FSは、t64からt65の間、不定となる。しかし、仮にこの間FS2がON出力されていたとしても、FSがONとなるタイミングがt65から早まるだけであり、車両は安全に走行停止することができるため、問題とはならない。
以上のような構成と動作により、3つの演算部の内任意の1つの演算部が故障した場合にも、残りの2つの演算部で制御と監視を継続可能である。また、残りの2つの演算部が故障部の動作と出力を停止させるので、単一故障に対し安全に走行機能を継続可能である。さらに、3つの内、任意の2つの演算部が故障した場合も、残りの1つの演算部がフェールセーフ信号を出力することで、二重故障に対し安全に走行停止可能である。
[1−3.効果]
上記の車両制御システム1Aは、下記をポイントとする。
・3つの制御装置である演算部A100,B200,C300が相互に監視し合う構成とすることで、その内任意の1つの演算部が故障した場合にも、残りの2つの演算部で制御と監視を継続可能である。また、残りの2つの演算部が故障部の出力を停止させることで、単一故障に対し安全に走行機能を継続可能である。
・3つの内、任意の2つの演算部が故障した場合には、残りの1つの演算部がフェールセーフ信号を出力可能である。すなわち、二重故障に対し安全に走行停止可能である。
・各演算部に対し、他の演算部の代替が可能なソフトウェアをあらかじめ組み込んでおけば、待機系の演算処理装置を別途備える必要は無く、従来から存在する演算部のみで本案を実現でき、開発コストも抑えられる。
詳細には、以上詳述した第1実施形態によれば、以下の構成を備えるとともに、以下の効果を奏する。
(1a)上記の車両制御システム1Aは、3つ以上の演算部A100,B200,C300を備える。演算部A100,B200,C300は、S210,S302,S402,S502で、当該演算部を除く他の演算部が故障していることを認識するように構成される。
故障した演算部A100,B200,C300を故障部とし、故障していない演算部A100,B200,C300を正常部として、演算部A100,B200,C300は、S214,S224,S234,S313,S323,S413,S423,S513,S523で、他の演算部のうちの予め2以上の数に設定された規定数以上の演算部A100,B200,C300が故障部である場合、予め設定されたフェールセーフ処理を実施する旨の出力を行い、他の演算部A100,B200,C300のうちの規定数未満の演算部A100,B200,C300が故障部である場合、正常部がフェールセーフ処理とは異なる車両の走行制御を実施する旨の出力を行うように構成される。
なお、本実施形態では、規定数は2に設定される。このため、演算部A100,B200,C300は、故障部の数が1である場合に、フェールセーフ処理とは異なる車両の走行制御として、通常制御を実施する旨の出力を行い、故障部の数が2である場合に、フェールセーフ処理を実施する旨の出力を行う。
このような構成によれば、可能な限り制御を継続できるようにしつつ、より安全に車両を制御することができる。
(1b)上記の車両制御システム1Aにおいて、各演算部A100,B200,C300は、他の演算部A100,B200,C300のうちの何れかが正常部である場合、S212,S222,S232で、故障部に対して出力を停止させるための停止指令を送信するように構成される。
このような構成によれば、車両の走行制御に悪影響を与える可能性がある故障部からの出力を遮断することができる。
(1c)上記の車両制御システム1Aは、各演算部A100,B200,C300から送信された停止指令を受信可能であり、2以上の演算部からの停止指令を受けたときのみ前記故障部の出力を停止させるように構成されたANDゲート12,13,14をさらに備える。
このような構成によれば、リセット入力側の演算部に対し、監視結果出力側の演算部の単一故障による影響を与えないようにし、故障している演算部のみを確実にリセットさせることができる。
(1d)上記の車両制御システム1Aは、停止指令が送信されると、少なくともフェールセーフ処理開始後まで前記故障部に対する該停止指令の出力を継続させるように構成されたラッチ回路15,16,17をさらに備える。
このような構成によれば、少なくともフェールセーフ処理開始後まで故障部からの出力を抑制することができる。
[2.第2実施形態]
[2−1.第1実施形態との相違点]
第2実施形態は、基本的な構成は第1実施形態と同様であるため、相違点について以下に説明する。なお、第1実施形態と同じ符号は、同一の構成を示すものであって、先行する説明を参照する。
前述した第1実施形態では、複数の演算部A100,B200,C300が互いに故障しているか否かを監視するように構成した。監視の目的は、通常制御状態における任意の1つの演算部の故障検出と、1つの演算部故障中の残りの演算部での二重故障の検出であるので、これらが実現できるような監視体系であればよい。
具体的には、第2実施形態では、各演算部A100,B200,C300が他の何れか1つ以上の演算部に監視されており、第一の故障発生後に、残りの2つで相互監視を行うように切り替えるような形態とする点で第1実施形態と相違する。これにより、通常制御状態における各演算部の監視に係る処理リソースを削減することができる。
[2−2.構成]
図7は、第2実施形態の車両制御システム1Bを示す。図7の左図は、各演算部A100,B200,C300が通常制御状態である場合に、演算部A100が演算部B200に、演算部B200が演算部C300に、演算部C300が演算部A100に監視される構成を示す。つまり、上記の車両制御システム1Bにおいて各演算部A100,B200,C300は、ある演算部が監視対象とする1の演算部とは異なる1の演算部から監視される構成とすることで、監視対象となる演算部がリング状に接続され、全ての演算部A100,B200,C300が何れか1の演算部に監視されるように構成される。
また、図7の右図は、演算部A100故障時に、演算部B200と演算部C300が相互監視を行うように切り替えるケースを図示している。つまり、各演算部A100,B200,C300は、監視対象である演算部が故障部であることが認識された場合、正常部の何れかに対して、当該正常部の監視対象に、当該故障部が監視対象としていた演算部を追加するように構成される。
[2−3.処理]
次に、第2実施形態の各演算部A100,B200,C300が、第1実施形態の監視処理に代えて実行する監視処理について、図8のフローチャートを用いて説明する。なお、本処理では説明を一部簡略化している。
第2実施形態の監視処理において、各演算部A100,B200,C300は、前述のS210で、監視対象の演算部が故障したか否かを判定する。ここでは、演算部A100が故障した場合の例について説明する。なお、演算部B200または演算部C300が故障した場合には、説明を省略するが、故障していない演算部が故障した演算部に応じて以下に述べる処理に対応する処理を実施すればよい。
S210で演算部A100が故障したと判定された場合には、図8に示すS81で、演算部B200が演算部A100の異常を検出し、W21をON出力する。この際、演算部B200は、演算部C300に対し、演算部A100の異常を検出したことを通知する。
そして、演算部B200は演算部C300の監視を開始する。すなわち、演算部B200は演算部A100のみを監視していた状態から、演算部C300も監視する状態に遷移する。演算部C300は、既に演算部B200を監視しており、演算部B200が演算部C300の監視を開始することで、演算部B200および演算部C300は、互いに監視し合う、相互監視を開始する。
続いて、演算部C300は、S82で、演算部B200から、演算部A100の異常検出通知を受信し、演算部B200が監視正常であることを確認した上で、W31をON出力する。演算部B200が監視正常であることを確認するのは、演算部B200が故障している場合には、演算部A100の異常検出通知自体が信頼性のない情報となるためである。演算部B200が監視正常であれば、演算部A100の異常検出通知は信頼性のある情報のため、演算部A100が故障していると正しく判断できる。
S82以下は、S213以下の処理を実施するとよい。
[2−4.効果]
以上詳述した第2実施形態によれば、前述した第1実施形態の効果(1a)を奏し、さらに、以下の効果を奏する。
(2a)上記の車両制御システム1Bにおいて各演算部A100,B200,C300は、全ての演算部A100,B200,C300が何れか1以上の演算部に監視されるように構成され、当該演算部の監視対象である演算部が故障部であることが認識された場合、当該故障部が監視対象としていた演算部が当該故障部を除く他の何れの正常部からも監視されない場合には、1以上の正常部に対して、当該正常部の監視対象に、当該故障部が監視対象としていた演算部を追加するように構成される。
このような構成によれば、演算部A100,B200,C300が1以上の演算部から監視される構成とし、何れかの演算部A100,B200,C300が故障したときに、必要に応じて一部の演算部の監視対象に他の演算部を追加する構成とするので、全ての演算部A100,B200,C300が常に2以上の演算部を監視する必要がない。よって、演算部A100,B200,C300間でのデータのやり取りを少なくすることができ、簡素な構成とすることができる。
なお、上記第2実施形態では、故障のない状態においては、演算部A100,B200,C300が1の演算部を順に監視することでリング状に監視する構成としたが、この構成に限らず、演算部A100,B200,C300が何れか1以上の演算部に監視されるように構成であればよい。例えば、演算部A100が演算部B200に、演算部B200が演算部C300に、演算部C300が演算部A100とB200とに監視される構成としてもよいし、演算部A100が演算部B200に、演算部B200およびC300が演算部A100に監視される構成としてもよい。
[3.第3実施形態]
[3−1.第1実施形態との相違点]
前述した第1実施形態では、複数の演算部が故障した場合に、フェールセーフ信号を出力するように構成した。これに対し、第3実施形態では、特定の演算部が故障した場合には、単一故障であってもフェールセーフ信号を出力する点で、第1実施形態と相違する。
特定の演算部には、例えば、故障部が生じたことで車両の走行に支障を来す虞がある演算部、特に重要な演算部、本来であれば故障しにくいはずの演算部等が設定される。
ここでは、演算部C300が故障した場合に、他の演算部が故障していない場合であってもフェールセーフ信号を出力する例について説明する。
[3−2.構成]
第3実施形態の車両制御システム1Cは、図9に示すように、第1実施形態の車両制御システム1Aに対して、ANDゲート14、ラッチ回路17、およびこれらの回路に関する信号ラインを省略した構成である。すなわち、車両制御システム1Cでは、演算部C300が異常な信号を出力していても、フェールセーフ信号が出力されて安全に走行停止できるため、演算部C300の動作および出力を停止する必要がなく、RST3は不要となる。
[3−3.処理]
次に、第3実施形態の各演算部A100,B200,C300が、第1実施形態の監視処理に代えて実行する監視処理について、図10のフローチャートを用いて説明する。
第3実施形態の監視処理において、各演算部A100,B200,C300は、前述のS210で、監視対象の演算部が故障したか否かを判定する。
S210で演算部C300が故障したと判定された場合には、図9に示すS91で、演算部A100または演算部B200あるいはその両方は、フェールセーフ信号FS1,FS2を出力する。これにより、S92に示すように、FSがONとなり、車両は安全に走行停止することができる。
なお、S210の処理で、演算部C300以外の演算部が故障したと判定された場合には、第1実施形態の監視処理と同様とすればよいため記載を省略する。
[3−4.効果]
以上詳述した第3実施形態によれば、前述した第1実施形態の効果(1a)を奏し、さらに、以下の効果を奏する。
(3a)上記の車両制御システム1Cにおいて演算部A100,B200,C300は、故障部が生じたことで車両の走行に支障を来すか否かを判定し、車両の走行に支障を来すと判定されると、他の演算部A100,B200,C300のうちの何れかが正常部である場合であっても、フェールセーフ処理を実施する旨の出力を行うように構成される。
このような構成によれば、車両の走行に支障を来す虞がある演算部A100,B200,C300が故障部になった場合には、フェールセーフ処理を実施できるので、より安全に車両を制御することができる。
(3b)上記の車両制御システム1Cにおいては、演算部C300をリセットする構成を省略している。このような構成によれば、RST3の信号ラインを設けるコストを削減できる。
(3c)上記の車両制御システム1Cは、予め設定された特定演算部A100,B200,C300が故障部であるか否かを判定し、特定演算部が故障部であると判定されると、他の演算部のうちの規定数未満の演算部が故障部である場合であっても、フェールセーフ処理を実施する旨の出力を行うように構成される。
このような構成によれば、重要な演算部や故障しにくいはずの演算部等の特定演算部が故障部になった場合には、複数の正常部が存在するとしてもフェールセーフ処理を実施できるので、より安全に車両を制御することができる。
(3d)なお、上記の車両制御システム1Cの採否は、RST3信号ラインを設けることによる費用対効果から判断すればよい。例えば、演算部C300には単純な監視のみを行わせるなど、複雑な機能を持たせなくてよい場合、演算部C300はCPUやメモリを持たない、比較的小規模で単純なICで実現されてもよい。
単純なICで実現されるが故に、演算部C300の単一故障率が、演算部A100と演算部B200の二重故障が起こる確率よりも極めて低い場合、すなわち、高い確率で、演算部C300の単一故障よりも先に演算部A100と演算部B200の二重故障が起こる場合には、RST3信号ラインを設けることによる費用対効果が低いのであるから、本実施形態の構成を採用してもよい。
また、走行を継続するのに必ず必要な演算部がある場合、該演算部の故障時には走行を継続できないのであるから、本実施形態の構成を採用し、該演算部の単一故障を検出した他の演算部からフェールセーフ信号を出力するようにすればよい。
[4.第4実施形態]
[4−1.第1実施形態との相違点]
前述した第1実施形態の車両制御システム1Aは、3つの演算部を備えて構成している。これに対し、第4実施形態の車両制御システム1Dでは、4つ以上の演算部を備えて構成している点で、第1実施形態と相違する。
すなわち、4つ以上の演算部のうち、任意の1つの演算部が故障した場合にも、残りの演算部で制御と監視を継続可能であればよい。また、任意の2つの演算部が故障した場合には、残っている1つ以上の演算部がフェールセーフ信号を出力可能であればよい。
[4−2.構成]
図11は4つの演算部によるシステム構成例である。車両制御システム1Dは、演算部D400、ANDゲート18、およびラッチ回路19をさらに備える。演算部D400は、例えば、他の演算部と同様のハードウェア構成を有し、予め設定された任意の車両制御を実行する。
車両制御システム1Dでは、1つの演算部は隣接する2つの演算部と相互に監視を行う。ただし、隣接していない、図11では対角の位置にある演算部は、相互に監視する必要はない。
ANDゲート18は、演算部A100および演算部C300から出力されるW14,W34に基づく出力を行う。ラッチ回路19は、ANDゲート18の出力が入力され、他のラッチ回路15〜17と同様に作動する。
[4−3.処理]
次に、第4実施形態の各演算部A100,B200,C300,D400が、第1実施形態の監視処理に代えて実行する監視処理について、図12のフローチャートを用いて説明する。図12は、第一の故障として、例えば、演算部A100が故障したときのフロー詳細である。
第4実施形態の監視処理において、各演算部A100,B200,C300,D400は、前述のS210で、監視対象の演算部が故障したか否かを判定する。S210で演算部A100が故障したと判定された場合には、図12に示すS121で、演算部B200または演算部D400が演算部A100の異常を検出し、W21およびW41をON出力する。
これにより、S122に示すように、RST1がONとなり、演算部A100は動作および出力が停止する。そして、S123で、演算部B200または演算部D400は、演算部C300に対し、演算部A100の異常を検出したことを通知する。
続いて、S124で、演算部C300は、演算部B200または演算部D400から、演算部A100の異常検出通知を受信し、演算部B200または演算部D400が監視正常であることを確認した上で、演算部A100の異常をメモリに記憶する。演算部B200または演算部D400が監視正常であることを確認するのは、演算部B200または演算部D400が故障している場合には、演算部B200または演算部D400からの演算部A100の異常検出通知自体が信頼性のない情報となるためである。演算部B200または演算部D400が監視正常であれば、演算部A100の異常検出通知は信頼性のある情報のため、演算部A100が故障していると正しく判断できる。
そして、S125で、演算部B200,C300,D400は、通常制御状態における制御を継続しつつ、何れか1つ以上の演算部で演算部A100の車両制御機能代替を開始する。すると、演算部B200と演算部C300とが相互に監視を継続し、演算部D400と演算部C300とが相互に監視を継続している状態で、走行を継続できる。
引き続き、演算部A100が故障しているときの処理を図13のフローチャートで説明する。演算部A100の故障中には、S1301で、演算部B200,C300,D400は、演算部A100の故障中での走行制御を継続し、S1302で、さらに他の演算部の故障が発生したか否かを判定する。すなわち、第一の故障である演算部A100の故障中に、他の演算部の故障である第二の故障が発生したか否かを判定する。
演算部C300が演算部B200の故障の発生を認識した場合、演算部C300は、S1312以下の処理を実施する。また、演算部B200または演算部D400が演算部C300の故障の発生を認識した場合、演算部B200または演算部D400は、S1322以下の処理を実施する。また、演算部C300が演算部D400の故障の発生を認識した場合、演算部C300は、S1332以下の処理を実施する。
S1312では、演算部C300が演算部B200の異常を検出し、演算部C300は演算部A100と演算部B200の二重故障を認識する。
続いて、S1313で、演算部C300はフェールセーフ処理として、FS3をON出力する。これにより、S1314に示すように、FSがONとなり、車両は安全に走行停止することができる。すなわち、演算部C300は、S124で記憶していた演算部A100の異常と合わせて、他の演算部の異常を認識したときに、二重故障であると認識できるので、良好にフェールセーフ処理を行うことができる。
一方、S1322では、演算部B200または演算部D400が演算部C300の異常を検出し、演算部B200または演算部D400は演算部A100と演算部C300の二重故障を認識する。続いて、S1323で、演算部B200または演算部D400はフェールセーフ処理として、FS2をON出力する。これにより、S1324に示すように、FSがONとなり、車両は安全に走行停止することができる。
また、S1332では、演算部C300が演算部D400の異常を検出し、演算部C300は演算部A100と演算部D400の二重故障を認識する。
続いて、S1333で、演算部C300はフェールセーフ処理として、FS3をON出力する。これにより、S1334に示すように、FSがONとなり、車両は安全に走行停止することができる。
なお、S210の処理で、演算部C300以外の演算部が故障したと判定された場合には、故障した演算部以外の演算部が故障した演算部に応じてS121以下に対応する処理を実行すればよいため記載を省略する。
[4−4.効果]
以上詳述した第4実施形態によれば、前述した第1実施形態の効果(1a)を奏し、さらに、以下の効果を奏する。
(4a)第4実施形態の車両制御システム1Dでは、4つ以上の演算部を備えて構成される。このような構成によれば、演算部の数が4以上の構成であっても二重故障に対応することができる。
[5.他の実施形態]
以上、本開示の実施形態について説明したが、本開示は上述の実施形態に限定されることなく、種々変形して実施することができる。
(5a)上記実施形態では、原則として2つの演算部が故障した場合にフェールセーフ処理を実施したが、これに限定されるものではない。例えば、多数の演算部を備える構成では、例えば3つ以上の演算部が故障した場合にフェールセーフ処理を実施するようにしてもよい。すなわち、演算部A100,B200,C300,D400は、故障した演算部A100,B200,C300,D400を故障部とし、故障していない演算部A100,B200,C300,D400を正常部として、他の演算部のうちの予め3以上の数に設定された規定数以上の演算部が故障部である場合、予め設定されたフェールセーフ処理を実施する旨の出力を行い、他の演算部のうちの規定数未満の演算部A100,B200,C300,D400が故障部である場合、正常部がフェールセーフ処理とは異なる車両の走行制御を実施する旨の出力を行うように構成されてもよい。
(5b)上記実施形態における1つの構成要素が有する複数の機能を、複数の構成要素によって実現したり、1つの構成要素が有する1つの機能を、複数の構成要素によって実現したりしてもよい。また、複数の構成要素が有する複数の機能を、1つの構成要素によって実現したり、複数の構成要素によって実現される1つの機能を、1つの構成要素によって実現したりしてもよい。また、上記実施形態の構成の一部を省略してもよい。また、上記実施形態の構成の少なくとも一部を、他の上記実施形態の構成に対して付加又は置換してもよい。なお、特許請求の範囲に記載した文言から特定される技術思想に含まれるあらゆる態様が本開示の実施形態である。
(5c)上述した車両制御システム1A,1B,1C,1Dの他、当該車両制御システム1A,1B,1C,1Dの構成要素となる演算部A100,B200,C300,D400、演算部A100,B200,C300を備える車両制御装置、当該車両制御システム1Aとしてコンピュータを機能させるためのプログラム、このプログラムを記録した半導体メモリ等の非遷移的実態的記録媒体、監視方法など、種々の形態で本開示を実現することもできる。
[6.実施形態の構成と本開示の構成との対応関係]
上記実施形態において、車両制御システム1A,1B,1C,1Dは本開示でいう車両制御装置に相当し、ANDゲート12,13,14,18は本開示でいう停止出力部に相当し、ラッチ回路15,16,17,19は本開示でいう出力継続部に相当する。また、演算部A100,B200,C300,D400が実行する処理のうちの、S210,S302,S402,S502,S1302の処理は本開示でいう故障認識部に相当し、S214,S224,S234,S313,S323,S413,S423,S513,S523,S91,S125,S1313,S1323,S1333の処理は制御出力部に相当する。
また、S212,S222,S232,S81,S82,S121の処理は本開示でいう停止送信部に相当し、S81の処理は本開示でいう追加設定部に相当し、S210の処理は本開示でいう支障判定部、故障判定部に相当する。
1A,1B,1C,1D…車両制御システム、11…ORゲート、12,13,14,18…ANDゲート、15,16,17,19…ラッチ回路、A100,B200,C300,D400…演算部。

Claims (8)

  1. 車両に搭載され、3以上の演算部(A100,B200,C300,D400)のそれぞれが他の2以上の演算部から故障の有無を監視可能に構成された車両制御システム(1A,1B,1C,1D)であって、
    各演算部は、
    当該演算部を除く他の演算部が故障していることを認識するように構成された故障認識部(S210,S302,S402,S502,S1302)と、
    故障した演算部を故障部とし、故障していない演算部を正常部として、前記他の演算部のうちの予め2以上の数に設定された規定数以上の演算部が前記故障部である場合、予め設定されたフェールセーフ処理を実施する旨の出力を行い、前記他の演算部のうちの前記規定数未満の演算部が前記故障部である場合、前記正常部が前記フェールセーフ処理とは異なる車両の走行制御を実施する旨の出力を行うように構成された制御出力部(S214,S224,S234,S313,S323,S413,S423,S513,S523,S91,S125,S1313,S1323,S1333)と、
    を備える車両制御システム。
  2. 請求項1に記載の車両制御システムであって、
    前記各演算部は、
    前記他の演算部のうちの何れかが前記正常部である場合、前記故障部に対して出力を停止させるための停止指令を送信するように構成された停止送信部(S212,S222,S232,S81,S82,S121)、
    をさらに備える車両制御システム。
  3. 請求項2に記載の車両制御システムであって、
    前記各演算部から送信された停止指令を受信可能であり、2以上の演算部からの停止指令を受けたときのみ前記故障部の出力を停止させるように構成された停止出力部(12,13,14,18)、
    をさらに備える車両制御システム。
  4. 請求項2または請求項3に記載の車両制御システムであって、
    前記停止指令が送信されると、少なくともフェールセーフ処理開始後まで前記故障部に対する該停止指令の出力を継続させるように構成された出力継続部(15,16,17,19)、
    をさらに備える車両制御システム。
  5. 請求項1から請求項4の何れか1項に記載の車両制御システムであって、
    前記各演算部は、
    全ての演算部が何れか1以上の演算部に監視されるように構成され、
    前記故障認識部により当該演算部の監視対象である演算部が故障部であることが認識された場合、1以上の正常部に対して、当該正常部の監視対象に、当該故障部が監視対象としていた演算部を追加するように構成された追加設定部(S81)、
    をさらに備える車両制御システム。
  6. 請求項1から請求項5の何れか1項に記載の車両制御システムであって、
    故障部が生じたことで車両の走行に支障を来すか否かを判定する支障判定部(S210)、
    をさらに備え、
    前記制御出力部は、車両の走行に支障を来すと判定されると、前記他の演算部のうちの前記規定数未満の演算部が前記故障部である場合であっても、前記フェールセーフ処理を実施する旨の出力を行う
    ように構成された車両制御システム。
  7. 請求項1から請求項6の何れか1項に記載の車両制御システムであって、
    前記複数の演算部のうちの予め設定された演算部を表す特定演算部が前記故障部であるか否かを判定する故障判定部(S210)、
    をさらに備え、
    前記制御出力部は、前記特定演算部が前記故障部であると判定されると、前記他の演算部のうちの前記規定数未満の演算部が前記故障部である場合であっても、前記フェールセーフ処理を実施する旨の出力を行う
    ように構成された車両制御システム。
  8. 車両に搭載され、3以上の演算部(A100,B200,C300,D400)のそれぞれが他の2以上の演算部から故障の有無を監視可能に構成された車両制御装置(1A,1B,1C,1D)であって、
    各演算部は、
    当該演算部を除く他の演算部が故障していることを認識するように構成された故障認識部(S210,S302)と、
    故障した演算部を故障部とし、故障していない演算部を正常部として、前記他の演算部のうちの予め2以上の数に設定された規定数以上の演算部が前記故障部である場合、予め設定されたフェールセーフ処理を実施する旨の出力を行い、前記他の演算部のうちの前記規定数未満の演算部が前記故障部である場合、前記正常部が前記フェールセーフ処理とは異なる車両の走行制御を実施する旨の出力を行うように構成された制御出力部(S214,S224,S234,S313,S323,S413,S423,S513,S523,S91,S125,S1313,S1323,S1333)と、
    を備える車両制御装置。
JP2017253897A 2017-12-28 2017-12-28 車両制御システムおよび車両制御装置 Active JP7163576B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017253897A JP7163576B2 (ja) 2017-12-28 2017-12-28 車両制御システムおよび車両制御装置
DE102018221840.4A DE102018221840A1 (de) 2017-12-28 2018-12-14 Fahrzeugsteuerungssystem und Fahrzeugsteuerungsvorrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017253897A JP7163576B2 (ja) 2017-12-28 2017-12-28 車両制御システムおよび車両制御装置

Publications (2)

Publication Number Publication Date
JP2019121043A true JP2019121043A (ja) 2019-07-22
JP7163576B2 JP7163576B2 (ja) 2022-11-01

Family

ID=66817108

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017253897A Active JP7163576B2 (ja) 2017-12-28 2017-12-28 車両制御システムおよび車両制御装置

Country Status (2)

Country Link
JP (1) JP7163576B2 (ja)
DE (1) DE102018221840A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021083192A (ja) * 2019-11-15 2021-05-27 株式会社デンソー インバータの運転停止装置
WO2021255985A1 (ja) * 2020-06-16 2021-12-23 日立Astemo株式会社 電子制御装置、及び車両制御方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0887341A (ja) * 1994-09-16 1996-04-02 Fujitsu Ltd 自動縮退立ち上げ機能を有したコンピュータシステム
JP2011039702A (ja) * 2009-08-07 2011-02-24 Autonetworks Technologies Ltd 制御システム
JP2011065528A (ja) * 2009-09-18 2011-03-31 Toyota Motor Corp マルチプロセッサシステム
JP2015058865A (ja) * 2013-09-20 2015-03-30 Ntn株式会社 後輪転舵装置の制御装置
JP2016071771A (ja) * 2014-10-01 2016-05-09 株式会社デンソー 制御装置及び監視装置
JP2017094908A (ja) * 2015-11-24 2017-06-01 株式会社デンソー 電子制御装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0887341A (ja) * 1994-09-16 1996-04-02 Fujitsu Ltd 自動縮退立ち上げ機能を有したコンピュータシステム
JP2011039702A (ja) * 2009-08-07 2011-02-24 Autonetworks Technologies Ltd 制御システム
JP2011065528A (ja) * 2009-09-18 2011-03-31 Toyota Motor Corp マルチプロセッサシステム
JP2015058865A (ja) * 2013-09-20 2015-03-30 Ntn株式会社 後輪転舵装置の制御装置
JP2016071771A (ja) * 2014-10-01 2016-05-09 株式会社デンソー 制御装置及び監視装置
JP2017094908A (ja) * 2015-11-24 2017-06-01 株式会社デンソー 電子制御装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021083192A (ja) * 2019-11-15 2021-05-27 株式会社デンソー インバータの運転停止装置
JP7338418B2 (ja) 2019-11-15 2023-09-05 株式会社デンソー インバータの運転停止装置
WO2021255985A1 (ja) * 2020-06-16 2021-12-23 日立Astemo株式会社 電子制御装置、及び車両制御方法
JP7470191B2 (ja) 2020-06-16 2024-04-17 日立Astemo株式会社 電子制御装置、及び車両制御方法

Also Published As

Publication number Publication date
JP7163576B2 (ja) 2022-11-01
DE102018221840A1 (de) 2019-07-04

Similar Documents

Publication Publication Date Title
CN112004730B (zh) 车辆控制装置
JP6599054B2 (ja) 異常判定装置、異常判定方法及び異常判定プログラム
CN105515739B (zh) 具有第一计算单元和第二计算单元的系统和运行系统的方法
US9372774B2 (en) Redundant computing architecture
US9563523B2 (en) Architecture for scalable fault tolerance in integrated fail-silent and fail-operational systems
US9604585B2 (en) Failure management in a vehicle
US9058419B2 (en) System and method for verifying the integrity of a safety-critical vehicle control system
CN111976623B (zh) 面向智能汽车的底盘域控制器、车辆的控制方法及车辆
CN110785742A (zh) 用以依赖于状态信号驱控车辆模块的设备和方法
CN111665849B (zh) 一种自动驾驶系统
US20110043323A1 (en) Fault monitoring circuit, semiconductor integrated circuit, and faulty part locating method
US11173922B2 (en) Vehicle control device and vehicle control system
US20150169424A1 (en) Operation Of I/O In A Safe System
CN111891134A (zh) 自动驾驶处理系统和片上系统、监测处理模块的方法
CN113968237B (zh) 一种无人驾驶车辆转向系统及运行方法、存储装置
JP7163576B2 (ja) 車両制御システムおよび車両制御装置
CN115826393A (zh) 一种飞控系统的双余度管理方法及装置
WO2014030247A1 (ja) 車載通信システムおよび車載通信方法
Hammett et al. Achieving 10⁻ ⁹ Dependability with Drive-by-Wire Systems
JP7470191B2 (ja) 電子制御装置、及び車両制御方法
CN110140112B (zh) 锁步系统的周期性非侵入性诊断
CN106970550B (zh) 车辆子系统通信仲裁
JP2018160710A (ja) 車両用制御装置
US20220032966A1 (en) On-vehicle control apparatus and on-vehicle control system
KR101448013B1 (ko) 항공기용 다중 컴퓨터의 고장 허용 장치 및 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201117

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210908

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210928

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211108

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220322

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220512

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220920

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221003

R151 Written notification of patent or utility model registration

Ref document number: 7163576

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151