JP5741550B2 - Control device and vehicle control system - Google Patents

Control device and vehicle control system Download PDF

Info

Publication number
JP5741550B2
JP5741550B2 JP2012233026A JP2012233026A JP5741550B2 JP 5741550 B2 JP5741550 B2 JP 5741550B2 JP 2012233026 A JP2012233026 A JP 2012233026A JP 2012233026 A JP2012233026 A JP 2012233026A JP 5741550 B2 JP5741550 B2 JP 5741550B2
Authority
JP
Japan
Prior art keywords
function
control
inspection
result information
monitor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012233026A
Other languages
Japanese (ja)
Other versions
JP2014085761A (en
Inventor
浩生 国部
浩生 国部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2012233026A priority Critical patent/JP5741550B2/en
Priority to DE201310221343 priority patent/DE102013221343A1/en
Publication of JP2014085761A publication Critical patent/JP2014085761A/en
Application granted granted Critical
Publication of JP5741550B2 publication Critical patent/JP5741550B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D11/00Arrangements for, or adaptations to, non-automatic engine control initiation means, e.g. operator initiated
    • F02D11/06Arrangements for, or adaptations to, non-automatic engine control initiation means, e.g. operator initiated characterised by non-mechanical control linkages, e.g. fluid control linkages or by control linkages with power drive or assistance
    • F02D11/10Arrangements for, or adaptations to, non-automatic engine control initiation means, e.g. operator initiated characterised by non-mechanical control linkages, e.g. fluid control linkages or by control linkages with power drive or assistance of the electric type
    • F02D11/105Arrangements for, or adaptations to, non-automatic engine control initiation means, e.g. operator initiated characterised by non-mechanical control linkages, e.g. fluid control linkages or by control linkages with power drive or assistance of the electric type characterised by the function converting demand to actuation, e.g. a map indicating relations between an accelerator pedal position and throttle valve opening or target engine torque
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02NSTARTING OF COMBUSTION ENGINES; STARTING AIDS FOR SUCH ENGINES, NOT OTHERWISE PROVIDED FOR
    • F02N11/00Starting of engines by means of electric motors
    • F02N11/08Circuits or control means specially adapted for starting of engines
    • F02N11/0814Circuits or control means specially adapted for starting of engines comprising means for controlling automatic idle-start-stop
    • F02N11/0818Conditions for starting or stopping the engine or for deactivating the idle-start-stop mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • F02D2041/227Limping Home, i.e. taking specific engine control measures at abnormal conditions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • F02D2041/228Warning displays
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D2250/00Engine control related to specific problems or objectives
    • F02D2250/18Control of the engine output torque
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02NSTARTING OF COMBUSTION ENGINES; STARTING AIDS FOR SUCH ENGINES, NOT OTHERWISE PROVIDED FOR
    • F02N11/00Starting of engines by means of electric motors
    • F02N11/08Circuits or control means specially adapted for starting of engines
    • F02N11/0814Circuits or control means specially adapted for starting of engines comprising means for controlling automatic idle-start-stop
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02NSTARTING OF COMBUSTION ENGINES; STARTING AIDS FOR SUCH ENGINES, NOT OTHERWISE PROVIDED FOR
    • F02N11/00Starting of engines by means of electric motors
    • F02N11/10Safety devices
    • F02N11/108Safety devices for diagnosis of the starter or its components
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02NSTARTING OF COMBUSTION ENGINES; STARTING AIDS FOR SUCH ENGINES, NOT OTHERWISE PROVIDED FOR
    • F02N2300/00Control related aspects of engine starting
    • F02N2300/20Control related aspects of engine starting characterised by the control method
    • F02N2300/2002Control related aspects of engine starting characterised by the control method using different starting modes, methods, or actuators depending on circumstances, e.g. engine temperature or component wear
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02NSTARTING OF COMBUSTION ENGINES; STARTING AIDS FOR SUCH ENGINES, NOT OTHERWISE PROVIDED FOR
    • F02N2300/00Control related aspects of engine starting
    • F02N2300/30Control related aspects of engine starting characterised by the use of digital means
    • F02N2300/302Control related aspects of engine starting characterised by the use of digital means using data communication
    • F02N2300/304Control related aspects of engine starting characterised by the use of digital means using data communication with other systems inside the vehicle
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Microcomputers (AREA)
  • Hardware Redundancy (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Description

本発明は、制御装置及び車両制御システムに関する。   The present invention relates to a control device and a vehicle control system.

マイクロコンピュータ(以下、マイコンという)として、2つ1組の実施ユニット(コア)が同じ処理を同時に行うと共に、その両実施ユニットの出力を比較器で比較し、2つの出力が同じならば、それらの一方を出力信号として外部へ出力するが、2つの出力が不一致ならば出力信号を遮断する、というものがある(例えば、特許文献1参照)。このマイコンは、2つのコアがロックステップモードで動作するマイコンである。   As a microcomputer (hereinafter referred to as “microcomputer”), two execution units (cores) perform the same processing at the same time, and the outputs of both execution units are compared by a comparator. One of these is output to the outside as an output signal, but if the two outputs do not match, the output signal is cut off (see, for example, Patent Document 1). This microcomputer is a microcomputer in which two cores operate in the lockstep mode.

特表2009−505182号公報Special table 2009-505182

上記のマイコンを、何らかの制御を実施するのに用いた場合、2つのコアが同じ制御用処理を行うと共に、どちらかのコアによる処理結果に異常が生じた場合には、該マイコンからの出力信号が遮断されて、制御の実施自体が停止することとなる。このため、不定な制御が行われてしまうことを防止できるものの、フェイルセーフとして、例えば一部機能の禁止で済ます、ということはできない。つまり、フェイルセーフを実施することによる安全性は実現できても、故障時に制御システムを継続して稼働できるようにするという可用性は実現することができない。   When the above microcomputer is used to carry out some control, the two cores perform the same control processing, and if an abnormality occurs in the processing result of either core, the output signal from the microcomputer Is interrupted, and the control itself is stopped. For this reason, although it is possible to prevent indefinite control from being performed, it is not possible to prohibit, for example, some functions as fail safe. That is, even if the safety by implementing fail-safe can be realized, the availability of enabling the control system to continue operating in the event of a failure cannot be realized.

そこで、本発明は、制御装置において、制御機能に異常が生じた場合の安全性と可用性とを両立させることを目的としている。   Therefore, an object of the present invention is to achieve both safety and availability when an abnormality occurs in a control function in a control device.

本発明の制御装置は、プログラムに従い独立して別の処理を行う少なくとも2つの処理装置を備えている。
そして、2つの処理装置のうちの一方の処理装置は、第1のプログラムによって実現される機能として、第1の制御を行う第1の制御機能を備えている。 The control device of the present invention includes at least two processing devices that perform different processing independently according to a program.
One processing device of the two processing devices includes a first control function for performing a first control as a function realized by the first program.

また、2つの処理装置のうちの他方の処理装置は、第2のプログラムによって実現される機能として、一方の処理装置による第1の制御機能が正常か否かを監視し、第1の制御機能が異常であると判断すると、第1の制御における一部の制御が行われることを禁止するフェイルセーフを行う第1のモニタ機能を備えている。   In addition, the other processing device of the two processing devices monitors whether the first control function by one processing device is normal or not as a function realized by the second program. Is determined to be abnormal, a first monitor function is provided that performs fail-safe that prohibits part of the first control from being performed.

この制御装置によれば、一方の処理装置による第1の制御機能が異常になった場合に、他方の処理装置が、その異常を検知してフェイルセーフを行うことにより、安全性を確保することができる。更に、他方の処理装置が第1のモニタ機能で行うフェイルセーフは、第1の制御における一部の制御が行われることを禁止するフェイルセーフであるため、安全性を確保しつつ制御を継続させることができる。よって、故障時における可用性も実現することができる。   According to this control apparatus, when the first control function of one processing apparatus becomes abnormal, the other processing apparatus detects the abnormality and performs safety to ensure safety. Can do. Furthermore, the fail safe performed by the other processing device using the first monitoring function is a fail safe that prohibits a part of the control in the first control from being performed, and thus the control is continued while ensuring safety. be able to. Therefore, availability at the time of failure can also be realized.

また、下記の追加構成を更に備えても良い。
即ち、他方の処理装置は、第3のプログラムによって実現される機能として、第1のモニタ機能が正常か否かを検査して、その検査結果を表す検査結果情報を当該処理装置の外部に出力する第1の検査機能を備え、当該制御装置は、他方の処理装置から第1の検査機能によって出力される検査結果情報に基づいて、第1のモニタ機能が異常であると判断すると、第1の制御が行われることを禁止するフェイルセーフを行う監視装置を備える、という構成である。 Moreover, you may further provide the following additional structure.
That is, the other processing device, as a function realized by the third program, checks whether or not the first monitor function is normal and outputs inspection result information representing the inspection result to the outside of the processing device. If the control device determines that the first monitoring function is abnormal based on the inspection result information output by the first inspection function from the other processing device, the first inspection function is provided. It is the structure of providing the monitoring apparatus which performs the fail safe which prohibits that control of this is performed.

この構成によれば、他方の処理装置による第1のモニタ機能に異常が生じて、一方の処理装置による第1の制御機能を正しく監視することが出来なくなった場合には、そのことが、監視装置によって検出され、監視装置は、第1の制御が行われることを禁止するフェイルセーフを行うこととなる。また、他方の処理装置による第1の検査機能、あるいは他方の処理装置自体に異常が生じて、他方の処理装置から監視装置への検査結果情報が正しく出力されなくなっても、監視装置は、第1のモニタ機能が異常であると判断して上記フェイルセーフを行うこととなる。   According to this configuration, when an abnormality occurs in the first monitoring function of the other processing device and the first control function of the one processing device cannot be monitored correctly, this is monitored. Detected by the device, the monitoring device performs fail-safe prohibiting that the first control is performed. In addition, even if the first processing function by the other processing device or the other processing device itself is abnormal and the inspection result information is not correctly output from the other processing device to the monitoring device, the monitoring device It is determined that the monitor function 1 is abnormal, and the fail safe is performed.

つまり、制御機能を監視する側の処理装置に異常が生じた場合には、その処理装置による異常監視及びフェイルセーフができない可能性があるため、処理装置とは別の監視装置により、制御の実施自体を禁止するようにしている。   In other words, if an abnormality occurs in the processing device that monitors the control function, there is a possibility that abnormality monitoring and fail-safety by the processing device may not be possible, so control is performed by a monitoring device that is separate from the processing device. It prohibits itself.

よって、第1の制御機能に異常が生じた場合には、一部の制御が行われることを禁止し、第1の制御機能を監視する処理装置に異常が生じた場合には、第1の制御の実施自体を禁止する(即ち、最終的なフェイルセーフを行う)というように、故障した機能や部位に応じた段階的なフェイルセーフを行うことができるようになる。このため、可用性を実現しつつ、制御の安全性、信頼性を高めることができる。   Therefore, when an abnormality occurs in the first control function, it is prohibited to perform a part of the control. When an abnormality occurs in the processing device that monitors the first control function, the first control function It becomes possible to perform step-by-step fail-safe according to the malfunctioning function or part, such as prohibiting the execution of control itself (that is, performing final fail-safe). For this reason, the safety and reliability of control can be improved while realizing availability.

また、上記追加構成に加えて、下記の構成を更に備えても良い。
即ち、他方の処理装置は、第4のプログラムによって実現される機能として、第2の制御を行う第2の制御機能を備える。そして、一方の処理装置は、第5のプログラムによって実現される機能として、他方の処理装置による第2の制御機能が正常か否かを監視し、第2の制御機能が異常であると判断すると、第2の制御における一部の制御が行われることを禁止するフェイルセーフを行う第2のモニタ機能を備えると共に、第6のプログラムによって実現される機能として、第2のモニタ機能が正常か否かを検査して、その検査結果を表す検査結果情報を当該処理装置の外部に出力する第2の検査機能を備える。そして更に、監視装置は、一方の処理装置から第2の検査機能によって出力される検査結果情報に基づいて、第2のモニタ機能が異常であると判断すると、第2の制御が行われることを禁止するフェイルセーフを行う。 In addition to the above-described additional configuration, the following configuration may be further provided.
In other words, the other processing device has a second control function for performing the second control as a function realized by the fourth program. When one processing apparatus monitors whether the second control function by the other processing apparatus is normal as a function realized by the fifth program, and determines that the second control function is abnormal. The second monitor function for performing fail-safe prohibiting the execution of a part of the control in the second control is provided, and the second monitor function is normal as a function realized by the sixth program. And a second inspection function for outputting inspection result information representing the inspection result to the outside of the processing apparatus. Further, when the monitoring device determines that the second monitor function is abnormal based on the inspection result information output from the one processing device by the second inspection function, the second control is performed. Prohibit fail-safe.

この構成によれば、第2の制御についても、上記追加構成について述べた効果と同様に、第2の制御機能に異常が生じた場合には、一部の制御が行われることを禁止し、第2の制御機能を監視する処理装置に異常が生じた場合には、第2の制御の実施自体を禁止するというように、故障した機能や部位に応じた段階的なフェイルセーフを行うことができる。また、第1の制御と第2の制御との各々に応じたフェイルセーフを行うことができる。更に、第1の制御機能と第2の制御機能とを、別々の処理装置に分担させているため、各処理装置での処理負荷を軽減させることができる。   According to this configuration, also in the second control, as in the effect described for the additional configuration, when an abnormality occurs in the second control function, it is prohibited to perform a part of the control, If an abnormality occurs in the processing device that monitors the second control function, step-by-step fail-safe corresponding to the function or part that has failed may be performed, such as prohibiting the execution of the second control itself. it can. Moreover, fail safe according to each of 1st control and 2nd control can be performed. Furthermore, since the first control function and the second control function are shared by different processing devices, the processing load on each processing device can be reduced.

尚、第1のモニタ機能で行うフェイルセーフ(第1の制御における一部の制御が行われることを禁止するフェイルセーフ)としては、例えば、第1の制御における複数の制御内容のうちの一部が実施されるのを禁止することに限らず、制御対象の可動範囲を制限することなども含む。後者の場合、制御対象を所定の制限範囲を超えて動かす、という制御(これが一部の制御に相当)を禁止することになるからである。そして、このことは、第2のモニタ機能で行うフェイルセーフ(第2の制御における一部の制御が行われることを禁止するフェイルセーフ)についても同様である。   In addition, as a fail safe performed by the first monitor function (fail safe for prohibiting a part of the control in the first control from being performed), for example, a part of a plurality of control contents in the first control This includes not only prohibiting the execution of the operation but also limiting the movable range of the controlled object. This is because in the latter case, the control of moving the control target beyond a predetermined limit range (this corresponds to a part of the control) is prohibited. This also applies to fail safe performed by the second monitor function (fail safe that prohibits partial control in the second control).

実施形態の電子制御装置(ECU)の構成を表す構成図である。It is a block diagram showing the structure of the electronic controller (ECU) of embodiment. アイドルストップ制御モニタ機能とトルク制御モニタ機能との処理を表すフローチャートである。It is a flowchart showing the process of an idle stop control monitor function and a torque control monitor function. 検査機能の処理を表すフローチャートである。It is a flowchart showing the process of an inspection function. 監視ICの故障機能判別部が行う処理を表すフローチャートである。It is a flowchart showing the process which the failure function discrimination | determination part of monitoring IC performs.

以下に、本発明が適用された実施形態の制御装置について説明する。尚、本実施形態の制御装置は、マイコンを備えた電子制御装置(以下、ECUという)であり、例えば、車両に搭載されて、該車両のエンジンに出力させるトルクの制御と、アイドルストップ制御とを行う。   Hereinafter, a control device according to an embodiment to which the present invention is applied will be described. The control device according to the present embodiment is an electronic control device (hereinafter referred to as an ECU) including a microcomputer. For example, a control of torque that is mounted on a vehicle and is output to the engine of the vehicle, and an idle stop control. I do.

図1に示すように、本実施形態のECU1は、マイコン3と、当該ECU1の外部から入力される各種情報の信号をマイコン3に入力させる入力回路5と、マイコン3にシリアル通信線6を介して接続された監視IC7と、マイコン3から出力される制御信号に従ってスタータリレー9をオンさせる駆動回路(スタータリレー駆動回路)11と、マイコン3から出力される制御信号に従ってスロットルモータ13を駆動する駆動回路(スロットルモータ駆動回路)15と、を備えている。   As shown in FIG. 1, the ECU 1 of the present embodiment includes a microcomputer 3, an input circuit 5 that inputs various information signals input from outside the ECU 1 to the microcomputer 3, and the microcomputer 3 via a serial communication line 6. Connected to the monitoring IC 7, a drive circuit (starter relay drive circuit) 11 for turning on the starter relay 9 in accordance with a control signal output from the microcomputer 3, and a drive for driving the throttle motor 13 in accordance with the control signal output from the microcomputer 3. A circuit (throttle motor drive circuit) 15.

スタータリレー9は、オンすることで、エンジン17を始動させるためのスタータ19に通電して、該スタータ19を動作させるリレーである。また、スロットルモータ13は、エンジン17への吸入空気量を調節するスロットル21の開度を調節するモータである。そして、駆動回路15は、マイコン3から当該駆動回路15に与えられる制御信号(本実施形態では、例えばPWM(パルス幅変調)信号であり、以下、スロットル制御信号ともいう)によって指令される電圧をスロットルモータ13に供給することにより、スロットル21の開度を、その指令される電圧に応じた開度にする。   The starter relay 9 is a relay that, when turned on, energizes the starter 19 for starting the engine 17 and operates the starter 19. The throttle motor 13 is a motor that adjusts the opening of the throttle 21 that adjusts the amount of intake air to the engine 17. Then, the drive circuit 15 outputs a voltage commanded by a control signal (in this embodiment, for example, a PWM (pulse width modulation) signal, hereinafter also referred to as a throttle control signal) given from the microcomputer 3 to the drive circuit 15. By supplying to the throttle motor 13, the opening degree of the throttle 21 is set to an opening degree corresponding to the commanded voltage.

マイコン3は、プログラムに従い独立して別の処理を行う2つのプロセッサ31,32と、プロセッサ31,32が実行するプログラムが記憶されたROM33と、プロセッサ31,32による演算結果等が記憶されるRAM35と、プロセッサ31,32がシリアル通信線6を介して監視IC7と通信するための通信回路37と、を備えている。   The microcomputer 3 includes two processors 31 and 32 that perform different processes independently according to a program, a ROM 33 that stores a program executed by the processors 31 and 32, and a RAM 35 that stores a calculation result by the processors 31 and 32. And a communication circuit 37 for the processors 31 and 32 to communicate with the monitoring IC 7 via the serial communication line 6.

記憶媒体としてのROM33には、少なくとも第1〜第6のプログラム41,42,43,44,45,46が記憶されている。
そして、プロセッサ31は、第1のプログラム41によって実現される機能として、アイドルストップ制御を行うアイドルストップ制御機能51を備えている。尚、プログラムによって実現される機能とは、詳しくは、そのプログラムが実行されることによって実現される機能である。 The ROM 33 as a storage medium stores at least first to sixth programs 41, 42, 43, 44, 45, and 46.
The processor 31 includes an idle stop control function 51 that performs idle stop control as a function realized by the first program 41. The function realized by the program is specifically a function realized by executing the program.

ここで、アイドルストップ制御は、エンジン17の運転中において該エンジン17を自動的に停止させる自動停止条件が成立したと判定すると、例えば、エンジン17を制御する他のECUにエンジン停止指令を送信してエンジン17を停止させ、その後、エンジン17を自動的に再始動させる自動始動条件が成立したと判定すると、駆動回路11に制御信号を出力してスタータリレー9をオンさせることにより、スタータ19を動作させてエンジン17を始動させる、といった基本の制御に加え、運転者による始動用操作に応じてスタータ19を動作させる制御(即ち、スタータ19の制御)も含む。   Here, in the idle stop control, when it is determined that an automatic stop condition for automatically stopping the engine 17 is satisfied while the engine 17 is in operation, for example, an engine stop command is transmitted to another ECU that controls the engine 17. When it is determined that the automatic start condition for automatically restarting the engine 17 is satisfied, the starter relay 9 is turned on by outputting a control signal to the drive circuit 11 to turn on the starter 19. In addition to the basic control of starting the engine 17 by operating it, the control of starting the starter 19 according to the start operation by the driver (that is, control of the starter 19) is also included.

そして、自動停止条件としては、例えば、車両の運転者によりブレーキペダルが踏まれていて、且つ、運転者によりアクセルペダルが踏まれておらず、且つ、車速が所定値以下である、といった条件であるが、他の条件であっても良い。また、自動始動条件としては、例えば、運転者によりブレーキペダルが放されるか、ブレーキペダルは踏まれたままだが運転者が車両を走行させようとする他の操作を行った、といった条件であるが、他の条件であっても良い。   As the automatic stop condition, for example, the brake pedal is depressed by the driver of the vehicle, the accelerator pedal is not depressed by the driver, and the vehicle speed is a predetermined value or less. There are other conditions. The automatic start condition is, for example, a condition that the driver releases the brake pedal or the driver performs another operation to drive the vehicle while the brake pedal is depressed. However, other conditions may be used.

このため、入力回路5からマイコン3へは、アイドルストップ制御に用いられる入力情報の信号として、例えば、ブレーキペダルの操作有無を示すブレーキ信号や、アクセルペダルの操作量を示すアクセル信号や、車速を示す車速信号や、運転者による始動用操作の有無を示す信号などが入力される。   For this reason, from the input circuit 5 to the microcomputer 3, as input information signals used for idle stop control, for example, a brake signal indicating whether or not the brake pedal is operated, an accelerator signal indicating the amount of operation of the accelerator pedal, and the vehicle speed are input. A vehicle speed signal, a signal indicating the presence or absence of a start operation by the driver, and the like are input.

一方、プロセッサ32は、第2のプログラム42によって実現される機能として、アイドルストップ制御モニタ機能52を備え、第3のプログラム43によって実現される機能として、アイドルストップ制御モニタの検査機能53を備えている。   On the other hand, the processor 32 includes an idle stop control monitor function 52 as a function realized by the second program 42, and an idle stop control monitor inspection function 53 as a function realized by the third program 43. Yes.

アイドルストップ制御モニタ機能52は、プロセッサ31によるアイドルストップ制御機能51が正常か否かを監視して、アイドルストップ制御機能51が異常であると判断すると、アイドルストップ制御に関する所定のフェイルセーフを行う機能である。   The idle stop control monitor function 52 monitors whether the idle stop control function 51 by the processor 31 is normal, and determines that the idle stop control function 51 is abnormal. It is.

そして、アイドルストップ制御モニタの検査機能53は、アイドルストップ制御モニタ機能52が正常か否かを検査して、その検査結果を表す検査結果情報を通信回路37に出力する機能である。また、アイドルストップ制御モニタの検査機能53によって出力される検査結果情報には、その検査結果情報が当該検査機能53によって出力されるものであることを示す識別情報(本実施形態では、アイドルストップ制御とトルク制御とのうち、アイドルストップ制御の方を示す識別情報)が付加される。   The inspection function 53 of the idle stop control monitor is a function of inspecting whether the idle stop control monitor function 52 is normal and outputting inspection result information representing the inspection result to the communication circuit 37. The inspection result information output by the inspection function 53 of the idle stop control monitor includes identification information indicating that the inspection result information is output by the inspection function 53 (in this embodiment, idle stop control). And identification information indicating the idle stop control of the torque control).

更に、プロセッサ32は、第4のプログラム44によって実現される機能として、エンジン17のトルク制御を行うトルク制御機能54を備えている。
ここで、トルク制御は、例えば、エンジン回転数(エンジン17の回転数)や、運転者によるアクセルペダルの操作量などに基づいて、エンジン17に出力させるべき目標トルクを算出し、更に、その目標トルクをエンジン17に出力させるためのスロットル21の目標開度を算出し、その目標開度を実現するための制御信号を駆動回路15に出力する、といった制御である。 Further, the processor 32 includes a torque control function 54 that performs torque control of the engine 17 as a function realized by the fourth program 44.
Here, in the torque control, for example, the target torque to be output to the engine 17 is calculated based on the engine speed (the speed of the engine 17), the operation amount of the accelerator pedal by the driver, and the target. In this control, a target opening of the throttle 21 for causing the engine 17 to output torque is calculated, and a control signal for realizing the target opening is output to the drive circuit 15.

このため、入力回路5からマイコン3へは、トルク制御に用いられる入力情報の信号として、例えば、エンジン回転数を示す回転信号や、前述のアクセル信号などが入力される。   For this reason, from the input circuit 5 to the microcomputer 3, for example, a rotation signal indicating the engine speed, the aforementioned accelerator signal, or the like is input as a signal of input information used for torque control.

また更に、プロセッサ31は、第5のプログラム45によって実現される機能として、トルク制御モニタ機能55を備え、第6のプログラム46によって実現される機能として、トルク制御モニタの検査機能56を備えている。   Furthermore, the processor 31 includes a torque control monitor function 55 as a function realized by the fifth program 45, and a torque control monitor inspection function 56 as a function realized by the sixth program 46. .

トルク制御モニタ機能55は、プロセッサ32によるトルク制御機能54が正常か否かを監視して、トルク制御機能54が異常であると判断すると、トルク制御に関する所定のフェイルセーフを行う機能である。   The torque control monitor function 55 is a function for monitoring whether the torque control function 54 by the processor 32 is normal and determining that the torque control function 54 is abnormal, and performing a predetermined fail-safe for torque control.

そして、トルク制御モニタの検査機能56は、トルク制御モニタ機能55が正常か否かを検査して、その検査結果を表す検査結果情報を通信回路37に出力する機能である。また、トルク制御モニタの検査機能56によって出力される検査結果情報には、その検査結果情報が当該検査機能56によって出力されるものであることを示す識別情報(本実施形態では、アイドルストップ制御とトルク制御とのうち、トルク制御の方を示す識別情報)が付加される。   The inspection function 56 of the torque control monitor is a function of inspecting whether or not the torque control monitor function 55 is normal and outputting inspection result information representing the inspection result to the communication circuit 37. Further, the inspection result information output by the inspection function 56 of the torque control monitor includes identification information indicating that the inspection result information is output by the inspection function 56 (in this embodiment, idle stop control and Of the torque control, identification information indicating the torque control) is added.

通信回路37は、例えば、パラレルデータをシリアルデータに変換してシリアル通信線6に出力するパラレル/シリアルインターフェースである。そして、通信回路37は、プロセッサ32から出力される検査結果情報(即ち、アイドルストップ制御モニタの検査機能53によって出力される検査結果情報)と、プロセッサ31から出力される検査結果情報(即ち、トルク制御モニタの検査機能56によって出力される検査結果情報)とを、シリアルデータの形にして、シリアル通信線6を介し監視IC7へ送信する。   The communication circuit 37 is, for example, a parallel / serial interface that converts parallel data into serial data and outputs the serial data to the serial communication line 6. The communication circuit 37 then outputs the inspection result information output from the processor 32 (that is, inspection result information output by the inspection function 53 of the idle stop control monitor) and the inspection result information output from the processor 31 (that is, torque). The inspection result information output by the inspection function 56 of the control monitor is transmitted to the monitoring IC 7 through the serial communication line 6 in the form of serial data.

そして、監視IC7は、マイコン3(詳しくは、2つのプロセッサ31,32)とシリアル通信をするための通信回路61と、故障機能判別部63とを備えている。
通信回路61は、マイコン3から送信されて来るデータであって、前述した識別情報付の検査結果情報を、故障機能判別部63に出力する。 The monitoring IC 7 includes a communication circuit 61 for serial communication with the microcomputer 3 (specifically, two processors 31 and 32), and a failure function determination unit 63.
The communication circuit 61 is data transmitted from the microcomputer 3, and outputs the above-described inspection result information with identification information to the failure function determination unit 63.

そして、故障機能判別部63は、マイコン3からシリアル通信線6及び通信回路61を介して入力された検査結果情報が検査機能53,56の何れによって出力されたものかを、その検査結果情報に付加されている識別情報に基づいて識別する。   Then, the failure function determination unit 63 uses the inspection function 53 or 56 to output the inspection result information input from the microcomputer 3 via the serial communication line 6 and the communication circuit 61 as the inspection result information. The identification is performed based on the added identification information.

つまり、故障機能判別部63は、アイドルストップ制御を示す識別情報が付加された検査結果情報であれば、検査機能53によって出力された検査結果情報であって、アイドルストップ制御モニタ機能52に関する検査結果情報であると判断する。また、故障機能判別部63は、トルク制御を示す識別情報が付加された検査結果情報であれば、検査機能56によって出力された検査結果情報であって、トルク制御モニタ機能55に関する検査結果情報であると判断する。   That is, the failure function determination unit 63 is the inspection result information output by the inspection function 53 as long as the identification result information indicating the idle stop control is added. Judge as information. Further, the failure function determination unit 63 is the inspection result information output by the inspection function 56 and the inspection result information related to the torque control monitor function 55 if it is inspection result information to which identification information indicating torque control is added. Judge that there is.

更に、故障機能判別部63は、検査機能53によって出力された検査結果情報(即ち、アイドルストップ制御を示す識別情報が付加された検査結果情報)に基づいて、アイドルストップ制御モニタ機能52が異常であるか否かを判断し、アイドルストップ制御モニタ機能52が異常であると判断すると、アイドルストップ制御に関する所定のフェイルセーフを行う。   Further, the failure function determination unit 63 determines that the idle stop control monitor function 52 is abnormal based on the inspection result information output by the inspection function 53 (that is, inspection result information to which identification information indicating idle stop control is added). If it is determined whether or not the idle stop control monitor function 52 is abnormal, a predetermined fail safe related to the idle stop control is performed.

また、故障機能判別部63は、検査機能56によって出力された検査結果情報(即ち、トルク制御を示す識別情報が付加された検査結果情報)に基づいて、トルク制御モニタ機能55が異常であるか否かを判断し、トルク制御モニタ機能55が異常であると判断すると、トルク制御に関する所定のフェイルセーフを行う。   Further, the failure function determination unit 63 determines whether the torque control monitor function 55 is abnormal based on the inspection result information output by the inspection function 56 (that is, inspection result information to which identification information indicating torque control is added). If it is determined whether or not the torque control monitor function 55 is abnormal, a predetermined fail safe for torque control is performed.

次に、アイドルストップ制御モニタ機能52とトルク制御モニタ機能55の処理について、図2のフローチャートを用い説明する。
尚、以下の説明において、アイドルストップ制御モニタ機能52とトルク制御モニタ機能55とを区別しない場合には、それらを「制御モニタ機能」と称する。また、「監視対象制御機能」とは、制御モニタ機能が監視対象とする制御機能のことであり、アイドルストップ制御モニタ機能52であれば、監視対象制御機能はアイドルストップ制御機能51であり、トルク制御モニタ機能55であれば、監視対象制御機能はトルク制御機能54である。 Next, processing of the idle stop control monitor function 52 and the torque control monitor function 55 will be described using the flowchart of FIG.
In the following description, when the idle stop control monitor function 52 and the torque control monitor function 55 are not distinguished, they are referred to as “control monitor function”. Further, the “monitoring target control function” is a control function to be monitored by the control monitor function, and if it is the idle stop control monitoring function 52, the monitoring target control function is the idle stop control function 51, and the torque In the case of the control monitor function 55, the monitoring target control function is the torque control function 54.

図2に示す制御モニタ機能の処理は、各プロセッサ31,32において、例えば一定時間毎に実行される。
そして、図2に示すように、各プロセッサ31,32は、制御モニタ機能では、まず、監視対象制御機能が使用する入力情報の一部又は全てを読み込む(S110)。 The processing of the control monitor function shown in FIG. 2 is executed by the processors 31 and 32, for example, at regular intervals.
As shown in FIG. 2, in the control monitor function, each of the processors 31 and 32 first reads part or all of the input information used by the monitoring target control function (S110).

次に、監視対象制御機能による演算結果をRAM35から読み込む(S120)。
そして次に、S120で読み込んだ演算結果の妥当性を判定するための判定値を、S110で読み込んだ入力情報に基づいて算出する(S130)。 Next, the calculation result by the monitoring target control function is read from the RAM 35 (S120).
Next, a determination value for determining the validity of the calculation result read in S120 is calculated based on the input information read in S110 (S130).

次に、S120で読み込んだ演算結果とS130で算出した判定値とを比較することにより、監視対象制御機能が正常であるか否かを判定する(S140)。
そして、監視対象制御機能が正常であると判定した場合には(S140:YES)、そのまま当該制御モニタ機能の処理を終了するが、正常でないと判定した場合には(S140:NO)、監視対象制御機能が異常であると判断して、その監視対象制御機能の一部の制御が行われることを禁止するフェイルセーフを行う(S150)。そして、その後、当該制御モニタ機能の処理を終了する。尚、S140にて正常でないと2以上の所定回数判定した場合に、監視対象制御機能が異常であると判断して、S150でフェイルセーフを行うようになっていても良い。また、S150でのフェイルセーフとしては、更に、車両の使用者に対して異常の発生を報知するための異常報知処理(例えば、異常の発生を示す警告灯を点灯させたり、メッセージを表示させたりする処理)を行っても良い。 Next, it is determined whether or not the monitoring target control function is normal by comparing the calculation result read in S120 with the determination value calculated in S130 (S140).
When it is determined that the monitoring target control function is normal (S140: YES), the process of the control monitor function is terminated as it is, but when it is determined that the monitoring target control function is not normal (S140: NO), the monitoring target It is determined that the control function is abnormal, and fail-safe is performed to prohibit the partial control of the monitoring target control function from being performed (S150). Thereafter, the process of the control monitor function ends. If it is determined in S140 that it is not normal two or more times, it may be determined that the monitoring target control function is abnormal, and failsafe may be performed in S150. Further, as fail-safe in S150, an abnormality notification process for notifying the vehicle user of the occurrence of abnormality (for example, turning on a warning lamp indicating the occurrence of abnormality or displaying a message) Processing).

ここで、例えば、アイドルストップ制御モニタ機能52であれば、S110にて、入力情報として、前述した自動停止条件の成立有無を判定するための情報(車速、ブレーキペダルの状態及びアクセルペダルの状態など)を読み込み、S120にて、アイドルストップ制御機能51による演算結果として、エンジン17の自動停止(以下、アイドルストップともいう)を行うか否かの判断結果を読み込む。そして、S130では、S110で読み込んだ入力情報から、自動停止条件が成立しているか否かを判定する処理を行って、その判定結果を判定値とし、S140では、その判定値と、S120で読み込んだアイドルストップの判断結果とが、理論上一致しているか否かを判定する。   Here, for example, in the case of the idle stop control monitor function 52, in S110, as input information, information for determining whether or not the aforementioned automatic stop condition is satisfied (vehicle speed, brake pedal state, accelerator pedal state, etc.) In step S120, a determination result as to whether or not to automatically stop the engine 17 (hereinafter also referred to as idle stop) is read as a calculation result by the idle stop control function 51. In S130, a process for determining whether or not the automatic stop condition is satisfied is performed from the input information read in S110, and the determination result is set as a determination value. In S140, the determination value and the read in S120. It is determined whether or not the determination result of idle stop is theoretically consistent.

つまり、判定値が“自動停止条件の非成立”であるのに、アイドルストップ制御機能51による演算結果が“アイドルストップの実施”であったり、逆に、判定値が“自動停止条件の成立”であるのに、アイドルストップ制御機能51による演算結果が“アイドルストップの非実施”であったりすれば、アイドルストップ制御機能51が正常でないと判定して、S150に進む。   That is, although the determination value is “the automatic stop condition is not satisfied”, the calculation result by the idle stop control function 51 is “execution of the idle stop”, or conversely, the determination value is “the automatic stop condition is satisfied”. However, if the calculation result by the idle stop control function 51 is “Idle stop is not performed”, it is determined that the idle stop control function 51 is not normal, and the process proceeds to S150.

そして、S150では、例えば、フェイルセーフとして、アイドルストップ制御機能51によるアイドルストップを禁止する処理を行う。具体的には、例えば、当該マイコン3からエンジン17を制御する他のECUにエンジン停止指令を送信するための信号経路を遮断する、といった処理を行う。尚、このS150のフェイルセーフが行われても、アイドルストップ制御のうち、スタータ19の制御は禁止されない。   In S150, for example, a process for prohibiting idle stop by the idle stop control function 51 is performed as fail-safe. Specifically, for example, a process of cutting off a signal path for transmitting an engine stop command from the microcomputer 3 to another ECU that controls the engine 17 is performed. Even if the fail safe of S150 is performed, the control of the starter 19 in the idle stop control is not prohibited.

尚、他の例として、例えば、S110では、入力情報として少なくとも車速を読み込み、S130では、その車速から、アイドルストップが実施されるはずのない状況か否かを判定して、その判定結果を、判定値とし、S140では、判定値が“アイドルストップが実施されるはずのない状況”であるのに、アイドルストップ制御機能51による演算結果が“アイドルストップの実施”であったならば、アイドルストップ制御機能51が正常でないと判定しても良い。   As another example, for example, at S110, at least the vehicle speed is read as input information, and at S130, it is determined from the vehicle speed whether the idle stop should not be performed, and the determination result is In S140, if the calculation value by the idle stop control function 51 is "Idle stop execution" even though the determination value is "the situation where the idle stop should not be executed" in S140, the idle stop It may be determined that the control function 51 is not normal.

一方、例えば、トルク制御モニタ機能55であれば、S110にて、入力情報として、エンジン17に出力させるトルクを算出するための情報(エンジン回転数やアクセルペダルの操作量など)を読み込み、S120にて、トルク制御機能54による演算結果として、目標トルクを読み込む。そして、S130では、S110で読み込んだ入力情報から、トルク制御機能54が正常な場合に算出し得る目標トルクの最大値(あるいは、その最大値よりも所定値だけ大きい値)を、判定値に該当する許容トルクとして算出する。そして、S140では、その許容トルクと、S120で読み込んだ目標トルクとを比較して、目標トルクが許容トルクよりも大きければ、トルク制御機能54が正常でないと判定して、S150に進む。   On the other hand, for example, in the case of the torque control monitor function 55, in S110, information for calculating the torque to be output to the engine 17 (such as the engine speed and the amount of operation of the accelerator pedal) is read as input information. Thus, the target torque is read as a calculation result by the torque control function 54. In S130, the maximum value of the target torque that can be calculated when the torque control function 54 is normal from the input information read in S110 (or a value that is larger than the maximum value by a predetermined value) corresponds to the determination value. It is calculated as the allowable torque. In S140, the allowable torque is compared with the target torque read in S120. If the target torque is larger than the allowable torque, it is determined that the torque control function 54 is not normal, and the process proceeds to S150.

そして、S150では、例えば、フェイルセーフとして、トルク制御機能54によって制御されるスロットル21の最大開度を、所定の許容開度(例えば、エンジン17が許容トルクを出すための開度や、その許容トルクよりも小さいトルクを出すための開度)に制限する処理を行う。具体的には、例えば、マイコン3において、トルク制御機能54により内部レジスタに設定されるスロットル制御信号の出力デューティ比(即ち、マイコン3から駆動回路15に出力するスロットル制御信号のデューティ比の設定値)が、許容開度に対応するデューティ比以上であれば、その内部レジスタに設定される出力デューティ比を、許容開度に対応するデューティ比に書き換える、といった処理を行う。また、内部レジスタに設定される出力デューティ比を書き換えることに代えて、例えば、マイコン3から駆動回路15へのスロットル制御信号の信号経路を切り替えて、駆動回路15に、許容開度に対応するデューティ比の別のスロットル制御信号を与えるように構成しても良い。尚、このS150のフェイルセーフが行われても、スロットル21の開度は、上記許容開度以下の範囲であれば、トルク制御機能54によって制御される。つまり、許容開度以下でのスロットル21の制御は許可される。   In S150, for example, the maximum opening of the throttle 21 controlled by the torque control function 54 is set to a predetermined allowable opening (for example, the opening for the engine 17 to generate the allowable torque, or the allowable (A degree of opening for producing torque smaller than torque) is performed. Specifically, for example, in the microcomputer 3, the output duty ratio of the throttle control signal set in the internal register by the torque control function 54 (that is, the set value of the duty ratio of the throttle control signal output from the microcomputer 3 to the drive circuit 15) ) Is equal to or greater than the duty ratio corresponding to the allowable opening, the output duty ratio set in the internal register is rewritten to the duty ratio corresponding to the allowable opening. Further, instead of rewriting the output duty ratio set in the internal register, for example, the signal path of the throttle control signal from the microcomputer 3 to the drive circuit 15 is switched, and the duty corresponding to the allowable opening is given to the drive circuit 15. Another throttle control signal with a ratio may be provided. Even if the fail-safe operation of S150 is performed, the opening degree of the throttle 21 is controlled by the torque control function 54 as long as it is within the allowable opening degree. That is, control of the throttle 21 below the allowable opening is permitted.

また、他の例として、例えば、S130では、判定値として、許容トルクに代えて、トルク制御機能54と同じプログラムにより目標トルクを算出し、S140では、その算出した目標トルクとS120で読み込んだ目標トルクとを比較して、両方の目標トルクの差が0でないか、あるいは、その差が所定範囲外であれば、トルク制御機能54が正常でないと判定して、S150に進むようにすることもできる。   As another example, for example, in S130, instead of the allowable torque, a target torque is calculated by the same program as the torque control function 54 as a determination value. In S140, the calculated target torque and the target read in S120 are calculated. If the difference between the target torques is not zero or the difference is outside the predetermined range, it is determined that the torque control function 54 is not normal and the process proceeds to S150. it can.

また、他の例として、例えば、S110では、入力情報として、エンジン17の実際の出力トルクを算出するための入力情報(例えば、エンジン回転数やエンジン17への吸入空気量など)も読み込み、S120の処理は止め、S130では、判定値としての許容トルクを算出することに加えて、S110で読み込んだ入力情報に基づきエンジン17の実際の出力トルクを算出し、S140では、その算出した出力トルクと許容トルクとを比較して、出力トルクが許容トルクよりも大きければ、トルク制御機能54が正常でないと判定して、S150に進むようにすることもできる。   As another example, for example, in S110, input information for calculating the actual output torque of the engine 17 (for example, the engine speed, the amount of intake air to the engine 17, etc.) is also read as input information. In step S130, the actual output torque of the engine 17 is calculated based on the input information read in step S110, and in step S140, the calculated output torque and the allowable torque as the determination value are calculated. If the output torque is larger than the allowable torque by comparing with the allowable torque, it is possible to determine that the torque control function 54 is not normal and to proceed to S150.

次に、アイドルストップ制御モニタの検査機能53とトルク制御モニタの検査機能56の処理について、図3のフローチャートを用い説明する。
尚、以下の説明において、アイドルストップ制御モニタの検査機能53とトルク制御モニタの検査機能56とを特に区別しない場合には、それらを「検査機能」と称する。また、「検査対象機能」とは、検査機能が検査対象とする制御モニタ機能のことであり、アイドルストップ制御モニタの検査機能53であれば、検査対象機能はアイドルストップ制御モニタ機能52であり、トルク制御モニタの検査機能56であれば、検査対象機能はトルク制御モニタ機能55である。 Next, processing of the inspection function 53 of the idle stop control monitor and the inspection function 56 of the torque control monitor will be described using the flowchart of FIG.
In the following description, when the inspection function 53 of the idle stop control monitor and the inspection function 56 of the torque control monitor are not particularly distinguished, they are referred to as “inspection function”. Further, the “inspection target function” is a control monitor function to be inspected by the inspection function. If the inspection function 53 of the idle stop control monitor is used, the inspection target function is the idle stop control monitor function 52. In the case of the inspection function 56 of the torque control monitor, the inspection target function is the torque control monitor function 55.

図3に示す検査機能の処理は、各プロセッサ31,32において、例えば一定時間毎に実行される。
そして、図3に示すように、各プロセッサ31,32は、検査機能では、まず、検査対象機能を実現するプログラムの処理を、本当の入力情報ではないダミー入力情報を用いて行う(S210)。 The processing of the inspection function shown in FIG. 3 is executed by the processors 31 and 32, for example, at regular intervals.
As shown in FIG. 3, in the inspection function, each of the processors 31 and 32 first performs processing of a program that realizes the inspection target function using dummy input information that is not real input information (S210).

本実施形態では、例えば、検査対象機能を実現するプログラムの処理である図2の処理のうち、S120〜S140の処理を、図2のS110で読み込む入力情報の代わりに、予めROM33に記憶されたダミー入力情報を用いて実行する。尚、後述するように、ダミー入力情報は、複数通り用意されており、当該検査機能の処理が行われる毎に、異なるダミー入力情報が用いられる。   In the present embodiment, for example, among the processing of FIG. 2 which is the processing of the program realizing the inspection target function, the processing of S120 to S140 is stored in the ROM 33 in advance instead of the input information read in S110 of FIG. Execute using dummy input information. As will be described later, a plurality of types of dummy input information are prepared, and different dummy input information is used each time the inspection function is processed.

次にS220にて、S210の処理結果であって、ダミー入力情報を用いて図2のS120〜S140の処理を行った場合のS140での判定結果が、“正常”であるか(即ち、S140で“YES”と判定されたか)否かを判定する。   Next, in S220, whether or not the determination result in S140 is “normal” when the process in S210 to S140 in FIG. 2 is performed using dummy input information (ie, S140). Whether or not “YES” is determined in step).

そして、S220にて、判定結果が“正常”であると判定した場合には、検査対象機能の検査結果情報として、“正常”を示す情報を通信回路37に出力し(S230)、逆に、判定結果が“正常”でないと判定した場合には、検査対象機能の検査結果情報として、“異常”を示す情報を通信回路37に出力する(S240)。そして、その後、当該検査機能の処理を終了する。   If it is determined in S220 that the determination result is “normal”, information indicating “normal” is output to the communication circuit 37 as the inspection result information of the inspection target function (S230). When it is determined that the determination result is not “normal”, information indicating “abnormal” is output to the communication circuit 37 as the inspection result information of the inspection target function (S240). Thereafter, the processing of the inspection function is terminated.

尚、S230とS240の各々では、前述したように、アイドルストップ制御モニタの検査機能53であれば、出力する“正常”又は“異常”の検査結果情報に、アイドルストップ制御を示す識別情報を付加し、トルク制御モニタの検査機能56であれば、出力する“正常”又は“異常”の検査結果情報に、トルク制御を示す識別情報を付加する。   In each of S230 and S240, as described above, if the inspection function 53 of the idle stop control monitor is used, identification information indicating idle stop control is added to the “normal” or “abnormal” inspection result information to be output. If the inspection function 56 of the torque control monitor is used, identification information indicating torque control is added to the “normal” or “abnormal” inspection result information to be output.

また、ダミー入力情報としては、プログラム及びプロセッサ(31又は32)が正常ならば、S220で“YES”と判定される(換言すれば、図2のS140で“YES”と判定される)はずの、正常判定期待のダミー入力情報と、プログラム及びプロセッサ(31又は32)が正常ならば、S220で“NO”と判定される(換言すれば、図2のS140で“NO”と判定される)はずの、異常判定期待のダミー入力情報とが、予めROM33に用意されている。   Further, as the dummy input information, if the program and the processor (31 or 32) are normal, it is determined to be “YES” in S220 (in other words, “YES” is determined in S140 of FIG. 2). If the dummy input information expected to be normal and the program and the processor (31 or 32) are normal, it is determined as “NO” in S220 (in other words, “NO” is determined in S140 of FIG. 2). The expected dummy input information for abnormality determination is prepared in the ROM 33 in advance.

そして、本実施形態では、検査機能によって出力される検査結果情報のパターンが、例えば、「“正常”→“正常”→“異常”→正常”→“正常”→“異常”」というように、予め決められた特定パターンとなるように、当該検査機能で用いるダミー入力情報が選択されるようになっている。   In the present embodiment, the pattern of the inspection result information output by the inspection function is, for example, ““ normal ”→“ normal ”→“ abnormal ”→ normal” → “normal” → “abnormal” ” Dummy input information used in the inspection function is selected so as to obtain a predetermined specific pattern.

このため、検査機能によって出力される検査結果情報のパターンが特定パターンであれば、その検査機能の検査対象機能は正常ということであり、逆に、検査機能によって出力される検査結果情報のパターンが特定パターンでなければ、その検査機能の検査対象機能は正常でないということである。尚、検査対象機能を検査する上で検査の対象とする処理は、検査対象機能の処理の中から適宜選択すれば良い。   Therefore, if the pattern of the inspection result information output by the inspection function is a specific pattern, the inspection target function of the inspection function is normal, and conversely, the pattern of the inspection result information output by the inspection function is If it is not a specific pattern, it means that the inspection target function of the inspection function is not normal. In addition, what is necessary is just to select suitably the process made into a test object in test | inspecting a test object function from the process of a test object function.

次に、監視IC7の故障機能判別部63が行う処理について、図4を用い説明する。
まず、前述したように、故障機能判別部63は、シリアル通信線6及び通信回路61を介して入力される検査結果情報が、マイコン3における検査機能53,56の何れによって出力されたものかを、その検査結果情報に付加されている識別情報に基づいて識別する。 Next, processing performed by the failure function determination unit 63 of the monitoring IC 7 will be described with reference to FIG.
First, as described above, the failure function determination unit 63 determines whether the inspection result information input via the serial communication line 6 and the communication circuit 61 is output by the inspection function 53 or 56 in the microcomputer 3. The identification is performed based on the identification information added to the inspection result information.

そして、故障機能判別部63は、検査機能53,56の各々を相手にして、図4に示す処理を、例えば一定時間毎に行う。
図4に示すように、故障機能判別部63は、相手の検査機能によって出力された検査結果情報が前述の特定パターンで変化するか否かを判定する(S310)。 And the failure function discrimination | determination part 63 performs the process shown in FIG. 4 for every fixed time for each of the test | inspection functions 53 and 56, for example.
As shown in FIG. 4, the failure function determination unit 63 determines whether or not the inspection result information output by the counterpart inspection function changes in the specific pattern (S310).

そして、検査結果情報が特定パターンで変化すると判定した場合には(S310:YES)、相手の検査機能が検査対象とする制御モニタ機能が正常であると判定して(S320)、そのまま処理を終了する。   If it is determined that the inspection result information changes in a specific pattern (S310: YES), it is determined that the control monitor function to be inspected by the inspection function of the other party is normal (S320), and the process ends. To do.

また、検査結果情報が特定パターンで変化しないと判定した場合には(S310:NO)、相手の検査機能が検査対象とする制御モニタ機能が異常であると仮の判定をする(S330)。そして、その異常との仮判定状態が所定期間継続していなければ(S340:NO)、そのまま処理を終了する。   If it is determined that the inspection result information does not change in a specific pattern (S310: NO), it is temporarily determined that the control monitor function that is the inspection target of the counterpart inspection function is abnormal (S330). If the provisional determination state of abnormality is not continued for a predetermined period (S340: NO), the process is terminated as it is.

これに対して、異常との仮判定状態が所定期間継続したならば(S340:YES)、相手の検査機能が検査対象とする制御モニタ機能が異常であると判断して、アイドルストップ制御とトルク制御とのうち、相手の検査機能に対応する方の制御に関するフェイルセーフを行う(S350)。   On the other hand, if the temporary determination state of abnormality continues for a predetermined period (S340: YES), it is determined that the control monitor function that is the inspection target of the counterpart inspection function is abnormal, and the idle stop control and torque Among the controls, fail-safe related to the control corresponding to the inspection function of the other party is performed (S350).

ここで、故障機能判別部63が図4のS350で行うフェイルセーフについて、具体的に説明する。
まず、故障機能判別部63は、相手の検査機能が、検査機能53であれば、アイドルストップ制御モニタ機能52が異常であると判断し、アイドルストップ制御に関するフェイルセーフとして、マイコン3から駆動回路11への制御信号によってスタータリレー9がオンされるのを禁止する処理を行う。例えば、本実施形態において、駆動回路11は、駆動禁止信号を受けると、マイコン3からの制御信号に拘わらずスタータリレー9をオフしたままにするようになっており、故障機能判別部63は、その駆動禁止信号を駆動回路11に出力することで、スタータリレー9のオンを禁止する。 Here, the fail safe performed by the failure function determination unit 63 in S350 of FIG. 4 will be specifically described.
First, if the other party's inspection function is the inspection function 53, the failure function determination unit 63 determines that the idle stop control monitor function 52 is abnormal, and sets the drive circuit 11 from the microcomputer 3 as fail-safe related to idle stop control. A process for prohibiting the starter relay 9 from being turned on by the control signal is performed. For example, in the present embodiment, when the drive circuit 11 receives the drive prohibition signal, the drive circuit 11 keeps the starter relay 9 turned off regardless of the control signal from the microcomputer 3. By outputting the drive inhibition signal to the drive circuit 11, the starter relay 9 is inhibited from being turned on.

そして、スタータリレー9のオンを禁止した状態で、もしアイドルストップが実施されてしまうと、その後にエンジン17を再始動させることができなくなるため、故障機能判別部63は、アイドルストップ制御に関するフェイルセーフとして、更に、アイドルストップを禁止する処理も行う。その禁止用の処理としては、例えば、アイドルストップ制御モニタ機能52が図2のS150で行うフェイルセーフの処理と同様の処理を行う。   If the starter relay 9 is prohibited from being turned on and the idling stop is performed, the engine 17 cannot be restarted after that, so the failure function determination unit 63 performs fail-safe related to the idling stop control. In addition, processing for prohibiting idle stop is also performed. As the prohibition process, for example, the idle stop control monitor function 52 performs the same process as the fail-safe process performed in S150 of FIG.

つまり、故障機能判別部63は、検査機能53からの検査結果情報に基づいて、アイドルストップ制御モニタ機能52が異常であると判断した場合には、そのアイドルストップ制御モニタ機能52によるアイドルストップ制御機能51の監視及びフェイルセーフが正しく実施される保証が無いため、アイドルストップ制御機能51が担う制御(スタータ19の制御を含むアイドルストップ制御)の全てが行われることを禁止している。そして、このような処置により、アイドルストップ制御機能51によって意図せぬエンジン17のクランキングなどが実施されてしまうことを回避している。   That is, if the malfunction function determination unit 63 determines that the idle stop control monitor function 52 is abnormal based on the inspection result information from the inspection function 53, the idle stop control function by the idle stop control monitor function 52 is determined. Since there is no guarantee that the monitoring and fail safe of 51 are correctly performed, it is prohibited to perform all of the control (idle stop control including control of the starter 19) performed by the idle stop control function 51. And by such a measure, it is avoided that cranking of the engine 17 etc. which are not intended by the idle stop control function 51 will be implemented.

尚、故障機能判別部63によって、アイドルストップ制御モニタ機能52が異常であると判断される場合には、検査機能53の方が異常か、あるいはプロセッサ32自体が異常であることも考えられる。しかし、何れにしても、プロセッサ32によって、プロセッサ31側のアイドルストップ制御機能51を正しく監視することができないため、アイドルストップ制御が行われることを禁止することにより、安全性を確保している。   When the failure function determination unit 63 determines that the idle stop control monitor function 52 is abnormal, it is possible that the inspection function 53 is abnormal or the processor 32 itself is abnormal. However, in any case, since the processor 32 cannot correctly monitor the idle stop control function 51 on the processor 31 side, safety is ensured by prohibiting the idle stop control from being performed.

また、故障機能判別部63は、相手の検査機能が、検査機能56であれば、トルク制御モニタ機能55が異常であると判断し、トルク制御に関するフェイルセーフとして、マイコン3から駆動回路15へのスロットル制御信号によってスロットル21の開度が制御されるのを禁止する処理を行う。例えば、本実施形態において、駆動回路15は、制御禁止信号を受けると、マイコン3からのスロットル制御信号に拘わらずスロットルモータ13への電圧供給を停止するようになっており、故障機能判別部63は、その制御禁止信号を駆動回路15に出力することで、スロットル21の開度の電気的制御を禁止する。尚、スロットル21の電気的制御が禁止された場合、スロットル21の開度は、エンジン17をアイドル運転状態にすることが可能な開度に保持されるか、あるいは、メカニカルな機構により運転者のアクセルペダル操作に応じて所定範囲で調整可能となっている。このため、スロットル21の電気的制御が禁止されても、車両の最低限の走行は可能である。   Further, if the other party's inspection function is the inspection function 56, the failure function determination unit 63 determines that the torque control monitor function 55 is abnormal, and sets the failure control related to torque control from the microcomputer 3 to the drive circuit 15. A process of prohibiting the opening degree of the throttle 21 from being controlled by the throttle control signal is performed. For example, in the present embodiment, when the drive circuit 15 receives the control prohibition signal, the drive circuit 15 stops the voltage supply to the throttle motor 13 regardless of the throttle control signal from the microcomputer 3. Outputs the control inhibition signal to the drive circuit 15 to inhibit electrical control of the opening degree of the throttle 21. When the electric control of the throttle 21 is prohibited, the opening degree of the throttle 21 is maintained at an opening degree at which the engine 17 can be in an idle operation state, or the driver's It can be adjusted within a predetermined range according to the accelerator pedal operation. For this reason, even if electrical control of the throttle 21 is prohibited, the vehicle can travel at a minimum.

つまり、故障機能判別部63は、検査機能56からの検査結果情報に基づいて、トルク制御モニタ機能55が異常であると判断した場合には、そのトルク制御モニタ機能55によるトルク制御機能54の監視及びフェイルセーフが正しく実施される保証が無いため、トルク制御機能54が担うトルク制御の全てが行われることを禁止している。そして、このような処置により、トルク制御機能54によって意図せぬエンジン17の出力トルク増加が実施されてしまうことを回避している。   That is, if the failure function determination unit 63 determines that the torque control monitor function 55 is abnormal based on the inspection result information from the inspection function 56, the torque control monitor function 55 monitors the torque control function 54. In addition, since there is no guarantee that the fail safe is correctly performed, it is prohibited to perform all of the torque control performed by the torque control function 54. Such a measure prevents the torque control function 54 from unintentionally increasing the output torque of the engine 17.

尚、故障機能判別部63によって、トルク制御モニタ機能55が異常であると判断される場合には、検査機能56の方が異常か、あるいはプロセッサ31自体が異常であることも考えられる。しかし、何れにしても、プロセッサ31によって、プロセッサ32側のトルク制御機能54を正しく監視することができないため、トルク制御が行われることを禁止することにより、安全性を確保している。   When the failure function determination unit 63 determines that the torque control monitor function 55 is abnormal, it is possible that the inspection function 56 is abnormal or the processor 31 itself is abnormal. However, in any case, since the processor 31 cannot correctly monitor the torque control function 54 on the processor 32 side, safety is ensured by prohibiting the torque control from being performed.

そして、故障機能判別部63は、上記のようなフェイルセーフを行った後、当該処理を終了する。
以上のようなECU1では、マイコン3の各プロセッサ31,32が、制御機能を備えていると共に、自分と異なる方のプロセッサの制御機能を監視してフェイルセーフを行う制御モニタ機能を備えている。 Then, after performing the fail safe as described above, the failure function determination unit 63 ends the process.
In the ECU 1 as described above, each of the processors 31 and 32 of the microcomputer 3 has a control function, and also has a control monitor function for performing fail-safe by monitoring the control function of the processor different from itself.

このため、プロセッサ31,32のうち、一方のプロセッサの制御機能が異常になった場合には、他方のプロセッサが、制御モニタ機能により、その異常を検知してフェイルセーフ(S150)を行うため、安全性を確保することができる。そして、各プロセッサ21,32が制御モニタ機能で行うフェイルセーフは、監視対象制御機能が行う制御のうちの一部の制御が行われることを禁止するフェイルセーフであるため、安全性を確保しつつ制御を継続させることができる。よって、故障時における可用性も実現することができる。   For this reason, when the control function of one of the processors 31 and 32 becomes abnormal, the other processor detects the abnormality by the control monitor function and performs fail-safe (S150). Safety can be ensured. The fail safe performed by the processors 21 and 32 using the control monitor function is a fail safe that prohibits a part of the control performed by the monitoring target control function from being performed, and thus ensures safety. Control can be continued. Therefore, availability at the time of failure can also be realized.

更に、各プロセッサ31,32は、自分が備える制御モニタ機能を検査して、その検査結果を表す検査結果情報を監視IC7に出力する検査機能も備えている。
そして、監視IC7は、プロセッサ32から検査機能53によって出力される検査結果情報に基づいて、該プロセッサ32のアイドルストップ制御モニタ機能52が異常であると判断すると、そのアイドルストップ制御モニタ機能52によって監視されているプロセッサ31によるアイドルストップ制御が行われることを禁止する(S350)。同様に、監視IC7は、プロセッサ31から検査機能56によって出力される検査結果情報に基づいて、該プロセッサ31のトルク制御モニタ機能55が異常であると判断すると、そのトルク制御モニタ機能55によって監視されているプロセッサ32によるトルク制御が行われることを禁止する(S350)。 Further, each of the processors 31 and 32 has an inspection function for inspecting a control monitor function provided therein and outputting inspection result information representing the inspection result to the monitoring IC 7.
When the monitoring IC 7 determines that the idle stop control monitor function 52 of the processor 32 is abnormal based on the inspection result information output from the processor 32 by the inspection function 53, the monitoring IC 7 monitors the idle stop control monitor function 52. The idle stop control by the processor 31 being performed is prohibited (S350). Similarly, when the monitoring IC 7 determines that the torque control monitor function 55 of the processor 31 is abnormal based on the inspection result information output from the processor 31 by the inspection function 56, the monitoring IC 7 is monitored by the torque control monitor function 55. The torque control by the processor 32 is prohibited (S350).

このため、プロセッサ31,32の一方に異常が生じて、他方のプロセッサの制御機能に対する異常監視ができなくなった場合には、監視IC7により、その他方のプロセッサによる制御の実施自体が禁止される。   For this reason, when an abnormality occurs in one of the processors 31 and 32 and an abnormality cannot be monitored for the control function of the other processor, the monitoring IC 7 prohibits the execution of control by the other processor.

よって、本実施形態のECU1によれば、プロセッサ31でのアイドルストップ制御機能51に異常が生じた場合には、アイドルストップ制御における一部の制御が行われることを禁止し、アイドルストップ制御機能51を監視するプロセッサ32に異常が生じた場合には、アイドルストップ制御の実施自体を禁止するというように、アイドルストップ制御について段階的なフェイルセーフを行うことができる。同様に、プロセッサ32でのトルク制御機能54に異常が生じた場合には、トルク制御における一部の制御が行われることを禁止し、トルク制御機能54を監視するプロセッサ31に異常が生じた場合には、トルク制御の実施自体を禁止するというように、トルク制御についても段階的なフェイルセーフを行うことができる。よって、可用性を実現しつつ、制御の安全性、信頼性を高めることができる。   Therefore, according to the ECU 1 of the present embodiment, when an abnormality occurs in the idle stop control function 51 in the processor 31, it is prohibited to perform a part of the control in the idle stop control, and the idle stop control function 51 When an abnormality occurs in the processor 32 that monitors the idle stop control, the step-by-step fail safe can be performed for the idle stop control, such as prohibiting the execution of the idle stop control itself. Similarly, when an abnormality occurs in the torque control function 54 in the processor 32, it is prohibited to perform a part of the control in the torque control, and an abnormality occurs in the processor 31 that monitors the torque control function 54. Thus, step-by-step fail-safe can be performed for torque control, such as prohibiting execution of torque control itself. Therefore, the safety and reliability of control can be improved while realizing availability.

そして更に、アイドルストップ制御とトルク制御との、各々に応じたフェイルセーフを行うことができる。その上、アイドルストップ制御機能51とトルク制御機能54とを、別々のプロセッサ31,32に分担させているため、各プロセッサ31,32での処理負荷を軽減させることができる。   Further, fail-safe according to each of the idle stop control and the torque control can be performed. In addition, since the idle stop control function 51 and the torque control function 54 are shared by the separate processors 31 and 32, the processing load on each of the processors 31 and 32 can be reduced.

また、各検査機能53,56によってマイコン3から監視IC7に出力される検査結果情報には、その検査結果情報が検査機能53,56の何れによって出力されたものであるかを示す識別情報が付加される。そして、各検査機能53,56によって出力される検査結果情報は、通信回路37により、共通のシリアル通信線6を介して監視IC7に入力され、監視IC7は、そのシリアル通信線6を介して入力された検査結果情報が検査機能53,56の何れによって出力されたものかを、識別情報に基づき識別するようになっている。このため、マイコン3と監視IC7との間の通信用配線の数を少なくすることができる。   Further, identification information indicating which inspection result information is output by the inspection function 53 or 56 is added to the inspection result information output from the microcomputer 3 to the monitoring IC 7 by each inspection function 53 or 56. Is done. The inspection result information output by the inspection functions 53 and 56 is input to the monitoring IC 7 by the communication circuit 37 via the common serial communication line 6, and the monitoring IC 7 is input via the serial communication line 6. Based on the identification information, the inspection result information output by the inspection function 53 or 56 is identified. For this reason, the number of wiring lines for communication between the microcomputer 3 and the monitoring IC 7 can be reduced.

また、プロセッサ31,32が行うアイドルストップ制御とトルク制御は、車両の制御システムにおける2つの制御の各々であるため、安全性、信頼性の高い車両の制御システムを構築することができる。つまり、車両の制御システムにおける制御(本実施形態の例では、アイドルストップ制御とトルク制御)を実施する制御装置として、本実施形態のECU1を用いれば、安全性、信頼性の高い車両の制御システムを構築することができる。   Further, the idle stop control and the torque control performed by the processors 31 and 32 are each of the two controls in the vehicle control system, so that a vehicle control system with high safety and reliability can be constructed. That is, if the ECU 1 of the present embodiment is used as a control device that performs control in the vehicle control system (in the example of the present embodiment, idle stop control and torque control), the vehicle control system is highly safe and reliable. Can be built.

以上、本発明の一実施形態について説明したが、本発明はこうした実施形態に何等限定されるものではなく、本発明の要旨を逸脱しない範囲において、種々なる態様で実施し得ることは勿論である。   As mentioned above, although one Embodiment of this invention was described, this invention is not limited to such Embodiment at all, Of course, in the range which does not deviate from the summary of this invention, it can implement in a various aspect. .

以下に変形例の一例について述べる。尚、以下の各変形例は適宜組み合わせることができるものである。
例えば、プロセッサ32の方からトルク制御機能54を削除すると共に、プロセッサ31の方からトルク制御モニタ機能55及びトルク制御モニタの検査機能56を削除した構成を採ることもできる。また逆に、プロセッサ31の方からアイドルストップ制御機能51を削除すると共に、プロセッサ32の方からアイドルストップ制御モニタ機能52及びアイドルストップ制御モニタの検査機能53を削除した構成を採ることもできる。 An example of a modification will be described below. The following modifications can be combined as appropriate.
For example, the torque control function 54 may be deleted from the processor 32, and the torque control monitor function 55 and the torque control monitor inspection function 56 may be deleted from the processor 31. Conversely, the idle stop control function 51 may be deleted from the processor 31, and the idle stop control monitor function 52 and the idle stop control monitor inspection function 53 may be deleted from the processor 32.

また、検査機能53,56及び監視IC7を備えない構成を採ることもできる。
また、アイドルストップ制御機能51とトルク制御機能54との両方を、プロセッサ31,32のうちの一方に備えさせ、プロセッサ31,32のうちの他方に、アイドルストップ制御モニタ機能52及びアイドルストップ制御モニタの検査機能53と、トルク制御モニタ機能55及びトルク制御モニタの検査機能56とを備えさせるように構成しても良い。 Moreover, the structure which is not equipped with the test | inspection functions 53 and 56 and monitoring IC7 can also be taken.
Further, both the idle stop control function 51 and the torque control function 54 are provided in one of the processors 31 and 32, and the other of the processors 31 and 32 has an idle stop control monitor function 52 and an idle stop control monitor. The inspection function 53, the torque control monitor function 55, and the torque control monitor inspection function 56 may be provided.

また、アイドルストップ制御とトルク制御も、あくまで制御内容の一例であり、実施する制御は、他の制御であっても良い。
また、処理装置としてのプロセッサ31,32は、シングルコアのプロセッサに限らず、例えば、ロックステップ動作をするデュアルコアのプロセッサでも良い。後者の場合には、信頼性を更に向上させることができる。 Further, the idle stop control and the torque control are merely examples of the control contents, and the control to be performed may be other controls.
Further, the processors 31 and 32 as processing devices are not limited to single core processors, and may be, for example, dual core processors performing a lockstep operation. In the latter case, the reliability can be further improved.

また、処理装置(上記実施形態ではマイコン3内のプロセッサ)の数は、3つ以上であっても良い。また、複数の処理装置としては、別々のマイコンであっても良いし、マイコンを備えた別々のユニットであっても良い。   Further, the number of processing devices (processors in the microcomputer 3 in the above embodiment) may be three or more. In addition, the plurality of processing devices may be separate microcomputers or separate units including the microcomputers.

また、マイコン3のプロセッサ31,32と監視IC7とのデータ通信は、シリアルデータ通信に限らず、例えばパラレルデータ通信であっても良い。
また、監視装置としては、監視IC7に代えて、例えば、その監視IC7と同様の役割を果たすマイコンや他のユニットを用いても良い。 Further, data communication between the processors 31 and 32 of the microcomputer 3 and the monitoring IC 7 is not limited to serial data communication, and may be parallel data communication, for example.
As the monitoring device, for example, a microcomputer or other unit that plays the same role as the monitoring IC 7 may be used instead of the monitoring IC 7.

1…ECU(電子制御装置)、3…マイコン、6…シリアル通信線、7…監視IC、31,32…プロセッサ、33…ROM、37…通信回路、41〜46…第1〜第6のプログラム、51…アイドルストップ制御機能、52…アイドルストップ制御モニタ機能、53…アイドルストップ制御モニタの検査機能、54…トルク制御機能、55…トルク制御モニタ機能、56…トルク制御モニタの検査機能   DESCRIPTION OF SYMBOLS 1 ... ECU (electronic control apparatus), 3 ... Microcomputer, 6 ... Serial communication line, 7 ... Monitoring IC, 31, 32 ... Processor, 33 ... ROM, 37 ... Communication circuit, 41-46 ... 1st-6th program 51 ... Idle stop control function, 52 ... Idle stop control monitor function, 53 ... Idle stop control monitor inspection function, 54 ... Torque control function, 55 ... Torque control monitor function, 56 ... Torque control monitor inspection function

Claims (5)

プログラムに従い独立して別の処理を行う少なくとも2つの処理装置(31,32)を備え、
前記2つの処理装置のうちの一方の処理装置(31)は、
第1のプログラム(41)によって実現される機能として、第1の制御を行う第1の制御機能(51)を備え、
前記2つの処理装置のうちの他方の処理装置(32)は、
第2のプログラム(42)によって実現される機能として、前記一方の処理装置による前記第1の制御機能が正常か否かを監視し、前記第1の制御機能が異常であると判断すると、前記第1の制御における一部の制御が行われることを禁止するフェイルセーフを行う第1のモニタ機能(52)を備えると共に、
第3のプログラム(43)によって実現される機能として、前記第1のモニタ機能が正常か否かを検査して、その検査結果を表す検査結果情報を当該処理装置の外部に出力する第1の検査機能(53)を備え、
更に、前記他方の処理装置は、
第4のプログラム(44)によって実現される機能として、第2の制御を行う第2の制御機能(54)を備え、
前記一方の処理装置は、
第5のプログラム(45)によって実現される機能として、前記他方の処理装置による前記第2の制御機能が正常か否かを監視し、前記第2の制御機能が異常であると判断すると、前記第2の制御における一部の制御が行われることを禁止するフェイルセーフを行う第2のモニタ機能(55)を備えると共に、
第6のプログラム(46)によって実現される機能として、前記第2のモニタ機能が正常か否かを検査して、その検査結果を表す検査結果情報を当該処理装置の外部に出力する第2の検査機能(56)を備え、
当該制御装置は、
前記他方の処理装置から前記第1の検査機能によって出力される前記検査結果情報に基づいて、前記第1のモニタ機能が異常であると判断すると、前記第1の制御が行われることを禁止するフェイルセーフを行い、前記一方の処理装置から前記第2の検査機能によって出力される前記検査結果情報に基づいて、前記第2のモニタ機能が異常であると判断すると、前記第2の制御が行われることを禁止するフェイルセーフを行う監視装置(7)を備えており、
しかも、前記第1の制御と前記第2の制御とは、独立した制御であること、
を特徴とする制御装置(1)。 Comprising at least two processing devices (31, 32) for performing different processing independently according to a program;
One of the two processing devices (31) is
As a function realized by the first program (41), a first control function (51) for performing the first control is provided,
The other processing device (32) of the two processing devices is:
As a function realized by the second program (42), whether or not the first control function by the one processing device is normal is determined, and if it is determined that the first control function is abnormal, Rutotomoni comprising a first monitor function for fail-safe to prohibit that some control is performed (52) in the first control,
As a function realized by the third program (43), the first monitor function checks whether the first monitor function is normal and outputs test result information representing the test result to the outside of the processing apparatus. It has an inspection function (53),
Further, the other processing device is
As a function realized by the fourth program (44), a second control function (54) for performing the second control is provided,
The one processing apparatus is
As a function realized by the fifth program (45), whether or not the second control function by the other processing device is normal is determined, and if it is determined that the second control function is abnormal, A second monitor function (55) for performing fail-safe prohibiting that a part of the control in the second control is performed is provided.
As a function realized by the sixth program (46), the second monitor function checks whether or not the second monitor function is normal, and outputs test result information representing the test result to the outside of the processing apparatus. It has an inspection function (56),
The control device
If it is determined that the first monitor function is abnormal based on the inspection result information output from the other processing device by the first inspection function, the first control is prohibited. When fail-safe is performed and it is determined that the second monitor function is abnormal based on the inspection result information output from the one processing device by the second inspection function, the second control is performed. Equipped with a fail-safe monitoring device (7) that prohibits
Moreover, the first control and the second control are independent controls,
A control device (1) characterized by 請求項に記載の制御装置において、
前記第1の検査機能によって出力される前記検査結果情報には、その検査結果情報が前記第1の検査機能によって出力されるものであることを示す識別情報が付加され、
前記第2の検査機能によって出力される前記検査結果情報には、その検査結果情報が前記第2の検査機能によって出力されるものであることを示す識別情報が付加され、
前記第1の検査機能によって出力される前記検査結果情報と、前記第2の検査機能によって出力される前記検査結果情報とを、シリアル通信線(6)を介して前記監視装置に送信する通信回路(37)を備え、
前記監視装置は、前記シリアル通信線を介して入力された検査結果情報が前記第1の検査機能と前記第2の検査機能との何れによって出力されたものかを、前記識別情報に基づいて識別すること、
を特徴とする制御装置。 The control device according to claim 1 ,
Identification information indicating that the inspection result information is output by the first inspection function is added to the inspection result information output by the first inspection function,
Identification information indicating that the inspection result information is output by the second inspection function is added to the inspection result information output by the second inspection function,
A communication circuit for transmitting the inspection result information output by the first inspection function and the inspection result information output by the second inspection function to the monitoring device via a serial communication line (6). (37)
The monitoring device identifies, based on the identification information, whether the inspection result information input via the serial communication line is output by the first inspection function or the second inspection function. To do,
A control device characterized by. 請求項又は請求項に記載の制御装置において、
前記第1の制御と前記第2の制御は、車両の制御システムにおける2つの制御の各々であること、
を特徴とする制御装置。 In the control device according to claim 1 or 2 ,
The first control and the second control are each of two controls in a vehicle control system;
A control device characterized by. 請求項3に記載の制御装置において、The control device according to claim 3,
前記第1の制御は、前記車両のアイドルストップ制御であり、  The first control is idle stop control of the vehicle,
前記第2の制御は、前記車両のエンジンのトルク制御であること、  The second control is torque control of the engine of the vehicle;
を特徴とする制御装置。  A control device characterized by. 車両の制御システムにおける制御を実施する制御装置として、請求項1ないし請求項の何れか1項に記載の制御装置を備えた車両制御システム。 The vehicle control system provided with the control apparatus of any one of Claim 1 thru | or 4 as a control apparatus which implements control in the control system of a vehicle.
JP2012233026A 2012-10-22 2012-10-22 Control device and vehicle control system Active JP5741550B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2012233026A JP5741550B2 (en) 2012-10-22 2012-10-22 Control device and vehicle control system
DE201310221343 DE102013221343A1 (en) 2012-10-22 2013-10-21 CONTROL DEVICE AND VEHICLE CONTROL SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012233026A JP5741550B2 (en) 2012-10-22 2012-10-22 Control device and vehicle control system

Publications (2)

Publication Number Publication Date
JP2014085761A JP2014085761A (en) 2014-05-12
JP5741550B2 true JP5741550B2 (en) 2015-07-01

Family

ID=50437251

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012233026A Active JP5741550B2 (en) 2012-10-22 2012-10-22 Control device and vehicle control system

Country Status (2)

Country Link
JP (1) JP5741550B2 (en)
DE (1) DE102013221343A1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6465003B2 (en) 2015-11-30 2019-02-06 株式会社デンソー Electronic control unit
DE112017007376T5 (en) 2017-03-31 2019-12-05 Honda Motor Co., Ltd. Control device for universal motor
JP7106237B2 (en) * 2020-04-02 2022-07-26 三菱電機株式会社 vehicle controller

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11294252A (en) * 1998-04-13 1999-10-26 Denso Corp Electronic control device
JP2002169706A (en) * 2000-12-04 2002-06-14 Mitsubishi Electric Corp Monitor system
JP2003076572A (en) * 2001-09-05 2003-03-14 Central Japan Railway Co Computer system, program and fallback method
JP2006011686A (en) * 2004-06-24 2006-01-12 Fuji Xerox Co Ltd Method for detecting abnormality of multi-task system
DE102005037233A1 (en) * 2005-08-08 2007-02-15 Robert Bosch Gmbh Method and device for data processing
JP2008140280A (en) * 2006-12-05 2008-06-19 Hitachi Ltd Reliability enhancing method in operation management of server
JP2009282601A (en) * 2008-05-20 2009-12-03 Nec System Technologies Ltd Operation monitoring program, monitoring system, and monitoring method
JP2011065528A (en) * 2009-09-18 2011-03-31 Toyota Motor Corp Multiprocessor system
JP2012063837A (en) * 2010-09-14 2012-03-29 Yokogawa Electric Corp Abnormality notification system and semiconductor testing device

Also Published As

Publication number Publication date
DE102013221343A1 (en) 2014-04-24
JP2014085761A (en) 2014-05-12

Similar Documents

Publication Publication Date Title
US11126176B2 (en) Vehicle control apparatus
JP6220232B2 (en) Vehicle control device
KR20070050680A (en) A system for control fail safety between controller of hybrid vehicle
JP5813547B2 (en) Vehicle behavior control system
CN111137305B (en) Control method and control device for motor in vehicle
JP2010128627A (en) On-vehicle electronic control device
JP2010144653A (en) Electronic control device
JP5741550B2 (en) Control device and vehicle control system
JP6149797B2 (en) In-vehicle electronic control unit
US9221492B2 (en) Method for operating an electrical power steering mechanism
CN114718990A (en) Electronic gear shifting method, device, vehicle and medium according with function safety
JP2011032903A (en) Control device of vehicle
JP2018021534A (en) Fail-safe device for engine
CN108146250B (en) Automobile torque safety control method based on multi-core CPU
JP2009127574A (en) Control device for internal combustion engine
JP2011127439A (en) Control device of internal combustion engine
JP2014534922A (en) Method for operating an electric power steering system
JP5030105B2 (en) Brake switch failure diagnosis apparatus and failure diagnosis method
JP2019111866A (en) Automatic operation system
JP2005291173A (en) Vehicle control system
JP2010101249A (en) Idle stop control device for internal combustion engine
JP2016031631A (en) Vehicle control device
CN106043304B (en) Method for preventing unintentional acceleration of a motor vehicle
JP5713432B2 (en) Drive unit control apparatus and control method
KR101744985B1 (en) ISG Control Method for Preventing Abnormal Engine Start

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140219

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150109

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150120

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150312

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150331

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150413

R151 Written notification of patent or utility model registration

Ref document number: 5741550

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250