JP5853691B2 - 車両用制御装置および方法 - Google Patents
車両用制御装置および方法 Download PDFInfo
- Publication number
- JP5853691B2 JP5853691B2 JP2011289860A JP2011289860A JP5853691B2 JP 5853691 B2 JP5853691 B2 JP 5853691B2 JP 2011289860 A JP2011289860 A JP 2011289860A JP 2011289860 A JP2011289860 A JP 2011289860A JP 5853691 B2 JP5853691 B2 JP 5853691B2
- Authority
- JP
- Japan
- Prior art keywords
- safety function
- executed
- address
- vehicle
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16H—GEARING
- F16H59/00—Control inputs to control units of change-speed-, or reversing-gearings for conveying rotary motion
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3013—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3058—Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Mechanical Engineering (AREA)
- Control Of Transmission Device (AREA)
- Debugging And Monitoring (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
Description
本発明は、車両に搭載された車載装置を制御するコンピュータを含む車両用制御装置および当該コンピュータを用いた車両用制御方法に関する。
従来、プログラムの暴走を検出可能な演算装置として、プログラムを実行する演算部の基準クロックを計数すると共に、所定値毎に演算部に割込要求を行なうものが知られている(例えば、特許文献1参照)。この演算装置は、割込処理時に、プログラムの実行アドレスが所定範囲に存在するか否かを判定し、プログラムの実行アドレスが所定範囲に存在しないときにプログラムが暴走状態であると判定する。また、プログラムに従って処理を実行する命令処理部を備えると共に当該命令処理部におけるプログラム実行の暴走を検出する半導体回路装置として、命令処理部がアクセスするプログラム空間のアドレスを判定すると共に命令処理部が非実装空間のアドレスにアクセスしたと判定したことに応答して復帰処理を実行し、非実装空間への暴走を止めるものも知られている(例えば、特許文献2参照)。更に、プログラムを複数のタスクプログラムに分割し、各タスクプログラムを所定の順序で実行させるようにしたマルチタスクプログラムの暴走を検出する装置として、タスクプログラムを記憶する複数のタスクプログラム記憶手段と、これらタスクプログラム記憶手段に記憶されたタスクプログラムを指令手段から指定されたタスクプログラムに切り替える切替手段と、実行していたタスクプログラムに基づいたプログラム番地が、指定されていたタスクプログラムのプログラム番地の範囲内に在るか否かを判定し、範囲内にないと判定した場合には暴走とする判定手段とを備えたものも知られている(例えば、特許文献3参照)。
上記従来のプログラムの暴走検出技術は、基本的に現在実行されている処理が予め定められたアドレス(プログラム番地)に含まれているかどうか監視するだけのものであり、本来実行されるべき処理が実行されているかを監視可能なものではない。従って、上記従来のプログラムの暴走検出技術は、車載装置を制御するコンピュータを含む車両用制御装置に対し、車両の安全性を確保する観点から装備するものとしては不十分である。一方、車両用制御装置においては、車載装置を作動させるための制御自体が複雑化していることもあり、すべての処理の実行状態を監視すると、演算負荷が増加してしまい却って様々の処理の円滑な実行に支障をきたしてしまうおそれもある。
そこで、本発明は、演算負荷の増加を抑制しつつ、車両の安全性が確保されるように車載装置をより適正に制御可能な車両用制御装置および方法の提供を主目的とする。
本発明による車両用制御装置および車両用制御方法は、上記主目的を達成するために以下の手段を採っている。
本発明による車両用制御装置は、
車両に搭載された車載装置を制御するコンピュータを含む車両用制御装置において、
前記車載装置を作動させるための処理を実行する主処理部と、
前記主処理部による処理に応じて作動する前記車載装置の危険状態を検知すると共に該車載装置を安全状態にする安全機能処理を実行する安全機能処理部とを備え、
前記安全機能処理部は、前記安全機能処理が実行される際に該安全機能処理の実行順序の正否を監視する実行順序監視手段を有することを特徴とする。
車両に搭載された車載装置を制御するコンピュータを含む車両用制御装置において、
前記車載装置を作動させるための処理を実行する主処理部と、
前記主処理部による処理に応じて作動する前記車載装置の危険状態を検知すると共に該車載装置を安全状態にする安全機能処理を実行する安全機能処理部とを備え、
前記安全機能処理部は、前記安全機能処理が実行される際に該安全機能処理の実行順序の正否を監視する実行順序監視手段を有することを特徴とする。
この車両制御装置は、車載装置を作動させるための処理を実行する主処理部と、当該主処理部による処理に応じて作動する車載装置の危険状態を検知すると共に車載装置を安全状態にする安全機能処理を実行する安全機能処理部とを備える。そして、安全機能処理部は、安全機能処理が実行される際に当該安全機能処理の実行順序の正否を監視する実行順序監視手段を有する。このように、安全機能処理部に実行順序監視手段を設け、車載装置の制御に際して実行される様々な処理のうち、安全機能を確保するための安全機能処理について実行順序の正否を監視すれば、安全機能処理が本来の実行順序とは異なる順序で実行されてしまうのを抑制し、主処理部により実行される処理の実行状態を監視することなく、車両の安全性を良好に確保することが可能となる。これにより、演算負荷の増加を抑制しつつ、車両の安全性が確保されるように車載装置をより適正に制御することが可能となる。なお、実行順序の正否の監視対象とされる安全機能処理は、それ自体で1つのタスクであってもよく、あるタスクの実行に際して呼び出される処理(サブルーチン、関数等)であってもよい。
また、前記実行順序監視手段は、実行されるべき安全機能処理を定義する定義手段と、前記定義手段により定義された前記安全機能処理が実行されるか否かを判定する判定手段とを含むものであってもよい。これにより、安全機能処理の実行順序の正否をより適正に監視することが可能となる。
更に、前記実行順序監視手段は、前記安全機能処理が分岐処理を含む場合に、分岐後に実行されるべき分岐後処理を定義する分岐後処理定義手段と、前記分岐後処理定義手段により定義された分岐後処理が実行されるか否かを判定する分岐判定手段とを含むものであってもよい。これにより、分岐処理を含む安全機能処理が実行される際に、分岐後処理の実行順序の正否をより適正に監視することが可能となる。
また、前記安全機能処理部は、前記安全機能処理が所定周期で繰り返し実行される繰り返し処理である場合に、前記安全機能処理の実行周期が正常範囲内に含まれるか否かを該安全機能処理の実行とは独立に監視する実行周期監視手段を更に有してもよい。このように、繰り返し処理である安全機能処理の実行周期を監視することで、当該安全機能処理が本来の実行周期とは異なる周期で実行されてしまうのを抑制し、車両の安全性をより良好に確保することが可能となる。なお、このような実行周期の監視は、1つのタスク内の安全機能処理(繰り返し処理)とは独立した関数等により実行されてもよく、繰り返し処理を含むタスクとは別のタスクで実行されてもよく、主処理部や安全機能処理部が構築されるコンピュータとは別のコンピュータにより実行されてもよい。
そして、前記車載装置は、原動機からの動力を前記車両の駆動輪に伝達する動力伝達装置であってもよい。
本発明による車両用制御方法は、
車両に搭載された車載装置を制御するコンピュータを用いた車両用制御方法において、
前記車載装置を作動させるための主処理と、前記主処理に応じて作動する前記車載装置の危険状態を検知すると共に該車載装置を安全状態にする安全機能処理とを実行すると共に、前記安全機能処理が実行される際にのみ、該安全機能処理の実行順序の正否を監視するものである。
車両に搭載された車載装置を制御するコンピュータを用いた車両用制御方法において、
前記車載装置を作動させるための主処理と、前記主処理に応じて作動する前記車載装置の危険状態を検知すると共に該車載装置を安全状態にする安全機能処理とを実行すると共に、前記安全機能処理が実行される際にのみ、該安全機能処理の実行順序の正否を監視するものである。
この方法によれば、演算負荷の増加を抑制しつつ、車両の安全性が確保されるように車載装置をより適正に制御することが可能となる。
次に、本発明を実施するための形態を実施例を用いて説明する。
図1は、本発明による車両用制御装置を含む車両である自動車10の概略構成図である。同図に示す自動車10は、ガソリンや軽油といった炭化水素系の燃料と空気との混合気の爆発燃焼により動力を出力する内燃機関である原動機としてのエンジン12や、エンジン12を制御するエンジン用電子制御ユニット(以下、「エンジンECU」という)14、図示しない電子制御式油圧ブレーキユニットを制御するブレーキ用電子制御ユニット(以下、「ブレーキECU」という)16、エンジン12のクランクシャフトに接続されると共にエンジン12からの動力を左右の駆動輪DWに伝達する車載装置としての動力伝達装置20、動力伝達装置20を制御する本発明による車両用制御装置としての変速用電子制御ユニット(以下、「変速ECU」という)21等を含む。
エンジンECU14は、図示しないCPUを中心とするマイクロコンピュータとして構成されており、CPUの他に、各種プログラムを記憶するROM、データを一時的に記憶するRAM、入出力ポートおよび通信ポート(何れも図示せず)等を含む。図1に示すように、エンジンECU14には、アクセルペダル91の踏み込み量(操作量)を検出するアクセルペダルポジションセンサ92からのアクセル開度Accや車速センサ97からの車速V、クランクシャフトの回転位置を検出する図示しないクランクシャフトポジションセンサといった各種センサ等からの信号、ブレーキECU16や変速ECU21からの信号等が入力され、エンジンECU14は、これらの信号に基づいて何れも図示しない電子制御式のスロットルバルブや燃料噴射弁、点火プラグ等を制御する。
ブレーキECU16も図示しないCPUを中心とするマイクロコンピュータとして構成されており、CPUの他に、各種プログラムを記憶するROM、データを一時的に記憶するRAM、入出力ポートおよび通信ポート(何れも図示せず)等を含む。図1に示すように、ブレーキECU16には、ブレーキペダル93が踏み込まれたときにマスタシリンダ圧センサ94により検出されるマスタシリンダ圧や車速センサ97からの車速V、図示しない各種センサ等からの信号、エンジンECU14や変速ECU21からの信号等が入力され、ブレーキECU16は、これらの信号に基づいて図示しないブレーキアクチュエータ(油圧アクチュエータ)等を制御する。
動力伝達装置20は、トランスミッションケース22の内部に収容されるトルクコンバータ(流体伝動装置)23や、オイルポンプ24、例えば有段式の自動変速機である変速機25、ギヤ機構26、差動機構(デファレンシャルギヤ)27、油圧制御装置30等を含む。トルクコンバータ23は、エンジン12のクランクシャフトに接続される入力側のポンプインペラや、変速機25の入力軸(入力部材)に接続された出力側のタービンランナ、ステータ、ロックアップクラッチ、ダンパ機構等(何れも図示省略)を含むものである。なお、トルクコンバータ23の代わりに、ステータを有さない流体継手が用いられてもよい。オイルポンプ24は、ポンプボディとポンプカバーとからなるポンプアッセンブリと、ハブを介してトルクコンバータ23のポンプインペラaに接続された外歯ギヤとを備えるギヤポンプとして構成され、エンジン12からの動力により図示しないオイルパンに貯留されている作動油(ATF)を吸引して油圧制御装置30へと圧送する。
変速機25は、変速段を複数段階に変更しながら入力軸に伝達された動力を出力軸に伝達可能なものであり、複数の遊星歯車機構や、入力軸から出力軸までの動力伝達経路を変更するための複数のクラッチ、ブレーキ、ワンウェイクラッチ等を含む。変速機25の出力軸は、ギヤ機構26および差動機構27を介して駆動輪DWに連結される。また、複数のクラッチやブレーキは、油圧制御装置30からの油圧により係合または解放される。なお、変速機25は、ベルト式あるいは他の形式の無段変速機として構成されてもよい。油圧制御装置30は、バルブボディ内に配置された複数のソレノイドバルブやリレーバルブ等を有し、トルクコンバータ23や変速機25により要求される油圧を発生すると共に、各種軸受などの潤滑部分に作動油を供給する。
動力伝達装置20の制御装置である変速ECU21は、図2に示すように、メインコンピュータ210と、監視コンピュータ(サブコンピュータ)220と、車速センサ97や回転数センサ98、油温センサ99といった各種センサからの信号を処理する処理回路230と、油圧制御装置30を駆動制御する駆動回路240とを含む、メインコンピュータ210と、監視コンピュータ220とは、何れも図示しないCPUを中心とするマイクロコンピュータとして構成されており、CPUの他に、各種プログラムを記憶するROM、データを一時的に記憶するRAM、入出力ポートおよび通信ポート(何れも図示せず)等を含む。図1に示すように、変速ECU21には、アクセルペダルポジションセンサ92からのアクセル開度Accや車速センサ97からの車速V、複数のシフトレンジの中から所望のシフトレンジを選択するためのシフトレバー95の操作位置を検出するシフトレンジセンサ96からのシフトレンジSR、変速機25の入力回転数を検出する回転数センサ98、油圧制御装置30における油温を検出する油温センサ99といった様々なセンサ等からの信号、エンジンECU14やブレーキECU16からの信号等が入力され、変速ECU21は、これらの信号に基づいてトルクコンバータ23や変速機25、すなわち油圧制御装置30を制御する。
そして、変速ECU21を構成するメインコンピュータ210には、図2に示すように、CPUやROM,RAMといったハードウェアと、ROMにインストールされたプログラムといったソフトウェアとの協働により、主処理部211と、安全機能処理部212と、監視部215とが機能ブロックとして構築される。主処理部211は、トルクコンバータ23や変速機25を作動させるための様々な処理(主処理)、すなわち油圧制御装置30の制御全般を実行するものである。安全機能処理部212は、トルクコンバータ23や変速機25、油圧制御装置30等を含む動力伝達装置20の危険状態を検知すると共に動力伝達装置20を安全状態にする様々なタスク、サブルーチン、マクロ、関数等である安全機能処理を実行するものである。監視部215は、変速ECU21自体(ハードウェア)の異常の有無を監視コンピュータ220と共に相互に監視するものである。図示するように、監視コンピュータ220にも、CPUやROM,RAMといったハードウェアと、ROMにインストールされたプログラムといったソフトウェアとの協働により、メインコンピュータ210の監視部215と同様の処理を実行する監視部225が構築される。
メインコンピュータ210の主処理部211には、図2に示すように、アクセルペダルポジションセンサ92、車速センサ97、回転数センサ98、油温センサ99といった様々なセンサからの信号が処理回路230を介して入力される。主処理部211は、処理回路230を介して入力した各種センサからの信号やエンジンECU14やブレーキECU16からの信号に基づいて指令信号を生成し、当該指令信号を駆動回路240に送信する。そして、駆動回路240は、主処理部211からの指令信号に従って油圧制御装置30を駆動制御する。また、変速ECU21の安全機能処理部212には、アクセルペダルポジションセンサ92、車速センサ97、回転数センサ98、油温センサ99といった様々なセンサからの信号が処理回路230を介して入力されると共に、駆動回路240からの信号等が入力される。そして、安全機能処理部212は、入力信号に基づいてトルクコンバータ23や変速機25、油圧制御装置30等を含む動力伝達装置20の危険状態を検知すると共に動力伝達装置20を安全状態にするための処理である安全機能処理を実行して指令信号を生成し、当該指令信号を駆動回路240に送信する。更に、メインコンピュータ210の監視部215は、メインコンピュータ210のCPUやRAM、ROM等のチェックを行うことでハードウェアの異常の有無を監視する。また、監視コンピュータ220の監視部225は、主処理部211の出力信号や、処理回路230を介して各種センサからの信号を入力し、入力した信号に基づいてハードウェアの異常の有無を監視する。なお、実施例において、安全機能処理部212に入力される各種センサからの信号は、例えば国際規格に基づいて予めハードウェアやソフトウェアを構成することで、国際規格に合致するように確からしさをより高めた信号である。
ここで、「危険状態」とは、例えば、変速機25において予め定められた変速線図に従って設定される変速段よりもギヤ比の大きい変速段が形成される状態や、予め定められたエンジン12のトルクアップ量よりも大きいトルクアップ量が変速ECU21からエンジンECU14に対して指令される状態といったような運転者が意図しない加速を自動車10に発生させてしまう状態や、変速機25の変速段ごとに予め係合することが定められたクラッチやブレーキ以外のクラッチ等が係合された状態といったような運転者が意図しない減速を自動車10に発生させてしまう状態をいう。また、「安全状態」とは、例えば、変速機25における動力伝達を不能にするために変速機25をニュートラルにした状態や、油圧制御装置30の全ソレノイドバルブへの電力供給を遮断して変速機25に所定の変速段を形成させる状態(いわゆるリンプホーム状態)をいう。
次に、図3〜図5を参照しながら、変速ECU21の安全機能処理部212による安全機能処理の実行手順について説明する。
図3は、安全機能処理部212により繰り返し処理である安全機能処理が実行される際に、当該安全機能処理の実行周期を監視すべく安全機能処理部212によって繰り返し実行される一連の処理を例示するフローチャートである。図3に示す一連の処理は、例えば、1つのタスク内の安全機能処理(繰り返し処理)とは独立した関数等により実行されたり、対象となる安全機能処理(繰り返し処理)を含むタスクとは別のタスクで実行されたりするものである。
図3の一連の処理は、所定周期(例えば、100mSec)ごとに実行されるものであり、まず、予め定められた変数から対象となる安全機能処理の呼び出し時刻(システム時間)が取得される(ステップS100)。なお、安全機能処理の呼び出し時刻は、プログラムの実行により当該安全機能処理が呼び出されるたびに上記変数に格納される。次いで、ステップS100にて取得された呼び出し時刻に基づいて対象となる安全機能処理の実行周期が算出される(ステップS110)。ステップS110では、ステップS100にて入力された呼び出し時刻と対象となる安全機能処理の最初の呼び出し時刻あるいはステップS100の前回実行時に取得された呼び出し時刻との差分が実行周期として算出される。実行周期が算出されると、算出された実行周期が予め定められた正常範囲外のものであるか否かが判定される(ステップS120)。そして、ステップS110にて算出された実行周期が正常範囲内に含まれる場合には、その段階で図3の一連の処理が一旦終了させられる。これに対して、ステップS110にて算出された実行周期が正常範囲外のものである場合には、メインコンピュータ210に異常が発生しているとみなされて当該メインコンピュータ210のリセット処理が実行され(ステップS130)、リセット処理が完了すると、その段階で図3の一連の処理が一旦終了させられる。ここで、リセット処理には、メインコンピュータにおける安全機能処理を中止する処理や、メインコンピュータからの出力信号をキャンセル(無効)にする処理等が含まれる。
このように、繰り返し実行される安全機能処理の実行周期を監視することで、安全機能処理が本来の実行周期とは異なる周期で実行されてしまうのを抑制し、自動車10の安全性をより良好に確保することが可能となる。なお、図3における一連の処理は、主処理部211や安全機能処理部212が構築されるメインコンピュータ210とは別のコンピュータである監視コンピュータ220により実行されてもよい。
図4は、安全機能処理部212による安全機能処理の実行手順の一例を示すフローチャートである。ここで、図4の一連の処理は、それ自体で1つのタスクである安全機能処理に適用されてもよく、あるタスクの実行に際して呼び出される安全機能処理(サブルーチン、マクロ、関数等)であってもよい。
図4に示すように、安全機能処理の実行に際しては、まず、実行対象である安全機能処理のメインコンピュータ210のROMにおけるアドレスが取得されると共に予め定められた変数に格納され(ステップS200)、これにより、実行されるべき安全機能処理が定義される。ステップS200の処理の後、実行対象である安全機能処理が呼び出されてRAMに格納される(ステップS210)。更に、ステップS210にて呼び出された処理のアドレスと上記変数に格納されたアドレスとが比較される(ステップS220)。なお、ステップS210にて呼び出された処理のROMにおけるアドレスは、当該処理のプログラムコードに記述されている。そして、ステップS210にて呼び出された処理のアドレスと上記変数に格納されたアドレスとが一致している場合には(ステップS230のYes)、ステップS210にて呼び出された処理すなわちステップS200にて定義された安全機能処理がそのまま実行され(ステップS240)、安全機能処理の実行が完了した段階で図4の一連の処理が終了させられる。これに対して、ステップS210にて呼び出された処理のアドレスと上記変数に格納されたアドレスとが一致していない場合には(ステップS230のNo)、メインコンピュータ210のリセット処理が実行され(ステップS250)、リセット処理が完了すると、その段階で図4の一連の処理が終了させられる。
このように、実行対象である安全機能処理のメインコンピュータ210のROMにおけるアドレスを変数に格納して実行されるべき安全機能処理を定義した上で(ステップS200)、実際に呼び出された処理のアドレスと当該変数に格納されたアドレスとを比較して定義された安全機能処理が実行されるか否かを判定することで(ステップS220,S230)、安全機能処理の実行順序の正否をより適正に監視することができる。従って、例えばCPUの異常等によりプログラムが暴走したような場合であっても、リセット処理により当該暴走を止め、自動車10の安全性が確保されるように動力伝達装置20をより適正に制御することが可能となる。
図5は、安全機能処理部212による安全機能処理の実行手順の他の例を示すフローチャートである。図5の一連の処理は、実行対象である安全機能処理が分岐処理を含むものである場合に実行される。
図5に示すように、分岐処理を含む安全機能処理の実行に際しては、まず、いわゆるif文やwhile文、switch文等による分岐処理の後に実行されるべき分岐後処理の仮想アドレスが予め定められた変数に格納され(ステップS300)、これにより、実行されるべき分岐後処理が定義される。ここで、図4に関連して説明したような安全機能処理(サブルーチン、マクロ、関数等)自体を呼び出す場合に比べて、分岐後処理のROMにおけるアドレス(実アドレス)を取得することは容易ではない。このため、実施例において、分岐処理を含む安全機能処理に関連したプログラムでは、分岐後に実行される分岐後処理の仮想アドレスが定数として定義されており、ステップS300では、分岐結果に応じた分岐後処理の仮想アドレスが上記変数に格納される。次いで、ステップS300の処理の後、分岐後に実際に実行される処理のアドレスと上記変数に格納された仮想アドレスとが比較される(ステップS310)。そして、分岐後に実際に実行される処理の仮想アドレスと上記変数に格納された仮想アドレスとが一致している場合には(ステップS320のYes)、当該処理すなわちステップS300にて定義された分岐後処理がそのまま実行され(ステップS330)、分岐後処理の実行が完了した段階で図5の一連の処理が終了させられる。これに対して、分岐後に実際に実行される処理の仮想アドレスと上記変数に格納された仮想アドレスとが一致していない場合には(ステップS320のNo)、メインコンピュータ210のリセット処理が実行され(ステップS340)、リセット処理が完了すると、その段階で図5の一連の処理が終了させられる。
このように、実行対象である安全機能処理が分岐処理を含む場合には、仮想アドレスを変数に格納して分岐後に実行されるべき分岐後処理を定義した上で(ステップS300)、分岐後に実際に実行される処理の仮想アドレスと当該変数に格納されたアドレスとを比較して定義された分岐後処理が実行されるか否かを判定することで(ステップS310,S320)、分岐後処理の実行順序の正否をより適正に監視することが可能となる。
以上説明したように、車両制御装置としての変速ECU21のメインコンピュータ210には、車載装置としての動力伝達装置20を作動させるための複数の処理を実行する主処理部211と、動力伝達装置20の危険状態を検知して当該動力伝達装置20を安全状態にするための複数の安全機能処理を実行する安全機能処理部212とが構築される。そして、安全機能処理部212は、安全機能処理が実行される際に図3や図4に示す手順に従って当該安全機能処理の実行順序の正否を監視する。このように、動力伝達装置20の制御に際して実行される様々な処理のうち、安全機能を確保するための安全機能処理について実行順序の正否を監視すれば、安全機能処理が本来の実行順序とは異なる順序で実行されてしまうのを抑制し、主処理部211により実行される処理の実行状態を監視することなく、自動車10の安全性を良好に確保することが可能となる。これにより、主処理部211における演算負荷の増加を抑制しつつ、自動車10の安全性が確保されるように動力伝達装置20をより適正に制御することが可能となる。なお、上記実施例の変速ECU21は、メインコンピュータ210と監視コンピュータ(サブコンピュータ)220とを含むものであるが、変速ECU21から監視コンピュータ220を省略してもよい。
ここで、実施例の主要な要素と課題を解決するための手段の欄に記載した発明の主要な要素との対応関係について説明する。すなわち、上記実施例では、自動車10に搭載された車載装置としての動力伝達装置20を制御するメインコンピュータ210を含む変速ECU21が「車両用制御装置」に相当し、動力伝達装置20を作動させるための様々な処理を実行する主処理部211が「主処理部」に相当し、動力伝達装置20の危険状態を検知して動力伝達装置20を安全状態にするための安全機能処理を実行する安全機能処理部212が「安全機能処理部」に相当し、安全機能処理が実行される際に当該安全機能処理の実行順序の正否を監視する図4のステップS200〜S230や図5のステップS300〜S320が「実行順序監視手段」に相当する。また、図4のステップS200が、実行されるべき安全機能処理を定義する「定義手段」に相当し、図4のステップS220,S230が、定義手段により定義された安全機能処理が実行されるか否かを判定する「判定手段」に相当し、図5のステップS300が、分岐後に実行されるべき分岐後処理を定義する「分岐後処理定義手段」に相当し、図5のステップS310,S320が、定義された分岐後処理が実行されるか否かを判定する「分岐判定手段」に相当し、図3のステップS100〜S120が、安全機能処理が所定周期で繰り返し実行される繰り返し処理である場合に当該安全機能処理の実行周期が正常範囲内に含まれるか否かを安全機能処理の実行とは独立に監視する「実行周期監視手段」に相当する。
ただし、実施例の主要な要素と課題を解決するための手段の欄に記載された発明の主要な要素との対応関係は、実施例が課題を解決するための手段の欄に記載された発明を実施するための形態を具体的に説明するための一例であることから、課題を解決するための手段の欄に記載した発明の要素を限定するものではない。すなわち、実施例はあくまで課題を解決するための手段の欄に記載された発明の具体的な一例に過ぎず、課題を解決するための手段の欄に記載された発明の解釈は、その欄の記載に基づいて行なわれるべきものである。
以上、実施例を用いて本発明の実施の形態について説明したが、本発明は上記実施例に何ら限定されるものではなく、本発明の要旨を逸脱しない範囲内において様々な変更をなし得ることはいうまでもない。
本発明は、車両や車載装置の製造産業において利用可能である。
10 自動車、12 エンジン、14 エンジン用電子制御ユニット(エンジンECU)、16 ブレーキ用電子制御ユニット(ブレーキECU)、20 動力伝達装置、21 変速用電子制御ユニット(変速ECU)、22 トランスミッションケース、23 トルクコンバータ、24 オイルポンプ、25 変速機、26 ギヤ機構、27 差動機構、30 油圧制御装置、91 アクセルペダル、92 アクセルペダルポジションセンサ、93 ブレーキペダル、94 マスタシリンダ圧センサ、95 シフトレバー、96 シフトレンジセンサ、97 車速センサ、98 回転数センサ、99 油温センサ、210 メインコンピュータ、211 主処理部、212 安全機能処理部、215,225 監視部、220 監視コンピュータ、230 処理回路、240 駆動回路。
Claims (6)
- 車両に搭載された車載装置を制御するコンピュータを含む車両用制御装置において、
前記車載装置を作動させるための処理を実行する主処理部と、
前記主処理部による処理に応じて作動する前記車載装置の危険状態を検知すると共に該車載装置を安全状態にする安全機能処理を実行する安全機能処理部とを備え、
前記安全機能処理部は、前記安全機能処理が実行される際に該安全機能処理の実行順序の正否を監視する実行順序監視手段を有し、
前記実行順序監視手段は、実行されるべき安全機能処理のROMにおけるアドレスと、実際に呼び出された処理のアドレスとが一致するか否かを判定し、
前記ROMにおけるアドレスと実際に呼び出された処理のアドレスとが一致している場合、前記安全機能処理部は、前記実行されるべき安全機能処理を実行し、
前記ROMにおけるアドレスと実際に呼び出された処理のアドレスとが一致していない場合、前記コンピュータのリセット処理を実行することを特徴とする車両用制御装置。 - 請求項1に記載の車両用制御装置において、
前記実行順序監視手段は、
実行対象である安全機能処理のROMにおけるアドレスを変数に格納して前記実行されるべき安全機能処理を定義する定義手段と、
実際に呼び出された処理のアドレスと前記変数に格納されたアドレスとが一致するか否かを判定する判定手段と、
を含むことを特徴とする車両用制御装置。 - 請求項1または2に記載の車両用制御装置において、
前記実行順序監視手段は、
前記安全機能処理が分岐処理を含む場合に、分岐後に実行されるべき分岐後処理を定義する分岐後処理定義手段と、
前記分岐後処理定義手段により定義された分岐後処理が実行されるか否かを判定する分岐判定手段と、
を含むことを特徴とする車両用制御装置。 - 請求項1から3の何れか一項に記載の車両用制御装置において、
前記安全機能処理部は、
前記安全機能処理が所定周期で繰り返し実行される繰り返し処理である場合に、前記安全機能処理の実行周期が正常範囲内に含まれるか否かを該安全機能処理の実行とは独立に監視する実行周期監視手段を更に有することを特徴とする車両用制御装置。 - 請求項1から4の何れか一項に記載の車両用制御装置において、
前記車載装置は、原動機からの動力を前記車両の駆動輪に伝達する動力伝達装置であることを特徴とする車両用制御装置。 - 車両に搭載された車載装置を制御するコンピュータを用いた車両用制御方法において、
前記車載装置を作動させるための主処理と、前記主処理に応じて作動する前記車載装置の危険状態を検知すると共に該車載装置を安全状態にする安全機能処理とを実行すると共に、前記安全機能処理が実行される際にのみ、実行されるべき安全機能処理のROMにおけるアドレスと実際に呼び出された処理のアドレスとが一致するか否かを判定することにより前記安全機能処理の実行順序の正否を監視し、前記ROMにおけるアドレスと実際に呼び出された処理のアドレスとが一致している場合、前記実行されるべき安全機能処理を実行し、前記ROMにおけるアドレスと実際に呼び出された処理のアドレスとが一致していない場合、前記コンピュータのリセット処理を実行する車両用制御方法。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011289860A JP5853691B2 (ja) | 2011-12-28 | 2011-12-28 | 車両用制御装置および方法 |
| CN201280046796.3A CN103827835B (zh) | 2011-12-28 | 2012-12-27 | 车辆用控制装置及方法 |
| PCT/JP2012/083912 WO2013100065A1 (ja) | 2011-12-28 | 2012-12-27 | 車両用制御装置および方法 |
| US14/347,460 US9080661B2 (en) | 2011-12-28 | 2012-12-27 | Vehicle control device and method |
| DE112012003552.6T DE112012003552T5 (de) | 2011-12-28 | 2012-12-27 | Fahrzeugsteuervorrichtung und -verfahren |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011289860A JP5853691B2 (ja) | 2011-12-28 | 2011-12-28 | 車両用制御装置および方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013140431A JP2013140431A (ja) | 2013-07-18 |
| JP5853691B2 true JP5853691B2 (ja) | 2016-02-09 |
Family
ID=48697544
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011289860A Active JP5853691B2 (ja) | 2011-12-28 | 2011-12-28 | 車両用制御装置および方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9080661B2 (ja) |
| JP (1) | JP5853691B2 (ja) |
| CN (1) | CN103827835B (ja) |
| DE (1) | DE112012003552T5 (ja) |
| WO (1) | WO2013100065A1 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3025035B1 (fr) * | 2014-08-22 | 2016-09-09 | Jtekt Europe Sas | Calculateur pour vehicule, tel qu’un calculateur de direction assistee, pourvu d’un enregistreur d’evenements integre |
| EP3023304B1 (en) * | 2014-09-25 | 2018-01-31 | NSK Ltd. | Vehicle-mounted electronic device control device and control method |
| US10285249B2 (en) * | 2015-02-11 | 2019-05-07 | Signify Holding B.V. | Lighting system controller |
| DE102015215468B4 (de) | 2015-08-13 | 2024-01-11 | Zf Friedrichshafen Ag | Steuerung eines Nebenabtriebs |
| GB2551516B (en) | 2016-06-20 | 2019-03-20 | Jaguar Land Rover Ltd | Activity monitor |
| DE102016217762A1 (de) * | 2016-09-16 | 2018-04-12 | Continental Automotive Gmbh | Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit |
| JP6911372B2 (ja) * | 2017-02-16 | 2021-07-28 | 株式会社デンソー | 車載電子制御装置 |
| CN113263887A (zh) * | 2021-06-11 | 2021-08-17 | 青岛海尔空调器有限总公司 | 汽车空调的安全保护系统及其控制方法 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06160245A (ja) * | 1992-11-24 | 1994-06-07 | Toyota Motor Corp | 車両の異常診断装置 |
| JP3042277B2 (ja) * | 1993-09-14 | 2000-05-15 | 日産自動車株式会社 | 車載電子制御システムのフェイルセイフ装置 |
| JP2880658B2 (ja) | 1994-10-05 | 1999-04-12 | 株式会社三協精機製作所 | マルチタスクプログラムの暴走検出装置 |
| JPH09160808A (ja) * | 1995-12-08 | 1997-06-20 | Sumitomo Electric Ind Ltd | プログラムの流れ監視装置 |
| JPH1063541A (ja) * | 1996-08-19 | 1998-03-06 | Nippon Motorola Ltd | コンピュータシステムのプログラム暴走監視装置 |
| JP3298423B2 (ja) * | 1996-09-19 | 2002-07-02 | アイシン・エィ・ダブリュ株式会社 | 自動変速機の油圧制御装置 |
| KR100345115B1 (ko) | 1999-12-14 | 2002-07-24 | 현대자동차주식회사 | 로직 진단 방법 |
| JP2002236600A (ja) | 2001-02-08 | 2002-08-23 | Nagano Fujitsu Component Kk | 演算装置及びその暴走検出方法 |
| US6976935B2 (en) * | 2002-07-12 | 2005-12-20 | Luk Lamellen Und Kupplungsbau Beteiligungs Kg | Method and apparatus for operating a motor vehicle |
| DE10236080A1 (de) * | 2002-08-07 | 2004-02-19 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug |
| JP2005337387A (ja) * | 2004-05-27 | 2005-12-08 | Toyota Motor Corp | 固体性能情報の書込み方法 |
| JP4522799B2 (ja) | 2004-09-08 | 2010-08-11 | ルネサスエレクトロニクス株式会社 | 半導体回路装置及び暴走検出方法 |
| JP5316128B2 (ja) * | 2009-03-17 | 2013-10-16 | トヨタ自動車株式会社 | 故障診断システム、電子制御ユニット、故障診断方法 |
-
2011
- 2011-12-28 JP JP2011289860A patent/JP5853691B2/ja active Active
-
2012
- 2012-12-27 CN CN201280046796.3A patent/CN103827835B/zh active Active
- 2012-12-27 DE DE112012003552.6T patent/DE112012003552T5/de active Pending
- 2012-12-27 WO PCT/JP2012/083912 patent/WO2013100065A1/ja active Application Filing
- 2012-12-27 US US14/347,460 patent/US9080661B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20140244122A1 (en) | 2014-08-28 |
| WO2013100065A1 (ja) | 2013-07-04 |
| DE112012003552T5 (de) | 2014-05-08 |
| CN103827835B (zh) | 2016-12-28 |
| US9080661B2 (en) | 2015-07-14 |
| JP2013140431A (ja) | 2013-07-18 |
| CN103827835A (zh) | 2014-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5853691B2 (ja) | 車両用制御装置および方法 | |
| JP5968501B1 (ja) | 車載電子制御装置 | |
| EP0241216B1 (en) | Method for controlling amt system including speed sensor signal fault detection and tolerance | |
| CN103261754B (zh) | 变速装置及其控制方法 | |
| JP4561752B2 (ja) | 自動変速機の故障診断装置 | |
| JP2002347479A (ja) | 車両統合制御システム | |
| US9014927B2 (en) | Shift control system and shift control method | |
| RU2490532C2 (ru) | Способ и устройство для определения состояния коробки передач, а также автотранспортное средство, содержащее такое устройство | |
| EP2055935B1 (en) | Vehicle and control method therefor | |
| WO2014091303A1 (en) | Vehicle control apparatus and vehicle control method | |
| US10006522B2 (en) | Control device for automatic transmission | |
| US20180266547A1 (en) | Automatic transmission controller | |
| JP6848841B2 (ja) | 車両の制御装置 | |
| JP2009108728A (ja) | 車両およびその制御方法 | |
| JP2013155775A (ja) | 車両の異常判定装置 | |
| US8935065B2 (en) | Control device and control method for automatic transmission | |
| JP2008202678A (ja) | 車両の速度制限装置 | |
| JP2020084881A (ja) | 車両 | |
| KR101664706B1 (ko) | 하이브리드 차량의 제어방법 | |
| JP5811907B2 (ja) | 自動変速機の制御装置 | |
| WO2010097919A1 (ja) | 自動変速機の制御装置 | |
| US11719331B2 (en) | Control method and control device for vehicular automatic transmission and recording medium | |
| JP2008190496A (ja) | 自動車およびその制御方法 | |
| JP2021134708A (ja) | 制御装置 | |
| JP2021085325A (ja) | 車速センサ故障診断装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131210 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140819 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141017 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150317 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150514 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151110 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151123 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5853691 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |