JP6434287B2 - 車両制御システム - Google Patents
車両制御システム Download PDFInfo
- Publication number
- JP6434287B2 JP6434287B2 JP2014239526A JP2014239526A JP6434287B2 JP 6434287 B2 JP6434287 B2 JP 6434287B2 JP 2014239526 A JP2014239526 A JP 2014239526A JP 2014239526 A JP2014239526 A JP 2014239526A JP 6434287 B2 JP6434287 B2 JP 6434287B2
- Authority
- JP
- Japan
- Prior art keywords
- unit
- value
- control
- control device
- received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02T—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
- Y02T10/00—Road transport of goods or passengers
- Y02T10/60—Other road transportation technologies with climate change mitigation effect
- Y02T10/62—Hybrid vehicles
Landscapes
- Hybrid Electric Vehicles (AREA)
- Small-Scale Networks (AREA)
- Communication Control (AREA)
Description
本発明は、車両制御システムに関する。
車載通信ネットワークでは、自動車に搭載された制御用コンピュータ(車両用制御装置)であるECU(Electronic Control Unit)が相互に情報通信を行っている(例えば、特許文献1参照)。特許文献1には、車載装置を相互に接続する車載通信ネットワークと該車載通信ネットワークに外部装置を接続するためのコネクタとの間に配置され、前記外部装置と前記車載装置との通信を中継するゲートウェイ装置が記載されている。
特許文献1に開示されるような技術では、不正な外部ツールから、正規のツールと同一の識別子(ID)による通信を行った場合、なりすまし行為をされる恐れがある。例えば、CAN(Controller Area Network)通信により、同一のIDのデータを送信することで、当該IDのデータを受信するECUに対して不正なデータを送信された場合などに、このような事態が想定される。
一方、エンジン制御装置などの車両用制御装置は、様々な車両用装置を制御している。例えば、エンジン制御装置は、アクセルセンサから出力された信号に基づいて目標スロットル開度を演算し、実スロットル開度が目標スロットル開度になるようにスロットルモータを制御する。車両用制御装置の制御は、車両の走行に影響を与えるため、なりすまし行為による不正な制御を防止することが要請される。
本発明の目的は、不正な制御を未然に防止し、信頼性を向上することができる車両制御システムを提供することにある。
上記目的を達成するために、本発明の一例の車両制御システムは、車両用装置の制御量を演算する第1の演算部と、前記制御量を第1のプロトコルに基づく第1の通信ネットワークを介して第2の制御装置へ送信する第1の送信部と、前記制御量を第2のプロトコルに基づく第2の通信ネットワークを介して前記第2の制御装置へ送信する第2の送信部と、を備える第1の制御装置と、前記第1の送信部から前記制御量を受信する第1の受信部と、前記第2の送信部から前記制御量を受信する第2の受信部と、前記第1の受信部が受信した前記制御量を示す第1の受信値と前記第2の受信部が受信した前記制御量を示す第2の受信値が異なるか否かを判定する第1の判定部と、前記第1の受信値と前記第2の受信値が異なる場合、少なくとも前記第1の受信値を破棄する破棄部と、を備える第2の制御装置と、を含む車両制御システムであって、前記第1の送信部は、所定の周期で前記第1の演算部によって演算された前記制御量を前記第2の制御装置へ送信し、前記第2の制御装置は、前記第1の受信値を受信する周期が前記所定の周期と異なるか否かを判定する第2の判定部をさらに備え、前記破棄部は、前記第1の受信値と前記第2の受信値が同じであり、かつ、前記第1の受信値を受信する周期が前記所定の周期と異なる場合、少なくとも前記第1の受信値を破棄するようにしたものである。
本発明によれば、不正な制御を未然に防止し、信頼性を向上することができる。上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
以下、図面を用いて本発明の第1〜第4の実施形態によるエンジン制御装置及びハイブリッド制御装置の構成及び動作を説明する。
(第1の実施形態)
最初に、図1を用いて、車両制御システムのハードウェア構成を説明する。図1は、本発明の第1の実施形態によるエンジン制御装置6、ハイブリッド制御装置10を含む車両制御システムの構成図である。
(第1の実施形態)
最初に、図1を用いて、車両制御システムのハードウェア構成を説明する。図1は、本発明の第1の実施形態によるエンジン制御装置6、ハイブリッド制御装置10を含む車両制御システムの構成図である。
車両制御システムには、燃料の燃焼によってトルクを発生するエンジン1、クラッチ機構2、駆動軸に連結するモータ3、モータを駆動するインバータ(電力変換装置)4、バッテリ5、アクセルセンサ11、スロットルセンサ12、スロットルモータ(スロットル装置)13、インジェクター(燃料噴射装置)14、点火装置15および、それらを制御する、エンジン制御装置6、クラッチ制御装置7、モータ制御装置8、バッテリ制御装置9、が搭載される。
さらに、車両制御システムには、これらの制御装置6〜9へ指令を出すハイブリッド制御装置10が搭載される。各制御装置6〜10は、CPU(Central Processing Unit)やRAM(Random Access Memory)、ROM(Read Only Memory)等を備えて構成され、あらかじめ定められた制御プログラムにしたがって信号処理を行う。
また、各制御装置は、通信線100を介して種々の情報を送受信する。通信線100は、CAN(Controller Area Network)プロトコルに基づくネットワークを構成する。一方、前記エンジン制御装置6及び前記ハイブリッド制御装置10は、通信線200を介して種々の情報を送受信する。通信線200は、LIN(Local Interconnect Network)プロトコルに基づくネットワークを構成する。
前記エンジン制御装置1は、前記アクセルセンサ11、前記スロットルセンサ12からアクセル開度、スロットル開度などの入力に基づき、前記スロットルモータ13、前記インジェクター14、前記点火装置15を制御する。具体的には、目標スロットル開度や燃料噴射量、点火時期などが制御されることにより、運転状態に応じてエンジンの出力が制御される。
前記モータ3は、モータあるいはジェネレータとして機能する。具体的には、モータ3は、加速時にはハイブリッド制御装置10からの信号に基づいてモータ3として機能し、制動時にはジェネレータとして機能してバッテリ5に回生電力を供給し蓄電する。
すなわち、インバータ4は、モータ制御装置8からの指令に基づきバッテリ5からの直流電力を交流電力に変換し、力行時に交流電力をモータ3に供給する。交流電力によりモータ3の固定子に回転磁界が形成され、モータ3の回転子が回転する。また、インバータ4は、回生時に、モータ制御装置8からの指令に基づきモータ3で発電された交流電力を直流電力に変換し、直流電力をバッテリ5に供給する。この直流電力によりバッテリ5が充電される。
なお、バッテリ5に蓄積された電気エネルギは、モータ3用の電力として用いられるほか、DC−DCコンバータなどを介してエアコンなどの補機類の電力としても用いられる。
次に、図2を用いて、本発明をエンジン制御装置6、ハイブリッド制御装置10に適用した場合の構成の一例を説明する。図2は、本発明の第1の実施形態によるエンジン制御装置6、ハイブリッド制御装置10の構成図である。エンジン制御装置6とハイブリッド制御装置10はCAN通信で通信線100を介して接続され、LIN通信で通信線200を介して接続されている。
エンジン制御装置6は、演算部20、送信部21、送信部22を備えている。演算部20は、エンジン制御装置6の外部からの値を入力とし演算を行い、送信部21及び送信部22に同一の演算結果を出力する。外部からの入力値は、例えば、アクセルセンサ11からのアクセル開度などである。すなわち、演算部20は、外部からの入力値に基づいて、車両用装置の制御量(例えば、目標スロットル開度や燃料噴射量、点火時期など)を演算する。
送信部21は、演算部20の演算結果を入力とし、ID、演算部20の演算結果などを含むCANフレームを、通信線100を介してエンジン制御装置6の外部へ送信する。すなわち、送信部21は、演算部20の演算結果をハイブリッド制御装置10の受信部23へ送信する。
なお、CAN通信では、2本の通信線の電圧差により通信を行うため、外部ノイズの影響を受けにくい。また、CAN通信は後述するLIN通信よりも通信速度が高速である。
一方、送信部22は、演算部20の演算結果を入力とし、ID、演算部20の演算結果などを含むLINフレームを、通信線200を介してエンジン制御装置6の外部へ送信する。すなわち、送信部22は、演算部20の演算結果をハイブリッド制御装置10の受信部24へ送信する。
なお、LIN通信では、1本の通信線で通信を行うため、CAN通信に比べて低コストであり、配線スペースが少なくて済む。
ハイブリッド制御装置10は、受信部23、受信部24、演算部25、診断部26を備えている。受信部23は、ハイブリッド制御装置10の外部からの値を入力としている。すなわち、受信部23は、エンジン制御装置6の送信部21から送信された値を、第1の受信値として受信する。
一方、受信部24は、ハイブリッド制御装置10の外部からの値を入力としている。すなわち、受信部24は、エンジン制御装置6の送信部22から送信された値を、第2の受信値として受信する。演算部25は、受信部23が受信した第1の受信値を入力とし、ハイブリッド制御装置10の外部への出力値(制御用パラメータ)を演算する。外部への出力値は、例えば、モータ制御装置8への目標トルクなどである。
診断部26は、受信部23で受信した第1の受信値、受信部24で受信した第2の受信値を入力とし、両者を比較することで異常判定を行う。異常であると判定した場合、受信部23からの第1の受信値を破棄するよう演算部25へ指令を送る。
なお、破棄とは、データを捨てることを意味する。例えば、メモリ等に記憶されたデータを削除したり、メモリ等に記憶されたデータを利用しないようにフラグを設定したりすることがデータの破棄に該当する。つまり、データが利用されないように処理がなされていればよい。
ここで、ハイブリッド制御装置10(診断部26)は、受信部23が受信した制御量を示す第1の受信値と受信部24が受信した制御量を示す第2の受信値が異なるか否かを判定する判定部として機能する。
また、ハイブリッド制御装置10(診断部26、演算部25)は、第1の受信値と第2の受信値が異なる場合、少なくとも第1の受信値を破棄する破棄部として機能する。
ハイブリッド制御装置10(演算部25)は、制御用パラメータをCANの通信ネットワークを介して他の制御装置(6〜9)に送信するパラメータ送信部として機能する。
モータ制御装置8は、制御用パラメータを受信するパラメータ受信部として機能する。また、モータ制御装置8は、力行時にエンジンをアシストし回生時に発電するモータ3に接続されたインバータ4を、制御用パラメータに応じて制御する制御部として機能する。
次に、図3を用いて、エンジン制御装置6の動作を説明する。図3は、本発明の第1の実施形態によるエンジン制御装置6の処理を示すフローチャートの例である。
ステップS10では、演算部20は、エンジン制御装置6の外部からの値を入力とし、制御値(制御量)を演算する。ステップS11では、送信部21は、演算部20の出力値を入力とし、演算部20の演算結果(制御値)をハイブリッド制御装置10の受信部23へ、CAN通信で通信線100を介して送信する。ステップS12では、送信部22は、演算部20の出力値を入力とし、演算部20の演算結果をハイブリッド制御装置10の受信部24へ、LIN通信で通信線200を介して送信する。
次に、図4を用いて、ハイブリッド制御装置10の動作を説明する。図4は、本発明の第1の実施形態によるハイブリッド制御装置10の処理を示すフローチャートの例である。
ステップS20では、受信部23は、エンジン制御装置6の送信部21から第1の受信値を受信する。ステップS21では、受信部24は、エンジン制御装置6の送信部22から第2の受信値を受信する。ステップS22では、診断部26は、受信部23で受信した第1の受信値と、受信部24で受信した第2の受信値を比較する。比較結果が異なる場合、ステップS23に処理を進める。比較結果が同一の場合、ステップS23を行わずに処理を進める(終了)。ステップS23では、診断部26は、エンジン制御装置6の送信部21から受信した第1の受信値を破棄する。
つまり、エンジン制御装置6から同一の値を異なるプロトコルで受信し、受信した値に差異がある場合、診断部26は、受信した値を異常と判断し破棄する。
上記の方法により、不正な外部ツールから送信された不正なデータを受信した場合に、受信したデータが不正であることを検知し破棄することが可能となる。
ここで、ハイブリッド制御装置10(診断部26)は、第1の受信値及び第2の受信値が同一の場合、受信した値がエンジン制御装置6からの正常な値であると判定し、第1の受信値及び第2の受信値に差異がある場合、異常な値と判定する判定部として機能する。
上記実施形態では、受信したデータが不正であると判定した場合に破棄する例を説明したが、これに限定せず、例えば不正なデータを検知したことを運転者に通知する構成に本発明を適用しても良い。
上記実施形態では、通信装置が2つある例を説明したが、これに限定せず、通信装置が3つ以上の構成に本発明を適用しても良い。
上記実施形態では、通信装置がCAN通信、LIN通信の例を説明したが、これに限定せず、通信装置が例えば、FlexRay、MOST(Media Oriented Systems Transport)、PLC(Power Line Communication)など異なるプロトコルの構成に本発明を適用しても良い。
上記実施形態では、通信装置が有線の例を説明したが、これに限定せず、通信装置が無線である構成に本発明を適用しても良い。
以上説明したように、本実施形態によれば、ハイブリッド制御装置10に対する不正なデータ送信を的確に検知、遮断し、不正な制御を防止しつつ、信頼性の向上を実現できる。
更に、本実施形態によれば、既存のネットワーク構成を使用して不正なデータ送信を的確に検知、遮断が可能であり、ゲートウェイECU等の装置を新たに追加する方法より安価に実現できる。
更に、本実施形態によれば、制御量の書き換えを的確に検知、遮断が可能であり、急発進、急加速、急ブレーキをといった第三者による不正な制御を未然に防止することができる。また、ECUに書き込まれた制御プログラムの不正な書き換えを、的確に検知、遮断が可能である。
なお、第三者による不正な制御では、第1の受信値は、ハイブリッド制御装置10が制御する装置の制御量の書き換えを示す値や、ハイブリッド制御装置10が実行するプログラムの書き換えを示す値となる。
(第2の実施形態)
次に、図5を用いて、本発明をエンジン制御装置6、ハイブリッド制御装置10に適用した場合の構成の一例を説明する。図5は、本発明の第2の実施形態によるエンジン制御装置6、ハイブリッド制御装置10の構成図である。
次に、図5を用いて、本発明をエンジン制御装置6、ハイブリッド制御装置10に適用した場合の構成の一例を説明する。図5は、本発明の第2の実施形態によるエンジン制御装置6、ハイブリッド制御装置10の構成図である。
なお、図5において、図2に示された装置と同一の符号の装置については、同一の機能を有するため、説明を省略する。
エンジン制御装置6は、図2のエンジン制御装置6の構成要素の他に制御機能部27を備えている。
制御機能部27は、ハイブリッド制御装置10の制御機能部28からの信号に基づいて、エンジン制御装置6の外部へ信号を出力する。例えば、スロットルモータ13へのスロットル開度を出力値とする。
ハイブリッド制御装置10は、図2のハイブリッド制御装置10の構成要素の他に制御機能部28を備えている。
診断部29は、受信部23で受信した第1の受信値、受信部24で受信した第2の受信値を入力とし、両者を比較することで異常判定を行う。異常であると判定した場合、診断部29は、受信部23からの第1の受信値を破棄するよう演算部25へ指令を送り、フェイルセーフ機能を作動させるため、制御機能部28へ制御信号を出力し、制御機能部28に接続されたアクチュエータをフェイルセーフ動作させる。
制御機能部28は、診断部26からの信号に基づいて、ハイブリッド制御装置10の外部へ信号を出力する。
次に、図6を用いて、ハイブリッド制御装置10の動作を説明する。図6は、本発明の第2の実施形態によるハイブリッド制御装置10の処理を示すフローチャートの例である。
なお、図6において、図4に示されたステップと同一の符号のステップについては、同一の動作をするため、説明を省略する。
なお、ステップS22は診断部29の処理である。
ステップS24では、診断部29は、NGカウンタの値を1増やす。NGカウンタとは、エンジン制御装置6の送信部21から受信した第1の受信値と、エンジン制御装置6の送信部22から受信した第2の受信値に差異がある状態の継続回数を計測するものである。
ステップS25は、受信部23で受信した第1の受信値と、受信部24で受信した第2の受信値を比較した結果が同一の場合(ステップS22;No)に進むステップであり、診断部29は、NGカウンタの値を0にする。
ステップS26では、診断部29は、NGカウンタの値が所定値以上か判定する。所定値以上であれば、ステップS27に処理を進める。所定値未満であれば、ステップS27を行わずに処理を進める(終了)。ステップS27では、制御機能部28は、フェイルセーフ機能を作動させる。
ステップS26で用いる所定値は、例えば5である。この場合、診断部29は、第1の受信値と第2の受信値に差異がある状態が5回以上継続するとフェイルセーフ機能を作動させる。
つまり、診断部29は、エンジン制御装置6から同一の値を異なるプロトコルで受信し、受信した値に差異がある場合、受信した値を異常と判断し破棄する。さらに、受信した値に差異がある状態が所定回数継続した場合、フェイルセーフ機能を作動させる。
上記の方法により、不正な外部ツールから送信された不正なデータを受信した場合に、受信したデータが不正であることを検知、破棄し、フェイルセーフ機能を作動させることが可能となる。
ここで、ハイブリッド制御装置10(診断部29)は、第1の受信値と第2の受信値が異なると判定された状態が継続した回数を計数する計数部として機能する。また、ハイブリッド制御装置10(診断部29、演算部25)は、計数された回数が所定の閾値以上の場合、少なくとも第1の受信値を破棄する破棄部として機能する。
ハイブリッド制御装置10(診断部29)は、この回数が閾値以上の場合、ハイブリッド制御装置10に不正な値が送られており異常と判定する判定部として機能する。
ハイブリッド制御装置10(制御機能部28)は、診断部29が異常であると判定した場合、車両用制御装置(モータ制御装置、バッテリ制御装置など)を制御し、車両用装置(モータなど)を停止させる制御部として機能する(フェイルセーフ機能)。
すなわち、ハイブリッド制御装置10(制御機能部28)は、第1の受信値と第2の受信値が異なる場合、車両の駆動源(モータ3)を停止させるように車両用装置(モータ制御装置)を制御する制御部として機能する。
詳細には、制御機能部28は、ハイブリッド制御装置10が受信したデータが正常でない(異常)と判定された場合、車両の駆動源としてのモータを停止させるように車両用制御装置(バッテリ制御装置9、モータ制御装置8など)を制御した後、車両用装置を停止させる。
具体的には、制御機能部28は、バッテリ制御装置9へ制御信号を出力する。バッテリ制御装置9は、バッテリ5に対して、駆動軸が過剰に動作しないようにモータへの通電をカットさせる。これにより、モータは停止する。
換言すれば、ハイブリッド制御装置10(制御機能部28)は、第1の受信値と前記第2の受信値が異なる場合、モータ3(電動機)を停止させるようにインバータ4(電力変換装置)を制御する制御部として機能する。
エンジン制御装置6(制御機能部27)は、制御機能部28からの信号に基づき、診断部29が異常であると判定した場合、車両用装置(スロットル装置、燃料噴射装置、点火装置など)を停止させる制御部として機能する(フェイルセーフ機能)。
すなわち、エンジン制御装置6(制御機能部27)は、第1の受信値と第2の受信値が異なる場合、エンジンを停止させるように車両用装置(スロットル装置、燃料噴射装置、点火装置)を制御する制御部として機能する。
詳細には、制御機能部27は、ハイブリッド制御装置10が受信したデータが正常でないと判定された場合、車両の駆動源としてのエンジンを停止させるように車両用装置(スロットル装置、燃料噴射装置、点火装置など)を制御した後、車両用装置を停止させる。
具体的には、スロットル装置は、スロットルバルブを閉じるように制御された後、作動を停止する。燃料噴射装置は、燃料噴射弁を閉じるように制御された後、作動を停止する。点火装置は、点火しない状態に制御された後、作動を停止する。これにより、エンジンは停止する。
上記実施形態では、エンジン制御装置6とハイブリッド制御装置10の両方に、フェイルセーフ機能を実施する制御機能部を有する構成の例を説明したが、これに限定せず、いずれか片方にのみ制御機能部を有する構成においても、本発明を適用しても良い。
以上説明したように、本実施形態によれば、ハイブリッド制御装置10に対する不正なデータ送信を的確に検知、遮断し、不正な制御を防止しつつ、信頼性の向上を実現できる。また、制御機能部27、28のいずれかにより、ハイブリッド制御装置10に対する不正なデータ送信が継続した場合、フェイルセーフが実行される。そのため、信頼性の向上が強化される。
(第1の変形例)
診断部29(判定部)は、単に、第1の受信値と第2の受信値との差異がある場合、ハイブリッド制御装置10に不正な値が送られており異常と判定し、フェイルセーフ機能の実施を制御機能部28に要求してもよい。
診断部29(判定部)は、単に、第1の受信値と第2の受信値との差異がある場合、ハイブリッド制御装置10に不正な値が送られており異常と判定し、フェイルセーフ機能の実施を制御機能部28に要求してもよい。
本変形例によれば、NGカウンタを設ける必要がない。
(第2の変形例)
診断部29(判定部)は、第1の受信値の受信周期が規定の周期と差異がある場合、ハイブリッド制御装置10に不正な値が送られており異常と判定し、フェイルセーフ機能の実施を制御機能部28に要求しても良い。例えば、100ms周期で受信する値を、前回の受信から50ms後に受信した場合に異常と判定する。
診断部29(判定部)は、第1の受信値の受信周期が規定の周期と差異がある場合、ハイブリッド制御装置10に不正な値が送られており異常と判定し、フェイルセーフ機能の実施を制御機能部28に要求しても良い。例えば、100ms周期で受信する値を、前回の受信から50ms後に受信した場合に異常と判定する。
ここで、送信部21は、所定の周期で第1の演算部によって演算された制御量をハイブリッド制御装置10へ送信する。また、ハイブリッド制御装置10(診断部29、演算部25)は、第1の受信値と第2の受信値が同じであり、かつ、第1の受信値を受信する周期が所定の周期と異なる場合、少なくとも第1の受信値を破棄する破棄部として機能する。
本変形例によれば、第1の受信値と第2の受信値とが同一であっても、第1の受信値の受信周期が規定の周期と差異がある場合、診断部29は異常と判定する。これにより、通信の信頼性が向上する。
(第3の変形例)
診断部29(判定部)は、第1の受信値をあらかじめ規定した状況以外で受信した場合、ハイブリッド制御装置10に不正な値が送られており異常と判定し、フェイルセーフ機能の実施を制御機能部28に要求しても良い。例えば、エンジン始動直後の数ms間のみ受信する値を、エンジン始動してから数分後に受信した場合に異常と判定する。
診断部29(判定部)は、第1の受信値をあらかじめ規定した状況以外で受信した場合、ハイブリッド制御装置10に不正な値が送られており異常と判定し、フェイルセーフ機能の実施を制御機能部28に要求しても良い。例えば、エンジン始動直後の数ms間のみ受信する値を、エンジン始動してから数分後に受信した場合に異常と判定する。
ここで、ハイブリッド制御装置10は、第1の受信値があらかじめ規定された状況で受信されたか否かを判定する判定部として機能する。また、ハイブリッド制御装置10(診断部29、演算部25)は、第1の受信値と第2の受信値が同じであり、かつ、第1の受信値があらかじめ規定された状況で受信されない場合、少なくとも第1の受信値を破棄する破棄部として機能する。
本変形例によれば、第1の受信値と第2の受信値とが同一であっても、第1の受信値の受信周期が規定の周期と差異がある場合、診断部29は異常と判定する。これにより、通信の信頼性が向上する。
(第4の変形例)
診断部29(計数部)は、単に、差異があった回数を計数してもよい。この場合、診断部29(判定部)は、この回数が閾値未満の場合、受信した値がエンジン制御装置6からの正常な値であると判定し、この回数が閾値以上の場合、ハイブリッド制御装置10に不正な値が送られており異常と判定する。閾値は、例えば5であり、この場合第1の受信値と第2の受信値に差異がある状態が、継続かは問わず5回以上発生すると、診断部29(判定部)は、フェイルセーフ機能を作動させる。
診断部29(計数部)は、単に、差異があった回数を計数してもよい。この場合、診断部29(判定部)は、この回数が閾値未満の場合、受信した値がエンジン制御装置6からの正常な値であると判定し、この回数が閾値以上の場合、ハイブリッド制御装置10に不正な値が送られており異常と判定する。閾値は、例えば5であり、この場合第1の受信値と第2の受信値に差異がある状態が、継続かは問わず5回以上発生すると、診断部29(判定部)は、フェイルセーフ機能を作動させる。
本変形例によれば、第1の実施形態と比較して、第1の受信値が異常であると判定される感度を高めることができる。
(第3の実施形態)
次に、図7を用いて、図5の制御機能部28が無い構成の一例を説明する。図7は、本発明の第3の実施形態によるエンジン制御装置6、ハイブリッド制御装置10の構成図である。
次に、図7を用いて、図5の制御機能部28が無い構成の一例を説明する。図7は、本発明の第3の実施形態によるエンジン制御装置6、ハイブリッド制御装置10の構成図である。
なお、図7において、図5に示された装置と同一の符号の装置については、同一の機能を有するため、説明を省略する。
本実施形態によれば、ハイブリッド制御装置10に対する不正なデータ送信を的確に検知、遮断し、不正な制御を防止しつつ、信頼性の向上を実現できる。また、制御機能部27により、ハイブリッド制御装置10に対する不正なデータ送信が継続した場合、フェイルセーフが実行される。そのため、信頼性の向上が強化される。
本実施形態によれば、フェイルセーフによりエンジン1が停止される。
(第4の実施形態)
次に、図8を用いて、図5の制御機能部27が無い構成の一例を説明する。図8は、本発明の第4の実施形態によるエンジン制御装置6、ハイブリッド制御装置10の構成図である。
次に、図8を用いて、図5の制御機能部27が無い構成の一例を説明する。図8は、本発明の第4の実施形態によるエンジン制御装置6、ハイブリッド制御装置10の構成図である。
なお、図8において、図5に示された装置と同一の符号の装置については、同一の機能を有するため、説明を省略する。
本実施形態によれば、ハイブリッド制御装置10に対する不正なデータ送信を的確に検知、遮断し、不正な制御を防止しつつ、信頼性の向上を実現できる。また、制御機能部27により、ハイブリッド制御装置10に対する不正なデータ送信が継続した場合、フェイルセーフが実行される。そのため、信頼性の向上が強化される。
本実施形態によれば、フェイルセーフによりモータ3が停止される。
上記第1〜第4の実施形態では、エンジン制御装置、ハイブリッド制御装置の例を説明したが、例えばモータ制御装置、バッテリ制御装置、クラッチ制御装置等、別の制御装置で実現してもよい。
なお、本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。
上記実施形態では、第1の受信値と第2の受信値が異なる場合、第1の受信値のみを破棄しているが、第1の受信値と第2の受信値を破棄してもよい。
上記実施形態では、第1の受信値と第2の受信値が同じ場合、第1の受信値を制御に利用しているが、第2の受信値を用いても良い。
また、上記の各構成、機能、処理部等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
1…エンジン
2…クラッチ機構
3…モータ
4…インバータ(電力変換装置)
5…バッテリ
6…エンジン制御装置
7…クラッチ制御装置
8…モータ制御装置
9…バッテリ制御装置
10…ハイブリッド制御装置
11…アクセルセンサ
12…スロットルセンサ
13…スロットルモータ(スロットル装置)
14…インジェクター(燃料噴射装置)
15…点火装置
20…演算部
21…送信部
22…送信部
23…受信部
24…受信部
25…演算部
26…診断部
27…制御機能部
28…制御機能部
29…診断部
100…多重通信線
200…通信線
2…クラッチ機構
3…モータ
4…インバータ(電力変換装置)
5…バッテリ
6…エンジン制御装置
7…クラッチ制御装置
8…モータ制御装置
9…バッテリ制御装置
10…ハイブリッド制御装置
11…アクセルセンサ
12…スロットルセンサ
13…スロットルモータ(スロットル装置)
14…インジェクター(燃料噴射装置)
15…点火装置
20…演算部
21…送信部
22…送信部
23…受信部
24…受信部
25…演算部
26…診断部
27…制御機能部
28…制御機能部
29…診断部
100…多重通信線
200…通信線
Claims (9)
- 車両用装置の制御量を演算する第1の演算部と、
前記制御量を第1のプロトコルに基づく第1の通信ネットワークを介して第2の制御装置へ送信する第1の送信部と、
前記制御量を第2のプロトコルに基づく第2の通信ネットワークを介して前記第2の制御装置へ送信する第2の送信部と、を備える第1の制御装置と、
前記第1の送信部から前記制御量を受信する第1の受信部と、
前記第2の送信部から前記制御量を受信する第2の受信部と、
前記第1の受信部が受信した前記制御量を示す第1の受信値と前記第2の受信部が受信した前記制御量を示す第2の受信値が異なるか否かを判定する第1の判定部と、
前記第1の受信値と前記第2の受信値が異なる場合、少なくとも前記第1の受信値を破棄する破棄部と、を備える第2の制御装置と、を含む車両制御システムであって、
前記第1の送信部は、
所定の周期で前記第1の演算部によって演算された前記制御量を前記第2の制御装置へ送信し、
前記第2の制御装置は、
前記第1の受信値を受信する周期が前記所定の周期と異なるか否かを判定する第2の判定部をさらに備え、
前記破棄部は、
前記第1の受信値と前記第2の受信値が同じであり、かつ、前記第1の受信値を受信する周期が前記所定の周期と異なる場合、少なくとも前記第1の受信値を破棄する
ことを特徴とする車両制御システム。 - 車両用装置の制御量を演算する第1の演算部と、
前記制御量を第1のプロトコルに基づく第1の通信ネットワークを介して第2の制御装置へ送信する第1の送信部と、
前記制御量を第2のプロトコルに基づく第2の通信ネットワークを介して前記第2の制御装置へ送信する第2の送信部と、を備える第1の制御装置と、
前記第1の送信部から前記制御量を受信する第1の受信部と、
前記第2の送信部から前記制御量を受信する第2の受信部と、
前記第1の受信部が受信した前記制御量を示す第1の受信値と前記第2の受信部が受信した前記制御量を示す第2の受信値が異なるか否かを判定する第1の判定部と、
前記第1の受信値と前記第2の受信値が異なる場合、少なくとも前記第1の受信値を破棄する破棄部と、を備える第2の制御装置と、を含む車両制御システムであって、
前記第2の制御装置は、
前記第1の受信値があらかじめ規定された状況で受信されたか否かを判定する第3の判定部をさらに備え、
前記破棄部は、
前記第1の受信値と前記第2の受信値が同じであり、かつ、前記第1の受信値があらかじめ規定された状況で受信されない場合、少なくとも前記第1の受信値を破棄する
ことを特徴とする車両制御システム。 - 請求項1又は2に記載の車両制御システムであって、
前記第2の制御装置は、
前記第1の受信値と前記第2の受信値が異なると判定された回数を計数する計数部をさらに備え、
前記破棄部は、
計数された前記回数が所定の閾値以上の場合、少なくとも前記第1の受信値を破棄する
ことを特徴とする車両制御システム。 - 請求項3に記載の車両制御システムであって、
前記計数部は、
前記第1の受信値と前記第2の受信値が異なると判定された状態が継続した回数を計数する
ことを特徴とする車両制御システム。 - 請求項1又は2に記載の車両制御システムであって、
前記第1の制御装置は、
前記第1の受信値と前記第2の受信値が異なる場合、車両の駆動源を停止させるように前記車両用装置を制御する第1制御部をさらに備える
ことを特徴とする車両制御システム。 - 請求項1又は2に記載の車両制御システムであって、
前記第1の受信値は、
前記第2の制御装置が制御する装置の制御量の書き換えを示す値である
ことを特徴とする車両制御システム。 - 請求項1又は2に記載の車両制御システムであって、
前記第1の受信値は、
前記第2の制御装置が実行するプログラムの書き換えを示す値である
ことを特徴とする車両制御システム。 - 請求項1又は2に記載の車両制御システムであって、
第3の制御装置をさらに含み、
前記車両用装置は、
スロットル装置、燃料噴射装置、又は点火装置であり、
前記第2の制御装置は、
前記第1の受信値に基づいて制御用パラメータを演算する第2の演算部と、
前記制御用パラメータを前記第1の通信ネットワークを介して前記第3の制御装置に送信するパラメータ送信部をさらに備え、
前記第3の制御装置は、
前記制御用パラメータを受信するパラメータ受信部と、
力行時にエンジンをアシストし回生時に発電する電動機に接続された電力変換装置を、前記制御用パラメータに応じて制御する第2制御部と、を備える
ことを特徴とする車両制御システム。 - 請求項8に記載の車両制御システムであって、
前記第1の制御装置は、
前記第1の受信値と前記第2の受信値が異なる場合、エンジンを停止させるように前記車両用装置を制御する第3制御部をさらに備え、
前記第2制御部は、
前記第1の受信値と前記第2の受信値が異なる場合、前記電動機を停止させるように前記電力変換装置を制御する
ことを特徴とする車両制御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014239526A JP6434287B2 (ja) | 2014-11-27 | 2014-11-27 | 車両制御システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014239526A JP6434287B2 (ja) | 2014-11-27 | 2014-11-27 | 車両制御システム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2016101766A JP2016101766A (ja) | 2016-06-02 |
| JP2016101766A5 JP2016101766A5 (ja) | 2017-03-02 |
| JP6434287B2 true JP6434287B2 (ja) | 2018-12-05 |
Family
ID=56088227
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014239526A Active JP6434287B2 (ja) | 2014-11-27 | 2014-11-27 | 車両制御システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6434287B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7134040B2 (ja) * | 2018-09-18 | 2022-09-09 | 株式会社Subaru | ハイブリッド車両の走行制御装置 |
| JP7443994B2 (ja) * | 2020-09-02 | 2024-03-06 | 株式会社デンソー | 駆動装置および駆動システム |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000166020A (ja) * | 1998-11-20 | 2000-06-16 | Fuji Heavy Ind Ltd | ハイブリッド車の制御装置 |
| JP2011229006A (ja) * | 2010-04-21 | 2011-11-10 | Hitachi Automotive Systems Ltd | 車載制御装置 |
| JP5569752B2 (ja) * | 2011-12-08 | 2014-08-13 | 株式会社デンソー | 電子制御装置、および、これを用いた電動パワーステアリング装置 |
| JP2013126792A (ja) * | 2011-12-16 | 2013-06-27 | Toyota Motor Corp | 車両用操舵装置 |
| JP2015098312A (ja) * | 2013-11-20 | 2015-05-28 | トヨタ自動車株式会社 | 車載ネットワークシステム |
-
2014
- 2014-11-27 JP JP2014239526A patent/JP6434287B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016101766A (ja) | 2016-06-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105981336B (zh) | 不正常检测电子控制单元、车载网络系统以及不正常检测方法 | |
| JP7231559B2 (ja) | 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法 | |
| US9020661B2 (en) | Vehicle controller | |
| US8956266B2 (en) | Vehicle driving force control device | |
| US9739368B2 (en) | Method and device for monitoring a drive of a motor vehicle | |
| US20200213149A1 (en) | Electronic control system, electronic control device, control method, and recording medium | |
| CN109849933A (zh) | 确定驾驶员需求扭矩的方法、装置、车辆及可读存储介质 | |
| KR101063225B1 (ko) | 하이브리드 차량의 토크 모니터링 방법 | |
| JP6434287B2 (ja) | 車両制御システム | |
| EP1712424B1 (en) | Vehicle control apparatus | |
| JP2011032903A (ja) | 車両の制御装置 | |
| US20180019895A1 (en) | Method and device for operating a bus system | |
| US11902300B2 (en) | Method for monitoring a data transmission system, data transmission system and motor vehicle | |
| CN105988455A (zh) | 故障保护软件的出错检测方法及其出错检测装置 | |
| JP2013109731A (ja) | 車両用制御装置 | |
| JP2018023023A (ja) | 車両制御システム | |
| KR102496881B1 (ko) | 자동차 내에 오류 상태가 존재하는지의 여부를 결정하기 위한 방법 및 장치 | |
| CN106467022B (zh) | 用于确定在机动车中是否存在故障状态的方法和装置 | |
| CN109983413A (zh) | 电动车辆中的故障检测 | |
| KR101835783B1 (ko) | 차량용 파워 트레인 제어 장치 | |
| JP2006195739A (ja) | 電子制御装置 | |
| US20140324257A1 (en) | System and method for controlling the transmission of high voltage current to an electric motor in an electric vehicle | |
| JP6921034B2 (ja) | 車載ネットワークへの不正メッセージ注入防止技術 | |
| JP2016135657A (ja) | 車両データ保存装置 | |
| JP6165597B2 (ja) | 車載装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170123 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170123 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170907 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171003 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171129 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180508 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180613 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181030 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181108 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6434287 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |