JP6777641B2 - 監視システム及び車両用制御装置 - Google Patents

監視システム及び車両用制御装置 Download PDF

Info

Publication number
JP6777641B2
JP6777641B2 JP2017542976A JP2017542976A JP6777641B2 JP 6777641 B2 JP6777641 B2 JP 6777641B2 JP 2017542976 A JP2017542976 A JP 2017542976A JP 2017542976 A JP2017542976 A JP 2017542976A JP 6777641 B2 JP6777641 B2 JP 6777641B2
Authority
JP
Japan
Prior art keywords
control unit
control device
monitoring
sub
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017542976A
Other languages
English (en)
Other versions
JPWO2017056688A1 (ja
Inventor
智 大久保
智 大久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Publication of JPWO2017056688A1 publication Critical patent/JPWO2017056688A1/ja
Application granted granted Critical
Publication of JP6777641B2 publication Critical patent/JP6777641B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16HGEARING
    • F16H61/00Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
    • F16H61/12Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16HGEARING
    • F16H61/00Control functions within control units of change-speed- or reversing-gearings for conveying rotary motion ; Control of exclusively fluid gearing, friction gearing, gearings with endless flexible members or other particular types of gearing
    • F16H61/12Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures
    • F16H2061/1208Detecting malfunction or potential malfunction, e.g. fail safe; Circumventing or fixing failures with diagnostic check cycles; Monitoring of failures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0421Multiprocessor system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14014Redundant processors and I-O
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14104Fault masking, redundant module is selected, fault will not propagate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/187Voting techniques

Description

本発明は、電子制御装置のマイコン故障により、制御対象の機能が失陥することで走行不能になることを防止することを目的とし、マイコン異常と判断された場合でも、電子制御装置として正常動作が要求されるような、安全要求が高いシステムに適用可能なフェールセーフシステム技術に関する。
現在主流の2個のCPUを用いるマルチCPU構成の電子制御装置については、第2のCPUが異常となったときには第1のCPUにおいてこれを検出し、第2のCPUがリセットされる。そして、第1のCPUから出力される信号によって、リンプホーム可能な制御が実行される。また、第1のCPUに異常が生じたような場合には、これがWDT監視回路において検出されると共に、この第1のCPUにリセットが掛けられ、第2のCPUにおいて異常時の処理が行われて、これまで第1のCPUから出力されていた噴射制御や点火制御の、リンプホームを可能にする異常時処理が第2のCPUにおいて代行されるようになって、第1のCPUからの出力に代わって第2のCPUからの出力による制御が実行される(特許文献1)。
特開平7−293320
上記特許文献1に示すようなマルチCPU構成の電子制御装置に対する各CPU間の異常検知手段は、ウォッチドックパルスのみで判断しており、すなわち、ウォッチドックパルスを算出するCPU機能のみで異常を検知しており、CPU機能全体についての診断はできておらず、診断の網羅性の点で、最適な対応策とは言い難い。
そこで本発明は、現在の電子制御装置の構成を大きく変えることなく、少ないシステム構成で電動アクチュエータを備えた車両用自動変速機の電子制御装置内のマイコン故障を検知し、フェールセーフ状態に移行できる監視システム、及び車両用制御装置を提供することを目的とする。
上記目的を達成するため、本発明は以下の手段を有することを特徴とする。
請求項1、11に係る電動アクチュエータを備えた車両用電子制御装置は、メイン制御部と、メイン制御部を監視するサブ制御部と、監視結果により故障部位を特定する故障部位特定手段と、故障部位の特定結果により制御信号を切り替える制御信号切り替え手段を備える第1の車両用制御装置と、第1の車両用制御装置とは別体で構成される第2の車両用制御装置とを備えた監視システムにおいて、第2の車両用制御装置に設けられた制御部と、第1の車両用制御装置のメイン制御部とサブ制御部との三者間で相互監視を行うことを特徴としている。
請求項2、12に係る電動アクチュエータを備えた車両用電子制御装置のサブ制御部は、メイン制御部から出力される演算信号に基づいて該メイン制御部を監視し、該メイン制御部の異常検知時には、故障部位特定手段に異常情報を送信することを特徴としている。
請求項3、13に係る電動アクチュエータを備えた車両用制御装置と前記第2の車両用制御装置は、例えばCAN通信などの通信手段により接続されることを特徴としている。
請求項4、14に係る電動アクチュエータを備えた車両用制御装置の監視システムは、第2の車両用制御装置とCAN通信などの通信手段により接続され、第2の車両用制御装置に設けられた制御部は、メイン制御部、又はサブ制御部に対し通信手段により診断信号を送信し、メイン制御部、又はサブ制御部からの返信を確認することで、メイン制御部、前記サブ制御部の異常を検知することを特徴としている。
請求項5、15に係る電動アクチュエータを備えた車両用制御装置の監視システムは、第2の車両用制御装置に設けられた制御部により、メイン制御部、又はサブ制御部の監視を行い、異常を検知した場合、故障部位特定手段に異常情報を送信すること、を特徴としている。
請求項6、16に係る電動アクチュエータを備えた車両用制御装置の故障部位特定手段は、メイン制御部と、サブ制御部と、第2の車両制御装置に設けられた制御部からの監視結果を参照し、多数決により故障部位の特定を行い、その判断結果を制御信号切り替え手段に送信することを特徴としている。
請求項7、17に係る電動アクチュエータを備えた車両用制御装置の制御信号切り替え手段は、故障部位特定手段からの判断結果に基づき、使用する制御信号をメイン制御部から出力される制御信号か、サブ制御部から出力される制御信号かのどちらかに切り替えることを特徴としている。
請求項8、18に係る第2の車両用制御装置に設けられた前記制御部は、メイン制御部、又はサブ制御部の異常が検知された場合に、その後に制御対象に対して制御を行うメイン制御部、又はサブ制御部を監視することを特徴としている。
請求項9、19に係る電動アクチュエータを備えた車両用制御装置のサブ制御部は、メイン制御部の異常を検知した場合に、第2の車両用制御装置に設けられた制御部に対して異常信号を送信し、制御部は異常信号を受信した場合にサブ制御部の監視を行うことを特徴としている。
請求項10、20に係る電動アクチュエータを備えた車両用制御装置のメイン制御部は、サブ制御部の監視を行い、メイン制御部及びサブ制御部のうち一方の制御部は他方の制御部の異常を検知した場合に、第2の車両用制御装置に設けられた制御部に対して異常信号を送信し、制御部は異常信号を受信した場合に一方の制御部の監視を行うことを特徴としている。
本発明の請求項1によれば、一般的な既存の電子制御装置の構成であるマスタCPU(制御用)とスレーブCPU(監視用)から、両CPUとも監視機能を持たせ、且つ相互監視構成とすること。また、ネットワーク経由で他電子制御装置も監視装置と見立てることで、三者間での監視構成となり、故障部位(CPU)が正確に特定できる。
本発明のそれ以外の請求項については、以下の実施例において、その作用、効果を詳細に説明する。
本発明の実施形態を示すATCUにおける監視システムの一例。 電子制御装置間をCAN通信などのネットワーク経由で表した、 本発明の実施形態を示すATCUにおける監視システムの一例。 本発明である監視システムの動作であり、初回起動時のサブCPUにおける 監視手順を示すフローチャートである。 各監視装置の監視結果による故障部位の特定基準の一例。 故障部位特定手段からの判断結果を用いた制御信号切り替え手段による 制御信号切り替え方法。
以下、本発明の実施例を、図面を用いて説明する。
変速機の多くは油圧にてアクチュエータを制御し、変速動作を実現する。しかし、油圧は応答性が悪く、温度などの環境要因により特性変化が著しい。また、油圧発生器(オイルポンプ)を搭載する必要性があるため、コスト、重量、容積の悪化要因となる。
車両制御装置の電動化の加速により、車両には1台当り多数の電動化装置が搭載されることも考えられる。これらの電子制御装置は、バッテリ等の電源から駆動電力が供給されている。自動変速機の分野についても例外ではなく、油圧アクチュエータとしてリニアソレノイドを使用することもあり、この部分に電動モータを使用した電動アクチュエータを利用することが考えられる。
油圧アクチュエータを使用した無段自動変速機では、各プーリに付設された油圧アクチュエータの油圧を制御するノーマルオープン型のリニアソレノイドが備えられている。そして油圧アクチュエータを制御する電子制御装置のマイコン異常などにより、リニアソレノイドに電流を供給することができないフェール状態になった場合には、各油圧アクチュエータに同一の油圧が供給されるように構成される。
リニアソレノイドに電流が供給されなくなり、各油圧アクチュエータに同一の油圧が供給された際には、無段変速機の変速比が一定になるようにプーリを設計する。そのため、リニアソレノイドや制御弁がフェールすることにより、油圧が供給されて駆動する油圧供給部を制御することができなっても、最低限、車両を走行させることは可能である。
また、操舵系に電動アクチュエータを適用した電動パワーステアリングの分野では、マイコン含む電子制御装置の故障が発生した場合、ステアリング機能が失陥し、重大事故に繋がる恐れがある。すなわち、電子制御装置の故障が発生した場合、ステアリング機能の失陥は許容されず、フェールセーフ処理ではなく、通常処理が確実に実行される必要がある。そのため、電動パワーステアリングの電子制御装置を3重系以上の冗長構成とし、常に相互監視することで故障している電子制御装置を確実に検出でき、故障している電子制御装置を監視ループから切り離すことで、ステアリング機能を確保している。
しかしながら、オイルポンプなどの油圧発生器を排した電動アクチュエータ方式の無段変速機では、電子制御装置のマイコン故障によりフェール状態になった場合、意図しない急加減速を防止するため、油圧アクチュエータ方式と同様にアクチュエータへの電源を遮断し、モータを非動作状態にする必要がある。その結果、電動アクチュエータによりプーリの溝幅を制御することができなくなるため、Vベルトを押し付ける力(トルク)が発生しない、すなわちベルトすべり状態に陥り、走行不能となる。
また、電子制御装置を3重系以上の冗長構成とした相互監視構成をとった場合、電子制御装置の実装面積が通常の3倍となるため、多数の電子制御部品が実装されている昨今の車両では問題となることが必至である。また、コスト面でも同様で、電動ステアリング装置のように、機能が失陥すると重大な事故に繋がる可能性があるデバイスに関しては、電子制御装置の冗長化も一つの手段となるが、変速機の分野では、電子制御装置の機能が失陥しても重大な事故には繋がる可能性はないため、費用対効果を考慮すると、最適な対応策とは言い難い。
そこで以下の本発明の実施例においては、現在の電子制御装置の構成を大きく変えることなく、最小のシステム構成で電動アクチュエータを備えた車両用自動変速機(特に自動無段変速機)の電子制御装置内のマイコン故障を確実に検知し、確実にフェールセーフ状態に移行できる監視システムについて説明する。
図1に、電動アクチュエータを備えた自動無段変速機を対象とした、請求項1の電子制御装置(以下、ATCU)における監視システムの一例を示す。
ATCUは、電動アクチュエータを制御するメインCPUと、メインCPUの演算機能を監視するサブCPUとを備えた、2CPUで構成される。ATCUに対する入力としては、プライマリプーリとセカンダリプーリの回転に伴い発生される回転パルス信号、その他、CAN通信などのネットワーク経由で入力される情報としては、目標変速比の算出に必要な目標エンジン回転数と目標エンジントルク、変速比を制御する電動アクチュエータからのモータ位置情報が存在する。これらの情報を基にメインCPUは、目標駆動トルクを算出することで、変速比、すなわち電動アクチュエータの制御量が決定される。算出された制御量は、電動アクチュエータ、すなわち電動モータを駆動するための信号に変換する必要があり、メインCPUでは、モータ電源電圧や温度などの環境外乱補正を行ったうえで制御信号がドライバ回路へ出力され、電動アクチュエータが制御される。
上記の様な制御を行っているメインCPUは、それぞれの機能が正常に動作しているか否かを監視する必要がある。そこでサブCPUは、メインCPUに対し、機能監視用の複数の問題を送信する。メインCPUでは、受信した問題に対し、該CPUで定義されているすべての演算子を使用して問題に対応した回答を算出し、サブCPUに返信する。サブCPUは、本来あるべき機能(演算子)が正常でないと算出できない回答値を記憶しており、その値をメインCPUから受信した回答データと照合することで、メインCPUが正常に動作しているか否かを判断する。
サブCPUがメインCPUの監視を行う一方で、監視側のサブCPUについても健全性を保証する必要がある。そこで、サブCPUに実装されている監視ロジックをメインCPUにも実装することで、メインCPUとサブCPU間で相互監視を行う構成とする。
監視用電子制御装置(以下、監視CU)は、ATCUとは別体で構成し、ATCUとは通信線で接続されている。監視CUは、ATCUのメインCPU、およびサブCPUが正常に動作しているか否かを監視している。監視方法としては、上記メインCPUとサブCPU間の相互監視と同一の構成であり、メインCPUと監視CU間、サブCPUと監視CU間で実施する。
以上により、メインCPUとサブCPUと監視CUの三者で相互監視の構成となり、故障部位の特定が可能となる。
その後、監視結果を故障部位特定手段に集約し、故障部位の特定を行う。最初に、メインCPUとサブCPUの監視結果を照合する。このとき、どちらも異常を検知していない場合は、ATCUは正常と判断し、通常制御に移行し制御信号を出力する。対して、メインCPUとサブCPUの監視結果が異なる、すなわち、どちらか一方が異常と判断された結果が監視結果を故障部位特定手段に送信された場合には、監視CUの監視結果を参照し、監視CUでの監視結果と同じ判断をしたCPUを正常とする。一方で、故障部位特定手段に送信された監視結果において、メインCPUとサブCPUの監視結果が、どちらも正常であるにも関わらず、監視CUでの監視結果が異常となった場合には、監視CUが故障している可能性があるため、メインCPUとサブCPUは監視CUを相互監視の対象から除外する。
故障部位特定手段は、メインCPUとサブCPU、監視CUから受信した監視結果を基に、制御信号切り替え手段に制御信号の切り替え指示を行う。具体的には、初期状態はメインCPUが正常と仮定すると、メインCPUで電動アクチュエータに対する制御量を算出し、制御信号を出力する。このとき、サブCPUと監視CUはメインCPUの機能監視を行い、異常がないことを確認する。サブCPUと監視CUにより、メインCPUが異常だと判断された場合、故障部位特定手段は制御信号切り替え手段に対し、サブCPUから制御信号が出力されるように制御信号を切り替える。この際、サブCPUが主機能を受け持つことになり、監視CUがサブCPUの監視を行うことになる。
以上の構成により、故障部位が好適に特定できることに加え、メインCPUが故障しても、監視CUがサブCPUを監視できるため、特にフェールセーフ処理に移行する必要が無く、サブCPUにて通常制御の実施が可能となる。その結果、システムの信頼性が飛躍的に向上し、安全要求の高いシステムにも単純な構成で適用可能であり、コストアップも最小で提供可能である。
また、電子制御装置に実装される2つのCPUを、制御機能と相互監視機能について同一の機能を持たせることで、どちらか一方がCPU異常になった場合でも、制御切り替え手段により制御CPUを切り替え、正常なCPUでの通常制御が実行可能となる。
したがって、例えば電動アクチュエータによって変速制御される自動無段変速機において、同一電子制御装置内で制御CPUを監視CPUが監視するといった、既存の電子制御装置の構成では、制御CPU異常時は、安全性確保の観点から、監視CPUが電動アクチュエータの電源を遮断するしかフェールセーフ処理の方法が無いが、本実施例の構成であれば、他電子制御装置からの監視を含め三者間での監視構成の為、故障部位(CPU)の正確な特定に加え、制御切り替え手段による正常な制御CPUへの切り替えをすることで、通常制御が実行可能となる。
その結果、既存の電子制御装置の監視構成では、CPU異常により電動アクチュエータへの電源を遮断するフェールセーフ処理を実行することで、油圧アクチュエータ式の自動無段変速機のように変速比を固定することができず、走行不能となってしまうが、本発明では、電子制御装置内のどちらか一方のCPUが異常となっても、もう一方の正常なCPUと他電子制御装置との相互監視により、安全性が保障されているため、電動アクチュエータを確実にフェールセーフ制御、さらには通常制御で動作させることも可能となるため、安全要求の高いシステムに適用することができる。
また、安全要求の高いシステムでは必然的に電子制御装置の多重化の手法がとられるが、本実施例では多重化の必要が無く、従来の監視用CPUから制御用CPUへの性能向上と、他電子制御装置への監視制御を組み込むのみであり、システムコストの低減に効果が期待できる。
図2に、ATCUと監視CUをCANなどのネットワーク通信で繋いだ場合のシステム構成を示す。図1の構成との違いは、ATCUと監視CUが、CAN通信などのネットワーク経由で接続されている点である。
ATCUは、電動アクチュエータを制御するメインCPUと、メインCPUの演算機能を監視するサブCPUとを備えた、2CPUで構成される。ATCUに対する入力としては、プライマリプーリとセカンダリプーリの回転に伴い発生される回転パルス信号、その他、CAN通信などのネットワーク経由で入力される情報としては、目標変速比の算出に必要な目標エンジン回転数と目標エンジントルク、変速比を制御する電動アクチュエータからのモータ位置情報が存在する。これらの情報を基にメインCPUは、目標駆動トルクを算出することで、変速比、すなわち電動アクチュエータの制御量が決定される。算出された制御量は、電動アクチュエータ、すなわち電動モータを駆動するための信号に変換する必要があり、メインCPUでは、モータ電源電圧や温度などの環境外乱補正を行ったうえで制御信号がドライバ回路へ出力され、電動アクチュエータが制御される。
上記の様な制御を行っているメインCPUは、それぞれの機能が正常に動作しているか否かを監視する必要がある。そこでサブCPUは、メインCPUに対し、機能監視用の複数の問題を送信する。メインCPUでは、受信した問題に対し、該CPUで定義されているすべての演算子を使用して問題に対応した回答を算出し、サブCPUに返信する。サブCPUは、本来あるべき機能(演算子)が正常でないと算出できない回答値を記憶しており、その値をメインCPUから受信した回答データと照合することで、メインCPUが正常に動作しているか否かを判断する。
サブCPUがメインCPUの監視を行う一方で、監視側のサブCPUについても健全性を保証する必要がある。そこで、サブCPUに実装されている監視ロジックをメインCPUにも実装することで、メインCPUとサブCPU間で相互監視を行う構成とする。
監視用電子制御装置(以下、監視CU)は、ATCUとは別体で構成し、ATCUとはCAN通信などのネットワーク経由で接続されている。監視CUは、ATCUのメインCPU、およびサブCPUが正常に動作しているか否かを監視している。監視方法としては、上記メインCPUとサブCPU間の相互監視と同一の構成であり、メインCPUと監視CU間、サブCPUと監視CU間で実施する。
以上により、メインCPUとサブCPUと監視CUの三者で相互監視の構成となり、故障部位の特定が可能となる。
最初に、メインCPUとサブCPUの監視結果を照合する。このとき、どちらも異常を検知していない場合は、ATCUは正常と判断し、通常制御に移行し制御信号を出力する。対して、メインCPUとサブCPUの監視結果が異なる、すなわち、どちらか一方が異常と判断された場合には、該CPUは監視CUの監視結果を受信し、その監視結果と自身の監視結果を比較し、結果を故障部位特定手段へ送信する。一方で、メインCPUとサブCPUの監視結果が、どちらも正常であるにも関わらず、監視CUでの監視結果が異常となった場合には、メインCPUとサブCPUの双方に異常情報が送信されるため、監視CUが故障している可能性があると判断し、メインCPUとサブCPUは監視CUを相互監視の対象から除外する。
故障部位特定手段は、メインCPUとサブCPU受信した監視結果を基に、制御信号切り替え手段に制御信号の切り替え指示を行う。具体的には、初期状態はメインCPUが正常と仮定すると、メインCPUで電動アクチュエータに対する制御量を算出し、制御信号を出力する。このとき、サブCPUと監視CUはメインCPUの機能監視を行い、異常がないことを確認する。サブCPUと監視CUにより、メインCPUが異常だと判断された場合、故障部位特定手段は制御信号切り替え手段に対し、サブCPUから制御信号が出力されるように制御信号を切り替える。この際、サブCPUが主機能を受け持つことになり、監視CUがサブCPUの監視を行うことになる。
以上の構成により、故障部位が好適に特定できることに加え、メインCPUが故障しても、監視CUがサブCPUを監視できるため、特にフェールセーフ処理に移行する必要が無く、サブCPUにて通常制御の実施が可能となる。その結果、システムの信頼性が飛躍的に向上し、安全要求の高いシステムにも単純な構成で適用可能であり、コストアップも最小で提供可能である。
図3に、ATCUが起動直後の監視手順の具体例を示す。
ATCUが起動した直後、各CPUは通常制御へ移行する前に自己の健全性を確認することを目的に、自己診断を実施する(S301)。ここで自己診断とは、具体的にはメモリ診断(ROM/RAM診断)やレジスタ診断などが挙げられる。
サブCPUの自己診断が異常の場合(S302)、他CPUの監視に対する信頼性は無くなるため、メインCPUの監視は実施するべきではない。このとき、メインCPU、及び監視CUはサブCPUからの自己診断結果、または機能監視結果により異常を検知することが可能である(S303)。その後、サブCPUを監視形態から除外し、監視CUによりメインCPUを監視する形態をとる(S304)。
サブCPUの自己診断結果が正常の場合、サブCPUはメインCPUへ機能監視のための信号(以下、例題)を送信する(S305)。メインCPUでは、サブCPUから受け取った例題に対し、予め実装してある例題演算プログラムを実行し、回答データがサブCPUに送付される(S306)。サブCPUでは、メインCPUからの回答結果を基に、メインCPUの演算機能が正常か否か判断する(S307)。
メインCPUが正常と判断された場合、サブCPUはその監視結果を自身の制御メモリに記憶する(S308)。本実施例では、監視結果を3桁の数値で表し、1桁目の数値はメインCPUの監視結果、2桁目はサブCPUの監視結果、3桁目は監視CUの監視結果と、3つの監視機構で共通の配置とし、“0”が正常、“1”が異常としている。よって、S308では、メインCPUが正常であるため、1桁目の数値は“0”となり、3桁表示すると“000”となる。
次に、三者での相互監視の観点から、監視CUの機能監視が必要であるため、監視CUへ例題を送信する(S309)。監視CUでは、サブCPUから受け取った例題に対し、予め実装してある例題演算プログラムを実行し、回答データがサブCPUに送付される(S310)。サブCPUでは、監視CUからの回答結果を基に、監視CUの演算機能が正常か否か判断する(S311)。監視CUが正常と判断された場合、サブCPUはその監視結果を自身の制御メモリに記憶する(S312)。本実施例では、監視CUの監視結果は3桁目であるため、メインCPUが正常、且つ、監視CUが正常により、3桁表示すると“000”となる。
対して、S311で監視CUが異常と判断された場合、サブCPUはその監視結果を自身の制御メモリに記憶する(S313)。本実施例では、監視CUの監視結果は3桁目であるため、メインCPUが正常、且つ、監視CUが異常により、3桁表示すると“100”となる。
対して、S307でメインCPUが異常と判断された場合、サブCPUはその監視結果を自身の制御メモリに記憶する(S314)。本実施例では、メインCPUの監視結果は3桁目であるため、メインCPUが異常により、3桁表示すると“001”となる。
次に、三者での相互監視の観点から、監視CUの機能監視が必要であるため、監視CUへ例題を送信する(S315)。監視CUでは、サブCPUから受け取った例題に対し、予め実装してある例題演算プログラムを実行し、回答データがサブCPUに送付される(S316)。サブCPUでは、監視CUからの回答結果を基に、監視CUの演算機能が正常か否か判断する(S317)。監視CUが正常と判断された場合、サブCPUはその監視結果を自身の制御メモリに記憶する(S318)。本実施例では、監視CUの監視結果は3桁目であるため、メインCPUが異常、且つ、監視CUが正常により、3桁表示すると“001”となる。
対して、S317で監視CUが異常と判断された場合、サブCPUはその監視結果を自身の制御メモリに記憶する(S319)。本実施例では、監視CUの監視結果は3桁目であるため、メインCPUが異常、且つ、監視CUが異常により、3桁表示すると“101”となる。
以上の処理で、サブCPUが、メインCPUと監視CUに対して機能監視を実施可能であるが、同一処理をメインCPUと監視CUが行うことで、初めて三者間の相互監視が可能となる。メインCPU、サブCPU、監視CUがそれぞれの監視結果を故障部位特定手段に送信し、3桁で表現される監視結果の各桁に対し、論理積により統合すると図5に表せる何れかの信号になり、故障部位の特定に加えて電動アクチュエータに出力する制御信号の切り替えも可能となる。その結果、メインCPUとサブCPUのどちらかが故障しても、残ったCPUで正常に制御可能であり、システムの信頼性が飛躍的に向上し、安全要求の高いシステムにも単純な構成で適用できる。
以上、本発明の構成について説明したが、本発明はこうしたATCUの監視システムに限定されるものではなく、電子制御装置の動作を停止させることにより、車両として安全方向に働かないシステムに対し、安価に応用することが可能である。
本発明によれば、電子制御装置の実装面積などハードウェアの制約により監視装置を複数実装できない場合でも、何かしらの通信手段を持っていれば、他の電子制御装置を監視装置にすることが可能であり、電子制御装置の動作を停止させることにより、車両として安全方向に働かないシステムに対し、安価に応用することが可能である。
S301 初回起動時のサブCPU自己診断処理
S302 サブCPUの自己診断結果の判断
S303 メインCPU、監視CUによるサブCPU異常検知処理
S304 メインCPUの監視をサブCPUから監視CUに切り替える処理
S305 メインCPUへの例題送信処理
S306 メインCPUからの回答受信処理
S307 メインCPUの機能監視結果の判断
S308 メインCPUの機能正常判断時の記憶処理
S309 監視CUへの例題送信処理
S310 監視CUからの回答受信処理
S311 監視CUの機能監視結果の判断
S312 監視CUの機能正常判断時の記憶処理
S313 監視CUの機能異常判断時の記憶処理
S314 メインCPUの機能異常判断時の記憶処理
S315 監視CUへの例題送信処理
S316 監視CUからの回答受信処理
S317 監視CUの機能監視結果の判断
S318 監視CUの機能正常判断時の記憶処理
S319 監視CUの機能異常判断時の記憶処理

Claims (14)

  1. 電動アクチュエータを備えた車両用自動変速機の電子制御装置内のマイコン故障を検知する監視システムであって、
    いずれか一方が前記電動アクチュエータを制御するとともに相互監視を行うように同一の機能を持たせたメイン制御部及びサブ制御部と、監視結果により故障部位を特定する故障部位特定手段と、故障部位の特定結果により制御信号を切り替える制御信号切り替え手段と、を有する第1の車両用制御装置と、
    前記第1の車両用制御装置とは別体で構成される第2の車両用制御装置と、を備え、
    前記第2の車両用制御装置に設けられた制御部と、前記第1の車両用制御装置の前記メイン制御部と、前記サブ制御部と、で相互監視を行う際に、前記制御部と前記メイン制御部と前記サブ制御部の三者が相互に機能監視用の複数の問題を送信し、前記制御部と前記メイン制御部と前記サブ制御部の各々が定義されているすべての演算子を使用して受信した前記問題に対応した回答を算出して相互に送信し、前記制御部と前記メイン制御部と前記サブ制御部の各々が受信した前記回答に基づいて他者が正常に動作しているか否かを判断すること、を特徴とする監視システム。
  2. 請求項1に記載の監視システムにおいて、
    前記サブ制御部は、前記メイン制御部の異常検知時には、前記故障部位特定手段に異常情報を送信すること、を特徴とする監視システム。
  3. 請求項1に記載の監視システムにおいて、
    前記第1の車両用制御装置と前記第2の車両用制御装置とは、通信手段により接続されること、を特徴とする監視システム。
  4. 請求項1に記載の監視システムにおいて、
    前記第2の車両用制御装置に設けられた制御部と、前記第1の車両用制御装置の前記メイン制御部前記サブ制御部とは、三者間で相互に監視を行い、異常を検知した場合、前記故障部位特定手段に異常情報を送信すること、を特徴とする監視システム。
  5. 請求項1に記載の監視システムにおいて、
    前記故障部位特定手段は、前記メイン制御部と、前記サブ制御部と、前記第2の車両制御装置に設けられた制御部からの監視結果を参照し、多数決により故障部位の特定を行い、その判断結果を制御信号切り替え手段に送信すること、を特徴とする監視システム。
  6. 請求項1に記載の監視システムにおいて、
    前記制御信号切り替え手段は、前記故障部位特定手段からの判断結果に基づき、使用する制御信号を、前記メイン制御部から出力される制御信号か、前記サブ制御部から出力される制御信号か、のどちらかに切り替えること、を特徴とする監視システム。
  7. 請求項1に記載の監視システムにおいて、
    前記第2の車両用制御装置に設けられた前記制御部は、前記メイン制御部、又は前記サブ制御部の異常が検知された場合に、その後に制御対象に対して制御を行う前記メイン制御部、又は前記サブ制御部を監視することを特徴とする監視システム。
  8. 電動アクチュエータを備えた車両用自動変速機の電子制御装置内のマイコン故障を検知する車両用制御装置であって、
    いずれか一方が前記電動アクチュエータを制御するとともに相互監視を行うように同一の機能を持たせたメイン制御部及びサブ制御部と、監視結果により故障部位を特定する故障部位特定手段と、故障部位の特定結果により制御信号を切り替える制御信号切り替え手段と、を備え、
    当該車両用制御装置とは別体で構成される制御装置に設けられた制御部と、前記メイン制御部と、前記サブ制御部と、で相互監視が行われる際に、前記制御部と前記メイン制御部と前記サブ制御部の三者が機能監視用の複数の問題を相互に送信し、前記制御部と前記メイン制御部と前記サブ制御部の各々が定義されているすべての演算子を使用して受信した前記問題に対応した回答を算出して相互に送信し、前記制御部と前記メイン制御部と前記サブ制御部の各々が受信した前記回答に基づいて他者が正常に動作しているか否かを判断すること、を特徴とする車両用制御装置。
  9. 請求項に記載の車両用制御装置において、
    前記サブ制御部は、前記メイン制御部の異常検知時には、前記故障部位特定手段に異常情報を送信すること、を特徴とする車両用制御装置。
  10. 請求項に記載の車両用制御装置において、
    当該車両用制御装置と別体で構成される前記制御装置とは、通信手段により接続されること、を特徴とする車両用制御装置。
  11. 請求項に記載の車両用制御装置において、
    当該車両用制御装置とは別体で構成される制御装置に設けられた前記制御部と、当該車両用制御装置の前記メイン制御部前記サブ制御部とは、三者間で相互に監視を行い、異常を検知した場合、前記故障部位特定手段に異常情報を送信すること、を特徴とする車両用制御装置。
  12. 請求項に記載の車両用制御装置において、
    前記故障部位特定手段は、前記メイン制御部と、前記サブ制御部と、当該車両用制御装置とは別体で構成される制御装置に設けられた前記制御部からの監視結果を参照し、多数決により故障部位の特定を行い、その判断結果を制御信号切り替え手段に送信すること、を特徴とする車両用制御装置。
  13. 請求項に記載の車両用制御装置において、
    前記制御信号切り替え手段は、前記故障部位特定手段からの判断結果に基づき、使用する制御信号を、前記メイン制御部から出力される制御信号か、前記サブ制御部から出力される制御信号か、のどちらかに切り替えること、を特徴とする車両用制御装置。
  14. 請求項に記載の車両用制御装置において、
    前記制御装置に設けられた前記制御部は、前記メイン制御部、又は前記サブ制御部の異常が検知された場合に、その後に制御対象に対して制御を行う前記メイン制御部、又は前記サブ制御部を監視すること、を特徴とする車両用制御装置。
JP2017542976A 2015-09-29 2016-08-02 監視システム及び車両用制御装置 Active JP6777641B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015190626 2015-09-29
JP2015190626 2015-09-29
PCT/JP2016/072582 WO2017056688A1 (ja) 2015-09-29 2016-08-02 監視システム及び車両用制御装置

Publications (2)

Publication Number Publication Date
JPWO2017056688A1 JPWO2017056688A1 (ja) 2018-05-24
JP6777641B2 true JP6777641B2 (ja) 2020-10-28

Family

ID=58423446

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017542976A Active JP6777641B2 (ja) 2015-09-29 2016-08-02 監視システム及び車両用制御装置

Country Status (5)

Country Link
US (1) US10808836B2 (ja)
EP (1) EP3357760A4 (ja)
JP (1) JP6777641B2 (ja)
CN (1) CN108025687B (ja)
WO (1) WO2017056688A1 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6614078B2 (ja) * 2016-09-09 2019-12-04 株式会社デンソー シフトレンジ制御装置
JP6754743B2 (ja) * 2017-09-22 2020-09-16 日立オートモティブシステムズ株式会社 車載電子制御装置およびその異常時処理方法
JP2019071572A (ja) * 2017-10-10 2019-05-09 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 制御装置及び制御方法
EP3626571B1 (en) * 2018-09-18 2022-08-17 KNORR-BREMSE Systeme für Nutzfahrzeuge GmbH Control architecture for a vehicle
CN111114241B (zh) * 2018-10-31 2022-06-21 浙江三花智能控制股份有限公司 一种控制系统及控制方法
WO2021019715A1 (ja) * 2019-07-31 2021-02-04 三菱電機株式会社 車両制御装置
JP7205439B2 (ja) * 2019-10-11 2023-01-17 株式会社デンソー 電子制御装置
JP7327273B2 (ja) * 2020-05-20 2023-08-16 トヨタ自動車株式会社 車載部品の異常箇所特定方法、車載部品の異常箇所特定システム、車載部品の異常箇所特定装置、車載部品の異常箇所通知制御装置、および車両用制御装置
CN113335298A (zh) * 2021-05-28 2021-09-03 广汽丰田汽车有限公司 Cpu故障处理方法、车辆及可读存储介质
DE102021206379A1 (de) * 2021-06-22 2022-12-22 Continental Autonomous Mobility Germany GmbH Steuereinrichtung sowie Assistenzsystem für ein Fahrzeug

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS56135250A (en) * 1980-03-24 1981-10-22 Nissan Motor Co Ltd Output device of microcomputer
JPS60151705A (ja) 1984-01-18 1985-08-09 Hitachi Ltd 多重化制御装置
JPS6347549A (ja) * 1986-08-11 1988-02-29 Aisin Warner Ltd フエイルセ−フ機能を備えた自動変速機
DE69005188T2 (de) * 1989-05-19 1994-06-30 Nissan Motor Vorrichtung zur Fehlerfeststellung in einem Steuersystem für den Betrieb einer Last.
JPH07293320A (ja) 1994-04-21 1995-11-07 Nippondenso Co Ltd 電子制御装置
JP3362537B2 (ja) * 1994-12-27 2003-01-07 日産自動車株式会社 電気自動車用駆動モータのフェールセーフ制御
JP2000029734A (ja) 1998-07-13 2000-01-28 Nissan Motor Co Ltd Cpu異常監視システム
JP2000225935A (ja) 1999-02-03 2000-08-15 Toyota Motor Corp 電気制御ブレーキシステム
JP2003333675A (ja) * 2002-05-14 2003-11-21 Hitachi Ltd 通信系制御装置およびそれの異常監視方法
DE10243713B4 (de) * 2002-09-20 2006-10-05 Daimlerchrysler Ag Redundante Steuergeräteanordnung
JP4382345B2 (ja) 2002-12-13 2009-12-09 本田技研工業株式会社 車両用操舵装置
DE10302456A1 (de) 2003-01-23 2004-07-29 Robert Bosch Gmbh Vorrichtung für sicherheitskritische Anwendungen und sichere Elektronik-Architektur
JP4373238B2 (ja) * 2003-08-19 2009-11-25 株式会社日立製作所 パワーステアリング装置
JP4871687B2 (ja) 2005-10-03 2012-02-08 日立オートモティブシステムズ株式会社 車両制御システム
CN100492223C (zh) * 2007-03-30 2009-05-27 哈尔滨工程大学 发动机冗余电控系统切换电路
JP2009122831A (ja) 2007-11-13 2009-06-04 Mitsubishi Electric Corp 電子制御装置
JP4907576B2 (ja) * 2008-03-18 2012-03-28 ジヤトコ株式会社 演算処理ユニットの異常監視装置
JP5234599B2 (ja) * 2008-05-23 2013-07-10 日野自動車株式会社 車両用ドライバユニットの電源系故障診断システム
JP5143690B2 (ja) * 2008-09-30 2013-02-13 アイシン・エィ・ダブリュ株式会社 自動変速機の油圧制御装置
KR101265425B1 (ko) * 2008-12-19 2013-05-16 아이신에이더블류 가부시키가이샤 시프트 바이 와이어 장치 및 이것을 탑재하는 변속기 장치
JP5573227B2 (ja) * 2010-03-01 2014-08-20 株式会社デンソー スタータ制御装置
JP5684514B2 (ja) * 2010-08-19 2015-03-11 株式会社東芝 冗長化制御システム、及びその演算データの伝送方法
JP5126393B2 (ja) * 2011-06-29 2013-01-23 日本精工株式会社 車載電子制御装置
JP6179098B2 (ja) * 2012-12-25 2017-08-16 株式会社ジェイテクト 電動パワーステアリング装置
CN204086849U (zh) * 2014-04-29 2015-01-07 北京龙鼎源科技有限公司 可编程控制器冗余控制系统
US10221944B2 (en) * 2014-06-18 2019-03-05 Hitachi Automotive Systems, Ltd. Vehicle-mounted control device or vehicle-mounted control system

Also Published As

Publication number Publication date
US20180202544A1 (en) 2018-07-19
CN108025687A (zh) 2018-05-11
US10808836B2 (en) 2020-10-20
JPWO2017056688A1 (ja) 2018-05-24
EP3357760A4 (en) 2019-06-19
EP3357760A1 (en) 2018-08-08
WO2017056688A1 (ja) 2017-04-06
CN108025687B (zh) 2021-12-21

Similar Documents

Publication Publication Date Title
JP6777641B2 (ja) 監視システム及び車両用制御装置
US4910494A (en) Automotive vehicle control system
CN110077420B (zh) 一种自动驾驶控制系统和方法
US7349770B2 (en) Vehicle control system
JP5726265B2 (ja) 電動パワーステアリング制御装置
US9701318B2 (en) Vehicular control device and fail-safe method
JP3857678B2 (ja) 車両用変速システム
WO2015194407A1 (ja) 車載制御装置または車載制御システム
CN104040224B (zh) 用于动力传动系部件的方法和控制器
JP2006275209A (ja) クラッチ制御装置
CN103994213A (zh) 用于运行变速器装置、尤其是九挡变速器的方法
JP6334436B2 (ja) 車両用相互監視モジュール
KR101798115B1 (ko) 듀얼 클러치 변속기의 안전 모드 제어 장치 및 방법
JP5239245B2 (ja) 車両用操舵制御装置
JP2022108108A (ja) 車両用電子制御装置
JP7014140B2 (ja) 電磁ブレーキ制御装置及び制御装置
JP2010211760A (ja) 建設機械の制御システム
KR102200272B1 (ko) 듀얼 클러치 변속기의 고장 진단 장치 및 방법
KR20030055866A (ko) 전자제어 파워 스티어링 시스템에서의 고장 진단 및조치장치
EP3315825B1 (en) Control device for vehicle transmission
KR20160026489A (ko) 자동변속제어장치 및 자동변속제어장치의 동작 방법
JP3539181B2 (ja) 自動変速機の非常作動装置
JP6313060B2 (ja) ステアバイワイヤ式操舵装置
KR20170076135A (ko) 인히비터 스위치 고장 시 양방향 센서를 이용한 차량 제어 시스템 및 방법
JP2006057695A (ja) 非常用変速装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190328

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190604

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190903

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20190911

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20191011

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200710

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201008

R150 Certificate of patent or registration of utility model

Ref document number: 6777641

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350