JP7427809B2 - 冗長電子制御システムおよびデバイス - Google Patents
冗長電子制御システムおよびデバイス Download PDFInfo
- Publication number
- JP7427809B2 JP7427809B2 JP2022567667A JP2022567667A JP7427809B2 JP 7427809 B2 JP7427809 B2 JP 7427809B2 JP 2022567667 A JP2022567667 A JP 2022567667A JP 2022567667 A JP2022567667 A JP 2022567667A JP 7427809 B2 JP7427809 B2 JP 7427809B2
- Authority
- JP
- Japan
- Prior art keywords
- control
- component
- output
- actuator
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000005540 biological transmission Effects 0.000 claims description 30
- 238000004891 communication Methods 0.000 description 40
- 238000012795 verification Methods 0.000 description 30
- 238000010586 diagram Methods 0.000 description 17
- 238000000034 method Methods 0.000 description 14
- 238000013461 design Methods 0.000 description 13
- 230000001360 synchronised effect Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 10
- 230000008569 process Effects 0.000 description 10
- 238000004590 computer program Methods 0.000 description 8
- 238000001514 detection method Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 238000002955 isolation Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000009413 insulation Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 241000473391 Archosargus rhomboidalis Species 0.000 description 1
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 1
- 230000005669 field effect Effects 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000000087 stabilizing effect Effects 0.000 description 1
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/023—Avoiding failures by using redundant parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T17/00—Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
- B60T17/18—Safety devices; Monitoring
- B60T17/22—Devices for monitoring or checking brake systems; Signal devices
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
- B60R16/0231—Circuits relating to the driving or the functioning of the vehicle
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/03—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T17/00—Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
- B60T17/18—Safety devices; Monitoring
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T8/00—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
- B60T8/32—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
- B60T8/88—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
- B60T8/885—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0225—Failure correction strategy
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B62—LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
- B62D—MOTOR VEHICLES; TRAILERS
- B62D5/00—Power-assisted or power-driven steering
- B62D5/04—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
- B62D5/0457—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B62—LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
- B62D—MOTOR VEHICLES; TRAILERS
- B62D5/00—Power-assisted or power-driven steering
- B62D5/04—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
- B62D5/0457—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
- B62D5/0481—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
- B62D5/0484—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures for reaction to failures, e.g. limp home
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T2270/00—Further aspects of brake control systems not otherwise provided for
- B60T2270/40—Failsafe aspects of brake control systems
- B60T2270/402—Back-up
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T2270/00—Further aspects of brake control systems not otherwise provided for
- B60T2270/40—Failsafe aspects of brake control systems
- B60T2270/413—Plausibility monitoring, cross check, redundancy
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
- B60W2050/022—Actuator failures
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
- B60W2050/0292—Fail-safe or redundant systems, e.g. limp-home or backup systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
- B60W2050/0297—Control Giving priority to different actuators or systems
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Mechanical Engineering (AREA)
- Transportation (AREA)
- Human Computer Interaction (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Safety Devices In Control Systems (AREA)
- Control Of Multiple Motors (AREA)
- Inverter Devices (AREA)
Description
この出願は、電子制御システム技術の分野、特に、冗長電子制御システムおよびデバイスに関する。
従来の車両では、車両の運転状態を制御するために、機械制御システムが、通常、使用される。しかしながら、自律車両、インテリジェントなコネクテッド車両、新エネルギー車両、および同様のものの車両技術の発展により、機械制御システムは、新しい技術によってもたらされる車両性能の向上に適応することができない。そのような状況のもとで、ますます多くの車両が、電子制御システムを使用して、車両の中のアクチュエータ(モーターおよび電気油圧バルブなど)を制御するための機械制御システムを置き換えている。機械制御システムと比較して、電子制御システムは、より洗練された制御、より高い応答速度、およびより低い製造コストなどの多くの利点を実現することができ、したがって、車両性能の向上の可能性を高め、自律運転を実現することを助けることができる。
しかしながら、安全性および安定性に関して、機械システムと比較して(機械部品の故障は徐々に蓄積するプロセスを有する)、電子制御システムの故障は、通常、突然発生する。したがって、電子制御システムの安全性および安定性への高い水準の要件が必要とされる。これを考慮して、電子制御システムは、通常、冗長な設計を有する。2つの同一の電子制御システム、すなわちシステム1およびシステム2を有する電気車両の実例が与えられる。システム1はモーター1のために電気エネルギーを供給してもよく、システム2はモーター2のために電気エネルギーを供給してもよい。モーター1およびモーター2は、受け取られた電気エネルギーを機械エネルギーへと別々に変換し、機械エネルギーを組み合わせ、機械エネルギーを車両の推進システムに出力して、運動状態を変化させるために車両を駆動してもよい。
しかしながら、現在の冗長システムは、通常、単純なシステムバックアップのみを実行する。システムのいずれか1つが故障した場合、複数のアクチュエータの全体の出力パワーの安定性は、通常、確保されることが可能でない。上の例では、システム2が故障しているとき、モーター2は動作することができず、モーター1のみが車両の駆動システムのために機械エネルギーを供給することができる。したがって、車両は運動状態を正しく変えることができず、これは身体または財産の安全性に不利な影響を有し得る。
電子制御システムの安全性および安定性は、依然としてさらに改善される必要があることが知られ得る。
この出願は、冗長電子制御システムおよびデバイスを提供し、それによって、冗長電子制御システムによって制御されたアクチュエータが異なる障害シナリオにおいて安定した出力を維持することができ、それにより電子制御システムの安定性および安全性を改善することを助ける。
第1の態様によれば、この出願の一実施形態は、制御ユニットと、第1の出力コンポーネントと、第2の出力コンポーネントとを主に含む、冗長電子制御システムを提供する。制御ユニットは、第1の出力コンポーネントの制御端および第2の出力コンポーネントの制御端に別々に接続される。第1の出力コンポーネントの第1の出力端は第1のアクチュエータに接続されてもよく、第1の出力コンポーネントの第2の出力端は第2のアクチュエータに接続されてもよく、第2の出力コンポーネントの第1の出力端は第1のアクチュエータに接続されてもよく、第2の出力コンポーネントの第2の出力端は第2のアクチュエータに接続されてもよい。これに基づいて、制御ユニットは、第1の実行信号および第2の実行信号を生成し得る。制御ユニットは、第1の実行信号を第1のアクチュエータに出力するように第1の出力コンポーネントを制御し、第2の実行信号を第2のアクチュエータに出力するように第2の出力コンポーネントを制御する。第1の出力コンポーネントが故障しているとき、制御ユニットは、第1の実行信号を第1のアクチュエータに出力するように第2の出力コンポーネントを制御し得る。第2の出力コンポーネントが故障しているとき、制御ユニットは、第2の実行信号を第2のアクチュエータに出力するように第1の出力コンポーネントを制御し得る。
たとえば、この出願のこの実施形態では、第1のアクチュエータおよび第2のアクチュエータは冗長アクチュエータであり得る。第1のアクチュエータは、第1の実行信号に基づいて出力ターゲットに第1のエネルギーを出力してもよく、第2のアクチュエータは、第2の実行信号に基づいて出力ターゲットに第2のエネルギーを出力してもよい。
この出願のこの実施形態において提供される冗長電子制御システムでは、冗長な出力コンポーネント、すなわち、第1の出力コンポーネントおよび第2の出力コンポーネントがあり、第1の出力コンポーネントおよび第2の出力コンポーネントは交差出力を実現することができる。出力コンポーネントのいずれか1つ(第1の出力コンポーネントまたは第2の出力コンポーネント)が故障しているとき、冗長電子制御システムは、依然として、第1のアクチュエータのための第1の実行信号を提供し、第2のアクチュエータのための第2の実行信号を提供することができ、それによって、第1のアクチュエータおよび第2のアクチュエータは動作し続けることができ、第1のアクチュエータによって出力される第1のエネルギーおよび第2のアクチュエータによって出力される第2のエネルギーは、出力ターゲットが安定して動作することを可能にするために、依然として、組み合わせられ、出力ターゲットに供給されることが可能である。これは、冗長電子制御システムの安定性および安全性を改善することを助ける。
この出願のこの実施形態では、制御ユニットに対して冗長設計が実行され得る。たとえば、制御ユニットは、第1の制御コンポーネントおよび第2の制御コンポーネントを含み得る。第1の制御コンポーネントは第1の出力コンポーネントに接続され、第2の制御コンポーネントは第2の出力コンポーネントに接続される。第1の制御コンポーネントは、第1の実行信号を生成し、第1の実行信号を第1のアクチュエータに出力するように第1の出力コンポーネントを制御し得る。第2の出力コンポーネントが故障しているとき、第1の制御コンポーネントは、第2の実行信号を第2のアクチュエータに出力するように第1の出力コンポーネントをさらに制御し得る。第2の制御コンポーネントは、第2の実行信号を生成し、第2の実行信号を第2のアクチュエータに出力するように第2の出力コンポーネントを制御し得る。第1の出力コンポーネントが故障しているとき、第2の制御コンポーネントは、第1の実行信号を第1のアクチュエータに出力するように第2の出力コンポーネントをさらに制御し得る。
第1の制御コンポーネントおよび第2の制御コンポーネントは、制御ユニットにおいて冗長である。これは、冗長電子制御システムの安定性および安全性をさらに改善することを助ける。
たとえば、この出願のこの実施形態において提供される第1の出力コンポーネントは、第1のスイッチユニットおよび第2のスイッチユニットを含み得る。第1のスイッチユニットの入力端および第2のスイッチユニットの入力端は、第1の制御コンポーネントに別々に接続される。第1のスイッチユニットの出力端は第1のアクチュエータに接続され、第2のスイッチユニットの出力端は第2のアクチュエータに接続される。第1の制御コンポーネントは、第1のスイッチユニットの制御端および第2のスイッチユニットの制御端に別々に接続される。この場合、第1の制御コンポーネントは第1のスイッチユニットをスイッチオンしてもよく、それによって、第1の実行信号は第1のスイッチユニットを通じて第1のアクチュエータに出力される。第2の出力コンポーネントが故障しているとき、第1の制御コンポーネントは第2のスイッチユニットをスイッチオンしてもよく、それによって、第2の実行信号は第2のスイッチユニットを通じて第2のアクチュエータに出力される。
この出願のこの実施形態では、第1の制御コンポーネントは第1の実行信号を生成し得る。たとえば、第1の制御コンポーネントは、第1の制御回路、第1のパワースイッチ、および第1のパワーコンバータを含み得る。第1のパワースイッチの入力端は第1のパワー信号を受信するように構成され、第1のパワースイッチの出力端は第1のパワーコンバータの入力端に接続され、第1のパワーコンバータの出力端は第1の出力コンポーネントに接続され、第1の制御回路は第1のパワースイッチの制御端および第1のパワーコンバータの制御端に別々に接続される。この場合、第1の制御回路は、第1のパワー信号から第1のパワーコンバータへの伝送経路をスイッチオンするように第1のパワースイッチを制御し得る。第1の制御回路は、第1のアクチュエータの第1の実行ターゲットに基づいて、第1のパワー信号を第1の実行信号へと変換するように第1のパワーコンバータを制御し、第1の実行信号は、第1の実行ターゲットを実行するように第1のアクチュエータを駆動し得る。そして、第1の制御回路は第1のスイッチユニットをスイッチオンし、それによって、第1の実行信号は第1のスイッチユニットを通じて第1のアクチュエータに出力される。
たとえば、この出願のこの実施形態において提供される冗長電子制御システムでは、第1の制御回路が故障しているとき、第1の実行信号および第2の実行信号は、依然として出力され得る。具体的には、第2の制御コンポーネントは、第1のスイッチユニットの制御端、第1のパワーコンバータの制御端、および第1のパワースイッチの制御端にさらに接続される。第1の制御回路が故障しているとき、第2の制御コンポーネントは、第1のパワー信号から第1のパワーコンバータへの伝送経路をスイッチオンするように第1のパワースイッチをさらに制御し得る。第2の制御コンポーネントは、第1の出力コンポーネントの第1の実行ターゲットに基づいて、第1のパワー信号を第1の実行信号へと変換するように第1のパワーコンバータを制御する。第2の制御コンポーネントは第1のスイッチユニットをスイッチオンし、第1の実行信号は第1のスイッチユニットを通じて第1のアクチュエータに出力される。
この実装では、第1の制御コンポーネントが故障しているとしても、冗長電子制御システムは、依然として、第1の実行信号を第1のアクチュエータに出力することができる。これは、冗長電子制御システムの安全性および安定性をさらに改善することを助ける。
この出願のこの実施形態において提供される冗長電子制御システムでは、第1のパワースイッチまたは第1のパワーコンバータが故障しているとき、第1の実行信号および第2の実行信号は、依然として出力され得る。たとえば、第1のパワースイッチまたは第1のパワーコンバータが故障しているとき、第2の制御コンポーネントは、第1の実行信号および第2の実行信号をさらに生成し得る。第2の制御コンポーネントは、第1の実行信号を第1のアクチュエータに出力し、第2の実行信号を第2のアクチュエータに出力するように第2の出力コンポーネントを制御する。
この出願のこの実施形態において提供される冗長電子制御システムでは、第2の出力コンポーネントが故障しているとき、第1の実行信号および第2の実行信号は、依然として出力され得る。可能な実装では、第2の出力コンポーネントが故障しているとき、第1の制御回路は、第1のアクチュエータの第1の実行ターゲットおよび第2のアクチュエータの第2の実行ターゲットに基づいて、第1のパワー信号を組み合わせられた信号へと変換するように第1のパワーコンバータをさらに制御してもよく、組み合わせられた信号の一部は第1の実行信号として第1のスイッチユニットのために提供され、組み合わせられた信号の別の部分は第2の実行信号として第2のスイッチユニットのために提供される。第1の制御回路は第1のスイッチユニットをスイッチオンし、第1の実行信号は第1のスイッチユニットを通じて第1のアクチュエータに出力され、第1の制御回路は第2のスイッチユニットをスイッチオンし、第2の実行信号は第2のスイッチユニットを通じて第2のアクチュエータに出力される。
この場合、第1のアクチュエータおよび第2のアクチュエータは、同期関係を満たすアクチュエータであり得る。言い換えると、第1のアクチュエータおよび第2のアクチュエータは、同じ入力/出力変換関係を有するアクチュエータであり、第1の実行信号および第2の実行信号は同期され、第1のアクチュエータの出力エネルギーおよび第2のアクチュエータの出力エネルギーも同期して変化する。たとえば、第1のアクチュエータおよび第2のアクチュエータは、ブラシ付き直流モーターであり得る。別の例では、第1のアクチュエータおよび第2のアクチュエータは、ブラシなし直流モーターまたは永久磁石同期モーターであってもよく、第1のアクチュエータおよび第2のアクチュエータは同じ出力軸を有する。別の例では、第1のアクチュエータおよび第2のアクチュエータは、ブラシなし直流モーターまたは永久磁石同期モーターであってもよく、第1のアクチュエータおよび第2のアクチュエータは出力を組み合わせるとき同じ減速比を有する。
別の可能な実装では、第1の制御コンポーネントは、第2のパワースイッチおよび第2のパワーコンバータをさらに含み得る。第2のパワースイッチの入力端は第1のパワー信号を受信するように構成され、第2のパワースイッチの出力端は第2のパワーコンバータの入力端に接続され、第2のパワーコンバータの出力端は第1の出力コンポーネントに接続され、第1の制御回路は第2のパワースイッチの制御端および第2のパワーコンバータの制御端に別々に接続される。第2の出力コンポーネントが故障しているとき、第1の制御回路は、第1のパワー信号から第2のパワーコンバータへの伝送経路において第2のパワースイッチをさらに制御し得る。第1の制御回路は、第2のアクチュエータの第2の実行ターゲットに基づいて、第1のパワー信号を第2の実行信号へと変換するように第2のパワーコンバータを制御する。第1の制御回路は第2のスイッチユニットをスイッチオンし、第2の実行信号は第2のスイッチユニットを通じて第2のアクチュエータに出力される。
この実装では、第1のアクチュエータおよび第2のアクチュエータは、同期関係を満たすアクチュエータであってもよく、または同期関係を満たさないアクチュエータであってもよい。これは、アクチュエータの応用範囲をさらに拡大することを助ける。
冗長電子制御システムの安全性および安定性をさらに改善するために、第1の出力コンポーネントの中の第2のスイッチユニットの制御端は、第2の出力コンポーネントの第2の出力端にさらに接続されてもよく、第2のスイッチユニットは、さらに、第2の実行信号が受信されるときスイッチオフされてもよい。
この実装では、第2の出力コンポーネントの正常な出力の間、第2のスイッチユニットが誤った導通から防止されることが可能であり、それにより、冗長電子制御システムの安全性および安定性を改善することを助ける。
第1の出力コンポーネントと同様に、第2の出力コンポーネントは第3のスイッチユニットおよび第4のスイッチユニットを含み得る。第3のスイッチユニットの入力端および第4のスイッチユニットの入力端は第2の制御コンポーネントに別々に接続され、第3のスイッチユニットの出力端は第1のアクチュエータに接続され、第4のスイッチユニットの出力端は第2のアクチュエータに接続され、第2の制御コンポーネントは第3のスイッチユニットの制御端および第4のスイッチユニットの制御端に別々に接続される。この場合、第2の制御コンポーネントは第4のスイッチユニットをスイッチオンしてもよく、それによって、第2の実行信号は第4のスイッチユニットを通じて第2のアクチュエータに出力される。第2の制御コンポーネントは、さらに、第1の出力コンポーネントが故障しているとき第3のスイッチユニットをスイッチオンしてもよく、それによって、第1の実行信号は第3のスイッチユニットを通じて第1のアクチュエータに伝送される。
第2の制御コンポーネントは、第2の実行信号を生成し得る。たとえば、第2の制御コンポーネントは、第2の制御回路、第3のパワースイッチ、および第3のパワーコンバータを含む。第3のパワースイッチの入力端は第2のパワー信号を受信するように構成され、第3のパワースイッチの出力端は第3のパワーコンバータの入力端に接続され、第3のパワースイッチの制御端は第2の制御回路に接続される。第3のパワーコンバータの出力端は第2の出力コンポーネントに接続され、第3のパワーコンバータの制御端は第2の制御回路に接続される。この場合、第2の制御回路は、第2のパワー信号から第3のパワーコンバータへの伝送経路をスイッチオンするように第3のパワースイッチを制御し得る。第2の制御回路は、第2のアクチュエータの第2の実行ターゲットに基づいて、第2のパワー信号を第2の実行信号へと変換するように第3のパワーコンバータを制御し、第2の実行信号は、第2の実行ターゲットを実行するように第2のアクチュエータを駆動するために使用される。第2の制御回路は第4のスイッチユニットをスイッチオンし、第2の実行信号は第4のスイッチユニットを通じて第2のアクチュエータに出力される。
この出願のこの実施形態において提供される冗長電子制御システムでは、第2の制御回路が故障しているとき、第1の実行信号および第2の実行信号は、依然として出力され得る。たとえば、第1の制御コンポーネントは、第4のスイッチユニットの制御端、第3のパワーコンバータの制御端、および第3のパワースイッチの制御端にさらに接続される。第2の制御回路が故障しているとき、第1の制御コンポーネントは、第2のパワー信号から第3のパワーコンバータへの伝送経路をスイッチオンするように第3のパワースイッチをさらに制御してもよく、第1の制御コンポーネントは、第2の出力コンポーネントの第2の実行ターゲットに基づいて、第2のパワー信号を第2の実行信号へと変換するように第3のパワーコンバータを制御し、第1の制御コンポーネントは第4のスイッチユニットをスイッチオンし、第2の実行信号は第4のスイッチユニットを通じて第2のアクチュエータに出力される。
この出願のこの実施形態において提供される冗長電子制御システムでは、第3のパワースイッチおよび/または第3のパワーコンバータが故障しているとき、第1の実行信号および第2の実行信号は、依然として出力され得る。たとえば、第3のパワースイッチおよび/または第3のパワーコンバータが故障しているとき、第1の制御コンポーネントは、第1の実行信号および第2の実行信号をさらに生成してもよく、第1の制御コンポーネントは、第2の実行信号を第2のアクチュエータに出力し、第1の実行信号を第1のアクチュエータに出力するように第1の出力コンポーネントを制御する。
この出願のこの実施形態において提供される冗長電子制御システムでは、第1の出力コンポーネントが故障しているとき、第1の実行信号および第2の実行信号は、依然として出力され得る。具体的には、可能な実装において、第1の出力コンポーネントが故障しているとき、第2の制御回路は、第1のアクチュエータの第1の実行ターゲットおよび第2のアクチュエータの第2の実行ターゲットに基づいて、第2のパワー信号を組み合わせられた信号へと変換するように第3のパワーコンバータをさらに制御してもよく、組み合わせられた信号の一部は第1の実行信号として第3のスイッチユニットのために提供され、組み合わせられた信号の別の部分は第2の実行信号として第4のスイッチユニットのために提供され、第2の制御回路は第4のスイッチユニットをスイッチオンし、それによって、第2の実行信号は第4のスイッチユニットを通じて第2のアクチュエータに出力され、第2の制御回路は第3のスイッチユニットをスイッチオンし、それによって、第1の実行信号は第3のスイッチユニットを通じて第1のアクチュエータに出力される。
この実装では、第1のアクチュエータと第2のアクチュエータとの間で同期関係が満たされる必要がある。詳細は再び説明されない。
別の可能な実装では、第2の制御コンポーネントは、第4のパワースイッチおよび第4のパワーコンバータをさらに含み得る。第4のパワースイッチの入力端は第2のパワー信号を受信するように構成され、第4のパワースイッチの出力端は第4のパワーコンバータの入力端に接続され、第4のパワースイッチの制御端は第2の制御回路に接続される。第4のパワーコンバータの出力端は第2の出力コンポーネントに接続され、第4のパワーコンバータの制御端は第2の制御回路に接続される。第1の制御コンポーネントが故障しているとき、第2の制御回路は、第2のパワー信号から第4のパワーコンバータへの伝送経路をスイッチオンするように第4のパワースイッチをさらに制御してもよく、第2の制御回路は、第1のアクチュエータの第1の実行ターゲットに基づいて、第2のパワー信号を第1の実行信号へと変換するように第4のパワーコンバータを制御し、第2の制御回路は第3のスイッチユニットをスイッチオンし、第1の実行信号は第3のスイッチユニットを通じて第1のアクチュエータに出力される。
この実装では、第1のアクチュエータと第2のアクチュエータとの間で同期関係が満たされてもよく、または満たされなくてもよい。
冗長電子制御システムの安全性および安定性をさらに改善するために、この出願のこの実施形態において提供される第2の出力コンポーネントにおいて、第3のスイッチユニットの制御端は、第1の出力コンポーネントの第1の出力端にさらに接続されてもよく、第3のスイッチユニットは、さらに、第1の実行信号が受信されるときスイッチオフされてもよい。
第2の態様によれば、この出願の一実施形態は冗長電子制御システムを提供する。第2の態様におけるいくつかの技術的な効果については、第1の態様における対応する解決策を使用することによって得られることが可能である技術的な効果を参照されたい。繰り返される説明は提供されない。たとえば、この出願のこの実施形態において提供される冗長電子制御システムは、第1の入力コンポーネント、第2の入力コンポーネント、第1の制御コンポーネント、および出力ユニットを主に含む。第1の入力コンポーネントおよび第2の入力コンポーネントは第1の制御コンポーネントに別々に接続され、第1の制御コンポーネントは出力ユニットに接続され、出力ユニットは第1のアクチュエータに接続するように構成され、第1の入力コンポーネントは、第1の入力情報を取得し、第1の入力情報を第1の制御コンポーネントに出力してもよく、第2の入力コンポーネントは、第2の入力情報を取得し、第1の入力コンポーネントが故障しているとき、第2の入力情報を第1の制御コンポーネントに出力してもよい。第1の制御コンポーネントは、第1の入力情報または第2の入力情報に基づいて第1の実行信号を生成してもよく、そして、第1の制御コンポーネントは、第1の実行信号を第1のアクチュエータに出力するように出力ユニットを制御してもよい。
この実装では、冗長電子制御システムは冗長な入力コンポーネントを含む。このようにして、入力コンポーネントの1つが故障しているとしても、他の入力コンポーネントは、依然として第1の制御コンポーネントのための入力情報を提供することができ、それにより、冗長電子制御システムの安定性および安全性を改善することを助ける。
この出願のこの実施形態において提供される冗長電子制御システムは、冗長な制御コンポーネントをさらに含み得る。たとえば、冗長電子制御システムは第2の制御コンポーネントをさらに含み、出力ユニットは第2のアクチュエータにさらに接続され得る。この場合、第2の入力コンポーネントは、第2の入力情報を第2の制御コンポーネントにさらに出力してもよく、第1の入力コンポーネントは、第1の入力情報を第2の制御コンポーネントにさらに出力してもよく、第2の制御コンポーネントは、第1の入力情報または第2の入力情報に基づいて第2の実行信号を生成してもよく、そして、第2の制御コンポーネントは、第2の実行信号を第2のアクチュエータに出力するように出力ユニットを制御してもよい。
この出願のこの実施形態において提供される入力コンポーネントは、複数の可能な実装を有する。たとえば、第1の入力コンポーネントは第1の通信コンポーネントを含み、第2の入力コンポーネントは第2の通信コンポーネントを含み、第1の入力情報と第2の入力情報の両方が制御情報を含む。この場合、第1の通信コンポーネントは、制御情報を受信し、制御情報を第1の制御コンポーネントに送信してもよく、第2の通信コンポーネントは、制御情報を受信し、制御情報を第2の制御コンポーネントに送信してもよい。第1の通信コンポーネントは、第2の通信コンポーネントが故障しているとき制御情報を第2の制御コンポーネントにさらに送信してもよく、および/または、第2の通信コンポーネントは、第1の通信コンポーネントが故障しているとき制御情報を第1の制御コンポーネントにさらに送信してもよい。
この実装では、第1の通信コンポーネントおよび第2の通信コンポーネントのいずれか1つが故障しているとしても、第1の制御コンポーネントおよび第2の制御コンポーネントは、依然として、他の通信コンポーネントを使用することによって制御情報を取得することができる。したがって、これは、冗長電子制御システムの安全性および安定性をさらに改善することを助ける。
別の例では、第1の入力コンポーネントは第1のセンサコンポーネントを含み、第2の入力コンポーネントは第2のセンサコンポーネントを含み、第1の入力情報は第1のセンシング情報を含み、第2の入力情報は第2のセンシング情報を含む。この場合、第1のセンサコンポーネントは、第1のセンシング情報を生成し、第1のセンシング情報を第1の制御コンポーネントに出力してもよく、第2のセンサコンポーネントは、第2のセンシング情報を生成し、第2のセンシング情報を第2の制御コンポーネントに出力してもよく、第1のセンサコンポーネントは、第2のセンサコンポーネントが故障しているとき第1のセンシング情報を第2の制御コンポーネントにさらに出力してもよく、および/または、第2のセンサコンポーネントは、第1のセンサコンポーネントが故障しているとき第2のセンシング情報を第1の制御コンポーネントにさらに送信してもよい。
この実装では、第1のセンサコンポーネントおよび第2のセンサコンポーネントのいずれか1つが故障しているとしても、第1の制御コンポーネントおよび第2の制御コンポーネントは、依然として、他のセンサコンポーネントを使用することによってセンシング情報を取得することができる。したがって、これは、冗長電子制御システムの安全性および安定性をさらに改善することを助ける。
この出願のこの実施形態において、第1の制御コンポーネントは第2の制御コンポーネントに接続され、第1の制御コンポーネントは、第2の入力コンポーネントが故障しているとき第1の入力情報を第2の制御コンポーネントにさらに出力してもよく、第2の制御コンポーネントは、第1の入力情報に基づいて第2の実行信号をさらに生成してもよく、および/または、第2の制御コンポーネントは、第1の入力コンポーネントが故障しているとき第2の入力情報を第1の制御コンポーネントにさらに出力してもよく、第1の制御コンポーネントは、第2の入力情報に基づいて第1の実行信号をさらに生成してもよい。
この実装では、第1の制御コンポーネントおよび第2の制御コンポーネントが入力情報を取得する方式が追加される。これは、冗長電子制御システムの安全性および安定性をさらに改善することを助ける。
たとえば、第1の入力コンポーネントは第1の通信コンポーネントを含み、第2の入力コンポーネントは第2の通信コンポーネントを含み、第1の入力情報と第2の入力情報の両方が制御情報を含み、第1の通信コンポーネントは、制御情報を受信し、制御情報を第1の制御コンポーネントに送信してもよく、それによって、第1の制御コンポーネントは、第1の通信コンポーネントによって提供される制御情報に基づいて第1の実行信号を生成することができ、第2の通信コンポーネントは、制御情報を受信し、制御情報を第2の制御コンポーネントに送信してもよく、それによって、第2の制御コンポーネントは、第2の通信コンポーネントによって提供される制御情報に基づいて第2の実行信号を生成することができ、第1の制御コンポーネントは、第2の通信コンポーネントが故障しているとき制御情報を第2の制御コンポーネントにさらに送信してもよく、それによって、第2の制御コンポーネントは、第1の制御コンポーネントによって送信される制御情報に基づいて第2の実行信号を生成することができ、および/または、第2の制御コンポーネントは、第1の通信コンポーネントが故障しているとき制御情報を第1の制御コンポーネントにさらに送信してもよく、それによって、第1の制御コンポーネントは、第2の制御コンポーネントによって送信される制御情報に基づいて第1の実行信号を生成することができる。
この実装では、第1の通信コンポーネントが故障しているとき、第1の制御コンポーネントは、依然として第1の実行信号を生成することができ、第2の通信コンポーネントが故障しているとき、第2の制御コンポーネントは、依然として第2の実行信号を生成することができ、それによって、第1のアクチュエータおよび第2のアクチュエータは継続的に動作することができる。これは、冗長電子制御システムの安全性および安定性を改善することを助ける。
別の例では、第1の入力コンポーネントは第1のセンサコンポーネントを含み、第2の入力コンポーネントは第2のセンサコンポーネントを含み、第1の入力情報は第1のセンシング情報を含み、第2の入力情報は第2のセンシング情報を含み、第1のセンサコンポーネントは、第1のセンシング情報を生成し、第1のセンシング情報を第1の制御コンポーネントに出力してもよく、それによって、第1の制御コンポーネントは、第1のセンサコンポーネントによって提供される第1のセンシング情報に基づいて第1の実行信号を生成することができ、第2のセンサコンポーネントは、第2のセンシング情報を生成し、第2のセンシング情報を第2の制御コンポーネントに出力してもよく、それによって、第2の制御コンポーネントは、第2のセンサコンポーネントによって提供される第2のセンシング情報に基づいて第2の実行信号を生成することができ、第1の制御コンポーネントは、第2のセンサコンポーネントが故障しているとき第1のセンシング情報を第2の制御コンポーネントにさらに送信してもよく、それによって、第2の制御コンポーネントは、第1の制御コンポーネントによって送信される第1のセンシング情報に基づいて第2の実行信号を生成することができ、および/または、第2の制御コンポーネントは、第1のセンサコンポーネントが故障しているとき第2のセンシング情報を第1の制御コンポーネントにさらに送信してもよく、それによって、第1の制御コンポーネントは、第2の制御コンポーネントによって送信される第2のセンシング情報に基づいて第1の実行信号を生成することができる。
この実装では、第1のセンサコンポーネントが故障しているとき、第1の制御コンポーネントは、依然として第1の実行信号を生成することができ、第2のセンサコンポーネントが故障しているとき、第2の制御コンポーネントは、依然として第2の実行信号を生成することができ、それによって、第1のアクチュエータおよび第2のアクチュエータは継続的に動作することができる。これは、冗長電子制御システムの安全性および安定性を改善することを助ける。
この出願のこの実施形態は、センサコンポーネントが故障しているかどうかを検出する方式をさらに提供する。たとえば、第1の制御コンポーネントは、さらに、第2のセンシング情報を監視してもよく、第1の制御コンポーネントは、第1のセンシング情報および第2のセンシング情報に基づいて、第1のセンサコンポーネントおよび第2のセンサコンポーネントが故障しているかどうかを検出し、第1のセンサコンポーネントまたは第2のセンサコンポーネントが故障していると決定するとき、第1の制御コンポーネントは、第1の検出情報を第2の制御コンポーネントに送信してもよく、第1の検出情報は、第1のセンサコンポーネントおよび第2のセンサコンポーネントが故障しているかどうかを検出するように第2のセンサコンポーネントに指示してもよい。
第1の制御コンポーネントは、第2のセンシング情報を監視し、監視された第2のセンシング情報および受信された第1のセンシング情報を使用することによって、第1のセンサコンポーネントおよび第2のセンサコンポーネントが故障しているかどうかを検証する。これは、冗長電子制御システムによって第1のセンシング信号および第2のセンシング信号を検出する安全性機構の診断範囲を改善することを助ける。一方、第1の制御コンポーネントは第2のセンサコンポーネントのみを監視し、それによって、第2のセンシング信号への干渉が回避されることが可能である。
たとえば、第1のセンシング情報は、第1のセンシング検証情報および第2のセンシング検証情報を含み、第1の制御コンポーネントは、第1のセンシング検証情報と第2のセンシング検証情報との間の一致性に基づいて、第1のセンサコンポーネントが故障しているかどうかを検出し得る。第1のセンサコンポーネントが故障していないと決定した後、第1の制御コンポーネントは、第1のセンシング情報と第2のセンシング情報との間の一致性に基づいて、第2のセンサコンポーネントが故障しているかどうかを検出する。
第1のセンシング検証情報および第2のセンシング検証情報は、異なるセンシング信号において搬送され得る。第1のセンサコンポーネントが正常に動作しているとき、第1のセンシング検証情報および第2のセンシング検証情報は、同じセンシング情報である必要がある。第1のセンサコンポーネントと第2のセンサコンポーネントの両方が正常に動作しているとき、同じセンシング情報が生成され得る。したがって、第1のセンサコンポーネントおよび第2のセンサコンポーネントが故障しているかどうかは、第1のセンシング情報と第2のセンシング情報との間の一致性に基づいてさらに検出され得る。
この出願のこの実施形態では、第1の制御コンポーネントおよび第2の制御コンポーネントは、異なる電源コンポーネントによって電力供給され得る。たとえば、冗長電子制御システムは、第1の電源コンポーネントおよび第2の電源コンポーネントをさらに含む。第1の電源コンポーネントおよび第2の電源コンポーネントは、第1の制御コンポーネントおよび第2の制御コンポーネントにそれぞれ接続される。この場合、第1の電源コンポーネントおよび第2の電源コンポーネントは、第1のパワー信号を第1の制御コンポーネントに並列に出力し、第2のパワー信号を第2の制御コンポーネントに並列に出力し得る。
第3の態様によれば、この出願の一実施形態は冗長電子制御システムを提供する。第3の態様におけるいくつかの技術的な効果については、第1の態様または第2の態様における対応する解決策を使用することによって得られることが可能である技術的な効果を参照されたい。繰り返される説明は提供されない。たとえば、この出願のこの実施形態において提供される冗長電子制御システムは、第1の制御コンポーネント、第2の制御コンポーネント、および出力ユニットを主に含む。出力ユニットは第1の制御コンポーネントおよび第2の制御コンポーネントに別々に接続され、出力ユニットは第1のアクチュエータおよび第2のアクチュエータに別々に接続される。第1の制御コンポーネントは、第1の実行信号を生成し、第1の実行信号を第1のアクチュエータに出力するように出力ユニットを制御してもよく、第2の制御コンポーネントは、第2の実行信号を生成し、第2の実行信号を第2のアクチュエータに出力するように出力ユニットを制御してもよく、第2の制御コンポーネントが故障しているとき、第1の制御コンポーネントは、第2の実行信号を第2のアクチュエータに出力するように出力ユニットをさらに制御してもよく、および/または、第1の制御コンポーネントが故障しているとき、第2の制御コンポーネントは、第1の実行信号を第1のアクチュエータに出力するように出力ユニットをさらに制御してもよい。
この実装において、第1の制御コンポーネントおよび第2の制御コンポーネントのいずれか1つが故障しているとしても、冗長電子制御システムは、依然として、第1の実行信号を第1のアクチュエータに出力し、第2の実行信号を第2のアクチュエータに出力することができ、それによって、第1のアクチュエータおよび第2のアクチュエータは継続的に動作することができる。これは、冗長電子制御システムの安全性および安定性を改善することを助ける。
たとえば、第1の制御コンポーネントは、第1の制御回路、第1のパワースイッチ、および第1のパワーコンバータを含む。第1のパワースイッチの入力端は第1のパワー信号を受信するように構成され、第1のパワースイッチの出力端は第1のパワーコンバータの入力端に接続され、第1のパワースイッチの制御端は第1の制御回路に接続される。第1のパワーコンバータの出力端は出力ユニットに接続され、第1のパワーコンバータの制御端は第1の制御回路に接続される。第1の制御回路は出力ユニットに接続され、第1のパワー信号は第1の制御コンポーネントに電力を供給し得る。この場合、第1の制御回路は、第1のパワー信号から第1のパワーコンバータへの伝送経路をスイッチオンするように第1のパワースイッチを制御してもよく、第1の制御回路は、第1のアクチュエータの第1の実行ターゲットに基づいて、第1のパワー信号を第1の実行信号へと変換するように第1のパワーコンバータを制御し、第1の制御回路は、第1の実行信号を第1のアクチュエータに出力するように出力ユニットを制御する。
第1の制御コンポーネントの前述の実装に基づいて、第1の制御コンポーネントが故障していることは、第1の制御回路が故障していることを含む。第1の制御回路が故障しているとき、第2の制御コンポーネントは、第1のパワー信号から第1のパワーコンバータへの伝送経路をスイッチオンするように第1のパワースイッチを制御してもよく、第2の制御コンポーネントは、第1のアクチュエータの第1の実行ターゲットに基づいて、第1のパワー信号を第1の実行信号へと変換するように第1のパワーコンバータを制御してもよく、そして、第2の制御コンポーネントは、第1の実行信号を第1のアクチュエータに出力するように出力ユニットを制御してもよい。
第1の制御コンポーネントの前述の実装に基づいて、第1の制御コンポーネントが故障していることは、第1のパワースイッチおよび/または第1のパワーコンバータが故障していることをさらに含み得る。第1のパワースイッチおよび/または第1のパワーコンバータが故障しているとき、第2の制御コンポーネントは、第1の実行信号および第2の実行信号を生成してもよく、そして、第2の制御コンポーネントは、第1の実行信号を第1のアクチュエータに出力し、第2の実行信号を第2のアクチュエータに出力するように出力ユニットを制御してもよい。
たとえば、第2の制御コンポーネントは、第2の制御回路、第3のパワースイッチ、および第3のパワーコンバータを含む。第3のパワースイッチの入力端は第2のパワー信号を受信するように構成され、第3のパワースイッチの出力端は第3のパワーコンバータの入力端に接続され、第3のパワースイッチの制御端は第2の制御回路に接続される。第3のパワーコンバータの出力端は出力ユニットに接続され、第3のパワーコンバータの制御端は第2の制御回路に接続される。第2の制御回路は出力ユニットに接続される。この場合、第2の制御回路は、第2のパワー信号から第3のパワーコンバータへの伝送経路をスイッチオンするように第3のパワースイッチを制御してもよく、第2の制御回路は、第2のアクチュエータの第2の実行ターゲットに基づいて、第2のパワー信号を第2の実行信号へと変換するように第3のパワーコンバータを制御し、そして、第2の制御回路は、第2の実行信号を第2のアクチュエータに出力するように出力ユニットを制御してもよい。
可能な実装では、第1のパワースイッチおよび/または第1のパワーコンバータが故障しているとき、第2の制御回路は、第1のアクチュエータの第1の実行ターゲットおよび第2のアクチュエータの第2の実行ターゲットに基づいて、第2のパワー信号を組み合わせられた信号へと変換するように第3のパワーコンバータをさらに制御してもよく、そして、第2の制御回路は、組み合わせられた信号の一部を第1の実行信号として第1のアクチュエータに出力し、組み合わせられた信号の別の部分を第2の実行信号として第2のアクチュエータに示すように出力ユニットを制御してもよい。
可能な実装では、第2の制御コンポーネントは、第4のパワースイッチおよび第4のパワーコンバータをさらに含む。第4のパワースイッチの入力端は第2のパワー信号を受信するように構成され、第4のパワースイッチの出力端は第4のパワーコンバータの入力端に接続され、第4のパワースイッチの制御端は第2の制御回路に接続される。第4のパワーコンバータの出力端は出力ユニットに接続され、第4のパワーコンバータの制御端は第2の制御回路に接続される。第1のパワースイッチおよび/または第1のパワーコンバータが故障しているとき、第2の制御回路は、第2のパワー信号から第4のパワーコンバータへの伝送経路をスイッチオンするように第4のパワースイッチをさらに制御してもよく、第2の制御回路は、第1のアクチュエータの第1の実行ターゲットに基づいて、第2のパワー信号を第1の実行信号へと変換するように第4のパワーコンバータを制御し、そして、第2の制御回路は、第1の実行信号を第1のアクチュエータに出力するように出力ユニットを制御してもよい。
第2の制御コンポーネントの前述の実装に基づいて、第2の制御コンポーネントが故障していることは第2の制御回路が故障していることを含み、第1の制御回路は、さらに、第3のパワースイッチの制御端および第3のパワーコンバータの制御端に別々に接続される。第2の制御回路が故障しているとき、第1の制御回路は、第2のパワー信号から第3のパワーコンバータへの伝送経路をスイッチオンするように第3のパワースイッチをさらに制御してもよく、第1の制御回路は、第2のアクチュエータの第2の実行ターゲットに基づいて、第2のパワー信号を第2の実行信号へと変換するように第3のパワーコンバータを制御し、そして、第1の制御回路は、第2の実行信号を第2のアクチュエータに出力するように出力ユニットを制御してもよい。
第2の制御コンポーネントの前述の実装に基づいて、第2の制御コンポーネントが故障していることは、第3のパワースイッチおよび/または第3のパワーコンバータが故障していることをさらに含み得る。第3のパワースイッチおよび/または第3のパワーコンバータが故障しているとき、第1の制御コンポーネントは、第1の実行信号および第2の実行信号を生成してもよく、そして、第1の制御コンポーネントは、第1の実行信号を第1のアクチュエータに出力し、第2の実行信号を第2のアクチュエータに出力するように出力ユニットを制御してもよい。
可能な実装では、第3のパワーコンバータおよび/または第3のパワースイッチが故障しているとき、第1の制御回路は、第1のアクチュエータの第1の実行ターゲットおよび第2のアクチュエータの第2の実行ターゲットに基づいて、第1のパワー信号を組み合わせられた信号へと変換するように第1のパワーコンバータをさらに制御してもよく、そして、第1の制御回路は、組み合わせられた信号の一部を第1の実行信号として第1のアクチュエータに出力し、組み合わせられた信号の別の部分を第2の実行信号として第2のアクチュエータに示すように出力ユニットを制御してもよい。
別の可能な実装では、第1の制御コンポーネントは、第2のパワースイッチおよび第2のパワーコンバータをさらに含む。第2のパワースイッチの入力端は第1のパワー信号を受信するように構成され、第2のパワースイッチの出力端は第2のパワーコンバータの入力端に接続され、第2のパワーコンバータの出力端は第1の出力コンポーネントに接続され、第1の制御回路は第2のパワースイッチの制御端および第2のパワーコンバータの制御端に別々に接続される。第3のパワーコンバータおよび/または第3のパワースイッチが故障しているとき、第1の制御回路は、第1のパワー信号から第2のパワーコンバータへの伝送経路をスイッチオンするように第2のパワースイッチをさらに制御してもよく、第1の制御回路は、第2のアクチュエータの第2の実行ターゲットに基づいて、第1のパワー信号を第2の実行信号へと変換するように第2のパワーコンバータを制御し、そして、第1の制御回路は、第2の実行信号を第2のアクチュエータに出力するように出力ユニットを制御してもよい。
第4の態様によれば、この出願の一実施形態はデバイスを提供する。デバイスは、第1のアクチュエータ、第2のアクチュエータ、および第1の態様から第3の態様のいずれか1つにおいて提供される冗長電子制御システムを主に含む。第4の態様における対応する解決策の技術的な効果については、第1の態様から第3の態様における対応する解決策を使用することによって得られることが可能である技術的な効果を参照されたい。繰り返される説明は提供されない。この出願のこの実施形態において提供されるデバイスでは、冗長電子制御システムは、第1の実行信号を第1のアクチュエータに出力し、第2の実行信号を第2のアクチュエータに出力し得る。第1のアクチュエータは、第1の実行信号の駆動のもとで動作し得る。第2のアクチュエータは、第2の実行信号の駆動のもとで動作し得る。
たとえば、この出願のこの実施形態において提供されるデバイスは、デバイス、たとえば、電子制御システムと互換性があり得る、自律車両、人工心臓、または空輸機関であり得る。
この出願のこれらの態様または他の態様は、以下の実施形態の説明において、より明確で、より理解できる。
電子技術およびパワーデバイスの発展により、電子制御システムは、多くの分野において従来の機械制御システムを置き換えている。たとえば、より多くの車両が電子制御システムを使用している。機械制御システムと比較して、電子制御システムは、より洗練された制御、より高い応答速度、およびより低い製造コストなどの多くの利点を実現することができ、したがって、車両性能の向上の可能性を高め、自律運転を実現することを助けることができる。
電子転送システム、ワイヤコントロールシステム、または同様のものとも呼ばれ得る電子制御システムは、主に、対応するプログラムが記憶されているマイクロコントローラユニット(microcontroller unit, MCU)およびパワーデバイスを使用することによって実現されてもよく、デバイスの中のアクチュエータを制御してもよい。一般に、電子制御システムは、自律車両においてかなりの応用価値を有する。したがって、以下は、例として自律車両を使用することによって、この出願の実施形態を説明する。
たとえば、図1は自律車両の概略構造図である。自律車両100は、電子制御ユニット(electronic control unit, ECU)101、電子制御システム102、アクチュエータ103、および推進システム104を含む。
ECU101は、ユーザからの運転命令に従って、または自律運転アルゴリズムを実行すること、または同様のものによって、電子制御システム102に制御情報を送信し得る。電子制御システム102は、自律車両100の運転状態を変化させるために、制御情報に基づいてアクチュエータ103の出力パワーを制御し得る。
一般に、異なる機能タイプのアクチュエータ103は、異なる電子制御システム102に対応する。たとえば、アクチュエータ103がモーターであるとき、電子制御システム102は、電気パワーステアリング(electric power steering, EPS)制御システムまたは電気機械ブレーキ(electric mechanical braking, EMB)制御システムであり得る。ECU101は、アクチュエータ103の出力トルクを増加させるように電子制御システム102に指示するために、制御情報を電子制御システム102に送信してもよく、それにより、操舵を行いまたはブレーキをかけるように自律車両100を駆動する。
別の例では、アクチュエータ103が電気油圧バルブであるとき、電子制御システム102は、電子油圧ブレーキシステム(electronic hydraulic brake, EHB)であり得る。ECU101は、アクチュエータ103の出力液圧を増加させるように電子制御システム102に指示するために、制御情報を電子制御システム102に送信してもよく、それにより、ブレーキをかけるように自律車両100を制御する。
しかしながら、従来の機械制御システムと比較して、電子制御システム102は多くの利点を有するが、電子制御システム102は自律車両100の性能を改善する一方、電子制御システム102の安定性および安全性に対してより高い要件が課される。
具体的には、機械制御システムの中の機械部品の故障は、摩耗および機械的損傷などの機械的要因により主に引き起こされる。すなわち、機械部品の故障は、徐々に蓄積するプロセスを有する。しかしながら、電子制御システム102の中には大量の内部電子部品があり、電子部品の故障は、通常、前兆がないので、故障は、通常、予測不可能な結果とともに突然発生する。
電子制御システムを有するいくつかのデバイスでは、いくつかの機能の故障が、人の負傷などの深刻な結果を引き起こし得る。したがって、そのようなデバイスの設計は、ある水準の機能的な安全性要件を満たすことが必要である。たとえば、電子制御システムは、電気駆動の航空機、車両、空輸機関、およびドローンのパワーシステムおよび操舵システム、鉄道輸送におけるパワーシステムおよびブレーキシステム、高級無人車両の推進システム、操舵システム、およびブレーキシステム、心臓ペースメーカーおよび人工心臓などの医療電子製品におけるパワーシステム、および同様のものを含み得る。これらの分野において、電子制御システムの安全性および安定性は、ユーザの身体および財産の安全性に直接関係する。
電子制御システムの安全性は、ユーザの身体および財産の安全を確保することにおける電子制御システムの能力として理解され得る。電子制御システムの安定性は、異なるタイプの障害の場合に安全性を確保することにおける電子制御システムの能力として理解され得る。
電子制御システムの安定性および安全性を改善するために、冗長設計が電子制御システムに対して実行され得る。この場合、電子制御システムは、冗長電子制御システムとも呼ばれ得る。図2に表されるように、冗長電子制御システム102゜は冗長設計を有する電子制御システムであり、アクチュエータ(103aおよび103b)も互いに冗長である。冗長電子制御システム102゜は、ECU101によって提供される制御情報に基づいて、第1の実行信号をアクチュエータ103aに、かつ第2の実行信号をアクチュエータ103bに別々に送信し得る。アクチュエータ103aおよびアクチュエータ103bは同じ機能タイプを有し、たとえばこれら2つのアクチュエータはモーターである。この場合、自律車両100は推進システム104をさらに含み得る。アクチュエータ103aは、受信された第1の実行信号に基づいて推進システム104に機械エネルギーを出力してもよく、アクチュエータ103bは、受信された第2の実行信号に基づいて推進システム104に機械エネルギーを出力してもよい。
しかしながら、インバータ(たとえば、インバータ303)のうちの1つが故障しているとき、出力コンポーネント304は、第1の実行信号をアクチュエータ103aに出力することができず、その結果アクチュエータ103aは動作を停止する。したがって、推進システム104は、アクチュエータ103bによって提供される機械エネルギーを受け取ることのみができる。この場合、推進システム104によって受け取られる機械エネルギーが短時間で減少され、車両の運転速度が突然減少され、これは依然としてユーザの身体および財産の安全性への脅威を引き起こす。推進システムに加えて、自律車両100の操舵システムおよびブレーキシステムなどの他のシステムもそのような問題を有する。したがって、冗長電子制御システムの安定性および安全性がさらに改善される必要がある。
これを考慮して、この出願の一実施形態は、自律車両、人工心臓、および空輸機関などのデバイスにおいて使用され得る冗長電子制御システムを提供する。アクチュエータがデバイスにおいて冗長であるならば、この出願のこの実施形態において提供される冗長電子制御システムは、冗長なアクチュエータを別々に制御することができ、冗長電子制御システムにおいて単一箇所の故障が発生するとき、依然としてすべての冗長なアクチュエータを動作させ続けることができる。
以下は、添付の図面を参照してこの出願の実施形態を詳細に説明する。この出願の説明において、「少なくとも1つ」は1つ以上を意味し、「複数の」は2つ以上を意味することが留意されるべきである。これを考慮して、「複数の」は、本発明の実施形態では「少なくとも2つ」としても理解され得る。用語「および/または」は、関連付けられた対象物を説明するための関連付け関係を説明し、3つの関係が存在し得ることを表現する。たとえば、Aおよび/またはBは、次の3つの場合、すなわち、Aのみが存在する、AとBの両方が存在する、およびBのみが存在する、を表現し得る。加えて、文字「/」は、異なって指定されない限り、一般に関連付けられた対象物の間の「または」の関係を表現する。加えて、この出願の説明において、「第1の」および「第2の」などの用語は、単に区別および説明のために使用されるが、相対的な重要性を示すもしくは暗示するものとして理解されるべきではなく、または順序を示すもしくは暗示するものとして理解されるべきではないことが理解されるべきである。
この出願の実施形態における「接続」は、電気的な接続を指し、2つの電気的な要素間の接続は2つの電気的な要素間の直接または間接の接続であり得ることが留意されるべきである。たとえば、AとBの間の接続は、AおよびBが互いに直接接続されること、またはAおよびBが1つ以上の他の電気的な要素を通じて互いに間接的に接続されることを表現し得る。たとえば、AとBの間の接続は、AがCに直接接続され、CがBに直接接続され、AおよびBがCを通じて互いに接続されることも表現し得る。この出願の実施形態における任意のコンポーネント(またはユニット)の障害は、コンポーネント(またはユニット)の例外によって引き起こされる障害を含むだけでなく、コンポーネント(またはユニット)と、隣接するコンポーネント(ユニット)との間の、短絡または破損回路などの例外接続関係によって引き起こされる障害も含む。
具体的には、図3に表されるように、ほとんどの電子冗長システム40は、主に、制御ユニット41および出力ユニット42を含む。制御ユニット41は出力ユニット42に接続され、出力ユニット42は複数のアクチュエータに別々に接続される。説明の容易さのために、以下は、二重の冗長性の事例を使用することによってこの出願のこの実施形態を説明することが留意されるべきである。具体的には、冗長設計が実行されるユニットは、同じ機能を有する2つのコンポーネントを含む。しかしながら、実際の実装の間に、三重以上の冗長性の事例が、二重の冗長性の事例を用いた類推によって依然として実現され得る。したがって、これもこの出願の実施形態に含まれるべきであり、詳細はここで再び説明されない。
たとえば、この出願のこの実施形態におけるアクチュエータ1およびアクチュエータ2は、直流ブラシ付きモーター、直流ブラシなしモーター、永久磁石同期モーター、交流サーボモーター、ステッパーモーター、または同様のものであってもよく、または、制御されたソレノイドバルブおよび油圧バルブなどの、エネルギー制御要素であってもよい。これは、この出願の実施形態では1つずつ列挙されない。
二重の冗長性の事例では、アクチュエータも二重冗長である。図3に表されるように、出力ユニット42はアクチュエータ1およびアクチュエータ2に接続され、アクチュエータ1およびアクチュエータ2は冗長なアクチュエータであり、同じ機能タイプを有する。たとえば、アクチュエータ1およびアクチュエータ2は2つのモーター(ブラシ付きモーターまたはブラシなしモーター)であってもよく、または1つのモーターの中のコイルの2つのグループであってもよい。別の例では、アクチュエータ1およびアクチュエータ2は、代替として2つの油圧バルブであってもよい。依然として別の例では、アクチュエータ1およびアクチュエータ2は、代替として2つのソレノイドバルブまたは同様のものであってもよい。
制御ユニット41は、第1の実行信号および第2の実行信号を生成してもよく、第1の実行信号はアクチュエータ1に出力され、第2の実行信号は出力ユニット42を通じてアクチュエータ2に出力される。第1の実行信号はアクチュエータ1を駆動して動作させてもよく、第2の実行信号はアクチュエータ2を駆動して動作させてもよい。
具体的には、アクチュエータ1(アクチュエータ2は同様の方式である)は、自律車両によって要求されるエネルギーの形式、たとえばモータートルクまたは油圧へと第1の実行信号を変換し得る。アクチュエータ1およびアクチュエータ2によって出力されるエネルギーは、同じ出力ターゲット、たとえば推進システム、操舵システム、またはブレーキシステムに対して作用し得る。
たとえば、エネルギーはアクチュエータ1(アクチュエータ2は同様の方式である)と出力ターゲットとの間で伝送され得る。たとえば、これら2つは、機械的に接続されてもよく、または結合された(電場または磁場などの)場であってもよい。これは、この出願の実施形態では限定されない。
アクチュエータ1は、第1の実行信号に基づいて出力ターゲットに第1のエネルギーを出力してもよく、アクチュエータ2は、第2の実行信号に基づいて出力ターゲットに第2のエネルギーを出力してもよい。第1のエネルギーおよび第2のエネルギーは互いに組み合わせられて、出力ターゲットを一緒に駆動して動作させることができる。
第1の実行信号および第2の実行信号の具体的な実装は、アクチュエータ1およびアクチュエータ2に対応する。たとえば、アクチュエータ1がモーターであるとき、制御ユニット41は、第1の実行信号を使用することによってエネルギーをアクチュエータ1に供給してもよく、第1の実行信号のより大きなパワーはアクチュエータ1のより大きな出力トルクを示す。別の例では、アクチュエータ1が電気油圧バルブであるとき、制御ユニット41は、電気油圧バルブの出力液圧を制御するために、第1の実行信号を使用することによって電気油圧バルブの開口サイズを制御し得る。第2の実行信号およびアクチュエータ2は、第1の実行信号および第1のアクチュエータの方式と同様の方式であり、詳細はここで再び説明されない。
可能な実装では、冗長電子制御システム40は入力ユニット43をさらに含んでもよく、入力ユニット43は制御ユニット41に接続される。入力ユニット43は、入力情報を受信し、制御ユニット41のために入力情報を提供し得る。たとえば、入力信号は自律車両のECUによって入力され得る。
制御ユニット41は、入力情報に基づいてアクチュエータ1の第1の実行ターゲットおよびアクチュエータ2の第2の実行ターゲットを別々に計算し得る。たとえば、アクチュエータ1およびアクチュエータ2がモーターであるとき、第1の実行ターゲットはアクチュエータ1によって出力されるべきトルクであってもよく、第2の実行ターゲットはアクチュエータ2によって出力されるべきトルクであってもよい。アクチュエータ1およびアクチュエータ2が電気油圧バルブであるとき、第1の実行ターゲットはアクチュエータ1によって出力されるべき液圧であってもよく、第2の実行ターゲットはアクチュエータ2によって出力されるべき液圧であってもよく、および同様である。これは1つずつ列挙されない。
制御ユニット41は、さらに、第1の実行ターゲットに基づいて第1の実行信号を生成し、第2の実行ターゲットに基づいて第2の実行信号を生成してもよく、それによって、運転状態を変化させるように自律車両を駆動するために、第1の実行信号は第1の実行ターゲットを実行するようにアクチュエータ1を駆動してもよく、第2の実行信号は第2の実行ターゲットを実行するようにアクチュエータ2を駆動してもよい。
この出願のこの実施形態では、制御ユニット41、出力ユニット42、および入力ユニット43のいずれか1つは冗長設計を有し得る。冗長設計が実行されるユニットは、同じ機能を有する複数の(2つ以上の)コンポーネントを含み得る。コンポーネントの1つが故障しているとき、他のコンポーネントが依然としてアクチュエータ1およびアクチュエータ2を動作させ続けることができる。この出願のこの実施形態では、制御ユニット41は、制御ユニット41が故障しているかどうかを検出するだけでなく、出力ユニット42および入力ユニット43が故障しているかどうかも検出し得る。制御ユニット41による障害を検出する具体的な実装については、従来技術を参照されたい。詳細はここでは説明されない。
次に、冗長設計が制御ユニット41、出力ユニット42、および入力ユニット43に対して別々に実行される事例が、例を使用することによってさらに説明される。
1. 出力ユニット42の冗長性
この出願のこの実施形態では、冗長電子制御システム40の出力ユニット42は冗長である。たとえば、図4に表されるように、冗長電子制御システム40は、主に、制御ユニット41および出力ユニット42を含み、出力ユニット42は、さらに、出力コンポーネント421および出力コンポーネント422を含む。中空の矢印は制御ユニット41によって出力される制御信号を表現し、実線の矢印は実行信号(またはエネルギー)の伝送経路を表現し、破線の矢印は単一箇所の故障が冗長電子制御システム40において発生した後の実行信号(またはエネルギー)の伝送経路を表現する。
この出願のこの実施形態では、冗長電子制御システム40の出力ユニット42は冗長である。たとえば、図4に表されるように、冗長電子制御システム40は、主に、制御ユニット41および出力ユニット42を含み、出力ユニット42は、さらに、出力コンポーネント421および出力コンポーネント422を含む。中空の矢印は制御ユニット41によって出力される制御信号を表現し、実線の矢印は実行信号(またはエネルギー)の伝送経路を表現し、破線の矢印は単一箇所の故障が冗長電子制御システム40において発生した後の実行信号(またはエネルギー)の伝送経路を表現する。
出力コンポーネント421の第1の出力端はアクチュエータ1に接続され、出力コンポーネント421の第2の出力端はアクチュエータ2に接続され、出力コンポーネント422の第1の出力端はアクチュエータ1に接続され、出力コンポーネント422の第2の出力端はアクチュエータ2に接続される。制御ユニット41は、出力コンポーネント421の制御端および出力コンポーネント422の制御端に別々に接続される。
この出願の実施形態では、制御ユニット41は、出力コンポーネント421および出力コンポーネント422の出力経路を制御し得る。たとえば、出力コンポーネント421と出力コンポーネント422の両方が正常に動作しているとき、制御ユニット41は、第1の実行信号をアクチュエータ1に出力するように出力コンポーネント421を制御し、第2の実行信号をアクチュエータ2に出力するように出力コンポーネント422を制御し得る。このようにして、アクチュエータ1は第1の実行信号に基づいて動作することができ、アクチュエータ2は第2の実行信号に基づいて動作することができる。
出力コンポーネント421が故障しているとき、制御ユニット41は、第2の実行信号をアクチュエータ2に出力するように出力コンポーネント422を制御し、第1の実行信号をアクチュエータ1に出力するように出力コンポーネント422を制御してもよく、それによって、(図4の破線x1Bによって表されるように)アクチュエータ1は依然として第1の実行信号に基づいて動作することができる。
出力コンポーネント422が故障しているとき、制御ユニット41は、第1の実行信号をアクチュエータ1に出力するように出力コンポーネント421を制御し、第2の実行信号をアクチュエータ2に出力するように出力コンポーネント421を制御してもよく、それによって、(図4の破線x1Aによって表されるように)アクチュエータ2は依然として第2の実行信号に基づいて動作することができる。
この出願の実施形態において提供される冗長電子制御システム40において、冗長設計が出力ユニット42に対して実行され、出力ユニット42は、冗長な出力コンポーネント、すなわち、出力コンポーネント421および422を含むことが知られ得る。出力コンポーネント(出力コンポーネント421または422)のいずれか1つが故障しているとしても、アクチュエータ1およびアクチュエータ2は依然として動作し続けることができる。これは、冗長電子制御システム40の安定性と、冗長電子制御システムを含むデバイスの安全性とを改善することを助ける。
この出願の実施形態では、制御ユニット41は、出力コンポーネント421および出力コンポーネント422の出力経路を制御し得る。たとえば、図4に表されるように、出力コンポーネント421は、スイッチユニット1およびスイッチユニット2を含む。スイッチユニット1の入力端およびスイッチユニット2の入力端は制御ユニット41に別々に接続され、スイッチユニット1の出力端はアクチュエータ1に接続され、スイッチユニット2の出力端はアクチュエータ2に接続される。
出力コンポーネント422が正常に動作しているならば、制御ユニット41は、スイッチユニット1をスイッチオンし、スイッチユニット2をスイッチオフしてもよく、それによって、第1の実行信号はスイッチユニット1を通じてアクチュエータ1に出力される。出力コンポーネント422が故障しているならば、制御ユニット41は、さらに、スイッチユニット1をスイッチオンする一方、スイッチユニット2をスイッチオンしてもよく、それによって、第1の実行信号はアクチュエータ1に出力され、第2の実行信号は出力コンポーネント421を通じてアクチュエータ2に出力される。
出力コンポーネント421と同様に、出力コンポーネント422は、スイッチユニット3およびスイッチユニット4を含む。スイッチユニット3の入力端およびスイッチユニット4の入力端は制御ユニット41に別々に接続され、スイッチユニット3の出力端はアクチュエータ1に接続され、スイッチユニット4の出力端はアクチュエータ2に接続される。
出力コンポーネント421が正常に動作しているならば、制御ユニット41は、スイッチユニット4をスイッチオンし、スイッチユニット3をスイッチオフしてもよく、それによって、第2の実行信号はスイッチユニット4を通じてアクチュエータ2に出力される。出力コンポーネント421が故障しているならば、制御ユニット41は、さらに、スイッチユニット4をスイッチオンする一方、スイッチユニット3をスイッチオンしてもよく、それによって、第1の実行信号はアクチュエータ1に出力され、第2の実行信号は出力コンポーネント422を通じてアクチュエータ2に出力される。
この出願の実施形態では、スイッチユニット1の具体的な実装形式(スイッチユニット2から4は同様の方式である)は、第1の実行信号の具体的な実装形式によって主に決定される。たとえば、アクチュエータ1が三相モーターであると仮定すると、第1の実行信号はUVW三相交流の形式であり得る。この場合、スイッチユニット1は3つの対応するスイッチを含んでもよく、3つの対応するスイッチはそれぞれ、アクチュエータ1を駆動して動作させるために、U相電流、V相電流、およびW相電流を伝送するように構成され得る。
たとえば、スイッチユニット1の中のスイッチは、リレー、金属酸化物半導体電界効果トランジスタ(metal-oxide-semiconductor field-effect transistor, MOSFET)、および絶縁ゲートバイポーラトランジスタ(insulated gate bipolar transistor, IGBT)などのパワー素子であってもよく、または他のタイプの制御可能なスイッチ素子であってもよい。他のスイッチユニットは同様の方式であり、詳細はここで再び説明されない。
冗長電子システム400の安定性および安全性をさらに改善するために、図4の実線P1Aによって表されるように、スイッチユニット1の出力端はスイッチユニット3の制御端にさらに接続され、スイッチユニット1によって出力される第1の実行信号は、スイッチユニット3を強制的にスイッチオフするためにスイッチユニット3の制御信号として使用され得る。同様に、図4の実線P1Bによって表されるように、スイッチユニット4の出力端はスイッチユニット2の制御端にさらに接続されてもよく、スイッチユニット4によって出力される第2の実行信号は、スイッチユニット2を強制的にスイッチオフするためにスイッチユニット2の制御信号として使用されてもよい。
この実装では、スイッチユニット1が正常に動作しているとき、これはスイッチユニット3を誤った導通から防止することを助け、アクチュエータ1が実行エラーを生成することから防止することをさらに助ける。スイッチユニット4が正常に動作しているとき、これはスイッチユニット2を誤った導通から防止することを助け、アクチュエータ2が実行エラーを生成することから防止することをさらに助ける。したがって、この実装は、冗長電子制御システム40の安全性および安定性をさらに改善することを助ける。
2. 制御ユニット41の冗長性
この出願のこの実施形態では、冗長設計は、また、冗長電子制御システム40の中の制御ユニット41に対して実行され得る。たとえば、図5に表されるように、冗長電子制御システム40は、主に、制御ユニット41および出力ユニット42を含む。制御ユニット41は、制御コンポーネント411および制御コンポーネント412をさらに含む。制御コンポーネント1および制御コンポーネント2は両方とも出力ユニット42の制御端および入力端に接続される。出力ユニット42の出力端は、アクチュエータ1およびアクチュエータ2に別々に接続される。
この出願のこの実施形態では、冗長設計は、また、冗長電子制御システム40の中の制御ユニット41に対して実行され得る。たとえば、図5に表されるように、冗長電子制御システム40は、主に、制御ユニット41および出力ユニット42を含む。制御ユニット41は、制御コンポーネント411および制御コンポーネント412をさらに含む。制御コンポーネント1および制御コンポーネント2は両方とも出力ユニット42の制御端および入力端に接続される。出力ユニット42の出力端は、アクチュエータ1およびアクチュエータ2に別々に接続される。
制御コンポーネント411は、第1の実行信号を生成し、第1の実行信号をアクチュエータ1に出力するように出力ユニット42を制御し得る。たとえば、図5に表されるように、制御コンポーネント411は、制御回路4111、パワースイッチ4112、およびパワーコンバータ4113を含む。
パワースイッチ4112の入力端は第1のパワー信号を受信してもよく、パワースイッチ4112の出力端はパワーコンバータ4113の入力端に接続され、パワースイッチ4112の制御端は制御回路4111に接続される。パワーコンバータ4113の出力端は出力ユニット42に接続され、パワーコンバータ4113の制御端は制御回路4111に接続される。制御回路4111は出力ユニット42の制御端に接続され、制御回路4111は出力ユニット42の制御端に接続される。
制御回路4111は、第1のパワー信号からパワーコンバータ4113への伝送経路をスイッチオンするようにパワースイッチ4112を制御し得る。制御回路4111は、第1の実行ターゲットに基づいて、第1のパワー信号を第1の実行信号へと変換するようにパワーコンバータ4113を制御する。そして、制御回路4111は、第1の実行信号をアクチュエータ1に出力するように出力ユニット42を制御し得る。
可能な実装において、制御回路4111は、パワーコンバータ4113から第1の実行信号のフィードバック信号をさらに取得し、フィードバック信号に基づいて、パワーコンバータ4113が正常に動作できるかどうかを決定し得る。この出願のこの実施形態では、パワーコンバータ4113は複数のスイッチも含む。たとえば、これらのスイッチは、リレー、MOSFET、およびIGBTなどのパワー素子であってもよく、または他のタイプの制御可能なスイッチ素子であってもよい。パワーコンバータ4113の中の複数のスイッチは、直流Hブリッジ駆動ユニット、三相ブリッジ駆動ユニット、多相ブリッジ駆動ユニット、交流駆動ユニット、および同様のものを形成し得る。他のパワーコンバータはパワーコンバータ4113と同様であり、詳細はここで再び説明されない。
制御コンポーネント411と同様に、制御コンポーネント412は、制御回路4121、パワースイッチ4122、およびパワーコンバータ4123を含み得る。パワースイッチ4122の入力端は第2のパワー信号を受信してもよく、パワースイッチ4122の出力端はパワーコンバータ4123の入力端に接続され、パワースイッチ4122の制御端は制御回路4121に接続される。パワーコンバータ4123の出力端は出力ユニット42に接続され、パワーコンバータ4123の制御端は制御回路4121に接続され、制御回路4121は出力ユニット42の制御端に接続される。
制御回路4121は、第2のパワー信号からパワーコンバータ4123への伝送経路をスイッチオンするようにパワースイッチ4122を制御し得る。制御回路4121は、アクチュエータ2の実行ターゲットに基づいて、第2のパワー信号を第2の実行信号へと変換するようにパワーコンバータ4123を制御し得る。そして、制御回路4121は、第2の実行信号をアクチュエータ2に出力するように出力ユニット42を制御し得る。
図5に表される制御コンポーネント411の構造に基づいて、制御コンポーネント411が故障していることは、主に、パワースイッチ4112および/またはパワーコンバータ4113が故障し、制御回路4111が故障していることを含む。以下は異なる事例に基づいて詳細を説明する。
事例1: 制御回路4111が故障している。
この場合、パワースイッチ4112およびパワーコンバータ4113を制御するために、制御コンポーネント412が制御回路4111を置き換え得る。具体的には、図5に表されるように、制御コンポーネント412の中の制御回路4121は、パワースイッチ4112およびパワーコンバータ4113に別々に接続される。制御回路4111が故障しているとき、制御回路4121は、第1のパワー信号からパワーコンバータ4113への伝送経路をスイッチオンするようにパワースイッチ4112を制御してもよく、制御回路4121は、アクチュエータ1の第1の実行ターゲットに基づいて、第1のパワー信号を第1の実行信号へと変換するようにパワーコンバータ4113を制御してもよい。そして、制御回路4121は、第1の実行信号をアクチュエータ1に出力するように出力ユニット42を制御してもよい。
事例2: パワースイッチ4112および/またはパワーコンバータ4113が故障している。
この場合、制御コンポーネント412は、第1の実行信号および第2の実行信号を生成し、第1の実行信号をアクチュエータ1に出力して第2の実行信号をアクチュエータ2に出力するように出力ユニット42を制御してもよい。制御コンポーネント412によって生成される第1の実行信号および第2の実行信号は、具体的には、2つの独立した実行信号として、または組み合わせられた信号に含まれるものとして実現され得る。言い換えると、制御コンポーネント412は組み合わせられた信号を生成してもよく、組み合わせられた信号は第1の実行信号および第2の実行信号を含む。
具体的には、可能な実装において、図5に表されるように、制御回路4121は、アクチュエータ1の第1の実行ターゲットおよびアクチュエータ2の第2の実行ターゲットに基づいて、第2のパワー信号を組み合わせられた信号へと変換するようにパワーコンバータ4123を制御し得る。そして、制御回路4121は、組み合わせられた信号の一部を第1の実行信号としてアクチュエータ1に出力するように、および組み合わせられた信号の別の部分を第2の実行信号としてアクチュエータ2に出力するように出力ユニット42を制御し得る。
この実装では、アクチュエータ1およびアクチュエータ2は、同期関係を満たすアクチュエータであってもよく、言い換えると、アクチュエータ1およびアクチュエータ2は、同じ入力/出力変換関係を有するアクチュエータであり、第1の実行信号および第2の実行信号は同期され、アクチュエータ1の出力エネルギーおよびアクチュエータ2の出力エネルギーも同期して変化することが留意されるべきである。たとえば、アクチュエータ1およびアクチュエータ2は、ブラシ付き直流モーターであり得る。別の例では、アクチュエータ1およびアクチュエータ2は、ブラシなし直流モーターまたは永久磁石同期モーターであってもよく、アクチュエータ1およびアクチュエータ2は同じ出力軸を有する。別の例では、アクチュエータ1およびアクチュエータ2は、ブラシなし直流モーターまたは永久磁石同期モーターであってもよく、アクチュエータ1およびアクチュエータ2は出力を組み合わせるとき同じ減速比を有する。
別の可能な実装では、図6に表されるように、制御コンポーネント412は、パワースイッチ4124およびパワーコンバータ4125をさらに含む。パワースイッチ4124の入力端は第2のパワー信号を受信してもよく、パワースイッチ4124の出力端はパワーコンバータ4125の入力端に接続され、パワースイッチ4124の制御端は制御回路4121に接続される。パワーコンバータ4125の出力端は出力ユニット42に接続され、パワーコンバータ425の制御端は制御回路4121に接続される。
パワースイッチ4112および/またはパワーコンバータ4113が故障しているとき、制御回路4121は、第2のパワー信号からパワーコンバータ4125への伝送経路をスイッチオンするようにパワースイッチ4124を制御し得る。制御回路4121は、アクチュエータ1の第1の実行ターゲットに基づいて、第2のパワー信号を第1の実行信号へと変換するようにパワーコンバータ4125を制御し得る。そして、制御回路4121は、第1の実行信号をアクチュエータ1に出力するように出力ユニット42を制御し得る。
この実装では、アクチュエータ1およびアクチュエータ2は、同期関係を満たすアクチュエータであってもよく、または同期関係を満たさないアクチュエータであってもよいことが留意されるべきである。これは、この出願のこの実施形態では限定されない。
同じ考慮に基づいて、図5および図6に表されるように、制御コンポーネント411は、制御回路4111、パワースイッチ4112、およびパワーコンバータ4113を含み得る。可能な実装において、制御コンポーネント411は、パワースイッチ4114およびパワーコンバータ4115をさらに含み得る。制御回路4111の機能は制御回路4121の機能と同様であり、パワースイッチ4112の機能はパワースイッチ4122の機能と同様であり、パワーコンバータ4113の機能はパワーコンバータ4123の機能と同様であり、パワースイッチ4114の機能はパワースイッチ4124の機能と同様であり、パワーコンバータ4115の機能はパワーコンバータ4125の機能と同様である。制御コンポーネント412が故障しているとき、制御コンポーネント411は、前述のプロセスを実行してもよく、詳細はここで再び説明されない。
たとえば、図5に表されるように、冗長電子制御システム40は、電源コンポーネント1および電源コンポーネント2をさらに含む。たとえば、電源コンポーネント1は、制御コンポーネント411のための第1のパワー信号を提供してもよく、電源コンポーネント2は、制御コンポーネント412のための第2のパワー信号を提供してもよい。
別の可能な実装において、電源コンポーネント1は代替として制御コンポーネント412に接続されてもよく、電源コンポーネント2は制御コンポーネント411に接続され、電源コンポーネント1および電源コンポーネント2は、第1のパワー信号を制御コンポーネント411に並列に出力し、第2のパワー信号を制御コンポーネント412に並列に出力してもよい。
この実装において、電源コンポーネントのいずれか1つが故障しているとしても、他の電源コンポーネントは、依然として電力を制御コンポーネント411および制御コンポーネント412に供給することができる。これは、冗長電子制御システムの安全性および安定性さらに改善することを助ける。
この出願の実施形態において、電源コンポーネント1は代替として制御コンポーネント4111および制御回路4121に別々に接続されてもよく、電源コンポーネント2は代替として制御回路4111および制御回路4121に別々に接続されてもよい。図7は、冗長電子制御システム40の電源コンポーネントと制御回路との間の部分的な構造の概略図の例を表す。図7に表されるように、電源コンポーネント1は、電力を制御回路4111および制御回路4121にさらに供給し得る。電源コンポーネント2は、また、電力を制御回路4121および制御回路4111に供給し得る。
冗長電子制御システム40の安定性および安全性をさらに改善するために、図7に表されるように、ダイオードD1が電源コンポーネント1と制御回路4111の間にさらに含まれ、ダイオードD3が電源コンポーネント1と制御回路4121の間にさらに含まれる。ダイオードD1のアノードは電源コンポーネント1に接続され、ダイオードD1のカソードは制御回路4111に接続され、ダイオードD3のアノードは電源コンポーネント1に接続され、ダイオードD3のカソードは制御回路4121に接続される。この実装において、制御回路4111および電源コンポーネント1を接続する電源ポートの電圧が、過剰に高い過渡電圧により制御回路4121へと逆流することから防止するために、制御回路4111および制御回路4121に対して過電圧の絶縁が実行され得る。これは、冗長電子制御システム40の安定性および安全性をさらに改善することを助ける。
同じ原理に基づいて、ダイオードD2が、電源コンポーネント2と制御回路4111の間にさらに含まれてもよく、ダイオードD4が、電源コンポーネント2と制御回路4121の間にさらに含まれてもよい。具体的な構造は再び説明されない。
さらに、短絡絶縁素子1が、電源コンポーネント1と制御回路4111の間にさらに含まれ得る。短絡絶縁素子1は、自己回復ヒューズ、自己回復スイッチ、または同様のものであり得る。短絡絶縁素子3は、電源コンポーネント1と制御回路4121の間にさらに含まれ得る。制御回路4111が短絡する、たとえば、電源コンポーネント1に接続されるポートと電源コンポーネント2に接続されるポートが短絡するとき、比較的大きい電流が生成される。結果として、短絡絶縁素子1および短絡絶縁素子2は自動的に切断され、それにより、電源コンポーネント1、電源コンポーネント2、および制御回路4121を保護する。これは、冗長電子制御システム40の安定性および安全性をさらに改善することを助ける。
同じ原理に基づいて、短絡絶縁素子2が、電源コンポーネント2と制御回路4111の間にさらに含まれてもよく、短絡絶縁素子4が、電源コンポーネント2と制御回路4121の間にさらに含まれてもよい。具体的な構造は再び説明されない。
可能な実装において、冗長電子制御システム40がパワーオンされた後、制御回路4111は、さらに、パワーコンバータ4113の出力状態を検出し、たとえば、パワーコンバータ4113が制御回路4111の制御のもとで第1の実行信号を正確に出力できるかどうかを検出し得る。制御回路4111は、パワーコンバータ4113ならびにスイッチユニット1およびスイッチユニット2の中のスイッチが故障しているかどうかを試験するために、論理ビルトインセルフテスト(logic built-in self test, LBIST)をさらに実行してもよく、それにより、機能的な安全性の特性に関して関連するコンポーネントについて潜在的な障害検出の範囲を大きく改善し、潜在的な障害の尺度をさらに改善する。
3. 入力ユニット43の冗長性
この出願の実施形態では、冗長電子制御システム40の入力ユニット43は冗長である。たとえば、図8に表されるように、冗長電子制御システム40は、入力ユニット43、制御ユニット41、および出力ユニット42を主に含む。入力ユニット43は、入力コンポーネント431および入力コンポーネント432をさらに含む。制御ユニット41は制御コンポーネント411を含む。
この出願の実施形態では、冗長電子制御システム40の入力ユニット43は冗長である。たとえば、図8に表されるように、冗長電子制御システム40は、入力ユニット43、制御ユニット41、および出力ユニット42を主に含む。入力ユニット43は、入力コンポーネント431および入力コンポーネント432をさらに含む。制御ユニット41は制御コンポーネント411を含む。
冗長電子制御システム40において、入力コンポーネント431および入力コンポーネント432はそれぞれ制御コンポーネント411に接続され、制御コンポーネント411は出力ユニット42に接続され、出力ユニット42はアクチュエータ1に接続される。
入力コンポーネント431は、第1の入力情報を取得し、第1の入力情報を制御コンポーネント411に出力し得る。入力コンポーネント432は、第2の入力情報を取得し、入力コンポーネント431が故障しているとき、第2の入力情報を制御コンポーネント411に出力し得る。
制御コンポーネント411は、第1の入力情報または第2の入力情報に基づいて計算を通じてアクチュエータ1の第1の実行ターゲットを取得し得る。そして、制御コンポーネント411は、第1の実行ターゲットに基づいて第1の実行信号を生成し、第1の実行信号をアクチュエータ1に出力するように出力ユニット42を制御し得る。
この実装において、入力コンポーネント431および入力コンポーネント432のいずれか1つが故障しているとき、他の入力コンポーネントが、依然として制御コンポーネント411のための入力信号を提供でき、それによって、制御コンポーネント411は継続的に動作することができる。これは、冗長電子制御システム40の安全性および安定性を改善することを助ける。
入力コンポーネント431の障害(入力コンポーネント432は同様の方式である)は入力コンポーネント431の機能の例外によって引き起こされる障害を含むだけではなく、入力コンポーネント431と制御ユニット41の間の接続の例外によって引き起こされる障害も含み、制御ユニット41がそれを通じて第1の入力情報を受信するポートの機能の例外によって引き起こされる障害をさらに含むこと、および同様のものが留意されるべきである。これらの場合、制御ユニット41は、すべての障害を入力コンポーネント431の障害と見なし得る。
この出願の実施形態では、冗長設計が、また、制御ユニット41に対して実行され得る。図8に表されるように、制御ユニット41は、制御コンポーネント412をさらに含み得る。具体的な構造は再び説明されない。
制御ユニット41の冗長な構造に基づいて、入力コンポーネント431および入力コンポーネント432は、制御コンポーネント412にさらに接続され得る。入力コンポーネント432は、第2の入力情報を制御コンポーネント412にさらに出力し得る。入力コンポーネント431は、入力コンポーネント432が故障しているとき第1の入力情報を制御コンポーネント411にさらに出力し得る。
制御コンポーネント412は、第1の入力情報または第2の入力情報に基づいて計算を通じてアクチュエータ2の第2の実行ターゲットを取得し得る。そして、制御コンポーネント412は、第2の実行ターゲットに基づいて第2の実行信号を生成し、第2の実行信号をアクチュエータ2に出力するように出力ユニット42を制御し得る。
別の可能な実装では、図8に表されるように、制御コンポーネント411は制御コンポーネント412に接続される。入力コンポーネント432が故障しているとき、制御コンポーネント411は、また、入力コンポーネント431によって送信される第1の入力情報を制御コンポーネント412に転送し得る。入力コンポーネント431が故障しているとき、制御コンポーネント412は、また、入力コンポーネント432によって送信される第2の入力情報を制御コンポーネント411に転送し得る。
可能な実装において、制御コンポーネント411および制御コンポーネント412は、さらに、互いの動作状態を検出し、調停情報を交換してもよく、および同様である。これは、この出願のこの実施形態では限定されない。たとえば、制御コンポーネント411と制御コンポーネント412の間の接続は、入力/出力ハードワイヤ信号、シリアル・ペリフェラル・インターフェース(serial peripheral interface, SPI)バス通信信号、およびローカル・インターコネクト・ネットワーク(local interconnect network, LIN)バス信号などの、複数のタイプの信号がそれを通じて伝送されることが可能である複数の情報伝送チャネルを含み得る。
この実装において、複数のタイプの信号は、制御コンポーネント411と制御コンポーネント412の間で情報を転送するために使用され得る。情報伝送チャネルのいずれか1つが故障しているとき、制御コンポーネント411と制御コンポーネント412の間で情報を転送するために、別の情報伝送チャネルが使用され得る。加えて、制御コンポーネント411および制御コンポーネント412は、異なる情報伝送チャネルを通じて伝送される情報を使用することによって、制御コンポーネント411および制御コンポーネント412によって受信される情報の正確さをさらに決定してもよく、それにより誤判定を防止することを助ける。したがって、この実装は、冗長電子制御システム40の安全性および安定性をさらに改善することを助ける。
この出願のこの実施形態における入力コンポーネント(入力コンポーネント431および入力コンポーネント432)は、複数の可能な実装を有し、1つ以上のタイプの入力情報を受信し得ることが留意されるべきである。
たとえば、入力コンポーネント431は通信コンポーネント1を含んでもよく、入力コンポーネント432は通信コンポーネント2を含んでもよい。通信コンポーネント1は、制御情報を受信し、制御情報を制御コンポーネント411に送信し得る。通信コンポーネント2は、また、制御情報を受信し、制御情報を制御コンポーネント412に送信し得る。言い換えると、第1の入力情報と第2の入力情報の両方が制御情報を含み得る。たとえば、制御情報は、ECUによって通信コンポーネント1および通信コンポーネント2に送信され得る。
冗長電子制御システム40の安全性および安定性をさらに改善するために、通信コンポーネント2が故障しているとき、通信コンポーネント1は、制御情報を制御コンポーネント412にさらに送信し得る。別の可能な実装では、制御コンポーネント411は、制御情報を制御コンポーネント412に転送し得る。通信コンポーネント1が故障しているとき、通信コンポーネント2は、制御情報を制御コンポーネント411にさらに送信し得る。別の可能な実装では、制御コンポーネント412は、制御情報を制御コンポーネント411に転送し得る。
別の例では、図8に表されるように、入力コンポーネント431はセンサコンポーネント1を含み、入力コンポーネント432はセンサコンポーネント2を含む。センサコンポーネント1は、第1のセンシング情報を生成し、第1のセンシング情報を制御コンポーネント411に出力し得る。センサコンポーネント2は、第2のセンシング情報を生成し、第2のセンシング情報を制御コンポーネント412に出力し得る。言い換えると、第1の入力情報は第1のセンシング情報を含み、第2の入力情報は第2のセンシング情報を含む。
たとえば、センサコンポーネント1は複数のセンサを含んでもよく、異なるセンサは異なるパラメータを検出してもよい。たとえば、センサコンポーネント1の中の複数のセンサは、温度、圧力、電圧、電流、流速、角度、およびトルクなどの、様々なパラメータを検出するように別々に構成され得る。
冗長電子制御システム40の安全性および安定性をさらに改善するために、センサコンポーネント2が故障しているとき、センサコンポーネント1は、第1のセンシング情報を制御コンポーネント412にさらに出力し得る。別の可能な実装では、制御コンポーネント411は、第1のセンシング情報を制御コンポーネント412に転送してもよく、それによって、制御コンポーネント412は、第1のセンシング情報に基づいて第2の実行信号を生成することができる。
センサコンポーネント1が故障しているとき、センサコンポーネント2は、第2のセンシング情報を制御コンポーネント411にさらに出力し得る。別の可能な実装では、制御コンポーネント412は、第2のセンシング情報を制御コンポーネント411に転送してもよく、それによって、制御コンポーネント411は、第2のセンシング情報に基づいて第1の実行信号を生成することができる。
この出願の実施形態では、制御コンポーネント411および制御コンポーネント412は、センサコンポーネント1およびセンサコンポーネント2が故障しているかどうかをさらに検出し得る。たとえば、制御コンポーネント411は、冗長電子制御システムの中の主要制御コンポーネントとして使用され得る。制御コンポーネント411は、第1のセンシング情報および第2のセンシング情報に基づいて、センサコンポーネント1およびセンサコンポーネント2が故障しているかどうかを検出するために、第2のセンシング情報を監視し得る。センサコンポーネント1またはセンサコンポーネント2が故障していると決定するとき、制御コンポーネント411は、第1の検出情報を制御コンポーネント412に送信し得る。第1の検出情報は、センサコンポーネント1およびセンサコンポーネント2が故障しているかどうかを再び検出するように制御コンポーネント412に指示し得る。
この実装において、制御コンポーネント411は、センサコンポーネント1およびセンサコンポーネント2が故障しているかどうかを検出し、制御コンポーネント412は検出結果を検証する。これは、センサコンポーネント1およびセンサコンポーネント2による障害検出の正確さを改善することを助け、それにより、冗長電子制御システム40の安全性および安定性をさらに改善することを助ける。
たとえば、第1のセンシング情報は、第1のセンシング検証情報および第2のセンシング検証情報を含み得る。第1のセンシング検証情報は第1のセンシング信号において搬送され、第2のセンシング検証情報は第2のセンシング信号において搬送される。制御コンポーネント411は、第1のセンシング検証情報と第2のセンシング検証情報との間の一致性に基づいて、センサコンポーネント1が故障しているかどうかを検出し得る。
センサコンポーネント1が正常に動作することができるとき、センサコンポーネント1は、互いに一致している第1のセンシング検証情報および第2のセンシング検証情報を出力し得る。したがって、第1のセンシング検証情報が第2のセンシング検証情報と異なるとき、制御コンポーネント411は、センサコンポーネント1が故障していると決定し得る。
第1のセンシング検証情報が第2のセンシング検証情報と一致しているとき、制御コンポーネント411は、センサコンポーネント2によって出力される第2のセンシング情報をさらに監視し得る。監視プロセスは、バスデータ監視、アナログ・デジタル信号(analog-to-digital, AD)変換、および同様のものを含み得る。
そして、制御コンポーネント411は、第1のセンシング情報および第2のセンシング情報に基づいて、センサコンポーネント2が故障しているかどうかを検出し得る。センサコンポーネント1とセンサコンポーネント2の両方が正常に動作することができるとき、センサコンポーネント1およびセンサコンポーネント2によって出力される第1のセンシング情報および第2のセンシング情報は一致している。したがって、第1のセンシング検証情報が第2のセンシング検証情報と一致し、第1のセンシング情報が第2のセンシング情報と一致しないとき、制御コンポーネント411は、センサコンポーネント2が故障していると決定し得る。
第1のセンシング信号と同様に、第2のセンシング信号は、また、第3のセンシング検証情報および第4のセンシング検証情報を含み得る。第3のセンシング検証情報は第3のセンシング信号において搬送され、第4のセンシング検証情報は第4のセンシング信号において搬送される。制御コンポーネント412は、第1のセンシング検証情報、第2のセンシング検証情報、第3のセンシング検証情報、および第4のセンシング検証情報の間の一致性に基づいて、センサコンポーネント2が故障しているかどうかを検出し得る。
制御コンポーネント411は、第2のセンシング情報を監視し、監視された第2のセンシング情報および受信された第1のセンシング情報を使用することによって、センサコンポーネント1およびセンサコンポーネント2が故障しているかどうかを検証する。これは、冗長電子制御システム40によって第1のセンシング信号および第2のセンシング信号を検出する安全性機構の診断範囲を改善することを助ける。一方、制御コンポーネント411はセンサコンポーネント2のみを監視し、それによって、第2のセンシング信号への干渉が回避されることが可能である。制御コンポーネント412は同様の方式であり、詳細はここで再び説明されない。
この出願のこの実施形態における制御ユニット41、出力ユニット42、および入力ユニット43は、別々に実現されてもよく、同時に実現されてもよく、または部分的に同時に実現されてもよいことが留意されるべきである。図8に表されるように、前述の3つのユニットに対して冗長設計が実行される。具体的な実装構造では、図8に表される冗長電子制御システム40は、冗長に複数のECUによって形成されてもよく、たとえば、各ECUは、入力コンポーネント、制御コンポーネント、および出力コンポーネントを含み、冗長電子制御システム40は、冗長に複数の回路基板によって形成されてもよく、たとえば、各回路基板は、入力コンポーネント、制御コンポーネント、および出力コンポーネントを含み、冗長電子制御システム40は、回路基板において統合されてもよく、冗長電子制御システム40は、コンテンツ冗長アーキテクチャを有するマルチコアチップであってもよく、冗長電子制御システム40は、コンテンツ冗長アーキテクチャを有するチップセットであってもよく、または同様である。これは、この出願のこの実施形態では限定されない。
図8に表される冗長電子制御システム40は、異なる事例における単一箇所の故障または複数個所の故障に適応することができる。以下の3つの障害シナリオが、さらなる説明のための例として使用される。
障害シナリオ1
図8に表されるように、通信コンポーネント1は、制御コンポーネント411のための受信された制御情報を提供してもよく、通信コンポーネント2は、制御コンポーネント412のための受信された制御情報を提供してもよい。
図8に表されるように、通信コンポーネント1は、制御コンポーネント411のための受信された制御情報を提供してもよく、通信コンポーネント2は、制御コンポーネント412のための受信された制御情報を提供してもよい。
通信コンポーネント1が故障しているとき、制御コンポーネント412は、通信コンポーネント2によって送信される制御情報を制御コンポーネント411に転送し得る。制御回路4111は、第1のパワー信号からパワーコンバータ4113への伝送経路をスイッチオンするようにパワースイッチ4112を制御する。制御回路4111は、制御情報に基づいて、第1のパワー信号を第1の実行信号へと変換するようにパワーコンバータ4113を制御する。そして、制御回路4111は、第1の実行信号をアクチュエータ1に出力するように出力コンポーネント421を制御するために、スイッチユニット1をスイッチオンし、スイッチユニット2をスイッチオフする。
通信コンポーネント2が故障しているとき、制御コンポーネント411は、通信コンポーネント1によって送信される制御情報を制御コンポーネント412に転送し得る。制御回路4121は、第2のパワー信号からパワーコンバータ4123への伝送経路をスイッチオンするようにパワースイッチ4122を制御する。制御回路4121は、制御情報に基づいて、第2のパワー信号を第2の実行信号へと変換するようにパワーコンバータ4123を制御する。そして、制御回路4121は、第2の実行信号をアクチュエータ2に出力するように出力コンポーネント422を制御するために、スイッチユニット4をスイッチオンし、スイッチユニット3をスイッチオフする。
センサコンポーネント1が故障しているとき、制御コンポーネント411は、センサコンポーネント2によって生成される第2のセンシング情報を受信し得る。制御回路4111は、第1のパワー信号からパワーコンバータ4113への伝送経路をスイッチオンするようにパワースイッチ4112を制御する。制御回路4111は、第2のセンシング情報に基づいて、第1のパワー信号を第1の実行信号へと変換するようにパワーコンバータ4113を制御する。そして、制御回路4111は、第1の実行信号をアクチュエータ1に出力するように出力コンポーネント421を制御するために、スイッチユニット1をスイッチオンし、スイッチユニット2をスイッチオフする。
センサコンポーネント2が故障しているとき、制御コンポーネント412は、センサコンポーネント1によって生成される第1のセンシング情報を受信し得る。制御回路4121は、第2のパワー信号からパワーコンバータ4123への伝送経路をスイッチオンするようにパワースイッチ4122を制御する。制御回路4121は、第1のセンシング情報に基づいて、第2のパワー信号を第2の実行信号へと変換するようにパワーコンバータ4123を制御する。そして、制御回路4121は、第2の実行信号をアクチュエータ2に出力するように出力コンポーネント422を制御するために、スイッチユニット4をスイッチオンし、スイッチユニット3をスイッチオフする。
障害シナリオ2
電源コンポーネント1、パワースイッチ4112、パワーコンバータ4113、およびスイッチユニット1のいずれか1つ以上のノードが故障しているとき、制御回路4111は、第1の実行信号の出力経路を遮断し得る。たとえば、制御回路4111はスイッチユニット1をスイッチオフし得る。
電源コンポーネント1、パワースイッチ4112、パワーコンバータ4113、およびスイッチユニット1のいずれか1つ以上のノードが故障しているとき、制御回路4111は、第1の実行信号の出力経路を遮断し得る。たとえば、制御回路4111はスイッチユニット1をスイッチオフし得る。
可能な実装において、制御回路4111は、電源コンポーネント1、パワースイッチ4112、パワーコンバータ4113、およびスイッチユニット1の動作状態を検出し得る。電源コンポーネント1、パワースイッチ4112、パワーコンバータ4113、およびスイッチユニット1のいずれか1つ以上のノードが故障しているとき、制御回路4111は、第1の実行信号および第2の実行信号を生成するように制御コンポーネント412に指示するために、第1の指示情報を制御回路4121に送信し得る。
別の可能な実装において、制御回路4121は、また、電源コンポーネント1、パワースイッチ4112、パワーコンバータ4113、およびスイッチユニット1の動作状態を検出し得る。電源コンポーネント1、パワースイッチ4112、パワーコンバータ4113、およびスイッチユニット1のいずれか1つ以上のノードが故障しているとき、制御コンポーネント412は、第1の実行信号および第2の実行信号を生成する。
制御コンポーネント412は、第1の実行信号および第2の実行信号を生成する。制御回路4121はスイッチユニット3およびスイッチユニット4をスイッチオンし、第1の実行信号はスイッチユニット3を通じてアクチュエータ1に出力され、第2の実行信号はスイッチユニット4を通じてアクチュエータ2に出力される。具体的なプロセスについては、前述の実施形態を参照されたい。詳細はここで再び説明されない。
制御回路4111を電源コンポーネント1、パワースイッチ4112、パワーコンバータ4113、およびスイッチユニット1に接続するための複数のポートの1つ以上の例外によって引き起こされる障害について、制御回路4111は、また、その障害を対応するノードの障害と見なし得ることが留意されるべきである。制御コンポーネント4121は同様の方式であり、詳細はここで再び説明されない。
同様に、電源コンポーネント2、パワースイッチ4122、パワーコンバータ4123、およびスイッチユニット4のいずれか1つ以上のノードが故障しているとき、制御回路4121は、第2の実行信号の出力経路を遮断し得る。制御コンポーネント411は、第1の実行信号および第2の実行信号を生成する。制御回路4111はスイッチユニット1およびスイッチユニット2をスイッチオンし、第1の実行信号はスイッチユニット1を通じてアクチュエータ1に出力され、第2の実行信号はスイッチユニット2を通じてアクチュエータ2に出力される。具体的なプロセスについては、前述の実施形態を参照されたい。詳細はここで再び説明されない。
障害シナリオ3
制御回路4111が故障しているとき、制御回路4121がパワースイッチ4112およびパワーコンバータ4113を制御してもよく、それによって、パワーコンバータ4113は、パワースイッチ4112を通じて第1のパワー信号を受信し、制御回路4121の制御のもとで第1のパワー信号を第1の実行信号へと変換することができる。制御回路4121はさらにスイッチユニット1をスイッチオンしてもよく、それによって、第1の実行信号はアクチュエータ1に出力される。
制御回路4111が故障しているとき、制御回路4121がパワースイッチ4112およびパワーコンバータ4113を制御してもよく、それによって、パワーコンバータ4113は、パワースイッチ4112を通じて第1のパワー信号を受信し、制御回路4121の制御のもとで第1のパワー信号を第1の実行信号へと変換することができる。制御回路4121はさらにスイッチユニット1をスイッチオンしてもよく、それによって、第1の実行信号はアクチュエータ1に出力される。
制御回路4111をパワースイッチ4112、パワーコンバータ4113、およびスイッチユニット1に接続するためのポートの例外によって引き起こされる障害、ならびに、制御回路4111とパワースイッチ4112の間の接続、制御回路4111とパワーコンバータ4113の間の接続、および制御回路4111とスイッチユニット1の間の接続の例外によって引き起こされる障害などの障害が、代替として制御回路4111の障害と見なされ得ることが留意されるべきである。制御回路4121は同様の方式であり、詳細はここで再び説明されない。
制御回路4111とスイッチユニット1の両方が故障しているとき、制御回路4121は、第2の実行信号を生成するようにパワースイッチ4112およびパワーコンバータ4113をさらに制御してもよく、制御回路4121は、第1の実行信号を生成するようにパワースイッチ4122およびパワーコンバータ4123を制御する。制御回路4121はスイッチユニット2をスイッチオンし、それによって、第2の実行信号はアクチュエータ2に出力され、制御回路4121はスイッチユニット3をスイッチオンし、それによって、第1の実行信号はアクチュエータ1に出力される。
制御回路4121が故障しているとき、制御回路4111がパワースイッチ4122およびパワーコンバータ4123を制御してもよく、それによって、パワーコンバータ4123は、パワースイッチ4122を通じて第2のパワー信号を受信し、制御回路4111の制御のもとで第2のパワー信号を第2の実行信号へと変換することができる。制御回路4111はさらにスイッチユニット4をスイッチオンしてもよく、それによって、第2の実行信号はアクチュエータ2に出力される。
制御回路4121とスイッチユニット4の両方が故障しているとき、制御回路4111は、第1の実行信号を生成するようにパワースイッチ4122およびパワーコンバータ4123をさらに制御してもよく、制御回路4111は、第2の実行信号を生成するようにパワースイッチ4112およびパワーコンバータ4113を制御する。制御回路4111はスイッチユニット2をスイッチオンし、それによって、第2の実行信号はアクチュエータ2に出力され、制御回路4121はスイッチユニット3をスイッチオンし、それによって、第1の実行信号はアクチュエータ1に出力される。
この出願の実施形態において提供される冗長電子制御システム40が異なる障害シナリオに柔軟に適応することができ、冗長電子制御システム40が故障しているとき依然として安定した出力を維持することができることが、前述の実施形態から知られ得る。前述の障害シナリオは単に例であり、この出願の実施形態が適用可能である障害シナリオはそれらに限定されず、この出願の実施形態において1つずつ列挙されないことが留意されるべきである。いくつかの障害において、複数の実現可能な実行信号出力方式があり得る。具体的な実装プロセスにおいて、実際の要件に基づいて柔軟な選択が実行され得る。これは、この出願の実施形態では限定されない。
この出願の実施形態は、方法、システム、またはコンピュータプログラム製品として提供され得ることを、この技術分野の当業者は理解すべきである。したがって、この出願は、ハードウェアのみの実施形態、ソフトウェアのみの実施形態、またはソフトウェアとハードウェアの組み合わせを有する実施形態の形式を使用し得る。その上、この出願は、コンピュータ使用可能プログラムコードを含む1つ以上のコンピュータ使用可能記憶媒体(ディスクメモリ、CD-ROM、光学メモリ、および同様のものを含むがそれらに限定されない)において実現されるコンピュータプログラム製品の形式を使用し得る。
この出願は、この出願による方法、デバイス(システム)、およびコンピュータプログラム製品のフローチャートおよび/またはブロック図を参照して説明される。フローチャートおよび/またはブロック図の中の各プロセスおよび/または各ブロック、ならびに、フローチャートおよび/またはブロック図の中のプロセスおよび/またはブロックの組み合わせを実現するために、コンピュータプログラム命令が使用され得ることが理解されるべきである。これらのコンピュータプログラム命令は、機械を生成するために、汎用コンピュータ、専用コンピュータ、組み込みプロセッサ、または任意の他のプログラマブルデータ処理デバイスのプロセッサのために提供されてもよく、それによって、コンピュータまたは任意の他のプログラマブルデータ処理デバイスのプロセッサによって実行される命令は、フローチャートの中の1つ以上のプロセスにおいて、および/またはブロック図の中の1つ以上のブロックにおいて、具体的な機能を実現するための装置を生成する。
これらのコンピュータプログラム命令は、特定の方式で動作するようにコンピュータまたは任意の他のプログラマブルデータ処理デバイスに命令することができるコンピュータ可読メモリに記憶されてもよく、それによって、コンピュータ可読メモリに記憶されている命令は、命令装置を含む人工物を生成する。命令装置は、フローチャートの中の1つ以上のプロセスにおいて、および/またはブロック図の中の1つ以上のブロックにおいて特定の機能を実現する。
これらのコンピュータプログラム命令は、コンピュータまたは別のプログラマブルデータ処理デバイスへとロードされてもよく、それによって、一連の動作およびステップがコンピュータまたは別のプログラマブルデバイスにおいて実行され、それによりコンピュータで実現される処理を生成する。したがって、コンピュータまたは別のプログラマブルデバイスにおいて実行される命令は、フローチャートの中の1つ以上のプロセッサにおいて、および/またはブロック図の中の1つ以上のブロックにおいて特定の機能を実現するためのステップを提供する。
この出願の範囲から逸脱することなく、この技術分野の当業者が様々な修正および変形をこの出願に行うことができることは明らかである。この出願は、この出願のこれらの修正および変形を、それらが以下の請求項およびそれらの等価な技術によって定義される保護範囲内にあるという条件で、包含することが意図される。
40 冗長電子制御システム
41 制御ユニット
42 出力ユニット
43 入力ユニット
100 自律車両
101 ECU
102 電子制御システム
103 アクチュエータ
104 推進システム
411 制御コンポーネント
412 制御コンポーネント
421 出力コンポーネント
422 出力コンポーネント
431 入力コンポーネント
432 入力コンポーネント
4111 制御回路
4112 パワースイッチ
4113 パワーコンバータ
4114 パワースイッチ
4115 パワーコンバータ
4121 制御回路
4122 パワースイッチ
4123 パワーコンバータ
4124 パワースイッチ
4125 パワーコンバータ
41 制御ユニット
42 出力ユニット
43 入力ユニット
100 自律車両
101 ECU
102 電子制御システム
103 アクチュエータ
104 推進システム
411 制御コンポーネント
412 制御コンポーネント
421 出力コンポーネント
422 出力コンポーネント
431 入力コンポーネント
432 入力コンポーネント
4111 制御回路
4112 パワースイッチ
4113 パワーコンバータ
4114 パワースイッチ
4115 パワーコンバータ
4121 制御回路
4122 パワースイッチ
4123 パワーコンバータ
4124 パワースイッチ
4125 パワーコンバータ
Claims (10)
- 制御ユニットと、第1の出力コンポーネントと、第2の出力コンポーネントとを備える、冗長電子制御システムであって、前記制御ユニットが、前記第1の出力コンポーネントの制御端および前記第2の出力コンポーネントの制御端に別々に接続され、
前記第1の出力コンポーネントの第1の出力端が第1のアクチュエータに接続するように構成され、前記第1の出力コンポーネントの第2の出力端が第2のアクチュエータに接続するように構成され、前記第2の出力コンポーネントの第1の出力端が前記第1のアクチュエータに接続するように構成され、前記第2の出力コンポーネントの第2の出力端が前記第2のアクチュエータに接続するように構成され、
前記制御ユニットが、
第1の実行信号および第2の実行信号を生成し、
前記第1の実行信号を前記第1のアクチュエータに出力するように前記第1の出力コンポーネントを制御し、
前記第2の実行信号を前記第2のアクチュエータに出力するように前記第2の出力コンポーネントを制御し、
前記第1の出力コンポーネントが故障しているとき、前記第1の実行信号を前記第1のアクチュエータに出力するように前記第2の出力コンポーネントを制御し、
前記第2の出力コンポーネントが故障しているとき、前記第2の実行信号を前記第2のアクチュエータに出力するように前記第1の出力コンポーネントを制御するように構成され、
前記第1の出力コンポーネントが第1のスイッチユニットおよび第2のスイッチユニットを備え、
前記制御ユニットが、
前記第1のスイッチユニットをスイッチオンするように構成され、前記第1の実行信号が前記第1のスイッチユニットを通じて前記第1のアクチュエータに出力され、
前記制御ユニットが、前記第2の出力コンポーネントが故障しているとき、前記第2のスイッチユニットをスイッチオンするように構成され、前記第2の実行信号が前記第2のスイッチユニットを通じて前記第2のアクチュエータに出力される、冗長電子制御システム。 - 前記制御ユニットが第1の制御コンポーネントおよび第2の制御コンポーネントを備え、前記第1の制御コンポーネントが前記第1の出力コンポーネントに接続され、前記第2の制御コンポーネントが前記第2の出力コンポーネントに接続され、
前記第1の制御コンポーネントが、
前記第1の実行信号を生成し、
前記第1の実行信号を前記第1のアクチュエータに出力するように前記第1の出力コンポーネントを制御し、
前記第2の出力コンポーネントが故障しているとき、前記第2の実行信号を前記第2のアクチュエータに出力するように前記第1の出力コンポーネントを制御するように構成され、
前記第2の制御コンポーネントが、
前記第2の実行信号を生成し、
前記第2の実行信号を前記第2のアクチュエータに出力するように前記第2の出力コンポーネントを制御し、
前記第1の出力コンポーネントが故障しているとき、前記第1の実行信号を前記第1のアクチュエータに出力するように前記第2の出力コンポーネントを制御するように構成された、請求項1に記載の冗長電子制御システム。 - 前記第1のスイッチユニットの入力端および前記第2のスイッチユニットの入力端が前記第1の制御コンポーネントに別々に接続され、前記第1のスイッチユニットの出力端が前記第1のアクチュエータに接続され、前記第2のスイッチユニットの出力端が前記第2のアクチュエータに接続され、
前記第1の制御コンポーネントが、前記第1のスイッチユニットの制御端および前記第2のスイッチユニットの制御端に別々に接続される、請求項2に記載の冗長電子制御システム。 - 前記第1の制御コンポーネントが、第1の制御回路、第1のパワースイッチ、および第1のパワーコンバータを備え、
前記第1のパワースイッチの入力端が第1のパワー信号を受信するように構成され、前記第1のパワースイッチの出力端が前記第1のパワーコンバータの入力端に接続され、前記第1のパワーコンバータの出力端が前記第1の出力コンポーネントに接続され、前記第1の制御回路が前記第1のパワースイッチの制御端および前記第1のパワーコンバータの制御端に別々に接続され、
前記第1の制御回路が、
前記第1のパワー信号から前記第1のパワーコンバータへの伝送経路をスイッチオンするように前記第1のパワースイッチを制御し、
前記第1のアクチュエータの第1の実行ターゲットに基づいて、前記第1のパワー信号を前記第1の実行信号へと変換するように前記第1のパワーコンバータを制御するように構成され、前記第1の実行信号が、前記第1の実行ターゲットを実行するように前記第1のアクチュエータを駆動するために使用され、
前記第1の制御回路が、前記第1のスイッチユニットをスイッチオンするように構成され、前記第1の実行信号が前記第1のスイッチユニットを通じて前記第1のアクチュエータに出力される、請求項3に記載の冗長電子制御システム。 - 前記第2の制御コンポーネントが、前記第1のスイッチユニットの前記制御端、前記第1のパワーコンバータの前記制御端、および前記第1のパワースイッチの前記制御端にさらに接続され、前記第2の制御コンポーネントが、
前記第1の制御回路が故障しているとき、前記第1のパワー信号から前記第1のパワーコンバータへの前記伝送経路をスイッチオンするように前記第1のパワースイッチを制御し、
前記第1の出力コンポーネントの第1の実行ターゲットに基づいて、前記第1のパワー信号を前記第1の実行信号へと変換するように前記第1のパワーコンバータを制御し、
前記第1のスイッチユニットをスイッチオンするようにさらに構成され、前記第1の実行信号が前記第1のスイッチユニットを通じて前記第1のアクチュエータに出力される、請求項4に記載の冗長電子制御システム。 - 前記第2の制御コンポーネントが、
前記第1のパワースイッチまたは前記第1のパワーコンバータが故障しているとき、前記第1の実行信号および前記第2の実行信号を生成し、
前記第1の実行信号を前記第1のアクチュエータに出力し、前記第2の実行信号を前記第2のアクチュエータに出力するように前記第2の出力コンポーネントを制御するようにさらに構成された、請求項4または5に記載の冗長電子制御システム。 - 前記第1の制御回路が、
前記第2の出力コンポーネントが故障しているとき、前記第1のアクチュエータの前記第1の実行ターゲットおよび前記第2のアクチュエータの第2の実行ターゲットに基づいて、前記第1のパワー信号を組み合わせられた信号へと変換するように前記第1のパワーコンバータを制御するようにさらに構成され、前記組み合わせられた信号の一部が前記第1の実行信号として前記第1のスイッチユニットのために提供され、前記組み合わせられた信号の別の部分が前記第2の実行信号として前記第2のスイッチユニットのために提供され、
前記第1の制御回路が、前記第1のスイッチユニットをスイッチオンするようにさらに構成され、前記第1の実行信号が前記第1のスイッチユニットを通じて前記第1のアクチュエータに出力され、
前記第1の制御回路が、前記第2のスイッチユニットをスイッチオンするようにさらに構成され、前記第2の実行信号が前記第2のスイッチユニットを通じて前記第2のアクチュエータに出力される、請求項4から6のいずれか一項に記載の冗長電子制御システム。 - 前記第1の制御コンポーネントが第2のパワースイッチおよび第2のパワーコンバータをさらに備え、
前記第2のパワースイッチの入力端が前記第1のパワー信号を受信するように構成され、前記第2のパワースイッチの出力端が前記第2のパワーコンバータの入力端に接続され、前記第2のパワーコンバータの出力端が前記第1の出力コンポーネントに接続され、前記第1の制御回路が前記第2のパワースイッチの制御端および前記第2のパワーコンバータの制御端に別々に接続され、
前記第1の制御回路が、
前記第2の出力コンポーネントが故障しているとき、前記第1のパワー信号から前記第2のパワーコンバータへの伝送経路をスイッチオンするように前記第2のパワースイッチを制御し、
前記第2のアクチュエータの第2の実行ターゲットに基づいて、前記第1のパワー信号を前記第2の実行信号へと変換するように前記第2のパワーコンバータを制御し、
前記第2のスイッチユニットをスイッチオンするようにさらに構成され、前記第2の実行信号が前記第2のスイッチユニットを通じて前記第2のアクチュエータに出力される、請求項4から6のいずれか一項に記載の冗長電子制御システム。 - 前記第2のスイッチユニットの前記制御端が前記第2の出力コンポーネントの前記第2の出力端に接続され、前記第2のスイッチユニットが、さらに、前記第2の実行信号が受信されるときスイッチオフされる、請求項3から8のいずれか一項に記載の冗長電子制御システム。
- 第1のアクチュエータと、第2のアクチュエータと、請求項1から9のいずれか一項に記載の冗長電子制御システムとを備えるデバイスであって、前記冗長電子制御システムが、前記第1のアクチュエータおよび前記第2のアクチュエータに別々に接続され、
前記冗長電子制御システムが、第1の実行信号を前記第1のアクチュエータに出力し、第2の実行信号を前記第2のアクチュエータに出力するように構成され、
前記第1のアクチュエータが、前記第1の実行信号の駆動のもとで動作するように構成され、
前記第2のアクチュエータが、前記第2の実行信号の駆動のもとで動作するように構成された、デバイス。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2020/091397 WO2021232316A1 (zh) | 2020-05-20 | 2020-05-20 | 一种冗余电子控制系统及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023527682A JP2023527682A (ja) | 2023-06-30 |
| JP7427809B2 true JP7427809B2 (ja) | 2024-02-05 |
Family
ID=75291141
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022567667A Active JP7427809B2 (ja) | 2020-05-20 | 2020-05-20 | 冗長電子制御システムおよびデバイス |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20230356731A1 (ja) |
| EP (1) | EP4116779A4 (ja) |
| JP (1) | JP7427809B2 (ja) |
| KR (1) | KR20230008828A (ja) |
| CN (3) | CN113978480A (ja) |
| MX (1) | MX2022014657A (ja) |
| WO (1) | WO2021232316A1 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023004625A1 (zh) * | 2021-07-28 | 2023-02-02 | 华为技术有限公司 | 一种电动汽车控制系统和电动汽车 |
| CN113341688B (zh) * | 2021-08-06 | 2021-11-16 | 浙江中控技术股份有限公司 | 工业控制系统的冗余控制电路 |
| CN113635919B (zh) * | 2021-09-06 | 2022-12-09 | 北京百度网讯科技有限公司 | 控制执行器的方法、装置、设备以及自动驾驶车辆 |
| CN114104002B (zh) * | 2021-12-21 | 2023-11-21 | 华人运通(江苏)技术有限公司 | 自动驾驶系统监控方法、装置、设备和存储介质 |
| CN114043997B (zh) * | 2022-01-13 | 2022-04-12 | 禾美(浙江)汽车股份有限公司 | 一种基于高灵敏传感器自动驾驶智能决策方法 |
| CN114755912A (zh) * | 2022-03-09 | 2022-07-15 | 国家能源集团国源电力有限公司 | 车载系统以及无人驾驶车辆 |
| US11951969B2 (en) * | 2022-03-30 | 2024-04-09 | ZF Active Safety US Inc. | Control arrangement for a brake system |
| CN115742996A (zh) * | 2022-11-16 | 2023-03-07 | 中国重汽集团济南动力有限公司 | 一种基于车身控制系统的跛行控制方法 |
| CN117647924A (zh) * | 2023-12-29 | 2024-03-05 | 上海同驭汽车科技有限公司 | 故障信号的容错控制方法、系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020048310A (ja) | 2018-09-19 | 2020-03-26 | 株式会社Subaru | 電気自動車 |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6301133B1 (en) * | 1999-04-07 | 2001-10-09 | Astec International Limited | Power supply system with ORing element and control circuit |
| JP3839358B2 (ja) * | 2002-06-12 | 2006-11-01 | 株式会社ジェイテクト | 車両の操舵制御装置及び車両の操舵制御方法 |
| JP5816019B2 (ja) * | 2011-07-29 | 2015-11-17 | Ntn株式会社 | 冗長機能付きステアバイワイヤ式操舵装置の制御装置 |
| DE102011117116B4 (de) * | 2011-10-27 | 2014-02-13 | Diehl Bgt Defence Gmbh & Co. Kg | Steuereinrichtung zum wenigstens teilweise autonomen Betrieb eines Fahrzeugs und Fahrzeug mit solch einer Steuereinrichtung |
| CN103401400B (zh) * | 2013-08-12 | 2016-01-13 | 成都芯源系统有限公司 | 开关电源转换器系统及其控制电路和控制方法 |
| CN104702125B (zh) * | 2013-12-10 | 2017-11-17 | 通用电气公司 | 电能变换装置,冗余控制系统及方法 |
| CN104777745B (zh) * | 2014-01-14 | 2017-12-22 | 北大方正集团有限公司 | 一种冗余控制电路及冗余控制系统 |
| CN107343389B (zh) * | 2015-02-24 | 2020-05-12 | 三菱电机株式会社 | 电动驱动装置及电动助力转向装置 |
| DE102015203491A1 (de) * | 2015-02-26 | 2016-09-01 | Bayerische Motoren Werke Aktiengesellschaft | Limp Home Mode für ein Fahrzeug mit Elektroantrieb |
| KR101769664B1 (ko) * | 2015-03-10 | 2017-08-18 | 엘에스산전 주식회사 | 고전압 직류 송전 시스템의 이중화 제어 장치 |
| JP6535572B2 (ja) * | 2015-10-26 | 2019-06-26 | 日立オートモティブシステムズ株式会社 | 車両制御装置、車両制御システム |
| WO2018003462A1 (ja) * | 2016-07-01 | 2018-01-04 | 日立オートモティブシステムズ株式会社 | 電動モータの駆動制御装置及び制御方法 |
| CN106054868A (zh) * | 2016-08-12 | 2016-10-26 | 北京车和家信息技术有限责任公司 | 整车控制器和车辆 |
| DE102016115823B4 (de) * | 2016-08-25 | 2023-01-05 | Auto-Kabel Management Gmbh | Kraftfahrzeugbordnetz sowie Kraftfahrzeug mit einem Kraftfahrzeugbordnetz |
| CN106712613B (zh) * | 2016-12-22 | 2019-04-05 | 兰州空间技术物理研究所 | 一种步进电机交叉冗余驱动控制系统 |
| CN106945720B (zh) * | 2017-03-16 | 2019-01-18 | 浙江航驱汽车科技有限公司 | 基于功能安全设计的无刷电动转向控制单元及控制方法 |
| WO2018173561A1 (ja) * | 2017-03-23 | 2018-09-27 | 日立オートモティブシステムズ株式会社 | 車両制御装置 |
| CN107288770A (zh) * | 2017-08-04 | 2017-10-24 | 芜湖钻石航空发动机有限公司 | 发动机转速和相位传感器的冗余系统及其控制方法 |
| US11009874B2 (en) * | 2017-09-14 | 2021-05-18 | Uatc, Llc | Fault-tolerant control of an autonomous vehicle with multiple control lanes |
| US10752282B2 (en) * | 2017-10-04 | 2020-08-25 | Steering Solutions Ip Holding Corporation | Triple redundancy failsafe for steering systems |
| PL3626554T3 (pl) * | 2018-09-18 | 2024-06-17 | Knorr-Bremse Systeme für Nutzfahrzeuge GmbH | System sterowania pojazdem |
| EP3881154A4 (en) * | 2018-11-13 | 2022-12-28 | Optimus Ride, Inc. | REDUNDANCY SYSTEM AND METHOD |
| CN110654239A (zh) * | 2019-01-10 | 2020-01-07 | 苏州萨克汽车科技有限公司 | 一种具有冗余备份功能的汽车驻车系统及其失效处理方法 |
| CN109606465A (zh) * | 2019-02-02 | 2019-04-12 | 北京奥特尼克科技有限公司 | 一种高级自动驾驶用具备冗余电机的电液转向器 |
| CN109677468A (zh) * | 2019-03-04 | 2019-04-26 | 中车青岛四方车辆研究所有限公司 | 列车用逻辑控制单元及逻辑控制方法 |
| CN109917779A (zh) * | 2019-03-26 | 2019-06-21 | 中国第一汽车股份有限公司 | 面向l3自动驾驶的冗余控制系统 |
| CN110435569A (zh) * | 2019-08-26 | 2019-11-12 | 爱驰汽车有限公司 | 自动驾驶车辆冗余控制系统、方法、设备及存储介质 |
| CN110962815B (zh) * | 2019-12-26 | 2021-02-05 | 吉林大学 | 面向自动驾驶的线控液压制动控制系统及其控制方法 |
-
2020
- 2020-05-20 CN CN202111223555.9A patent/CN113978480A/zh active Pending
- 2020-05-20 MX MX2022014657A patent/MX2022014657A/es unknown
- 2020-05-20 EP EP20936444.7A patent/EP4116779A4/en active Pending
- 2020-05-20 CN CN202111223752.0A patent/CN114043996A/zh active Pending
- 2020-05-20 WO PCT/CN2020/091397 patent/WO2021232316A1/zh unknown
- 2020-05-20 JP JP2022567667A patent/JP7427809B2/ja active Active
- 2020-05-20 CN CN202080004539.8A patent/CN112638739B/zh active Active
- 2020-05-20 KR KR1020227043036A patent/KR20230008828A/ko active Search and Examination
-
2022
- 2022-11-18 US US17/990,003 patent/US20230356731A1/en active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020048310A (ja) | 2018-09-19 | 2020-03-26 | 株式会社Subaru | 電気自動車 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230008828A (ko) | 2023-01-16 |
| WO2021232316A1 (zh) | 2021-11-25 |
| JP2023527682A (ja) | 2023-06-30 |
| CN112638739A (zh) | 2021-04-09 |
| US20230356731A1 (en) | 2023-11-09 |
| EP4116779A1 (en) | 2023-01-11 |
| EP4116779A4 (en) | 2023-05-03 |
| CN113978480A (zh) | 2022-01-28 |
| CN114043996A (zh) | 2022-02-15 |
| CN112638739B (zh) | 2021-10-22 |
| MX2022014657A (es) | 2022-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7427809B2 (ja) | 冗長電子制御システムおよびデバイス | |
| JP7010281B2 (ja) | 電力変換装置、モータ駆動ユニットおよび電動パワーステアリング装置 | |
| US10232874B2 (en) | Motor drive device and electric power steering device | |
| WO2017150640A1 (ja) | 電力変換装置、モータ駆動ユニットおよび電動パワーステアリング装置 | |
| US7277304B2 (en) | Multiple inverter system with single controller and related operating method | |
| KR102066364B1 (ko) | 전력 변환 장치 및 전동 파워 스티어링 장치 | |
| JP7238777B2 (ja) | 電力変換装置、モータモジュールおよび電動パワーステアリング装置 | |
| US9455655B2 (en) | Motor control system | |
| Basler et al. | Fault-tolerant strategies for double three-phase PMSM used in Electronic Power Steering systems | |
| CN110816645A (zh) | 车辆控制装置 | |
| WO2018061818A1 (ja) | 電力変換装置、モータ駆動ユニットおよび電動パワーステアリング装置 | |
| JP2012186966A (ja) | 電流制御装置 | |
| CN107431449B (zh) | 电动机控制装置 | |
| JP2017536077A (ja) | トルク信号および電力信号の明確なステアリングによって駆動されるメカトロニックユニット | |
| JP7054849B2 (ja) | 診断装置 | |
| WO2018180238A1 (ja) | 電力変換装置、モータ駆動ユニットおよび電動パワーステアリング装置 | |
| JP7424312B2 (ja) | 電力変換装置、駆動装置およびパワーステアリング装置 | |
| JP7151432B2 (ja) | 電力変換装置、駆動装置およびパワーステアリング装置 | |
| CN116584035A (zh) | 马达控制装置以及马达控制系统 | |
| WO2024018874A1 (ja) | モータ制御装置およびモータ制御システム | |
| EP4451550A1 (en) | Control scheme for fault tolerant converter topology based dual channel permanent magnet motor drive system | |
| US20240356478A1 (en) | Control scheme for fault tolerant converter topology based dual channel permanent magnet motor drive system | |
| WO2019044105A1 (ja) | 電力変換装置、モータ駆動ユニットおよび電動パワーステアリング装置 | |
| WO2019044106A1 (ja) | 電力変換装置、モータ駆動ユニットおよび電動パワーステアリング装置 | |
| JP2004019736A (ja) | 自動変速機の電動式アクチュエータ装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221116 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221116 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230828 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231124 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240109 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240124 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7427809 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |