制御装置
【課題】制御の安全性を確保しつつ、その連続性を向上させることが可能な制御装置を提供すること。
【解決手段】第1の処理手段が算出した指令値と第2の処理手段が出力した判定基準が不一致であると判定したときに、過去に第1の処理手段が正常に作動していると判定した際における入力値を第1の処理手段に送信して指令値を再度算出させ、入力値に応じて第1の処理手段が算出した指令値が過去に第1の処理手段が正常に作動していると判定した際における指令値と一致した場合には、第1の処理手段ではなく第2の処理手段が異常状態にあると判定することを特徴とする、制御装置。
【解決手段】第1の処理手段が算出した指令値と第2の処理手段が出力した判定基準が不一致であると判定したときに、過去に第1の処理手段が正常に作動していると判定した際における入力値を第1の処理手段に送信して指令値を再度算出させ、入力値に応じて第1の処理手段が算出した指令値が過去に第1の処理手段が正常に作動していると判定した際における指令値と一致した場合には、第1の処理手段ではなく第2の処理手段が異常状態にあると判定することを特徴とする、制御装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、入力値に基づいて制御対象への指令値を算出する制御装置に関し、特に、算出した指令値の妥当性を自ら判断する機能を備える制御装置に関する。
【背景技術】
【0002】
従来、例えば車両制御の分野において、センサ等から入力された入力値に基づいて、エンジンや変速機、走行用モータ、ブレーキ装置、ステアリング装置等の制御対象への指令値を算出する制御装置が広く用いられている。
【0003】
こうした制御装置においては、指令値の妥当性について自らチェックすることが、安全面から望まれている。
【0004】
特許文献1には、第1CPUと第2CPUに、同じ操舵角、車速、後輪舵角等のデータを入力し、第1CPUの出力と第2CPUの出力の誤差が所定の許容レベルに入っているか否かを判定し、誤差が所定の許容レベル以上の場合には第1CPUが故障であると判定するコントローラのフェイルセーフ装置について記載されている。
【0005】
また、特許文献2にも、同様に、1つの制御対象に対してメインとサブの2つのCPUを用いて制御系を構成し、各々のCPUで同じ演算を実行させ、両者の命令および処理データに不一致が生じた場合や出力に所定の閾値以上の差が生じた場合には、故障と判断して制御を停止する等のフェイルセーフ機能を備えた装置について記載されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開H06−219310号公報
【特許文献2】特開昭63−271540号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、上記従来の装置では、判定基準となる処理手段(第2CPUやサブCPU)に故障等の異常が生じた場合について考慮されていない。
【0008】
この結果、指令値を算出する方の処理手段(第1CPU、メインCPU)が正常であるにも拘わらず、制御を停止してしまう等の不都合が生じる場合がある。従って、制御の連続性が維持できない場合がある。
【0009】
本発明はこのような課題を解決するためのものであり、制御の安全性を確保しつつ、その連続性を向上させることが可能な制御装置を提供することを、主たる目的とする。
【課題を解決するための手段】
【0010】
上記目的を達成するための本発明の第1の態様は、
入力値に基づいて制御対象への指令値を算出する第1の処理手段と、
前記入力値に基づいて、前記第1の処理手段が正常に作動しているか否かを判定するための判定基準を出力する第2の処理手段と、
前記第1の処理手段により算出された指令値と前記第2の処理手段により出力された判定基準の一致程度に基づいて、前記第1の処理手段が正常に作動しているか否かを判定する第3の処理手段と、を備える制御装置であって、
前記第3の処理手段は、
過去に第1の処理手段が正常に作動していると判定した際における、前記第1の処理手段に入力された入力値と該入力値に基づいて前記第1の処理手段により算出された指令値とを対応づけて記憶しており、
前記指令値と前記判定基準が不一致であると判定したときには、前記過去に第1の処理手段が正常に作動していると判定した際における入力値を前記第1の処理手段に送信して指令値を再度算出させ、該入力値に応じて前記第1の処理手段が算出した指令値が前記過去に第1の処理手段が正常に作動していると判定した際における指令値と一致した場合には、前記第1の処理手段ではなく前記第2の処理手段が異常状態にあると判定することを特徴とする、
制御装置である。
【0011】
ここで、第1ないし第3の処理手段は、例えば別体のプロセッサであってもよいし、マルチコア・プロセッサが備える複数のCPUコアであってもよいし、マルチスレッド処理装置の複数のスレッドであってもよい。また、これらの組み合わせであってもよい(例えば、第1処理手段と第2処理手段がマルチコア・プロセッサの複数のCPUコアであり、第3の処理手段が単体のプロセッサである等)。後述の本発明の第2又は第3の態様においても同様である。
【0012】
この本発明の第1の態様によれば、第3の処理手段が、過去に第1の処理手段が正常に作動していると判定した際における入力値と指令値を対応づけて記憶しており、指令値と判定基準が不一致であると判定したときには、過去に第1の処理手段が正常に作動していると判定した際における入力値を第1の処理手段に送信し、この入力値に応じて第1の処理手段が算出した指令値が過去に第1の処理手段が正常に作動していると判定した際における指令値と一致した場合には、第1の処理手段ではなく第2の処理手段が異常状態にあると判定するため、制御の安全性を確保しつつ、その連続性を向上させることができる。
【0013】
本発明の第2の態様は、
入力値に基づいて制御対象への指令値を算出する第1の処理手段と、
前記入力値に基づいて、前記第1の処理手段が正常に作動しているか否かを判定するための判定基準を出力する第2の処理手段と、
前記第1の処理手段により算出された指令値と前記第2の処理手段により出力された判定基準の一致程度に基づいて、前記第1の処理手段が正常に作動しているか否かを判定する第3の処理手段と、を備える制御装置であって、
前記第3の処理手段は、
過去に第1の処理手段が正常に作動していると判定した際における、前記第1の処理手段に入力された入力値と該入力値に基づいて前記第2の処理手段により出力された判定基準とを対応づけて記憶しており、
前記指令値と前記判定基準が不一致であると判定したときには、前記過去に第1の処理手段が正常に作動していると判定した際における入力値を前記第2の処理手段に送信して判定基準を再度出力させ、該入力値に応じて前記第2の処理手段が出力した判定基準が前記過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、前記第1の処理手段ではなく前記第2の処理手段が異常状態にあると判定することを特徴とする、
制御装置である。
【0014】
この本発明の第2の態様によれば、第3の処理手段が、過去に第1の処理手段が正常に作動していると判定した際における入力値と判定基準を対応づけて記憶しており、指令値と判定基準が不一致であると判定したときには、過去に第1の処理手段が正常に作動していると判定した際における入力値を第2の処理手段に送信し、入力値に応じて第2の処理手段が出力した判定基準が過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、第1の処理手段ではなく第2の処理手段が異常状態にあると判定するため、制御の安全性を確保しつつ、その連続性を向上させることができる。
【0015】
本発明の第3の態様は、
入力値に基づいて制御対象への指令値を算出する第1の処理手段と、
前記入力値に基づいて、前記第1の処理手段が正常に作動しているか否かを判定するための判定基準を出力する第2の処理手段と、
前記第1の処理手段により算出された指令値と前記第2の処理手段により出力された判定基準の一致程度に基づいて、前記第1の処理手段が正常に作動しているか否かを判定する第3の処理手段と、を備える制御装置であって、
前記第3の処理手段は、
過去に第1の処理手段が正常に作動していると判定した際における、前記第1の処理手段に入力された入力値と、該入力値に基づいて前記第1の処理手段により算出された指令値及び前記第2の処理手段により出力された判定基準とを対応づけて記憶しており、
前記指令値と前記判定基準が不一致であると判定したときには、前記過去に第1の処理手段が正常に作動していると判定した際における入力値を前記第1の処理手段及び前記第2の処理手段に送信して、指令値を再度算出させると共に及び判定基準値を再度出力させ、
該入力値に応じて前記第1の処理手段が算出した指令値が前記過去に第1の処理手段が正常に作動していると判定した際における指令値と一致した場合、及び該入力値に応じて前記第2の処理手段が出力した判定基準が前記過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、前記第1の処理手段ではなく前記第2の処理手段が異常状態にあると判定し、
該入力値に応じて前記第1の処理手段が算出した指令値が前記過去に第1の処理手段が正常に作動していると判定した際における指令値と一致せず、且つ該入力値に応じて前記第2の処理手段が出力した判定基準が前記過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、前記第1の処理手段と前記第2の処理手段の双方が異常状態にあると判定することを特徴とする、
制御装置である。
【0016】
この本発明の第3の態様によれば、第3の処理手段が、過去に第1の処理手段が正常に作動していると判定した際における入力値と、指令値及び判定基準とを対応づけて記憶しており、指令値と判定基準が不一致であると判定したときには、過去に第1の処理手段が正常に作動していると判定した際における入力値を第1の処理手段及び第2の処理手段に送信して指令値を再度算出させると共に及び判定基準値を再度出力させ、入力値に応じて第1の処理手段が算出した指令値が過去に第1の処理手段が正常に作動していると判定した際における指令値と一致した場合、及び入力値に応じて第2の処理手段が出力した判定基準が過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、第1の処理手段ではなく前記第2の処理手段が異常状態にあると判定し、入力値に応じて第1の処理手段が算出した指令値が過去に第1の処理手段が正常に作動していると判定した際における指令値と一致せず、且つ入力値に応じて第2の処理手段が出力した判定基準が過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、第1の処理手段と前記第2の処理手段の双方が異常状態にあると判定するため、制御の安全性を更に確保しつつ、その連続性を向上させることができる。
【発明の効果】
【0017】
本発明によれば、制御の安全性を確保しつつ、その連続性を向上させることが可能な制御装置を提供することができる。
【図面の簡単な説明】
【0018】
【図1】本発明の第1実施例に係る制御装置1のシステム構成例である。
【図2】第2のマイクロコンピュータ20の異常判定のために第3のマイクロコンピュータが実行する処理の流れを示すフローチャートである。
【図3】本発明の第2実施例に係る制御装置2のシステム構成例である。
【図4】第2のマイクロコンピュータ20の異常判定のために第2実施例に係る第3のマイクロコンピュータが実行する処理の流れを示すフローチャートである。
【図5】本発明の第3実施例に係る制御装置3のシステム構成例である。
【図6】第1のマイクロコンピュータ10及び第2のマイクロコンピュータ20の異常判定のために第3実施例に係る第3のマイクロコンピュータが実行する処理の流れを示すフローチャートである。
【図7】本発明の他の実施例に係る制御装置のシステム構成例である。
【発明を実施するための形態】
【0019】
以下、本発明を実施するための形態について、添付図面を参照しながら実施例を挙げて説明する。
【実施例】
【0020】
<第1実施例>
以下、図面を参照し、本発明の第1実施例に係る制御装置1について説明する。本実施例の制御装置1は、例えば、車両に搭載され、種々の車載機器制御のための処理を実行する制御装置に、好適に適用される。後述する第2及び第3実施例についても同様である。
【0021】
車載機器制御の例としては、例えばエンジン制御、ブレーキ制御、パワーステアリング等を制御するステアリング制御、ドアロック等を制御するボデー制御、VSC(Vehicle Stability Control)やVDIM(Vehicle Dynamics Integrated Management)等の車両安定化制御、ACC(Adaptive Cruise Control)等の運転支援制御、ナビゲーション制御等が挙げられる。
【0022】
図1は、本発明の第1実施例に係る制御装置1のシステム構成例である。制御装置1は、主要な構成として、第1のマイクロコンピュータ10と、第2のマイクロコンピュータ20と、第3のマイクロコンピュータ30と、を備える。
【0023】
これらのマイクロコンピュータは、例えば、CPU(Central Processing Unit)を中心としてROM(Read Only Memory)やRAM(Random Access Memory)等がバスを介して相互に接続されたマイクロコンピュータであり、その他、HDD(Hard Disc Drive)やDVD−R(Digital Versatile Disk-Recordable)ドライブ、CD−R(Compact Disc-Recordable)ドライブ、EEPROM(Electronically Erasable and Programmable Read Only Memory)等の記憶装置やI/Oポート、タイマー、カウンター等を備える。なお、ROMやRAMその他の記憶装置については、各マイクロコンピュータが共有しても構わない。
【0024】
第1のマイクロコンピュータ10は、入力された入力値Inpに基づいて、制御対象40に出力すべき指令値Comを算出し、この指令値Comを入力値Inpと共に第3のマイクロコンピュータ30に出力する。
【0025】
入力値Inpは、例えばA/D変換器を介して入力されるセンサ出力値であり、制御対象40は、例えば、エンジンや変速機、走行用モータ、ブレーキ装置、ステアリング装置等である。以下の説明では、車速センサから入力される車速、及びACCが行う定速走行制御における目標車速のセットが入力値Inpであり、制御対象40に出力する指令値Comは目標トルクTr*であるものとする。目標トルクTr*は、例えば、車速と目標車速の差分に対してPID演算を行うことによって算出される。
【0026】
目標トルクTr*は、本発明の制御装置1が搭載される車両の種類に応じて、エンジンの目標トルク、走行用モータの目標トルク、これらの合計トルク等として制御対象40に与えられる。目標トルクを実現するためのエンジン制御やモータ制御については、本発明の中心的事項ではないため、説明を省略する。
【0027】
第2のマイクロコンピュータ20は、上記入力値Inpに基づいて、第1のマイクロコンピュータ10が正常に作動しているか否かを判定するための判定基準を生成し、生成した判定基準Refを第3のマイクロコンピュータ30に出力する。
【0028】
ここで、判定基準Refは、第1のマイクロコンピュータ10と全く同じ演算を行った結果であってもよいし、より簡易な演算を行った結果であってもよい。また、特定の数値ではなく、ある程度の幅を持った数値範囲であってもよい。以下では、全く同じ演算を行った結果の数値を判定基準Refとして出力するものとする。
【0029】
第3のマイクロコンピュータ30は、指令値Comと判定基準Refの一致程度に基づいて、第1のマイクロコンピュータ10が正常に作動しているか否かを判定する。具体的には、例えば、指令値Comと判定基準Refの差分が閾値未満であれば第1のマイクロコンピュータ10が正常に作動しており、閾値以上であれば第1のマイクロコンピュータ10が正常に作動していない(異常状態にある)と判定する。
【0030】
但し、第3のマイクロコンピュータ30は、第2のマイクロコンピュータ20に異常がないかどうかを判定するために、記憶装置32に過去の入力値Inp(1)〜Inp(n)、及び指令値Com(1)〜Com(n)を対応づけて記憶させている。括弧内の数字は、何度目に記憶されたかを示す。なお、記憶装置32に記憶させるのは、第1のマイクロコンピュータ10が正常に作動していると判定した際のデータセットのみとする。ここで、記憶装置32は、第3のマイクロコンピュータ30専用のものであってもよいが、各マイクロコンピュータ間で共有する記憶装置であっても構わない。
【0031】
図2は、第2のマイクロコンピュータ20の異常判定のために第3のマイクロコンピュータが実行する処理の流れを示すフローチャートである。本フローは、指令値Com及び入力値Inpが第1のマイクロコンピュータ10から入力される度に繰り返し実行される。
【0032】
まず、第3のマイクロコンピュータ30は、指令値Comと判定基準Refの差分が閾値未満であるか否かを判定する(S100)。指令値Comと判定基準Refの差分が閾値未満である場合は、指令値Comを制御対象40に出力し(S102)、入力値Inpと指令値Comのセットを記憶装置32に記憶させ(S104)、本フローの1ルーチンを終了する。
【0033】
指令値Comと判定基準Refの差分が閾値以上である場合には、制御装置1の制御を一時的に停止させると共に(S106)、第1のマイクロコンピュータ10に対して、過去に記憶手段32に記憶された入力値Inp(1)〜(n)のいずれか(例えば直近値Inp(n))を、再計算要求信号と共に出力する(S108)。
【0034】
第1のマイクロコンピュータ10は、再計算要求信号を受信すると、入力値Inp(n)に基づいて指令値Comを再計算し、第3のマイクロコンピュータ30に出力する。
【0035】
第3のマイクロコンピュータ30は、第1のマイクロコンピュータ10から入力された指令値の再計算値ComRが、記憶装置32に記憶されたデータのうち入力値Inp(n)に対応する値Com(n)と一致するか否かを判定する(S110)。
【0036】
指令値の再計算値ComRが値Com(n)と一致しない場合は、第1のマイクロコンピュータ10が異常状態にあると判定する(S112)。この場合、第3のマイクロコンピュータ30が第1のマイクロコンピュータ10の機能を代行したり、制御装置1の機能停止処理を行ったりする。
【0037】
これによって、異常値が指令値Comとして制御対象40に出力されることを防止することができる。この結果、制御の安全性を確保することができる。
【0038】
一方、指令値の再計算値ComRが値Com(n)と一致する場合は、第1のマイクロコンピュータ10ではなく第2のマイクロコンピュータ20が異常状態にあると判定する(S114)。この場合、第3のマイクロコンピュータ30が第2のマイクロコンピュータ20の機能を代行したり、第1のマイクロコンピュータ10の異常判定を行わずに制御を継続したりする。
【0039】
これによって、正常に作動している第1のマイクロコンピュータ10によって制御対象40の制御を継続することができる。この結果、制御の連続性を向上させることができる。
【0040】
以上説明した本実施例の制御装置1によれば、第3のマイクロコンピュータ30が、上記のような処理によって第2のマイクロコンピュータ20に異常がないかどうかを判定するため、制御の安全性を確保しつつ、その連続性を向上させることができる。
【0041】
<第2実施例>
以下、図面を参照し、本発明の第2実施例に係る制御装置2について説明する。
【0042】
図3は、本発明の第2実施例に係る制御装置2のシステム構成例である。制御装置2は、主要な構成として、第1のマイクロコンピュータ10と、第2のマイクロコンピュータ20と、第3のマイクロコンピュータ30と、を備える。制御装置2は、各構成要素の基本的機能に関しては第1実施例に係る制御装置1と共通するため、同一の符号を付して適宜説明を省略する。
【0043】
第2実施例に係る第3のマイクロコンピュータ30は、指令値Comと判定基準Refの一致程度に基づいて、第1のマイクロコンピュータ10が正常に作動しているか否かを判定する。具体的には、例えば、指令値Comと判定基準Refの差分が閾値未満であれば第1のマイクロコンピュータ10が正常に作動しており、閾値以上であれば第1のマイクロコンピュータ10が正常に作動していない(異常状態にある)と判定する。
【0044】
但し、第3のマイクロコンピュータ30は、第2のマイクロコンピュータ20に異常がないかどうかを判定するために、記憶装置32に過去の入力値Inp(1)〜Inp(n)、及び判定基準Ref(1)〜Ref(n)を対応づけて記憶させている。括弧内の数字は、何度目に記憶されたかを示す。なお、記憶装置32に記憶させるのは、第1のマイクロコンピュータ10が正常に作動していると判定した際のデータセットのみとする。ここで、記憶装置32は、第3のマイクロコンピュータ30専用のものであってもよいが、各マイクロコンピュータ間で共有する記憶装置であっても構わない。
【0045】
図4は、第2のマイクロコンピュータ20の異常判定のために第3のマイクロコンピュータが実行する処理の流れを示すフローチャートである。本フローは、指令値Com及び入力値Inpが第1のマイクロコンピュータ10から入力される度に繰り返し実行される。
【0046】
まず、第3のマイクロコンピュータ30は、指令値Comと判定基準Refの差分が閾値未満であるか否かを判定する(S200)。指令値Comと判定基準Refの差分が閾値未満である場合は、指令値Comを制御対象40に出力し(S202)、入力値Inpと、同時に第2のマイクロコンピュータ20から入力された判定基準Refのセットを記憶装置32に記憶させ(S204)、本フローの1ルーチンを終了する。
【0047】
指令値Comと判定基準Refの差分が閾値以上である場合には、制御装置1の制御を一時的に停止させると共に(S206)、第2のマイクロコンピュータ20に対して、過去に記憶手段32に記憶された入力値Inp(1)〜(n)のいずれか(例えば直近値Inp(n))を、再計算要求信号と共に出力する(S208)。
【0048】
第2のマイクロコンピュータ20は、再計算要求信号を受信すると、入力値Inp(n)に基づいて判定基準Refを再計算し、第3のマイクロコンピュータ30に出力する。
【0049】
第3のマイクロコンピュータ30は、第2のマイクロコンピュータ20から入力された判定基準の再計算値RefRが、記憶装置32に記憶されたデータのうち入力値Inp(n)に対応する値Ref(n)と一致するか否かを判定する(S210)。
【0050】
判定基準の再計算値RefRが値Ref(n)と一致する場合は、第1のマイクロコンピュータ10が異常状態にあると判定する(S212)。この場合、第3のマイクロコンピュータ30が第1のマイクロコンピュータ10の機能を代行したり、制御装置1の機能停止処理を行ったりする。
【0051】
これによって、異常値が指令値Comとして制御対象40に出力されることを防止することができる。この結果、制御の安全性を確保することができる。
【0052】
一方、判定基準の再計算値RefRが値Ref(n)と一致しない場合は、第1のマイクロコンピュータ10ではなく第2のマイクロコンピュータ20が異常状態にあると判定する(S214)。この場合、第3のマイクロコンピュータ30が第2のマイクロコンピュータ20の機能を代行したり、第1のマイクロコンピュータ10の異常判定を行わずに制御を継続したりする。
【0053】
これによって、正常に作動している第1のマイクロコンピュータ10によって制御対象40の制御を継続することができる。この結果、制御の連続性を向上させることができる。
【0054】
以上説明した本実施例の制御装置2によれば、第3のマイクロコンピュータ30が、上記のような処理によって第2のマイクロコンピュータ20に異常がないかどうかを判定するため、制御の安全性を確保しつつ、その連続性を向上させることができる。
【0055】
<第3実施例>
以下、図面を参照し、本発明の第3実施例に係る制御装置3について説明する。
【0056】
図5は、本発明の第3実施例に係る制御装置3のシステム構成例である。制御装置3は、主要な構成として、第1のマイクロコンピュータ10と、第2のマイクロコンピュータ20と、第3のマイクロコンピュータ30と、を備える。制御装置3は、各構成要素の基本的機能に関しては第1実施例に係る制御装置1と共通するため、同一の符号を付して適宜説明を省略する。
【0057】
第3実施例に係る第3のマイクロコンピュータ30は、指令値Comと判定基準Refの一致程度に基づいて、第1のマイクロコンピュータ10が正常に作動しているか否かを判定する。具体的には、例えば、指令値Comと判定基準Refの差分が閾値未満であれば第1のマイクロコンピュータ10が正常に作動しており、閾値以上であれば第1のマイクロコンピュータ10が正常に作動していない(異常状態にある)と判定する。
【0058】
但し、第3のマイクロコンピュータ30は、第1のマイクロコンピュータ10及び第2のマイクロコンピュータ20に異常がないかどうかを判定するために、記憶装置32に過去の入力値Inp(1)〜Inp(n)、指令値Com(1)〜Com(n)、及び判定基準Ref(1)〜Ref(n)を対応づけて記憶させている。括弧内の数字は、何度目に記憶されたかを示す。なお、記憶装置32に記憶させるのは、第1のマイクロコンピュータ10が正常に作動していると判定した際のデータセットのみとする。ここで、記憶装置32は、第3のマイクロコンピュータ30専用のものであってもよいが、各マイクロコンピュータ間で共有する記憶装置であっても構わない。
【0059】
図6は、第1のマイクロコンピュータ10及び第2のマイクロコンピュータ20の異常判定のために第3のマイクロコンピュータが実行する処理の流れを示すフローチャートである。本フローは、指令値Com及び入力値Inpが第1のマイクロコンピュータ10から入力される度に繰り返し実行される。
【0060】
まず、第3のマイクロコンピュータ30は、指令値Comと判定基準Refの差分が閾値未満であるか否かを判定する(S300)。指令値Comと判定基準Refの差分が閾値未満である場合は、指令値Comを制御対象40に出力し(S302)、入力値Inpと、同時に第2のマイクロコンピュータ20から入力された判定基準Refのセットを記憶装置32に記憶させ(S304)、本フローの1ルーチンを終了する。
【0061】
指令値Comと判定基準Refの差分が閾値以上である場合には、制御装置1の制御を一時的に停止させると共に(S306)、第1のマイクロコンピュータ10及び第2のマイクロコンピュータ20に対して、過去に記憶手段32に記憶された入力値Inp(1)〜(n)のいずれか(例えば直近値Inp(n))を、再計算要求信号と共に出力する(S308)。
【0062】
第1のマイクロコンピュータ10は、再計算要求信号を受信すると、入力値Inp(n)に基づいて指令値Comを再計算し、第3のマイクロコンピュータ30に出力する。また、第2のマイクロコンピュータ20は、再計算要求信号を受信すると、入力値Inp(n)に基づいて判定基準Refを再計算し、第3のマイクロコンピュータ30に出力する。
【0063】
第3のマイクロコンピュータ30は、第1のマイクロコンピュータ10から入力された指令値の再計算値ComRが、記憶装置32に記憶されたデータのうち入力値Inp(n)に対応する値Com(n)と一致するか否かを判定する(S310)。
【0064】
また、第3のマイクロコンピュータ30は、第2のマイクロコンピュータ20から入力された判定基準の再計算値RefRが、記憶装置32に記憶されたデータのうち入力値Inp(n)に対応する値Ref(n)と一致するか否かを判定する(S312、S314)。
【0065】
(A)指令値の再計算値ComRが値Com(n)と一致せず、且つ判定基準の再計算値RefRが値Ref(n)と一致する場合は、第1のマイクロコンピュータ10が異常状態にあると判定する(S316)。この場合、第3のマイクロコンピュータ30が第1のマイクロコンピュータ10の機能を代行したり、制御装置1の機能停止処理を行ったりする。
【0066】
これによって、異常値が指令値Comとして制御対象40に出力されることを防止することができる。この結果、制御の安全性を確保することができる。
【0067】
(B)指令値の再計算値ComRが値Com(n)と一致し、且つ判定基準の再計算値RefRが値Ref(n)と一致しない場合は、第2のマイクロコンピュータ20が異常状態にあると判定する(S320)。この場合、第3のマイクロコンピュータ30が第2のマイクロコンピュータ20の機能を代行したり、第1のマイクロコンピュータ10の異常判定を行わずに制御を継続したりする。
【0068】
これによって、正常に作動している第1のマイクロコンピュータ10によって制御対象40の制御を継続することができる。この結果、制御の連続性を向上させることができる。
【0069】
(C)指令値の再計算値ComRが値Com(n)と一致せず、且つ判定基準の再計算値RefRが値Ref(n)と一致しない場合は、第1のマイクロコンピュータ10と第2のマイクロコンピュータ20の双方が異常状態にあると判定する(S318)。
【0070】
(D)指令値の再計算値ComRが値Com(n)と一致し、且つ判定基準の再計算値RefRが値Ref(n)と一致する場合は、いずれのコンピュータが異常状態にあるか不明であるため、システムをシャットダウンする(S322)。
【0071】
以上説明した本実施例の制御装置3によれば、第3のマイクロコンピュータ30が、上記のような処理によって第1のマイクロコンピュータ10及び第2のマイクロコンピュータ20に異常がないかどうかを判定するため、制御の安全性を更に確保しつつ、その連続性を向上させることができる。
【0072】
<変形例>
以上、本発明を実施するための最良の形態について実施例を用いて説明したが、本発明はこうした実施例に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。
【0073】
例えば、第1ないし第3実施例において、第1ないし第3の処理手段の具体例として別体のマイクロコンピュータを例示したが、マルチコア・プロセッサが備える複数のCPUコアであってもよいし、マルチスレッド処理装置の複数のスレッドであってもよい。また、これらの組み合わせであってもよい(例えば、第1処理手段と第2処理手段がマルチコア・プロセッサの複数のCPUコアであり、第3の処理手段が単体のプロセッサである等)。
【0074】
また、図7に示すように、複数セットの本発明に係る制御装置において、第3のマイクロコンピュータ30のみを共用するような構成を採用してもよい。図7は、本発明の他の実施例に係る制御装置のシステム構成例である。
【0075】
また、第1ないし第3実施例において、入力値Inpは、各マイクロコンピュータが参照可能な多重通信線に出力されるものとしてもよい。この場合、第1のマイクロコンピュータ10から第3のマイクロコンピュータ30に入力値Inpを出力する必要はない。更にこの場合、指令値Comが第1のマイクロコンピュータにより多重通信線に出力され、第3のマイクロコンピュータ30は、指令値Comの承認済信号を多重通信線に出力するものとしてもよい。制御対象40は、指令値Comの承認済信号を確認した上で、指令値Comに従った動作を行う。
【符号の説明】
【0076】
1、2、3 制御装置
10 第1のマイクロコンピュータ
20 第2のマイクロコンピュータ
30 第3のマイクロコンピュータ
32 記憶装置
40 制御対象
【技術分野】
【0001】
本発明は、入力値に基づいて制御対象への指令値を算出する制御装置に関し、特に、算出した指令値の妥当性を自ら判断する機能を備える制御装置に関する。
【背景技術】
【0002】
従来、例えば車両制御の分野において、センサ等から入力された入力値に基づいて、エンジンや変速機、走行用モータ、ブレーキ装置、ステアリング装置等の制御対象への指令値を算出する制御装置が広く用いられている。
【0003】
こうした制御装置においては、指令値の妥当性について自らチェックすることが、安全面から望まれている。
【0004】
特許文献1には、第1CPUと第2CPUに、同じ操舵角、車速、後輪舵角等のデータを入力し、第1CPUの出力と第2CPUの出力の誤差が所定の許容レベルに入っているか否かを判定し、誤差が所定の許容レベル以上の場合には第1CPUが故障であると判定するコントローラのフェイルセーフ装置について記載されている。
【0005】
また、特許文献2にも、同様に、1つの制御対象に対してメインとサブの2つのCPUを用いて制御系を構成し、各々のCPUで同じ演算を実行させ、両者の命令および処理データに不一致が生じた場合や出力に所定の閾値以上の差が生じた場合には、故障と判断して制御を停止する等のフェイルセーフ機能を備えた装置について記載されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開H06−219310号公報
【特許文献2】特開昭63−271540号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、上記従来の装置では、判定基準となる処理手段(第2CPUやサブCPU)に故障等の異常が生じた場合について考慮されていない。
【0008】
この結果、指令値を算出する方の処理手段(第1CPU、メインCPU)が正常であるにも拘わらず、制御を停止してしまう等の不都合が生じる場合がある。従って、制御の連続性が維持できない場合がある。
【0009】
本発明はこのような課題を解決するためのものであり、制御の安全性を確保しつつ、その連続性を向上させることが可能な制御装置を提供することを、主たる目的とする。
【課題を解決するための手段】
【0010】
上記目的を達成するための本発明の第1の態様は、
入力値に基づいて制御対象への指令値を算出する第1の処理手段と、
前記入力値に基づいて、前記第1の処理手段が正常に作動しているか否かを判定するための判定基準を出力する第2の処理手段と、
前記第1の処理手段により算出された指令値と前記第2の処理手段により出力された判定基準の一致程度に基づいて、前記第1の処理手段が正常に作動しているか否かを判定する第3の処理手段と、を備える制御装置であって、
前記第3の処理手段は、
過去に第1の処理手段が正常に作動していると判定した際における、前記第1の処理手段に入力された入力値と該入力値に基づいて前記第1の処理手段により算出された指令値とを対応づけて記憶しており、
前記指令値と前記判定基準が不一致であると判定したときには、前記過去に第1の処理手段が正常に作動していると判定した際における入力値を前記第1の処理手段に送信して指令値を再度算出させ、該入力値に応じて前記第1の処理手段が算出した指令値が前記過去に第1の処理手段が正常に作動していると判定した際における指令値と一致した場合には、前記第1の処理手段ではなく前記第2の処理手段が異常状態にあると判定することを特徴とする、
制御装置である。
【0011】
ここで、第1ないし第3の処理手段は、例えば別体のプロセッサであってもよいし、マルチコア・プロセッサが備える複数のCPUコアであってもよいし、マルチスレッド処理装置の複数のスレッドであってもよい。また、これらの組み合わせであってもよい(例えば、第1処理手段と第2処理手段がマルチコア・プロセッサの複数のCPUコアであり、第3の処理手段が単体のプロセッサである等)。後述の本発明の第2又は第3の態様においても同様である。
【0012】
この本発明の第1の態様によれば、第3の処理手段が、過去に第1の処理手段が正常に作動していると判定した際における入力値と指令値を対応づけて記憶しており、指令値と判定基準が不一致であると判定したときには、過去に第1の処理手段が正常に作動していると判定した際における入力値を第1の処理手段に送信し、この入力値に応じて第1の処理手段が算出した指令値が過去に第1の処理手段が正常に作動していると判定した際における指令値と一致した場合には、第1の処理手段ではなく第2の処理手段が異常状態にあると判定するため、制御の安全性を確保しつつ、その連続性を向上させることができる。
【0013】
本発明の第2の態様は、
入力値に基づいて制御対象への指令値を算出する第1の処理手段と、
前記入力値に基づいて、前記第1の処理手段が正常に作動しているか否かを判定するための判定基準を出力する第2の処理手段と、
前記第1の処理手段により算出された指令値と前記第2の処理手段により出力された判定基準の一致程度に基づいて、前記第1の処理手段が正常に作動しているか否かを判定する第3の処理手段と、を備える制御装置であって、
前記第3の処理手段は、
過去に第1の処理手段が正常に作動していると判定した際における、前記第1の処理手段に入力された入力値と該入力値に基づいて前記第2の処理手段により出力された判定基準とを対応づけて記憶しており、
前記指令値と前記判定基準が不一致であると判定したときには、前記過去に第1の処理手段が正常に作動していると判定した際における入力値を前記第2の処理手段に送信して判定基準を再度出力させ、該入力値に応じて前記第2の処理手段が出力した判定基準が前記過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、前記第1の処理手段ではなく前記第2の処理手段が異常状態にあると判定することを特徴とする、
制御装置である。
【0014】
この本発明の第2の態様によれば、第3の処理手段が、過去に第1の処理手段が正常に作動していると判定した際における入力値と判定基準を対応づけて記憶しており、指令値と判定基準が不一致であると判定したときには、過去に第1の処理手段が正常に作動していると判定した際における入力値を第2の処理手段に送信し、入力値に応じて第2の処理手段が出力した判定基準が過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、第1の処理手段ではなく第2の処理手段が異常状態にあると判定するため、制御の安全性を確保しつつ、その連続性を向上させることができる。
【0015】
本発明の第3の態様は、
入力値に基づいて制御対象への指令値を算出する第1の処理手段と、
前記入力値に基づいて、前記第1の処理手段が正常に作動しているか否かを判定するための判定基準を出力する第2の処理手段と、
前記第1の処理手段により算出された指令値と前記第2の処理手段により出力された判定基準の一致程度に基づいて、前記第1の処理手段が正常に作動しているか否かを判定する第3の処理手段と、を備える制御装置であって、
前記第3の処理手段は、
過去に第1の処理手段が正常に作動していると判定した際における、前記第1の処理手段に入力された入力値と、該入力値に基づいて前記第1の処理手段により算出された指令値及び前記第2の処理手段により出力された判定基準とを対応づけて記憶しており、
前記指令値と前記判定基準が不一致であると判定したときには、前記過去に第1の処理手段が正常に作動していると判定した際における入力値を前記第1の処理手段及び前記第2の処理手段に送信して、指令値を再度算出させると共に及び判定基準値を再度出力させ、
該入力値に応じて前記第1の処理手段が算出した指令値が前記過去に第1の処理手段が正常に作動していると判定した際における指令値と一致した場合、及び該入力値に応じて前記第2の処理手段が出力した判定基準が前記過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、前記第1の処理手段ではなく前記第2の処理手段が異常状態にあると判定し、
該入力値に応じて前記第1の処理手段が算出した指令値が前記過去に第1の処理手段が正常に作動していると判定した際における指令値と一致せず、且つ該入力値に応じて前記第2の処理手段が出力した判定基準が前記過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、前記第1の処理手段と前記第2の処理手段の双方が異常状態にあると判定することを特徴とする、
制御装置である。
【0016】
この本発明の第3の態様によれば、第3の処理手段が、過去に第1の処理手段が正常に作動していると判定した際における入力値と、指令値及び判定基準とを対応づけて記憶しており、指令値と判定基準が不一致であると判定したときには、過去に第1の処理手段が正常に作動していると判定した際における入力値を第1の処理手段及び第2の処理手段に送信して指令値を再度算出させると共に及び判定基準値を再度出力させ、入力値に応じて第1の処理手段が算出した指令値が過去に第1の処理手段が正常に作動していると判定した際における指令値と一致した場合、及び入力値に応じて第2の処理手段が出力した判定基準が過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、第1の処理手段ではなく前記第2の処理手段が異常状態にあると判定し、入力値に応じて第1の処理手段が算出した指令値が過去に第1の処理手段が正常に作動していると判定した際における指令値と一致せず、且つ入力値に応じて第2の処理手段が出力した判定基準が過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、第1の処理手段と前記第2の処理手段の双方が異常状態にあると判定するため、制御の安全性を更に確保しつつ、その連続性を向上させることができる。
【発明の効果】
【0017】
本発明によれば、制御の安全性を確保しつつ、その連続性を向上させることが可能な制御装置を提供することができる。
【図面の簡単な説明】
【0018】
【図1】本発明の第1実施例に係る制御装置1のシステム構成例である。
【図2】第2のマイクロコンピュータ20の異常判定のために第3のマイクロコンピュータが実行する処理の流れを示すフローチャートである。
【図3】本発明の第2実施例に係る制御装置2のシステム構成例である。
【図4】第2のマイクロコンピュータ20の異常判定のために第2実施例に係る第3のマイクロコンピュータが実行する処理の流れを示すフローチャートである。
【図5】本発明の第3実施例に係る制御装置3のシステム構成例である。
【図6】第1のマイクロコンピュータ10及び第2のマイクロコンピュータ20の異常判定のために第3実施例に係る第3のマイクロコンピュータが実行する処理の流れを示すフローチャートである。
【図7】本発明の他の実施例に係る制御装置のシステム構成例である。
【発明を実施するための形態】
【0019】
以下、本発明を実施するための形態について、添付図面を参照しながら実施例を挙げて説明する。
【実施例】
【0020】
<第1実施例>
以下、図面を参照し、本発明の第1実施例に係る制御装置1について説明する。本実施例の制御装置1は、例えば、車両に搭載され、種々の車載機器制御のための処理を実行する制御装置に、好適に適用される。後述する第2及び第3実施例についても同様である。
【0021】
車載機器制御の例としては、例えばエンジン制御、ブレーキ制御、パワーステアリング等を制御するステアリング制御、ドアロック等を制御するボデー制御、VSC(Vehicle Stability Control)やVDIM(Vehicle Dynamics Integrated Management)等の車両安定化制御、ACC(Adaptive Cruise Control)等の運転支援制御、ナビゲーション制御等が挙げられる。
【0022】
図1は、本発明の第1実施例に係る制御装置1のシステム構成例である。制御装置1は、主要な構成として、第1のマイクロコンピュータ10と、第2のマイクロコンピュータ20と、第3のマイクロコンピュータ30と、を備える。
【0023】
これらのマイクロコンピュータは、例えば、CPU(Central Processing Unit)を中心としてROM(Read Only Memory)やRAM(Random Access Memory)等がバスを介して相互に接続されたマイクロコンピュータであり、その他、HDD(Hard Disc Drive)やDVD−R(Digital Versatile Disk-Recordable)ドライブ、CD−R(Compact Disc-Recordable)ドライブ、EEPROM(Electronically Erasable and Programmable Read Only Memory)等の記憶装置やI/Oポート、タイマー、カウンター等を備える。なお、ROMやRAMその他の記憶装置については、各マイクロコンピュータが共有しても構わない。
【0024】
第1のマイクロコンピュータ10は、入力された入力値Inpに基づいて、制御対象40に出力すべき指令値Comを算出し、この指令値Comを入力値Inpと共に第3のマイクロコンピュータ30に出力する。
【0025】
入力値Inpは、例えばA/D変換器を介して入力されるセンサ出力値であり、制御対象40は、例えば、エンジンや変速機、走行用モータ、ブレーキ装置、ステアリング装置等である。以下の説明では、車速センサから入力される車速、及びACCが行う定速走行制御における目標車速のセットが入力値Inpであり、制御対象40に出力する指令値Comは目標トルクTr*であるものとする。目標トルクTr*は、例えば、車速と目標車速の差分に対してPID演算を行うことによって算出される。
【0026】
目標トルクTr*は、本発明の制御装置1が搭載される車両の種類に応じて、エンジンの目標トルク、走行用モータの目標トルク、これらの合計トルク等として制御対象40に与えられる。目標トルクを実現するためのエンジン制御やモータ制御については、本発明の中心的事項ではないため、説明を省略する。
【0027】
第2のマイクロコンピュータ20は、上記入力値Inpに基づいて、第1のマイクロコンピュータ10が正常に作動しているか否かを判定するための判定基準を生成し、生成した判定基準Refを第3のマイクロコンピュータ30に出力する。
【0028】
ここで、判定基準Refは、第1のマイクロコンピュータ10と全く同じ演算を行った結果であってもよいし、より簡易な演算を行った結果であってもよい。また、特定の数値ではなく、ある程度の幅を持った数値範囲であってもよい。以下では、全く同じ演算を行った結果の数値を判定基準Refとして出力するものとする。
【0029】
第3のマイクロコンピュータ30は、指令値Comと判定基準Refの一致程度に基づいて、第1のマイクロコンピュータ10が正常に作動しているか否かを判定する。具体的には、例えば、指令値Comと判定基準Refの差分が閾値未満であれば第1のマイクロコンピュータ10が正常に作動しており、閾値以上であれば第1のマイクロコンピュータ10が正常に作動していない(異常状態にある)と判定する。
【0030】
但し、第3のマイクロコンピュータ30は、第2のマイクロコンピュータ20に異常がないかどうかを判定するために、記憶装置32に過去の入力値Inp(1)〜Inp(n)、及び指令値Com(1)〜Com(n)を対応づけて記憶させている。括弧内の数字は、何度目に記憶されたかを示す。なお、記憶装置32に記憶させるのは、第1のマイクロコンピュータ10が正常に作動していると判定した際のデータセットのみとする。ここで、記憶装置32は、第3のマイクロコンピュータ30専用のものであってもよいが、各マイクロコンピュータ間で共有する記憶装置であっても構わない。
【0031】
図2は、第2のマイクロコンピュータ20の異常判定のために第3のマイクロコンピュータが実行する処理の流れを示すフローチャートである。本フローは、指令値Com及び入力値Inpが第1のマイクロコンピュータ10から入力される度に繰り返し実行される。
【0032】
まず、第3のマイクロコンピュータ30は、指令値Comと判定基準Refの差分が閾値未満であるか否かを判定する(S100)。指令値Comと判定基準Refの差分が閾値未満である場合は、指令値Comを制御対象40に出力し(S102)、入力値Inpと指令値Comのセットを記憶装置32に記憶させ(S104)、本フローの1ルーチンを終了する。
【0033】
指令値Comと判定基準Refの差分が閾値以上である場合には、制御装置1の制御を一時的に停止させると共に(S106)、第1のマイクロコンピュータ10に対して、過去に記憶手段32に記憶された入力値Inp(1)〜(n)のいずれか(例えば直近値Inp(n))を、再計算要求信号と共に出力する(S108)。
【0034】
第1のマイクロコンピュータ10は、再計算要求信号を受信すると、入力値Inp(n)に基づいて指令値Comを再計算し、第3のマイクロコンピュータ30に出力する。
【0035】
第3のマイクロコンピュータ30は、第1のマイクロコンピュータ10から入力された指令値の再計算値ComRが、記憶装置32に記憶されたデータのうち入力値Inp(n)に対応する値Com(n)と一致するか否かを判定する(S110)。
【0036】
指令値の再計算値ComRが値Com(n)と一致しない場合は、第1のマイクロコンピュータ10が異常状態にあると判定する(S112)。この場合、第3のマイクロコンピュータ30が第1のマイクロコンピュータ10の機能を代行したり、制御装置1の機能停止処理を行ったりする。
【0037】
これによって、異常値が指令値Comとして制御対象40に出力されることを防止することができる。この結果、制御の安全性を確保することができる。
【0038】
一方、指令値の再計算値ComRが値Com(n)と一致する場合は、第1のマイクロコンピュータ10ではなく第2のマイクロコンピュータ20が異常状態にあると判定する(S114)。この場合、第3のマイクロコンピュータ30が第2のマイクロコンピュータ20の機能を代行したり、第1のマイクロコンピュータ10の異常判定を行わずに制御を継続したりする。
【0039】
これによって、正常に作動している第1のマイクロコンピュータ10によって制御対象40の制御を継続することができる。この結果、制御の連続性を向上させることができる。
【0040】
以上説明した本実施例の制御装置1によれば、第3のマイクロコンピュータ30が、上記のような処理によって第2のマイクロコンピュータ20に異常がないかどうかを判定するため、制御の安全性を確保しつつ、その連続性を向上させることができる。
【0041】
<第2実施例>
以下、図面を参照し、本発明の第2実施例に係る制御装置2について説明する。
【0042】
図3は、本発明の第2実施例に係る制御装置2のシステム構成例である。制御装置2は、主要な構成として、第1のマイクロコンピュータ10と、第2のマイクロコンピュータ20と、第3のマイクロコンピュータ30と、を備える。制御装置2は、各構成要素の基本的機能に関しては第1実施例に係る制御装置1と共通するため、同一の符号を付して適宜説明を省略する。
【0043】
第2実施例に係る第3のマイクロコンピュータ30は、指令値Comと判定基準Refの一致程度に基づいて、第1のマイクロコンピュータ10が正常に作動しているか否かを判定する。具体的には、例えば、指令値Comと判定基準Refの差分が閾値未満であれば第1のマイクロコンピュータ10が正常に作動しており、閾値以上であれば第1のマイクロコンピュータ10が正常に作動していない(異常状態にある)と判定する。
【0044】
但し、第3のマイクロコンピュータ30は、第2のマイクロコンピュータ20に異常がないかどうかを判定するために、記憶装置32に過去の入力値Inp(1)〜Inp(n)、及び判定基準Ref(1)〜Ref(n)を対応づけて記憶させている。括弧内の数字は、何度目に記憶されたかを示す。なお、記憶装置32に記憶させるのは、第1のマイクロコンピュータ10が正常に作動していると判定した際のデータセットのみとする。ここで、記憶装置32は、第3のマイクロコンピュータ30専用のものであってもよいが、各マイクロコンピュータ間で共有する記憶装置であっても構わない。
【0045】
図4は、第2のマイクロコンピュータ20の異常判定のために第3のマイクロコンピュータが実行する処理の流れを示すフローチャートである。本フローは、指令値Com及び入力値Inpが第1のマイクロコンピュータ10から入力される度に繰り返し実行される。
【0046】
まず、第3のマイクロコンピュータ30は、指令値Comと判定基準Refの差分が閾値未満であるか否かを判定する(S200)。指令値Comと判定基準Refの差分が閾値未満である場合は、指令値Comを制御対象40に出力し(S202)、入力値Inpと、同時に第2のマイクロコンピュータ20から入力された判定基準Refのセットを記憶装置32に記憶させ(S204)、本フローの1ルーチンを終了する。
【0047】
指令値Comと判定基準Refの差分が閾値以上である場合には、制御装置1の制御を一時的に停止させると共に(S206)、第2のマイクロコンピュータ20に対して、過去に記憶手段32に記憶された入力値Inp(1)〜(n)のいずれか(例えば直近値Inp(n))を、再計算要求信号と共に出力する(S208)。
【0048】
第2のマイクロコンピュータ20は、再計算要求信号を受信すると、入力値Inp(n)に基づいて判定基準Refを再計算し、第3のマイクロコンピュータ30に出力する。
【0049】
第3のマイクロコンピュータ30は、第2のマイクロコンピュータ20から入力された判定基準の再計算値RefRが、記憶装置32に記憶されたデータのうち入力値Inp(n)に対応する値Ref(n)と一致するか否かを判定する(S210)。
【0050】
判定基準の再計算値RefRが値Ref(n)と一致する場合は、第1のマイクロコンピュータ10が異常状態にあると判定する(S212)。この場合、第3のマイクロコンピュータ30が第1のマイクロコンピュータ10の機能を代行したり、制御装置1の機能停止処理を行ったりする。
【0051】
これによって、異常値が指令値Comとして制御対象40に出力されることを防止することができる。この結果、制御の安全性を確保することができる。
【0052】
一方、判定基準の再計算値RefRが値Ref(n)と一致しない場合は、第1のマイクロコンピュータ10ではなく第2のマイクロコンピュータ20が異常状態にあると判定する(S214)。この場合、第3のマイクロコンピュータ30が第2のマイクロコンピュータ20の機能を代行したり、第1のマイクロコンピュータ10の異常判定を行わずに制御を継続したりする。
【0053】
これによって、正常に作動している第1のマイクロコンピュータ10によって制御対象40の制御を継続することができる。この結果、制御の連続性を向上させることができる。
【0054】
以上説明した本実施例の制御装置2によれば、第3のマイクロコンピュータ30が、上記のような処理によって第2のマイクロコンピュータ20に異常がないかどうかを判定するため、制御の安全性を確保しつつ、その連続性を向上させることができる。
【0055】
<第3実施例>
以下、図面を参照し、本発明の第3実施例に係る制御装置3について説明する。
【0056】
図5は、本発明の第3実施例に係る制御装置3のシステム構成例である。制御装置3は、主要な構成として、第1のマイクロコンピュータ10と、第2のマイクロコンピュータ20と、第3のマイクロコンピュータ30と、を備える。制御装置3は、各構成要素の基本的機能に関しては第1実施例に係る制御装置1と共通するため、同一の符号を付して適宜説明を省略する。
【0057】
第3実施例に係る第3のマイクロコンピュータ30は、指令値Comと判定基準Refの一致程度に基づいて、第1のマイクロコンピュータ10が正常に作動しているか否かを判定する。具体的には、例えば、指令値Comと判定基準Refの差分が閾値未満であれば第1のマイクロコンピュータ10が正常に作動しており、閾値以上であれば第1のマイクロコンピュータ10が正常に作動していない(異常状態にある)と判定する。
【0058】
但し、第3のマイクロコンピュータ30は、第1のマイクロコンピュータ10及び第2のマイクロコンピュータ20に異常がないかどうかを判定するために、記憶装置32に過去の入力値Inp(1)〜Inp(n)、指令値Com(1)〜Com(n)、及び判定基準Ref(1)〜Ref(n)を対応づけて記憶させている。括弧内の数字は、何度目に記憶されたかを示す。なお、記憶装置32に記憶させるのは、第1のマイクロコンピュータ10が正常に作動していると判定した際のデータセットのみとする。ここで、記憶装置32は、第3のマイクロコンピュータ30専用のものであってもよいが、各マイクロコンピュータ間で共有する記憶装置であっても構わない。
【0059】
図6は、第1のマイクロコンピュータ10及び第2のマイクロコンピュータ20の異常判定のために第3のマイクロコンピュータが実行する処理の流れを示すフローチャートである。本フローは、指令値Com及び入力値Inpが第1のマイクロコンピュータ10から入力される度に繰り返し実行される。
【0060】
まず、第3のマイクロコンピュータ30は、指令値Comと判定基準Refの差分が閾値未満であるか否かを判定する(S300)。指令値Comと判定基準Refの差分が閾値未満である場合は、指令値Comを制御対象40に出力し(S302)、入力値Inpと、同時に第2のマイクロコンピュータ20から入力された判定基準Refのセットを記憶装置32に記憶させ(S304)、本フローの1ルーチンを終了する。
【0061】
指令値Comと判定基準Refの差分が閾値以上である場合には、制御装置1の制御を一時的に停止させると共に(S306)、第1のマイクロコンピュータ10及び第2のマイクロコンピュータ20に対して、過去に記憶手段32に記憶された入力値Inp(1)〜(n)のいずれか(例えば直近値Inp(n))を、再計算要求信号と共に出力する(S308)。
【0062】
第1のマイクロコンピュータ10は、再計算要求信号を受信すると、入力値Inp(n)に基づいて指令値Comを再計算し、第3のマイクロコンピュータ30に出力する。また、第2のマイクロコンピュータ20は、再計算要求信号を受信すると、入力値Inp(n)に基づいて判定基準Refを再計算し、第3のマイクロコンピュータ30に出力する。
【0063】
第3のマイクロコンピュータ30は、第1のマイクロコンピュータ10から入力された指令値の再計算値ComRが、記憶装置32に記憶されたデータのうち入力値Inp(n)に対応する値Com(n)と一致するか否かを判定する(S310)。
【0064】
また、第3のマイクロコンピュータ30は、第2のマイクロコンピュータ20から入力された判定基準の再計算値RefRが、記憶装置32に記憶されたデータのうち入力値Inp(n)に対応する値Ref(n)と一致するか否かを判定する(S312、S314)。
【0065】
(A)指令値の再計算値ComRが値Com(n)と一致せず、且つ判定基準の再計算値RefRが値Ref(n)と一致する場合は、第1のマイクロコンピュータ10が異常状態にあると判定する(S316)。この場合、第3のマイクロコンピュータ30が第1のマイクロコンピュータ10の機能を代行したり、制御装置1の機能停止処理を行ったりする。
【0066】
これによって、異常値が指令値Comとして制御対象40に出力されることを防止することができる。この結果、制御の安全性を確保することができる。
【0067】
(B)指令値の再計算値ComRが値Com(n)と一致し、且つ判定基準の再計算値RefRが値Ref(n)と一致しない場合は、第2のマイクロコンピュータ20が異常状態にあると判定する(S320)。この場合、第3のマイクロコンピュータ30が第2のマイクロコンピュータ20の機能を代行したり、第1のマイクロコンピュータ10の異常判定を行わずに制御を継続したりする。
【0068】
これによって、正常に作動している第1のマイクロコンピュータ10によって制御対象40の制御を継続することができる。この結果、制御の連続性を向上させることができる。
【0069】
(C)指令値の再計算値ComRが値Com(n)と一致せず、且つ判定基準の再計算値RefRが値Ref(n)と一致しない場合は、第1のマイクロコンピュータ10と第2のマイクロコンピュータ20の双方が異常状態にあると判定する(S318)。
【0070】
(D)指令値の再計算値ComRが値Com(n)と一致し、且つ判定基準の再計算値RefRが値Ref(n)と一致する場合は、いずれのコンピュータが異常状態にあるか不明であるため、システムをシャットダウンする(S322)。
【0071】
以上説明した本実施例の制御装置3によれば、第3のマイクロコンピュータ30が、上記のような処理によって第1のマイクロコンピュータ10及び第2のマイクロコンピュータ20に異常がないかどうかを判定するため、制御の安全性を更に確保しつつ、その連続性を向上させることができる。
【0072】
<変形例>
以上、本発明を実施するための最良の形態について実施例を用いて説明したが、本発明はこうした実施例に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。
【0073】
例えば、第1ないし第3実施例において、第1ないし第3の処理手段の具体例として別体のマイクロコンピュータを例示したが、マルチコア・プロセッサが備える複数のCPUコアであってもよいし、マルチスレッド処理装置の複数のスレッドであってもよい。また、これらの組み合わせであってもよい(例えば、第1処理手段と第2処理手段がマルチコア・プロセッサの複数のCPUコアであり、第3の処理手段が単体のプロセッサである等)。
【0074】
また、図7に示すように、複数セットの本発明に係る制御装置において、第3のマイクロコンピュータ30のみを共用するような構成を採用してもよい。図7は、本発明の他の実施例に係る制御装置のシステム構成例である。
【0075】
また、第1ないし第3実施例において、入力値Inpは、各マイクロコンピュータが参照可能な多重通信線に出力されるものとしてもよい。この場合、第1のマイクロコンピュータ10から第3のマイクロコンピュータ30に入力値Inpを出力する必要はない。更にこの場合、指令値Comが第1のマイクロコンピュータにより多重通信線に出力され、第3のマイクロコンピュータ30は、指令値Comの承認済信号を多重通信線に出力するものとしてもよい。制御対象40は、指令値Comの承認済信号を確認した上で、指令値Comに従った動作を行う。
【符号の説明】
【0076】
1、2、3 制御装置
10 第1のマイクロコンピュータ
20 第2のマイクロコンピュータ
30 第3のマイクロコンピュータ
32 記憶装置
40 制御対象
【特許請求の範囲】
【請求項1】
入力値に基づいて制御対象への指令値を算出する第1の処理手段と、
前記入力値に基づいて、前記第1の処理手段が正常に作動しているか否かを判定するための判定基準を出力する第2の処理手段と、
前記第1の処理手段により算出された指令値と前記第2の処理手段により出力された判定基準の一致程度に基づいて、前記第1の処理手段が正常に作動しているか否かを判定する第3の処理手段と、を備える制御装置であって、
前記第3の処理手段は、
過去に第1の処理手段が正常に作動していると判定した際における、前記第1の処理手段に入力された入力値と該入力値に基づいて前記第1の処理手段により算出された指令値とを対応づけて記憶しており、
前記指令値と前記判定基準が不一致であると判定したときには、前記過去に第1の処理手段が正常に作動していると判定した際における入力値を前記第1の処理手段に送信して指令値を再度算出させ、該入力値に応じて前記第1の処理手段が算出した指令値が前記過去に第1の処理手段が正常に作動していると判定した際における指令値と一致した場合には、前記第1の処理手段ではなく前記第2の処理手段が異常状態にあると判定することを特徴とする、
制御装置。
【請求項2】
入力値に基づいて制御対象への指令値を算出する第1の処理手段と、
前記入力値に基づいて、前記第1の処理手段が正常に作動しているか否かを判定するための判定基準を出力する第2の処理手段と、
前記第1の処理手段により算出された指令値と前記第2の処理手段により出力された判定基準の一致程度に基づいて、前記第1の処理手段が正常に作動しているか否かを判定する第3の処理手段と、を備える制御装置であって、
前記第3の処理手段は、
過去に第1の処理手段が正常に作動していると判定した際における、前記第1の処理手段に入力された入力値と該入力値に基づいて前記第2の処理手段により出力された判定基準とを対応づけて記憶しており、
前記指令値と前記判定基準が不一致であると判定したときには、前記過去に第1の処理手段が正常に作動していると判定した際における入力値を前記第2の処理手段に送信して判定基準を再度出力させ、該入力値に応じて前記第2の処理手段が出力した判定基準が前記過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、前記第1の処理手段ではなく前記第2の処理手段が異常状態にあると判定することを特徴とする、
制御装置。
【請求項3】
入力値に基づいて制御対象への指令値を算出する第1の処理手段と、
前記入力値に基づいて、前記第1の処理手段が正常に作動しているか否かを判定するための判定基準を出力する第2の処理手段と、
前記第1の処理手段により算出された指令値と前記第2の処理手段により出力された判定基準の一致程度に基づいて、前記第1の処理手段が正常に作動しているか否かを判定する第3の処理手段と、を備える制御装置であって、
前記第3の処理手段は、
過去に第1の処理手段が正常に作動していると判定した際における、前記第1の処理手段に入力された入力値と、該入力値に基づいて前記第1の処理手段により算出された指令値及び前記第2の処理手段により出力された判定基準とを対応づけて記憶しており、
前記指令値と前記判定基準が不一致であると判定したときには、前記過去に第1の処理手段が正常に作動していると判定した際における入力値を前記第1の処理手段及び前記第2の処理手段に送信して、指令値を再度算出させると共に及び判定基準値を再度出力させ、
該入力値に応じて前記第1の処理手段が算出した指令値が前記過去に第1の処理手段が正常に作動していると判定した際における指令値と一致した場合、及び該入力値に応じて前記第2の処理手段が出力した判定基準が前記過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、前記第1の処理手段ではなく前記第2の処理手段が異常状態にあると判定し、
該入力値に応じて前記第1の処理手段が算出した指令値が前記過去に第1の処理手段が正常に作動していると判定した際における指令値と一致せず、且つ該入力値に応じて前記第2の処理手段が出力した判定基準が前記過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、前記第1の処理手段と前記第2の処理手段の双方が異常状態にあると判定することを特徴とする、
制御装置。
【請求項1】
入力値に基づいて制御対象への指令値を算出する第1の処理手段と、
前記入力値に基づいて、前記第1の処理手段が正常に作動しているか否かを判定するための判定基準を出力する第2の処理手段と、
前記第1の処理手段により算出された指令値と前記第2の処理手段により出力された判定基準の一致程度に基づいて、前記第1の処理手段が正常に作動しているか否かを判定する第3の処理手段と、を備える制御装置であって、
前記第3の処理手段は、
過去に第1の処理手段が正常に作動していると判定した際における、前記第1の処理手段に入力された入力値と該入力値に基づいて前記第1の処理手段により算出された指令値とを対応づけて記憶しており、
前記指令値と前記判定基準が不一致であると判定したときには、前記過去に第1の処理手段が正常に作動していると判定した際における入力値を前記第1の処理手段に送信して指令値を再度算出させ、該入力値に応じて前記第1の処理手段が算出した指令値が前記過去に第1の処理手段が正常に作動していると判定した際における指令値と一致した場合には、前記第1の処理手段ではなく前記第2の処理手段が異常状態にあると判定することを特徴とする、
制御装置。
【請求項2】
入力値に基づいて制御対象への指令値を算出する第1の処理手段と、
前記入力値に基づいて、前記第1の処理手段が正常に作動しているか否かを判定するための判定基準を出力する第2の処理手段と、
前記第1の処理手段により算出された指令値と前記第2の処理手段により出力された判定基準の一致程度に基づいて、前記第1の処理手段が正常に作動しているか否かを判定する第3の処理手段と、を備える制御装置であって、
前記第3の処理手段は、
過去に第1の処理手段が正常に作動していると判定した際における、前記第1の処理手段に入力された入力値と該入力値に基づいて前記第2の処理手段により出力された判定基準とを対応づけて記憶しており、
前記指令値と前記判定基準が不一致であると判定したときには、前記過去に第1の処理手段が正常に作動していると判定した際における入力値を前記第2の処理手段に送信して判定基準を再度出力させ、該入力値に応じて前記第2の処理手段が出力した判定基準が前記過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、前記第1の処理手段ではなく前記第2の処理手段が異常状態にあると判定することを特徴とする、
制御装置。
【請求項3】
入力値に基づいて制御対象への指令値を算出する第1の処理手段と、
前記入力値に基づいて、前記第1の処理手段が正常に作動しているか否かを判定するための判定基準を出力する第2の処理手段と、
前記第1の処理手段により算出された指令値と前記第2の処理手段により出力された判定基準の一致程度に基づいて、前記第1の処理手段が正常に作動しているか否かを判定する第3の処理手段と、を備える制御装置であって、
前記第3の処理手段は、
過去に第1の処理手段が正常に作動していると判定した際における、前記第1の処理手段に入力された入力値と、該入力値に基づいて前記第1の処理手段により算出された指令値及び前記第2の処理手段により出力された判定基準とを対応づけて記憶しており、
前記指令値と前記判定基準が不一致であると判定したときには、前記過去に第1の処理手段が正常に作動していると判定した際における入力値を前記第1の処理手段及び前記第2の処理手段に送信して、指令値を再度算出させると共に及び判定基準値を再度出力させ、
該入力値に応じて前記第1の処理手段が算出した指令値が前記過去に第1の処理手段が正常に作動していると判定した際における指令値と一致した場合、及び該入力値に応じて前記第2の処理手段が出力した判定基準が前記過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、前記第1の処理手段ではなく前記第2の処理手段が異常状態にあると判定し、
該入力値に応じて前記第1の処理手段が算出した指令値が前記過去に第1の処理手段が正常に作動していると判定した際における指令値と一致せず、且つ該入力値に応じて前記第2の処理手段が出力した判定基準が前記過去に第1の処理手段が正常に作動していると判定した際における判定基準と一致しない場合には、前記第1の処理手段と前記第2の処理手段の双方が異常状態にあると判定することを特徴とする、
制御装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2011−191876(P2011−191876A)
【公開日】平成23年9月29日(2011.9.29)
【国際特許分類】
【出願番号】特願2010−55842(P2010−55842)
【出願日】平成22年3月12日(2010.3.12)
【出願人】(000003207)トヨタ自動車株式会社 (59,920)
【Fターム(参考)】
【公開日】平成23年9月29日(2011.9.29)
【国際特許分類】
【出願日】平成22年3月12日(2010.3.12)
【出願人】(000003207)トヨタ自動車株式会社 (59,920)
【Fターム(参考)】
[ Back to top ]