駆動ユニットの制御装置及び制御方法
【課題】車両の駆動ユニットの制御を単一の制御部上で、互いに独立した2つのプログラムを併行して実行する場合のエラー検出の信頼性向上を図った制御装置等を提供する。
【解決手段】車両駆動ユニットの制御装置1は、車両の駆動ユニットのエラーを検出する第1のレベルモジュール20と、第1のレベルモジュール20とは独立且つ併行して駆動ユニットのエラーを検出する第2のレベルモジュール30とを実行する制御部10を備えた車両駆動ユニットの制御装置1において、第2のレベルモジュール30は、第1のレベルモジュール20のエラー検出をモニタリングする機能を有し、第1のレベルモジュール20が駆動ユニットのエラーを所定時間以上継続して検出するとき、駆動ユニットを停止制御する。
【解決手段】車両駆動ユニットの制御装置1は、車両の駆動ユニットのエラーを検出する第1のレベルモジュール20と、第1のレベルモジュール20とは独立且つ併行して駆動ユニットのエラーを検出する第2のレベルモジュール30とを実行する制御部10を備えた車両駆動ユニットの制御装置1において、第2のレベルモジュール30は、第1のレベルモジュール20のエラー検出をモニタリングする機能を有し、第1のレベルモジュール20が駆動ユニットのエラーを所定時間以上継続して検出するとき、駆動ユニットを停止制御する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両の駆動ユニットの制御装置及び制御方法に関する。
【背景技術】
【0002】
車両の駆動ユニットの制御装置及び制御方法に関し、特に、駆動ユニットの故障時のエラー検出に関する先行技術として、例えば、出力制御のために、制御機能およびモニタリング機能を実行するためのただ1つの計算要素(マイクロコンピュータ)のみが設けられ、マイクロコンピュータ内に相互に独立の少なくとも2つのレベルが設けられ、ここで第1のレベルは制御機能を実行し、第2のレベルはモニタリング機能を実行する公報開示の技術がある(特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特表平10−507805号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
信頼性向上のために、車両の駆動ユニットのエラー検出を単一の制御部上で、互いに独立した2つのプログラム(第1のプログラムと第2のプログラム)を併行して実行することがある。この場合、2つのプログラムで異なるパラメータを用いることもある。例えば、第1のプログラムが主となるプログラムとしてエラー検出を担当し、ECU(エンジン・コントロール・ユニット)の故障などで第1のプログラムでエラー検出を確定できない場合に、従となる第2のプログラムがエラー検出する。このとき、主となる第1のプログラムの計算サイクルが短くなるように、閾値やエラー検出サイクルに関して第1のプログラムと第2のプログラムとで異なるパラメータが設定される。
【0005】
第1のプログラムが主となり第2のプログラムが従となって独立して併行してエラー検出を行うと共に、第2のプログラムが第1のプログラムによるエラー検出をモニタリングする構成も考えられる。例えば、主となる第1のプログラムが短い計算サイクルでエラー検出を実行し、従となる第2のプログラムがより長い計算サイクルでエラー検出を実行するとともにモニタリングも実行する構成である。
【0006】
しかし、かかる構成では、第1のプログラムと第2のプログラムとの間で判断に乖離が生じることがある。例えば、計算サイクルが短い第1のプログラムでは、最新の状態情報に基づいてエラーを検出しているが、計算サイクルが長い第2のプログラムでは、第1のプログラムで使用する状態情報よりも古い状態情報に基づいて処理を行うので、エラーを検出していないという状態が生じる。かかる場合に、第1のプログラムが正常であった前回の状態情報を保持する等のエラー回避動作を実行するが、第2のプログラムはエラーを検出しない状態のままであり、両者の間で判断に乖離が生じる。この結果、第1のプログラムによるエラー検出後の回避動作に対して、第2のプログラムのモニタリング機能が働いて、第1のプログラムによる回避動作が制限される事態、或いは、第1のプログラムによるエラー回避動作が正常ではないと判断される事態が生じる。
【0007】
かかる事態を回避する方法として、例えば、第1のプログラムによる計算サイクルと第2のプログラムによるモニタリングサイクルとに差を設け、後者を前者より充分に長く設定する方法があり、これによりかかる事態を容易に回避できる。しかし、他の安全上の制限により、サイクルタイムの変更は、実施が困難である。更に、サイクルタイムの設定を車両ごとに設定するという回避方法も考えられるが、現実的でない。
【0008】
他の回避方法として、例えば、第1のプログラムと第2のプログラムとの間で状態情報を強制的に一致させる方法も考えられる。しかし、例えば、検出時間カウンタが不良の場合等、不良の状態情報に基づいて第1のプログラムのエラー検出処理に不良が生じた場合、第1のプログラムと第2のプログラムとで状態情報を一致させるので、第2のプログラム側もエラーを確定できない。
【0009】
本発明は、車両の駆動ユニットの制御を単一の制御部上で、互いに独立した2つのプログラムを併行して実行する場合のエラー検出の信頼性向上を図った制御装置等の提供を目的とする。
【0010】
また、第2のプログラムのモニタリングによって第1のプログラムの故障等が検知されると、その故障の程度に応じてリアクション動作が決定される。例えばインジェクタへの通電停止が必要な重故障と診断されると、通電を停止する。その後にドライバがイグニションをオフするとき、故障した第1のプログラムを実行した制御部が停止手順を実行することで停止不能等の状態に陥ることが考えられる。これを回避するため、イグニション・オフの操作に応じてメインリレーの電源を遮断して制御部を完全に緊急停止させることがある。
【0011】
しかし、かかる緊急停止の事態では制御部の停止前の状態情報をEEPROM等の一時退避手段に退避させることができないため、その後にドライバがイグニションをオンするとき、メインリレーの停止異常が検知される。
【0012】
本発明はまた、第1のプログラムの重故障を検出した第2のプログラムによって実行された重故障における緊急停止動作が、その後の復帰動作において信頼性のある制御装置等の提供を目的とする。
【課題を解決するための手段】
【0013】
上記課題を解決するために、本発明にかかる車両駆動ユニットの制御装置は、車両の駆動ユニットのエラーを検出する第1のモジュールと、第1のモジュールとは独立且つ併行して駆動ユニットのエラーを検出する第2のモジュールとを実行する制御手段を備えた車両駆動ユニットの制御装置において、第2のモジュールは、第1のモジュールのエラー検出をモニタリングする機能を有し、第1のモジュールが駆動ユニットのエラーを所定時間以上継続して検出するとき、駆動ユニットを停止制御する。
【0014】
また、第1のモジュールは、駆動ユニットのエラーを検出したとき、エラーステータスと駆動ユニットの状態情報とを生成し、生成されたエラーステータスと状態情報とに基づいて、第2のモジュールは第1のモジュールによるエラー検出の継続時間を判断し、駆動ユニットを停止制御する。
【0015】
更に、第2のモジュールは、生成されたエラーステータスの継続時間を計測して第1のモジュールによるエラー検出の継続時間を判断する。
【0016】
更にまた、制御手段を監視する監視手段と、停止時の状態情報を記憶する不揮発メモリとを更に有し、駆動ユニットへの通電停止が必要な重故障が制御手段に生じたとき、監視手段は、駆動ユニットへ電力を供給するメインリレーを緊急停止する。
【0017】
上記課題を解決するために、本発明にかかる車両駆動ユニットの制御方法は、車両の駆動ユニットのエラーを検出する第1のモジュールによる第1のエラー検出工程と、第1のエラー検出工程とは独立且つ併行して、駆動ユニットのエラーを検出する第2のモジュールによる第2のエラー検出工程と、第1のエラー検出工程で駆動ユニットのエラーが検出されるとき、第1のモジュールがエラーステータスと駆動ユニットの状態情報とを生成する工程と、生成されたエラーステータスに基づいて、第1のモジュールによるエラー検出の継続時間を第2のモジュールが計測する工程と、計測された継続時間が所定時間を超えるとき、第1のモジュールが駆動ユニットを停止制御する工程とを有する。
【0018】
また、計測された継続時間が所定時間を超えないとき、駆動ユニットへの通電停止が必要な重故障を第2のモジュールが検出する工程と、重故障が検出されたとき、駆動ユニットへ電力を供給するメインリレーを第2のモジュールが緊急停止する工程とを有する。
【0019】
更に、メインリレーを緊急停止する工程は、緊急停止の処理が正常に終了した旨を不揮発メモリに記録する工程を含む。
【発明の効果】
【0020】
上記構成によれば、第1のモジュールが駆動ユニットのエラーを所定時間以上継続して検出するとき、第2のモジュールは駆動ユニットを停止制御するので、エラー検出の信頼性向上を図った制御装置等を提供できる。
【0021】
また、駆動ユニットへの通電停止が必要な重故障が生じたとき、監視手段は駆動ユニットへ電力を供給するメインリレーを緊急停止し、不揮発メモリは停止時の状態情報を記憶するので、重故障における停止動作が、その後の復帰動作において信頼性のある制御装置等を提供できる。
【図面の簡単な説明】
【0022】
【図1】本実施形態における制御装置全体のブロック図を示す。
【図2】図1に開示された制御装置で実行される制御方法のフローチャートである。
【図3】図2の重故障時の緊急停止制御工程の詳細を示すフローチャートである。
【発明を実施するための形態】
【0023】
(制御装置の構成)
図1は、車両の駆動ユニット(電子制御のエンジン)の制御装置1全体のブロック図を示す。
制御装置1は、出力制御やエラー検出を実行する制御手段の一例としての制御部10と、制御部10を監視する監視手段の一例としての監視部70とを有する。また、制御装置1は、ライン72を介して監視部70が接続する出力段回路80を有する。出力段回路80は、ライン82を介して制御装置1の外部の絞り弁設定要素120などの外部ユニットに接続している。出力段回路80は、切替モジュール46からの出力を受けて、インジェクタ(図示省略)への通電信号を生成する。更に、制御装置1は、停止時の状態情報を記憶する、不揮発メモリの一例としてのEEPROM90に接続している。
【0024】
(制御部)
制御部10は、アクセルペダル等のドライバによる操作(ペダル位置)を測定する測定装置(位置センサ)102を制御装置1に入力する入力ライン110に接続される。また、制御部10は、エンジン温度やエンジン負荷、エンジンの回転速度104やタイヤの回転速度106等の測定値を制御装置1に入力するバス系統の入力ライン112に接続される。
【0025】
更に、制御部10は、測定装置124で測定される空気供給量(電気操作式絞り弁の位置)が入力される入力ライン126に接続されて構成される。入力ライン110,112,126はそれぞれ、互いに独立した2つの入力ポート21a〜21c,31a〜31cから制御部10に入力される。2つの入力ポート21a〜21c,31a〜31cはそれぞれ、後述する第1のレベルモジュール20及び第2のレベルモジュール30への入力ポートとなっている。
【0026】
制御部10は、インジェクタ(不図示)の点火時期制御を行う出力ライン22a,32a、燃料供給制御を行う出力ライン22b,32b、空気供給制御を行う出力ライン22c,32cに接続されて構成される。図1では、これら制御用の3つの出力ラインを1本にまとめてそれぞれ出力ライン22,32と表示する。
制御部10は、ライン56を介して監視部70に接続している。
【0027】
制御部10は、例えばマイクロコンピュータ(CPU)で構成される。
制御部10は、出力制御モジュール20aとエラー検出モジュール20bとを実行する第1のレベルモジュール20と、第1のレベルモジュール20に対して独立し且つ併行して出力制御モジュール30aとエラー検出モジュール30bとを実行する第2のレベルモジュール30とを有する。第2のレベルモジュール30は、第1のレベルモジュール20をモニタリングするモニタリングモジュール30cも実行する。
【0028】
制御部10は、第1のレベルモジュール20の出力及び第2のレベルモジュール30の出力を受けて、いずれか一方の値を出力する選択モジュール40を有する。本実施形態の要求トルク計算の場合、選択モジュール40は、第1のレベルモジュール20の出力(計算された要求トルク)及び第2のレベルモジュール30の出力(計算された要求トルク)のうちいずれか低い方の値を出力する。
【0029】
また、制御部10は、外部からフィードバックされた測定値を第2のレベルモジュール30の出力と比較する比較モジュール42を有する。本実施形態の要求トルク計算の場合、比較モジュール42は、例えばインジェクタ(不図示)への通電時間から実トルク計算モジュール48(後述)において計算される実効トルクを、第2のレベルモジュール30が出力する要求トルクの計算値と比較する。
【0030】
更に、制御部10は、選択モジュール40の出力及び比較モジュール42の出力のいずれか一方を出力する切替モジュール46を有する。切替モジュール46は、例えば異常発生時に出力段回路80を介してインジェクタ(不図示)への通電を停止する。
更にまた、制御部10は、出力段回路80が生成する通電信号(通電時間)に基づいて実効トルクを計算する実トルク計算モジュール48を有する。
【0031】
(監視部)
監視部70は、例えばマイクロコンピュータ(CPU)で構成される。監視部70は、ライン56を介して入力される比較モジュール42の出力に基づいて、制御部10の制御プログラムの状態を監視する。
また、監視部70は、ライン72を介して出力段回路80に接続している。監視部70は、重故障(後述)発生時の最終的な停止手段として機能する。監視部70は、必要に応じてライン72を介して制御部10をリセットし、出力段回路80から外部への信号の出力を停止する。
【0032】
以上の構成を有する制御装置1の機能を以下に説明する。
制御部10内では、第1のレベルモジュール20及び第2のレベルモジュール30が、駆動ユニットの出力制御やエラー検出を実行する制御プログラムを併行して実行している。第1のレベルモジュール20が主となって制御プログラムを実行する。具体的には、例えば10msecの計算サイクルで駆動ユニットを制御する制御プログラムを実行する。
【0033】
これに対して、第2のレベルモジュール30は、従となって制御プログラムを実行すると共に、第1のレベルモジュール20のエラー検出のモニタリングを行う。制御部10内の計算負荷軽減を目的として、第2のレベルモジュール30の計算サイクルは、第1のレベルモジュール20の計算サイクルよりも低く設定される。具体的には、例えば40msecである。
【0034】
駆動ユニットの出力制御は、具体的には、点火時期制御、燃料供給制御、空気供給制御である。例えば、アクセルペダルの位置センサ102によって測定されたペダル位置が入力ライン110、入力ポート21a、31aを介して入力される。測定装置104によって測定されたエンジン温度やエンジン負荷、エンジン回転速度等の測定値が入力ライン112、入力ポート21b、31bを介して入力される。或いは、測定装置124によって測定された電子操作式絞り弁の位置(空気供給量)が入力ライン126、入力ポート21c、31cを介して入力される。
【0035】
これらの測定値に基づいて、調節すべき点火時期及び供給すべき燃料供給量が決定され、出力ライン22a,32a及び22b,32bを介して出力される。また、空気供給量の目標値(絞り弁の位置の目標値)が決定されて、出力ライン22c,32cを介して出力され、駆動ユニットの空気供給制御が実行される。
【0036】
駆動ユニットのエラー検出は、具体的には、装置の出力値を入力値と比較して偏差がある場合にエラーを検出する。例えば、アクセルペダルの位置センサ102によって測定されたペダル位置と、対応する空気供給量や燃料供給量、エンジン負荷との間に偏差がある場合、エラーが検出される。或いは、空気供給量の目標値(絞り弁の位置の目標値)と、測定装置124から入力ライン126を介して供給される絞り弁の実際の位置との間に偏差がある場合、エラーが検出される。更に、アクセルペダルの位置センサ102の出力に基づいてエラーが検出される。
【0037】
(エラー検出のモニタリング)
第2のレベルモジュール30は、第1のレベルモジュール20によるエラー検出をモニタリングしている。具体的には、第1のレベルモジュール20と第2のレベルモジュール30とが互いに独立して併行してエラー検出を実行し、第1のレベルモジュール20のエラー検出結果が正常であるかを第2のレベルモジュール30のモニタリングモジュール30cが監視している。
【0038】
ECUの故障等で第1のレベルモジュール20がエラー検出できない場合に第2のレベルモジュール30がエラー検出できるよう、パラメータが設定される。具体的には、第1のレベルモジュール20は、第2のレベルモジュール30に比して、閾値や診断時間が小さい値に設定される。
【0039】
第1のレベルモジュール20がエラー検出すると、第1のレベルモジュール20のエラー検出モジュール20bは、エラーステータスと、状態情報の一例としてのアクセル開度とを生成し、第2のレベルモジュール30のモニタリングモジュール30cに送る。エラーステータスとアクセル開度とを受けて、第2のレベルモジュール30は、アクセル開度が第1のレベルモジュール20と同一になる。従って、通常は、エラー検出の結果に乖離が生じることがない。
【0040】
かかる構成で、例えば検出時間カウンタの不良等の理由により第1のレベルモジュール20でエラー検出を確定できない場合、同一のアクセル開度を有する第2のレベルモジュール30でもエラーを検出できない事態が生じる。このような事態の発生を未然に回避するために、第1のレベルモジュール20がエラー検出して第2のレベルモジュール30に送るエラーステータスが、第2のレベルモジュール30において所定時間以上継続して検出されるとき、第2のレベルモジュール30はエラーを検出する構成としている。所定時間は、例えば500msecである。
【0041】
以上の構成を有する駆動ユニットの制御装置1における制御方法を、アクセル診断を例にして以下に説明する。
図2は、図1に開示された制御装置1で実行される制御方法のフローチャートである。
【0042】
定常状態において、アクセルペダルの位置センサ102が測定したペダル位置情報は、入力ライン110、入力ポート21a,31aを介して第1のレベルモジュール20及び第2のレベルモジュール30に互いに独立に送られる。本実施形態におけるアクセル診断では、アクセルペダルには互いに独立した2つの位置センサ102(図1)が、互いに独立した2つのペダル位置情報APP1,APP2を出力し、ペダル位置情報APP1,APP2はそれぞれ第1のレベルモジュール20及び第2のレベルモジュール30に送られる。
【0043】
入力ライン110,112等を介して入力される各種の測定値に基づいて、第1のレベルモジュール20は、駆動ユニットの出力制御を実行し(ステップ101)、エラー検出を実行する(ステップ102)。アクセル診断では、入力ライン110、入力ポート21aを介して入力されたペダル位置情報APP1と、入力ライン112,126、入力ポート21b,21cを介して入力された空気供給量や燃料供給量、エンジン負荷との間の偏差に基づいて、駆動ユニットの出力制御を実行し、2つのペダル位置情報APP1,APP2間で相互診断して、エラー検出を実行する。具体的には、例えば、2つのペダル位置情報APP1,APP2に乖離があった場合にエラーがあると判断する。
エラーを検出しないとき(ステップ103:N)、第1のレベルモジュール20は出力制御工程(ステップ101)へ戻る。
【0044】
これに対して、第1のレベルモジュール20がエラーを検出するとき(ステップ103:Y)、第1のレベルモジュール20は、エラーステータスと、状態情報の一例としてのアクセル開度とを生成する(ステップ104)。生成されたエラーステータスとアクセル開度とは、第2のレベルモジュール30に対して割り込み送信される。
【0045】
続いて、第1のレベルモジュール20は、エラーの検出結果を確定させる(ステップ105)。具体的には、第1のレベルモジュール20は、エラーステータスの生成を停止する。そして、アクセル開度に基づいて、第1のレベルモジュール20におけるアクセルペダルのペダル位置情報APP1,APP2の相互診断ロジックが故障しているとして扱い、通常の停止制御工程(ステップ106)へ移行する。
【0046】
通常の停止制御工程(ステップ106)では、第1のレベルモジュール20がメインリレーの診断やエラー情報の退避等を含む通常の停止工程を一括して行い、第1のレベルモジュール20が選択モジュール40に対して停止信号を出力し、切替モジュール46と出力段回路80とを介してインジェクタ(不図示)への通電を停止し、正常に終了した旨を示すフラグをEEPROM90へ書き込み、停止する。
【0047】
一方、第2のレベルモジュール30においても同様に、第1のレベルモジュール20による出力制御工程(ステップ101)及びエラー検出工程(ステップ102)の実行と併行して、ペダル位置情報APP1と、空気供給量や燃料供給量、エンジン負荷との間の偏差に基づいた駆動ユニットの出力制御工程(ステップ201)、2つのペダル位置情報APP1,APP2間の相互診断によるエラー検出工程(ステップ202)を実行する。
【0048】
第1のレベルモジュール20によるエラーステータスとアクセル開度の生成(ステップ104)に基づく割込みがない限り(ステップ204:N)、第2のレベルモジュール30は、出力制御工程(ステップ201)及びエラー検出工程(ステップ202)を繰り返し実行する。このとき、従となる第2のレベルモジュール30の実行サイクルは、主となる第1のレベルモジュール20の計算サイクルよりも、長く設定される。
【0049】
これに対して、第1のレベルモジュール20によるエラーステータスとアクセル開度の生成(ステップ104)に基づく割込みがある場合(ステップ204:Y)、生成されたエラーステータスに基づいて、第2のレベルモジュール30は、第1のレベルモジュール20によるエラー検出の継続時間を計測する(ステップ205)。
【0050】
計測した継続時間が所定時間を超えるとき(ステップ206:Y)、インジェクタへの通電の緊急停止が必要なECUの重故障であるとして扱われ、重故障時の緊急停止制御工程(ステップ208)へ移行する。重故障時の緊急停止制御工程の詳細は、別途記載する。
【0051】
これに対して、継続時間が所定時間を経過していないとき(ステップ206:N)、ステップ202にて第2のレベルモジュール30が実行した2つのペダル位置情報APP1,APP2間の相互診断によるエラー検出の結果を流用する。即ち、ペダル位置情報APP1と、空気供給量や燃料供給量、エンジン負荷との間の偏差に基づいて実行されたエラー検出の結果、エラーが検出されないときは(ステップ207:N)、第1のレベルモジュール20による未確定のエラー検出結果だけに基づいて、ECUの故障と扱うことはせず、ECUの故障はないものとして扱う。そして、エラー検出の継続時間計測工程(ステップ205)へ戻る。
【0052】
一方、エラーが検出されるとき(ステップ207:Y)、第2のレベルモジュール30は、インジェクタ(不図示)への通電を止める等の重故障時の緊急停止制御工程(ステップ208)を実行する。その後、完全停止する(ステップ209)。
【0053】
尚、上記したエラー検出の継続時間を計測する工程(ステップ205)は、第1のレベルモジュール20によってエラーステータスが生成される時間を計測する方法、即ち、第1のレベルモジュール20が最初にエラーステータスを生成した時間からの経過時間を計測する方法でも良いし、計算サイクル毎に第1のレベルモジュール20が生成するエラーステータスの生成回数を計測する方法でも良い。
【0054】
(重故障時の緊急停止制御工程)
次に、比較モジュール42で実行されるECUの重故障時の緊急停止制御工程(ステップ208)を、図3を用いて説明する。
図3は、図2の重故障時の緊急停止制御工程の詳細を示すフローチャートである。
【0055】
ステップ205で計測した継続時間が所定時間を越えるとき(ステップ206:Y)、或いは、相互診断の結果エラーがあると判断されたとき(ステップ207:Y)、イグニション(不図示)がオン状態であるか否かが判断される(ステップ301)。
イグニションがオン状態でないとき(ステップ301:N)、第2のレベルモジュール30は比較モジュール42に対して停止信号を出力し、比較モジュール42は監視部70に対して緊急停止信号を出力し、監視部70はメインリレー130への給電を遮断する(ステップ302)。そして、後述する書き込み工程へ移行する(ステップ303)。
【0056】
これに対して、イグニションがオン状態であるとき(ステップ301:Y)、書き込み工程へ移行する(ステップ303)。
【0057】
書き込み工程(ステップ303)では、重故障時の緊急停止制御工程がすべて終了したことを示すフラグを、第2のレベルモジュール30がEEPROM90に書き込む。そして、重故障時の緊急停止制御工程のサブルーチンを終了して、図2に示す本来のフローチャートに戻る。
【0058】
図2及び3に示すフローチャートに従えば、第1のレベルモジュール20においてエラーが確定すれば(ステップ105)、第2のレベルモジュール30よりも計算サイクルが短い第1のレベルモジュール20が通常の停止制御(ステップ106)を実行する。
しかし、なんらかの理由により、通常の停止制御が実行されず所定時間が経過したとき(ステップ206:Y)や相互診断の結果エラーがあると判断されたとき(ステップ207:Y)、第2のレベルモジュール30が緊急停止制御を実行する(ステップ208)。
【0059】
第1のレベルモジュール20と第2のレベルモジュール30とを実行する制御部10を備えた制御装置1において、第2のレベルモジュール30は第1のレベルモジュール20のエラー検出をモニタリングし、第1のレベルモジュール20が駆動ユニットのエラーを所定時間以上継続して検出するとき、第2のレベルモジュール30は駆動ユニットを緊急停止制御するので、制御装置1におけるエラー検出の信頼性向上を図ることが可能となる。
【0060】
また、第1のレベルモジュール20によって生成されたエラーステータスと状態情報とに基づいて、第2のレベルモジュール30は第1のレベルモジュール20によるエラー検出の継続時間を判断し、生成されたエラーステータスの継続時間を計測し、計測された継続時間が所定時間を超えるとき駆動ユニットを緊急停止制御するので、より信頼性の高い停止制御が可能となる。
【0061】
更にまた、制御部10を監視する監視部70と、停止時の状態情報を記憶するEEPROM90とを更に有し、駆動ユニットへの通電停止が必要な重故障が制御部10に生じたとき、監視部70は、駆動ユニットへ電力を供給するメインリレー130を緊急停止し、EEPROM90は停止時の状態情報を記憶するので、重故障における緊急停止動作が、その後の復帰動作を信頼性のあるものとできる。
【符号の説明】
【0062】
1…制御装置、10…制御部、20…第1のレベルモジュール、30…第2のレベルモジュール、130…メインリレー
【技術分野】
【0001】
本発明は、車両の駆動ユニットの制御装置及び制御方法に関する。
【背景技術】
【0002】
車両の駆動ユニットの制御装置及び制御方法に関し、特に、駆動ユニットの故障時のエラー検出に関する先行技術として、例えば、出力制御のために、制御機能およびモニタリング機能を実行するためのただ1つの計算要素(マイクロコンピュータ)のみが設けられ、マイクロコンピュータ内に相互に独立の少なくとも2つのレベルが設けられ、ここで第1のレベルは制御機能を実行し、第2のレベルはモニタリング機能を実行する公報開示の技術がある(特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特表平10−507805号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
信頼性向上のために、車両の駆動ユニットのエラー検出を単一の制御部上で、互いに独立した2つのプログラム(第1のプログラムと第2のプログラム)を併行して実行することがある。この場合、2つのプログラムで異なるパラメータを用いることもある。例えば、第1のプログラムが主となるプログラムとしてエラー検出を担当し、ECU(エンジン・コントロール・ユニット)の故障などで第1のプログラムでエラー検出を確定できない場合に、従となる第2のプログラムがエラー検出する。このとき、主となる第1のプログラムの計算サイクルが短くなるように、閾値やエラー検出サイクルに関して第1のプログラムと第2のプログラムとで異なるパラメータが設定される。
【0005】
第1のプログラムが主となり第2のプログラムが従となって独立して併行してエラー検出を行うと共に、第2のプログラムが第1のプログラムによるエラー検出をモニタリングする構成も考えられる。例えば、主となる第1のプログラムが短い計算サイクルでエラー検出を実行し、従となる第2のプログラムがより長い計算サイクルでエラー検出を実行するとともにモニタリングも実行する構成である。
【0006】
しかし、かかる構成では、第1のプログラムと第2のプログラムとの間で判断に乖離が生じることがある。例えば、計算サイクルが短い第1のプログラムでは、最新の状態情報に基づいてエラーを検出しているが、計算サイクルが長い第2のプログラムでは、第1のプログラムで使用する状態情報よりも古い状態情報に基づいて処理を行うので、エラーを検出していないという状態が生じる。かかる場合に、第1のプログラムが正常であった前回の状態情報を保持する等のエラー回避動作を実行するが、第2のプログラムはエラーを検出しない状態のままであり、両者の間で判断に乖離が生じる。この結果、第1のプログラムによるエラー検出後の回避動作に対して、第2のプログラムのモニタリング機能が働いて、第1のプログラムによる回避動作が制限される事態、或いは、第1のプログラムによるエラー回避動作が正常ではないと判断される事態が生じる。
【0007】
かかる事態を回避する方法として、例えば、第1のプログラムによる計算サイクルと第2のプログラムによるモニタリングサイクルとに差を設け、後者を前者より充分に長く設定する方法があり、これによりかかる事態を容易に回避できる。しかし、他の安全上の制限により、サイクルタイムの変更は、実施が困難である。更に、サイクルタイムの設定を車両ごとに設定するという回避方法も考えられるが、現実的でない。
【0008】
他の回避方法として、例えば、第1のプログラムと第2のプログラムとの間で状態情報を強制的に一致させる方法も考えられる。しかし、例えば、検出時間カウンタが不良の場合等、不良の状態情報に基づいて第1のプログラムのエラー検出処理に不良が生じた場合、第1のプログラムと第2のプログラムとで状態情報を一致させるので、第2のプログラム側もエラーを確定できない。
【0009】
本発明は、車両の駆動ユニットの制御を単一の制御部上で、互いに独立した2つのプログラムを併行して実行する場合のエラー検出の信頼性向上を図った制御装置等の提供を目的とする。
【0010】
また、第2のプログラムのモニタリングによって第1のプログラムの故障等が検知されると、その故障の程度に応じてリアクション動作が決定される。例えばインジェクタへの通電停止が必要な重故障と診断されると、通電を停止する。その後にドライバがイグニションをオフするとき、故障した第1のプログラムを実行した制御部が停止手順を実行することで停止不能等の状態に陥ることが考えられる。これを回避するため、イグニション・オフの操作に応じてメインリレーの電源を遮断して制御部を完全に緊急停止させることがある。
【0011】
しかし、かかる緊急停止の事態では制御部の停止前の状態情報をEEPROM等の一時退避手段に退避させることができないため、その後にドライバがイグニションをオンするとき、メインリレーの停止異常が検知される。
【0012】
本発明はまた、第1のプログラムの重故障を検出した第2のプログラムによって実行された重故障における緊急停止動作が、その後の復帰動作において信頼性のある制御装置等の提供を目的とする。
【課題を解決するための手段】
【0013】
上記課題を解決するために、本発明にかかる車両駆動ユニットの制御装置は、車両の駆動ユニットのエラーを検出する第1のモジュールと、第1のモジュールとは独立且つ併行して駆動ユニットのエラーを検出する第2のモジュールとを実行する制御手段を備えた車両駆動ユニットの制御装置において、第2のモジュールは、第1のモジュールのエラー検出をモニタリングする機能を有し、第1のモジュールが駆動ユニットのエラーを所定時間以上継続して検出するとき、駆動ユニットを停止制御する。
【0014】
また、第1のモジュールは、駆動ユニットのエラーを検出したとき、エラーステータスと駆動ユニットの状態情報とを生成し、生成されたエラーステータスと状態情報とに基づいて、第2のモジュールは第1のモジュールによるエラー検出の継続時間を判断し、駆動ユニットを停止制御する。
【0015】
更に、第2のモジュールは、生成されたエラーステータスの継続時間を計測して第1のモジュールによるエラー検出の継続時間を判断する。
【0016】
更にまた、制御手段を監視する監視手段と、停止時の状態情報を記憶する不揮発メモリとを更に有し、駆動ユニットへの通電停止が必要な重故障が制御手段に生じたとき、監視手段は、駆動ユニットへ電力を供給するメインリレーを緊急停止する。
【0017】
上記課題を解決するために、本発明にかかる車両駆動ユニットの制御方法は、車両の駆動ユニットのエラーを検出する第1のモジュールによる第1のエラー検出工程と、第1のエラー検出工程とは独立且つ併行して、駆動ユニットのエラーを検出する第2のモジュールによる第2のエラー検出工程と、第1のエラー検出工程で駆動ユニットのエラーが検出されるとき、第1のモジュールがエラーステータスと駆動ユニットの状態情報とを生成する工程と、生成されたエラーステータスに基づいて、第1のモジュールによるエラー検出の継続時間を第2のモジュールが計測する工程と、計測された継続時間が所定時間を超えるとき、第1のモジュールが駆動ユニットを停止制御する工程とを有する。
【0018】
また、計測された継続時間が所定時間を超えないとき、駆動ユニットへの通電停止が必要な重故障を第2のモジュールが検出する工程と、重故障が検出されたとき、駆動ユニットへ電力を供給するメインリレーを第2のモジュールが緊急停止する工程とを有する。
【0019】
更に、メインリレーを緊急停止する工程は、緊急停止の処理が正常に終了した旨を不揮発メモリに記録する工程を含む。
【発明の効果】
【0020】
上記構成によれば、第1のモジュールが駆動ユニットのエラーを所定時間以上継続して検出するとき、第2のモジュールは駆動ユニットを停止制御するので、エラー検出の信頼性向上を図った制御装置等を提供できる。
【0021】
また、駆動ユニットへの通電停止が必要な重故障が生じたとき、監視手段は駆動ユニットへ電力を供給するメインリレーを緊急停止し、不揮発メモリは停止時の状態情報を記憶するので、重故障における停止動作が、その後の復帰動作において信頼性のある制御装置等を提供できる。
【図面の簡単な説明】
【0022】
【図1】本実施形態における制御装置全体のブロック図を示す。
【図2】図1に開示された制御装置で実行される制御方法のフローチャートである。
【図3】図2の重故障時の緊急停止制御工程の詳細を示すフローチャートである。
【発明を実施するための形態】
【0023】
(制御装置の構成)
図1は、車両の駆動ユニット(電子制御のエンジン)の制御装置1全体のブロック図を示す。
制御装置1は、出力制御やエラー検出を実行する制御手段の一例としての制御部10と、制御部10を監視する監視手段の一例としての監視部70とを有する。また、制御装置1は、ライン72を介して監視部70が接続する出力段回路80を有する。出力段回路80は、ライン82を介して制御装置1の外部の絞り弁設定要素120などの外部ユニットに接続している。出力段回路80は、切替モジュール46からの出力を受けて、インジェクタ(図示省略)への通電信号を生成する。更に、制御装置1は、停止時の状態情報を記憶する、不揮発メモリの一例としてのEEPROM90に接続している。
【0024】
(制御部)
制御部10は、アクセルペダル等のドライバによる操作(ペダル位置)を測定する測定装置(位置センサ)102を制御装置1に入力する入力ライン110に接続される。また、制御部10は、エンジン温度やエンジン負荷、エンジンの回転速度104やタイヤの回転速度106等の測定値を制御装置1に入力するバス系統の入力ライン112に接続される。
【0025】
更に、制御部10は、測定装置124で測定される空気供給量(電気操作式絞り弁の位置)が入力される入力ライン126に接続されて構成される。入力ライン110,112,126はそれぞれ、互いに独立した2つの入力ポート21a〜21c,31a〜31cから制御部10に入力される。2つの入力ポート21a〜21c,31a〜31cはそれぞれ、後述する第1のレベルモジュール20及び第2のレベルモジュール30への入力ポートとなっている。
【0026】
制御部10は、インジェクタ(不図示)の点火時期制御を行う出力ライン22a,32a、燃料供給制御を行う出力ライン22b,32b、空気供給制御を行う出力ライン22c,32cに接続されて構成される。図1では、これら制御用の3つの出力ラインを1本にまとめてそれぞれ出力ライン22,32と表示する。
制御部10は、ライン56を介して監視部70に接続している。
【0027】
制御部10は、例えばマイクロコンピュータ(CPU)で構成される。
制御部10は、出力制御モジュール20aとエラー検出モジュール20bとを実行する第1のレベルモジュール20と、第1のレベルモジュール20に対して独立し且つ併行して出力制御モジュール30aとエラー検出モジュール30bとを実行する第2のレベルモジュール30とを有する。第2のレベルモジュール30は、第1のレベルモジュール20をモニタリングするモニタリングモジュール30cも実行する。
【0028】
制御部10は、第1のレベルモジュール20の出力及び第2のレベルモジュール30の出力を受けて、いずれか一方の値を出力する選択モジュール40を有する。本実施形態の要求トルク計算の場合、選択モジュール40は、第1のレベルモジュール20の出力(計算された要求トルク)及び第2のレベルモジュール30の出力(計算された要求トルク)のうちいずれか低い方の値を出力する。
【0029】
また、制御部10は、外部からフィードバックされた測定値を第2のレベルモジュール30の出力と比較する比較モジュール42を有する。本実施形態の要求トルク計算の場合、比較モジュール42は、例えばインジェクタ(不図示)への通電時間から実トルク計算モジュール48(後述)において計算される実効トルクを、第2のレベルモジュール30が出力する要求トルクの計算値と比較する。
【0030】
更に、制御部10は、選択モジュール40の出力及び比較モジュール42の出力のいずれか一方を出力する切替モジュール46を有する。切替モジュール46は、例えば異常発生時に出力段回路80を介してインジェクタ(不図示)への通電を停止する。
更にまた、制御部10は、出力段回路80が生成する通電信号(通電時間)に基づいて実効トルクを計算する実トルク計算モジュール48を有する。
【0031】
(監視部)
監視部70は、例えばマイクロコンピュータ(CPU)で構成される。監視部70は、ライン56を介して入力される比較モジュール42の出力に基づいて、制御部10の制御プログラムの状態を監視する。
また、監視部70は、ライン72を介して出力段回路80に接続している。監視部70は、重故障(後述)発生時の最終的な停止手段として機能する。監視部70は、必要に応じてライン72を介して制御部10をリセットし、出力段回路80から外部への信号の出力を停止する。
【0032】
以上の構成を有する制御装置1の機能を以下に説明する。
制御部10内では、第1のレベルモジュール20及び第2のレベルモジュール30が、駆動ユニットの出力制御やエラー検出を実行する制御プログラムを併行して実行している。第1のレベルモジュール20が主となって制御プログラムを実行する。具体的には、例えば10msecの計算サイクルで駆動ユニットを制御する制御プログラムを実行する。
【0033】
これに対して、第2のレベルモジュール30は、従となって制御プログラムを実行すると共に、第1のレベルモジュール20のエラー検出のモニタリングを行う。制御部10内の計算負荷軽減を目的として、第2のレベルモジュール30の計算サイクルは、第1のレベルモジュール20の計算サイクルよりも低く設定される。具体的には、例えば40msecである。
【0034】
駆動ユニットの出力制御は、具体的には、点火時期制御、燃料供給制御、空気供給制御である。例えば、アクセルペダルの位置センサ102によって測定されたペダル位置が入力ライン110、入力ポート21a、31aを介して入力される。測定装置104によって測定されたエンジン温度やエンジン負荷、エンジン回転速度等の測定値が入力ライン112、入力ポート21b、31bを介して入力される。或いは、測定装置124によって測定された電子操作式絞り弁の位置(空気供給量)が入力ライン126、入力ポート21c、31cを介して入力される。
【0035】
これらの測定値に基づいて、調節すべき点火時期及び供給すべき燃料供給量が決定され、出力ライン22a,32a及び22b,32bを介して出力される。また、空気供給量の目標値(絞り弁の位置の目標値)が決定されて、出力ライン22c,32cを介して出力され、駆動ユニットの空気供給制御が実行される。
【0036】
駆動ユニットのエラー検出は、具体的には、装置の出力値を入力値と比較して偏差がある場合にエラーを検出する。例えば、アクセルペダルの位置センサ102によって測定されたペダル位置と、対応する空気供給量や燃料供給量、エンジン負荷との間に偏差がある場合、エラーが検出される。或いは、空気供給量の目標値(絞り弁の位置の目標値)と、測定装置124から入力ライン126を介して供給される絞り弁の実際の位置との間に偏差がある場合、エラーが検出される。更に、アクセルペダルの位置センサ102の出力に基づいてエラーが検出される。
【0037】
(エラー検出のモニタリング)
第2のレベルモジュール30は、第1のレベルモジュール20によるエラー検出をモニタリングしている。具体的には、第1のレベルモジュール20と第2のレベルモジュール30とが互いに独立して併行してエラー検出を実行し、第1のレベルモジュール20のエラー検出結果が正常であるかを第2のレベルモジュール30のモニタリングモジュール30cが監視している。
【0038】
ECUの故障等で第1のレベルモジュール20がエラー検出できない場合に第2のレベルモジュール30がエラー検出できるよう、パラメータが設定される。具体的には、第1のレベルモジュール20は、第2のレベルモジュール30に比して、閾値や診断時間が小さい値に設定される。
【0039】
第1のレベルモジュール20がエラー検出すると、第1のレベルモジュール20のエラー検出モジュール20bは、エラーステータスと、状態情報の一例としてのアクセル開度とを生成し、第2のレベルモジュール30のモニタリングモジュール30cに送る。エラーステータスとアクセル開度とを受けて、第2のレベルモジュール30は、アクセル開度が第1のレベルモジュール20と同一になる。従って、通常は、エラー検出の結果に乖離が生じることがない。
【0040】
かかる構成で、例えば検出時間カウンタの不良等の理由により第1のレベルモジュール20でエラー検出を確定できない場合、同一のアクセル開度を有する第2のレベルモジュール30でもエラーを検出できない事態が生じる。このような事態の発生を未然に回避するために、第1のレベルモジュール20がエラー検出して第2のレベルモジュール30に送るエラーステータスが、第2のレベルモジュール30において所定時間以上継続して検出されるとき、第2のレベルモジュール30はエラーを検出する構成としている。所定時間は、例えば500msecである。
【0041】
以上の構成を有する駆動ユニットの制御装置1における制御方法を、アクセル診断を例にして以下に説明する。
図2は、図1に開示された制御装置1で実行される制御方法のフローチャートである。
【0042】
定常状態において、アクセルペダルの位置センサ102が測定したペダル位置情報は、入力ライン110、入力ポート21a,31aを介して第1のレベルモジュール20及び第2のレベルモジュール30に互いに独立に送られる。本実施形態におけるアクセル診断では、アクセルペダルには互いに独立した2つの位置センサ102(図1)が、互いに独立した2つのペダル位置情報APP1,APP2を出力し、ペダル位置情報APP1,APP2はそれぞれ第1のレベルモジュール20及び第2のレベルモジュール30に送られる。
【0043】
入力ライン110,112等を介して入力される各種の測定値に基づいて、第1のレベルモジュール20は、駆動ユニットの出力制御を実行し(ステップ101)、エラー検出を実行する(ステップ102)。アクセル診断では、入力ライン110、入力ポート21aを介して入力されたペダル位置情報APP1と、入力ライン112,126、入力ポート21b,21cを介して入力された空気供給量や燃料供給量、エンジン負荷との間の偏差に基づいて、駆動ユニットの出力制御を実行し、2つのペダル位置情報APP1,APP2間で相互診断して、エラー検出を実行する。具体的には、例えば、2つのペダル位置情報APP1,APP2に乖離があった場合にエラーがあると判断する。
エラーを検出しないとき(ステップ103:N)、第1のレベルモジュール20は出力制御工程(ステップ101)へ戻る。
【0044】
これに対して、第1のレベルモジュール20がエラーを検出するとき(ステップ103:Y)、第1のレベルモジュール20は、エラーステータスと、状態情報の一例としてのアクセル開度とを生成する(ステップ104)。生成されたエラーステータスとアクセル開度とは、第2のレベルモジュール30に対して割り込み送信される。
【0045】
続いて、第1のレベルモジュール20は、エラーの検出結果を確定させる(ステップ105)。具体的には、第1のレベルモジュール20は、エラーステータスの生成を停止する。そして、アクセル開度に基づいて、第1のレベルモジュール20におけるアクセルペダルのペダル位置情報APP1,APP2の相互診断ロジックが故障しているとして扱い、通常の停止制御工程(ステップ106)へ移行する。
【0046】
通常の停止制御工程(ステップ106)では、第1のレベルモジュール20がメインリレーの診断やエラー情報の退避等を含む通常の停止工程を一括して行い、第1のレベルモジュール20が選択モジュール40に対して停止信号を出力し、切替モジュール46と出力段回路80とを介してインジェクタ(不図示)への通電を停止し、正常に終了した旨を示すフラグをEEPROM90へ書き込み、停止する。
【0047】
一方、第2のレベルモジュール30においても同様に、第1のレベルモジュール20による出力制御工程(ステップ101)及びエラー検出工程(ステップ102)の実行と併行して、ペダル位置情報APP1と、空気供給量や燃料供給量、エンジン負荷との間の偏差に基づいた駆動ユニットの出力制御工程(ステップ201)、2つのペダル位置情報APP1,APP2間の相互診断によるエラー検出工程(ステップ202)を実行する。
【0048】
第1のレベルモジュール20によるエラーステータスとアクセル開度の生成(ステップ104)に基づく割込みがない限り(ステップ204:N)、第2のレベルモジュール30は、出力制御工程(ステップ201)及びエラー検出工程(ステップ202)を繰り返し実行する。このとき、従となる第2のレベルモジュール30の実行サイクルは、主となる第1のレベルモジュール20の計算サイクルよりも、長く設定される。
【0049】
これに対して、第1のレベルモジュール20によるエラーステータスとアクセル開度の生成(ステップ104)に基づく割込みがある場合(ステップ204:Y)、生成されたエラーステータスに基づいて、第2のレベルモジュール30は、第1のレベルモジュール20によるエラー検出の継続時間を計測する(ステップ205)。
【0050】
計測した継続時間が所定時間を超えるとき(ステップ206:Y)、インジェクタへの通電の緊急停止が必要なECUの重故障であるとして扱われ、重故障時の緊急停止制御工程(ステップ208)へ移行する。重故障時の緊急停止制御工程の詳細は、別途記載する。
【0051】
これに対して、継続時間が所定時間を経過していないとき(ステップ206:N)、ステップ202にて第2のレベルモジュール30が実行した2つのペダル位置情報APP1,APP2間の相互診断によるエラー検出の結果を流用する。即ち、ペダル位置情報APP1と、空気供給量や燃料供給量、エンジン負荷との間の偏差に基づいて実行されたエラー検出の結果、エラーが検出されないときは(ステップ207:N)、第1のレベルモジュール20による未確定のエラー検出結果だけに基づいて、ECUの故障と扱うことはせず、ECUの故障はないものとして扱う。そして、エラー検出の継続時間計測工程(ステップ205)へ戻る。
【0052】
一方、エラーが検出されるとき(ステップ207:Y)、第2のレベルモジュール30は、インジェクタ(不図示)への通電を止める等の重故障時の緊急停止制御工程(ステップ208)を実行する。その後、完全停止する(ステップ209)。
【0053】
尚、上記したエラー検出の継続時間を計測する工程(ステップ205)は、第1のレベルモジュール20によってエラーステータスが生成される時間を計測する方法、即ち、第1のレベルモジュール20が最初にエラーステータスを生成した時間からの経過時間を計測する方法でも良いし、計算サイクル毎に第1のレベルモジュール20が生成するエラーステータスの生成回数を計測する方法でも良い。
【0054】
(重故障時の緊急停止制御工程)
次に、比較モジュール42で実行されるECUの重故障時の緊急停止制御工程(ステップ208)を、図3を用いて説明する。
図3は、図2の重故障時の緊急停止制御工程の詳細を示すフローチャートである。
【0055】
ステップ205で計測した継続時間が所定時間を越えるとき(ステップ206:Y)、或いは、相互診断の結果エラーがあると判断されたとき(ステップ207:Y)、イグニション(不図示)がオン状態であるか否かが判断される(ステップ301)。
イグニションがオン状態でないとき(ステップ301:N)、第2のレベルモジュール30は比較モジュール42に対して停止信号を出力し、比較モジュール42は監視部70に対して緊急停止信号を出力し、監視部70はメインリレー130への給電を遮断する(ステップ302)。そして、後述する書き込み工程へ移行する(ステップ303)。
【0056】
これに対して、イグニションがオン状態であるとき(ステップ301:Y)、書き込み工程へ移行する(ステップ303)。
【0057】
書き込み工程(ステップ303)では、重故障時の緊急停止制御工程がすべて終了したことを示すフラグを、第2のレベルモジュール30がEEPROM90に書き込む。そして、重故障時の緊急停止制御工程のサブルーチンを終了して、図2に示す本来のフローチャートに戻る。
【0058】
図2及び3に示すフローチャートに従えば、第1のレベルモジュール20においてエラーが確定すれば(ステップ105)、第2のレベルモジュール30よりも計算サイクルが短い第1のレベルモジュール20が通常の停止制御(ステップ106)を実行する。
しかし、なんらかの理由により、通常の停止制御が実行されず所定時間が経過したとき(ステップ206:Y)や相互診断の結果エラーがあると判断されたとき(ステップ207:Y)、第2のレベルモジュール30が緊急停止制御を実行する(ステップ208)。
【0059】
第1のレベルモジュール20と第2のレベルモジュール30とを実行する制御部10を備えた制御装置1において、第2のレベルモジュール30は第1のレベルモジュール20のエラー検出をモニタリングし、第1のレベルモジュール20が駆動ユニットのエラーを所定時間以上継続して検出するとき、第2のレベルモジュール30は駆動ユニットを緊急停止制御するので、制御装置1におけるエラー検出の信頼性向上を図ることが可能となる。
【0060】
また、第1のレベルモジュール20によって生成されたエラーステータスと状態情報とに基づいて、第2のレベルモジュール30は第1のレベルモジュール20によるエラー検出の継続時間を判断し、生成されたエラーステータスの継続時間を計測し、計測された継続時間が所定時間を超えるとき駆動ユニットを緊急停止制御するので、より信頼性の高い停止制御が可能となる。
【0061】
更にまた、制御部10を監視する監視部70と、停止時の状態情報を記憶するEEPROM90とを更に有し、駆動ユニットへの通電停止が必要な重故障が制御部10に生じたとき、監視部70は、駆動ユニットへ電力を供給するメインリレー130を緊急停止し、EEPROM90は停止時の状態情報を記憶するので、重故障における緊急停止動作が、その後の復帰動作を信頼性のあるものとできる。
【符号の説明】
【0062】
1…制御装置、10…制御部、20…第1のレベルモジュール、30…第2のレベルモジュール、130…メインリレー
【特許請求の範囲】
【請求項1】
車両の駆動ユニットのエラーを検出する第1のモジュールと、当該第1のモジュールとは独立且つ併行して当該駆動ユニットのエラーを検出する第2のモジュールとを実行する制御手段を備えた車両駆動ユニットの制御装置において、
前記第2のモジュールは、前記第1のモジュールのエラー検出をモニタリングする機能を有し、
前記第1のモジュールが前記駆動ユニットのエラーを所定時間以上継続して検出するとき、当該駆動ユニットを停止制御する、車両駆動ユニットの制御装置。
【請求項2】
請求項1に記載の車両駆動ユニットの制御装置において、
前記第1のモジュールは、前記駆動ユニットのエラーを検出したとき、エラーステータスと当該駆動ユニットの状態情報とを生成し、
生成されたエラーステータスと状態情報とに基づいて、前記第2のモジュールは前記第1のモジュールによるエラー検出の継続時間を判断し、前記駆動ユニットを停止制御する、車両駆動ユニットの制御装置。
【請求項3】
請求項2に記載の車両駆動ユニットの制御装置において、
前記第2のモジュールは、生成されたエラーステータスの継続時間を計測して前記第1のモジュールによるエラー検出の継続時間を判断する、車両駆動ユニットの制御装置。
【請求項4】
請求項1に記載の車両駆動ユニットの制御装置において、
前記制御手段を監視する監視手段と、
停止時の状態情報を記憶する不揮発メモリと
を更に有し、
前記駆動ユニットへの通電停止が必要な重故障が前記制御手段に生じたとき、前記監視手段は、当該駆動ユニットへ電力を供給するメインリレーを緊急停止する、車両駆動ユニットの制御装置。
【請求項5】
車両の駆動ユニットのエラーを検出する第1のモジュールによる第1のエラー検出工程と、
前記第1のエラー検出工程とは独立且つ併行して、前記駆動ユニットのエラーを検出する第2のモジュールによる第2のエラー検出工程と、
前記第1のエラー検出工程で前記駆動ユニットのエラーが検出されるとき、前記第1のモジュールがエラーステータスと当該駆動ユニットの状態情報とを生成する工程と、
生成された前記エラーステータスに基づいて、前記第1のモジュールによるエラー検出の継続時間を前記第2のモジュールが計測する工程と、
計測された前記継続時間が所定時間を超えるとき、前記第1のモジュールが前記駆動ユニットを停止制御する工程と
を有する、車両駆動ユニットの制御方法。
【請求項6】
請求項5に記載の車両駆動ユニットの制御方法において、
計測された前記継続時間が所定時間を超えないとき、
前記駆動ユニットへの通電停止が必要な重故障を前記第2のモジュールが検出する工程と、
重故障が検出されたとき、前記駆動ユニットへ電力を供給するメインリレーを前記第2のモジュールが緊急停止する工程と
を有する、車両駆動ユニットの制御方法。
【請求項7】
請求項6に記載の車両駆動ユニットの制御方法において、
前記メインリレーを緊急停止する前記工程は、緊急停止の処理が正常に終了した旨を不揮発メモリに記録する工程を含む、車両駆動ユニットの制御方法。
【請求項1】
車両の駆動ユニットのエラーを検出する第1のモジュールと、当該第1のモジュールとは独立且つ併行して当該駆動ユニットのエラーを検出する第2のモジュールとを実行する制御手段を備えた車両駆動ユニットの制御装置において、
前記第2のモジュールは、前記第1のモジュールのエラー検出をモニタリングする機能を有し、
前記第1のモジュールが前記駆動ユニットのエラーを所定時間以上継続して検出するとき、当該駆動ユニットを停止制御する、車両駆動ユニットの制御装置。
【請求項2】
請求項1に記載の車両駆動ユニットの制御装置において、
前記第1のモジュールは、前記駆動ユニットのエラーを検出したとき、エラーステータスと当該駆動ユニットの状態情報とを生成し、
生成されたエラーステータスと状態情報とに基づいて、前記第2のモジュールは前記第1のモジュールによるエラー検出の継続時間を判断し、前記駆動ユニットを停止制御する、車両駆動ユニットの制御装置。
【請求項3】
請求項2に記載の車両駆動ユニットの制御装置において、
前記第2のモジュールは、生成されたエラーステータスの継続時間を計測して前記第1のモジュールによるエラー検出の継続時間を判断する、車両駆動ユニットの制御装置。
【請求項4】
請求項1に記載の車両駆動ユニットの制御装置において、
前記制御手段を監視する監視手段と、
停止時の状態情報を記憶する不揮発メモリと
を更に有し、
前記駆動ユニットへの通電停止が必要な重故障が前記制御手段に生じたとき、前記監視手段は、当該駆動ユニットへ電力を供給するメインリレーを緊急停止する、車両駆動ユニットの制御装置。
【請求項5】
車両の駆動ユニットのエラーを検出する第1のモジュールによる第1のエラー検出工程と、
前記第1のエラー検出工程とは独立且つ併行して、前記駆動ユニットのエラーを検出する第2のモジュールによる第2のエラー検出工程と、
前記第1のエラー検出工程で前記駆動ユニットのエラーが検出されるとき、前記第1のモジュールがエラーステータスと当該駆動ユニットの状態情報とを生成する工程と、
生成された前記エラーステータスに基づいて、前記第1のモジュールによるエラー検出の継続時間を前記第2のモジュールが計測する工程と、
計測された前記継続時間が所定時間を超えるとき、前記第1のモジュールが前記駆動ユニットを停止制御する工程と
を有する、車両駆動ユニットの制御方法。
【請求項6】
請求項5に記載の車両駆動ユニットの制御方法において、
計測された前記継続時間が所定時間を超えないとき、
前記駆動ユニットへの通電停止が必要な重故障を前記第2のモジュールが検出する工程と、
重故障が検出されたとき、前記駆動ユニットへ電力を供給するメインリレーを前記第2のモジュールが緊急停止する工程と
を有する、車両駆動ユニットの制御方法。
【請求項7】
請求項6に記載の車両駆動ユニットの制御方法において、
前記メインリレーを緊急停止する前記工程は、緊急停止の処理が正常に終了した旨を不揮発メモリに記録する工程を含む、車両駆動ユニットの制御方法。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2012−137034(P2012−137034A)
【公開日】平成24年7月19日(2012.7.19)
【国際特許分類】
【出願番号】特願2010−290190(P2010−290190)
【出願日】平成22年12月27日(2010.12.27)
【出願人】(000003333)ボッシュ株式会社 (510)
【Fターム(参考)】
【公開日】平成24年7月19日(2012.7.19)
【国際特許分類】
【出願日】平成22年12月27日(2010.12.27)
【出願人】(000003333)ボッシュ株式会社 (510)
【Fターム(参考)】
[ Back to top ]