WO2017056688A1

WO2017056688A1 - 監視システム及び車両用制御装置

Info

Publication number: WO2017056688A1
Application number: PCT/JP2016/072582
Authority: WO
Inventors: 智大久保
Original assignee: Hitachi Automotive Systems Ltd
Current assignee: Astemo Ltd
Priority date: 2015-09-29
Filing date: 2016-08-02
Publication date: 2017-04-06
Anticipated expiration: 2018-03-29
Also published as: US10808836B2; CN108025687B; EP3357760A1; EP3357760A4; JPWO2017056688A1; CN108025687A; US20180202544A1; JP6777641B2

Abstract

オイルポンプなどの油圧発生器を排した電動アクチュエータ方式の無段変速機では、電子制御装置のマイコン故障によりフェール状態になった場合、意図しない急加減速を防止するため、油圧アクチュエータ方式と同様にアクチュエータへの電源を遮断し、モータを非動作状態にする必要がある。その結果、電動アクチュエータによりプーリの溝幅を制御することができなくなるため、Ｖベルトを押し付ける力（トルク）が発生しない、すなわちベルトすべり状態に陥り、走行不能となる。　そこで、既存の電子制御装置の構成であるマスタＣＰＵ（制御用）とスレーブＣＰＵ（監視用）から、両ＣＰＵとも監視機能を持たせ、且つ相互監視構成とすること。また、ネットワーク経由で他電子制御装置も監視装置と見立てることで、三者間での監視構成となり、故障部位（ＣＰＵ）が正確に特定できる。

Description

監視システム及び車両用制御装置

　本発明は、電子制御装置のマイコン故障により、制御対象の機能が失陥することで走行不能になることを防止することを目的とし、マイコン異常と判断された場合でも、電子制御装置として正常動作が要求されるような、安全要求が高いシステムに適用可能なフェールセーフシステム技術に関する。

　現在主流の２個のＣＰＵを用いるマルチＣＰＵ構成の電子制御装置については、第２のＣＰＵが異常となったときには第１のＣＰＵにおいてこれを検出し、第２のＣＰＵがリセットされる。そして、第１のＣＰＵから出力される信号によって、リンプホーム可能な制御が実行される。また、第１のＣＰＵに異常が生じたような場合には、これがＷＤＴ監視回路において検出されると共に、この第１のＣＰＵにリセットが掛けられ、第２のＣＰＵにおいて異常時の処理が行われて、これまで第１のＣＰＵから出力されていた噴射制御や点火制御の、リンプホームを可能にする異常時処理が第２のＣＰＵにおいて代行されるようになって、第１のＣＰＵからの出力に代わって第２のＣＰＵからの出力による制御が実行される（特許文献１）。

特開平７－２９３３２０

　上記特許文献１に示すようなマルチＣＰＵ構成の電子制御装置に対する各ＣＰＵ間の異常検知手段は、ウォッチドックパルスのみで判断しており、すなわち、ウォッチドックパルスを算出するＣＰＵ機能のみで異常を検知しており、ＣＰＵ機能全体についての診断はできておらず、診断の網羅性の点で、最適な対応策とは言い難い。

　そこで本発明は、現在の電子制御装置の構成を大きく変えることなく、少ないシステム構成で電動アクチュエータを備えた車両用自動変速機の電子制御装置内のマイコン故障を検知し、フェールセーフ状態に移行できる監視システム、及び車両用制御装置を提供することを目的とする。

　上記目的を達成するため、本発明は以下の手段を有することを特徴とする。　
　請求項１、１１に係る電動アクチュエータを備えた車両用電子制御装置は、メイン制御部と、メイン制御部を監視するサブ制御部と、監視結果により故障部位を特定する故障部位特定手段と、故障部位の特定結果により制御信号を切り替える制御信号切り替え手段を備える第１の車両用制御装置と、第１の車両用制御装置とは別体で構成される第２の車両用制御装置とを備えた監視システムにおいて、第２の車両用制御装置に設けられた制御部と、第１の車両用制御装置のメイン制御部とサブ制御部との三者間で相互監視を行うことを特徴としている。

　請求項２、１２に係る電動アクチュエータを備えた車両用電子制御装置のサブ制御部は、メイン制御部から出力される演算信号に基づいて該メイン制御部を監視し、該メイン制御部の異常検知時には、故障部位特定手段に異常情報を送信することを特徴としている。

　請求項３、１３に係る電動アクチュエータを備えた車両用制御装置と前記第２の車両用制御装置は、例えばＣＡＮ通信などの通信手段により接続されることを特徴としている。

　請求項４、１４に係る電動アクチュエータを備えた車両用制御装置の監視システムは、第２の車両用制御装置とＣＡＮ通信などの通信手段により接続され、第２の車両用制御装置に設けられた制御部は、メイン制御部、又はサブ制御部に対し通信手段により診断信号を送信し、メイン制御部、又はサブ制御部からの返信を確認することで、メイン制御部、前記サブ制御部の異常を検知することを特徴としている。

　請求項５、１５に係る電動アクチュエータを備えた車両用制御装置の監視システムは、第２の車両用制御装置に設けられた制御部により、メイン制御部、又はサブ制御部の監視を行い、異常を検知した場合、故障部位特定手段に異常情報を送信すること、を特徴としている。

　請求項６、１６に係る電動アクチュエータを備えた車両用制御装置の故障部位特定手段は、メイン制御部と、サブ制御部と、第２の車両制御装置に設けられた制御部からの監視結果を参照し、多数決により故障部位の特定を行い、その判断結果を制御信号切り替え手段に送信することを特徴としている。

　請求項７、１７に係る電動アクチュエータを備えた車両用制御装置の制御信号切り替え手段は、故障部位特定手段からの判断結果に基づき、使用する制御信号をメイン制御部から出力される制御信号か、サブ制御部から出力される制御信号かのどちらかに切り替えることを特徴としている。

　請求項８、１８に係る第２の車両用制御装置に設けられた前記制御部は、メイン制御部、又はサブ制御部の異常が検知された場合に、その後に制御対象に対して制御を行うメイン制御部、又はサブ制御部を監視することを特徴としている。

　請求項９、１９に係る電動アクチュエータを備えた車両用制御装置のサブ制御部は、メイン制御部の異常を検知した場合に、第２の車両用制御装置に設けられた制御部に対して異常信号を送信し、制御部は異常信号を受信した場合にサブ制御部の監視を行うことを特徴としている。

　請求項１０、２０に係る電動アクチュエータを備えた車両用制御装置のメイン制御部は、サブ制御部の監視を行い、メイン制御部及びサブ制御部のうち一方の制御部は他方の制御部の異常を検知した場合に、第２の車両用制御装置に設けられた制御部に対して異常信号を送信し、制御部は異常信号を受信した場合に一方の制御部の監視を行うことを特徴としている。

　本発明の請求項１によれば、一般的な既存の電子制御装置の構成であるマスタＣＰＵ（制御用）とスレーブＣＰＵ（監視用）から、両ＣＰＵとも監視機能を持たせ、且つ相互監視構成とすること。また、ネットワーク経由で他電子制御装置も監視装置と見立てることで、三者間での監視構成となり、故障部位（ＣＰＵ）が正確に特定できる。

　本発明のそれ以外の請求項については、以下の実施例において、その作用、効果を詳細に説明する。

本発明の実施形態を示すＡＴＣＵにおける監視システムの一例。電子制御装置間をＣＡＮ通信などのネットワーク経由で表した、　　本発明の実施形態を示すＡＴＣＵにおける監視システムの一例。本発明である監視システムの動作であり、初回起動時のサブＣＰＵにおける　　　　監視手順を示すフローチャートである。各監視装置の監視結果による故障部位の特定基準の一例。故障部位特定手段からの判断結果を用いた制御信号切り替え手段による　　　　制御信号切り替え方法。

　以下、本発明の実施例を、図面を用いて説明する。

　変速機の多くは油圧にてアクチュエータを制御し、変速動作を実現する。しかし、油圧は応答性が悪く、温度などの環境要因により特性変化が著しい。また、油圧発生器（オイルポンプ）を搭載する必要性があるため、コスト、重量、容積の悪化要因となる。

　車両制御装置の電動化の加速により、車両には１台当り多数の電動化装置が搭載されることも考えられる。これらの電子制御装置は、バッテリ等の電源から駆動電力が供給されている。自動変速機の分野についても例外ではなく、油圧アクチュエータとしてリニアソレノイドを使用することもあり、この部分に電動モータを使用した電動アクチュエータを利用することが考えられる。

　油圧アクチュエータを使用した無段自動変速機では、各プーリに付設された油圧アクチュエータの油圧を制御するノーマルオープン型のリニアソレノイドが備えられている。そして油圧アクチュエータを制御する電子制御装置のマイコン異常などにより、リニアソレノイドに電流を供給することができないフェール状態になった場合には、各油圧アクチュエータに同一の油圧が供給されるように構成される。

　リニアソレノイドに電流が供給されなくなり、各油圧アクチュエータに同一の油圧が供給された際には、無段変速機の変速比が一定になるようにプーリを設計する。そのため、リニアソレノイドや制御弁がフェールすることにより、油圧が供給されて駆動する油圧供給部を制御することができなっても、最低限、車両を走行させることは可能である。

　また、操舵系に電動アクチュエータを適用した電動パワーステアリングの分野では、マイコン含む電子制御装置の故障が発生した場合、ステアリング機能が失陥し、重大事故に繋がる恐れがある。すなわち、電子制御装置の故障が発生した場合、ステアリング機能の失陥は許容されず、フェールセーフ処理ではなく、通常処理が確実に実行される必要がある。そのため、電動パワーステアリングの電子制御装置を３重系以上の冗長構成とし、常に相互監視することで故障している電子制御装置を確実に検出でき、故障している電子制御装置を監視ループから切り離すことで、ステアリング機能を確保している。

　しかしながら、オイルポンプなどの油圧発生器を排した電動アクチュエータ方式の無段変速機では、電子制御装置のマイコン故障によりフェール状態になった場合、意図しない急加減速を防止するため、油圧アクチュエータ方式と同様にアクチュエータへの電源を遮断し、モータを非動作状態にする必要がある。その結果、電動アクチュエータによりプーリの溝幅を制御することができなくなるため、Ｖベルトを押し付ける力（トルク）が発生しない、すなわちベルトすべり状態に陥り、走行不能となる。

　また、電子制御装置を３重系以上の冗長構成とした相互監視構成をとった場合、電子制御装置の実装面積が通常の３倍となるため、多数の電子制御部品が実装されている昨今の車両では問題となることが必至である。また、コスト面でも同様で、電動ステアリング装置のように、機能が失陥すると重大な事故に繋がる可能性があるデバイスに関しては、電子制御装置の冗長化も一つの手段となるが、変速機の分野では、電子制御装置の機能が失陥しても重大な事故には繋がる可能性はないため、費用対効果を考慮すると、最適な対応策とは言い難い。

　そこで以下の本発明の実施例においては、現在の電子制御装置の構成を大きく変えることなく、最小のシステム構成で電動アクチュエータを備えた車両用自動変速機（特に自動無段変速機）の電子制御装置内のマイコン故障を確実に検知し、確実にフェールセーフ状態に移行できる監視システムについて説明する。

　図１に、電動アクチュエータを備えた自動無段変速機を対象とした、請求項１の電子制御装置（以下、ＡＴＣＵ）における監視システムの一例を示す。

　ＡＴＣＵは、電動アクチュエータを制御するメインＣＰＵと、メインＣＰＵの演算機能を監視するサブＣＰＵとを備えた、２ＣＰＵで構成される。ＡＴＣＵに対する入力としては、プライマリプーリとセカンダリプーリの回転に伴い発生される回転パルス信号、その他、ＣＡＮ通信などのネットワーク経由で入力される情報としては、目標変速比の算出に必要な目標エンジン回転数と目標エンジントルク、変速比を制御する電動アクチュエータからのモータ位置情報が存在する。これらの情報を基にメインＣＰＵは、目標駆動トルクを算出することで、変速比、すなわち電動アクチュエータの制御量が決定される。算出された制御量は、電動アクチュエータ、すなわち電動モータを駆動するための信号に変換する必要があり、メインＣＰＵでは、モータ電源電圧や温度などの環境外乱補正を行ったうえで制御信号がドライバ回路へ出力され、電動アクチュエータが制御される。

　上記の様な制御を行っているメインＣＰＵは、それぞれの機能が正常に動作しているか否かを監視する必要がある。そこでサブＣＰＵは、メインＣＰＵに対し、複数の機能監視用の問題を送信する。メインＣＰＵでは、受信した問題に対し、該ＣＰＵで定義されているすべての演算子を使用して問題に対応した回答を算出し、サブＣＰＵに返信する。サブＣＰＵは、本来あるべき機能（演算子）が正常でないと算出できない回答値を記憶しており、その値をメインＣＰＵから受信した回答データと照合することで、メインＣＰＵが正常に動作しているか否かを判断する。

　サブＣＰＵがメインＣＰＵの監視を行う一方で、監視側のサブＣＰＵについても健全性を保証する必要がある。そこで、サブＣＰＵに実装されている監視ロジックをメインＣＰＵにも実装することで、メインＣＰＵとサブＣＰＵ間で相互監視を行う構成とする。

　監視用電子制御装置（以下、監視ＣＵ）は、ＡＴＣＵとは別体で構成し、ＡＴＣＵとは通信線で接続されている。監視ＣＵは、ＡＴＣＵのメインＣＰＵ、およびサブＣＰＵが正常に動作しているか否かを監視している。監視方法としては、上記メインＣＰＵとサブＣＰＵ間の相互監視と同一の構成であり、メインＣＰＵと監視ＣＵ間、サブＣＰＵと監視ＣＵ間で実施する。

　以上により、メインＣＰＵとサブＣＰＵと監視ＣＵの三者で相互監視の構成となり、故障部位の特定が可能となる。

　その後、監視結果を故障部位特定手段に集約し、故障部位の特定を行う。最初に、メインＣＰＵとサブＣＰＵの監視結果を照合する。このとき、どちらも異常を検知していない場合は、ＡＴＣＵは正常と判断し、通常制御に移行し制御信号を出力する。対して、メインＣＰＵとサブＣＰＵの監視結果が異なる、すなわち、どちらか一方が異常と判断された結果が監視結果を故障部位特定手段に送信された場合には、監視ＣＵの監視結果を参照し、監視ＣＵでの監視結果と同じ判断をしたＣＰＵを正常とする。一方で、故障部位特定手段に送信された監視結果において、メインＣＰＵとサブＣＰＵの監視結果が、どちらも正常であるにも関わらず、監視ＣＵでの監視結果が異常となった場合には、監視ＣＵが故障している可能性があるため、メインＣＰＵとサブＣＰＵは監視ＣＵを相互監視の対象から除外する。

　故障部位特定手段は、メインＣＰＵとサブＣＰＵ、監視ＣＵから受信した監視結果を基に、制御信号切り替え手段に制御信号の切り替え指示を行う。具体的には、初期状態はメインＣＰＵが正常と仮定すると、メインＣＰＵで電動アクチュエータに対する制御量を算出し、制御信号を出力する。このとき、サブＣＰＵと監視ＣＵはメインＣＰＵの機能監視を行い、異常がないことを確認する。サブＣＰＵと監視ＣＵにより、メインＣＰＵが異常だと判断された場合、故障部位特定手段は制御信号切り替え手段に対し、サブＣＰＵから制御信号が出力されるように制御信号を切り替える。この際、サブＣＰＵが主機能を受け持つことになり、監視ＣＵがサブＣＰＵの監視を行うことになる。

　以上の構成により、故障部位が好適に特定できることに加え、メインＣＰＵが故障しても、監視ＣＵがサブＣＰＵを監視できるため、特にフェールセーフ処理に移行する必要が無く、サブＣＰＵにて通常制御の実施が可能となる。その結果、システムの信頼性が飛躍的に向上し、安全要求の高いシステムにも単純な構成で適用可能であり、コストアップも最小で提供可能である。

　また、電子制御装置に実装される２つのＣＰＵを、制御機能と相互監視機能について同一の機能を持たせることで、どちらか一方がＣＰＵ異常になった場合でも、制御切り替え手段により制御ＣＰＵを切り替え、正常なＣＰＵでの通常制御が実行可能となる。

　したがって、例えば電動アクチュエータによって変速制御される自動無段変速機において、同一電子制御装置内で制御ＣＰＵを監視ＣＰＵが監視するといった、既存の電子制御装置の構成では、制御ＣＰＵ異常時は、安全性確保の観点から、監視ＣＰＵが電動アクチュエータの電源を遮断するしかフェールセーフ処理の方法が無いが、本実施例の構成であれば、他電子制御装置からの監視を含め三者間での監視構成の為、故障部位（ＣＰＵ）の正確な特定に加え、制御切り替え手段による正常な制御ＣＰＵへの切り替えをすることで、通常制御が実行可能となる。

　その結果、既存の電子制御装置の監視構成では、ＣＰＵ異常により電動アクチュエータへの電源を遮断するフェールセーフ処理を実行することで、油圧アクチュエータ式の自動無段変速機のように変速比を固定することができず、走行不能となってしまうが、本発明では、電子制御装置内のどちらか一方のＣＰＵが異常となっても、もう一方の正常なＣＰＵと他電子制御装置との相互監視により、安全性が保障されているため、電動アクチュエータを確実にフェールセーフ制御、さらには通常制御で動作させることも可能となるため、安全要求の高いシステムに適用することができる。

　また、安全要求の高いシステムでは必然的に電子制御装置の多重化の手法がとられるが、本実施例では多重化の必要が無く、従来の監視用ＣＰＵから制御用ＣＰＵへの性能向上と、他電子制御装置への監視制御を組み込むのみであり、システムコストの低減に効果が期待できる。

　図２に、ＡＴＣＵと監視ＣＵをＣＡＮなどのネットワーク通信で繋いだ場合のシステム構成を示す。図１の構成との違いは、ＡＴＣＵと監視ＣＵが、ＣＡＮ通信などのネットワーク経由で接続されている点である。

　監視用電子制御装置（以下、監視ＣＵ）は、ＡＴＣＵとは別体で構成し、ＡＴＣＵとはＣＡＮ通信などのネットワーク経由で接続されている。監視ＣＵは、ＡＴＣＵのメインＣＰＵ、およびサブＣＰＵが正常に動作しているか否かを監視している。監視方法としては、上記メインＣＰＵとサブＣＰＵ間の相互監視と同一の構成であり、メインＣＰＵと監視ＣＵ間、サブＣＰＵと監視ＣＵ間で実施する。

　最初に、メインＣＰＵとサブＣＰＵの監視結果を照合する。このとき、どちらも異常を検知していない場合は、ＡＴＣＵは正常と判断し、通常制御に移行し制御信号を出力する。対して、メインＣＰＵとサブＣＰＵの監視結果が異なる、すなわち、どちらか一方が異常と判断された場合には、該ＣＰＵは監視ＣＵの監視結果を受信し、その監視結果と自身の監視結果を比較し、結果を故障部位特定手段へ送信する。一方で、メインＣＰＵとサブＣＰＵの監視結果が、どちらも正常であるにも関わらず、監視ＣＵでの監視結果が異常となった場合には、メインＣＰＵとサブＣＰＵの双方に異常情報が送信されるため、監視ＣＵが故障している可能性があると判断し、メインＣＰＵとサブＣＰＵは監視ＣＵを相互監視の対象から除外する。

　故障部位特定手段は、メインＣＰＵとサブＣＰＵ受信した監視結果を基に、制御信号切り替え手段に制御信号の切り替え指示を行う。具体的には、初期状態はメインＣＰＵが正常と仮定すると、メインＣＰＵで電動アクチュエータに対する制御量を算出し、制御信号を出力する。このとき、サブＣＰＵと監視ＣＵはメインＣＰＵの機能監視を行い、異常がないことを確認する。サブＣＰＵと監視ＣＵにより、メインＣＰＵが異常だと判断された場合、故障部位特定手段は制御信号切り替え手段に対し、サブＣＰＵから制御信号が出力されるように制御信号を切り替える。この際、サブＣＰＵが主機能を受け持つことになり、監視ＣＵがサブＣＰＵの監視を行うことになる。

　図３に、ＡＴＣＵが起動直後の監視手順の具体例を示す。

　ＡＴＣＵが起動した直後、各ＣＰＵは通常制御へ移行する前に自己の健全性を確認することを目的に、自己診断を実施する（Ｓ３０１）。ここで自己診断とは、具体的にはメモリ診断（ＲＯＭ／ＲＡＭ診断）やレジスタ診断などが挙げられる。

　サブＣＰＵの自己診断が異常の場合（Ｓ３０２）、他ＣＰＵの監視に対する信頼性は無くなるため、メインＣＰＵの監視は実施するべきではない。このとき、メインＣＰＵ、及び監視ＣＵはサブＣＰＵからの自己診断結果、または機能監視結果により異常を検知することが可能である（Ｓ３０３）。その後、サブＣＰＵを監視形態から除外し、監視ＣＵによりメインＣＰＵを監視する形態をとる（Ｓ３０４）。

　サブＣＰＵの自己診断結果が正常の場合、サブＣＰＵはメインＣＰＵへ機能監視のための信号（以下、例題）を送信する（Ｓ３０５）。メインＣＰＵでは、サブＣＰＵから受け取った例題に対し、予め実装してある例題演算プログラムを実行し、回答データがサブＣＰＵに送付される（Ｓ３０６）。サブＣＰＵでは、メインＣＰＵからの回答結果を基に、メインＣＰＵの演算機能が正常か否か判断する（Ｓ３０７）。

　メインＣＰＵが正常と判断された場合、サブＣＰＵはその監視結果を自身の制御メモリに記憶する（Ｓ３０８）。本実施例では、監視結果を３桁の数値で表し、１桁目の数値はメインＣＰＵの監視結果、２桁目はサブＣＰＵの監視結果、３桁目は監視ＣＵの監視結果と、３つの監視機構で共通の配置とし、“０”が正常、“１”が異常としている。よって、Ｓ３０８では、メインＣＰＵが正常であるため、１桁目の数値は“０”となり、３桁表示すると“０００”となる。

　次に、三者での相互監視の観点から、監視ＣＵの機能監視が必要であるため、監視ＣＵへ例題を送信する（Ｓ３０９）。監視ＣＵでは、サブＣＰＵから受け取った例題に対し、予め実装してある例題演算プログラムを実行し、回答データがサブＣＰＵに送付される（Ｓ３１０）。サブＣＰＵでは、監視ＣＵからの回答結果を基に、監視ＣＵの演算機能が正常か否か判断する（Ｓ３１１）。監視ＣＵが正常と判断された場合、サブＣＰＵはその監視結果を自身の制御メモリに記憶する（Ｓ３１２）。本実施例では、監視ＣＵの監視結果は３桁目であるため、メインＣＰＵが正常、且つ、監視ＣＵが正常により、３桁表示すると“０００”となる。

　対して、Ｓ３１１で監視ＣＵが異常と判断された場合、サブＣＰＵはその監視結果を自身の制御メモリに記憶する（Ｓ３１３）。本実施例では、監視ＣＵの監視結果は３桁目であるため、メインＣＰＵが正常、且つ、監視ＣＵが異常により、３桁表示すると“１００”となる。

　対して、Ｓ３０７でメインＣＰＵが異常と判断された場合、サブＣＰＵはその監視結果を自身の制御メモリに記憶する（Ｓ３１４）。本実施例では、メインＣＰＵの監視結果は３桁目であるため、メインＣＰＵが異常により、３桁表示すると“００１”となる。

　次に、三者での相互監視の観点から、監視ＣＵの機能監視が必要であるため、監視ＣＵへ例題を送信する（Ｓ３１５）。監視ＣＵでは、サブＣＰＵから受け取った例題に対し、予め実装してある例題演算プログラムを実行し、回答データがサブＣＰＵに送付される（Ｓ３１６）。サブＣＰＵでは、監視ＣＵからの回答結果を基に、監視ＣＵの演算機能が正常か否か判断する（Ｓ３１７）。監視ＣＵが正常と判断された場合、サブＣＰＵはその監視結果を自身の制御メモリに記憶する（Ｓ３１８）。本実施例では、監視ＣＵの監視結果は３桁目であるため、メインＣＰＵが異常、且つ、監視ＣＵが正常により、３桁表示すると“００１”となる。

　対して、Ｓ３１７で監視ＣＵが異常と判断された場合、サブＣＰＵはその監視結果を自身の制御メモリに記憶する（Ｓ３１９）。本実施例では、監視ＣＵの監視結果は３桁目であるため、メインＣＰＵが異常、且つ、監視ＣＵが異常により、３桁表示すると“１０１”となる。

　以上の処理で、サブＣＰＵが、メインＣＰＵと監視ＣＵに対して機能監視を実施可能であるが、同一処理をメインＣＰＵと監視ＣＵが行うことで、初めて三者間の相互監視が可能となる。メインＣＰＵ、サブＣＰＵ、監視ＣＵがそれぞれの監視結果を故障部位特定手段に送信し、３桁で表現される監視結果の各桁に対し、論理積により統合すると図５に表せる何れかの信号になり、故障部位の特定に加えて電動アクチュエータに出力する制御信号の切り替えも可能となる。その結果、メインＣＰＵとサブＣＰＵのどちらかが故障しても、残ったＣＰＵで正常に制御可能であり、システムの信頼性が飛躍的に向上し、安全要求の高いシステムにも単純な構成で適用できる。

　以上、本発明の構成について説明したが、本発明はこうしたＡＴＣＵの監視システムに限定されるものではなく、電子制御装置の動作を停止させることにより、車両として安全方向に働かないシステムに対し、安価に応用することが可能である。

　本発明によれば、電子制御装置の実装面積などハードウェアの制約により監視装置を複数実装できない場合でも、何かしらの通信手段を持っていれば、他の電子制御装置を監視装置にすることが可能であり、電子制御装置の動作を停止させることにより、車両として安全方向に働かないシステムに対し、安価に応用することが可能である。

Ｓ３０１　初回起動時のサブＣＰＵ自己診断処理
Ｓ３０２　サブＣＰＵの自己診断結果の判断
Ｓ３０３　メインＣＰＵ、監視ＣＵによるサブＣＰＵ異常検知処理
Ｓ３０４　メインＣＰＵの監視をサブＣＰＵから監視ＣＵに切り替える処理
Ｓ３０５　メインＣＰＵへの例題送信処理
Ｓ３０６　メインＣＰＵからの回答受信処理
Ｓ３０７　メインＣＰＵの機能監視結果の判断
Ｓ３０８　メインＣＰＵの機能正常判断時の記憶処理
Ｓ３０９　監視ＣＵへの例題送信処理
Ｓ３１０　監視ＣＵからの回答受信処理
Ｓ３１１　監視ＣＵの機能監視結果の判断
Ｓ３１２　監視ＣＵの機能正常判断時の記憶処理
Ｓ３１３　監視ＣＵの機能異常判断時の記憶処理
Ｓ３１４　メインＣＰＵの機能異常判断時の記憶処理
Ｓ３１５　監視ＣＵへの例題送信処理
Ｓ３１６　監視ＣＵからの回答受信処理
Ｓ３１７　監視ＣＵの機能監視結果の判断
Ｓ３１８　監視ＣＵの機能正常判断時の記憶処理
Ｓ３１９　監視ＣＵの機能異常判断時の記憶処理

Claims

　メイン制御部と、該メイン制御部を監視するサブ制御部と、監視結果により故障部位を特定する故障部位特定手段と、故障部位の特定結果により制御信号を切り替える制御信号切り替え手段と、を有する第１の車両用制御装置と、
　前記第１の車両用制御装置とは別体で構成される第２の車両用制御装置と、を備えた監視システムにおいて、
　前記第２の車両用制御装置に設けられた制御部と、前記第１の車両用制御装置の前記メイン制御部と、前記サブ制御部と、で相互監視を行うこと、を特徴とする監視システム。
　請求項１に記載の監視システムにおいて、
　前記サブ制御部は、前記メイン制御部から出力される演算信号に基づいて該メイン制御部を監視し、該メイン制御部の異常検知時には、前記故障部位特定手段に異常情報を送信すること、を特徴とする監視システム。
　請求項１に記載の監視システムにおいて、
　前記第１の車両用制御装置と前記第２の車両用制御装置とは、通信手段により接続されること、を特徴とする監視システム。
　請求項１に記載の監視システムにおいて、
　前記第１の車両用制御装置と前記第２の車両用制御装置とは、通信手段により接続され、
　前記第２の車両用制御装置に設けられた前記制御部は、前記メイン制御部、又は前記サブ制御部に対し前記通信手段により信号を送信し、前記メイン制御部、又は前記サブ制御部からの返信を確認することで、前記メイン制御部、又は前記サブ制御部の異常を検知すること、を特徴とする監視システム。
　請求項１に記載の監視システムにおいて、
　前記第２の車両用制御装置に設けられた制御部により、前記メイン制御部、又は前記サブ制御部の監視を行い、異常を検知した場合、前記故障部位特定手段に異常情報を送信すること、を特徴とする監視システム。
　請求項１に記載の監視システムにおいて、
　前記故障部位特定手段は、前記メイン制御部と、前記サブ制御部と、前記第２の車両制御装置に設けられた制御部からの監視結果を参照し、多数決により故障部位の特定を行い、その判断結果を制御信号切り替え手段に送信すること、を特徴とする監視システム。
　請求項１に記載の監視システムにおいて、
　前記制御信号切り替え手段は、前記故障部位特定手段からの判断結果に基づき、使用する制御信号を、前記メイン制御部から出力される制御信号か、前記サブ制御部から出力される制御信号か、のどちらかに切り替えること、を特徴とする監視システム。
　請求項１に記載の監視システムにおいて、
　前記第２の車両用制御装置に設けられた前記制御部は、前記メイン制御部、又は前記サブ制御部の異常が検知された場合に、その後に制御対象に対して制御を行う前記メイン制御部、又は前記サブ制御部を監視することを特徴とする監視システム。
　請求項１に記載の監視システムにおいて、
　前記サブ制御部は前記メイン制御部の異常を検知した場合に、前記第２の車両用制御装置に設けられた前記制御部に対して異常信号を送信し、該制御部は前記異常信号を受信した場合に前記サブ制御部の監視を行うことを特徴とする監視システム。
　請求項１に記載の監視システムにおいて、
　前記メイン制御部は前記サブ制御部の監視を行い、前記メイン制御部及び前記サブ制御部のうち一方の制御部は他方の制御部の異常を検知した場合に、前記第２の車両用制御装置に設けられた前記制御部に対して異常信号を送信し、該制御部は前記異常信号を受信した場合に前記一方の制御部の監視を行うことを特徴とする監視システム。
　メイン制御部と、該メイン制御部を監視するサブ制御部と、監視結果により故障部位を特定する故障部位特定手段と、故障部位の特定結果により制御信号を切り替える制御信号切り替え手段と、を備えた車両用制御装置において、
　当該車両用制御装置とは別体で構成される制御装置に設けられた制御部と、前記メイン制御部と、前記サブ制御部と、で相互監視が行われること、を特徴とする車両用制御装置。
　請求項１１に記載の車両用制御装置において、
　前記サブ制御部は、前記メイン制御部から出力される演算信号に基づいて該メイン制御部を監視し、該メイン制御部の異常検知時には、前記故障部位特定手段に異常情報を送信すること、を特徴とする車両用制御装置。
　請求項１１に記載の車両用制御装置において、
　当該車両用制御装置と別体で構成される前記制御装置とは、通信手段により接続されること、を特徴とする車両用制御装置。
　請求項１１に記載の車両用制御装置において、
　当該車両用制御装置と別体で構成される前記制御装置とは、通信手段により接続され、
　前記制御装置に設けられた前記制御部は、前記メイン制御部、又は前記サブ制御部に対し前記通信手段により信号を送信し、前記メイン制御部、又は前記サブ制御部からの返信を確認することで、前記メイン制御部、又は前記サブ制御部の異常を検知すること、を特徴とする車両用制御装置。
　請求項１１に記載の車両用制御装置において、
　当該車両用制御装置とは別体で構成される制御装置に設けられた前記制御部により、前記メイン制御部、又は前記サブ制御部の監視を行い、異常を検知した場合、前記故障部位特定手段に異常情報を送信すること、を特徴とする車両用制御装置。
　請求項１１に記載の車両用制御装置において、
　前記故障部位特定手段は、前記メイン制御部と、前記サブ制御部と、当該車両用制御装置とは別体で構成される制御装置に設けられた前記制御部からの監視結果を参照し、多数決により故障部位の特定を行い、その判断結果を制御信号切り替え手段に送信すること、を特徴とする車両用制御装置。
　請求項１１に記載の車両用制御装置において、
　前記制御信号切り替え手段は、前記故障部位特定手段からの判断結果に基づき、使用する制御信号を、前記メイン制御部から出力される制御信号か、前記サブ制御部から出力される制御信号か、のどちらかに切り替えること、を特徴とする車両用制御装置。
　請求項１１に記載の車両用制御装置において、
　前記制御装置に設けられた前記制御部は、前記メイン制御部、又は前記サブ制御部の異常が検知された場合に、その後に制御対象に対して制御を行う前記メイン制御部、又は前記サブ制御部を監視すること、を特徴とする車両用制御装置。
　請求項１１に記載の車両用制御装置において、
　前記サブ制御部は前記メイン制御部の異常を検知した場合に、前記制御装置に設けられた前記制御部に対して異常信号を送信し、該制御部は前記異常信号を受信した場合に前記サブ制御部の監視を行うこと、を特徴とする車両用制御装置。
　請求項１１に記載の車両用制御装置において、
　前記メイン制御部は前記サブ制御部の監視を行い、前記メイン制御部及び前記サブ制御部のうち一方の制御部は他方の制御部の異常を検知した場合に、前記制御装置に設けられた前記制御部に対して異常信号を送信し、該制御部は前記異常信号を受信した場合に前記一方の制御部の監視を行うこと、を特徴とする車両用制御装置。