車輛用控制裝置及方法
【專利摘要】在變速ECU21的主計(jì)算機(jī)210中構(gòu)建有主處理部211和安全功能處理部212,其中,主處理部211執(zhí)行用于使動(dòng)力傳遞裝置進(jìn)行動(dòng)作的各種處理,安全功能處理部212執(zhí)行執(zhí)行安全功能處理,該安全功能處理是對根據(jù)主處理部211的處理進(jìn)行動(dòng)作的動(dòng)力傳遞裝置20的危險(xiǎn)狀態(tài)進(jìn)行檢測,并且使該動(dòng)力傳遞裝置20處于安全狀態(tài)的處理,安全功能處理部212在執(zhí)行安全功能處理時(shí)監(jiān)控該安全功能處理的執(zhí)行順序是否正確。
【專利說明】車輛用控制裝置及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及包含對安裝在車輛上的車載裝置進(jìn)行控制的計(jì)算機(jī)的車輛用控制裝置及利用了該計(jì)算機(jī)的車輛用控制方法。
【背景技術(shù)】
[0002]以往,作為能夠檢測程序失控的運(yùn)算裝置,已知有對執(zhí)行程序的運(yùn)算部的基準(zhǔn)時(shí)鐘進(jìn)行計(jì)數(shù)且每隔規(guī)定值向運(yùn)算部發(fā)出中斷要求的裝置(例如,參照專利文獻(xiàn)I)。該運(yùn)算裝置在中斷處理時(shí)判定程序的執(zhí)行地址是否存在于規(guī)定范圍內(nèi),在程序的執(zhí)行地址不存在于規(guī)定范圍內(nèi)時(shí)判定為程序處于失控狀態(tài)。另外,作為具有根據(jù)程序來執(zhí)行處理的指令處理部并且對該指令處理部中的程序執(zhí)行失控進(jìn)行檢測的半導(dǎo)體電路裝置,已知有如下的裝置,即,判定由指令處理部訪問的程序空間的地址,并且對判定為指令處理部訪問了非安裝空間的地址的情況進(jìn)行響應(yīng)而執(zhí)行復(fù)位處理,由此止住向非安裝空間的失控(例如,參照專利文獻(xiàn)2)。進(jìn)而,作為對將程序分割為多個(gè)任務(wù)程序且使各任務(wù)程序以規(guī)定順序被執(zhí)行的多任務(wù)程序的失控進(jìn)行檢測的裝置,已知有如下的裝置,該裝置具有:多個(gè)任務(wù)程序存儲(chǔ)單元,其存儲(chǔ)任務(wù)程序,切換單元,其將存儲(chǔ)在這些任務(wù)程序存儲(chǔ)單元中的任務(wù)程序切換為由指令單元指定的任務(wù)程序,判定單元,其判定基于正執(zhí)行的任務(wù)程序得到的程序地址是否存在于所指定的任務(wù)程序的程序地址的范圍內(nèi),在判定為不在范圍內(nèi)的情況下認(rèn)為是失控(例如,參照專利文獻(xiàn)3)。
[0003]現(xiàn)有技術(shù)文獻(xiàn)
[0004]專利文獻(xiàn)
[0005]專利文獻(xiàn)1:日本特開2002-236600號公報(bào)
[0006]專利文獻(xiàn)2:日本特開2006-079230號公報(bào)
[0007]專利文獻(xiàn)3:日本特開平08-106406號公報(bào)
【發(fā)明內(nèi)容】
[0008]上述以往的程序失控檢測技術(shù),基本上只是監(jiān)控當(dāng)前正在執(zhí)行的處理是否包含在預(yù)先決定的地址(程序地址)中,并不能夠監(jiān)控是否執(zhí)行原本應(yīng)執(zhí)行的處理。因此,從確保車輛的安全性的觀點(diǎn)出發(fā),將上述以往的程序失控檢測技術(shù)裝備到包含對車載裝置進(jìn)行控制的計(jì)算機(jī)的車輛用控制裝置上,存在不足。另一方面,在車輛用控制裝置中,還存在用于使車載裝置進(jìn)行動(dòng)作的控制本身變得復(fù)雜的情況,若對所有的處理的執(zhí)行狀態(tài)進(jìn)行監(jiān)控,則導(dǎo)致運(yùn)算負(fù)荷增加,反而對各種處理的順利執(zhí)行造成障礙。
[0009]因此,本發(fā)明的主要目的在于,提供一種能夠抑制運(yùn)算負(fù)荷的增加的同時(shí)更加恰當(dāng)?shù)乜刂栖囕d裝置以確保車輛的安全性的車輛用控制裝置及方法。
[0010]本發(fā)明的車輛用控制裝置及車輛用控制方法為了上述主要目的采用了以下的手段。
[0011]本發(fā)明的車輛用控制裝置,包含對安裝在車輛上的車載裝置進(jìn)行控制的計(jì)算機(jī),該車輛用控制裝置的特征在于,
[0012]該車輛用控制裝置包括:
[0013]主處理部,其執(zhí)行用于使所述車載裝置進(jìn)行動(dòng)作的處理,
[0014]安全功能處理部,其執(zhí)行安全功能處理,在該安全功能處理中,對根據(jù)所述主處理部的處理進(jìn)行動(dòng)作的所述車載裝置的危險(xiǎn)狀態(tài)進(jìn)行檢測,并且使該車載裝置處于安全狀態(tài);
[0015]所述安全功能處理部具有執(zhí)行順序監(jiān)控單元,該執(zhí)行順序監(jiān)控單元在執(zhí)行所述安全功能處理時(shí)監(jiān)控該安全功能處理的執(zhí)行順序是否正確。
[0016]該車輛控制裝置具有主處理部和安全功能處理部,其中,主處理部執(zhí)行用于使車載裝置進(jìn)行動(dòng)作的處理,安全功能處理部執(zhí)行安全功能處理,在該安全功能處理中,對根據(jù)該主處理部的處理進(jìn)行動(dòng)作的車載裝置的危險(xiǎn)狀態(tài)進(jìn)行檢測,并且使車載裝置處于安全狀態(tài)。并且,安全功能處理部具有執(zhí)行順序監(jiān)控單元,該執(zhí)行順序監(jiān)控單元在安全功能處理被執(zhí)行時(shí)監(jiān)控該安全功能處理的執(zhí)行順序是否正確。這樣,在安全功能處理部中設(shè)置有執(zhí)行順序監(jiān)控單元,若對控制車載裝置時(shí)執(zhí)行的各種處理中的用于確保安全功能的安全功能處理的執(zhí)行順序是否正確進(jìn)行監(jiān)控,則能夠抑制安全功能處理以與原本的執(zhí)行順序不同的順序執(zhí)行的情況,從而不需監(jiān)控由主處理部執(zhí)行的處理的執(zhí)行狀態(tài),也能夠良好地確保車輛的安全性。由此,能夠抑制運(yùn)算負(fù)荷的增加的同時(shí)更加恰當(dāng)?shù)乜刂栖囕d裝置以確保車輛的安全性。此外,成為執(zhí)行順序是否正確的監(jiān)控對象的安全功能處理,其本身可以是一個(gè)任務(wù),也可以是在執(zhí)行某個(gè)任務(wù)時(shí)調(diào)出的處理(子程序、函數(shù)等)。
[0017]另外,所述執(zhí)行順序監(jiān)控單元可以包括:定義單元,其定義應(yīng)執(zhí)行的安全功能處理;判定單元,其判定是否執(zhí)行由所述定義單元定義的所述安全功能處理。由此,能夠更加恰當(dāng)?shù)乇O(jiān)控安全功能處理的執(zhí)行順序是否正確。
[0018]進(jìn)而,所述執(zhí)行順序監(jiān)控單元可以包括:分支后處理定義單元,其在所述安全功能處理包含分支處理的情況下,定義在分支后應(yīng)執(zhí)行的分支后處理;分支判定單元,其判定是否執(zhí)行由所述分支后處理定義單元定義的分支后處理。由此,在執(zhí)行包含分支處理的安全功能處理時(shí),能夠更加恰當(dāng)?shù)乇O(jiān)控分支后處理的執(zhí)行順序是否正確。
[0019]另外,所述安全功能處理部可以還具有執(zhí)行周期監(jiān)控單元,在所述安全功能處理是以規(guī)定周期被反復(fù)執(zhí)行的反復(fù)處理的情況下,該執(zhí)行周期監(jiān)控單元與該安全功能處理的執(zhí)行獨(dú)立地監(jiān)控所述安全功能處理的執(zhí)行周期是否包含在正常范圍內(nèi)。這樣,通過監(jiān)控作為反復(fù)處理的安全功能處理的執(zhí)行周期,能夠抑制該安全功能處理以與原本的執(zhí)行周期不同的周期執(zhí)行的情況,從而能夠更良好地確保車輛的安全性。此外,這樣的執(zhí)行周期的監(jiān)控可以通過一個(gè)任務(wù)內(nèi)的與安全功能處理(反復(fù)處理)獨(dú)立的函數(shù)等來執(zhí)行,也可以通過與包含反復(fù)處理的任務(wù)不同的其他的任務(wù)來執(zhí)行,還可以利用與構(gòu)建有主處理部及安全功能處理部的計(jì)算機(jī)不同的其他的計(jì)算機(jī)來執(zhí)行。
[0020]并且,所述車載裝置可以是用于將來自原動(dòng)機(jī)的動(dòng)力向所述車輛的驅(qū)動(dòng)輪傳遞的動(dòng)力傳遞裝置。
[0021]本發(fā)明的車輛用控制方法,使用了對安裝在車輛上的車載裝置進(jìn)行控制的計(jì)算機(jī),
[0022]在該車輛用控制方法中執(zhí)行主處理和安全功能處理,并且僅在執(zhí)行所述安全功能處理時(shí),監(jiān)控該安全功能處理的執(zhí)行順序是否正確,其中,所述主處理用于使所述車載裝置進(jìn)行動(dòng)作,所述安全功能處理用于對根據(jù)所述主處理進(jìn)行動(dòng)作的所述車載裝置的危險(xiǎn)狀態(tài)進(jìn)行檢測,并且使該車載裝置處于安全狀態(tài)。
[0023]根據(jù)該方法,能夠抑制運(yùn)算負(fù)荷的增加的同時(shí)更加恰當(dāng)?shù)乜刂栖囕d裝置以確保車輛的安全性。
【專利附圖】
【附圖說明】
[0024]圖1是作為包含本發(fā)明的車輛用控制裝置的車輛的汽車10的概略結(jié)構(gòu)圖。
[0025]圖2是本發(fā)明的車輛用控制裝置的控制框圖。
[0026]圖3是示出了安全功能處理的執(zhí)行周期的監(jiān)控步驟的一個(gè)例子的流程圖。
[0027]圖4是示出了安全功能處理的執(zhí)行步驟的一個(gè)例子的流程圖。
[0028]圖5是示出了安全功能處理的執(zhí)行步驟的其他例子的流程圖。
【具體實(shí)施方式】
[0029]接著,利用實(shí)施例,說明用于實(shí)施本發(fā)明的方式。
[0030]圖1是作為包含本發(fā)明的車輛用控制裝置的車輛的汽車10的概略結(jié)構(gòu)圖。圖1所示的汽車10包括如下構(gòu)件等:作為原動(dòng)機(jī)的發(fā)動(dòng)機(jī)12,其是通過汽油或輕油這樣的烴類燃料和空氣的混合氣體的爆發(fā)燃燒來輸出動(dòng)力的內(nèi)燃機(jī);發(fā)動(dòng)機(jī)用電子控制單元(下面,稱為“發(fā)動(dòng)機(jī)ECU”)14,其控制發(fā)動(dòng)機(jī)12 ;制動(dòng)用電子控制單元(下面,稱為“制動(dòng)ECU”)16,其控制未圖示的電子控制式油壓制動(dòng)單元;作為車載裝置的動(dòng)力傳遞裝置20,其與發(fā)動(dòng)機(jī)12的曲軸相連接,用于將來自發(fā)動(dòng)機(jī)12的動(dòng)力傳遞至左右驅(qū)動(dòng)輪DW ;作為本發(fā)明的車輛用控制裝置的變速用電子控制單元(下面,稱為“變速EOT”)21,其控制動(dòng)力傳遞裝置20。
[0031]發(fā)動(dòng)機(jī)E⑶14構(gòu)成為以未圖示的CPU (中央處理單元)為中心的微型計(jì)算機(jī),除了包括CPU之外,還包括用于存儲(chǔ)各種程序的ROM(只讀存儲(chǔ)器)、用于暫時(shí)存儲(chǔ)數(shù)據(jù)的RAM(隨機(jī)存取存儲(chǔ)器)、輸入輸出口及通信口(均未圖示)等。如圖1所示,向發(fā)動(dòng)機(jī)E⑶14輸入來自用于檢測油門踏板91的踩踏量(操作量)的油門踏板位置傳感器92的油門開度Acc、來自車速傳感器97的車速V、來自用于檢測曲軸的旋轉(zhuǎn)位置的未圖示的曲軸位置傳感器這樣的各種傳感器等的信號、來自制動(dòng)E⑶16及變速E⑶21的信號等,發(fā)動(dòng)機(jī)E⑶14基于這些信號來控制均未圖示的電子控制式節(jié)氣門閥及燃料噴射閥、火花塞等。
[0032]制動(dòng)E⑶16也構(gòu)成為以未圖示的CPU為中心的微型計(jì)算機(jī),除了包括CPU之外,還包括用于存儲(chǔ)各種程序的ROM、用于暫時(shí)存儲(chǔ)數(shù)據(jù)的RAM、輸入輸出口及通信口(均未圖示)等。如圖1所示,向制動(dòng)E⑶16輸入在踩踏制動(dòng)器踏板93時(shí)由主缸壓傳感器94檢測出的主缸壓、來自車速傳感器97的車速V、來自未圖示的各種傳感器等的信號、來自發(fā)動(dòng)機(jī)ECU14及變速E⑶21的信號等,制動(dòng)E⑶16基于這些信號來控制未圖示的制動(dòng)促動(dòng)器(油壓促動(dòng)器)等。
[0033]動(dòng)力傳遞裝置20包括容置在變速箱22內(nèi)部的液力變矩器(流體傳動(dòng)裝置)23、油泵24、例如作為有級式自動(dòng)變速器的變速器25、齒輪機(jī)構(gòu)26、差動(dòng)機(jī)構(gòu)(差速器齒輪)27、油壓控制裝置30等。液力變矩器23包括與發(fā)動(dòng)機(jī)12的曲軸相連接的輸入側(cè)的泵輪、與變速器25的輸入軸(輸入構(gòu)件)相連接的輸出側(cè)的潤輪、導(dǎo)輪、鎖止離合器、減震機(jī)構(gòu)等(均省略圖示)。此外,也可以取代液力變矩器23而利用沒有導(dǎo)輪的液力偶合器。油泵24構(gòu)成為齒輪泵,具有由泵體和泵蓋構(gòu)成的泵組件和經(jīng)由轂與液力變矩器23的泵輪a相連接的外齒齒輪,借助來自發(fā)動(dòng)機(jī)12的動(dòng)力來吸引在未圖示的油盤中所存積的動(dòng)作油(ATF)并壓送至油壓控制裝置30。
[0034]變速器25能夠一邊將變速擋變更為多個(gè)擋一邊將傳遞至輸入軸的動(dòng)力向輸出軸傳遞,包括多個(gè)行星齒輪機(jī)構(gòu)、用于變更從輸入軸至輸出軸的動(dòng)力傳遞路徑的多個(gè)離合器、制動(dòng)器、單向離合器等。變速器25的輸出軸經(jīng)由齒輪機(jī)構(gòu)26及差動(dòng)機(jī)構(gòu)27與驅(qū)動(dòng)輪DW相連接。另外,多個(gè)離合器及制動(dòng)器通過來自油壓控制裝置30的油壓來接合或斷開。此外,變速器25也可以構(gòu)成為帶式或其他形式的無級變速器。油壓控制裝置30具有配置在閥體內(nèi)的多個(gè)電磁閥及繼動(dòng)閥等,用于生成液力變矩器23及變速器25所要求的油壓并且向各種軸承等潤滑部分供給動(dòng)作油。
[0035]如圖2所示,作為控制動(dòng)力傳遞裝置20的控制裝置的變速E⑶21包括主計(jì)算機(jī)
210、監(jiān)控計(jì)算機(jī)(輔助計(jì)算機(jī))220、用于對來自車速傳感器97、轉(zhuǎn)速傳感器98及油溫傳感器99這樣的各種傳感器的信號進(jìn)行處理的處理電路230、用于驅(qū)動(dòng)控制油壓控制裝置30的驅(qū)動(dòng)電路240,主計(jì)算機(jī)210及監(jiān)控計(jì)算機(jī)220分別構(gòu)成為以均未圖示的CPU為中心的微型計(jì)算機(jī),除了包括CPU之外,還包括用于存儲(chǔ)各種程序的ROM、用于暫時(shí)存儲(chǔ)數(shù)據(jù)的RAM、輸入輸出口及通信口(均未圖示)等。如圖1所示,向變速E⑶21輸入來自油門踏板位置傳感器92的油門開度Acc、來自車速傳感器97的車速V、來自對用于從多個(gè)擋位中選擇所希望的擋位的變速桿95的操作位置進(jìn)行檢測的擋位傳感器96的擋位SR、來自用于檢測變速器25的輸入轉(zhuǎn)速的轉(zhuǎn)速傳感器98及用于檢測油壓控制裝置30中的油溫的油溫傳感器99這樣的各種傳感器等的信號、來自發(fā)動(dòng)機(jī)E⑶14及制動(dòng)E⑶16的信號等,變速E⑶21基于這些信號來控制液力變矩器23及變速器25即油壓控制裝置30。
[0036]并且,如圖2所示,在構(gòu)成變速E⑶21的主計(jì)算機(jī)210中,通過由如CPU、ROM、RAM這樣的硬件及如安裝到ROM上的程序這樣的軟件協(xié)作,來構(gòu)建作為功能塊的主處理部
211、安全功能處理部212及監(jiān)控部215。主處理部211執(zhí)行用于使液力變矩器23及變速器25進(jìn)行動(dòng)作的各種處理(主處理),即執(zhí)行對油壓控制裝置30的整個(gè)控制。安全功能處理部212執(zhí)行對包含液力變矩器23、變速器25及油壓控制裝置30等的動(dòng)力傳遞裝置20的危險(xiǎn)狀態(tài)進(jìn)行檢測,并且使動(dòng)力傳遞裝置20處于安全狀態(tài)的各種任務(wù)(tasks)、子程序(subroutines)、宏命令(macros)、函數(shù)等即安全功能處理。監(jiān)控部215與監(jiān)控計(jì)算機(jī)220一同相互監(jiān)控變速E⑶21本身(硬件)有無異常。如圖所示,在監(jiān)控計(jì)算機(jī)220中,也通過由如CPU、ROM、RAM這樣的硬件及如安裝到ROM上的程序這樣的軟件協(xié)作,來構(gòu)建用于執(zhí)行與主計(jì)算機(jī)210的監(jiān)控部215同樣的處理的監(jiān)控部225。
[0037]如圖2所示,向主計(jì)算機(jī)210的主處理部211經(jīng)由處理電路230輸入來自如油門踏板位置傳感器92、車速傳感器97、轉(zhuǎn)速傳感器98、油溫傳感器99這樣的各種傳感器的信號。主處理部211基于經(jīng)由處理電路230輸入的來自各種傳感器的信號和來自發(fā)動(dòng)機(jī)E⑶14及制動(dòng)ECU16的信號,來生成指令信號,并將該指令信號發(fā)送至驅(qū)動(dòng)電路240。并且,驅(qū)動(dòng)電路240按照來自主處理部211的指令信號來控制油壓控制裝置30的驅(qū)動(dòng)。另外,向變速E⑶21的安全功能處理部212經(jīng)由處理電路230輸入來自如油門踏板位置傳感器92、車速傳感器97、轉(zhuǎn)速傳感器98、油溫傳感器99這樣的各種傳感器的信號,并且輸入指令驅(qū)動(dòng)電路240的信號等。并且,安全功能處理部212執(zhí)行用于基于輸入信號來對包含液力變矩器23、變速器25、油壓控制裝置30等的動(dòng)力傳遞裝置20的危險(xiǎn)狀態(tài)進(jìn)行檢測,并且使動(dòng)力傳遞裝置20處于安全狀態(tài)的處理即安全功能處理,來生成指令信號,并將該指令信號發(fā)送至驅(qū)動(dòng)電路240。進(jìn)而,主計(jì)算機(jī)210的監(jiān)控部215通過對主計(jì)算機(jī)210的CPU、RAM、ROM等進(jìn)行檢查來監(jiān)控硬件有無異常。另外,監(jiān)控計(jì)算機(jī)220的監(jiān)控部225被輸入主處理部211的輸出信號及經(jīng)由處理電路230從各種傳感器傳送來的信號,并基于所輸入的信號來監(jiān)控硬件有無異常。此外,在實(shí)施例中,向安全功能處理部212輸入的來自各種傳感器的信號是,例如通過預(yù)先基于國際標(biāo)準(zhǔn)構(gòu)成硬件及軟件來進(jìn)一步提高可靠性以符合國際標(biāo)準(zhǔn)的信號。
[0038]在此,“危險(xiǎn)狀態(tài)”例如是指,在變速器25中形成與按照預(yù)先決定的變速線圖設(shè)定的變速擋相比齒輪比更大的變速擋的狀態(tài)、如從變速ECU21向發(fā)動(dòng)機(jī)ECU14指示比預(yù)先決定的發(fā)動(dòng)機(jī)12的轉(zhuǎn)矩增加量更大的轉(zhuǎn)矩增加量的狀態(tài)這樣的導(dǎo)致使汽車10發(fā)生駕駛?cè)藛T意想不到的加速的狀態(tài)、如除了針對變速器25的每個(gè)變速擋預(yù)先決定接合的離合器及制動(dòng)器以外的離合器等被接合的狀態(tài)這樣的導(dǎo)致使汽車10發(fā)生駕駛?cè)藛T意想不到的減速的狀態(tài)。另外,“安全狀態(tài)”例如是指,為了使變速器25不能傳遞動(dòng)力而將變速器25設(shè)定為空擋的狀態(tài)、切斷向油壓控制裝置30的所有的電磁閥的電力供給來在變速器25中形成規(guī)定變速擋的狀態(tài)(所謂的跋行回家(limp home)狀態(tài))。
[0039]接著,參照圖3至圖5,說明變速E⑶21的安全功能處理部212的安全功能處理的執(zhí)行步驟。
[0040]圖3例示了在由安全功能處理部212執(zhí)行作為反復(fù)處理的安全功能處理時(shí),為了監(jiān)控該安全功能處理的執(zhí)行周期而由安全功能處理部212反復(fù)執(zhí)行的一系列處理的流程圖。圖3所示的一系列處理例如是通過一個(gè)任務(wù)內(nèi)的與安全功能處理(反復(fù)處理)獨(dú)立的函數(shù)等來執(zhí)行的,或是通過與包含成為對象的安全功能處理(反復(fù)處理)的任務(wù)不同的其他的任務(wù)來執(zhí)行的。
[0041]圖3的一系列處理是每隔規(guī)定周期(例如,IOOmSec)執(zhí)行的處理,首先,從預(yù)先決定的變量獲取成為對象的安全功能處理的調(diào)出時(shí)刻(系統(tǒng)時(shí)間)(步驟S100 )。此外,每當(dāng)通過執(zhí)行程序來調(diào)出該安全功能處理時(shí),將安全功能處理的調(diào)出時(shí)刻保存到上述變量中。接著,基于在步驟Sioo中獲取的調(diào)出時(shí)刻來計(jì)算成為對象的安全功能處理的執(zhí)行周期(步驟S110)。在步驟SllO中,計(jì)算在步驟SlOO中輸入的調(diào)出時(shí)刻和成為對象的安全功能處理的最初的調(diào)出時(shí)刻或前一次執(zhí)行步驟Sioo時(shí)獲取的調(diào)出時(shí)刻之間的差分,作為執(zhí)行周期。當(dāng)計(jì)算出執(zhí)行周期,則判定計(jì)算出的執(zhí)行周期是否是預(yù)先決定的正常范圍外的執(zhí)行周期(步驟S120)。然后,在步驟SllO中計(jì)算出的執(zhí)行周期包含在正常范圍內(nèi)的情況下,在該階段暫時(shí)結(jié)束圖3的一系列處理。相對于此,在步驟SllO中計(jì)算出的執(zhí)行周期是在正常范圍外的執(zhí)行周期的情況下,視為主計(jì)算機(jī)210發(fā)生異常而執(zhí)行該主計(jì)算機(jī)210的復(fù)位處理(步驟S130),當(dāng)復(fù)位處理結(jié)束,則在該階段暫時(shí)結(jié)束圖3的一系列處理。在此,在復(fù)位處理中,包含中止主計(jì)算機(jī)中的安全功能處理的處理、取消(無效)掉來自主計(jì)算機(jī)的輸出信號的處理
坐寸ο
[0042]這樣,通過監(jiān)控反復(fù)執(zhí)行的安全功能處理的執(zhí)行周期,來抑制以與原本的執(zhí)行周期不同的周期執(zhí)行安全功能處理的情況,從而能夠更良好地確保汽車10的安全性。此外,也可以利用與構(gòu)建有主處理部211及安全功能處理部212的主計(jì)算機(jī)210不同的計(jì)算機(jī)即監(jiān)控計(jì)算機(jī)220,來執(zhí)行圖3中的一系列處理。
[0043]圖4是示出了安全功能處理部212的安全功能處理的執(zhí)行步驟的一個(gè)例子的流程圖。在此,圖4的一系列處理,其自身可以是作為一個(gè)任務(wù)的安全功能處理,也可以是在執(zhí)行某一任務(wù)時(shí)調(diào)出的安全功能處理(子程序、宏命令、函數(shù)等)。
[0044]如圖4所示,在執(zhí)行安全功能處理時(shí),首先,獲取作為執(zhí)行對象的安全功能處理在主計(jì)算機(jī)210的ROM中的地址并保存到預(yù)先決定的變量中(步驟S200),由此定義應(yīng)執(zhí)行的安全功能處理。在步驟S200的處理之后,調(diào)出作為執(zhí)行對象的安全功能處理并保存到RAM中(步驟S210)。進(jìn)而,對在步驟S210中調(diào)出的處理的地址和在上述變量中保存的地址進(jìn)行比較(步驟S220)。此外,在步驟S210中調(diào)出的處理在ROM中的地址記述在該處理的程序代碼中。然后,在步驟S210中調(diào)出的處理的地址與在上述變量中保存的地址一致的情況下(步驟S230 是”),按照原樣執(zhí)行在步驟S210中調(diào)出的處理即在步驟S200中定義的安全功能處理(步驟S240),并在安全功能處理的執(zhí)行結(jié)束的階段結(jié)束圖4的一系列處理。相對于此,在步驟S210中調(diào)出的處理的地址與在保存在上述變量中保存的地址不一致的情況下(步驟S230 否”),執(zhí)行主計(jì)算機(jī)210的復(fù)位處理(步驟S250),當(dāng)復(fù)位處理結(jié)束,則在該階段結(jié)束圖4的一系列處理。
[0045]這樣,在將作為執(zhí)行對象的安全功能處理在主計(jì)算機(jī)210的ROM中的地址保存到變量中來定義應(yīng)執(zhí)行的安全功能處理后(步驟S200),通過對實(shí)際調(diào)出的處理的地址和在該變量中保存的地址進(jìn)行比較來判定是否正在執(zhí)行所定義的安全功能處理(步驟S220、S230),由此能夠更加恰當(dāng)?shù)乇O(jiān)控安全功能處理的執(zhí)行順序是否正確。因此,即使在例如因CPU的異常等而程序失控這樣的情況下,也能夠通過復(fù)位處理來止住該失控,從而能夠更加恰當(dāng)?shù)乜刂苿?dòng)力傳遞裝置20以確保汽車10的安全性。
[0046]圖5是示出了安全功能處理部212的安全功能處理的執(zhí)行步驟的其他例子的流程圖。圖5的一系列處理在作為執(zhí)行對象的安全功能處理包含分支處理的情況下執(zhí)行。
[0047]如圖5所示,在執(zhí)行包含分支處理的安全功能處理時(shí),首先,將在執(zhí)行基于所謂的“if”語句、“while”語句及“switch”語句等的分支處理之后應(yīng)執(zhí)行的分支后處理的虛擬地址保存到預(yù)先決定的變量中(步驟S300),由此定義應(yīng)執(zhí)行的分支后處理。在此,與調(diào)出如參照圖4說明的安全功能處理(子程序、宏命令、函數(shù)等)本身的情況相比,獲取分支后處理在ROM中的地址(實(shí)際地址)并不容易。因此,在實(shí)施例中,在與包含分支處理的安全功能處理相關(guān)的程序中,將在分支后執(zhí)行的分支后處理的虛擬地址定義為常數(shù),在步驟S300中,將與分支結(jié)果相對應(yīng)的分支后處理的虛擬地址保存到上述變量中。接著,在步驟S300的處理之后,對在分支后實(shí)際執(zhí)行的處理的地址和在上述變量中保存的虛擬地址進(jìn)行比較(步驟S310)。然后,在分支后實(shí)際執(zhí)行的處理的虛擬地址與在上述變量中保存的虛擬地址一致的情況下(步驟S320 是”),按照原樣執(zhí)行該處理即在步驟S300中定義的分支后處理(步驟S330),在分支后處理的執(zhí)行結(jié)束的階段結(jié)束圖5的一系列處理。相對于此,在分支后實(shí)際執(zhí)行的處理的虛擬地址與在上述變量中保存的虛擬地址不一致的情況下(步驟S320:“否”),執(zhí)行主計(jì)算機(jī)210的復(fù)位處理(步驟S340),當(dāng)復(fù)位處理結(jié)束,則在該階段結(jié)束圖5的一系列處理。
[0048]這樣,在作為執(zhí)行對象的安全功能處理包含分支處理的情況下,在將虛擬地址保存到變量中來定義應(yīng)在分支后執(zhí)行的分支后處理后(步驟S300),通過對在分支后實(shí)際執(zhí)行的處理的虛擬地址和在該變量中保存的地址進(jìn)行比較來判定是否正在執(zhí)行所定義的分支后處理(步驟S310、S320),由此能夠更加恰當(dāng)?shù)乇O(jiān)控分支后處理的執(zhí)行順序是否正確。
[0049]如上面的說明,在作為車輛控制裝置的變速E⑶21的主計(jì)算機(jī)210中構(gòu)建有主處理部211和安全功能處理部212,其中,主處理部211執(zhí)行用于使作為車載裝置的動(dòng)力傳遞裝置20進(jìn)行動(dòng)作的多個(gè)處理,安全功能處理部212執(zhí)行用于對動(dòng)力傳遞裝置20的危險(xiǎn)狀態(tài)進(jìn)行檢測并使該動(dòng)力傳遞裝置20處于安全狀態(tài)的多個(gè)安全功能處理。并且,安全功能處理部212在執(zhí)行安全功能處理時(shí)按照圖3及圖4所示的步驟來監(jiān)控該安全功能處理的執(zhí)行順序是否正確。這樣,若監(jiān)控在控制動(dòng)力傳遞裝置20時(shí)執(zhí)行的各種處理中的用于確保安全功能的安全功能處理的執(zhí)行順序是否正確,則能夠抑制安全功能處理以與原本的執(zhí)行順序不同的順序執(zhí)行的情況,從而不需監(jiān)控由主處理部211執(zhí)行的處理的執(zhí)行狀態(tài),也能夠良好地確保汽車10的安全性。由此,能夠抑制主處理部211的運(yùn)算負(fù)荷的增加的同時(shí)更加恰當(dāng)?shù)乜刂苿?dòng)力傳遞裝置20以確保汽車10的安全性。此外,上述實(shí)施例的變速E⑶21包含主計(jì)算機(jī)210和監(jiān)控計(jì)算機(jī)(輔助計(jì)算機(jī))220,但也可以從變速E⑶21中省略監(jiān)控計(jì)算機(jī)220。
[0050]在此,說明實(shí)施例的主要構(gòu)件與
【發(fā)明內(nèi)容】
中記載的發(fā)明的主要構(gòu)件的對應(yīng)關(guān)系。即,在上述實(shí)施例中,包含對作為安裝在汽車10上的車載裝置的動(dòng)力傳遞裝置20進(jìn)行控制的主計(jì)算機(jī)210的變速E⑶21相當(dāng)于“車輛用控制裝置”,執(zhí)行用于使動(dòng)力傳遞裝置20進(jìn)行動(dòng)作的各種處理的主處理部211相當(dāng)于“主處理部”,執(zhí)行用于對動(dòng)力傳遞裝置20的危險(xiǎn)狀態(tài)進(jìn)行檢測并使動(dòng)力傳遞裝置20處于安全狀態(tài)的安全功能處理的安全功能處理部212相當(dāng)于“安全功能處理部”,在執(zhí)行安全功能處理時(shí)用于監(jiān)控該安全功能處理的執(zhí)行順序是否正確的圖4的步驟S200?S230及圖5的步驟S300?S320相當(dāng)于“執(zhí)行順序監(jiān)控單元”。另外,圖4的步驟S200相當(dāng)于用于定義應(yīng)執(zhí)行的安全功能處理的“定義單元”,圖4的步驟S220、S230相當(dāng)于用于判定是否執(zhí)行由定義單元定義的安全功能處理的“判定單元”,圖5的步驟S300相當(dāng)于用于定義在分支后應(yīng)執(zhí)行的分支后處理的“分支后處理定義單元”,圖5的步驟S310、S320相當(dāng)于用于判定是否執(zhí)行所定義的分支后處理的“分支判定單元”,圖3的步驟SlOO?S120相當(dāng)于在安全功能處理是以規(guī)定周期反復(fù)執(zhí)行的反復(fù)處理的情況下與安全功能處理的執(zhí)行獨(dú)立地對該安全功能處理的執(zhí)行周期是否包含在正常范圍內(nèi)進(jìn)行監(jiān)控的“執(zhí)行周期監(jiān)控單元”。
[0051]但是,此外,實(shí)施例的主要的構(gòu)件與
【發(fā)明內(nèi)容】
中記載的發(fā)明的主要的構(gòu)件的對應(yīng)關(guān)系僅為用于具體說明通過實(shí)施例實(shí)施
【發(fā)明內(nèi)容】
中記載的發(fā)明的一個(gè)例子,因此不限定
【發(fā)明內(nèi)容】
中記載的發(fā)明的構(gòu)件。即,應(yīng)該基于
【發(fā)明內(nèi)容】
中記載內(nèi)容,解釋其中記載的發(fā)明,實(shí)施例僅為
【發(fā)明內(nèi)容】
中記載的發(fā)明的具體的一個(gè)例子。
[0052]以上,利用實(shí)施例說明了用于實(shí)施本發(fā)明的方式,但是本發(fā)明不被這樣的實(shí)施例限定,在不脫離本發(fā)明的宗旨的范圍內(nèi),能夠以各種方式進(jìn)行實(shí)施。
[0053]產(chǎn)業(yè)上的可利用性
[0054]本發(fā)明能夠在車輛及車載裝置的制造產(chǎn)業(yè)中應(yīng)用。
【權(quán)利要求】
1.一種車輛用控制裝置,包含對安裝在車輛上的車載裝置進(jìn)行控制的計(jì)算機(jī),該車輛用控制裝置的特征在于, 該車輛用控制裝置包括: 主處理部,其執(zhí)行用于使所述車載裝置進(jìn)行動(dòng)作的處理, 安全功能處理部,其執(zhí)行安全功能處理,在該安全功能處理中,對根據(jù)所述主處理部的處理進(jìn)行動(dòng)作的所述車載裝置的危險(xiǎn)狀態(tài)進(jìn)行檢測,并且使該車載裝置處于安全狀態(tài); 所述安全功能處理部具有執(zhí)行順序監(jiān)控單元,該執(zhí)行順序監(jiān)控單元在執(zhí)行所述安全功能處理時(shí)監(jiān)控該安全功能處理的執(zhí)行順序是否正確。
2.如權(quán)利要求1所述的車輛用控制裝置,其特征在于, 所述執(zhí)行順序監(jiān)控單元包括: 定義單元,其定義應(yīng)執(zhí)行的安全功能處理; 判定單元,其判定是否執(zhí)行由所述定義單元定義的所述安全功能處理。
3.如權(quán)利要求1或2所述的車輛用控制裝置,其特征在于, 所述執(zhí)行順序監(jiān)控單元包括: 分支后處理定義單元,其在所述安全功能處理包含分支處理的情況下,定義在分支后應(yīng)執(zhí)行的分支后處理; 分支判定單元,其判定是否執(zhí)行由所述分支后處理定義單元定義的分支后處理。
4.如權(quán)利要求1至3中任一項(xiàng)所述的車輛控制裝置,其特征在于, 所述安全功能處理部還具有執(zhí)行周期監(jiān)控單元,在所述安全功能處理是以規(guī)定周期反復(fù)執(zhí)行的反復(fù)處理的情況下,該執(zhí)行周期監(jiān)控單元與該安全功能處理的執(zhí)行獨(dú)立地監(jiān)控所述安全功能處理的執(zhí)行周期是否包含在正常范圍內(nèi)。
5.如權(quán)利要求1至4中任一項(xiàng)所述的車輛控制裝置,其特征在于, 所述車載裝置是用于將來自原動(dòng)機(jī)的動(dòng)力向所述車輛的驅(qū)動(dòng)輪傳遞的動(dòng)力傳遞裝置。
6.一種車輛用控制方法,使用了對安裝在車輛上的車載裝置進(jìn)行控制的計(jì)算機(jī),該車輛用控制方法的特征在于, 執(zhí)行主處理和安全功能處理,并且僅在執(zhí)行所述安全功能處理時(shí),監(jiān)控該安全功能處理的執(zhí)行順序是否正確,其中,所述主處理用于使所述車載裝置進(jìn)行動(dòng)作,所述安全功能處理用于對根據(jù)所述主處理進(jìn)行動(dòng)作的所述車載裝置的危險(xiǎn)狀態(tài)進(jìn)行檢測,并且使該車載裝置處于安全狀態(tài)。
【文檔編號】B60R16/02GK103827835SQ201280046796
【公開日】2014年5月28日 申請日期:2012年12月27日 優(yōu)先權(quán)日:2011年12月28日
【發(fā)明者】稻倉恒一, 佐野徹哉, 水本崇博, 田口雅敏 申請人:愛信艾達(dá)株式會(huì)社