DE60100962T2 - Methode zu Erkennung von Anomalien in mehreren Prozessor- oder Regeleinheiten - Google Patents

Methode zu Erkennung von Anomalien in mehreren Prozessor- oder Regeleinheiten Download PDF

Info

Publication number
DE60100962T2
DE60100962T2 DE60100962T DE60100962T DE60100962T2 DE 60100962 T2 DE60100962 T2 DE 60100962T2 DE 60100962 T DE60100962 T DE 60100962T DE 60100962 T DE60100962 T DE 60100962T DE 60100962 T2 DE60100962 T2 DE 60100962T2
Authority
DE
Germany
Prior art keywords
reset
control device
control cpu
control
control system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60100962T
Other languages
English (en)
Other versions
DE60100962D1 (de
Inventor
Mitsuhiro Toyota-shi Nada
Shinichi Toyota-shi Matsumoto
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from JP2000101379A external-priority patent/JP3617407B2/ja
Priority claimed from JP2000132000A external-priority patent/JP3452027B2/ja
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Application granted granted Critical
Publication of DE60100962D1 publication Critical patent/DE60100962D1/de
Publication of DE60100962T2 publication Critical patent/DE60100962T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60KARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
    • B60K6/00Arrangement or mounting of plural diverse prime-movers for mutual or common propulsion, e.g. hybrid propulsion systems comprising electric motors and internal combustion engines ; Control systems therefor, i.e. systems controlling two or more prime movers, or controlling one of these prime movers and any of the transmission, drive or drive units Informative references: mechanical gearings with secondary electric drive F16H3/72; arrangements for handling mechanical energy structurally associated with the dynamo-electric machine H02K7/00; machines comprising structurally interrelated motor and generator parts H02K51/00; dynamo-electric machines not otherwise provided for in H02K see H02K99/00
    • B60K6/20Arrangement or mounting of plural diverse prime-movers for mutual or common propulsion, e.g. hybrid propulsion systems comprising electric motors and internal combustion engines ; Control systems therefor, i.e. systems controlling two or more prime movers, or controlling one of these prime movers and any of the transmission, drive or drive units Informative references: mechanical gearings with secondary electric drive F16H3/72; arrangements for handling mechanical energy structurally associated with the dynamo-electric machine H02K7/00; machines comprising structurally interrelated motor and generator parts H02K51/00; dynamo-electric machines not otherwise provided for in H02K see H02K99/00 the prime-movers consisting of electric motors and internal combustion engines, e.g. HEVs
    • B60K6/22Arrangement or mounting of plural diverse prime-movers for mutual or common propulsion, e.g. hybrid propulsion systems comprising electric motors and internal combustion engines ; Control systems therefor, i.e. systems controlling two or more prime movers, or controlling one of these prime movers and any of the transmission, drive or drive units Informative references: mechanical gearings with secondary electric drive F16H3/72; arrangements for handling mechanical energy structurally associated with the dynamo-electric machine H02K7/00; machines comprising structurally interrelated motor and generator parts H02K51/00; dynamo-electric machines not otherwise provided for in H02K see H02K99/00 the prime-movers consisting of electric motors and internal combustion engines, e.g. HEVs characterised by apparatus, components or means specially adapted for HEVs
    • B60K6/36Arrangement or mounting of plural diverse prime-movers for mutual or common propulsion, e.g. hybrid propulsion systems comprising electric motors and internal combustion engines ; Control systems therefor, i.e. systems controlling two or more prime movers, or controlling one of these prime movers and any of the transmission, drive or drive units Informative references: mechanical gearings with secondary electric drive F16H3/72; arrangements for handling mechanical energy structurally associated with the dynamo-electric machine H02K7/00; machines comprising structurally interrelated motor and generator parts H02K51/00; dynamo-electric machines not otherwise provided for in H02K see H02K99/00 the prime-movers consisting of electric motors and internal combustion engines, e.g. HEVs characterised by apparatus, components or means specially adapted for HEVs characterised by the transmission gearings
    • B60K6/365Arrangement or mounting of plural diverse prime-movers for mutual or common propulsion, e.g. hybrid propulsion systems comprising electric motors and internal combustion engines ; Control systems therefor, i.e. systems controlling two or more prime movers, or controlling one of these prime movers and any of the transmission, drive or drive units Informative references: mechanical gearings with secondary electric drive F16H3/72; arrangements for handling mechanical energy structurally associated with the dynamo-electric machine H02K7/00; machines comprising structurally interrelated motor and generator parts H02K51/00; dynamo-electric machines not otherwise provided for in H02K see H02K99/00 the prime-movers consisting of electric motors and internal combustion engines, e.g. HEVs characterised by apparatus, components or means specially adapted for HEVs characterised by the transmission gearings with the gears having orbital motion
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W20/00Control systems specially adapted for hybrid vehicles
    • B60W20/10Controlling the power contribution of each of the prime movers to meet required power demand
    • B60W20/11Controlling the power contribution of each of the prime movers to meet required power demand using model predictive control [MPC] strategies, i.e. control methods based on models predicting performance
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60KARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
    • B60K6/00Arrangement or mounting of plural diverse prime-movers for mutual or common propulsion, e.g. hybrid propulsion systems comprising electric motors and internal combustion engines ; Control systems therefor, i.e. systems controlling two or more prime movers, or controlling one of these prime movers and any of the transmission, drive or drive units Informative references: mechanical gearings with secondary electric drive F16H3/72; arrangements for handling mechanical energy structurally associated with the dynamo-electric machine H02K7/00; machines comprising structurally interrelated motor and generator parts H02K51/00; dynamo-electric machines not otherwise provided for in H02K see H02K99/00
    • B60K6/20Arrangement or mounting of plural diverse prime-movers for mutual or common propulsion, e.g. hybrid propulsion systems comprising electric motors and internal combustion engines ; Control systems therefor, i.e. systems controlling two or more prime movers, or controlling one of these prime movers and any of the transmission, drive or drive units Informative references: mechanical gearings with secondary electric drive F16H3/72; arrangements for handling mechanical energy structurally associated with the dynamo-electric machine H02K7/00; machines comprising structurally interrelated motor and generator parts H02K51/00; dynamo-electric machines not otherwise provided for in H02K see H02K99/00 the prime-movers consisting of electric motors and internal combustion engines, e.g. HEVs
    • B60K6/42Arrangement or mounting of plural diverse prime-movers for mutual or common propulsion, e.g. hybrid propulsion systems comprising electric motors and internal combustion engines ; Control systems therefor, i.e. systems controlling two or more prime movers, or controlling one of these prime movers and any of the transmission, drive or drive units Informative references: mechanical gearings with secondary electric drive F16H3/72; arrangements for handling mechanical energy structurally associated with the dynamo-electric machine H02K7/00; machines comprising structurally interrelated motor and generator parts H02K51/00; dynamo-electric machines not otherwise provided for in H02K see H02K99/00 the prime-movers consisting of electric motors and internal combustion engines, e.g. HEVs characterised by the architecture of the hybrid electric vehicle
    • B60K6/44Series-parallel type
    • B60K6/445Differential gearing distribution type
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60KARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
    • B60K6/00Arrangement or mounting of plural diverse prime-movers for mutual or common propulsion, e.g. hybrid propulsion systems comprising electric motors and internal combustion engines ; Control systems therefor, i.e. systems controlling two or more prime movers, or controlling one of these prime movers and any of the transmission, drive or drive units Informative references: mechanical gearings with secondary electric drive F16H3/72; arrangements for handling mechanical energy structurally associated with the dynamo-electric machine H02K7/00; machines comprising structurally interrelated motor and generator parts H02K51/00; dynamo-electric machines not otherwise provided for in H02K see H02K99/00
    • B60K6/20Arrangement or mounting of plural diverse prime-movers for mutual or common propulsion, e.g. hybrid propulsion systems comprising electric motors and internal combustion engines ; Control systems therefor, i.e. systems controlling two or more prime movers, or controlling one of these prime movers and any of the transmission, drive or drive units Informative references: mechanical gearings with secondary electric drive F16H3/72; arrangements for handling mechanical energy structurally associated with the dynamo-electric machine H02K7/00; machines comprising structurally interrelated motor and generator parts H02K51/00; dynamo-electric machines not otherwise provided for in H02K see H02K99/00 the prime-movers consisting of electric motors and internal combustion engines, e.g. HEVs
    • B60K6/50Architecture of the driveline characterised by arrangement or kind of transmission units
    • B60K6/54Transmission for changing ratio
    • B60K6/547Transmission for changing ratio the transmission being a stepped gearing
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/04Conjoint control of vehicle sub-units of different type or different function including control of propulsion units
    • B60W10/06Conjoint control of vehicle sub-units of different type or different function including control of propulsion units including control of combustion engines
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/04Conjoint control of vehicle sub-units of different type or different function including control of propulsion units
    • B60W10/08Conjoint control of vehicle sub-units of different type or different function including control of propulsion units including control of electric propulsion units, e.g. motors or generators
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G2600/00Indexing codes relating to particular elements, systems or processes used on suspension systems or suspension control systems
    • B60G2600/08Failure or malfunction detecting means
    • B60G2600/084Supervisory systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G2600/00Indexing codes relating to particular elements, systems or processes used on suspension systems or suspension control systems
    • B60G2600/08Failure or malfunction detecting means
    • B60G2600/086Redundant systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60KARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
    • B60K1/00Arrangement or mounting of electrical propulsion units
    • B60K1/02Arrangement or mounting of electrical propulsion units comprising more than one electric motor
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L2240/00Control parameters of input or output; Target parameters
    • B60L2240/40Drive Train control parameters
    • B60L2240/42Drive Train control parameters related to electric machines
    • B60L2240/421Speed
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W20/00Control systems specially adapted for hybrid vehicles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2510/00Input parameters relating to a particular sub-units
    • B60W2510/08Electric propulsion units
    • B60W2510/081Speed
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2510/00Input parameters relating to a particular sub-units
    • B60W2510/24Energy storage means
    • B60W2510/242Energy storage means for electrical energy
    • B60W2510/244Charge state
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24015Monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24024Safety, surveillance
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24108Correct fault so that microprocessor functions correctly, without reset
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/60Other road transportation technologies with climate change mitigation effect
    • Y02T10/62Hybrid vehicles
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/60Other road transportation technologies with climate change mitigation effect
    • Y02T10/64Electric machine technologies in electromobility
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S903/00Hybrid electric vehicles, HEVS
    • Y10S903/902Prime movers comprising electrical and internal combustion motors
    • Y10S903/903Prime movers comprising electrical and internal combustion motors having energy storing means, e.g. battery, capacitor
    • Y10S903/947Characterized by control of braking, e.g. blending of regeneration, friction braking

Landscapes

  • Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Description

  • Die Erfindung betrifft allgemein eine Reihe von Bearbeitungen, die ausgeführt werden, wenn ein Fehler wie beispielsweise ein Operationsfehler in irgendeiner aus einer Vielzahl von CPUs oder einer Vielzahl von Steuerungseinrichtungen auftritt, die in einem Hardware-Aufbau enthalten sind. In einer konkreten Anwendung betrifft die vorliegende Erfindung eine Steuerungstechnik, die zur Steuerung eines Objekts angewendet wird.
  • Die neusten Größen- und Kostenverringerungen von computerunterstützten Steuerungseinrichtungen verursachen oft, dass eine große Anzahl von Steuerungseinrichtungen in eine Vielzahl von Geräten eingebaut werden und als ein gesamtes Steuerungssystem arbeiten. Beispielsweise ist eine Vielfalt von Steuerungseinrichtungen einschließlich einer Maschinensteuerungseinrichtung, die eine Brennkraftmaschine steuert, und einer Bremssteuerungseinrichtung, die die Bremskraft regelt, in einem Fahrzeug eingebaut, bei dem es sich um ein bewegliches Objekt mit einer Hauptantriebsmaschine handelt. Die Vielfalt der Steuerungseinrichtungen senden einander erforderliche Informationen über Kommunikationsleitungen und dienen als umfassendes Steuerungssystem, das insgesamt das bewegliche Objekt steuert. Diese Anordnung ist nicht auf Fahrzeuge beschränkt, sondern kann in einer Vielzahl von Gebieten, beispielsweise andere bewegliche Objekte wie Flugzeuge und Schiffe, Werkzeugmaschinen, Anlagensteuerungsgeräte und Herstellungsausrüstung angewandt werden.
  • Die Anordnung der Steuerung des gesamten Geräts oder des gesamten Systems nicht mit einem einzelnen Computer sondern mit einer großen Anzahl von Steuerungseinrichtungen beschränkt in wünschenswerterweise den erforderlichen Steuerungsbereich jeder Steuerungseinrichtung und vereinfacht in vorteilhafter Weise das in jeder Steuerungseinrichtung verwendete Verarbeitungsprogramm und erleichtert die Verifizierung der Gültigkeit der Verarbeitung. Diese Anordnung begrenzt ebenfalls die Gesamtanzahl von Eingängen in und Ausgängen aus jeder Steuerungseinrichtung, wodurch die Verarbeitungsgeschwindigkeit von angeschlossenen Elementen wie Betätigungsgliedern verbessert wird.
  • In dem Steuerungssystem, das eine Vielzahl von Steuerungseinrichtungen für die Steuerung verwendet, ist es ein wichtiger Punkt, wie ein in jeder Steuerungseinrichtung auftretender Fehler behandelt wird. Eine digitale Steuerungseinrichtung weist im Allgemeinen eine Überwachungsschaltung auf, die dem Betrieb einer interessierenden CPU überwacht und die interessierende CPU in Reaktion auf eine Erfassung einer in der interessierenden CPU auftretenden Anormalität zurücksetzt. Die Überwachungsschaltung kann eine andere CPU sein, die sich von der interessierenden CPU unterscheidet, oder kann eine Watchdog-Schaltung sein.
  • Beispielsweise verwendet die in der japanischen Offenlegungsschrift 5-143496 offenbarte Technik eine Hilfs-CPU zur Überwachung einer Haupt-CPU in einer Airbag-Einheit für ein Fahrzeug. Die Hilfs-CPU überwacht den Betrieb der Haupt-CPU und aktiviert eine Blockierschaltung in Reaktion auf die Erfassung einer in der Haupt-CPU auftretenden Anormalität, um die Ausgabe von Signalen aus der Haupt-CPU zu einer externen Schaltung zu unterbinden.
  • Eine Überwachungsschaltung, die in einer Steuerungseinrichtung eines fremdkraftbetätigten Lenkrades angewandt ist, ist in der japanischen Offenlegungsschrift Nr. 11-314573 offenbart. Ein Watchdog-Zeitgeber oder eine Schaltung zur Erfassung eines übermäßigen Stroms kann für die Überwachungsschaltung angewandt werden.
  • In dem Fall, dass eine Vielzahl von CPUs zur Steuerung eines beweglichen Objekts verwendet werden, kann der anwendbare Aufbau zulassen, dass die CPUs gegenseitig die Operationen der anderen CPUs überwachen. Beispielsweise überwacht in einer möglichen Konfiguration jede von zwei CPUs, die jeweils zwei Hauptantriebsmaschinen steuern, die Operation der anderen CPU und setzt die andere CPU in Reaktion auf die Erfassung einer in der anderen CPU auftretenden Anormalität zurück.
  • In der Struktur, dass die Vielzahl von CPUs gegenseitig die anderen CPUs überwachen, setzt, wenn eine CPU zurückgesetzt wird, die CPU aufeinanderfolgend eine weitere CPU während der Reaktivierung zurück. Dies liegt daran, dass der Rücksetzvorgang einer CPU im Allgemeinen bewirkt, dass die gesamte periphere Schaltungskonfiguration einschließlich der CPU zurückgesetzt wird. Dies führt zu einem endlosen Kreislauf der Rücksetzvorgänge der CPUs und verhindert somit, dass die Steuerungseinrichtung zu dem normalen Zustand wiederhergestellt wird.
  • Eine gewisse Anormalität der Steuerungseinrichtung wird einer Anormalität zugeschrieben, die in einer Arithmetiklogikoperationsschaltung auftritt. Falls eine Anormalität in einer in einer Steuerungseinrichtung enthaltenen Arithmetiklogikoperationsschaltung auftritt, kann die Steuerungseinrichtung das Auftreten eines Fehlers nicht korrekt erfassen.
  • Die Verteilung der Steuerung auf eine große Anzahl von Steuerungseinrichtungen führt zu einem anderen technischen Punkt, nämlich, wie die Gültigkeit der durch eine andere Steuerungseinrichtung ausgeführte Verarbeitung gewährleistet werden kann. Eine Maßnahme gegen diesen Punkt wurde in der japanischen Offenlegungsschrift Nr. 9-46803 vorgeschlagen. Diese vorgeschlagene Technik verursacht, dass die jeweiligen Steuerungseinrichtungen sich gegenseitig darin verarbeitete Daten senden, einen Vergleich zwischen den gesendeten Daten ausführen und die Steuerung im Fall einer Inkonsistenz stoppen. Eine weitere in verschiedenen Weisen vorgeschlagene Technik stellt ein spezifisches Gerät bereit, das ausschließlich zur Verifizierung der Gültigkeit der Verarbeitung verwendet wird (beispielsweise ein Diagnosecomputer) und die Operation jeder Steuerungseinrichtung überwacht. Wie es vorstehend beschrieben worden ist, gibt es eine weitere allgemein bekannte Technik, die einen Watchdog-Zeitgeber bereitstellt, um eine Anormalität in der sequentiellen Folge von Verarbeitungen beispielsweise aufgrund eines in einem Verarbeitungsprogramm vorhandenen Fehlers (Bug) in jeder Steuerungseinrichtung zu erfassen und die Steuerungseinrichtung zurückzusetzen.
  • Jede dieser vorgeschlagenen Techniken erhöht jedoch in nicht wünschenswerter Weise die Anzahl von Objekten, die einer Verifizierung zur Überprüfung der Gültigkeit der Verarbeitung unterzogen werden, in geometrischer Progression mit einem Anstieg der Anzahl der Steuerungseinrichtungen, einen Anstieg der Anzahl von Anlagen, die durch die Steuerungseinrichtungen zu steuernde Objekt sind, oder mit einem Anstieg in der Menge von dazwischen gesendeten Informationen. Dies führt zu einer signifikant starken Belastung in Bezug auf die Last der Verarbeitung, die in den jeweiligen Steuerungseinrichtungen auszuführen ist. Eine mögliche Maßnahme zur Verhinderung einer derartigen starken Belastung ist die Verwendung eines Diagnosecomputers, der ausschließlich für die Verifizierung verwendet wird. Unter der Bedingung einer ansteigenden Anzahl von Signalleitungen oder einer ansteigenden Menge von Informationen, die aus jeder Steuerungseinrichtung zu dem Diagnosecomputer ausgegeben wird, gewährleistet diese Struktur jedoch nicht eine Echtzeitverifizierung. Die Verwendung einer spezifischen Vorrichtung ausschließlich zur Verifizierung der Gültigkeit der Verarbeitung verkompliziert die Struktur des gesamten Steuerungssystems in nicht wünschenswerter Weise und erhöht die erforderlichen Kosten.
  • Wenn die jeweiligen Steuerungseinrichtungen signifikant komplizierte Operationen ausführen, tritt ein anderer Punkt auf, nämlich, wie und was zu verifizieren ist. Eine mögliche Maßnahme gegen diesen Punkt ordnet Gewichte den durch die jeweiligen Steuerungseinrichtungen ausgeführten Operationen zu und führt eine strikte Verifizierung für die Operation, die essentiell wichtige Daten für das gesamte System erzeugt, und führt die essentielle Operation aus, die wichtig für die Steuerung des gesamten Systems ist. In dem beweglichen Objekt wie ein Fahrzeug können jedoch alle Daten als wichtig und essentiell angesehen werden. Das aufgebaute System muss somit alle darin ausgeführten Operationen verifizieren. Dementsprechend gab es keine umfassende Maßnahme gegen die vorstehend beschriebenen Punkte.
  • Die EPA-0 103 850 offenbart einen Rücksetzmechanismus in einem Multiprozessor-Maschinensteuerungssystem zum selektiven Zurücksetzen einzelner Prozessoren. Dieser Mechanismus ist durch einen festgelegten Master-Prozessor implementiert, der für ein selektives Zurücksetzen der Prozessoren des Systems in Reaktion auf eine Systemanormalität oder einen Software-Zusammenbruch vorgesehen ist. Eine getrennte Rücksetzschaltung ist mit dem Master-Prozessor zur Bereitstellung getrennter Rücksetzsignale zu jeden der anderen Prozessoren vorgesehen. Bei Erfassung, dass ein bestimmter Prozessor gerade zusammenbricht, aktiviert der Master-Prozessor selektiv die Rücksetzschaltung für diesen bestimmten Prozessor.
  • Die US-A-5 390 103 offenbart eine programmierbare Steuerungseinrichtung für sequentielle Steuerungen von Zusammenbaulinien und Verfahren zur Steuerung derselben. Die Steuerungseinrichtung weist erste und zweite CPUs für eine zyklische Ausführung eines in Anwenderspeicher gespeicherten Anwenderprogramms. Ausführungszyklen einer der zwei CPUs sind mit denjenigen der anderen CPUs mittels eines Synchronisationssignals synchronisiert, so dass gleichzeitige Zugriffe auf einen Eingabe-/Ausgabebus nicht stattfindet. Nach dem Starten (Booten) wird die zweite CPU mit der ersten synchronisiert. Wenn die zwei CPUs in Ausführungszyklen des Anwenderprogramms gelangen, wird eine anormal funktionierende CPU zeitweilig gehalten, und danach werden die Ausführungszyklen einer derartigen CPU zu denjenigen der normal funktionierenden CPU synchronisiert.
  • Die JP-A-07 143 210 offenbart ein System, das in eine frühere Stufe zurückversetzt werden kann, indem der Verlauf (Historie) einer Steuerungseinrichtung vor Erzeugung einer Anormalität innerhalb der Steuerungseinrichtung gespeichert wird. Berechnete Ergebnisse verschiedener Steuerungseinrichtungen werden abgeglichen, und wenn die Ergebnisse einer ersten Steuerungseinrichtung und einer zweiten Steuerungseinrichtung übereinstimmen, und eine Nichtübereinstimmung mit dem Ergebnis einer dritten Steuerungseinrichtung auftritt, werden die Ergebnisse der ersten und zweiten Steuerungseinrichtungen durch eine übergeordnete Logik als korrekte Daten beurteilt. Dann wird eine Fern-Rücksetzanforderung aus den ersten und zweiten Steuerungseinrichtungen zu einem Host-Computer übertragen, wird ein Fern-Rücksetzbefehl aus dem Host-Computer zu der dritten Steuerungseinrichtung ausgegeben und wird die dritte Steuerungseinrichtung zurückgesetzt.
  • Die EP-A-0 632 379 offenbart eine fehlertolerante Speichersteuerungseinrichtung, die eng miteinander gekoppelte duale Steuerungseinrichtungseinrichtungsmodule verwendet. Die Steuerungseinrichtungseinrichtungsmodule überprüfen, ob ein anderes Steuerungsmodul oder Cache-Modul vorhanden ist, und, falls dem so ist, werden dann alle Konfigurationsinformationen in Bezug auf die Steuerungseinrichtungsmodule und angeschlossenen Vorrichtungen dynamisch zwischen diesen gemeinsam genutzt. Sollte ein Steuerungsmodul versagen oder eine Fehlfunktion zeigen, wird das andere Steuerungseinrichtungsmodul das eine Fehlfunktion aufweisende Steuerungseinrichtungsmodul deaktivieren oder "killen", wodurch es zurückgesetzt wird. Die Steuerungseinrichtungsmodule sind tolerant gegenüber ein Versagen und darauffolgenden erneuten Start des anderen Steuerungsmoduls, wobei die Folge von Ereignissen durch das überlebende Steuerungsmodul erfasst und erkannt wird, sodass es nicht das eine, das versagt hat, deaktiviert.
  • Die EP-A-0 560 226 offenbart eine flexible Kommunikationsarchitektur für Bewegungssteuerungssysteme. Die Architektur verwendet serielle Kommunikationen und weist die notwendige Flexibilität zur Bereitstellung einer zentralisierten Steuerungsknotenkommunikation mit Randsteuerungsknoten, eine zentralisierte Steuerungsknotenkommunikation mit verteilten Steuerungsknoten, und eine Kommunikation zwischen einem zentralisierten Steuerungsknoten, verteilten Steuerungsknoten und peripheren Steuerungsknoten auf.
  • Die Aufgabe der vorliegenden Erfindung besteht darin, unter Berücksichtigung der Nachteile des vorstehend beschriebenen Stands der Technik eine verbesserte Technik zur Steuerung eines Objektes bereitzustellen.
  • Zumindest ein Teil der vorstehend beschriebenen Aufgabe und andere darauf bezogene Aufgaben werden durch ein Steuerungssystem, ein Steuerungsverfahren und ein bewegliches Objekt gelöst, wie es in den beigefügten Patentansprüchen dargelegt ist.
  • Gemäß einer bevorzugten Anwendung werden ein Steuerungssystem und -verfahren bereitgestellt, wie sie in Patentansprüchen 1 und 18 dargelegt sind.
  • In diesem System und Verfahren setzt in Reaktion auf die Eingabe eines Rücksetzsignals eine erste Steuerungseinrichtung einen vorbestimmten Abschnitt des Steuerungssystems einschließlich einer zweiten Steuerungseinrichtung zurück, wohingegen die zweite Steuerungseinrichtung die erste Steuerungseinrichtung nicht zurücksetzt. Diese Anordnung verhindert in wünschenswerter Weise endlose Rücksetzvorgänge der Steuerungseinrichtungen. Die zweite Steuerungseinrichtung setzt die erste Steuerungseinrichtung lediglich in Reaktion auf die Erfassung einer in der ersten Steuerungseinrichtung auftretenden Anormalität zurück. Diese Anordnung überwacht somit effektiv einen Anormalität in der ersten Steuerungseinrichtung.
  • Gemäß einer bevorzugten Anwendung wird ein Steuerungssystem bereitgestellt, wie es in Patentanspruch 2 dargelegt ist.
  • Diese Anordnung ermöglicht, dass der vorbestimmte Abschnitt des Steuerungssystems einschließlich der zweiten Steuerungseinrichtung in Reaktion auf den Rücksetzvorgang der ersten Steuerungseinrichtung zurückgesetzt wird, wodurch die Wiederherstellung der Steuerung des Objekts in einen normalen Zustand gewährleistet wird.
  • Gemäß einer bevorzugten Anwendung wird ein Steuerungssystem dargelegt, wie es in Patentanspruch 3 bereitgestellt ist.
  • Diese Anordnung übt signifikant die Wirkung zur Vermeidung eines endlosen Kreises von Rücksetzvorgängen durch die erste Steuerungseinrichtung und die zweite Steuerungseinrichtung aus.
  • Gemäß einer bevorzugten Anwendung wird ein Steuerungssystem bereitgestellt, wie es in Patentanspruch 4 dargelegt ist.
  • Diese Anordnung ermöglicht eine Bestätigung des Rücksetzvorgangs der ersten Steuerungseinrichtung vor einer Ansteuerung bzw. einem Antrieb des beweglichen Objekts, wodurch die Zuverlässigkeit des Steuerungssystems verbessert wird.
  • Gemäß einer bevorzugten Anwendung wird ein Steuerungssystem bereitgestellt, wie es in Patentanspruch 5 dargelegt ist.
  • Diese Anordnung ermöglicht die sofortige Überprüfung der Ergebnisse des Rücksetztests durch die Steuerungseinrichtung.
  • Gemäß einer bevorzugten Anwendung wird ein Steuerungssystem bereitgestellt, wie es in Patentanspruch 6 dargelegt ist.
  • Diese Anordnung ermöglicht eine Überprüfung zur Erzeugung eines vorab eingestellten Rücksetzsignals während des Rücksetztests durch Überprüfung der Rücksetzaufzeichnungsregistrierungseinheit.
  • Gemäß einer bevorzugten Anwendung wird ein Steuerungssystem bereitgestellt, wie es in Patentanspruch 7 dargelegt ist.
  • Diese Anordnung ermöglicht, dass das Auftreten einer Anormalität in der Steuerungseinrichtung während eines Antriebs des beweglichen Objekts informiert wird, indem die Rücksetzaufzeichnungsregistrierungseinheit überprüft wird.
  • Die vorliegende Erfindung ist ebenfalls auf ein Steuerungssystem und -verfahren gerichtet, wie sie in Patentansprüchen 8 und 19 dargelegt sind.
  • In diesem Steuerungssystem und -verfahren ist der erste Prozess von dem zweiten Prozess getrennt. Dabei bewirkt der erste Prozess, dass eine interessierende Steuerungseinrichtung die Gültigkeit einer vorbestimmten Verarbeitung auf der Grundlage des Ergebnisses einer vorbestimmten Verarbeitung verifiziert, die durch die interessierende Steuerungseinrichtung ausgeführt wird. Der zweite Prozess verursacht, dass eine andere Steuerungseinrichtung, die sich von der interessierenden Steuerungseinrichtung unterscheidet, die Gültigkeit der durch die interessierende Steuerungseinrichtung ausgeführten vorbestimmten Verarbeitung überprüft. Diese Anordnung verhindert effektiv einen Mechanismus zur Verifizierung der Gültigkeit der vorbestimmten Verarbeitung, was selbst in einem Steuerungssystem mit einem komplexen Aufbau unerwünscht komplizieren würde, wodurch die Geschwindigkeit der Verifizierung der Gültigkeit der vorbestimmten Verarbeitung verbessert wird. Die Unterteilung der Verifizierung in den ersten Prozess und den zweiten Prozess klärt die Einzelheiten der Verifizierung und vereinfacht das erforderliche Programm.
  • Gemäß einer bevorzugten Anwendung wird ein Steuerungssystem und -verfahren bereitgestellt, wie sie in Patentansprüchen 10 und 20 dargelegt sind.
  • Dabei kann die durch die Arithmetiklogikoperationseinheit der interessierenden Steuerungseinrichtung identisch zu der Operation sein, die durch die Arithmetiklogikoperationseinheit in einer weiteren Steuerungseinrichtung ausgeführt wird. Alternativ dazu kann die Arithmetiklogikoperationseinheit der interessierenden Steuerungseinrichtung eine andere Operation auf der Grundlage von Ergebnissen der Operation ausführen, die durch die Arithmetiklogikoperationseinheit in der anderen Steuerungseinrichtung ausgeführt wird. Bei Auftreten einer Fehlfunktion der internen Arithmetiklogikoperationseinheit kann die interessierende Steuerungseinrichtung die Gültigkeit von deren eigenen Operation nicht verifizieren. Beispielsweise wird ein Programm aufgestellt, das das Ergebnis der Operation mit einem vorab eingestellten Wert vergleicht und die Einzelheiten der Verarbeitung entsprechend der Konsistenz oder Inkonsistenz ändert. Die Konsistenz oder Inkonsistenz wird unter Verwendung des Mechanismus bestimmt, dass im Falle der Konsistenz ein Flag auf einen spezifischen Wert gesetzt wird. Wenn der Mechanismus zur der Änderung des Werts des Flags versagt, stets das Flag zu setzten, das eine Konsistenz wiedergibt, kann die Arithmetiklogikoperationseinheit die korrekte Operation nicht ausführen. Im Falle von derartigen Problemen gibt die Anordnung das Ergebnis der Operation, die durch die Arithmetiklogikoperationseinheit der interessierenden Steuerungseinrichtung ausgeführt wird, zu einer anderen Steuerungseinrichtung aus und verifiziert die Gültigkeit der Operation auf der Grundlage des Ergebnisses der durch die Arithmetiklogikoperationseinheit der anderen Steuerungseinrichtung ausgeführten Operation. Diese Anordnung verifiziert nicht die Gültigkeit spezifischer Daten, sondern verifiziert bevorzugt die Gültigkeit der arithmetischen Logikoperation selbst.
  • Gemäß einer bevorzugten Anwendung wird ein Steuerungssystem und -verfahren bereitgestellt, wie sie in Patentanspruch 11 und 21 dargelegt sind.
  • In dem ersten Prozess führt die interessierende Steuerungseinrichtung, die die Verarbeitung ausgeführt hat, die Verifizierung durch. In vielen Fällen kann der mögliche Bereich des Ergebnisses des ersten Prozesses spezifiziert werden. In derartigen Fällen wird die Gültigkeit der Verarbeitung dadurch verifiziert, ob das Ergebnis des ersten Prozesses innerhalb des spezifizierten Bereichs liegt oder nicht.
  • Gemäß einer bevorzugten Anwendung wird ein Steuerungssystem und -verfahren bereitgestellt, wie sie in den Patentansprüchen 12 und 22 dargelegt sind.
  • In dem zweiten Prozess kann die interessierende Steuerungseinrichtung die Gültigkeit des internen Mechanismus nicht verifizieren, der die Verarbeitung ausführt. Die Anordnung der Beauftragung einer anderen Steuerungseinrichtung mit der Verifizierung gewährleistet eine ausreichende Zuverlässigkeit der Verifizierung.
  • Gemäß einer bevorzugten Anwendung wird ein Steuerungssystem und -verfahren bereitgestellt, wie sie in den Patentansprüchen 13 und 23 angegeben sind.
  • In dem beweglichen Objekt mit der Hauptantriebsmaschine kann eine große Anzahl von Steuerungseinrichtungen in kooperativer Weise zur Implementierung der Steuerung arbeiten. Diese Anordnung ermöglicht die Verifizierung der Gültigkeit der Verarbeitung, wobei die Steuerung des beweglichen Objekts mit einer derartigen Konfiguration ausgeführt wird.
  • Gemäß einer bevorzugten Anwendung werden ein Steuerungssystem und -verfahren bereitgestellt, wie sie in den Patenansprüchen 14 und 24 angegeben sind.
  • Für eine effiziente Gesamtsteuerung des beweglichen Objekts ist es praktisch, die erforderlichen Arbeiten den jeweiligen an dem beweglichen Objekt angebrachten Steuerungseinrichtungen entsprechend den Funktionen des beweglichen Objekts zuzuordnen.
  • Gemäß einer bevorzugten Anwendung werden ein Steuerungssystem und -verfahren bereitgestellt, wie sie in den Patentansprüchen 15 und 25 angegeben sind.
  • Die serielle Kommunikation ermöglicht bevorzugt den Austausch von Daten über eine kleine Anzahl von Signalleitungen.
  • Gemäß einer bevorzugten Anwendung wird ein Steuerungssystem bereitgestellt, wie es in Patentanspruch 16 dargelegt ist.
  • Die Verwendung eines Ein-Chip-Mikrocomputers verringert in wünschenswerter Weise die Anzahl externer Schaltungen und vereinfacht die Struktur des gesamten Steuerungssystems.
  • Die Technik gemäß der vorliegenden Erfindung kann durch eine Vielfalt von Anwendungen erreicht werden, die ein Steuerungssystem eines beweglichen Objekts und ein entsprechendes Steuerungsverfahren, ein bewegliches Objekt mit einem daran angebrachten derartigen Steuerungssystem, ein Computerprogramm, das die Funktionen von entweder dem Steuerungssystem oder dem Steuerungsverfahren aktualisiert, ein Aufzeichnungsträger, auf dem ein derartiges Computerprogramm aufgezeichnet ist, und ein Datensignal aufweisen, das ein derartiges Computerprogramm aufweist und in einer Trägerwelle verkörpert ist.
  • Diese und andere Aufgaben, Merkmale, Ausgestaltungen und Vorteile der vorliegenden Erfindung werden anhand der nachstehenden ausführlichen Beschreibung der bevorzugten Ausführungsbeispiele unter Bezugnahme auf die beiliegende Zeichnung deutlich.
  • Kurzbeschreibung der Zeichnungen
  • 1 veranschaulicht schematisch den allgemeinen Aufbau eines Hybridfahrzeugs gemäß einem Ausführungsbeispiel der vorliegenden Erfindung,
  • 2 zeigt ein Blockschaltbild der detaillierten Struktur eines Steuerungssystems, das an dem Hybridfahrzeug gemäß dem Ausführungsbeispiel angebracht ist,
  • 3A und 3B Abläufe von Rücksetzvorgängen, die ausgeführt werden, wenn eine Anormalität in den jeweiligen CPUs einer Haupt-ECU des Steuerungssystems währen eines Antriebs des Hybridfahrzeugs auftritt,
  • 4 ein Flussdiagramm einer Rücksetztestroutine einer Hauptsteuerungs-CPU in der Haupt-ECU während des Starten des Hybridfahrzeugs,
  • 5A, 5B und 5C Inhalte von Rücksetzaufzeichnungsbereichen in einem EEPROM einer Anormalitätsaufzeichnungsregistrierschaltung in der Haupt-ECU,
  • 6 ein Flussdiagramm, das die Einzelheiten eines ersten Rücksetztests darstellt, der in Schritt S10 des Flussdiagramms gemäß 4 ausgeführt wird,
  • 7 ein Flussdiagramm, das die Einzelheiten eines zweiten Rücksetztests veranschaulicht, der in Schritt S20 des Flussdiagramms gemäß 4 ausgeführt wird,
  • 8 ein Blockschaltbild der Struktur einer Haupt-ECU gemäß einem zweiten Ausführungsbeispiel der vorliegenden Erfindung,
  • 9A, 9B und 9C Abläufe von Rücksetzvorgängen, die gemäß dem zweiten Ausführungsbeispiel ausgeführt werden,
  • 10 ein Flussdiagramm, das eine Motorsteuerungsroutine einschließlich einer Fehlererfassung darstellt, die gemäß einem dritten Ausführungsbeispiel der vorliegenden Erfindung ausgeführt wird,
  • 11 einen Mechanismus, in dem entweder eine Hauptmotorsteuerungs-CPU oder eine Mastersteuerungs-CPU der Haupt-ECU die Gültigkeit der in der anderen CPU ausgeführten Verarbeitung verifiziert, und
  • 12 ein Flussdiagramm, das eine Watchdog-Zeitgeber-Verifizierungsroutine gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung darstellt.
  • Beschreibung der bevorzugten Ausführungsbeispiele
  • Einige Ausführungsformen der vorliegenden Erfindung sind nachstehend als bevorzugte Ausführungsbeispiele in der nachstehenden Reihenfolge beschrieben:
    • A. Allgemeine Struktur eines Hybridfahrzeugs
    • B. Grundoperationen eines Hybridfahrzeugs
    • C. Struktur des Steuerungssystems gemäß einem ersten Ausführungsbeispiel
    • D. CPU-Rücksetzsystem
    • E. Rücksetztest beim Starten des Fahrzeugs
    • F. Struktur einer Haupt-ECU gemäß einem zweiten Ausführungsbeispiel
    • G. Modifikationen
    • H. Verifizierung der Gültigkeit der Verarbeitung in CPUs gemäß einem dritten Ausführungsbeispiel durch eine Hardware-Konfiguration
    • I. Verifizierung der Gültigkeit der Verarbeitung in CPUs durch Software
    • J. Verifizierung der Gültigkeit der Verarbeitung in verschiedenen CPUs
    • K. Andere Verifizierungsprozesse
  • A. Allgemeine Struktur eines Hybridfahrzeugs
  • 1 veranschaulicht schematisch die allgemeine Struktur eines Hybridfahrzeugs gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Das Hybridfahrzeug weist drei Hauptantriebsmaschinen, d. h. eine Brennkraftmaschine 150 und zwei Motor-Generatoren MG1 und MG2 auf. Dabei stellt der Motor-Generator eine Hauptantriebsmaschine dar, die sowohl als Motor als auch als Generator dient. In der nachstehenden Beschreibung werden zur Vereinfachung der Beschreibung die Motor- Generatoren einfach als Motoren bezeichnet. Das Hybridfahrzeug wird durch ein Steuerungssystem 200 gesteuert.
  • Das Steuerungssystem 200 weist eine Haupt-ECU 210, eine Brems-ECU 220, eine Batterie-ECU 230 und eine Maschinen-ECU 240 auf. Jede der ECUs ist als eine einstückige Einheit aufgebaut, wobei eine Vielzahl von Schaltungselementen einschließlich eines Mikrocomputers, einer Eingangsschnittstelle und einer Ausgangsschnittstelle auf einer einzelnen Schaltungsplatine angeordnet sind. Die Haupt-ECU 210 weist eine Motorsteuerungseinrichtung 260 und eine Mastersteuerungseinrichtung 270 auf. Die Mastersteuerungseinrichtung 270 dient zur Bestimmung einer Vielzahl von steuerungsbezogenen Größen, beispielsweise der Verteilung der Ausgangsleistung aus den drei Hauptantriebsmaschinen 150, MG1 und MG2.
  • Die Brennkraftmaschine 150 ist eine normale Benzin-Brennkraftmaschine und versetzt eine Kurbelwelle 156 in Drehung. Die Maschinen-ECU 240 steuert Operationen der Brennkraftmaschine 150. Die Maschinen-ECU 240 regelt die Kraftstoffeinspritzmenge in die Brennkraftmaschine 150 und andere erforderliche Mengen in Reaktion auf Anweisungen, die aus der Mastersteuerungseinrichtung 270 übertragen werden.
  • Die Motoren Mg1 und MG2 sind als Synchronmotoren aufgebaut und weisen jeweils Rotoren 132 und 142 mit einer Vielzahl von Permanentmagneten, die an deren äußeren Umlaufen angebracht sind, und Statoren 133 und 143 auf, wobei Drei-Phasen-Spulen 131 und 141 darauf gewickelt sind, um umlaufene Magnetfelder zu erzeugen. Die Statoren 133 und 142 sind an einem Gehäuse 119 befestigt. Die Drei-Phasen-Spulen 1313 und 141, die an den Statoren 133 und 143 der Motoren MG1 und MG2 gewickelt sind, sind jeweils mit einer Sekundärbatterie 194 über Antriebsschaltungen 191 und 192 verbunden. Jeder der Antriebsschaltungen 191 und 192 ist als ein Transistorumrichter mit einem Transistorpaar für jede Phase als Schaltelemente aufgebaut. Die Antriebsschaltungen 191 und 192 werden durch die Motorsteuerungseinrichtung 260 gesteuert. Wenn die Transistoren in der Antriebsschaltung 191 oder in der Antriebsschaltung 192 in Reaktion auf ein Steuerungssignal geschaltet werden, das aus der Motorsteuerungseinrichtung 260 gesendet wird, fließt elektrischer Strom zwischen der Batterie 194 und dem Motor MG1 oder dem Motor MG2. Jeder der Motoren MG1 und MG2 kann als Motor dienen, der eine Zufuhr elektrischer Leistung aus der Batterie 194 empfängt, um angetrieben und gedreht zu werden (nachstehend ist dieser Betriebszustand als Leistungsbetrieb bzw. Motorbetrieb bezeichnet). Wenn der Rotor 132 oder 142 durch eine externe Kraft in Drehung versetzt wird, kann der Moto MG1 oder MG2 als Generator dienen, der bewirkt, dass eine elektromotorische Kraft zwischen beiden Enden der Drei-Phasen-Spulen 131 oder 141 erzeugt wird, und die Batterie 194 auflädt (nachstehend ist dieser Betriebzustand als regenerativer Betrieb bzw. Generatorbetrieb bezeichnet).
  • Die Rotationswellen der Brennkraftmaschine 150 und der Motoren MG1 und MG2 sind mechanisch miteinander über ein Planetengetriebe 120 verbunden. Das Planetengetriebe 120 weist ein Sonnenrad 121, einen Zahnkranz 122 und einen Planetenträger 124 mit einem Planetenritzel 123 auf. In dem Hybridfahrzeug gemäß dem Ausführungsbeispiel ist die Kurbelwelle 156 der Brennkraftmaschine 150 mit der Planetenträgerwelle 127 über einen Dämpfer 130 gekoppelt.
  • Der Dämpfer 130 ist zur Absorption von Torsionsvibrationen vorgesehen, die in der Kurbelwelle 156 auftreten. Der Rotor 132 des Motors MG1 ist mit einer Sonnenradwelle 125 verbunden, wohingegen der Rotor 142 des Motors MG2 mit einer Zahnkranzwelle 126 verbunden ist. Die Rotation des Zahnkranzes 122 wird über eine endlose Kette 129 und ein Differentialgetriebe 114 auf eine Achse 112 und Räder 116R und 116L übertragen.
  • Das Steuerungssystem 200 verwendet eine Vielfalt von Sensoren zum Erreichen der Steuerung des gesamten Hybridfahrzeugs. Derartige Sensoren weisen einen Fahrpedalsensor (Beschleunigungssensor, Beschleunigungsvorgabeeinrichtungssensor) 165, der das Betätigungsausmaß eines Fahrpedals (Beschleunigungspedals) durch einen Fahrer misst, einen Gangschaltungshebelpositionssensor 167, der die Position eines Gangschaltungshebels erfasst, einen Bremssensor 163, der den Betätigungsdruck (Betätigungsausmaß) eines Bremspedals misst, einen Batteriesensor 196, der den Ladungspegel der Batterie 194 misst, und einen Drehzahlsensor 144 auf, der die Drehzahl des Motors MG2 misst. Die Zahnkranzwelle 126 ist mechanisch mit der Achse 112 über den Kettenriemen 129 verbunden, sodass das Verhältnis der Drehzahlen der Zahnkranzwelle 126 zu der Achse 112 fest ist. Der Drehzahlsensor 144, der an der Zahnkranzwelle 126 angeordnet ist, erfasst dementsprechend die Drehzahl der Achse 112 als auch die Drehzahl des Motors MG2.
  • B. Grundoperationen des Hybridfahrzeugs
  • Zunächst sind die Operationen des Planetengetriebes 120 zur Beschreibung der Grundoperationen des Hybridfahrzeugs beschrieben. In dem Planetengetriebe 120 wird, wenn die Drehzahlen von beliebigen zwei Rotationswellen unter den drei vorstehend beschriebenen Rotationswellen spezifiziert sind, die Drehzahl der restlichen Rotationswelle automatisch bestimmt. Die Drehzahlen der jeweiligen Rotationswellen erfüllen das durch die Gleichung (1) gegebene Verhältnis: Nc = Ns × ρ/(1 + ρ) + Nr × 1/(1 + ρ) (1)
  • Dabei bezeichnen Nc, Ns und Nr jeweils die Drehzahl der Planetenträgerwelle 127, die Drehzahl der Sonnenradwelle 125 und die Drehzahl der Zahnkranzwelle 126, und ρ stellt ein Übersetzungsverhältnis des Sonnenrads 121 zu dem Zahnkranz 122 dar, wie es durch die folgende Gleichung ausgedrückt ist:
    ρ = [Zahnzahl des Sonnenrads 121]/[Zahnzahl des Zahnkranzes 122]
  • Die Drehmomente der drei Rotationswellen erfüllen feste Verhältnisse, wie sie in den nachstehenden Gleichungen (2) und (3) angegeben sind, ungeachtet von Ihren Drehzahlen: Ts = Tc × ρ/(1 + ρ) (2) Tr = Tc × 1/(1 + ρ) = Ts/ρ (3)
  • Dabei bezeichnet Tc das Drehmoment der Planetenträgerwelle 127, bezeichnet Ts das Drehmoment der Sonnrandwelle 125 und bezeichnet Tr das Drehmoment der Zahnkranzwelle 126.
  • Die Funktionen des Planetengetriebes 120 ermöglichen, dass das Hybridfahrzeug gemäß dem Ausführungsbeispiel in einer Vielzahl von Bedingungen fahren kann.
  • Beispielsweise führt in dem Zustand des Antriebs mit relativ geringer Geschwindigkeit unmittelbar nach dem Start des Hybridfahrzeugs der Motor MG2 den Motorbetrieb zur Übertragung der Leistung auf die Achse 112 und zum Antrieb des Hybridfahrzeugs aus, während die Brennkraftmaschine 150 gestoppt ist oder sich im Leerlauf befindet.
  • Wenn die Geschwindigkeit des Hybridfahrzeugs einen vorbestimmten Pegel erreicht, bewirkt das Steuerungssystem 200, dass der Motor MG1 den Motorbetrieb ausführt und die Brennkraftmaschine 150 mit dem über den Motorbetrieb des Motors MG1 aufgegebenen Drehmoment antreibt und startet. Zu diesem Zeitpunkt wird das reaktive Drehmoment des Motors MG1 zu dem Zahnkranz 122 über das Planetengetriebe 120 ausgegeben.
  • Wenn die Brennkraftmaschine 150 zur Rotation der Planetenträgerwelle 127 angetrieben wird, rotieren die Sonnenradwelle 125 und die Zahnkranzwelle 126 unter den Bedingungen, die die vorstehen angegebenen Gleichungen (1) bis (3) erfüllen. Die durch die Rotation der Zahnkranzwelle 126 erzeugte Leistung wird direkt auf die Räder 116R und 116L übertragen. Die durch die Rotation der Sonnenradwelle 125 erzeugte Leistung wird demgegenüber durch den ersten Motor MG1 als elektrische Leistung wiedergewonnen. Der Motorbetrieb des zweiten Motors MG2 ermöglicht, dass die Leistung auf die Räder 116R und 116L über die Zahnkranzwelle 126 übertragen wird.
  • In dem Zustand eines stationären Antriebs wird die Ausgangsleistung der Brennkraftmaschine 150 im Wesentlichen gleich zu einer erforderlichen Leistung der Welle 112 gesetzt (d. h. Drehzahl × Drehmoment der Achse 112). In diesem Zustand wird ein Teil der Ausgangsleistung der Brennkraftmaschine 150 direkt auf die Achse 112 über die Zahnkranzwelle 126 übertragen, wohingegen die restliche Leistung als elektrische Leistung durch den ersten Motor MG1 wiedergewonnen wird. Der zweite Motor MG2 verwendet die wiedergewonnene elektrische Leistung zur Erzeugung eines Drehmoments, um die Zahnkranzwelle 126 in Rotation zu versetzen. Die Achse 112 wird dementsprechend mit einer gewünschten Drehzahl und einem gewünschten Drehmoment angetrieben.
  • Wenn das auf die Achse 112 übertragene Drehmoment nicht ausreicht, fügt der zweite Motor MG2 das fehlende Drehmoment hinzu. Die durch regenerativen Betrieb des ersten Motors MG1 und die in der Batterie 149 akkumulierte elektrische Leistung werden für eine derartige Unterstützung verwendet. Auf diese Weise steuert das Steuerungssystem 200 die Operationen (den Betrieb) der zwei Motoren MG1 und MG2 entsprechend der erforderlichen Leistung, die von der Achse 112 abgegeben werden soll.
  • Das Hybridfahrzeug gemäß dem Ausführungsbeispiel kann in dem aktiven Zustand der Brennkraftmaschine 150 rückwärts fahren. Wenn die Brennkraftmaschine 150 angetrieben wird, rotiert die Planetenträgerwelle 127 in derselben Richtung wie die in dem Fall des Vorwärtsantriebs. In diesem Zustand wird, wenn der erste Motor MG1 zur Rotation der Sonnenradwelle 125 mit höherer Drehzahl als die Drehzahl der Planetenträgerwelle 127 gesteuert wird, die Rotationsrichtung der Zahnkranzwelle 126 zu der Richtung für den Rückwärtsantrieb invertiert, wie es aus der vorstehend angegebenen Gleichung (1) hervorgeht. Das Steuerungssystem 200 bewirkt, dass der zweite Motor MG2 in die Richtung für den Rückwärtsantrieb in Drehung versetzt wird und regelt das Ausgangsdrehmoment, wodurch eine Rückwärtsfahrt des Hybridfahrzeugs ermöglicht wird.
  • In dem Planetengetriebe 120 kann der Planetenträger 124 und das Sonnenrad 121 in Drehung versetzt werden, während der Zahnkranz 112 gestoppt ist. Die Brennkraftmaschine 150 wird dementsprechend angetrieben, während das Fahrzeug gestoppt ist. Beispielsweise wird, wenn die Batterie 194 einen niedrigen Ladungspegel aufweist, die Brennkraftmaschine 150 angetrieben und bewirkt, dass der erste Motor MG1 den Generatorbetrieb (regenerativen Betrieb) ausführt und die Batterie 194 auflädt. Der Motorbetrieb des ersten Motors MG1 in dem stationären Zustand des Fahrzeugs treibt die Brennkraftmaschine 150 und startet diese mit dem Ausgangsdrehmoment.
  • C. Struktur des Steuerungssystems gemäß dem ersten Ausführungsbeispiel
  • 2 zeigt ein Blockschaltbild, das die detaillierte Struktur des Steuerungssystems 200 gemäß dem ersten Ausführungsbeispiel veranschaulicht. Die Mastersteuerungseinrichtung 270 weist eine Mastersteuerungs-CPU 272 und eine Energieversorgungssteuerungsschaltung 274 auf. Die Motorsteuerungseinrichtung 260 weist eine Hauptmotorsteuerungs-CPU 262 und zwei Motorsteuerungs-CPUs 264 und 266 auf, die jeweils die zwei Motoren MG1 und MG2 steuern. Jede der CPUs ist als Ein-Chip-Mikrocomputer mit einer CPU, einem ROM, einem RAM, einem Eingangsanschluss und einem Ausgangsanschluss (die nicht gezeigt sind) aufgebaut.
  • Die Mastersteuerungs-CPU 272 dient zur Bestimmung der steuerungsbezogenen Größen, beispielsweise der Drehzahlen und der Drehmomente der drei Hauptantriebsmaschinen 150, MG1 und MG2 und übertragen eine Vielfalt erforderliche Werte zu den anderen CPUs und ECUs, um den Betrieb der jeweiligen Hauptantriebsmaschinen zu steuern. Zur Erzielung einer derartigen Steuerung empfängt die Mastersteuerungs-CPU 272 Fahrpedalpositionssignale AP1 und AP2, die die Fahrpedalbewegung oder die Fahrpedalposition wiedergeben, und Gangschaltungspositionssignale SP1 und SP2, die jeweils die Gangschaltungsposition wiedergeben. Sowohl der Fahrpedalsensor 165 als auch der Gangschaltungspositionssensor 167 weisen zwei Sensorelemente auf, die jeweils die zwei Fahrpedalpositionssignale AP1 und AP2 sowie die zwei Gangschaltungspositionssignale SP1 und SP2 der Mastersteuerungs-CPU 272 zuführen.
  • Eine Lichtschaltung 170 ist mit der Mastersteuerungs-CPU 272 zum Erleuchten einer Warnlampe 172 in Reaktion auf die Erfassung irgendeiner Anormalität in der Mastersteuerungs-CPU 72 verbunden. Die Warnlampe 172 ist beispielsweise an einer Instrumententafel vorgesehen.
  • Die Energieversorgungssteuerungsschaltung 274 wandelt eine Gleichspannung hoher Leistung der Batterie 194 in eine Gleichspannung niedriger Leistung um, die für die jeweiligen Schaltungen der Haupt-ECU 210 verwendet wird. Die Energieversorgungssteuerungsschaltung 274 weist ebenfalls die Funktion einer Überwachungsschaltung auf, die eine Anormalität in der Mastersteuerungs-CPU 272 überwacht, wie es im weiteren Verlauf der Beschreibung beschrieben ist.
  • Die Maschinen-ECU 240 steuert die Brennkraftmaschine 150 entsprechend einer erforderlichen Maschinenausgangsleistung PEreq, die durch die Mastersteuerungs-CPU 272 gegeben ist. Die Maschinen-ECU 240 führt eine Drehzahl REVen der Brennkraftmaschine 150 zurück zu der Mastersteuerungs-CPU 272.
  • Die Hauptmotorsteuerungs-CPU 262 überträgt erforderliche elektrische Ströme I1req und I2req zu den zwei Motorsteuerungs-CPUs 264 und 266 auf der Grundlage erforderliche Drehmomente T1req und T2req der zwei Motoren MG1 und MG2, die durch die Mastersteuerungs-CPU 272 gegeben werden. Die Motorsteuerungs-CPUs 264 und 266 steuern jeweils die Antriebsschaltungen 191 und 192 entsprechend den erforderlichen elektrischen Strömen I1req und I2req, um die Motoren MG1 und MG2 anzutreiben. Die Drehzahlsensoren der Motoren MG1 und MG2 führen Drehzahlen REV1 und REV2 der Motoren MG1 und MG2 zurück zu der Hauptmotorsteuerungs-CPU 262. Die Mastersteuerungs-CPU 272 empfängt die Drehzahlen REV1 und REV2 der Motoren MG1 und MG2 als auch einen Wert des elektrischen Stroms IB, der aus der Batterie 194 den Antriebsschaltungen 191 und 192 zugeführt werden, die aus der Hauptmotorsteuerungs-CPU 262 zurückgeführt werden.
  • Die Batterie-ECU 230 überwacht einen Ladungszustand oder Ladungspegel SOC (State of Charge) der Batterie 194 und führt einen erforderlichen Aufladungswert CHreq der Batterie 194 der Mastersteuerungs-CPU 272 entsprechend diesen Erfordernissen zu. Die Mastersteuerungs-CPU 272 bestimmt die Ausgangsleistung jeder Hauptantriebsmaschine durch Berücksichtigung des erforderlichen Aufladungswerts CHreq. In dem Fall einer Ladungserfordernis bewirkt die Mastersteuerungs-CPU 272, dass die Brennkraftmaschine 150 eine größere Leistung als den Wert ausgibt, der zum Antrieb erforderlich ist, und verteilt einen Teil der Ausgangsleistung an den Aufladungsbetrieb mittels des ersten Motors MG1.
  • Die Brems-ECU 220 führt eine Steuerung zum Ausgleich einer (nicht gezeigten) hydraulischen Bremse mit der regenerativen Bremse durch den zweiten Motor MG2 aus. Dies liegt daran, dass der zweite Motor MG2 den regenerativen Betrieb zum Laden der Batterie 194 im Verlauf des Bremsens des Hybridfahrzeugs gemäß dem Ausführungsbeispiel ausführt. Gemäß einer konkreten Verarbeitung überträgt die Brems-ECU 220 ein erforderliche regenerative Leistung REGreq zu der Mastersteuerungs-CPU 272 auf der Grundlage eines durch den Bremssensor 163 gemessenen Bremsdrucks BP. Die Mastersteuerungs-CPU 272 spezifiziert die Operationen (den Betrieb) der Motoren MG1 und MG2 in Reaktion auf die erforderliche regenerative Leistung REGreq und führt die tatsächliche regenerative Leistung REGprac zurück zu der Brems-ECU 220. Die Brems-ECU 220 regelt das Bremsausmaß durch die hydraulische Bremse auf einen adäquaten Wert auf der Grundlage des beobachteten Bremsdrucks BP und der Differenz zwischen der erforderlichen regenerative Leistung REGreq und der tatsächlichen regenerative Leistung REGprac.
  • Wie es vorstehend beschrieben worden ist, bestimmt die Mastersteuerungs-CPU 272 die Ausgangsleistungen der jeweiligen Hauptantriebsmaschinen 150, MG1 und MG2 und überträgt die erforderlichen Werte zu der ECU 240 und den CPUs 264 und 266, die die tatsächlichen Steuerungen übernehmen. Die ECU 240 und die CPUs 264 und 266 steuern die jeweiligen Hauptantriebsmaschinen in Reaktion auf die erforderlichen Werte. Das Hybridfahrzeug wird dementsprechend mit adäquater Leistung, die von der Achse 112 abgegeben wird, entsprechend dem Antriebszustand angetrieben. Im Verlauf des Bremsens kooperiert die Brems-ECU 220 mit der Mastersteuerungs-CPU 272 zur Regelung der Operationen der jeweiligen Hauptantriebsmaschinen und der Hydraulikbremse. Diese Anordnung erzielt den wünschenswerten Bremsbetrieb, der keine Unannehmlichkeit bei dem Fahrer hervorruft, wobei die Wiedergewinnung der elektrischen Leistung ermöglicht wird.
  • Die Haupt-ECU 210 weist den folgenden Aufbau zur Überwachung einer Anormalität in den jeweiligen CPUs auf. Die Mastersteuerungs-CPU 272 dient zur Überwachung einer Anormalität in der Hauptmotorsteuerungs-CPU 262. Die Überwachung einer Anormalität wird in der nachstehend beschriebenen Weise ausgeführt. Die Hauptmotorsteuerungs-CPU 262 erzeugt einen Watchdog-Impuls WDP1, der ein Taktsignal mit einer festen Periode ist, und führt den Watchdog-Impuls WDP1 der Mastersteuerungs-CPU 272 zu. Die Mastersteuerungs-CPU 272 weist einen (nicht gezeigten) Watchdog-Zeitgeber auf. Wie es im Stand der Technik allgemein bekannt ist, gibt die CPU in dem normalen Zustand den Watchdog-Impuls mit der festen Periode aus. In diesem Zustand betrachtet der Watchdog-Zeitgeber die CPU als normal und führt keine spezifische Operation durch. Wenn in der CPU irgendeine Anormalität auftritt und der Watchdog-Impuls für eine vorbestimmte Zeitdauer nicht ausgegeben worden ist, gibt der Watchdog-Zeitgeber ein Rücksetzsignal zu der CPU aus. Dieser setzt die CPU zurück, um den normalen Betrieb zu starten. Der Watchdog-Zeitgeber der Mastersteuerungs-CPU 272 überwacht den Betrieb der Hauptmotorsteuerungs-CPU 262 auf der Grundlage dieses Prinzips und führt ein Rücksetzsignal RES1 der Hauptmotorsteuerungs-CPU 262 in Reaktion auf die Erfassung einer Anormalität in der Hauptmotorsteuerungs-CPU 262 aus.
  • Die Hauptmotorsteuerungs-CPU 262 weist die Funktion der Überwachung einer Anormalität in der Mastersteuerungs-CPU 272 und den zwei Motorsteuerungs-CPUs 264 und 266 auf. Gemäß einer konkreten Verarbeitung empfängt die Hauptmotorsteuerungs-CPU 262 Watchdog-Impulse, die aus diesen CPUs 272, 264 und 266 ausgegeben werden. In dem Fall, dass eine Anormalität in einer der CPUs auftritt, führt die Motorsteuerungs-CPU 262 ein Rücksetzsignal dieser CPU zu. Das heißt, dass die Mastersteuerungs-CPU 272 und die Hauptmotorsteuerungs-CPU 262 gegenseitig den Betrieb der anderen CPUs überwachen.
  • Die Energieversorgungssteuerungsschaltung 274 überwacht ebenfalls den aus der Mastersteuerungs-CPU 272 ausgegebenen Watchdog-Impuls WDP2. Die Verwendung von sowohl der Hauptmotorsteuerungs-CPU 262 als auch der Energieversorgungssteuerungsschaltung 274 als die Überwachungsschaltungen der Mastersteuerungs-CPU 272 gewährleistet eine effektive Überwachung der Mastersteuerungs-CPU 272. Beispielsweise erfasst in dem Fall, das eine Anormalität in sowohl der Mastersteuerungs-CPU 272 als auch der Hauptmotorsteuerungs-CPU 262 auftritt, die Energieversorgungsschaltung 274 die Anormalität in der Mastersteuerungs-CPU 272 und setzt die Mastersteuerungs-CPU 272 zurück. Die Mastersteuerungs-CPU 272 übernimmt die Steuerung über das gesamte Hybridfahrzeug. Die Mehrfachkonfiguration der Überwachungsschaltung verbessert die Zuverlässigkeit des Steuerungssystems signifikant.
  • Ein Eingangsanschluss einer Anormalitätsaufzeichnungsregistrierschaltung 280 erfasst die Rücksetzsignale RES1 und RES2, die zwischen der Mastersteuerungs-CPU 272 und der Hauptmotorsteuerungs-CPU 262 übertragen werden. Die Anormalitätsaufzeichnungsregistrierschaltung 280 registriert (speichert) die eingegebenen Rücksetzsignale RES1 und RES2 in ein internes EEPROM 282. Das heißt, dass die Anormalitätsaufzeichnungsregistrierschaltung 280 die Funktion der Überwachung der Erzeugung des Rücksetzsignals und des Registrierens einer Erzeugungsaufzeichnung in Reaktion auf das Rücksetzen der Mastersteuerungs-CPU 272 oder der Hauptmotorsteuerungs-CPU 262 aufweist.
  • Die zwei Steuerungs-CPUs 262 und 272 sind mit der Anormalitätsaufzeichnungsregistrierschaltung 280 über bidirektionale Kommunikationsanleitungen 214 und 216 zum Lesen und zum Schreiben von Daten verbunden. Es gibt eine weitere Bidirektionale Kommunikationsleistung 212 zwischen der Mastersteuerungs-CPU 272 und der Hauptmotorsteuerungs-CPU 262 zur Übertragung einer Vielfalt von Daten einschließlich einer Verifizierung der Gültigkeit der Verarbeitung (die im weiteren Verlauf beschrieben ist).
  • D. CPU-Rücksetzsystem
  • 3A und 3B zeigen Abläufe von Rücksetzvorgängen, die ausgeführt werden, wenn eine Anormalität in den jeweiligen CPUs der Haupt-ECU 210 während eines Antriebs des Hybridfahrzeugs auftritt. Die Pfeile zwischen den jeweiligen CPUs stellen die Rücksetzsignale dar, und die Zahlen in den Pfeilen stellen die Reihenfolge der Erzeugung der Rücksetzsignale dar.
  • 3A zeigt den Rücksetzvorgang, wenn eine Anormalität in der Mastersteuerungs-CPU 272 auftritt. In dem Fall, dass sowohl die Hauptmotorsteuerungs-CPU 262 als auch die Energieversorgungssteuerungsschaltung 274 normal arbeiten, werden die Rücksetzsignale der Mastersteuerungs-CPU 272 sowohl als der Hauptmotorsteuerungs-CPU 262 als auch aus der Energieversorgungssteuerungsschaltung 274 zugeführt. In Reaktion auf die Zufuhr des Rücksetzsignals von der Hauptmotorsteuerungs-CPU 262 und/oder der Energieversorgungssteuerungsschaltung 274 wird die Mastersteuerungs-CPU 272 zurückgesetzt und unmittelbar reaktiviert, um darauffolgend die Hauptmotorsteuerungs-CPU 262 zurückzusetzen. Die Hauptmotorsteuerungs-CPU 262 wird zurückgesetzt und unmittelbar reaktiviert, um darauffolgend die zwei Motorsteuerungs-CPUs 264 und 266 zurückzusetzen. Auf diese Weise werden die vier CPUs 272, 262, 264 und 266 alle zurückgesetzt, um jeweils den normalen Betrieb wieder aufzunehmen.
  • Die Lichtschaltung 170 erleuchtet die Warnlampe 172 in Reaktion auf zumindest eines der zwei der Mastersteuerungs-CPU 272 zugeführten Rücksetzsignalen. Die Lichtschaltung 170 ist ausgelegt, die Warnlampe 172 lediglich dann zu erleuchten, wenn in der Mastersteuerungs-CPU 272, die die ranghöchste CPU ist, eine Abnormalität auftritt. Die Lichtschaltung 170 und die Warnlampe 172 können in der Struktur entfallen, falls diese nicht erforderlich sind.
  • Die Master-CPU 272 und die Hauptmotorsteuerungs-CPU 262 führen Programme aus, die vorab in (nicht gezeigten) ROMs in den jeweiligen CPUs gespeichert sind, um die Funktionen der CPUs als Rücksetzausführungseinheiten 272A und 262A zur Ausgabe der Rücksetzsignale zu erzielen.
  • In dem Ablauf gemäß 3A werden, wenn eine Anormalität in der Mastersteuerungs-CPU 272 auftritt, die anderen CPUs 262, 264 und 266 der Haupt-ECU 210 alle zurückgesetzt. Dies liegt daran, dass diese CPUs 262, 264 und 266 auf der Grundlage der Anforderungen und Anweisungen arbeiten, die aus der Mastersteuerungs-CPU 272 übertragen werden. In dem Fall, dass in der Mastersteuerungs-CPU 272 eine Anormalität auftritt, besteht die Möglichkeit, dass die Mastersteuerungs-CPU 272 falsche Anforderungen und Anweisungen zu den anderen CPUs überträgt, und dass dann die anderen CPUs falsche Steuerungen in Reaktion auf die falschen Anforderungen und Anweisungen ausführen. Die Anordnung des Zurücksetzens aller anderen CPUs in Reaktion auf die Erfassung eine Anormalität in der Mastersteuerungs-CPU 272 ermöglicht den anderen CPUs die Wiederaufnahme der normalen Steuerungsvorgänge. In dieser Hinsicht kann eine modifizierte Anordnung gleichzeitig die CPUs in den anderen ECUs, die die aus der Mastersteuerungs-CPU 272 übertragenen Anforderungen und Anweisung empfangen (d. h. die CPUs in der Brems-ECU 220 und der Maschinen-ECU 240), in Reaktion auf die Erfassung einer Anormalität in der Mastersteuerungs-CPU 272 zurücksetzen.
  • 3B zeigt den Rücksetzvorgang, wenn eine Anormalität in der Hauptmotorsteuerungs-CPU 262 auftritt. In diesem Fall setzt die Mastersteuerungs-CPU 272 die Hauptmotorsteuerungs-CPU 262 zurück. Die Hauptmotorsteuerungs-CPU 262 wird zurückgesetzt und unmittelbar reaktiviert, um darauffolgend die zwei Motorsteuerungs-CPUs 264 und 266 zurückzusetzen. In dieser Weise werden die drei CPUs 262, 264 und 266 alle zurückgesetzt, um jeweils den normalen Betrieb wieder aufzunehmen. Die Hauptmotorsteuerungs-CPU 262 überträgt die Anforderungen oder Anweisungen nicht zu der Mastersteuerungs-CPU 272. Es ist daher nicht erforderlich, die Mastersteuerungs-CPU 272 in Reaktion auf den Rücksetzvorgang der Hauptmotorsteuerungs-CPU 262 zurückzusetzen. Da in diesem Zustand keine Anormalität in der Mastersteuerungs-CPU 272 auftritt, wird die Warnlampe 172 nicht erleuchtet.
  • Wie aus der vorstehenden Beschreibung in Bezug auf 3A und 3B hervorgeht, überwachen sich die Mastersteuerungs-CPU 272 und die Hauptmotorsteuerungs-CPU 262 gegenseitig in Bezug auf ein Auftreten einer Anormalität in der anderen CPU. In Reaktion auf die Erfassung einer Anormalität in der Mastersteuerungs-CPU 272 setzt die Hauptmotorsteuerungs-CPU 262 die Mastersteuerungs-CPU 272 zurück, die die Hauptmotorsteuerungs-CPU 262 darauffolgend zurücksetzt. In Reaktion auf die Erfassung einer Anormalität in der Hauptmotorsteuerungs-CPU 262 setzt demgegenüber die Mastersteuerungs-CPU 272 die Hauptmotorsteuerungs-CPU 262 zurück, die die Mastersteuerungs-CPU 272 nicht zurücksetzt. Diese Anordnung zeigt die Prioritätssequenz der Rücksetzvorgänge der zwei CPUs 272 und 262. In Reaktion auf den Rücksetzvorgang der CPU 272, die die höchste Priorität aufweist, wird die CPU 262 zurückgesetzt, die eine niedrigere Priorität aufweist. In Reaktion auf den Rücksetzvorgang der CPU 262, die die niedrigere Priorität aufweist, wird jedoch die CPU 272 mit der höheren Priorität nicht zurückgesetzt. Die Zuordnung der Prioritäten (Prioritätspositionen) zu den Rücksetzvorgängen der CPUs gewährleistet die nachstehend beschriebenen Vorteile.
  • Es sei dabei angenommen, dass die Rücksetzausführungseinheit 262A der Hauptmotorsteuerungs-CPU 262 zum Rücksetzen der Mastersteuerungs-CPU 272 in Reaktion auf den Rücksetzvorgang der Hauptmotorsteuerungs-CPU 262 aufgelegt ist. In dieser Anordnung löst der erste Rücksetzvorgang der Hauptmotorsteuerungs-CPU 262 einen endlosen Kreislauf von Rücksetzvorgängen aus: Die Hauptmotorsteuerungs-CPU 262 setzt nämlich die Mastersteuerungs-CPU 262 zurück, die dann die Hauptmotorsteuerungs-CPU 262 zurücksetzt. Durch diese Anordnung wird verhindert, dass das Steuerungssystem in den normalen Zustand wieder hergestellt wird. Das Rücksetzsystem gemäß 3A und 3B verhindert demgegenüber jedoch wirksam einen derartigen endlosen Kreislauf der Rücksetzvorgänge und ermöglicht eine Wiederherstellung des Steuerungssystems in den normalen Zustand.
  • Wie es vorstehend beschrieben ist, übernehmen die Mastersteuerungs-CPU 272 und die Hauptmotorsteuerungs-CPU 262 jeweils unterschiedliche Teile der Steuerung der Hauptantriebsmaschinen und überwachen sich gegenseitig in Bezug auf eine in der anderen CPU auftretenden Anormalität. In dieser Hinsicht sind die Mastersteuerungs-CPU 272 und die Hauptmotorsteuerungs-CPU 262 im Wesentlichen zueinander gleichwertig. Die Zuordnung der Prioritäten zu den Rücksetzvorgängen der zwei CPUs 272 und 262, die im Wesentlichen zueinander gleichwertig sind, ermöglicht eine gegenseitige Anormalitätsüberwachung, wohingegen ein endloser Kreislauf von Rücksetzvorgängen verhindert wird.
  • Es ist wünschenswert, dass die Prioritätsreihenfolge der Rücksetzvorgänge mit der Prioritätsreihenfolge der zwei CPUs 272 und 262 bei der Steuerung der Hauptantriebsmaschinen übereinstimmt. In der Struktur gemäß dem Ausführungsbeispiel gemäß dem die Mastersteuerungs-CPU 272 die erforderlichen Werte bezüglich der Steuerung der Hauptantriebsmaschinen (d. h. die erforderlichen Drehmomente Treq) zu der Hauptmotorsteuerungs-CPU 262 überträgt, sendet die Hauptmotorsteuerungs-CPU 262 die erforderlichen Werte bezüglich der Steuerung der Hauptantriebsmaschinen nicht zu der Mastersteuerungs-CPU 272. Das bedeutet, dass die Mastersteuerungs-CPU 272 höherranging gegenüber der Hauptmotorsteuerungs-CPU 262 ist und die erste Prioritätsposition gegenüber allen anderen CPUs in der Prioritätsreihenfolge der Steuerung der Hauptantriebsmaschinen aufweist. Die Anordnung der Zuordnung der oberen Prioritätsposition auf den Rücksetzvorgang der CPU mit der obersten Prioritätsposition in der Prioritätsreihenfolge bezüglich der Steuerung der Hauptantriebsmaschinen gewährleistet die Wiederherstellung der effektiven Steuerung in dem Steuerungssystem nach dem Rücksetzvorgang.
  • E. Rücksetztest während des Startens des Fahrzeugs
  • 4 zeigt ein Flussdiagramm einer Rücksetztestroutine der Mastersteuerungs-CPU 272 beim Starten des Hybridfahrzeugs. Wenn der Fahrer den Schlüssel in die Ein-Position dreht, wird das Steuerungssystem 200 (vergl. 1) aktiviert. Die Rücksetzvorgänge der Mastersteuerungs-CPU 272 werden entsprechend der nachstehend beschriebenen Verarbeitung überprüft (getestet). Die Verarbeitung überprüft zunächst den Rücksetzvorgang der Mastersteuerungs-CPU 272 mittels der Hauptmotorsteuerungs-CPU 262 in Schritt S10 (erster Rücksetztest) und überprüft darauffolgend den Rücksetzvorgang der Mastersteuerungs-CPU 272 mittels der Energieversorgungssteuerungsschaltung 274 in Schritt S20 (zweiter Rücksetztest). Die Einzelheiten des ersten und des zweiten Rücksetztests ist nachstehend beschrieben.
  • Die Ergebnisse der Rücksetztests werden in dem EEPROM 282 der Anormalitätsaufzeichnungsregistrierschaltung 280 gespeichert.
  • 5A, 5B und 5C zeigen die Inhalte der Rücksetzaufzeichnungsbereiche in dem EEPROM 282. Die Rücksetzaufzeichnungsbereiche sind vorab an vorbestimmten Positionen in dem EEPROM 282 eingestellt. Es gibt zwei Rücksetzaufzeichnungsbereiche, d. h., einen anfänglichen Rücksetztestaufzeichnungsbereich R1 und einen Rücksetzaufzeichnungsbereich R2 für während der Fahrt. Zwei Rücksetzereignisse mit Ereignisnummern #1 und #2 entsprechend den ersten und zweiten Rücksetztest werden in dem anfänglichen Rücksetztestaufzeichnungsbereich R1 gespeichert. Eine Vielzahl von Rücksetzereignissen mit Ereigniszahlen von nach #3 ansteigend können in dem Fahrt-Rücksetzaufzeichnungsbereich (Rücksetzaufzeichnungsbereich für während der Fahrt) R2 gespeichert werden. Jedes Rücksetzereignis ist durch die Werte spezifiziert, die den Ein-Aus-Zustand der Rücksetzsignale RES1 und RES2 darstellen. Ein Zeiger PT, der auf das letzte Rücksetzereignis zeigt, ist ebenfalls in dem EEPROM 282 gespeichert. Wie es in 5A gezeigt ist, werden die Inhalte der Registrierung in dem Rücksetzaufzeichnungsbereich während des Startens des Fahrzeugs initialisiert.
  • 6 zeigt ein Flussdiagramm der Einzelheiten des ersten Rücksetztests, der in Schritt S10 in dem Flussdiagramm gemäß 4 ausgeführt wird. Wenn das Programm in dem ersten Rücksetztest gemäß 6 eintritt, informiert die Mastersteuerungs-CPU 272 die Hauptmotorsteuerungs-CPU 262 über die Ausführung des ersten Rücksetztests über die bidirektionale Kommunikationsleitung 212 in Schritt S11. Die Hauptmotorsteuerungs-CPU 262 empfängt die Informationen und überträgt das Rücksetzsignal RES2 in Schritt S12 zu der Mastersteuerungs-CPU 272, um die Mastersteuerungs-CPU 272 in Schritt S12 zurückzusetzen. Zu diesem Zeitpunkt wird das Rücksetzsignal ReS2 ebenfalls zu dem Eingangsanschluss der Anormalitätsaufzeichnungsregistrierschaltung 280 (vergleiche 2) übertragen, und der Wert "1", der den Ein-Zustand des Rücksetzsignals RES2 darstellt, wird in dem EEPROM 282 gespeichert (vergleiche 5B).
  • Die Mastersteuerungs-CPU 272, die gerade zurückgesetzt worden ist, wird unmittelbar reaktiviert und überträgt das Rücksetzsignal REST zu der Hauptmotorsteuerungs-CPU 262, um die Hauptmotorsteuerungs-CPU 262 in Schritt S13 zurückzusetzen. Zu diesem Zeitpunkt wird der Wert "1", der den Ein-Zustand des Rücksetzsignals REST darstellt, in dem EEPROM 282 registriert (vergleiche 5B). Die Hauptmotorsteuerungs-CPU 262, die gerade zurückgesetzt worden ist, wird unmittelbar reaktiviert und setzt die zwei Motorsteuerungs-CPUs 264 und 266 in Schritt 14 zurück. Die Hauptmotorsteuerungs-CPU 262 liest dann die in dem EEPROM 282 gespeicherten Ergebnisse des Rücksetztests und informiert die Mastersteuerungs-CPU 272 über die Ergebnisse des Rücksetztests in Schritt S15.
  • 5B zeigt die Rücksetzaufzeichnung nach dem ersten Rücksetztest. Unmittelbar nach Abschluss des ersten Rücksetztests zeigt der Zeiger PT auf die Ergebnisse des ersten Rücksetztest (d. h., auf die Ereigniszahl #1). Wenn beide Rücksetzsignale RES1 und RES2 in dem ersten Rücksetztest ausgegeben werden, wird der Wert "1" an den entsprechenden Positionen der jeweiligen Signale gespeichert. Wenn einer der Rücksetzsignale REST und RES2 nicht ausgegeben wird, wird an der entsprechenden Position des Signals der Wert "0" gespeichert.
  • Die Hauptmotorsteuerungs-CPU 262 informiert die Mastersteuerungs-CPU 272 über die Tatsache, dass das letzte Rücksetzereignis der erste Rücksetztest (die Ereigniszahl #1) ist und überträgt die Ergebnisse des ersten Rücksetztests. In dem Fall, dass beide zwei Rücksetzsignale RES1 und RES2 in dem ersten Rücksetztest ausgegeben werden, bestimmt die Mastersteuerungs-CPU 272, dass der erste Rücksetztest normal abgeschlossen worden ist und verlässt den ersten Rücksetztest in Schritt S16. In dem Fall, dass zumindest eines der zwei Rücksetzsignale RES1 und RES2 nicht in dem ersten Rücksetztest ausgegeben wird, bestimmt demgegenüber die Mastersteuerungs-CPU 272, dass der erste Rücksetztest nicht normal abgeschlossen worden ist und führt in Schritt S17 einen Fehlerprozess durch. Ein Beispiel für die Verarbeitung des Fehlerprozesses gibt eine Anormalitätsanzeige auf dem Instrumentfeld aus, um den Fahrer über eine Anormalität des Steuerungssystems zu informieren und verhindert die weitere Fahrt des Hybridfahrzeugs. Die Mastersteuerungs-CPU 272 führt ebenfalls den Fehlerprozess in dem Fall durch, dass der erste Rücksetztest nicht abgeschlossen worden ist, wenn eine vorab eingestellte Zeitdauer seit der Aktivierung des Steuerungssystems 200 verstrichen ist. Der erste Rücksetztest überprüft, dass der erste Rücksetzweg, in dem die Hauptmotorsteuerungs-CPU 262 die Mastersteuerungs-CPU 272 zurücksetzt, normal arbeitet.
  • 7 zeigt ein Flussdiagramm der Einzelheiten des zweiten Rücksetztests, der in Schritt S20 des Flussdiagramms gemäß 4 ausgeführt wird. Wenn das Programm in den zweiten Rücksetztest gemäß 7 eintritt, informiert die Mastersteuerungs-CPU 272 die Hauptmotorsteuerungs-CPU 262 über die Ausführung des zweiten Rücksetztests in Schritt S21. Die Hauptmotorsteuerungs-CPU 262 empfängt die Informationen und speichert den Start des zweiten Rücksetztest in dem EEPROM 282 der Anormalitätsaufzeichnungsregistrierschaltung 280. Dies Inkrementiert den Zeiger PT in dem EEPROM 282 um 1 und bewirkt, dass der Zeiger PT auf den zweiten Rücksetztest (die Ereigniszahl #2) zeigt, wie es in 5C dargestellt ist. Die Hauptmotorsteuerungs-CPU 262 verhindert ebenfalls den Betrieb des Watchdog-Zeitgebers, der die Mastersteuerungs-CPU 272 überwacht.
  • In dem drauffolgenden Schritt S22 stoppt die Mastersteuerungs-CPU 272 die Erzeugung des Watchdog-Impulses WDP2. Da das Zählen des Watchdog-Zeitgebers in der Hauptmotorsteuerungs-CPU 262 unterbunden worden ist, überträgt lediglich die Leistungsversorgungssteuerungsschaltung 274 das Rücksetzsignal RES0 zu der Mastersteuerungs-CPU 272, um die Mastersteuerungs-CPU 272 in Schritt S23 zurückzusetzen. Die Mastersteuerungs-CPU 272, die gerade zurückgesetzt worden ist, wird unmittelbar reaktiviert und überträgt das Rücksetzsignal RES1 zu der Hauptmotorsteuerungs-CPU 262, um in Schritt S24 die Hauptmotorsteuerungs-CPU 262 zurückzusetzen. Zu diesem Zeitpunkt wird der Wert "1", der den Ein-Zustand des Rücksetzsignals RES 1 darstellt, in dem EEPROM 282 gespeichert. Die Hauptmotorsteuerungs-CPU 262, die gerade zurückgesetzt worden ist, wird unmittelbar reaktiviert und setzt die zwei Motorsteuerungs-CPUs 264 und 266 in Schritt S25 zurück. Die Hauptmotorsteuerungs-CPU 262 liest dann die in dem EEPROM 282 gespeicherten Ergebnisse des Rücksetztests und teilt der Mastersteuerungs-CPU 272 die Ergebnisse des Rücksetztests in Schritt S26 mit.
  • 5C zeigt die Rücksetzaufzeichnung nach dem zweiten Rücksetztest. Unmittelbar nach dem Abschluss des zweiten Rücksetztests zeigt der Zeiger PT auf die Ergebnisse des zweiten Rücksetztests (d. h., Ereigniszahl #2). In dem zweiten Rücksetztest wird, obwohl das Rücksetzsignal RES2 nicht von der Hauptmotorsteuerungs-CPU 262 zu der Mastersteuerungs-CPU 272 übertragen wird, das Rücksetzsignal RES1 in der umgekehrten Richtung erzeugt.
  • Die Hauptmotorsteuerungs-CPU 262 informiert die Mastersteuerungs-CPU 272 über die Tatsache, dass das letzte Rücksetzereignis der zweite Rücksetztest (die Ereigniszahl #2) ist und über die Ergebnisse des zweiten Rücksetztests. In dem Fall, dass in dem zweiten Rücksetztest lediglich das Rücksetzsignal RES1 ausgegeben wird und das andere Rücksetzsignal RES2 nicht erzeugt wird, bestimmt die Mastersteuerungs-CPU 272, dass der zweite Rücksetztest normal abgeschlossen worden ist und verlässt den zweiten Rücksetztest in Schritt S27. In dem Fall, dass das Rücksetzsignal RES1 in dem zweiten Rücksetztest nicht ausgegeben wird, bestimmt demgegenüber die Mastersteuerungs-CPU 272, dass der zweite Rücksetztest nicht normal abgeschlossen worden ist und führt in Schritt S28 einen Fehlerprozess durch. Der Fehlerprozess gemäß Schritt S28 ist identisch zu dem in Schritt S17 gemäß dem Flussdiagramm gemäß 6 ausgeführten Fehlerprozess. Die Mastersteuerungs-CPU 272 führt ebenfalls den Fehlerprozess in dem Fall durch, dass der zweite Rücksetztest nach Verstreichen einer vorab eingestellten Zeitdauer nach Aktivierung des Steuerungssystems 200 noch nicht abgeschlossen worden ist. Der zweite Rücksetztest überprüft den zweiten Rücksetzweg, indem die Energieversorgungssteuerungsschaltung 274 die Mastersteuerungs-CPU 272 zurücksetzt, normal arbeitet.
  • Nachdem der erste Rücksetztest und der zweite Rücksetztest bestätigen, dass die zwei Rücksetzvorgänge der Mastersteuerungs-CPU 272 normal ausgeführt werden, erleuchtet die Mastersteuerungs-CPU 272 eine Antrieblampe auf dem Instrumentenfeld. Dies ermöglicht dem Fahrer, das Hybridfahrzeug zu fahren.
  • In dem Fall, dass während einer Fahrt das Rücksetzsignal RES1 oder das Rücksetzsignal RES2 ausgegeben wird, wird die Erzeugungsaufzeichnung in dem Fahrtrücksetzaufzeichnungsbereich R2 (vergleiche 5) in dem EEPROM 282 gespeichert. Nach der Fahrt wird ein Servicecomputer mit dem Steuerungssystem 200 verbunden, um die Rücksetzaufzeichnung aus dem EEPROM 282 auszulesen und die Rücksetzaufzeichnung zu überprüfen. Dies gibt dem Fahrer die Information, die zeigt, welches Rücksetzsignal während der Fahrt erzeugt worden ist.
  • Eine bevorzugte Struktur ermöglicht die Aufzeichnung der Erzeugung der anderen Rücksetzsignale in den Rücksetzaufzeichnungsbereichen R1 und R2. Die Anordnung, die das Speichern der Erzeugungsaufzeichnung aller Rücksetzsignale, die zum zurücksetzen der CPUs verwendet werden, in die Rücksetzaufzeichnungsbereiche zulässt, stellt dem Fahrer eine detailliertere Rücksetzaufzeichnung bereit. Eine weitere bevorzugte Struktur ermöglicht, dass der Zeitpunkt des Auftretens jedes Rücksetzereignisses in den Rücksetzaufzeichnungsbereichen R1 und R2 gespeichert wird. In einer weiteren bevorzugten Struktur wird der Fahrtrücksetzaufzeichnungsbereich R1 nicht zu jedem Startzeitpunkt des Fahrzeugs initialisiert, sondern weist eine Kapazität zum Speichern der Rücksetzaufzeichnung der letzten Fahrten auf.
  • Wie es vorstehend beschrieben worden ist, überprüft die Anordnung gemäß dem ersten Ausführungsbeispiel während des Startens des Fahrzeugs, ob die zwei Rücksetzwege der Mastersteuerungs-CPU 272 (d. h. die Rücksetzsignale RES0 und RES2) normal arbeiten. Selbst wenn eine Anormalität in der Mastersteuerungs-CPU 272 während der Fahrt des Fahrzeugs auftritt, gewährleistet diese Anordnung eine effektive Wiederherstellung von der Anormalität. Diese Anordnung speichert die Rücksetzaufzeichnung in der Anormalitätsaufzeichnungsregistrierschaltung 280 und ermöglicht somit dem Fahrer die Überprüfung der Fahrtrücksetaufzeichnung nach der Fahrt.
  • F. Struktur der Haupt-ECU gemäß einem zweiten Ausführungsbeispiel
  • 8 zeigt ein Blockschaltbild der Struktur einer Haupt-ECU 201A gemäß einem zweiten Ausführungsbeispiel der vorliegenden Erfindung. Die Haupt-ECU 210A weist eine ähnliche Struktur wie die der Haupt-ECU 210 gemäß dem ersten Ausführungsbeispiel gemäß 2 auf, mit der Ausnahme, dass die erste Motorsteuerungs-CPU 264 anstelle der Hauptmotorsteuerungs-CPU 262 die Mastersteuerungs-CPU 272 überwacht.
  • Die erste Motorsteuerungs-CPU 264 empfängt den aus der Mastersteuerungs-CPU 272 ausgegebenen Watchdog-Impuls WDP2. Wenn eine Anormalität in der Mastersteuerungs-CPU 272 auftritt, sodass die Ausgabe des Watchdog-Impulses WDP2 gestoppt wird, überträgt die erste Motorsteuerungs- CPU 264 das Rücksetzsignal RES2 zu der Mastersteuerungs-CPU 272, um die Mastersteuerungs-CPU 272 zurückzusetzen.
  • In der Struktur gemäß dem zweiten Ausführungsbeispiel überwacht die erste Motorsteuerungs-CPU 264 eine Anormalität in der Mastersteuerungs-CPU 272, wohingegen die Hauptmotorsteuerungs-CPU 262 eine Anormalität in der ersten Motorsteuerungs-CPU 264 überwacht, und die Mastersteuerungs-CPU 272 eine Anormalität in der Hauptmotorsteuerungs-CPU 262 überwacht. Das heißt, dass diese drei CPUs 272, 262 und 264 die Anormalität in umlaufender Weise überwachen.
  • 9A zeigt den Rücksetzvorgang, wenn eine Anormalität in der Mastersteuerungs-CPU 272 in der Struktur gemäß dem zweien Ausführungsbeispiel auftritt. In Reaktion auf die Zufuhr des Rücksetzsignals aus zumindest entweder der ersten Motorsteuerungs-CPU 264 oder der Energieversorgungssteuerungsschaltung 274 wird die Mastersteuerungs-CPU 272 zurückgesetzt und unmittelbar reaktiviert, um darauffolgend die Hauptmotorsteuerungs-CPU 262 zurückzusetzen. Die Hauptmotorsteuerungs-CPU 262 wird zurückgesetzt und unmittelbar reaktiviert, um darauffolgend die zwei Motorsteuerungs-CPUs 264 und 266 zurückzusetzen. Auf diese Weise werden die vier CPUs 272, 262, 264 und 266 alle zurückgesetzt, um jeweils den normalen Betrieb wieder aufzunehmen. Die erste Motorsteuerungs-CPU 264 weist eine Rücksetzausführungseinheit auf, die ausgelegt ist, die Mastersteuerungs-CPU 272 nicht erneut nach dem Zurücksetzen und der darauffolgenden Reaktivierung zurückzusetzen. Die Lichtschaltung 170 erleuchtet die Warnlampe 172 in Reaktion auf das der Mastersteuerungs-CPU 272 zugeführte Rücksetzsignal.
  • 9B zeigt den Rücksetzvorgang, wenn eine Anormalität in der Hauptmotorsteuerungs-CPU 262 in der Struktur gemäß dem zweiten Ausführungsbeispiel auftritt. In diesem Fall gibt die Mastersteuerungs-CPU 272 das Rücksetzsignal zur der Hauptmotorsteuerungs-CPU 262 aus. Die Hauptmotorsteuerungs-CPU 262 wird zurückgesetzt und unmittelbar reaktiviert, um darauffolgend die zwei Motorsteuerungs-CPUs 264 und 266 zurückzusetzen. Auf diese Weise werden die drei CPUs 262, 264 und 266 alle zurückgesetzt, um jeweils den normalen Betrieb wieder aufzunehmen. In diesem Zustand setzt die erste Motorsteuerungs-CPU 264, die gerade zurückgesetzt worden ist und reaktiviert worden ist, die Mastersteuerungs-CPU 272 nicht zurück. Da in diesem Zustand keine Anormalität in der Mastersteuerungs-CPU 272 auftritt, erleuchtet die Lichtschaltung 170 die Warnlampe 172 nicht.
  • 9C zeigt den Rücksetzvorgang, wenn eine Anormalität in der ersten Motorsteuerungs-CPU 264 in der Struktur gemäß dem zweiten Ausführungsbeispiel auftritt. In diesem Fall gibt die Hauptmotorsteuerungs-CPU 262 das Rücksetzsignal zu der ersten Motorsteuerungs-CPU 264 aus, um lediglich die erste Motorsteuerungs-CPU 264 zurückzusetzen. In diesem Zustand setzt die erste Motorsteuerungs-CPU 264, die gerade zurückgesetzt worden ist und reaktiviert worden ist, die Mastersteuerungs-CPU 272 nicht zurück. Da keine Anormalität in der Mastersteuerungs-CPU 272 in diesem Zustand auftritt, erleuchtet die Lichtschaltung 170 die Warnlampe 172 nicht.
  • Wie aus der vorstehenden Beschreibung in Bezug auf 9A bis 9C hervorgeht, überwachen die Mastersteuerungs-CPU 272, die Hauptmotorsteuerungs-CPU 262 und die erste Motorsteuerungs-CPU 264 die Anormalität in umlaufender Weise. Die Funktion der Rücksetzausführungseinheit der ersten Motorsteuerungs-CPU 264 ist vorab eingestellt, die Mastersteuerungs-CPU 272 nicht zurückzusetzen, wenn die erste Motorsteuerungs-CPU 264, die eine Anormalität in der Mastersteuerungs-CPU 272 überwacht, zurückgesetzt wird und reaktiviert wird. Diese Anordnung verhindert effektiv den endlosen Kreislauf der Rücksetzvorgänge und ermöglicht, dass das Steuerungssystem auf den normalen Zustand wiederhergestellt wird.
  • Wie aus der vorstehenden Beschreibung hervorgeht, ist in der Technik gemäß der vorliegenden Erfindung, wie sie in den ersten und zweiten Ausführungsbeispielen dargelegt ist, die Rücksetzausführungseinheit der ersten CPU (272) zur Ausführung des ersten Rücksetzereignisses in Reaktion auf die Zufuhr des Rücksetzsignals aufgebaut. In dem ersten Rücksetzereignis setzt die erste CPU (272) den Schaltungsaufbau (262, 264, 266) in dem vorbestimmten Bereich einschließlich der zweiten CPU (262 oder 264) zurück. Die Rücksetzausführungseinheit in der zweiten CPU (262 oder 264) ist demgegenüber aufgebaut, das Rücksetzsignal nicht zu der ersten CPU (272) in Reaktion auf das Zurücksetzen der zweiten CPU (262 oder 264) zu übertragen, sondern das Rücksetzsignal zu der ersten CPU (272) in Reaktion auf die Erfassung einer Anormalität zu übertragen, die in der ersten CPU (272) auftritt. Diese Anordnung verhindert effektiv den endlosen Kreislauf der Rücksetzvorgänge und ermöglicht, dass das Steuerungssystem zu dem normalen Zustand wieder hergestellt wird.
  • Es ist wünschenswert, die erste CPU der CPU 272 zuzuordnen, die die in dem Prozess der Steuerung der Hauptantriebsmaschinen die höchstwertige Steuerung in dem Schaltungsaufbau übernimmt und durch das erste Rücksetzereignis zurückgesetzt wird. Eine derartige Zuordnung ermöglicht in vorteilhafter Weise, dass der Betrieb des gesamten Steuerungssystems sicher zu dem normalen Zustand wieder hergestellt wird, wenn in der ersten CPU 272 eine Anormalität auftritt.
  • G. Modifikationen
  • Die Technik der vorliegenden Erfindung ist nicht auf die vorstehend beschriebenen Ausführungsbeispielen oder Ihre Anwendungen beschränkt, sondern es können viele Modifikationen, Änderungen und Veränderungen ohne Abweichen vom erfinderischen Gedanken der Hauptcharakteristik der vorliegenden Erfindung geben. Beispiele von einigen möglichen Modifikationen sind nachstehend aufgeführt.
  • G1. Modifikation 1
  • Die ersten und zweiten vorstehend beschriebenen Ausführungsbeispiele beziehen sich auf das Hybridfahrzeug des mechanischen Verteilungssystems, das das Planetengetriebe verwendet und die Ausgangsleistung der Brennkraftmaschine auf die Achse und den ersten Motor MG1 verteilt. Die Technik der vorliegenden Erfindung ist ebenfalls auf ein Hybridfahrzeug des elektrischen Verteilungssystems anwendbar, dass Motorgeneratoren an Stelle des Planetengetriebes verwendet und die Ausgangsleistung der Brennkraftmaschine elektrisch verteilt. Das Hybridfahrzeug des elektrischen Verteilungssystems ist beispielsweise in der japanischen Offenlegungsschrift Nr. 9-46965 offenbart, die durch die Anmelderin der vorliegenden Erfindung eingereicht worden ist, und es ist daher nicht besonders an dieser Stelle beschrieben.
  • Die Technik der vorliegenden Erfindung ist auf eine Vielzahl von beweglichen Objekten einschließlich verschiedener Fahrzeuge außer dem Hybridfahrzeug, nämlich beispielsweise Flugzeuge und Schiffe anwendbar. Im Allgemeinen ist die vorliegende Erfindung auf ein bewegliches Objekt anwendbar, das zumindest eine Hauptantriebsmaschine verwendet.
  • G2. Modifikation 2
  • In den Strukturen gemäß den vorstehend beschriebenen Ausführungsbeispielen wird der Watchdog-Impuls (das Watchdog-Impulssignal) WDP zur Überwachung einer Anormalität in jeder CPU verwendet. Eine andere mögliche Verarbeitung verifiziert die Gültigkeit der in jeder CPU ausgeführten Operationen, um eine Anormalität in der CPU zu überwachen. Beispielsweise können die Mastersteuerungs-CPU 272 und die Hauptmotorsteuerungs-CPU 262 gegenseitig die Ergebnisse der in den jeweiligen CPUs ausgeführten Operationen überprüfen, an Stelle oder zusätzlich zu der Überwachung mit dem Watchdog-Impuls WDP.
  • G3. Modifikation 3
  • Irgendein beliebiger Speicher außer dem EEPROM 282 kann als interner Speicher der Anormalitätsaufzeichnungsregistrierschaltung 280 (vergleiche 2) verwendet werden. Ein nicht flüchtiger Speicher wie das EEPROM ist jedoch vorzuziehen, da die Inhalte der Registrierung (Speicherung) auch dann beibehalten werden, wenn die Energieversorgung abgeschnitten ist. In einer bevorzugten Anwendung wird zur Vermeidung, dass die Energieversorgung für die Anormalitätsaufzeichnungsregistrierschaltung 280 in Reaktion auf die Rücksetzvorgänge der CPUs in der ECU 210 abgeschnitten wird, die erforderliche Leistung aus einer getrennten Energieversorgungsschaltung, die im Wesentlichen unabhängig von den CPUs in der ECU 210 ist, der Anormalitätsaufzeichnungsregistrierschaltung 230 zugeführt.
  • H. Verifizierung der Gültigkeit der Verarbeitung in den CPUs gemäß einem dritten Ausführungsbeispiel durch eine Hardware-Konfiguration
  • Nachstehend ist ein drittes Ausführungsbeispiel der vorliegenden Erfindung beschrieben. Die Anordnung gemäß dem dritten Ausführungsbeispiel beruht auf die Hardware-Konfiguration gemäß dem vorstehend beschriebenen ersten Ausführungsbeispiel. In der Struktur gemäß dem dritten Ausführungsbeispiel weist die Haupt-ECU 210 den folgenden Aufbau zur Überwachung einer Anormalität in den jeweiligen CPUs auf. Die Mastersteuerungs-CPU 272 dient zur Überwachung einer Anormalität in der Hauptmotorsteuerungs-CPU 262. Die Überwachung einer Anormalität wird in der nachstehend beschriebenen Weise durchgeführt. Die Hauptmotorsteuerungs-CPU 262 erzeugt den Watchdog-Impuls WDP1, bei dem es sich um ein Taktsignal mit einer festen Periode handelt, und führt den Watchdog-Impuls WDP1 der Mastersteuerungs-CPU 272 zu. Die Mastersteuerungs-CPU 272 weist den (nicht gezeigten) Watchdog-Zeitgeber auf. Wie es im Stand der Technik bekannt ist, gibt die CPU in dem normalen Zustand den Watchdog-Impuls mit der festen Periode aus. In diesem Zustand betrachtet der Watchdog-Zeitgeber die CPU als normal und führt keinen besonderen Vorgang aus. Wenn irgendeine Anormalität in der CPU auftritt und der Watchdog-Impuls für eine vorbestimmte Zeitdauer nicht ausgegeben worden ist, gibt der Watchdog-Zeitgeber das Rücksetzsignal zu der CPU aus. Dies setzt die CPU zurück, um den normalen Betrieb erneut zu starten. Der Watchdog-Zeitgeber der Mastersteuerungs-CPU 272 überwacht den Betrieb der Hauptmotorsteuerungs-CPU 262 auf der Grundlage dieses Prinzips und führt das Rücksetzsignal RES1 der Hauptmotorsteuerungs-CPU 262 in Reaktion auf die Erfassung einer Anormalität in der Hauptmotorsteuerungs-CPU 262 zu.
  • Die Hauptmotorsteuerungs-CPU 262 weist die Funktion der Überwachung einer Anormalität in der Mastersteuerungs-CPU 272 und der zwei Motorsteuerungs-CPU 264 und 266 auf. Entsprechend einer konkreten Verarbeitung empfängt die Hauptmotorsteuerungs-CPU 262 die aus diesen CPUs 272, 264 und 266 ausgegebenen Watchdog-Impulse. In dem Fall, dass irgendeine Anormalität in einer der CPUs auftritt, sodass die Ausgabe des Watchdog-Impulses verhindert wird, führt die Hauptmotorsteuerungs-CPU 262 das Rücksetzsignal dieser CPU nach einer vorbestimmten Zeitdauer zu. Die Mastersteuerungs-CPU 272 und die Hauptmotorsteuerungs-CPU 262 überwachen nämlich gegenseitig jeweils den Betrieb der anderen CPUs. Die Watchdog-Impulse WDP, die aus den jeweiligen CPUs übertragen werden, können den Watchdog-Zeitgeberschaltungen der anderen CPUs zugeführt werden, die als Hardware-Elemente vorgesehen sind. In einer anderen möglichen Anwendung wird jeder der ausgegebenen Watchdog-Impulse in eine Interrupt-Steuerungsschaltung der anderen CPU eingegeben, und die den Interrupt annehmende CPU führt einen Interruptprozess zur Aktualisierung der Funktionen des Watchdog-Zeitgebers aus. In dem letzteren Fall ist ein Programm in der CPU gespeichert, die als die Überwachungsschaltung dient, das durch einen internen Zeitgeber-Interrupt nach einer vorbestimmten Zeitdauer zu aktiveren ist, und gibt das Rücksetzsignal RES aus. Der Zeitgeber-Interrupt wird durch ein nicht maskierbares Interruptsteuerungssignal zurückgesetzt. Diese Anordnung entspricht dem Watchdog-Zeitgeber durch die Software.
  • Die Energieversorgungssteuerungsschaltung 274 überwacht ebenfalls den aus der Mastersteuerungs-CPU 272 ausgegebenen Watchdog-Impuls WDP2. Die Verwendung von sowohl der Hauptmotorsteuerungs-CPU 262 als auch der Energieversorgungssteuerungsschaltung 274 als die Überwachungsschaltungen der Mastersteuerungs-CPU 272 gewährleistet eine effektive Überwachung der Mastersteuerungs-CPU 272. Beispielsweise erfasst in dem Fall, dass eine Anormalität sowohl in der Mastersteuerungs-CPU 272 als auch in der Hauptmotorsteuerungs-CPU 262 auftritt, die Energieversorgungssteuerungsschaltung 274 eine Anormalität in der Mastersteuerungs-CPU 272 und setzt die Mastersteuerungs-CPU 272 zurück. Die Mastersteuerungs-CPU 272 übernimmt die Steuerung über das gesamte Hybridfahrzeug. Die mehrfache Konfiguration (multiple Konfiguration) der Überwachungsschaltung verbessert signifikant die Zuverlässigkeit des Steuerungssystems.
  • Der Eingangsanschluss der Anormalitätsaufzeichnungsregistrierschaltung 280 empfängt die Rücksetzsignale RES1 und RES2, die zwischen der Mastersteuerungs-CPU 272 und der Hauptmotorsteuerungs-CPU 262 übertragen werden. Die Anormalitätsaufzeichnungsregistrierschaltung 280 speichert die eingegebenen Rücksetzsignale RES1 und RES2 in das interne EEPROM 282. Die Anormalitätsaufzeichnungsregistrierschaltung 280 weist nämlich die Funktion der Überwachung der Erzeugung des Rücksetzsignals und des Speicherns der Erzeugungsaufzeichnung in Reaktion auf das Rücksetzen der Mastersteuerungs-CPU 272 oder der Hauptmotorsteuerungs-CPU 262 auf.
  • I. Verifizierung der Gültigkeit der Verarbeitung in CPUs durch Software.
  • Die vorstehende Beschreibung betrifft die Verifizierung der Gültigkeit der in jeder CPU ausgeführten Verarbeitung, indem die Funktionen des internen Watchdog-Zeitgebers benutzt werden. Jede CPU kann einen Mechanismus zur Verifizierung der Gültigkeit ihrer eigenen Verarbeitung aufweisen, bei dem es sich nicht um den Watchdog-Zeitgeber handelt. Dieser Mechanismus ist ausführlich unter Bezugname auf die Hauptmotorsteuerungs-CPU 262 beschrieben.
  • 10 zeigt ein Flussdiagramm einer Routine zur Verifizierung der Gültigkeit der eigenen Verarbeitung. Diese Routine wird kontinuierlich durch die Hauptmotorsteuerungs-CPU 262 ausgeführt, während die Hauptmotorsteuerungs-CPU 262 die ersten und zweiten Motoren MG1 und MG2 steuert. Wenn das Programm in diese Routine eintritt, empfängt die Hauptmotorsteuerungs-CPU 262 zunächst Drehzahlen REV1 und REV2 der Motoren MG1 und MG2 in Schritt S300 und bestimmt in Schritt S310, ob diese eingegebenen Drehzahlen REV1 und REV2 innerhalb eines vorbestimmten Bereichs (0 bis RVmax) liegen oder nicht. Die Rotation der Motoren MG1 und MG2 wird jeweils durch die erste Motorsteuerungs-CPU 264 und die zweite Motorsteuerungs-CPU 266 geregelt. Es gibt eine maximale Drehzahl RVmax, die für die Steuerung spezifiziert ist. In dem Fall, dass zumindest eine der eingegebenen Drehzahlen REV1 und REV2 dem vorbestimmten Bereich in Schritt S310 überschreitet, bestimmt die Hauptmotorsteuerungs-CPU 262, dass in zumindest einem der durch die Hauptmotorsteuerungs-CPU 262, der ersten Motorsteuerungs-CPU 264 und der zweiten Motorsteuerungs-CPU 266 ausgeführten Operationen eine Anormalität auftritt, und informiert die Anormalitätsaufzeichnungsregistrierschaltung 280 über das Auftreten der Anormalität über die bidirektionale Kommunikationsleitung 214 in Schritt S320.
  • In dem Fall, dass beide eingegebenen Drehzahlen REV und REV2 in Schritt S310 innerhalb des vorbestimmten Bereichs liegen, berechnet demgegenüber die Hauptmotorsteuerungs-CPU 262 in Schritt S330 erforderliche elektrische Ströme I1req und I2req, die den ersten und zweiten Motorsteuerungs-CPUs 264 und 266 zuzuführen sind. Es wird dann in Schritt S340 bestimmt, ob die berechneten Werte der erforderlichen elektrischen Ströme I1req und I2req innerhalb eines vorbestimmten Bereichs (0 bis Irqmax) liegen oder nicht. Die Operation der Berechnung der erforderlichen elektrischen Ströme I1req und I2req ist derart ausgelegt, dass die Berechnungsergebnisse innerhalb eines vorbestimmten Bereichs liegen. Solange die arithmetische Operation nicht anormal ist, liegen die berechneten Werte innerhalb dieses Bereichs. In dem Fall, dass irgendeine der Berechnungsergebnisse den vorbestimmten Bereich überschreitet, bedeutet dies, dass irgendeine Anormalität in der arithmetischen Operation auftritt. Die Hauptmotorsteuerungs-CPU 262 informiert dementsprechend die Anormalitätsaufzeichnungsregistrierschaltung 280 über das Auftreten der Anormalität über die bidirektionale Kommunikationsleitung 214 in Schritt S350.
  • In dem Fall, dass alle Berechnungsergebnisse innerhalb des vorbestimmten Bereichs liegen, gibt demgegenüber die Hauptmotorsteuerungs-CPU 262 die berechneten Ergebnisse der erforderlichen elektrischen Ströme I1req und I2req zu den ersten und zweiten Motorsteuerungs-CPUs 264 und 266 in Schritt S360 aus und verlässt diese Routine. Diese Verarbeitungsabfolge ermöglicht der Hauptmotorsteuerungs-CPU 262, die Gültigkeit ihrer eignen Verarbeitung auf der Grundlage des Vergleichs der eingegebenen und ausgegebenen Werte mit den jeweiligen vorbestimmten Bereichen zu verifizieren.
  • J. Verifizierung der Gültigkeit der Verarbeitung in anderen CPUs
  • Die vorstehende Beschreibung betrifft die Hardware-Konfiguration, die eine Anormalität unter Verwendung de Watchdog-Zeitgebers und der Software überwacht, die die Gültigkeit der Verarbeitung in jeder CPU verifiziert. Das Steuerungssystem gemäß diesem Ausführungsbeispiel kann einen weiteren Mechanismus zur Verifizierung der Gültigkeit der Verarbeitung, der zusätzlich zu derartigen Anordnungen der direkten Überwachung des Auftretens einer Anormalität aufweisen. Nachstehend ist eine konkrete Verarbeitung der Verifizierung für die Mastersteuerungs-CPU 272 und die Hauptmotorsteuerungs-CPU 262 beschrieben, die eine Datenübertragung über die bidirektionale Kommunikationsleitung 212 ermöglicht. 11 zeigt schematisch die Verbindung dieser zwei CPUs 262 und 272 über die bidirektionale Kommunikationsleitung 212. Die Hauptmotorsteuerungs-CPU 262 und die Mastersteuerungs-CPU 272 sind miteinander über die bidirektionale Kommunikationsleitung 212 verbunden und übertragen tatsächlich Daten zueinander entsprechend einem vorbestimmten Protokoll einer seriellen Kommunikation. Zur Vereinfachung der Beschreibung empfängt gemäß der Darstellung in 11 jedoch die Hauptmotorsteuerungs- CPU 262 eine Verifizierungsanforderung (Crq1), die aus der Mastersteuerungs-CPU 272 über eine bidirektionale Kommunikationsleistung 212A übertragen wird, wohingegen die Mastersteuerungs-CPU 272 eine Verifizierungsanforderung (Crq2), empfängt, die aus der Hauptmotorsteuerungs-CPU 262 über eine bidirektionale Kommunikationsleitung 212B übertragen wird.
  • Der Mechanismus der gegenseitigen Überwachung einer Anormalität in der Motorsteuerungs-CPU 262 und der Mastersteuerungs-CPU 272 ist nachstehend beschrieben. Die Hauptmotorsteuerungs-CPU 262 und die Mastersteuerungs-CPU 272 weisen jeweils Festspeicher, d. h. ROMs, 402 und 412 auf. Eine hexadezimale Zahl "CE" wird in dem Konstantspeicher-ROM 402 der Hauptmotorsteuerungs-CPU 262 gespeichert, wohingegen eine weitere hexadezimale Zahl "31" in den Festspeicher ROM 412 der Mastersteuerungs-CPU 272 gespeichert wird. Die Hauptmotorsteuerungs-CPU 262 und die Mastersteuerungs-CPU 272 weisen jeweils Arithmetiklogikoperationsblöcke 404 und 414 auf. Die Ausgänge der Festspeicher-ROMs 402 und 412 sind jeweils mit den Arithmetiklogikoperationsblöcken 404 und 414 verbunden. Die Operationsblöcke 404 und 414 empfangen jeweils die in den Konstantspeicher-ROMs 402 und 412 gespeicherten Konstanten und führen vorbestimmte unterschiedliche Operationen aus. Der Operationsblock 404 der Hauptmotorsteuerungs-CPU 262 führt eine Arithmetiklogikoperation f1 aus, die durch die nachstehend beschriebene Gleichung (4) ausgedrückt ist, und der Operationsblock 414 der Mastersteuerungs-CPU 272 führt eine andere Arithmetiklogikoperation f2 aus, die durch die nachstehende Gleichung (5) ausgedrückt ist: f1(x) = com[{9xHI(x) + 7 × LOW(x)} ⋂ FFH] ⋃ 00H (4) f2(x) = com[{13xHI(x) + 10 × LOW(x)} ⋂ FFH] ⋃ 00H (5) dabei zeigt das Suffix H, dass die Zahl eine hexadezimale Zahl ist, com(y) bezeichnet die Operation der Komplementärbildung eines numerischen Werts y, HI(x) bezeichnet eine Operation der Entnahme der vier oberen Bits eines numerischen Werts x, und LOW(x) bezeichnet eine Operation der Entnahme der unteren vier Bits des numerischen Werts x, und n bezeichnet einen Operator der Berechnung eines logischen Produkts und v bezeichnet einen Operator der Berechnung einer logischen Summe.
  • Das Einsetzen von X = CEH in die Gleichung (4) ergibt ein Ergebnis 31H. Dieses Operationsergebnis wird der Mastersteuerungs-CPU 272 als Verifizierungsanforderungssignal Crq2 zugeführt. Das Verifizierungsanforderungssignal Crq2 wird einer Vergleichseinheit 410 zugeführt, die in der Mastersteuerungs-CPU 272 enthalten ist. Die Vergleichseinheit 410 vergleicht den Ausgang des Konstantspeicher-ROMs 412 mit den Verifizierungsanforderungssignal Crq2. Der Wert 31H ist in dem Konstantspeicher ROM 412 der Mastersteuerungs-CPU 272 gespeichert. Falls der Arithmetiklogikoperationsblock 404 der Hauptmotorsteuerungs-CPU 262 die Operation korrekt ausführt, stimmt der Ausgang des Konstantspeicher-ROMs 412 mit dem Verifizierungsanforderungssignal Crq2 überein. Die Mastersteuerungs-CPU 272 bestimmt somit, ob der Arithmetiklogikoperationsblock 404 der Hauptmotorsteuerungs-CPU 262 korrekt arbeitet, indem einfach der Ausgang der Vergleichseinheit 410 gelesen wird.
  • Die Gültigkeit der durch den Arithmetiklogikoperationsblock 414 der Mastersteuerungs- CPU 272 ausgeführten Operation wird demgegenüber durch einen Vergleich zwischen einem aus dem Arithmetiklogikoperationsblock 414 ausgegebenen Verifizierungsanforderungssignal Crq1 und einer in dem Konstantspeicher-ROM 402 der Hauptmotorsteuerungs-CPU 262 gespeicherten Konstanten verifiziert, der durch eine Vergleichseinheit 400 ausgeführt wird. In diesem Fall folgt die durch den Arithmetiklogikoperationsblock 414 ausgeführte Operation der Gleichung (5), wohingegen die aus dem Konstantspeicher-ROM 402 ausgegebene Konstante 31H beträgt. Die Vergleichseinheit 400 vergleicht dementsprechend das Ergebnis der durch den Arithmetiklogikoperationsblock 414 ausgeführten Operation (der Wert CEH, wenn die Operation korrekt ist) mit der in dem Konstantspeicher-ROM 402 gespeicherten Konstanten CEH.
  • Zur Vereinfachung der Beschreibung wird in der vorstehenden Beschreibung angenommen, dass die Operationen der Gleichungen (4) und (5) in den jeweiligen Arithmetiklogikoperationsblöcke 404 und 414 ausgeführt werden. In der tatsächlichen Verarbeitung führen jedoch die in der Motorsteuerungs-CPU 262 und der Mastersteuerungs-CPU 272 enthaltenen CPUs aufeinander folgend die in den Gleichungen (4) und (5) enthaltenen arithmetischen Operationen nacheinander entsprechend einem Programm aus. Die Berechnung der Gleichungen (4) und (5) implementiert die meisten der durch die Arithmetiklogikoperationsschaltungen ausgeführten Operationen, beispielsweise ein Verschieben nach rechts (die Operation HI(x), die die oberen vier Bits entnimmt, entspricht einer viermaligen Wiederholung der Operation des nach rechts Schiebens), das Verschieben nach links, die Addition, die Multiplikation, die Und-Operation, die Oder-Operation und die Komplementärbildungsoperation.
  • Falls auch nur eine derartige Operation eine falsche Antwort ergibt, führt der Vergleich zu einer Inkonsistenz. Diese Anordnung ermöglicht, dass die Vergleichseinheiten 400 und 410 eine Anormalität, die in den Arithmetiklogikoperationsschaltungen auftritt, als auch eine Anormalität zu erfassen, die in der bidirektionalen Kommunikationsleitung 212 auftritt.
  • In Reaktion auf die Erfassung einer Anormalität schreiben die Hauptmotorsteuerungs-CPU 262 und die Mastersteuerungs-CPU 272 jeweils die Einzelheiten der Anormalität über die bidirektionalen Kommunikationsleitungen 214 und 216in die Anormalitätsaufzeichnungsregistrierschaltung 280.
  • Gemäß dem vorstehend beschriebenen Ausführungsbeispiel trennt jede der CPUs 262 und 272 der Motorsteuerungseinrichtung 260 und der Mastersteuerungseinrichtung 270 den Prozess der Verifizierung der Gültigkeit ihrer eigenen Verarbeitung von dem Prozess der Beauftragung der anderen CPU mit der Verifizierung der Gültigkeit der Verarbeitung. Diese Anordnung ermöglicht somit, dass die Gültigkeit der Verarbeitung vollständig mit hoher Zuverlässigkeit verifiziert wird. Der letztere Prozess verifiziert nicht den resultierenden Wert der Verarbeitung oder Steuerung, sondern verifiziert die Gültigkeit der Arithmetiklogikoperationsschaltung selbst, die die Verarbeitung ausführt. Dies verifiziert nicht nur die Gültigkeit der Verarbeitung unter spezifischen Bedingungen, sondern die allgemeine Gültigkeit der gesamten Verarbeitung. In der Anordnung gemäß dem Ausführungsbeispiel überprüft die CPU den Bereich der eingegebenen und ausgegebenen Werte auf der Grundlage der Ergebnisse der Verifizierung. Die CPU führt nämlich die Verifizierung aus, nachdem ihre eigene Gültigkeit überprüft worden ist. In der Anordnung der gemeinsamen Nutzung der Teile der Verifizierung in der vorstehend beschriebenen Weise verifiziert die andere CPU die Funktionen der Arithmetiklogikoperationsschaltung selbst und muss somit nicht alle in die interessierende CPU eingegebenen Daten verifizieren, das das zu verifizierende Objekt ist. Diese Anordnung vereinfacht somit in vorteilhafter Weise die Daten-Eingabe-Ausgabe-Konfiguration.
  • K. Andere Verifizierungsprozesse
  • Das vorstehend beschriebene Ausführungsbeispiel bewirkt, dass die andere Steuerungseinrichtung oder ihre CPU die Gültigkeit der durch die Arithmetiklogikoperationsschaltung ausgeführten Operationen verifiziert. In anderen Beispielen kann die andere Steuerungseinrichtung die Gültigkeit des Rücksetzimpulszustands des Watchdog-Zeitgebers oder das Tastverhältnis des Watchdog-Impulses verifizieren. Die Verifizierung des Rücksetzimpulszustands überprüft, ob die Steuerungseinrichtung korrekt durch den Watchdog-Zeitgeber in dem Fall zurückgesetzt worden ist, dass der Watchdog-Impuls WDP aus der Steuerungseinrichtung nicht ausgegeben wird, indem der Watchdog-Zeitgeber verwendet wird. Die Verifizierung des Tastverhältnisses des Watchdog-Impulses überprüft, ob der Watchdog-Impuls aus der Steuerungseinrichtung zu korrekten Intervallen ausgegeben wird.
  • Die Verifizierung des Watchdog-Zeitgebers folgt einer Verarbeitung nach, wie sie in dem Flussdiagramm gemäß 12 dargestellt ist. In dieser Verarbeitung verifiziert die andere Steuerungseinrichtung oder ihre CPU (gemäß diesem Ausführungsbeispiel die Hauptmotorsteuerungs-CPU 262) die Gültigkeit des Watchdog-Zeitgebers, der durch eine Steuerungseinrichtung oder ihre CPU (gemäß diesem Ausführungsbeispiel die Mastersteuerungs-CPU 272) verwendet wird. Die Verarbeitung schreibt zunächst einen Wert "1", der die Ausführung eines Rücksetzsteuerungstests unter Verwendung des in der Energieversorgungssteuerungsschaltung 274 enthaltenen Watchdog-Zeitgebers darstellt, in das EEPROM 282 der Anormalitätsaufzeichnungsregistrierschaltung 280 über die bidirektionale Kommunikationsleitung 216 in Schritt S500 ein. Der Datenwert "1" wird als Flag FW in dem EEPROM 282 gespeichert. Derselbe Datenwert wird ebenfalls zu der Hauptmotorsteuerungs-CPU 262 über die bidirektionale Kommunikationsleitung 212 in Schritt S505 übertragen. Die Mastersteuerungs-CPU 272 stoppt daraufhin die Ausgabe des Watchdog-Impulses WDP2 in Schritt S510.
  • Die Hauptmotorsteuerungs-CPU 262 empfängt die aus der Mastersteuerungs-CPU 272 übertragenen Daten in Schritt 5550 und stoppt den Betrieb des Watchdog-Zeitgebers in Schritt S555, so dass das Rücksetzsignal RES2 nicht ausgegeben wird, während die Mastersteuerungs-CPU 272 die Ausgabe des Watchdog-Impulses WDP2 stoppt. Die Hauptmotorsteuerungs-CPU 262 führt dann in Schritt S560 ein nachstehend beschriebenes Überwachungsprogramm aus.
  • Das Überwachungsprogramm startet in Schritt S565 einen Zeitgeber und wartet auf die Übertragung des Watchdog-Impulses WDP2 aus der Mastersteuerungs-CPU 272 in Schritt S570. Wenn der Rücksetzimpuls RES0 aus der Energieversorgungssteuerungsschaltung 274 in Reaktion auf den Stopp des Watchdog-Impulses WDP2 ausgegeben wird, wird die Mastersteuerungs-CPU 272 zurückgesetzt, und diese startet von ihrem Anfangszustand an erneut die Verarbeitung. Die erneut gestartete Mastersteuerungs-CPU 272 liest zunächst die Daten aus dem EEPROM 282 in der Anormalitätsaufzeichnungsregistrierschaltung 280 in Schritt S600 und bestimmt, ob die Mastersteuerungs-CPU 272 sich im Verlauf einer Selbstreaktivierung mit dem Watchdog-Zeitgeber befindet, indem sie auf den Wert des Flags FW in Schritt S605 zugreift. In dem Fall des Flags FW = 1, d. h., wenn bestimmt wird, dass die Mastersteuerungs-CPU 272 sich im Verlaufe der Selbstreaktivierung befindet, stellt die Mastersteuerungs-CPU 272 in Schritt S610 eine spezifische Betriebsart ein, um unmittelbar den Watchdog-Impuls WDP2 zu vorbestimmten Intervallen auszugeben. Die Mastersteuerungs-CPU 272 gibt dann Daten Dnr, die eine normale Reaktivierung darstellen, zu der Hauptmotorsteuerungs-CPU 262 über die bidirektionale Kommunikationsleitung 212 in Schritt S615 aus, setzt das in dem EEPROM 282 der Anormalitätsaufzeichnungsregistrierschaltung 280 gespeicherte Flag FW in Schritt S620 auf Null zurück und kehrt dann zu der normalen Verarbeitungsroutine zurück.
  • Bei Empfang des aus der Mastersteuerungs-CPU 272 übertragenen ersten Watchdog-Impulses WDP2 nach dessen Reaktivierung in Schritt S570 wartet die Hauptmotorsteuerungs-CPU 262 in Schritt S775 auf die Eingabe von nachfolgenden Daten, die aus der Mastersteuerungs-CPU 272 über die bidirektionale Kommunikationsleitung 212 übertragen werden. In Reaktion auf die Eingabe der Daten Dnr, die die normale Reaktivierung darstellen und aus der Mastersteuerungs-CPU 272 übertragen werden, liest die Hauptmotorsteuerungs-CPU 262 in Schritt S580 den Wert des Zeitgebers aus, um die verstrichene Zeit zu spezifizieren. Wenn die verstrichene Zeit innerhalb einer vorbestimmten Zeitdauer oder in einem normalen Bereich liegt, reaktiviert die Hauptmotorsteuerungs-CPU 262 den Watchdog-Zeitgeber in Schritt S585 und kehrt zu der normalen Verarbeitungsroutine zurück. Wenn die Daten Dnr nicht innerhalb der vorbestimmten Zeitdauer gesendet worden sind oder wenn die übertragenen Daten nicht die korrekten Daten Dnr sind, wird bestimmt, dass irgendeine Anormalität in der Rücksetzschaltung auftritt, die den Watchdog-Zeitgeber verwendet. Die Hauptmotorsteuerungs-CPU 262 schreibt dann das Vorhandensein der Anormalität in den EEPROM 282 der Anormalitätsaufzeichnungsregistrierschaltung 280 in Schritt S595 und beendet das Überwachungsprogramm. Wenn der Watchdog-Impuls WDP2 nicht innerhalb einer vorab eingestellten Zeitdauer seit dem Start des Zeitgebers übertragen worden ist (Schritt S565), wird dies in Schritt S590 als Zeitüberschreitung (time out) betrachtet. in diesem Fall bestimmt die Hauptmotorsteuerungs-CPU 262 ebenfalls, dass es irgendeine Anormalität gibt, und führt den Prozess von Schritt S595 aus.
  • Die vorstehend beschriebene Verarbeitungsabfolge ermöglicht, dass die in der anderen Steuerungseinrichtung enthaltene Hauptmotorsteuerungs-CPU 262 die Reaktivierung der Mastersteuerungs-CPU 272 der einen Steuerungseinrichtung unter Verwendung des Watchdog-Zeitgebers verifiziert, der die Anormalität der Operation der Mastersteuerungs-CPU 272 erfasst. Wenn reaktiviert, liest die Mastersteuerungs-CPU 272 den Wert des in dem EEPROM 282 der Anormalitätsaufzeichnungsregistrierschaltung 280 gespeicherten Flags und wird somit über das Durchführen der Reaktivierung informiert. Jedoch kann die Mastersteuerungs-CPU 272 nicht die Gültigkeit des Reaktivierungsprozesses (beispielsweise das Verstreichen der Zeit vor der Reaktivierung) verifizieren. Diese Anordnung, die ermöglicht, dass die andere CPU (gemäß diesem Ausführungsbeispiel die Hauptmotorsteuerungs-CPU 262) die Gültigkeit der Reaktivierung der Mastersteuerungs-CPU 272 verifiziert, ist somit sehr sinnvoll.
  • Im Hinblick auf die Verifizierung des Tastverhältnisses des Watchdog-Impulses erfasst die Hauptmotorsteuerungs-CPU 262 die Periode des Watchdog-Impulses WDP2, das aus der Mastersteuerungs-CPU 272 ausgegeben wird, und überprüft, ob die Periode innerhalb eines geeigneten Bereichs liegt oder nicht. In ähnlicher Weise verifiziert die Mastersteuerungs-CPU 272 das Tastverhältnis des aus der Hauptmotorsteuerungs-CPU 262 ausgegebenen Watchdog-Impulses.
  • Jede Steuerungseinrichtung oder ihre CPU kann eine Verifizierung der nachstehenden Punkte, zusätzlich zu den Bereichen der eingegebenen Daten und der Operationsergebnisse gemäß 10 verifizieren:
    • (1) Die Überprüfung, ob der Zustand einer Variation in einem Eingangssignal normal ist (beispielsweise eine Überprüfung, ob die Änderungsrate in dem Betätigungsausmaß des Fahrpedals innerhalb eines vorbestimmten Bereichs liegt),
    • (2) Eine Überprüfung, ob das Verhalten einer Vielzahl von Eingangssignalen konsistent ist (beispielsweise, wenn die Luftansaugmenge ungeachtet eines Anstiegs in dem Betätigungsausmaß des Fahrpedals ansteigt, wird bestimmt, dass irgendeine Anormalität auftritt. Dies erfasst die Verhalten der Vielzahl der Signale, die inkonsistent in Bezug auf das erwartete physikalische Verhalten ist).
    • (3) Eine Überprüfung der Inhalte des Speichers (beispielsweise die Inhalte des Speichers, die mit einem Fehlererfassungscode, beispielsweise einer Parität oder einer Prüfsumme überprüft werden), und
    • (4) eine Überprüfung einer Anormalität in der seriellen Kommunikation (beispielsweise eine Überprüfung der Normalität der Kommunikation von vorab eingestellten Daten, die zu der anderen CPU über die bidirektionale Kommunikationsleitung 212 übertragen werden).
  • Es gibt eine Vielzahl von Kombinationen in Bezug auf die zwei unterschiedlichen Typen der Verifizierung der Gültigkeit der Verarbeitung, d. h., die Verifizierung der Gültigkeit der Verarbeitung, die durch die interessierende CPU und der Steuerungseinrichtung durchgeführt wird, die tatsächlich die Verarbeitung durchführt, und die Verifizierung der Gültigkeit der Verarbeitung, die durch eine andere CPU oder Steuerungseinrichtung durchgeführt wird. Entsprechend wünschenswerten Anwendungen führt die erstere Art die Verifizierung mit den tatsächlichen Daten und numerischen Werten aus, wohingegen die letztere Art die Verifizierung der Gültigkeit des Verarbeitungsalgorithmus oder der Verarbeitungsschaltung mit allgemeinen Daten durchführt. Dies liegt daran, dass die interessierende CPU, die tatsächlich die Verarbeitung ausführt, den Bereich der für die Verarbeitung erforderlichen Daten kennt. Die andere CPU verifiziert demgegenüber nicht die Daten selbst, die für die Verarbeitung erforderlich sind. Diese Anordnung verhindert effektiv einen unnötigen Anstieg der Anzahl der eingegebenen Daten.
  • In der Struktur gemäß dem vorstehend beschriebenen Ausführungsbeispiel verifizieren die Hauptmotorsteuerungs-CPU 262 und die Mastersteuerungs-CPU 272 gemeinsam die Gültigkeit der Verarbeitung. In einer möglichen Modifikation können die Hauptmotorsteuerungs-CPU 262 sowie die erste und die zweite Motorsteuerungs-CPU 264 und 266 gemeinsam die Verifizierung durchführen. Die Verifizierung kann ebenfalls durch die Zusammenarbeit der Mastersteuerungs-CPU 272 und der Energieversorgungssteuerungsschaltung 274, durch die Zusammenarbeit der Mastersteuerungs-CPU 272 und der Maschinen-Ecu 240 oder durch die Zusammenarbeit der Mastersteuerungs-CPU 272 und der Batterie-ECU 230 ausgeführt werden.
  • Es gibt viele Modifikationen, Änderungen und Abänderungen der vorstehend beschriebenen Ausführungsbeispiele, ohne dass von dem Umfang der Hauptcharakteristiken der vorliegenden Erfindung abgewichen wird. Beispielsweise ist die Technik gemäß der vorliegenden Erfindung auf die Überwachung einer Anormalität oder Erfassung eines Fehlers in irgendeinem System oder einer Ausrüstung anwendbar, bei dem bzw. der es sich nicht um ein Fahrzeug handelt.
  • Der Umfang der vorliegenden Erfindung ist durch die beigefügten Ansprüche angegeben und nicht durch die vorstehende Beschreibung.
  • Die Technik gemäß der vorliegenden Erfindung verhindert einen endlosen Kreislauf von Rücksetzvorgängen durch CPUs in einem Steuerungssystem, das eine Vielzahl von CPUs aufweist, die sich gegenseitig überwachen. Die Vielzahl der CPUs, die mit einander verbunden sind, und eine erste CPU (272) und eine zweite CPU (262) aufweisen, werden zur Steuerung von Vorgängen (des Betriebs) von Hauptantriebsmaschinen verwendet. Die erste CPU (272) weist eine erste Rücksetzausführungseinheit auf, die ein erstes Rücksetzereignis ausführt, das eine Schaltungskonfiguration eines vorbestimmten Bereichs einschließlich der zweiten CPU (262) in Reaktion auf die Zufuhr eines Rücksetzsignals zurücksetzt. Die zweite CPU (262) weist eine zweite Rücksetzausführungseinheit auf, die das Rücksetzsignal nicht zu der ersten CPU (272) in Reaktion auf das Zurücksetzen der zweiten CPU (262) durch das erste Rücksetzereignis ausgibt, sondern das Rücksetzsignal zu der ersten CPU (272) in Reaktion auf die Erfassung einer Anormalität ausgibt, die in der ersten CPU (272) auftritt.

Claims (25)

  1. Steuerungssystem, das Arithmetik- und Logikoperationen zur Steuerung eines Objekts ausführt, wobei das Steuerungssystem aufweist: eine Vielzahl von Steuerungseinrichtungen (220, 230, 240, 262, 264, 266, 272), die miteinander verbunden sind und eine erste Steuerungseinrichtung (272) sowie eine zweite Steuerungseinrichtung (262, 264) zur Steuerung des Betriebs des Objekts aufweisen, wobei die erste Steuerungseinrichtung (272) eine erste Rücksetzausführungseinheit ausweist, die ein erste Rücksetzereignis ausführt, das einen vorbestimmten Abschnitt des Steuerungssystems einschließlich der zweiten Steuerungseinrichtung (262, 264) im Ansprechen auf die Eingabe eines Rücksetzsignals aus der zweiten Steuerungseinrichtung (262, 264) rücksetzt, die zweite Steuerungseinrichtung (262, 264) eine zweite Rücksetzausführungseinheit aufweist, die das Rücksetzsignal zu der ersten Steuerungseinrichtung (272) nicht im Ansprechen auf ein Rücksetzen der zweiten Steuerungseinrichtung (262, 264) durch das erste Rücksetzereignis ausgibt und das Rücksetzsignal zu der ersten Steuerungseinrichtung (272) im Ansprechen auf die Erfassung einer in der ersten Steuerungseinrichtung (272) aufkommenden Anormalität ausgibt.
  2. Steuerungssystem nach Anspruch 1, wobei die erste Steuerungseinrichtung (272) die Steuerung der obersten Ebene in dem vorbestimmten Abschnitt des Steuerungssystems in dem Prozess zur Steuerung des Objekts übernimmt.
  3. Steuerungssystem nach Anspruch 1 oder 2, wobei die erste Steuerungseinrichtung (272) und die zweite Steuerungseinrichtung (262, 264) gegenseitig Anormalitäten in den anderen Steuerungseinrichtungen überwachen und jeweils ein Rücksetzsignal zu der anderen Steuerungseinrichtung im Ansprechen auf die Erfassung einer aufkommenden Anormalität in der anderen Steuerungseinrichtung senden.
  4. Steuerungssystem nach Anspruch 1, wobei das Steuerungssystem an einem sich bewegenden Objekt mit einer Hauptbewegungseinrichtung angebracht ist, wobei das Steuerungssystem eine Überwachungsschaltung (274) aufweist, die eine Anormalität in der ersten Steuerungseinrichtung (272) überwacht und im Ansprechen auf die Erfassung einer in der ersten Steuerungseinrichtung (272) aufkommenden Anormalität ein Rücksetzsignal zu der ersten Steuerungseinrichtung (272) sendet, wobei das Steuerungssystem einen Rücksetztest zur Startzeit des sich bewegenden Objekts ausführt, wobei der Rücksetztest überprüft, ob ein Rücksetzvorgang der ersten Steuerungseinrichtung (272) mittels der zweiten Steuerungseinrichtung (262, 264) und ein Rücksetzvorgang der ersten Steuerungseinrichtung (272) durch die Überwachungsschaltung (274) normal durchgeführt werden.
  5. Steuerungssystem nach Anspruch 1, wobei das Steuerungssystem weiterhin eine Rücksetzaufzeichungs- Registrierungsschaltung (280) aufweist, die mit einer aus der Vielzahl der Steuerungseinrichtungen verbunden ist und Ergebnisse des darin registrierten Rücksetztests speichert.
  6. Steuerungssystem nach Anspruch 5, wobei die Rücksetzaufzeichungs-Registrierungsschaltung (280) die Erzeugung von zumindest einem Teil einer Vielzahl von Rücksetzsignalen erfasst und speichert, die zu der Vielzahl von Steuerungseinrichtungen im Verlauf des Rücksetztests gesendet werden.
  7. Steuerungssystem nach Anspruch 6, wobei das Steuerungssystem an einem sich bewegenden Objekt mit einer Hauptbewegungseinrichtung angebracht ist, wobei die Rücksetzaufzeichungs-Registrierungsschaltung (280) die Erzeugung von zumindest einem Teil einer Vielzahl von Rücksetzsignalen während eines Antriebs des sich bewegenden Objekts nach dem Rücksetztest erfasst und speichert.
  8. Steuerungssystem nach einem der vorangehenden Ansprüche, wobei jede aus der Vielzahl der Steuerungseinrichtungen eine arithmetische Logikoperationseinheit aufweist, die einem spezifischen Programm nachfolgt und eine vorbestimmte Verarbeitung entsprechend dem spezifischen Programm ausführt, wobei jede aus der Vielzahl der Steuerungseinrichtungen aufweist: eine erste Verifizierungseinheit, die einen ersten Prozess speichert und ausführt, wobei der erste Prozess eine interessierende Steuerungseinrichtung, die die vorbestimmte Verarbeitung ausführt, veranlasst, die Gültigkeit der vorbestimmten Verarbeitung auf der Grundlage eines Ergebnisses der vorbestimmten Verarbeitung zu verifizieren, und eine zweite Verifizierungseinheit, die einen zweiten Prozess speichert und ein Ergebnis des zweiten Prozesses aus einer anderen Steuerungseinrichtung empfängt, bei der es sich nicht um die interessierende Steuerungseinrichtung handelt, wobei der zweite Prozess die andere Steuerungseinrichtung veranlasst, die Gültigkeit der von der interessierenden Steuerungseinrichtung ausgeführten vorbestimmten Verarbeitung zu verifizieren.
  9. Steuerungssystem nach Anspruch 8, wobei jede aus der Vielzahl der Steuerungseinrichtungen in einem Gerät enthalten ist, das einen Antrieb eines sich bewegenden Objekts steuert, und die erste Verifizierungseinheit und die zweite Verifizierungseinheit die Gültigkeit der von jeder Steuerungseinrichtung ausgeführten vorbestimmten Verarbeitung verifiziert.
  10. Steuerungssystem nach Anspruch 8, wobei die zweite Verifizierungseinheit die Gültigkeit einer ersten Operation verifiziert, die durch eine arithmetische Logikoperationseinheit der interessierenden Steuerungseinrichtung ausgeführt wird, und die zweite Verifizierungseinheit aufweist: eine Operationsergebniseingabeeinheit, die ein Ergebnis der von der interessierenden Steuerungseinrichtung ausgeführten ersten Operation empfängt, und eine Verifizierungseinheit, die eine arithmetische Logikoperationseinheit der anderen Steuerungseinrichtung veranlasst, eine zweite Operation durchzuführen und dadurch die Gültigkeit des eingegebenen Ergebnisses der ersten Operation zu verifizieren.
  11. Steuerungssystem nach Anspruch 8, wobei die erste Verifizierungseinheit einen Bereich für ein Berechnungsergebnis spezifiziert, das von dem ersten Prozess erhalten wird, und dadurch die Gültigkeit der vorbestimmten Verarbeitung verifiziert.
  12. Steuerungssystem nach Anspruch 8, wobei die zweite Verifizierungseinheit Ergebnisse arithmetischer Logikoperationen einschließlich einer vorbestimmten Grundoperation in Bezug auf einen vorbestimmten Wert empfängt und die Gültigkeit der vorbestimmten Verarbeitung auf der Grundlage der eingegebenen Ergebnisse verifiziert.
  13. Steuerungssystem nach Anspruch 8, wobei jede aus der Vielzahl der Steuerungseinrichtungen an einem sich bewegenden Objekt mit einer Hauptbewegungseinrichtung angebracht ist, und die erste Verifizierungseinheit die Verifikation für zumindest einen Teil eines Steuerungsprozesses ausführt, der ein Gerät einschließlich der Maschine des sich bewegenden Objekts steuert.
  14. Steuerungssystem nach Anspruch 13, wobei die Vielzahl der Steuerungsrichtungen eine Maschinensteuerungseinrichtung (240), die die Maschine steuert, eine Motorsteuerungseinrichtung (262, 264, 266), die einen Motor steuert, dessen Ausgangsleistung für das sich bewegende Objekt in Kooperation mit der Maschine erforderlich ist, eine Batteriesteuerungseinrichtung (230), die eine Batterie regelt, die elektrische Leistung dem Motor zuführt, und/oder eine Bremssteuerungseinrichtung (220) umfasst, die eine Bremskraft des sich bewegenden Objekts reguliert.
  15. Steuerungssystem nach Anspruch 8, wobei jede aus der Vielzahl der Steuerungseinrichtungen eine Kommunikationseinheit aufweist, die Daten durch serielle Kommunikation sendet und empfängt, und jede Steuerungseinrichtung ein Ergebnis des zweiten Prozesses empfängt, das durch die zweite Verifizierungseinheit verifiziert worden ist und über die Kommunikationseinheit gesendet wird.
  16. Steuerungssystem nach Anspruch 8, wobei jede aus der Vielzahl der Steuerungseinrichtungen ein Ein-Chip-Mikrocomputer mit einer CPU ist.
  17. Sich bewegendes Objekt mit einer Hauptbewegungseinrichtung, wobei das sich bewegende Objekt ein Steuerungssystem nach einem der vorangehenden Ansprüche aufweist.
  18. Verfahren zur Steuerung eines Objekts mit einem Steuerungssystem, das eine Vielzahl von Steuerungseinrichtungen (220, 230, 240, 262, 264, 266, 272) aufweist, die miteinander verbunden sind und eine erste Steuerungseinrichtung (272) sowie eine zweite Steuerungseinrichtung (262, 264) aufweisen, wobei das Verfahren die Schritte aufweist: (a) Ausführen eines ersten Rücksetzereignisses in der ersten Steuerungseinrichtung (272), das einen vorbestimmten Abschnitt des Steuerungssystems einschließlich der zweiten Steuerungseinrichtung (262, 264) im Ansprechen auf die Eingabe eines Rücksetzsignals aus der zweiten Steuerungseinrichtung (262, 264) in die erste Steuerungseinrichtung (272) rücksetzt, und (b) Ausgeben des Rücksetzsignals zu der ersten Steuerungseinrichtung (272), wenn die zweite Steuerungseinrichtung (262, 264) eine in der ersten Steuerungseinrichtung (272) aufkommende Anormalität erfasst, wobei die zweite Steuerungseinrichtung (262, 264) im Ansprechen auf das Rücksetzen der zweiten Steuerungseinrichtung (262, 264) in dem Schritt (a) das Rücksetzsignal zu der ersten Steuerungseinrichtung (272) nicht ausgibt.
  19. Verfahren zur Steuerung eines Objekts nach Anspruch 18, wobei jede aus der Vielzahl der Steuerungseinrichtungen eine arithmetische Logikoperationseinheit aufweist, die einem spezifischen Programm nachfolgt und eine vorbestimmte Verarbeitung entsprechend dem spezifischen Programm ausführt, wobei das Verfahren die Schritte aufweist: Ausführen eines ersten Prozesses, wobei der erste Prozess eine interessierende Steuerungseinrichtung, die die vorbestimmte Verarbeitung ausführt, veranlasst, die Gültigkeit der vorbestimmten Verarbeitung auf der Grundlage eines Ergebnisses der vorbestimmten Verarbeitung zu verifizieren, und Ausführen eines zweiten Prozesses sowie Empfangen eines Ergebnisses des zweiten Prozesses aus einer anderen Steuerungseinrichtung, bei der es sich nicht um die interessierende Steuerungseinrichtung handelt, wobei der zweite Prozess die andere Steuerungseinrichtung veranlasst, die Gültigkeit der von der interessierenden Steuerungseinrichtung ausgeführten vorbestimmten Verarbeitung zu verifizieren.
  20. Verfahren nach Anspruch 19, wobei der zweite Prozess die Gültigkeit einer durch eine arithmetische Logikoperationseinheit der interessierenden Steuerungseinrichtung ausgeführten Operation verifiziert, und in dem zweiten Prozess die andere Steuerungseinrichtung eine arithmetische Logikoperationseinheit der anderen Steuerungseinrichtung veranlasst, eine Operation durchzuführen und dadurch die Gültigkeit des eingegebenen Ergebnisses der ersten Operation zu verifizieren.
  21. Verfahren nach Anspruch 19, wobei der erste Prozess einen Bereich für ein Berechnungsergebnis spezifiziert, das von dem ersten Prozess erhalten wird, und dadurch die Gültigkeit der vorbestimmten Verarbeitung verifiziert.
  22. Verfahren nach Anspruch 19, wobei der zweite Prozess die andere Steuerungseinrichtung veranlasst, Ergebnisse arithmetischer Logikoperationen einschließlich einer vorbestimmten Grundoperation in Bezug auf einen vorbestimmten Wert zu prüfen, und dadurch die Gültigkeit der vorbestimmten Verarbeitung verifiziert.
  23. Verfahren nach Anspruch 19, wobei jede aus der Vielzahl der Steuerungseinrichtungen an einem sich bewegenden Objekt mit einer Hauptbewegungseinrichtung angebracht ist, und der erste Prozess zumindest ein Teil eines Steuerungsprozesses ist, der ein Gerät einschließlich der Maschine des sich bewegenden Objekts steuert.
  24. Verfahren nach Anspruch 23, wobei die Vielzahl der Steuerungseinrichtungen eine Maschinensteuerungseinrichtung (240), die die Maschine steuert, eine Motorsteuerungseinrichtung (262, 264, 266), die einen Motor steuert, dessen Ausgangsleistung für das sich bewegende Objekt in Kooperation mit der Maschine erforderlich ist, eine Batteriesteuerungseinrichtung (230), die eine Batterie regelt, die elektrische Leistung dem Motor zuführt, und/oder eine Bremssteuerungseinrichtung (220) umfasst, die eine Bremskraft des sich bewegenden Objekts reguliert.
  25. Steuerungssystem nach Anspruch 19, wobei jede aus der Vielzahl der Steuerungseinrichtungen en Ergebnis des zweiten Prozesses durch serielle Kommunikation sendet und empfängt.
DE60100962T 2000-04-03 2001-03-29 Methode zu Erkennung von Anomalien in mehreren Prozessor- oder Regeleinheiten Expired - Lifetime DE60100962T2 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2000101379A JP3617407B2 (ja) 2000-04-03 2000-04-03 原動機を用いた移動体の制御装置におけるcpuの異常監視
JP2000101379 2000-04-03
JP2000132000 2000-05-01
JP2000132000A JP3452027B2 (ja) 2000-05-01 2000-05-01 制御装置における誤り検出および制御システム

Publications (2)

Publication Number Publication Date
DE60100962D1 DE60100962D1 (de) 2003-11-20
DE60100962T2 true DE60100962T2 (de) 2004-07-22

Family

ID=26589376

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60100962T Expired - Lifetime DE60100962T2 (de) 2000-04-03 2001-03-29 Methode zu Erkennung von Anomalien in mehreren Prozessor- oder Regeleinheiten

Country Status (3)

Country Link
US (1) US6654648B2 (de)
EP (1) EP1143314B1 (de)
DE (1) DE60100962T2 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112012000772B4 (de) * 2011-03-28 2014-11-20 International Business Machines Corporation Anomalieerkennungssystem
DE102015222530B4 (de) * 2015-06-01 2021-01-28 Mitsubishi Electric Corporation Fahrzeugelektroniksteuervorrichtung

Families Citing this family (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3656480B2 (ja) * 1999-09-24 2005-06-08 日本電気株式会社 端末装置の障害処理方式
JP2002347479A (ja) * 2001-05-29 2002-12-04 Denso Corp 車両統合制御システム
US6839866B2 (en) * 2001-05-31 2005-01-04 Sycamore Networks, Inc. System and method for the use of reset logic in high availability systems
JP3939961B2 (ja) * 2001-10-31 2007-07-04 株式会社デンソー 車両用電子制御装置
DE10225471A1 (de) * 2002-06-10 2003-12-18 Philips Intellectual Property Verfahren und Chipeinheit zum Überwachen des Betriebs einer Mikrocontrollereinheit
US7917738B2 (en) * 2002-06-11 2011-03-29 Nxp B.V. Method and base chip for monitoring the operation of a microcontroller unit
KR100449739B1 (ko) * 2002-09-19 2004-09-22 삼성전자주식회사 디스플레이장치 및 디스플레이장치에 입력되는 신호의체크방법
JP4134672B2 (ja) * 2002-10-18 2008-08-20 株式会社デンソー 車両用制御システム
US7406366B1 (en) * 2003-09-19 2008-07-29 Ford Global Technologies, Llc System and method for validating velocities of torque generating devices in a vehicle
US6979968B2 (en) * 2003-10-01 2005-12-27 General Motors Corporation Method and system for managing processor execution time utilizing variable frequency switching
JP4263697B2 (ja) * 2005-01-13 2009-05-13 トヨタ自動車株式会社 動力出力装置およびこれを搭載する自動車並びに動力出力装置の制御方法
JP2006259935A (ja) * 2005-03-15 2006-09-28 Denso Corp 演算異常判断機能付き演算装置
US7472337B2 (en) * 2005-03-22 2008-12-30 Cummins, Inc. Method and system for detecting faults in an electronic engine control module
JP4529767B2 (ja) * 2005-04-04 2010-08-25 株式会社日立製作所 クラスタ構成コンピュータシステム及びその系リセット方法
US7904182B2 (en) * 2005-06-08 2011-03-08 Brooks Automation, Inc. Scalable motion control system
US20070067082A1 (en) * 2005-09-20 2007-03-22 Robert Bosch Gmbh Integrated vehicle system
JP4774975B2 (ja) * 2005-12-15 2011-09-21 トヨタ自動車株式会社 電動機の制御装置
DE102006001872B4 (de) * 2006-01-13 2013-08-22 Infineon Technologies Ag Vorrichtung und Verfahren zum Überprüfen einer Fehlererkennungsfunktionalität einer Datenverarbeitungseinrichtung auf Angriffe
DE102006001873B4 (de) * 2006-01-13 2009-12-24 Infineon Technologies Ag Vorrichtung und Verfahren zum Überprüfen einer Fehlererkennungsfunktionalität einer Speicherschaltung
US20070293989A1 (en) * 2006-06-14 2007-12-20 Deere & Company, A Delaware Corporation Multiple mode system with multiple controllers
US7537542B2 (en) * 2006-09-11 2009-05-26 Gm Global Technology Operations, Inc. Control system architecture for a hybrid powertrain
US8392882B2 (en) 2006-11-30 2013-03-05 Caterpillar Inc. Engine state-based control of software functions
JP4337884B2 (ja) * 2007-01-31 2009-09-30 株式会社日立製作所 インバータ制御装置
JP4427761B2 (ja) * 2007-08-29 2010-03-10 株式会社デンソー 車載電子機器制御システム
EP2204736A4 (de) * 2007-09-25 2012-01-11 Fujitsu Ltd Informationsprozessor und steuerverfahren
JP4859803B2 (ja) * 2007-10-01 2012-01-25 日立オートモティブシステムズ株式会社 電動アクチュエータの制御装置
US8118122B2 (en) * 2007-10-25 2012-02-21 GM Global Technology Operations LLC Method and system for monitoring signal integrity in a distributed controls system
US8244426B2 (en) * 2007-10-27 2012-08-14 GM Global Technology Operations LLC Method and apparatus for monitoring processor integrity in a distributed control module system for a powertrain system
JP4525762B2 (ja) * 2008-02-04 2010-08-18 株式会社デンソー 車両用電子制御装置
EP2090952A3 (de) * 2008-02-14 2012-03-28 Robert Bosch Gmbh Hydraulikkomponenten-Steuergerät und Verfahren zum Ansteuern von hydraulischen Komponenten
JP5511791B2 (ja) * 2009-03-27 2014-06-04 ルネサスエレクトロニクス株式会社 半導体集積回路装置
US8069367B2 (en) * 2009-05-05 2011-11-29 Lockheed Martin Corporation Virtual lock stepping in a vital processing environment for safety assurance
US8228009B2 (en) * 2009-07-27 2012-07-24 Parker-Hannifin Corporation Twin motor actuator
DE102009054466A1 (de) * 2009-12-10 2011-06-16 Zf Friedrichshafen Ag Verfahren zur Handhabung von Antriebsmomenten und/oder Bremsmomenten
FR2961041B1 (fr) * 2010-06-02 2012-07-27 Parrot Procede de commande synchronisee des moteurs electriques d'un drone telecommande a voilure tournante tel qu'un quadricoptere
JP5652240B2 (ja) * 2011-02-18 2015-01-14 株式会社デンソー 電動コンプレッサ
DE102011016125A1 (de) * 2011-04-05 2012-10-11 Lucas Automotive Gmbh Technik zum redundanten Erfassen einer Betätigung einer Kraftfahrzeug-Bremsanlage
CN107154759B (zh) * 2011-04-28 2020-06-12 赛伟科有限责任公司 电动机和电动机控制器
TWI446151B (zh) * 2011-06-01 2014-07-21 Wistron Corp 電腦系統及其重新啟動方法
JP2012257122A (ja) * 2011-06-09 2012-12-27 Hitachi Automotive Systems Ltd 車両制御装置、車両制御システム
US8847535B2 (en) * 2011-11-08 2014-09-30 Autoliv Asp, Inc. System and method to determine the operating status of an electrical system having a system controller and an actuator controller
FR2989047B1 (fr) * 2012-04-05 2014-04-11 Renault Sa Systeme de commande de vehicule en mode autonome et vehicule comprenant un tel systeme de commande
EP2905180A4 (de) * 2012-10-01 2016-08-10 Hitachi Automotive Systems Ltd Elektrofahrzeugsteuerungsvorrichtung
US10040447B2 (en) * 2012-10-05 2018-08-07 Ford Global Technologies, Llc Control strategy for an electric machine in a vehicle
CN103206308A (zh) * 2013-04-18 2013-07-17 东风汽车公司 一种用于汽油发动机ecu安全监控系统的方法
US9087418B2 (en) * 2013-11-19 2015-07-21 Ford Global Technologies, Llc Vehicle diagnostic system and method for detecting incorrect cable connections
US9514581B2 (en) * 2014-01-03 2016-12-06 Shem, Llc Diagnostic system for a vehicle
JP6341795B2 (ja) * 2014-08-05 2018-06-13 ルネサスエレクトロニクス株式会社 マイクロコンピュータ及びマイクロコンピュータシステム
JP6350208B2 (ja) * 2014-10-24 2018-07-04 トヨタ自動車株式会社 自動車
US9942348B2 (en) * 2015-08-07 2018-04-10 International Business Machines Corporation Verifying controller actions in software-defined networks with controller clusters
DE102015217389A1 (de) 2015-09-11 2017-03-16 Robert Bosch Gmbh Verfahren und Vorrichtung zum Betreiben eines Fahrzeugs
JP6524989B2 (ja) * 2016-11-15 2019-06-05 トヨタ自動車株式会社 演算器の動作保証方法
GB2557678B (en) * 2016-12-15 2019-12-04 Jaguar Land Rover Ltd Apparatus and method for controlling a high voltage circuit
CN110709303B (zh) 2017-06-08 2022-11-29 三菱电机株式会社 车辆控制装置
JP7131431B2 (ja) * 2019-02-25 2022-09-06 トヨタ自動車株式会社 制御装置およびそのリセット方法
LU101274B1 (de) * 2019-06-17 2020-12-18 Phoenix Contact Gmbh & Co Automatische Überwachung von Prozesssteuerungen
JP7097347B2 (ja) * 2019-12-25 2022-07-07 本田技研工業株式会社 不正診断機検出装置
CN113571003A (zh) * 2020-04-28 2021-10-29 佳纶生技股份有限公司 具有回复机制的显示装置
CN114932805A (zh) * 2022-04-29 2022-08-23 华为数字能源技术有限公司 一种驱动装置和电动汽车

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4313160A (en) * 1976-08-17 1982-01-26 Computer Automation, Inc. Distributed input/output controller system
AU575297B2 (en) 1982-09-21 1988-07-28 Xerox Corporation Separate resetting of processors
JPH04133102A (ja) 1990-09-26 1992-05-07 Mitsubishi Electric Corp プログラマブル・コントローラ及びその制御方法
JP2682251B2 (ja) 1991-04-05 1997-11-26 株式会社日立製作所 多重化制御装置
US5452419A (en) 1992-03-06 1995-09-19 Pitney Bowes Inc. Serial communication control system between nodes having predetermined intervals for synchronous communications and mediating asynchronous communications for unused time in the predetermined intervals
US5487270A (en) * 1992-07-03 1996-01-30 Nippondenso Co., Ltd. Air-fuel ratio control system for internal combustion engine
JP3004861U (ja) 1993-06-04 1994-11-29 ディジタル イクイプメント コーポレイション 密接に結合された二重のコントローラモジュールを用いた欠陥許容式の記憶装置用制御システム
JPH07143210A (ja) 1993-11-18 1995-06-02 Hitachi Ltd 多重化制御システム
US5995916A (en) * 1996-04-12 1999-11-30 Fisher-Rosemount Systems, Inc. Process control system for monitoring and displaying diagnostic information of multiple distributed devices
US6047222A (en) * 1996-10-04 2000-04-04 Fisher Controls International, Inc. Process control network with redundant field devices and buses
US6014612A (en) * 1997-10-02 2000-01-11 Fisher Controls International, Inc. Remote diagnostics in a process control network having distributed control functions
JP3777792B2 (ja) 1998-05-06 2006-05-24 オムロン株式会社 電動式パワーステアリングの制御装置
JPH11331313A (ja) 1998-05-20 1999-11-30 Nec Corp 変復調装置および変復調方法、並びに記録媒体
JP3641163B2 (ja) * 1999-05-19 2005-04-20 株式会社東芝 分散型監視制御システム
US6510352B1 (en) * 1999-07-29 2003-01-21 The Foxboro Company Methods and apparatus for object-based process control

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112012000772B4 (de) * 2011-03-28 2014-11-20 International Business Machines Corporation Anomalieerkennungssystem
US9921938B2 (en) 2011-03-28 2018-03-20 International Business Machines Corporation Anomaly detection system, anomaly detection method, and program for the same
DE102015222530B4 (de) * 2015-06-01 2021-01-28 Mitsubishi Electric Corporation Fahrzeugelektroniksteuervorrichtung

Also Published As

Publication number Publication date
EP1143314B1 (de) 2003-10-15
EP1143314A1 (de) 2001-10-10
US20010027537A1 (en) 2001-10-04
US6654648B2 (en) 2003-11-25
DE60100962D1 (de) 2003-11-20

Similar Documents

Publication Publication Date Title
DE60100962T2 (de) Methode zu Erkennung von Anomalien in mehreren Prozessor- oder Regeleinheiten
DE102007042077B4 (de) Steuersystemarchitektur für einen Hybridantriebsstrang und Steuerverfahren
DE112017006451B4 (de) Gemeinsam genutzte Backup-Einheit und Steuersystem
DE69932019T2 (de) Überwachungsvorrichtung für ein Kraftfahrzeugsteuerungssystem
DE102007013334B4 (de) Verfahren und Vorrichtung für eine multivariate aktive Endantriebsdämpfung
EP0826102B1 (de) Verfahren und vorrichtung zur steuerung einer antriebseinheit eines fahrzeugs
DE19925229B4 (de) Leistungsabgabevorrichtung und Steuerungsverfahren der Leistungsabgabevorrichtung sowie durch die Leistungsabgabevorrichtung angetriebenes Hybridfahrzeug
DE102007004634A1 (de) Verteilte Diagnosearchitektur
DE102007020353B4 (de) Verfahren zum Ausführen eines Schaltens von einem anfänglichen Gang in einen abschließenden Gang in einem Getriebe eines Antriebsstrangsystems sowie entsprechend hergerichteter Fertigungsgegenstand
DE102010052240B4 (de) Verfahren zur Bestimmung von Ausgangsdrehmoment-Zwangsbedingungen für einen Antriebsstrang
DE102010020290B4 (de) Verfahren zum Steuern eines Hybridantriebsstrangsystems
DE102010032352B4 (de) System zum Überwachen der Stabiliät eines Hybridantriebsstrangs
DE102012205731A1 (de) Elektronische fahrzeugsteuervorrichtung
DE10331873B4 (de) Verfahren zur Überwachung verteilter Software
DE102013216611A1 (de) Steuerstrategie für eine elektrische Maschine in einem Fahrzeug
DE102009028905A1 (de) Multi-Prozessor Steuerung für einen Wandler in einer elektrischen Antriebseinrichtung für ein Fahrzeug
DE102013207821A1 (de) Verfahren und Vorrichtung zum Überwachen einer elektrischen Hochspannungsschaltung, die eine Entladungsschaltung enthält
DE102013206135A1 (de) Gestuftes Subtraktionsverfahren zum Lösen einer linearen Beschränkungsfunktion in Verbindung mit einer Steuerung eines Hybrid-Antriebsstrangsystems
DE102013204842B4 (de) Regelungssystem
DE102014109586A1 (de) Verfahren und Vorrichtung zur Fehlerminderung in einer Drehmomentmaschine eines Antriebsstrangsystems
EP1171332B1 (de) Lenk- und bremssystem für ein fahrzeug
DE102019203339A1 (de) Motorsteuervorrichtung und Motorantriebssystem
DE102019114952B4 (de) Fahrzeugsteuervorrichtung, Steuerverfahren und nichttransistorisches computerlesbares Medium
DE10357118A1 (de) Laden von Software-Modulen
DE102019115399A1 (de) Kraftzeug mit einem steuergerätesystem

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8320 Willingness to grant licences declared (paragraph 23)