以往作为车辆控制装置，有通过构成一个主机的电子控制装置、集中 控制涉及制动力及驱动力及操舵角的控制装置的运转控制装置(例如，专 利文献1)。
近年，以提高汽车的驾驶舒适性及安全性为目标，不是机械的结合， 而是通过电子控制将驾驶员的加速、转向(steering)、制动等的操作反应 到车辆的驱动力、操舵力、制动力发生机构上的车辆控制装置的开发变得 极为活跃。对这样的车辆控制装置，为了不失去涉及车辆的驱动、操舵、 制动的功能，要求有高的可靠性。
以往，将由机械的机构实现的控制置转换成电器的机构来进行。在航 空器控制中Fly-by-Wire、在汽车控制中X-by-Wire是其很好的例子。在这 些用途中，以往，对于故障准备有机械的备份机构，但随着机械机构消失， 就需要电器机构的高可靠性。
即使在电控制汽车的X-by-Wire(XBW系统)中，要求电控制转向 器的Steer-by-Wire和电控制制动器的Brake-by-Wire不产生误动作而进行 可靠的动作，并要求有高可靠性。特别是Steer-by-Wire，由于不存在在故 障时保证安全(fail-safe)的转向位置，则更加要求高可靠性。
另外，多认为作为X-by-Wire的优点是通过由电子控制综合地控制转 向、制动而提高车辆稳定性的所谓车辆稳定控制，由此可提高汽车安全性 的主动安全性(例如，专利文献3)。
另外，作为高可靠的车辆控制装置的以往例，有通过二重化具有ABS (AntiLock Brake System)、TCS(Transmission Controlled System)等功能 的主控制器来提高可靠性的例子(例如，非专利文献1)，和通过即使发 生错误也能继续正常动作地构成前轮制动的控制模块(故障运行)、在发 生错误的时候停止该功能地构成后轮制动的控制模块(故障无反应)而达 到高可靠性的例子(例如，专利文献2)。
例如，作为车辆控制装置的一种，有将驾驶员对制动踏板等的操纵装 置的操作量变换成电信号、并将此通过CAN(Control Area Network) 等的通信装置传输到制动机构所具有的控制计算机中进行电子控制的车 辆控制装置。
[专利文献1]特开2003-263235号公报
[专利文献2]特开2002-347602号公报
[专利文献3]特开平10-291489号公报
[非专利文献1]D&M日经机械工程等主办的第1次「X-by-Wire」 研讨会资料的3～6页，幻灯片12的左下图。
这样的车辆控制装置，一般作为X-by-Wire系统而被知晓，与由以往 的机械的机构及液压机构传输的方式比较，被认为可以实现使用计算机而 带来的高度的行驶综合控制和车辆重量的轻量化及提高设计自由度。
在以往的车辆控制装置中具有如下的问题，即，将监视驾驶员的操作 量和车辆的状态的传感器输入到构成1个主机的电子控制装置(主ECU) 中，综合控制作为车辆控制用的执行元件的内燃机控制装置及制动器控制 装置及转向器控制装置，由此，在主ECU发生故障时，因不能进行所有 的操纵，则为了确保安全性，应该特别提高主ECU的可靠性。
在这里，使主ECU多重化可确保可靠性的手法是已知的，但要求高 度处理的主ECU多重化，就有提高成本的课题。
在以往型控制体系结构中，由内燃机、转向器、制动器的分系统构成 车辆整体。这是由于，如加速器和内燃机、方向盘和转向器、制动踏板和 制动器那样，操作装置和执行元件1对1地对应。
现在实用化的XBW系统，作为如上所述的以往型控制体系结构的延 长而进行设计的情况较多。即，按Drive-by-Wire、Steer-by-Wire和Brake-by- Wire的功能构成分系统，通过这些分系统间的协调实现车辆运动控制。
在研讨这些以往技术(以往型控制体系结构)的问题时可知，为了确 保要求车辆控制装置的可靠性、实时性、扩展性，就有成本变得非常高的 课题。以下出示了以往技术的问题。
在车辆综合车辆控制装置中，需要高可靠性。即，必须确保即使控制 器及传感器·执行元件万一发生故障时，车辆也能安全行驶。
在以往技术中，由于按每个分系统进行功能开发，则需要每个分系统 的故障运行性(在有故障时可进行操作性)。即，在以往技术中，存在按 每个分系统、根据传感器(方向盘、踏板等)来控制执行元件(转向器、 制动器等)的ECU。
由于ECU集中地控制传感器·执行元件，所以为了使系统整体具有 故障运行性，需要使每个分系统的ECU具有故障运行性。为了使ECU具 有故障运行性，需要进行多重化等，则带来产品成本的上升。
为了以低成本实现高可靠性系统，在使每个分系统具有ECU、在使 该ECU具有故障运行性的以往构成中很难实现。
对此，本发明者们考虑了将ECU所具有的控制功能分离为车辆综合 控制、执行元件控制、传感器控制，在按各功能给予充分必要的可靠性的 基础上，对于执行元件控制功能，即使在车辆综合控制功能异常时，也能 够给予基于传感器信息可控制的自律的备用功能，只要能做到这一点，就 能有效地实现对高可靠低成本系统。
另外，在车辆控制装置中，满足严密的时间限制的硬实时处理是基本 的。即需要将乘员的操纵及路面状况的变化在限制时间内反映到控制中， 在以往技术中，由于按每个分系统进行功能开发，所以在分系统内的实时 性确保是比较容易的。
但是，例如如侧滑姿势的控制，在综合多个执行元件的控制的时候， 很难确保实时性。即，由于从一个传感器得到的信息，要传输制动器、转 向器、内燃机等多个分系统的车辆控制功能，所以很难保证对于控制所需 要的“死线”内的动作。
进而，由于数据传输延迟，对于确保在各分系统中同时参照数据也是 困难的。因此，为了在以往技术中实现车辆运动控制的高度的协调，要增 加系统和分系统的适应、调整的工时，会增大开发成本。
在以往的构成中很难实现为了以低成本实现实时综合控制、将车辆控 制逻辑模块和设备驱动程序分散到各ECU中并在ECU间在取得协调。
对此，本发明者们考虑到将控制功能分成车辆综合控制ECU和设备 (执行元件、传感器)控制器，只要能够分别自律地动作并共用数据，就 能有效地实现实时综合控制。
另外，在新型车的开发中，为了削减开发成本，使用共同平台开发多 车种的方法是一般所采用的。因此，需要能够容易实施每个车种的功能增 加及部件的变更。但是，在以往技术中，由于由分系统水准的ECU来实 现功能，所以难以实现传感器·执行元件水准的标准化。
即，作为ECU具有的控制逻辑模块，存在有逻辑、抽象的控制应用 程序和实际控制传感器·执行元件的设备驱动部分的两方。
虽然也有设备驱动标准化的动作，但无论如何都是接口方面的标准 化，在实时性及ECU的资源等的方面，与控制应用程序紧密相关。
因此，如有传感器·执行元件的追加、变更，则会发生在分系统水准 上的控制任务等的设计更改，就有带来开发成本的上升的问题。
为了实现扩展性高的系统，在以可自律动作的形式而具有控制器的基 础上，需要在分散车辆控制装置内设置假想的共有存储器。对此，本发明 者们考虑到各传感器·执行元件使用状态信息·控制目标值等的高维接口、 在共有存储器中进行传播，同时，自律地取得、控制各传感器·执行元件 需要的数据是有效的。
面向具有高可靠性的车辆控制装置的实用化的课题，是不要大幅地增 加成本并实现高可靠性，但以往技术，将主控制器或控制组件的一部分、 通过冗长化等复杂的硬件构成来实现故障运行，在成本方面还不能认为是 最佳的系统构成。
另外，在上述以往技术中，即使在驾驶员超过车辆的界限进行操作的 时候也用电子修正制动操作等，能够避开车辆的滑动、自转等而将事故防 止于未然。
但是，由于从制动踏板及各种传感器的信息到各车轮的制动器，由电 子控制单元(ECU)集中控制，所以在电子控制单元(ECU)发生故障时， 由于不操作制动器，所以对电子控制单元(ECU)要求高可靠性，对于控 制装置的可靠性更需要进一步给予考虑。

本发明鉴于上述问题，其目的在于提供一种通过不将各个控制器的冗 长度提高到需要以上、以系统整体防备错误的方式来实现以简单的ECU 构成、低成本而确保高可靠性和实时性以及扩展性的车辆控制装置。
本发明的车辆控制装置，传感器从属计算机(传感器控制器)向同一 网络上输出传感器值，主计算机(指令控制器)接收上述传感器值并基于 传感器值计算控制目标值，在向上述网络上输出的同时，执行元件从属计 算机(执行元件控制器)接收上述控制目标值，并控制执行元件；在上述 执行元件从属计算机不能正确接收上述控制目标值的时候，上述执行元件 从属计算机，接收上述传感器从属计算机输出到上述同一网络上的上述传 感器值并基于该传感器值来运算控制目标值，控制执行元件。
有关本发明的车辆控制装置，由基于驾驶员的要求信号和车辆状态信 号来运算操作量指令值的操作量生成节点、基于从该操作量生成节点给出 的操作量指定值来控制执行元件的执行元件驱动节点构成，进行车辆的驱 动、操舵、制动，上述各节点，具有故障检测功能、在通过该故障检测功 能检测到节点内的故障的时候，对该节点外部，不涉及通知该节点处于故 障状态以外的作用，当在任意节点上发生故障的时候，基于从处于该故障 状态的某节点给出的故障检测通知，通过在该节点以外的正常的节点中进 行切换控制，继续作为系统整体的正常动作。
检测上述驾驶员的要求的传感器，连接到通信网络上，在检测到该传 感器内的故障的时候，对该节点外部，不涉及通知该节点处于故障状态以 外的作用。
传感器，具体地由多个传感器部件、将该多个传感器部件的输出变换 成数字值的A/D变换器、多个A/D变换值的一致检测功能、滤波功能、 和通信接口构成。
上述操作量生成节点，在接收到从处于故障状态的节点给出的故障检 测通知的时候，通过对应于故障处的切换控制，稳定地保持车辆的行驶状 态。
上述执行元件驱动节点，具有在不能接收从上述操作量生成节点给出 的操作量指令值的时候、基于检测上述驾驶员的要求的传感器的信号而生 成操作量指令值的功能，在不能接收从上述操作量生成节点给出的操作量 指令值的时候，通过从通常控制切换到实现该功能的控制而稳定地保持车 辆的行驶状态。
检测驾驶员的要求的传感器、操作量生成节点、和执行元件驱动节点 被连接到同一通信网络上。该通信网络由主总线和备用总线构成，在主总 线上，连接检测驾驶员的要求的全部传感器、操作量生成节点和执行元件 驱动节点，在备用总线上，连接检测驾驶员的要求的传感器的一部分、和 执行元件驱动节点的一部分，在主总线有故障时，执行元件驱动节点稳定 地保持车辆的行驶状态。
更具体地，在本发明的车辆控制装置中，检测上述驾驶员的要求的传 感器，是测定转向器的旋转角度的操舵角传感器、测定制动踏板的踏入量 的制动踏板位置传感器、和测定加速踏板的踏入量的加速踏板位置传感 器，操作量生成节点，是根据检测上述驾驶员的要求的传感器的信号解释 驾驶员的意图并与检测车辆状态的传感器信号一起综合地控制车辆运动 的车辆运动综合控制器、和综合地控制车辆的驱动系统的驱动系统综合控 制器，执行元件驱动节点，是控制发生操舵力的转向器执行元件的转向器 执行元件驱动控制器、和控制生成制动力的制动器执行元件的制动器执行 元件驱动控制器、和控制对阻尼力进行调整的悬架执行元件的悬架执行元 件驱动控制器，这些节点被连接到同一通信网络上。另外，检测车辆的外 界状态的雷达或照相机，也可以连接到上述通信网络上。
进而，上述加速踏板位置传感器，在连接到上述通信网络上的同时， 从上述驱动系统综合控制控制器接收转矩指令值，基于此也可以直接连接 到控制内燃机的发动机控制控制器上。
在这样的车辆控制装置中，在没有机械地结合制动踏板和制动力发生 机构的时候，至少使制动踏板位置传感器在单一故障时也继续正常动作。
在没有机械地结合转向器和操舵力发生机构的时候，至少使操舵角传 感器和转向器执行元件驱动控制器在单一故障时也继续正常动作，并且， 使转向器执行元件冗长化。
其特征为，各个转向器执行元件发生的力，与在机械地结合转向器和 操舵力发生机构的系统使用的转向器执行元件发生的力比较要小。
另外，上述转向器执行元件驱动控制器，在检测出节点内的故障的时 候，向该节点外部，不涉及通知该节点处于故障状态以外的作用并使驱动 节点冗长化，该驱动节点分别独立地驱动上述冗长化了的转向器执行元 件。
在没有有关制动器、转向器的备份机构的车辆控制装置中，上述制动 踏板位置传感器和操舵角传感器，是将由多个传感器部件、将该多个传感 器部件的输出变换成数字值的A/D变换器、多个A/D变换值的一致检验 功能、滤波功能、和通信接口构成的故障无反应的传感器实行冗长化的传 感器，或是由至少三个传感器部件、将该多个传感器部件的输出变换成数 字值的A/D变换器、多个A/D变换值的多数判定功能、滤波功能、和通 信接口构成的故障运行的传感器。
本发明的车辆控制装置，具有操作量生成节点和修正量生成节点和执 行元件驱动节点，在执行元件驱动节点上，在修正量生成节点正常的时候， 对由操作量生成节点给出的操作量施加从修正量生成节点给出的修正量、 以作为控制目标值来控制执行元件，在修正量生成节点异常的时候，将由 操作量生成节点给出的操作量作为控制目标值来控制执行元件。
其结果，即使是在修正量生成节点发生故障的时候，也不进行修正， 但是基于操作量能够控制执行元件。
另外，本发明的车辆控制装置，具有：基于驾驶员的要求或车辆状态 来控制执行元件的多个执行元件驱动装置、和连接多个执行元件驱动装置 的通信装置，并控制车辆的驱动、操舵、制动的至少一个，执行元件驱动 装置，具有基于自己的动作状态和其它的执行元件驱动装置的动作状态来 选择执行元件的控制方法的控制方法选择装置。
另外，本发明的车辆控制装置，具有：基于驾驶员的要求或车辆状态 来控制执行元件的多个执行元件驱动装置、和连接多个执行元件驱动装置 的通信装置，并控制车辆的驱动、操舵、制动的至少一个，执行元件驱动 装置，具有检测自己的故障并通过通信装置对其它的执行元件驱动装置通 知故障发生的故障检测装置、和基于自己的故障状态和其它的执行元件驱 动装置的故障状态来选择执行元件的控制方法的控制方法选择装置。
另外，本发明的车辆控制装置是，具有：基于驾驶员的要求或车辆状 态来控制执行元件的多个执行元件驱动装置、和连接多个执行元件驱动装 置的通信装置，并控制车辆的驱动、操舵、制动的至少一个，执行元件驱 动装置，具有基于通过通信装置从其它执行元件驱动装置接收的短信息的 接收状态来选择执行元件的控制方法的控制方法选择装置。
另外，本发明的车辆控制装置，具有：基于驾驶员的要求或车辆状态 来控制执行元件的多个执行元件驱动装置、和连接多个执行元件驱动装置 的通信装置，并控制车辆的驱动、操舵、制动的至少一个，执行元件驱动 装置，具有通过通信装置将通知动作状态用的短信息发送给上述其它的执 行元件驱动装置并基于是否从其它的执行元件驱动装置接收到上述短信 息来选择执行元件控制方法的控制方法选择装置。
另外，本发明的车辆控制装置，具有：基于驾驶员的要求或车辆状态 来运算操作量指令值的至少1个操作量生成装置、和基于从操作量生成装 置给出的操作量指令值来控制执行元件的多个执行元件驱动装置、和连接 操作量生成装置和执行元件驱动装置的通信装置，并控制车辆的驱动、操 舵、制动的至少一个，执行元件驱动装置，具有基于自己的动作状态、和 其它的执行元件驱动装置的动作状态、和操作量生成装置的动作状态来选 择执行元件的控制方法的控制方法选择装置。
另外，本发明的车辆控制装置，具有：基于驾驶员的要求或车辆状态 来运算操作量指令值的至少1个操作量生成装置、和基于从操作量生成装 置给出的操作量指令值来控制执行元件的多个执行元件驱动装置、和连接 操作量生成装置和上述执行元件驱动装置的通信装置，并控制车辆的驱 动、操舵、制动的至少一个，操作量生成装置，具有检测自己的故障并通 过通信装置对上述执行元件驱动装置或操作量生成装置通知故障发生的 故障检测装置，执行元件驱动装置，具有检测自己的故障、基于通过通信 装置对其它的执行元件驱动装置或操作量生成装置通知故障发生的故障 检测装置、自己的故障状态、其它的执行元件驱动装置的故障状态、和操 作量生成装置的故障发生状态来选择执行元件的控制方法的控制方法选 择装置。
另外，本发明的车辆控制装置，具有：基于驾驶员的要求或车辆状态 来运算操作量指令值的至少1个操作量生成装置、和基于从操作量生成装 置给出的操作量指令值来控制执行元件的多个执行元件驱动装置、和连接 操作量生成装置和上述执行元件驱动装置的通信装置，并控制车辆的驱 动、操舵、制动的至少一个，执行元件驱动装置，具有基于从其它执行元 件驱动装置或操作量生成装置给出的短信息的接收状态来选择执行元件 的控制方法的控制方法选择装置。
另外，本发明的车辆控制装置，具有：基于驾驶员的要求或车辆状态 来运算操作量指令值的至少1个操作量生成装置、和基于从操作量生成装 置给出的操作量指令值来控制执行元件的多个执行元件驱动装置、和连接 操作量生成装置和上述执行元件驱动装置的通信装置，并控制车辆的驱 动、操舵、制动的至少一个，操作量生成装置，通过通信装置将操作量指 令值发送到每个执行元件驱动装置上；执行元件驱动装置，当接收到操作 量指令值时，通过上述通信装置将应答短信息送到操作量生成装置或其它 的执行元件驱动装置中，执行元件驱动装置，具有控制方法选择装置，该 控制方法选择装置，基于是否接收到从操作量生成装置给出的操作量指令 值或从其它的执行元件驱动装置给出的应答短信息来选择执行元件的控 制方法。
另外，本发明的车辆控制装置，具有：检测驾驶员的要求或车辆状态 的传感器装置、和基于从传感器装置给出的信息来运算操作量指令值的至 少1个操作量生成装置、和基于从操作量生成装置给出的操作量指令值或 从上述传感器给出的信息来控制执行元件的多个执行元件驱动装置、和连 接传感器装置和操作量生成装置和执行元件驱动装置的通信装置，并控制 车辆的驱动、操舵、制动的至少一个，执行元件驱动装置，具有控制方法 选择装置，该控制方法选择装置，基于自己的动作状态和其它的执行元件 驱动装置的动作状态、和操作量生成装置的故障的动作状态，选择使用从 操作量生成装置给出的操作量指令值的控制方法、使用从传感器给出的信 息的控制方法、使执行元件为规定的状态的控制方法中任意一种方法。
另外，本发明的车辆控制装置，具有：检测驾驶员的要求或车辆状态 的传感器装置、基于从传感器装置给出的信息来运算操作量指令值的至少 1个操作量生成装置、基于从操作量生成装置给出的操作量指令值或从上 述传感器给出的信息来控制执行元件的多个执行元件驱动装置、和连接传 感器装置和操作量生成装置和执行元件驱动装置的通信装置，并控制车辆 的驱动、操舵、制动的至少一个，操作量生成装置，检具有测自己的故障 并通过通信装置对执行元件驱动装置或操作量生成装置通知故障发生的 故障检测装置，执行元件驱动装置，具有控制方法选择装置，该控制方法 选择装置，基于检测自己的故障并通过通信装置对其它的执行元件驱动装 置或操作量生成装置通知故障发生的故障检测装置、自己的故障状态、其 它的执行元件驱动装置的故障状态、和操作量生成装置的故障的发生状 态，选择使用从操作量生成装置给出的操作量指令值的控制方法、使用从 传感器给出的信息的控制方法、使执行元件为规定的状态的控制方法中任 意一种方法。
另外，本发明的车辆控制装置，具有：检测驾驶员的要求或车辆状态 的传感器装置、基于从传感器装置给出的信息来运算操作量指令值的至少 1个操作量生成装置、基于从操作量生成装置给出的操作量指令值或从传 感器给出的信息来控制执行元件的多个执行元件驱动装置、和连接传感器 装置和上述操作量生成装置和执行元件驱动装置的通信装置，并控制车辆 的驱动、操舵、制动的至少一个，执行元件驱动装置，具有控制方法选择 装置，该控制方法选择装置，基于从其它的执行元件驱动装置或操作量生 成装置给出的短信息的接收状态，选择使用从操作量生成装置给出的操作 量指令值的控制方法、使用从传感器给出的信息的控制方法、使执行元件 为规定的状态的控制方法中任意一种方法。
另外，本发明的车辆控制装置，具有：检测驾驶员的要求或车辆状态 的传感器装置、基于从传感器装置给出的信息来运算操作量指令值的至少 1个操作量生成装置、基于从操作量生成装置给出的操作量指令值或从传 感器给出的信息来控制执行元件的多个执行元件驱动装置、和连接传感器 装置和上述操作量生成装置和执行元件驱动装置的通信装置，并控制车辆 的驱动、操舵、制动的至少一个，操作量生成装置，通过通信装置将操作 量指令值发送到每个执行元件驱动装置上；执行元件驱动装置，当接收到 操作量指令值时，通过通信装置将应答短信息送到操作量生成装置或上述 其它的执行元件驱动装置中，执行元件驱动装置，具有控制方法选择装置， 该控制方法选择装置，基于是否接收到从操作量生成装置给出的操作量指 令值或从其它的执行元件驱动装置给出的应答短信息，选择使用从操作量 生成装置给出的操作量指令值的控制方法、使用从传感器给出的信息的控 制方法、使执行元件为规定的状态的控制方法中任意一种方法。
另外，本发明的车辆控制装置，在进行车辆的驱动、操舵、制动，具 有下述构成，分散配置：检测驾驶员的要求并输出信号的节点、基于该要 求信号来运算操作量指令值并进行信号输出的操作量生成节点、和基于从 该操作量生成节点给出的操作量指令值来控制执行元件的执行元件驱动 节点；上述各节点，设置有储存各信号输出的数据接收表，并具有判定其 内容、对其它节点的故障检测功能。
另外，本发明的车辆控制装置，在数据接收表中包含表示短信息的时 刻的信息，在时刻的延迟比预先制定的值大的时候，判断为发送处或其通 信路没有正常工作、或者已返回到正常状态。
另外，本发明的车辆控制装置，在数据接收表中包含故障投票部，并 具有根据预先制定的算法来特定故障节点或恢复到正常状态的节点的功 能。由此，能够判定节点的故障发生和恢复，能够安全地继续车辆控制。
另外，本发明的车辆控制装置是，通过将其它节点的故障诊断信息作 为故障投票而输出，并共有各节点的故障判定状况。由此，由于各节点的 故障判定一致，所以能够安全地继续车辆控制。
(发明效果)
本发明的车辆控制装置，即使不能够控制操作量生成装置或任意的执 行元件驱动装置，也能通过其它的执行元件驱动装置安全地继续车辆控 制。由此，不必将每个控制器的冗长度提高到所需要以上，以简单的ECU 构成、低成本就能够确保高可靠性和实时性以及扩展性。
附图说明
图1是表示本发明的车辆控制装置的实施例1的基本的构成的方块 图。
图2(a)、(b)是分别表示实施例1的车辆控制装置中的通信数据流 程的具体例的数据流程图。
图3是应用实施例1的车辆控制装置的车辆的概要图。
图4是实施例1的车辆控制装置的车辆运动综合控制ECU的控制方 块图。
图5是表示车辆运动状态的说明图。
图6是表示由车辆运动综合控制ECU的车辆状态推定部进行的车辆 状态推定处理流程的流程图。
图7是表示由车辆运动综合控制ECU的目标状态运算部进行的目标 状态运算处理流程的流程图。
图8是表示车体操作矢量·操作力矩的说明图。
图9是表示由车辆运动综合控制ECU的操作量运算部进行的操作量 运算处理流程的流程图。
图10是表示车体操作的轮胎矢量的说明图。
图11(a)、(b)是表示操作量分配处理的概要图。
图12是根据实施例1的车辆控制装置的DBW系统的综合控制ECU 的控制方块图。
图13是表示面向应用本发明的车辆控制装置的下一代车辆综合车辆 控制装置、自律分散控制平台(实施例2)的方块图。
图14(a)、(b)是表示自律分散控制平台的数据区的概要的方块图。
图15是表示分散控制平台的自律的动作的概要的方块图，是车辆运 动状态量的概要图。
图16是表示自律的监视概要的方块图。
图17是表示执行元件节点动作流程的图。
图18(a)、(b)是表示XBW车辆控制装置的构成例的方块图。
图19是表示本发明的车辆控制装置的实施例2的基本构成的方块图。
图20是表示操作量生成节点功能的方块图。
图21是表示执行元件驱动节点的功能的方块图。
图22是表示应用本发明的车辆控制装置的实施例3的车辆的概要图。
图23是表示在TDM通信中的节点的故障检测方法的说明图。
图24是表不无故障反应的传感器节点的功能构成图。
图25是表示无故障反应的传感器节点的硬件构成图。
图26是表示应用本发明的车辆控制装置的实施例4的车辆的概要图。
图27是表示应用本发明的车辆控制装置的实施例5的车辆的概要图。
图28是表示应用本发明的车辆控制装置的实施例6的车辆的概要图。
图29是表示应用本发明的车辆控制装置的实施例7的车辆的概要图。
图30是表示执行元件驱动节点构成的方块图。
图31是表示使操作量生成节点、修正量生成节点冗长化的实施例的 方块图。
图32是表示具有多个功能、比较功能的执行元件驱动节点的实施例 的方块图。
图33是表示在故障时作除变动作的执行元件驱动节点的实施例的方 块图。
图34是表示故障时的除变动作的时间图。
图35是表示各节点连接到同一通信路的实施例的方块图。
图36是表示传送同一通信路的信息流程的图。
图37是表示在Steer-by-Wire系统中应用本实施例的具体例的方块 图。
图38是表示在Brake-by-Wire中应用本实施例的具体例的方块图。
图39是表示在综合Steerr-by-Wire和Brake-by-Wire的综合系统中应 用本实施例的具体例的方块图。
图40是表示本发明的车辆控制装置的实施例8的基本构成的方块图。
图41是表示本发明的车辆控制装置的实施例8的变形例的方块图。
图42是表示本发明的车辆控制装置的实施例8的另一个变形例的方 块图。
图43是表示操作量生成节点功能的方块图。
图44是表示执行元件驱动节点功能的方块图。
图45是表示执行元件驱动节点动作的时间图。
图46是表示控制程序选择处理的流程图。
图47(a)、(b)是分别表示控制程序选择表的例子的说明图。
图48是表示制动控制的开始时期的操作量生成节点和执行元件驱动 节点动作的时间图。
图49是表示在制动控制中的操作量生成节点和执行元件驱动节点的 动作的时间图。
图50是表示选择执行制动控制的车轮的处理流程图。
图51(a)、(b)是分别表示制动车轮选择表的例子的说明图。
图52是表示在制动控制开始时期、左后轮的执行元件驱动节点或执 行元件发生故障时的操作量生成节点和执行元件驱动节点的动作的时间 图。
图53是表示在制动控制中左后轮的执行元件驱动节点或执行元件发 生故障时的操作量生成节点和执行元件驱动节点的动作的时间图。
图54是表示在制动控制中一时发生故障的左后轮的执行元件驱动节 点或执行元件恢复时的操作量生成节点和执行元件驱动节点的动作的时 间图。
图55是表示在制动控制中操作量生成节点发生故障时的执行元件驱 动节点的动作的时间图。
图56是表示在制动控制中一时发生故障的操作量生成节点恢复时的 操作量生成节点和执行元件驱动节点的动作的时间图。
图57是表示在制动控制中操作量生成节点和左后轮的执行元件驱动 节点或执行元件发生故障时的执行元件驱动节点的动作的时间图。
图58是表示本发明的车辆控制装置的实施例8的其他变形例的方块 图。
图59是表示本发明的车辆控制装置的实施例9的方块图。
图60是表示数据接收表的具体例的图。
图61是表示其它节点的故障诊断处理的流程图。
图62是表示本发明的车辆控制装置的其它的实施例的方块图。
图中：1-主计算机，1A-主功能，2-传感器从属计算机，2A-传 感器处理功能，3-执行元件从属计算机，3A-执行元件控制功能，3B -简易主功能，4-传感器，5-执行元件，10-车辆运动综合控制装 置，11-操舵量控制装置，12-制动力控制装置，13-驱动力控制装置， 20-DBW系统综合控制ECU，21-内燃机控制ECU，22-变速器控制 ECU，23-电动马达控制ECU，24-蓄电池控制ECU，25-HMI·ECU， 30-车辆运动综合控制ECU，31-舵角指示装置，32-减速指示装置， 33-加速指示装置，35-控制系统网关，36-车体系统网关，41、41A -转向传感器(操舵角传感器)，42、42A-制动踏板位置传感器，43- 加速踏板位置传感器，44-毫米波雷达/照相机，50-车辆，51-转向盘， 52-制动踏板，53-加速踏板，54-VGR机构，60A、60B-传感器 部件，61A、61B-A/D变换器，62-一致效验功能，63-滤波功能，64 -通信控制器，65A、65B-通信驱动器，71-前轮操舵机构，72R、72L -前轮，73-前轮制动机构，74-后轮操舵机构，75R、75L-后轮， 76-后轮制动机构，77-前轮悬架机构，78-后轮悬架机构，81、81A- SBW·VGR驱动器ECU，811-简易控制逻辑部，82-SBW驱动器ECU， 83A～83D-BBW驱动器ECU，831-简易控制逻辑部，84A～84D-EAS 驱动器ECU，85-气囊ECU，100-操作量生成节点，101-车辆状态推 定部，102-目标状态运算部，103-车体操作矢量操作力矩运算部，104 -操作量运算部，105-车辆参数记忆部，110-SBW驱动器ECU，120 -操作量指令值，201-车辆状态信号，210-故障检测功能，210A～210D -故障检测功能，220-控制程序选择功能，230-故障检测通知，300- 执行元件驱动节点，320-控制器，400-执行元件，500、550-传感 器，600-网络，610-操作量生成节点，611-耐故障功能，612、612a～ c-操作量，614、624-时隙，615-转向柱，616-制动踏板，620-修 正量生成节点，621-故障检测功能，622、622a、622b-修正量，623- 故障检测结果，625-加速传感器·偏航率传感器，630、630-0～4-执 行元件驱动节点，631-比较器，632-控制器，633-多数判定功能， 634-切换器，635-控制器，636-增益可变器，637-斜坡发生器， 640-执行元件，641、641-0-操舵装置，642-1～4-制动器，650、651、 652-通信路，9100-数据接收表，3000-1-传感器控制器，3000-2- 方向盘角度传感器，3001-1-传感器控制器，3001-2-制动踏板位置传 感器，3002-1-执行元件控制器，3002-2-操舵控制马达，3003-1-执行 元件控制器，3003-2-电动制动钳，3010-1-综合控制器A，3010-2-综 合控制器B，A10、A100-控制器节点，A11-处理程序，A12-时间条 件，A13-自监视器，A20-传感器节点，A21-处理程序，A22-时 间条件，A23-自监视器，A30-执行元件节点，A31-处理程序，A32- 时间条件，A33-自监视器，A200-制动踏板传感器节点，A210-雷达 节点，A300-前轮制动器执行元件节点，A310-右前轮制动器执行元件 节点，A320-左前轮制动器执行元件节点，A400-节点，A410-在正 常状态的动作，A411-功能停止处理，A430-自监视功能，AA30-执 行元件，AA300-左前轮制动器执行元件，AA301-左后轮制动器执行 元件，AA310-右前轮制动器执行元件，AA320-左前轮制动器执行元件， B10-车辆运动总体控制节点，B101-通信驱动器，B102-车辆运动观 测器，B103-驾驶员意图把握部，B20-制动踏板节点，B201-通信驱 动器，B202-滤波修正处理部件，B203-A/D变换器，B204-数据标准 化部，B30-制动器执行元件节点，B301-通信驱动器，B302-制动 钳控制部，B303-A/D变换器，B304-预驱动器，B305-自律分散 控制功能，D1、D2、D3B-数据流程，D11-操舵量目标值，D12-制 动力目标值，D13-驱动力目标值，D31-舵角指示装置操作量，D32 -减速指示装置操作量，D33-加速指示装置操作量，D3000-方向盘角 度信息，D3001-制动踏板踏入量信息，D3010-1-目标舵角，D3010-2- 目标制动力，DA10-控制器数据，DA20-传感器数据，DA100-右前 轮目标制动力，DA101-左前轮目标制动力，DA200-制动踏板状态量， DA210-车间距离，DF10、DF20、DF30-数据区，N1-网络，N11- 通信总线，N1A-控制系统网络(主总线)，N1B-控制系统备份网络 (备份总线)，N2-DBW系统副网络，N3-总网络，N3000-车内网络， M1、M1A、M1B、M2、M3A～M3D、M4A～M4D、M5、M6-电动 马达，SA20-传感器，SA200-制动踏板，SA21-雷达。

(实施例1)
首先，对本发明的车辆控制装置的基本构成参照图1进行说明。
车辆控制装置，具有主计算机(指令控制器)1，和传感器从属计算 机(传感器控制器)2，和执行元件从属计算机(执行元件控制器)3，这 些部分，通过有线式、无线式、总线型、网格型、星型、环型等网络N1 在双方向可以进行数据通信地连接。
主计算机1是运算控制目标值的指令控制器，具有主控制功能(主控 制装置)1A。
在传感器装置从属计算机2上连接观测(计测)控制对象的状态用的 传感器4。传感器从属计算机2具有处理由传感器4给出的传感器信号的 传感器处理功能(传感器处理装置)2A。
在执行元件从属计算机3上连接作用于控制对象用的执行元件5。执 行元件从属计算机3是用于控制执行元件5的从属计算机，其具有基于由 主计算机1给出的控制目标值控制执行元件5的执行元件控制功能(执行 元件控制装置)3A，和对控制目标值进行运算的简易主功能(控制目标 值生成装置)3B。
在网络N1上，存在控制目标值的数据流D1、和传感器计测值的数 据流D2。
传感器计测值的数据流D2是传感器从属计算机2输出的传感器值的 数据流，主计算机1的主控制功能1A和执行元件从属计算机3的简易主 功能3B的双方接收传感器从属计算机2输出的传感器值。
控制目标值的数据流D1是主计算机1输出的控制目标值的数据流， 执行元件从属计算机3的执行元件控制功能3A接收主计算机1输出的控 制目标值。
在通常动作时，执行元件从属计算机3，基于执行元件控制功能3A 从由数据流D1接收的主计算机1给出的控制目标值来控制执行元件5。
但是，在数据流D1产生异常的时候，执行元件从属计算机3基于简 易主功能3B运算的控制目标值来控制执行元件5。即，简易主功能3B， 基于由数据流D2得到的传感器计测值来运算控制目标值，执行元件控制 功能3A，基于由执行元件从属计算机3内的数据流D3B得到的简易主功 能3B的运算结果的控制目标值来控制执行元件5。
通过采取上述的构成，万一陷于不能使用主计算机1的主控制功能 1A的状态，但基于简易主功能3B的运算结果，可进行执行元件控制， 可以反映驾驶员的操作或车辆的状态变化，可实现可靠性高的车辆控制装 置。
另外，在图1中，将主计算机1作为一个计算机表示，但也可以分开 主控制功能并装在多个计算机中。
对图1所示的车辆控制装置中的通信流的具体例参照图2(a)、(b) 进行说明。
作为主计算机，具有综合地控制车辆整体的运动的车辆运动综合装置 10。
作为传感器从属计算机，具有，由驾驶员操作的舵角指示装置(操舵 角传感系统)31、减速指示装置(制动踏板踏入量传感器系统)32、和加 速指示装置(加速踏板踏入量传感器系统)33。
作为执行元件从属计算机，具有控制车辆的操舵角的操舵量控制装置 11、控制车辆的制动力的制动力控制装置12、和控制车辆的驱动力的驱 动力控制装置13。
舵角指示装置31、减速指示装置32、加速指示装置33、操舵量控制 装置11、制动力控制装置12、驱动力控制装置13、和车辆运动综合控制 装置10，通过通信总线N11相互连接。
图2(a)表示车辆运动综合控制装置10正常动作时的数据流。
在该数据流中，符号D31是驾驶员的舵角指示装置31的操作量，通 过舵角指示装置31变换成电信号，输出到通信总线N11中。
符号D32是由驾驶员进行的减速指示装置32的操作量，通过减速指 示装置32变换成电信号，并输出到通信总线N11中。
符号D33是由驾驶员进行的加速指示装置33的操作量，通过由加速 指示装置33变换成电信号，并输出到通信总线N11中。
车辆运动综合控制装置10从通信总线N11接收舵角指示装置操作量 D31、减速指示装置操作量D32、加速指示装置操作量D33，并进行综合 地控制车辆的运动用的运算。
其后，车辆运动综合控制装置10，作为给予用于控制车辆的控制装 置的目标值，将操舵量目标值D11、和制动力目标值D12、和驱动力目标 值D13输出到通信总线N11中。
操舵力控制装置11，从通信总线N11接收操舵量目标值D11，为实 现操舵量目标值而控制操舵器等的操舵装置。
制动力控制装置12，从通信总线N11接收制动力目标值D12，为实 现制动力目标值而控制电动制动器等制动装置。
驱动力控制装置13，从通信总线N11接收驱动力目标值D13，为实 现驱动力目标值而控制内燃机、变速器、电动马达等驱动力源、动力传动 系统。
图2(b)表示在车辆运动综合控制装置10中产生错误时的数据流。
在车辆运动综合控制装置10发生故障时，操舵量目标值D11和制动 力目标值D12和驱动力目标值D13不向通信总线N11输出。但是，需要 按驾驶员的意图控制车辆。
在这里，操舵力控制装置11判断在车辆运动综合控制装置10中产生 了错误时，从通信总线N11接收舵角指示装置操作量D31，基于舵角指 示装置操作量D31控制转向器等操舵装置。
制动力控制装置12，在判断出车辆运动综合控制装置10中产生了错 误时，从通信总线N11接收减速指示装置操作量D32，基于减速指示装 置操作量D32来控制电动制动器等制动装置。
驱动力控制装置13，在判断出车辆运动综合控制装置10中产生了错 误时，从通信总线N11接收加速指示装置操作量D33，基于加速指示装 置操作量D33来控制内燃机、变速器、电动马达等驱动力源。
对于在车辆运动综合控制装置10中产生错误，向通信总线N11的数 据输出使用没有一定时间等事项，并在数据接收侧进行判断。另外，也可 以在车辆运动综合控制装置10自身发生错误时，将其意思作为短信息输 出。
接着，对应用本发明的车辆控制装置的车辆(汽车)的一个实施例参 照图3进行说明。
控制系统网络N1A相当于本发明的通信线，被用于涉及车辆运动控 制的数据的通信。控制系统备用网络N1B也相当于本发明的通信线，作 为在因碰撞事故等带来的断线等的不可抗力而在控制系统网络N1A中发 生障碍时的预备装置来使用。
转向传感器41相当于舵角指示装置31。转向传感器41计测驾驶员 操作的转向盘51的操作量(操舵角)，进行滤波等信号处理，将转向盘操 作量作为电信号输出到控制系统网络N1A和控制系统备用网络N1B中。
另外，转向盘51，即使机械的机构也与前轮操舵机构71连接，即使 在因不可抗力而使控制系统网络N1A或转向传感器41或SBW·VGR驱 动器ECU(Electronic Control Unit)81发生障碍的时候，也能够控制车辆 50的前轮72R、72L的操舵角。
制动踏板位置传感器42相当于减速指示装置22。制动踏板位置传感 器42计测驾驶员操作的制动踏板52的操作量，并进行滤波等信号处理， 将制动踏板操作量作为电信号输出到控制系统网络N1A和控制系统备用 网络N1B中。
另外，制动踏板52，即使是油压系统也可与前轮制动器73连接，即 使在由不可抗力而使控制系统网络N1A或制动踏板位置传感器52或 BBW驱动器ECU83A、83B等发生障碍的时候，也能够控制车辆50的制 动力。
加速踏板位置传感器43相当于加速度指示装置33。加速踏板位置传 感器43计测驾驶员操作的加速踏板53的操作量，并进行滤波等信号处理， 将加速踏板操作量作为电信号输出到控制系统网络N1A中。
另外，加速踏板位置传感器43，即使是另外的通信线也可与内燃机 控制ECU21连接，即使在由不可抗力而使控制系统网络N1A或DBW系 统综合控制ECU20发生障碍的时候，也能够控制车辆50的内燃机。
毫米波雷达/照相机44检测前方和后方的其它车的行驶状态、进行行 驶中的车线的白线识别等，而被用于车辆50的外部状态的识别。毫米波 雷达/照相机44识别外部状态，例如通过信号处理进行与在前方行驶的车 辆的相对角度、相对距离、相对速度等运算，并作为电信号输出到控制系 统网络N1A中。
转向传感器41、制动踏板位置传感器42、加速踏板位置传感器43、 毫米波雷达/照相机44相当于传感器从属计算机。
车辆运动综合控制ECU30是主计算机，相当于上述的车辆运动综合 控制装置10。车辆运动综合控制ECU30，输入向控制系统网络N1A上输 出的、由驾驶员进行的操作量或车辆的行驶状态、车辆综合控制ECU30 具有的传感器计测值，综合地管理车辆50的运动，将驱动力控制装置、 制动力控制装置、操舵量控制装置、悬架控制装置、安全装置控制装置等 控制目标值输出到控制系统网络N1A中。
车辆运动综合控制ECU30也具有综合系统网络N3和控制系统网络 N1A之间的网关(gate way)功能。
作为执行元件从属计算机，有SBW·VGR驱动器ECU81、BBW驱 动器ECU83A～83D、EAS驱动器ECU84A～84D、气囊ECU85。
SBW·VGR(Steer-By-Wire·Variable Gear Ratio)驱动器ECU81， 相当于舵角控制装置，通过控制电动马达M1由前轮操舵机构71控制前 轮72R、72L的舵角，通过控制电动马达M5控制已知的操舵装置可变传 动比(VGR)机构54。
SBW驱动器ECU82也相当于舵角控制装置，通过控制电动马达M2 由后轮操舵机构74控制后轮75R、75L的舵角。
BBW(Brake By-Wire)驱动器ECU83A、83B、83C、83D分别相当 于制动力控制装置。
BBW驱动器ECU83A，通过控制电动马达M3A来控制泵P的油压， 由前轮制动机构73控制发生在右前轮72R上的制动力。
BBW驱动器ECU83B，通过控制电动马达M3B来控制泵P的油压， 控制发生在左前轮上的制动力。
BBW驱动器ECU83C，通过控制电动马达M3C来控制泵P的油压， 由前轮制动机构73、后轮制动机构76控制发生在右后轮75R上的制动力。
BBW驱动器ECU13D，通过控制电动马达M3D来控制泵P的油压， 由后轮制动机构76控制发生在左后轮75L上的制动力。
EAS(Electric Active Suspension)驱动器ECU84A、84B、84C、84D， 分别相当于悬架控制装置，控制在车辆50上具有的悬架机构77、78。
EAS驱动器ECU84A，通过控制电动马达M4A来控制在右前轮72R 上具有的前轮悬架机构77的悬架长、弹簧常数、衰减常数等。
EAS驱动器ECU84B，通过控制电动马达M4B来控制在左前轮72L 上具有的前轮悬架机构77的悬架长、弹簧常数、衰减常数等。
EAS驱动器ECU84C，通过控制电动马达M4C来控制在右后轮75R 上具有的后轮悬架机构78的悬架长、弹簧常数、衰减常数等。
EAS驱动器ECU84D，通过控制电动马达M4D来控制在左后轮75R 上具有的前轮悬架机构78的悬架长、弹簧常数、衰减常数等。
这样，由车辆运动综合控制ECU30，通过控制EAS驱动器ECU84A～ 84D，可在减速时提高前轮悬架机构77的弹簧常数，防止车辆50向前方 向倾斜，在旋转时提高外侧的悬架弹簧常数以防止横转，在上坡时缩短前 轮悬架长以延长后轮悬架长，能够减少车体的倾斜。
气囊ECU85相当于安全装置控制装置，对气囊等的乘员保护装置进 行控制。
DBW(Drive-By-Wire)系统综合控制ECU20相当于驱动力控制装置。 DBW系统综合控制ECU20，综合地控制涉及由DBW系统子网络N2连 接的内燃机控制ECU21、变速器控制ECU22、电动马达控制ECU23、蓄 电池控制ECU24等车辆50的驱动控制等装置。
通过取这样的构成，仅从车辆运动综合控制ECU30将最终的驱动力 指示给DBW系统综合控制ECU20即可，能够不依赖于涉及实际的驱动 控制的装置的构成而指示目标值，可以简单地构成控制装置。
内燃机控制ECU21是用于控制未图示的内燃机的ECU，从DBW系 统综合控制ECU20接收内燃机轴转矩或内燃机旋转数等目标值，为实现 目标值而控制内燃机。
变速器控制ECU22是用于控制未图示的变速器的ECU，从DBW系 统综合控制ECU20接收变速档等目标值，为实现目标值而控制变速器。
电动马达控制ECU23是用于控制未图示的驱动力发生用电动马达的 ECU，从DBW系统综合控制ECU20接收输出转矩或旋转数等目标值， 为实现目标值而控制内燃机。另外，也作为由电动马达再生带来的负方向 的驱动力发生源而动作。
蓄电池控制ECU24是用于控制未图示的蓄电池的ECU，控制蓄电池 的充电状态等。
信息系统网关35是用于连接未图示的移动电话等无线通信装置、 GPS、汽车卫星定位仪等的信息系统网络(本领域技术人员公知的MOST 等)、和综合网络N3的网关。
以信息系统网络和控制系统网络N1A通过网关功能的连接，可将控 制系统网络N1A从信息系统网络逻辑地分离，能够比较简单地构成容易 满足对实时性等控制系统网络N1A特有的要求的构成。
车体系统网关36是用于连接未图示的门锁、动力窗等的车体系统网 络和综合网络N3的网关。以车体系统网络和控制系统网络N1A通过网 关功能的连接，可将控制系统网络N1A从车体系统网络逻辑地分离，能 够比较简单地构成容易满足对实时性等控制系统网络N1A特有的要求的 构成。
下面，对车辆运动综合控制ECU30进行的处理使用图4进行说明。 图4表示车辆运动综合控制ECU30正常动作时的数据流。
车辆运动综合控制ECU30，具有车辆状态推定部101、目标状态运算 部102、车体操作矢量操作力矩运算部103、操作量运算部104、车辆参 数记忆部105，并且输入转向传感器41、制动踏板位置传感器42、加速 踏板位置传感器43、毫米波雷达/照相机44、在图3未图示的车轮速传感 器、车体加速度传感器、角加速度传感器等的传感器S的各传感器信号。
车辆状态推定部101，使用传感器信号推定车辆的现在的状态。
目标状态运算部102，计算由车辆状态推定部101推定、使用车辆的 行驶状态和传感器信号由控制应该实现的车辆的目标状态、即车辆应该取 得的目标运动状态。
车体操作矢量操作力矩运算部103，基于由车辆状态推定部101推定、 车辆的现在状态和由目标状态运算部102计算的目标状态的差异，计算通 过控制在车体发生的并进方向的力矢量和旋转方向的力矩矢量。
操作量运算部104，基于由车体操作矢量操作力矩运算部103计算的 力矢量和力矩矢量，计算由BBW驱动器ECU83A～83D、DBW系统综合 控制ECU20、SBW·VGR驱动器ECU81、SBW驱动器ECU82、EAS驱 动器ECU84A～84D、气囊ECU85等控制用执行元件应该实现的目标操 作量。
在车辆参数记忆部105中，储存有车体的动力学常数(例如质量、旋 转惯性、重心位置等)、控制执行元件的规格参数(例如各执行元件的时 间常数、制动器的最大制动力、转向器的最大舵角等)等车辆参数，这些 车辆参数，以由车辆状态推定部101、目标状态运算部102、车体操作矢 量操作力矩运算部103、操作量运算部104的运算处理来参照。
另外，在图4中，从操作运算部104向各驱动器ECU的输出，用一 根线作了记述，但这不是仅表示一个值的线，而是表示一组的控制量的线。 例如，对于BBW驱动器ECU83A～83D，也可以指示按各车轮的独立的 制动力。
车辆运动综合控制ECU30，通过由车辆状态推定部101、目标状态运 算部102、车体操作矢量操作力矩运算部103、操作运算部104构成，具 有能够综合地管理控制车辆的运动的效果。
另外，通过将车辆状态推定部101分离，具有下述效果，例如，在具 有同一平板式的车辆中，即使在仅使动力传动系从内燃机变更成混合型的 时候等，在变更车辆的控制执行元件的构成的时候，可以再利用运算车辆 的力学特性的部分，提高控制装置的开发效率。
另外，通过将目标状态运算部102分离，具有下述效果，即使在反映 驾驶员的个性、根据在周边行驶的车辆或道路状态变更目标值的极限的时 候，但只变更目标状态运算部102即可，可提高控制装置的开发效率。
另外，通过将车体操作矢量操作力矩运算部103和操作运算部104 设为独立的构成，可进行与车辆具有的控制装置的构成独立的、对车体的 操作量的计算。
例如，即使从混合型汽车向轮毂电动马达型汽车改变结构，但只要在 车体操作矢量操作力矩运算部103运算同样发生的力、力矩矢量即可，只 要变更操作量运算部104即可。因此，可提高车辆控制装置的开发效率。
下面，对由车辆状态推定部101计算的车辆的现在状态和由目标状态 运算部102计算的车辆的目标状态、参照图5进行说明。
作为车辆的现在状态和目标状态，表示在将车辆50的车体部分假定 为刚体时的刚体运动的状态量1X。作为状态量1X，例如是指被固定在车 辆50的车体重心的3维(X-Y-Z)局部坐标系1G中的位移(x、y、z)、 旋转角(θx、θy、θz)、速度(dx/dt、dy/dt、dz/dt)、角速度(dθx/dt、dθy/dt、 dθz/dt)。
由于在刚体力学中状态量1X的各成分相互连成，所以具有通过确定 状态量1X能够进行更加精密的控制、能够进行乘员舒适性和稳定性高的 控制的效果。
对由车辆状态推定部101进行的车辆状态推定处理流程，参照图6 进行说明。
首先，在步骤S1011中，推定固定在车辆上的局部坐标系1G中的运 动状态。
接着，在步骤S1012中，推定固定在例如日本桥等特定的地点的固 定坐标系中的运动状态。
接着，在步骤S1013中，推定车辆行驶的周边的状况。
接着，在步骤S1014中，基于传感器S的计测值、BBW驱动器 ECU83A～83D、DBW系统综合控制ECU20、SBW·VGR驱动器ECU81、 SBW驱动器ECU82、EAS驱动器ECU84A～84D、气囊ECU85等的控制 用执行元件的自我故障诊断结果，推定更新车辆的故障状态。
对由目标状态运算部102的目标状态运算处理流程，参照图7进行说 明。
首先，在步骤S1021中，基于转向传感器41、制动踏板位置传感器 42、加速踏板位置传感器43的操作量、和现在的车辆状态，推定驾驶员 意图的车辆状态。
接着，在步骤S1022中，基于车辆的周边的状况、车辆控制装置的 性能、机器的故障的状态、法规制度等，运算车辆的极限。例如在制动装 置一部分发生故障的时候，在以正常动作的制动装置的能力能够安全制动 的范围限制最高速度。
并且，在步骤S1023中，在不超过车辆状态的极限的范围，按驾驶 员意图决定车辆50的目标状态量。
图8表示由车体操作矢量操作力矩运算部103运算的操作力、力矩矢 量。
如图8所示，操作力矢量F(Fx、Fy、Fz)和操作力矩矢量τ(τx、τy、 τz)，在固定于车体上的局部坐标系上进行运算。因此，具有能够容易变 换到在被固定在车辆上的控制装置的操作量的效果。
对操作运算部104的操作量运算处理流程参照图9进行说明。
操作运算部104，输入由车体操作矢量操作力矩运算部103运算的车 体操作力矢量F、力矩矢量τ，并运算实际的控制装置以怎样的控制量为 目标值。
首先，在步骤S1041中，将车体操作力矢量F、力矩矢量τ向各发生 在安装于车辆50上的轮胎上的轮胎力进行分配。其后，运算对轮胎矢量 的、在实际的控制装置中的控制量目标值。
通过将制动力、驱动力、旋转力(由操舵发生的轮胎横力)作为车辆 控制中的目标值使用，可以综合地控制车辆整体的运动。
在图10中，表示在步骤S1041运算的轮胎矢量。
FFR是通过控制而发生在前轮的轮胎矢量。FFL是通过控制而发生在 左前轮的轮胎矢量。FRR是通过控制而发生在右后轮的轮胎矢量。FRL 是通过控制而发生在左后轮的轮胎矢量。轮胎矢量分别作为固定在车体 50上的局部坐标系1G中的成分来确定。
通过将轮胎矢量作为局部坐标形状的成分来确定，有容易向固定在车 体50上的轮胎驱动轴及转向装置的操作量的变换的效果。
在步骤S1042中，进行操作量的分配处理。操作量的分配处理实际 上对应于控制车辆的执行元件的构成来进行。
图11(a)、(b)表示操作量分配处理的详细情况。
图11(a)表示车辆50具有内燃机驱动、混合型内燃机驱动的动力 驱动系时的操作量分配处理(步骤S1042a)。该操作量分配处理，输入轮 胎矢量，并输出作为在SBW·VGR驱动器ECU81、SBW驱动器ECU82 的目标值的操舵量，作为在BBW驱动器ECU83A～83D中的目标值的制 动器制动转矩、作为在DBW系统综合控制ECU20中的目标值的动力驱 动转矩。
图11(b)表示车辆50具有公知的轮毂电动马达型的动力驱动系时 的操作量分配处理(步骤S1042b)。操作量分配处理，输出作为在SBW· VGR驱动器ECU81、SBW驱动器ECU82中的目标值的操舵量、作为在 未图示的由轮毂电动马达产生再生和制动块控制ECU的目标值的制动器 制动转矩、作为在未图示的轮毂电动马达控制ECU中的目标值的电动马 达驱动转矩。
通过实际上对应于控制车辆的执行元件的构成来进行操作量的分配 处理，即使改变执行元件构成，也可通过交换操作量分配处理的执行装置 来对应，具有提高车辆控制装置的开发效率的效果。
对DBW系统综合控制ECU20的构成参照图12进行说明。
右前轮驱动转矩接受部201，接受在右前轮72R应该发生的驱动转 矩。左前轮驱动转矩接受部202接受在左前轮72L应该发生的驱动转矩。 右后轮驱动转矩接受部203接受在右后轮75R应该发生的驱动转矩。左 后轮驱动转矩接受部204接受在左后轮75L应该发生的驱动转矩。
动力驱动系操作量计算部205，计算作为在控制实际的执行元件的 ECU中的目标值的值，指示内燃机控制ECU21、变速器控制ECU22、电 动马达控制ECU23、蓄电池控制ECU24的操作量。
在公知的转矩基础的车辆控制装置中，以在驱动装置的驱动轴应该发 生的转矩为目标值进行控制。因此，就有作为能够控制按各车轮的驱动力 的轮毂电动马达型用的DBW系统综合控制ECU20没有互换性的课题。
在这里，例如，在具有内燃机及混合型系统那样的集中地发生驱动力 的驱动装置的驱动系统中，也将每个车轮的驱动力作为控制目标值接受， 并在DBW系统综合控制ECU20的内部再分配到驱动用的执行元件上。 其结果，能够使混合型系统用的DBW系统综合控制ECU和轮毂电动马 达型系统用的DBW系统综合控制ECU的指令值接受方式(接口)共通 化。
(实施例2)
对面向应用本发明的车辆控制装置的下一代车辆综合车辆控制装置、 自律分散控制平台参照图13进行说明。
自律分散控制平台的目的，是以低成本实现车辆控制中的高可靠性、 实时处理、扩展性。
作为「自律分散」，是在控制领域中的高可靠分散系统模型的一个。 被称为对应于生物中的细胞的节点的计算主体，是通过放置称为数据区的 共有数据的地方、疏散地结合的系统。
另外，有关「自律分散」的详细的内容，请参照森欣司、宫本二、井 原广一的“自律分散概念的提案”，电气学会论文杂志C V01.104 No.12pp.303-310(1984)、及K.Mori：Autonomous Decentralized Systems： Concept，Data field Architecture and Future Trends：IEEE Interational Symposium on Autonous Decentralized Systems(ISADS)pp.28-34 (1993-Mar)。
在自律分散系统中，以将各节点设为与其它独立且可以自律地动作的 程序，而实现一部分障碍不影响系统整体的构成，能够实现可靠性及扩展 性好的分散系统。但是，很难应用于根据生物学的模型的概念的实际系统， 不能达到确立具有一般性的应用方法。因此，需要对每个应用系统探讨体 系机构。
自律分散控制平台由下述部分构成：1)用于共有数据的数据区DF10， 2)自律的动作，3)自律的管理，4)可进行自律的备份的节点(传感器 节点A20、执行元件节点A30、控制器节点A10)。另外，各节点具有自 监控器(自监视功能)A13、A23、A33。
控制器节点A10，根据时间条件A12(例如10「ms」周期)，起动处 理程序A11。控制器节点A10，从数据区DF10取得传感器数据DA20， 运算执行元件节点A30的控制目标值，使其作为控制器数据DA10向数 据区DF10进行无线电传送。
数据区DF10是假定地设置在控制网络上的共有存储空间，在正常状 态，存在传感器节点A20输出的传感器数据DA20、和控制器节点10输 出的控制器数据(控制目标值)DA10。
所谓自律的动作，是不接收从其它节点给出的处理要求，根据时间条 件、节点的状态自发地进行处理的功能。
所谓自律的管理功能，是对在其它节点隐蔽的自节点的动作和状态的 监视，由自身执行的功能。
所谓自律的备份，是通过内装简易控制，而在对自节点的处理需要的 数据有异常的时候，通过简易控制来运算自己需要的数据，实现所需要的 最低限度的处理的功能。
以下，根据数据区DF10，表示对提高适用于车辆控制装置的扩展性， 通过自律的动作而适用于实时分散控制的时间驱动动作，通过自律的管理 功能和自律的备用功能来实现用于可靠性确保的状态监视和系统耐故障 性。
使用图14(a)、(b)，叙述自律分散控制平台中的数据区。
数据区的目标是提高车辆控制装置的扩展性。通过数据区的导入，在 使节点间的接口标准化的基础上，还能够实现容易进行部件的更换、追加 的目的。
在自律分散控制平台上，节点间的数据交换，通过作为被定义在网络 上的假想的共有存储器的数据区DF20来进行。即，不意识在网络上连接 怎样的机器，对数据本身作为对象进行识别。
因此，被定义在数据区DF20上的数据，是在传感器·执行元件水准 可标准化的抽象度高的数据。例如在传感器计测中，进行不是由电压值那 样的基本要素的数据、而是由多重计测实行的滤波处理或浮点化的物理 值，被定义在数据区上。在执行元件控制中，也是将制动的目标制动力那 样的标准化的数据定义在数据区上。
在图14(a)的例中，通过制动踏板位置传感器节点A200来计测制 动踏板SA200的踏入量，并在变换成物理量的基础上，作为制动踏板状 态量(制动踏入量)DA200无线电传送到数据区DF20上。
控制器节点A100，参照制动踏板状态量DA200，运算各轮的目标制 动力(仅图示右前轮目标制动力DA100、左前轮目标制动力DA101)并 无线电传送到数据区DF20上。
前轮制动器执行元件节点A300，在参照右前轮目标制动力DA100、 左前轮目标制动力DA101的基础上，为实现目标制动力，控制左前轮制 动器执行元件AA300、左后轮制动器执行元件AA301。
图14(b)的例，是对于图14(a)的控制构造，在追加车间距离控 制功能的基础上，变更制动控制器的构成。
追加计测与前行车的车间距离的雷达SA210和控制雷达的雷达节点 A210，将计测的车间距离DA210无线电传送到数据区DF20中。
控制器节点A100，参照制动踏板状态量DA200和车间距离DA210， 运算车轮的目标制动力(仅图示右前轮目标制动力DA100、左前轮目标 制动力DA101)并无线电传送到数据区DF20上。
右前轮的制动器执行元件节点A310参照右前轮目标制动力DA100 并控制右前轮的制动器执行元件AA310。
左前轮的制动器执行元件节点A320，参照左前轮目标制动力DA101 并控制左前轮的制动器执行元件AA320。
以上，如图14(a)、(b)所示，对其它的传感器·执行元件不给予 影响，以仅在数据区DF20上追加「车间距离」的数据，就能够作为车间 距离计测节点进行雷达节点A210的追加。
另外，虽然制动器执行元件节点也从前轮控制型变更成各轮独立型， 但对其它的节点和数据区DF20不施以影响。即，通过使用数据区DF20 可以疏散地结合各节点，能够容易地实现扩张性好的分散系统。
使用图15(和图13)对在分散控制平台特征中的、自律动作进行叙 述。
自律的动作的目的，是为了对应分散实时处理，可实现使处理时间的 预测根据容易进行的时间驱动而动作。
所谓在自律分散控制平台中的自律的动作，是通过时间条件或节点的 状态而使节点自发地开始处理的动作。即，作为节点的动作条件，不仅短 信息的接收，而且通过时间条件(时刻和周期)和自节点的状态变化(插 入)而进行启动处理。
在实时系统中，捕捉控制对象的系统的状态，在一定时间内反映到控 制是必须不可缺少的。为此在控制设计时，必须能够设计在End-to-End 中的处理执行时间。进而，另一方面，也要求不受其它节点的异常的影响 而继续自节点的处理的功能。为了实现这样的高可靠分散实时系统，需要 将节点的动作设为自律。
传感器节点A20，通过时间条件A22(例如10[ms]周期)，启动处 理程序A21。
传感器节点A20，读取传感器SA20的计测值，在进行滤波处理、浮 点化等前处理而变换成物理量后，将传感器数据DA20无线电传送到数据 区DF10。
执行元件节点A30也根据个别的时间条件32(20[ms]周期)启动 处理程序A31。
执行元件节点A30，从数据区DF10取得传感器数据DA20，在运算 自节点A30的控制目标后，为了实现目标值进行执行元件AA30的控制。
另外，作为启动条件的时间条件A22、A32，例如像内燃机旋转插入 那样，也可以为自节点的状态变化。这样，通过自发地启动处理、同时自 己取得必要的数据进行运算，可以进行节点的自律的动作。
通过自律的动作，使节点的动作为时间驱动型或由自节点的状态变化 带来的驱动型。即，不需要其它节点的偶发驱动，使最坏执行时间的设计 变得非常容易。另外，由于不受其它的节点异常的影响而可以继续处理， 所以能够实现高可靠的系统。
下面，对在自律分散控制平台的特征中、自律的管理进行叙述。自律 的管理的目的，是确保车辆控制所需的高可靠性。具体地说，是以构成分 散系统的各节点单位来实现自节点的动作监视或异常时的处理(故障运行 /故障无反应)。另外，为了同时达到高可靠性和低成本化，作为异常时处 理，根据对象节点而分配使用故障运行(故障时操作的可能性)和故障无 反应(故障时非失控性)。
在以往构成中，通过每个子系统的ECU来进行传感器计测、车辆控 制量运算、执行元件控制。因此，如果要达到系统的高可靠性化，则需要 较多的ECU的故障运行性，则导致高成本化。另外，在使用由ECU互相 带来的相互监视功能的时候，就有ECU间的结合变紧密、涉及到扩展性 及开发效率的恶化的问题。
在图16中表示了自律的监视的概要。
在本构成中，在节点A400中设置自己监视功能A430，监视在正常 状态的动作A410。并且，在发生异常时进行功能停止处理A411(故障无 反应)。
另外，对于制动踏板、转向盘等的备份困难的节点，具有故障运行性， 进行功能继续。另外，通过在自律监视功能自身的故障时也进行节点的功 能停止，可防止节点的失控。
通过该自律的监视，可疏散地保持节点的结合，同时，以低成本的故 障无反应节点的集合可以构筑高可靠性的系统。进而，通过与下面叙述的 自律的备份的组合，能够实现在系统水平的故障运行性。
下面，对在自律分散控制平台的特征中、自律的备份进行叙述。自律 的备份的目的是确保对车辆控制所需的高可靠性。具体地说，是用于补偿 构成分散车辆控制装置的节点的故障的简易的控制功能。
所谓自律的备份，是通常在取主从构成的控制节点的逻辑构成中，在 完成主功能的节点发生故障时，通过辅助节点间的数据共有而实现需要的 最低限的控制的功能。
图17表示执行元件节点的动作流。
通常，使用传感器节点A20的计测值使控制器节点A10运算控制目 标值，基于该控制目标值，执行元件节点A30进行执行元件AA30的控 制(步骤S311肯定→步骤S312→步骤S313)。
另一方面，执行元件节点A30，内装有主节点(控制器节点A10)的 控制功能的简易版(简易控制功能)A34(参照图13)，与控制目标值同 时也参照传感器计测值，并基于传感器计测值来运算简易控制目标值。万 一，在主节点发生异常的时候，通过上述的自己监视功能而实行功能停止， 所以例如，根据不更新数据区DF10上的数据的事项，执行元件节点A30 在步骤S311中判定主节点的故障。在执行元件节点A30判定主节点的故 障后，执行步骤S311否定→步骤S314→步骤S313，并通过内装的简易 控制功能A34，为了实现自节点的功能而由自己备份必要的处理。
通过该自律备份功能和上述的自律的监视功能，以低成本的故障无反 应节点的集合，可以实现高可靠性的故障运行系统。
接着，以制动控制功能为例说明自律分散控制体系结构的动作例。特 别是，出示通过本提案以可靠的节点的组合能够构筑故障运行系统。
在图18(a)、(b)中表示XBW车辆控制装置的构成例。在图18(a)、 (b)中，主要着眼于车辆综合控制ECU、制动踏板位置传感器、制动器 执行元件(BBW(Brake-By-Wire)驱动器ECU)和数据区。另外数据区 例如设置在由FlexRay安装的车辆控制用网络上。
首先，使用图18(a)，说明通常时的自律分散控制平台中的制动控 制功能的动作。
自律分散控制平台中的制动控制功能，由制动踏板节点B20、车辆运 动综合控制节点(车辆运动综合控制ECU)B10、制动器执行元件节点 B30构成。
制动踏板节点B20，周期地自律启动，使用A/D变换器B203计测制 动踏板位置传感器SB20的状态。
制动踏板节点B20，对于计测的值由滤波修正处理部件B202进行滤 波及修正处理等，进而由数据标准化部B204进行数据的标准化。其后， 使用通信驱动器B201在自律分散数据区DF30上公开数据「制动踏板状 态」。
车辆运动综合控制节点B10周期地启动。车辆运动综合控制节点B10 启动后、使用通信驱动器B101参照自律分散数据区DF30上的制动踏板 状态和其它的数据(偏航速率、方向盘舵角等)，由车辆运动观测器B102 推定车辆的运动状态，由驾驶员意图把握部B103推定驾驶员的操作意图。 并且，基于推定结果，由执行元件目标值生成部件B104，运算制动力、 驱动轴转矩、转向角等的执行元件控制目标值。其后，使用通信驱动器 B101在自律分散数据区DF30上公开控制目标值。
在这里，以左后轮为例说明制动器执行元件节点B30的动作。与其 它的节点相同，制动器执行元件节点B30也周期地启动。在制动器执行 元件节点B30启动后，使用通信驱动器B301参照自律分散数据区NF30 上的控制目标值、即目标制动力。并且，基于目标制动力进行制动器执行 元件AB30的控制。使用A/D变换器B303观测制动的状态，由制动钳控 制部B302，基于制动器产生的制动力和目标的差分来运算制动控制量， 使用预驱动器B304控制制动器执行元件AB30。
另外，数据区参照的周期和执行元件控制的周期也不一定是同一周 期，也可以更高速地取执行元件控制周期。由此，能够与控制对象执行元 件的控制时常数一致地进行适当的控制。
接着，使用图18(b)，说明车辆运动综合控制节点B10的故障时的 制动控制功能的动作。
制动踏板节点B20与通常时相同，自律地启动进行处理。不受车辆 运动综合控制节点B10的故障影响。车辆运动综合控制节点B10，在通过 自律管理功能来检测自身的故障时，进行故障无反应处理。即，在从外部 看时，为停止一切的处理的状态。因此，不更新自律分散数据区DF30上 的执行元件目标值。
在这里，以左后轮为例说明制动器执行元件节点B30的动作。制动 器执行元件节点B30周期地启动。在制动器执行元件节点B30启动后， 参照自律分散数据区DF30上的控制目标值、即目标制动力。但是，由于 不更新目标制动力的数据，所以检测车辆运动综合控制节点B10的故障。 由此，启动制动踏板节点B20的自律分散控制功能305。自律分散控制功 能305，参照自律分散数据区DF30上的制动踏板状态来运算简易目标值。
制动钳控制部B302，取代车辆运动综合控制节点B10运算的控制目 标值，基于自律分散控制功能305运算的简易目标值来进行制动器执行元 件AB30的控制。
这里，该简易目标值，是仅使用制动踏板状态而计算的值，不是控制 车辆运动综合控制节点B10运算的控制车辆的举动的值。
以上，对使用自律分散控制平台的制动控制功能的动作进行了叙述。 根据作为自律分散平台的特征的数据区、自律的动作、自律的管理、自律 的备份，可表示例如即使在运算目标值的控制器节点发生故障的时候、也 能够作为车辆控制装置动作。
根据这一效果，通过故障无反应节点的组合，可以实现故障运行的车 辆控制装置，可认为对高可靠系统的低成本化有效。
参照图19说明本发明的车辆控制装置的基本构成。
车辆控制装置，由检测驾驶员的要求的传感器500、检测车辆状态的 传感器550、执行元件400、操作量生成节点100、和执行元件驱动节点 300构成。
其中，检测驾驶员的要求的传感器500、操作量生成节点100、和执 行元件驱动节点300，分别具有故障检测功能210A、210B、210C。执行 元件驱动节点300的故障检测功能210C，不仅有自我诊断功能，还具有 检测执行元件400的故障的功能。
操作量生成节点100，基于驾驶员的要求信号200和车辆状态信号201 来运算操作量指令值。
执行元件驱动节点300接收该操作量指令值120，控制执行元件400， 由此执行车辆的驱动、操舵、、制动等。
故障检测功能210A、210B、210C，当检测出节点内或执行元件400 的故障时，向节点的外部输出通知自己为故障状态用的故障检测通知 230。当具有故障检测功能的节点全部为故障状态的时候，除去输出该故 障检测通知230以外，停止向外部的输出，即，构成故障无反应。
图20是操作量生成节点100的功能图。操作量生成节点100，内装 有车辆控制用的多个控制逻辑，在从其它的节点接收故障检测通知230 时，根据故障处及故障的程度，切换控制逻辑(控制A、控制B、控制C)。
图21是执行元件驱动节点300的功能图。执行元件驱动节点300， 内装有基于操作量生成节点100生成的操作量指令值120来运算执行元件 400的动作目标值用的多个控制逻辑(控制X、控制Y、控制Z)。控制器 320，驱动执行元件400以达到该目标值。
执行元件驱动节点300，在从其它节点接收故障检测通知230时，根 据故障处及故障的程度，切换控制逻辑。执行元件驱动节点300，在能够 接收操作量指令值120时，基于该指令值执行控制X或控制Y，但因操 作量生成节点100或通信经路的故障而在不能够接收操作量指令值120 时，取入驾驶员的要求信号200，为了由自己运算操作量指令值，切换到 控制Z。
(实施例3)
对本发明的车辆控制装置的实施例3，参照图22进行说明。图22抽 出有关车辆控制装置的、特别是制动控制和转向控制的部分来表示。
该车辆控制装置，作为检测驾驶员的要求的传感器，具有测定转向盘 51的旋转角度的操舵角传感器41、测定制动踏板52的踏入量的制动踏板 位置传感器42，作为操作量生成节点，具有从检测驾驶员的要求的传感 器的信号解释驾驶员的意图并与从检测未图示的车辆状态的传感器、例如 加速传感器·偏航率传感器、车轮速传感器的信号一起，综合地控制车辆 运动的车辆运动综合控制ECU30。
该车辆控制装置，进而，作为执行元件驱动节点，具有：控制产生前 轮的操舵力的电动马达M1和作用于被安装在转向柱轴上的可变传动比 (VGR)机构的电动马达M5的SBW·VGR驱动器ECU81、控制产生后 轮的操舵力的转动电动马达M2的SBW驱动器ECU82、控制产成四轮的 制动力的制动电动马达M3A～M3D的BBW驱动器ECU83A～83D。
在这里，作为计测驱动器的制动踏板操作量的传感器，也可以使用测 定由踏入制动踏板52而发生的油压压力的油压传感器。
上述的节点全部构成为故障无反应。通信网络由总线N1A和备份线 N1B构成，相对于在总线N1A上连接上述全部的节点，在备份线N1B上 连接有关车辆的安全的行驶的所需要最低限的节点，即，车辆运动综合控 制ECU30、后轮的SBW驱动器ECU82以外的全部节点。虽然未图示， 但对连接到备份线N1B的全部节点，至少双重地供给电源。
前轮的SBW·VGR驱动器ECU81和四轮的BBW驱动器ECU83A～ 83D，内装有简易控制逻辑部811、831。在这里，所谓简易控制，意味着 例如使电动马达转矩指令值与传感器信号值单纯地成比例地处理负荷比 较少的控制。
在正常时，前轮的SBW·VGR驱动器ECU81、后轮的SBW驱动器 ECU82、和四轮的BBW驱动器ECU83A～83D，经由通信网络接收从车 辆运动综合控制ECU30给出的舵角指令、制动力指令，基于该指令值来 控制电动马达。
在本实施例中，转向盘51，与前轮操舵机构71机械地结合，制动踏 板52，即使是油压系统也与前轮制动器73连接，在电子控制停止时，使 用这些备份机构，驾驶员直接能够操舵、制动车辆。
以下，以图22所示的车辆控制装置为例详细叙述，即使在于本车辆 控制装置的某处发生了故障的时候，也不丧失制动和转向的功能，使车辆 稳定地行驶。
另外，在这里，以下例为前提进行说明，假设同时不发生两个以上的 故障，在发生故障时，对驾驶员警告其主要情况，通过在比较短的时间内 修理故障部位，能够预先防止第2个故障。
(1)车辆运动综合控制ECU30发生了故障的情形
这时，车辆运动综合控制ECU30向总线N1A输出故障检测通知。使 通信网络为分时多路访问(TDMA)，如果在预先确定各节点的时隙中进 行向网络的输出，则以没有输出也能够进行故障检测通知。
这例如在图23中所示，将通信周期分割成数据发送周期和诊断周期， 在诊断周期中，全部节点能够按顺序输出某个数据来实现。在图23的例 中，由于在诊断周期的节点F的时隙没有向网络的输出，所以可知其它节 点在节点F发生故障。
前轮的SBW·VGR驱动器ECU81、后轮的SBW驱动器ECU82，当 接收到从车辆运动综合控制ECU30给出的故障检测通知时，从网络取入 操舵角传感器41的值，执行简易控制。
另外，四轮的BBW驱动器ECU83A～83D，取入制动踏板位置传感 器42的值，由简易控制逻辑部813执行简易控制。
(2)在通信网络中，在主线N1A中发生故障的情形
这时，使用备份线N1B，前轮的SBW·VGR驱动器ECU81、和四 轮的BBW驱动器ECU83A～83D与车辆运动综合控制ECU30发生故障 的时候同样进行简易控制。
(3)前轮的BBW驱动器ECU83A、83B的其中之一、或者前轮的 制动电动马达M3A、M3B的其中之一发生了故障的情形
这时，通过停止对故障侧的前轮制动电动马达的供电，该车轮为不能 制动的状态，车辆运动综合控制ECU30用剩下三个轮子稳定地停止车辆 地进行控制。或者，驾驶员使用备份机构，也能够直接停止车辆。
在这里在电动马达的故障中，虽未图示，但包含对电动马达控制需要 的电动马达旋转位置传感器及电流传感器等的故障。后轮的BBW驱动器 ECU83C、83D其中之一，或者后轮的制动电动马达M3C、M3D其中之 一发生故障的情形也同样。
(4)前轮的SBW·VGR驱动器ECU81或者前轮的转向电动马达 M1(包含对电动马达控制所需要的传感器)的其中之一发生故障的情形
这时，停止作用于前轮转向电动马达M1和VGR机构54的电动马达 M5的供电，驾驶员使用备份机构，直接操舵车辆。
(5)操舵角传感器41或制动踏板位置传感器42发生了故障的情形
在这种情况下，停止向作用于转向电动马达M1、M2和VGR机构的 电动马达M5或制动电动马达M3A～M3D的供电，驾驶员使用备份机构 直接操舵、或制动车辆。
另外，在本实施例中，不会发生以单一故障操舵和制动、同时使用备 份机构的状况。
如以上所述，根据本实施例的构成，由于能够在系统整体中对错误实 行备份，所以不使各个节点的冗长度提高到需要以上，在有备份机构的车 辆控制装置中，仅通过使所有的节点为故障无反应运行的构成，就能够实 现非常高可靠性的车辆控制装置。
故障无反应节点，与即使发生故障也继续正常动作的故障运行比较， 由于硬件构成简单，所以根据本发明，与公知例比较能够提供低成本的高 可靠性车辆控制装置。
进而，对备份线N1B，通过仅连接涉及车辆的安全的行驶所需要的 最低限的节点，能够减少使通信接口冗长化必要的节点数，所以能够降低 成本。
对故障无反应的操舵角传感器41或制动踏板位置传感器42的功能构 成例参照图24进行说明。
操舵角传感器41/制动踏板位置传感器42由下述部分构成：两个传 感器部件60A、60B、将各个传感器元件60A、60B的模拟输出变换成数 字值的A/D变换器61A、61B、故障检测功能210、滤波功能63、通信控 制器64、向主线N1A输出信号用的通信驱动器65A和向备份线N1B输 出信号用的通信驱动器65B。
故障检测功能210具有判定在预先确定由A/D变换器61A、61B形 成的两个A/D变换值的误差范围内是否相同的一致检验功能62，在不一 致的时候，使通信驱动器65A和65B不活跃化，为故障无反应。
故障检测功能210，为了同时执行两个传感器部件60A、60B的A/D 变换，对A/D变换器61A、61B输出触发信号。
根据本构成例，通过传感器具有滤波功能63，即使在以短的周期采 样传感器信号、实施过采样等的滤波处理的时候，由于不需要适应该采样 周期对通信网络输出数据，所以能够减少网络的通信量。
对故障无反应的操舵角传感器41或制动踏板位置传感器42的硬件构 成例参照图25进行说明。
操舵角传感器41/制动踏板位置传感器42由下述部分构成：主要的 传感器部件60A、参考的传感器部件60B、失效保护LSI600、两个通信 驱动器65A、65B。
失效保护LSI600由下述部分构成：冗长化的A/D变换器61A、61B， CPU66A、66B，通信控制器64A、64B，比较器62A、62B，和一个ROM、 RAM67。
在失效保护LSI600中，在对从各个传感器部件60A、60B给出的信 号进行A/D变换后，对A/D变换值在CPU66A、66B间相互交换而一致 化。CPU66A、66B分别使用该一致化后的A/D变换值而进行滤波运算。
运算结果的一致检验，通过将通信控制器64A、64B的输出输入到比 较器62A、62B来进行。
在本实施例中，由于有两个通信总线，所以通信控制器64是两通道， 用比较器62A、62B互相比较各个通道的输出。
在本实施例中，通过使失效保护功能单片化(1chip)，以低成本能够 构成故障无反应的传感器节点。
(实施例4)
对本发明的车辆控制装置的实施例4参照图26进行说明。另外，在 图26中，对与图22相对应于的部分赋予与在图22中给的符号相同的符 号并省略其说明。
在于图22所示的实施例3中，对网络直接连接传感器，但在实施例 4中为，对HMI·ECU25输入传感器信号，在HMI·ECU25执行了传感 器值的比较及滤波处理后，对网络输出传感器数据。
这时，操舵角41A和制动踏板位置传感器42A仅由两个传感器部件 构成。
另外，在单一故障中，为了不发生操舵和制动同时使用备份机构的状 况，需要使HMI·ECU25构成为故障运行。
(实施例5)
对本发明的车辆控制装置的实施例5参照图27进行说明。另外，在 图27中，对与图22相对应于的部分赋予与在图22中给的符号相同的符 号并省略其说明。
实施例5，是有关节点构成和网络构成，与实施例3相同，但在转向 柱(转向盘51)和操舵力发生机构、和制动踏板52和制动力发生机构之 间，是没有机械的结合的车辆控制装置。从而，不能够期待使用在实施例 3中叙述的机械的备份机构的车辆的操舵、制动。
在这里，在本实施例的车辆控制装置中，使操舵角传感器41B、制动 踏板位置传感器42B、和前轮72R、72L的SBW驱动器ECU81A，为即 使发生故障也继续正常动作的故障运行节点。
并且，进一步，使前轮72R、72L的转向电动马达二重化(M1A、 M1B)。
前轮的SBW驱动器ECU81A虽未图示，由两个故障无反应节点构成， 各个故障无反应节点独立地控制二重化了的转向电动马达M1A、M1B。 SBW驱动器ECU81A包含简易控制逻辑部811。
作为转向电动马达M1A、M1B虽能够生成的转矩，但如果使用与在 机械地结合转动和操舵力发生机构的系统中使用的转动电动马达的转矩 相比较小(这里，为了生成与机械地结合的系统相等的转矩为1/2以上的) 的电动马达，则能够减少使电动马达二重化带来的成本的增加。
前轮的SBW驱动器ECU81A，进而，控制作用于在转向柱模拟地生 成从路面给出的反力的机构上的电动马达M6。
操舵角传感器41B和制动踏板位置传感器42B，为使图25中所示的 故障无反应的传感器二重化的构成。对图25中所示的故障无反应的传感 器，使传感器部件三重化，通过具有三个传感器信号的多数判定功能，也 可以进一步单一使用高可靠性化的故障无反应的传感器。
在前轮的SBW驱动器ECU81A的一方的故障无反应节点或转向电动 马达M1A、M1B的一方(包含对电动马达控制所需要的传感器)发生故 障的时候，该节点停止对发生故障侧的转向电动马达的供电，输出故障检 测通知。
车辆运动综合控制ECU30接收该故障检测通知后，由剩下的转向电 动马达稳定地操舵车辆地进行切换控制。
在于这以外的地方发生故障的时候，不失去制动和转向功能，对于使 车辆稳定地行驶的方法，是如在实施例3中说明的那样。
根据实施例5，由于在系统整体中能够对错误实行备份，所以在没有 转向和制动的备份机构的车辆控制装置中，也仅以导入需要最低限的故障 运行节点，就可以低成本实现非常高可靠性的车辆控制装置。
(实施例6)
对本发明的车辆控制装置的实施例6参照图28进行说明。另外，在 图28中，对应于图3、图22的部分赋予与在图22中给予的符号相同的 符号并省略其说明。
实施例6是在实施例3的车辆控制装置中，追加驱动系统及安全系统 等节点，表示有关车辆的行驶的控制系统的整体像的实施例。本实施例具 有转向和制动的备份机构，即使不具备其的车辆控制装置也能够为同样的 构成。
在主线N1A中，除去有关在实施例3叙述的转向控制和制动控制的 节点以外，还连接有：综合地控制车辆的驱动系统的DBW系统综合控制 ECU20、控制调整阻尼力的悬架电动马达M4A～M4D的EAS驱动器 ECU84A～84D、测定加速踏板53的踏入量的加速踏板位置传感器43、 检测车辆的外界的状态的毫米波雷达/照相机44、和控制气囊的展开的气 囊ECU85。
前轮的SBW·VGR驱动器ECU81和四轮的BBW驱动器ECU83A～ 83D内装有简易控制逻辑部811、831。
在DBW系统综合控制ECU20中，通过网络N2连接内燃机控制 ECU21、变速器控制ECU22、电动马达控制ECU23、蓄电池控制ECU24。
车辆运动综合控制ECU30，通过网络N3与下述部分连接：作为向控 制车辆卫星定位仪等信息系统的机器的网络的入口的信息系统网关35、 门锁、门侧镜、作为控制各种仪表等车体系统的机器的网络的入口的车体 系统网关36；并进行这些节点和数据的存取。
虽未图示，但气囊ECU85，也是在另外一端与综合对气囊展开控制 需要的各种传感器·执行元件的安全系统的网络连接的构造。
在本实施例中，车辆运动综合控制ECU30，从操舵角传感器41、制 动踏板位置传感器42、加速踏板位置传感器43解释驱动的意图，与从检 测未图示的车辆状态的传感器，例如加速度传感器、偏航速率传感器、车 轮速传感器给出的信号一起，运算实现最佳的车辆运动用的舵角、制动力、 驱动力等，向前轮的SBW·VGR驱动器ECU81和后轮的SBW驱动器 ECU82发送舵角指令，向四轮的BBW驱动器ECU83A～83D发送制动力 指令，向DBW系统综合控制ECU20发送驱动力指令。
DBW系统综合控制ECU20接收驱动力指令，考虑能量效率等，运 算内燃机、电动马达等各个驱动力发生源应该发生的驱动力，使运算的驱 动力指令通过网络N2发送到内燃机控制ECU21、电动马达控制ECU23 等中。
车辆运动综合控制ECU30，不仅通过检测驾驶员的要求的传感器的 信息，而且通过使用检测车辆的外界的状态的毫米波雷达/照相机44的信 息，进行对前行车的跟踪行驶、车线保持行驶、危险躲避驾驶等的控制。
关于可靠性，与通信网络的主线N1A连接的节点全部构成为故障无 反应。另外，在备份线N1B中，如在实施例3中所说明的，通过仅连接 关于车辆的安全的行驶的所需要最低限的节点，可减少需要使通信接口冗 长化的节点的数量，降低成本。
加速踏板位置传感器43在主线N1A、DBW系统综合控制ECU20、 网络N2的其中之一发生故障的时候也能够驱动车辆，也与内燃机控制 ECU21直接连接。
对于在本实施例中的对错误实行备份的方法、由此带来的效果，如在 实施例3中所述的那样。
(实施例7)
对本发明的车辆控制装置的实施例7参照图29、图30进行说明。
操作量生成节点610生成操作量612，将操作量612送到执行元件驱 动节点630中。
修正量生成节点620生成修正量622，将修正量622送到执行元件驱 动节点630中。
执行元件驱动节点630如图30所示，具有控制器632、切换器634， 在修正量生成节点620正常的时候，对从操作量生成节点610给出的操作 量612施加从修正量生成节点620给出的修正量622、作为控制目标值635 来控制执行元件640。对此，在修正量生成节点620异常的时候，使从操 作量生成节点610给出的操作量612作为控制目标值635来控制执行元件 640。
在此实施例中，在修正量生成节点620正常的时候，通过修正量，可 以进行更细的控制，另外，在修正量生成节点620发生故障的时候，在使 功能减退的同时不用修正量也能够继续进行控制。
由于需要知道是否修正量生成节点620为正常，所以修正量生成节点 620具有故障检测功能621是理想的。基于故障检测功能621进行的故障 检测结果623，执行元件驱动节点630的切换器634进行切换动作。
对于为了修正量生成而需要高度的信息处理，操作量生成以比较简单 的信息处理即可完成。因此，修正量生成节点620，要求与操作量生成节 点610相比有较高的处理性能的结果、部件个数增加、动作频率(处理器 的时钟频率)变高，要求电的、热的富裕量少的动作。从而，修正量生成 节点620与操作量生成节点610相比较，故障率(部件的故障率(fit数) 的总和)变高。
即，修正量生成节点620为比操作量生成节点610处理能力高的节点。 例如，修正量生成节点620由比操作量生成节点610动作频率高的计算机 (节点)构成。
从而，对于控制的继续所需要最低限的操作量生成节点610，能够期 待比修正量生成节点620低的故障率。即，操作量生成节点610为比修正 量生成节点620故障率低的节点。
进一步，由于即使在修正量生成节点620发生故障的时候也需要操作 量生成节点610为正常，所以操作量生成节点610具有耐故障功能611是 理想的。
作为修正量生成节点620具有的故障检测功能621，已有种种考虑， 但如图31所示，通过使修正量生成节点620二重化，也可对其输出进行 比较。
这时具有下述方法：预先在修正量生成节点620侧比较二重化了的修 正量生成节点620输出的修正量622a和622b，向执行元件驱动节点630 传送修正量622a和622b的单方和故障检测结果的方法；如图32所示， 将多重化的修正量生成节点620输出的修正量622a和622b分别传送到执 行元件驱动节点630，在执行元件驱动节点630，通过比较功能631来比 较修正量622a和622b而得到故障检测结果623的方法。
另外，也考虑了各种操作量生成节点610具有的耐故障功能611，但 如图31所示，也能够通过使操作量生成节点610三重化而取其输出的多 数逻辑判定来实现。
这时具有下述方法：对冗长化的操作量生成节点610生成的操作量 612a、612b、612c预先在操作量生成节点610侧采取多数逻辑判定，向 执行元件驱动节点630传送的方法；如图32所示，将操作量生成节点610 生成的操作量612a、612b、612c分别传送到执行元件驱动节点630，由 执行元件驱动节点630具有的多数判定功能633采取多数逻辑判定的方 法。
另外，如图33所示为，在执行元件驱动节点630上，设置增益可变 器636和控制增益可变器636的增益的斜坡发生器637，将故障检测结果 623输入到斜坡发生器637中，将对由操作量生成节点610给出的修正量 622用增益可变器636乘上可变增益的值、施加到从操作量生成节点610 给出的操作量612上、作为控制目标值635来控制传感器装置640也可以。 这时，在修正量生成节点620的异常时，控制目标值635不急剧地变化而 是慢慢地变化。
将本实施例的动作表示在图34中。在修正量生成节点620为正常时， 作为斜坡发生器637的输出的斜坡输出637为高位的值，从修正量生成节 点620给出的修正量622，乘上由增益可变器636预先设定的高位的增益， 与从操作量生成节点610给出的操作量612相加，作为控制目标值635 来控制执行元件640。
对此，在修正量生成节点620为异常时，从故障检测结果623由从“正 常”变为“异常”的时刻起，斜坡输出637从高位的值到低位的值随时间 缓缓地变化。
其结果，由增益可变器636乘上从修正量生成节点620给出的修正量 622的可变增益、也从高位的增益值到低位的增益值随时间缓缓地变化。 其结果，从在控制目标值635的计算时被加上的修正量生成节点620给出 的修正量622，随时间缓缓减小。
在图34所示的实施例中，以低位的增益为0，也可以根据修正量生 成节点620的故障的轻重决定低位的增益的大小。另外，在该实施例中， 斜坡输出637从高位的值到低位的值作线性地变化，但也可以不限于线性 而以包含曲线的任意的方式变化。另外，变化的方式为单调地递减是理想 的。
根据以上叙述的实施例，由于在修正量生成节点620的异常时控制目 标值635不是急速而是缓缓地变化，所以对操作者不会感到有不适感。另 外，由于也不发生伴随切换的控制目标值635的高低差异，所以也能够避 开起因于相对于高低差异操作者的反应迟缓的控制性恶化。
另外，如图35所示，从操作量生成节点610给出的操作量612和从 修正量生成节点620给出的修正量622，也能够为经过单一的通信路(通 信总线)650传送到执行元件驱动节点630的网络构成。
根据该实施例，由于在node·to·node不个别地具有通信路即可完 成，所以与节省配线相关联，就此部分，在降低系统的成本的基础上，还 能够达到轻量化。
经过本实施例中的通信路650而传送的信息，如图36所示，按每个 发送的节点时间划分为多个时隙，操作量612在被操作量生成节点610 分配的时隙614中传送，修正量622在被修正量生成节点620分配的时隙 624中传送。
在这里，将前面叙述的修正量生成节点620输出的修正量622a和 622b分别传送到执行元件驱动节点630的方法中，冗长化了的修正量生 成节点620分别分配个别的时隙，在各个时隙中传送修正量622a和622b。
另外，在将操作量生成节点610生成的操作量612a、612b、612c分 别传送到执行元件驱动节点630的方法中，在冗长化的操作量生成节点 610上分别分配各个时隙，在各个时隙中传送操作量612a、612b、612c。
图37表示在Steer-by-Wire系统中应用本实施例的具体例。
在操作量生成节点610中连接转动柱(转动盘)615，生成根据转动 柱615的操作角度的操舵角度的操作量612，该操作量612通过通信路650 传送到执行元件驱动节点630上。
在修正量生成节点620上，连接加速传感器·偏航率传感器625，生 成从加速传感器·偏航率传感器625给出的信号和从操作量612的信息给 出的修正量622，该修正量622通过通信路650传送到执行元件驱动节点 630。
在执行元件驱动节点630上，在修正量生成节点620为正常时，将对 操作量612加上修正量622的值作为控制目标值来控制操舵装置641。
根据以上所述的本实施例，在驾驶员过分转动转向柱615的时候，在 没有修正量622的时候，前轮失去锁紧而车辆的稳定性下降，由加速传感 器·偏航速率传感器625检测车辆的横滑及自转，由于由修正量生成节点 620为抑制横滑及自转而生成修正量622，所以可提高车辆的操纵稳定性。
图38表示在Brake-by-Wire系统中应用本实施例的具体例。
在操作量生成节点610中连接制动踏板616，生成根据制动踏板616 的操作的制动踏力的操作量612，其通过通信路650传送到执行元件驱动 节点630-1～630-4。
在修正量生成节点620中连接加速传感器·偏航速率传感器625，从 由加速传感器·偏航速率传感器625给出的信号或从操作量612的信息生 成各踏板的修正量622-1～622-4，其通过通信路650传送到执行元件驱动 节点30。
在执行元件驱动节点630-i(i＝1～4)，在修正量生成节点620为正 常的时候，将对操作量612加上修正量622-i(i＝1～4)的值作为控制目 标值来控制各车轮的制动器642-i(i＝1～4)。
根据以上所述的本实施例，在驾驶员过分踏入制动踏板616的时候， 如果没有修正量622-i(i＝1～4)，则各车轮失去锁紧而车辆的稳定性下 降，但由加速传感器·偏航速率传感器625检测车辆的横滑及自转，则由 于由修正量生成节点620为抑制横滑及自转而生成修正量622-i(i＝1～4)， 所以可提高车辆的操纵稳定性。
图39表示在综合Steer-by-Wire和Brake-by-Wire的系统中应用本实 施例的具体例。
在操作量生成节点610中连接转向柱615和制动踏板616，生成根据 转向柱615的操作角度的操舵角度的操作量612-0和根据制动踏板616的 操作的制动踏力的操作量612-2，其通过通信路650传送到执行元件驱动 节点630-0～630-4。
在执行元件驱动节点630-0中，在修正量生成节点620正常的时候， 将对操作量612-0加上修正量622-0的值作为控制目标值来控制操舵装置 641。
在执行元件驱动节点630-i(i＝1～4)中，在修正量生成节点620为 正常的时候，将对操作量612-i加上修正量622-i(i＝1～4)的值作为目 标值来控制各车轮的制动器642-i(i＝1～4)。
根据以上所述的本实施例，在驾驶员过分转动转向柱615、过分踏入 制动踏板616的时候，在没有修正量622-i(i＝1～4)的时候，前轮失去 锁紧而车辆的稳定性下降，但由加速传感器·偏航速率传感器625检测车 辆的横滑及自转，则由于由修正量生成节点620为抑制横滑及自转而生成 修正量622-i(i＝1～4)，所以可提高车辆的操纵稳定性。
(实施例8)
对本发明的车辆控制装置的实施例8参照图40进行说明。
本实施例的车辆控制装置，具有下述构成：检测表示对车辆运动的驾 驶员的要求的加速踏板、制动踏板、方向盘等的操作量的传感器500；检 测表示车辆运动的状态的车辆速度、加速度、偏航速率、进而通过电波或 图像取得的车外的信息等的传感器550；对应实现驱动、制动、操舵的动 力源、制动、转向的每一个的多个执行元件400；生成控制这些执行元件 400用的目标操作量的操作量生成节点100；基于操作量生成节点100生 成的目标操作量控制执行元件400的多个执行元件驱动节点300。
操作量生成节点100，在图中没有详细显示，其具有：执行程序的中 央处理器(CPU)，和储存程序和数据的非挥发性的记忆装置(ROM)和 非挥发性的记忆装置(RAM)，和连接传感器500、传感器550、执行元 件驱动节点300用的输出输入装置(I/O)，这些也可以是由双方向的总线 连接的一般的微机构成的构造。
操作量生成节点100，进一步具有模拟/数字变换装置(ADC)，也可 以将传感器500、传感器550连接到ADC上，具有串行通信装置(SCI)， 也可以将传感器500、传感器550、执行元件驱动节点300连接到SCI上。 进而，这些装置也可以是由1个至多个半导体集成电路来实现的装置。
操作量生成节点100，基于传感器500输出的驾驶员要求信号200和 传感器500输出的车辆状态信号201来运算各执行元件400的目标操作 量，并将其作为操作量指令值120通过网络发送到执行元件驱动节点300 中。操作量指令值120，根据各个执行元件400决定执行元件400如果是 动力源则为目标驱动力，如果是制动则为各四轮的目标制动力，如果是转 向则为目标舵角。
执行元件驱动节点300在图中没有详细显示，其具有：执行程序的中 央处理器(CPU)，和储存程序和数据的非挥发性的记忆装置(ROM)和 非挥发性的记忆装置(RAM)，和连接传感器500与操作量生成节点100 用的输出输入装置(I/O)，这些也可以是由双方向的总线连接、进而具有 驱动执行元件的驱动电路、并连接到I/O的一般的微机的构成。
执行元件驱动节点300，进一步具有模拟/数字变换装置(ADC)，也 可以将传感器500连接到ADC上，具有串行通信装置(SCI)，也可以将 传感器500至操作量生成节点100连接到SCI上。进而，这些装置也可以 是由1个至多个半导体集成电路来实现的装置。
执行元件驱动节点300未图示，但具有检测执行元件400的驱动力、 制动力、舵角的其中之一、或者为了推定这些而必须的信息的传感器，执 行元件400的驱动力、制动力、舵角与从操作量生成节点100接收的操作 量指令值120一致地执行对执行元件400的驱动控制。
另外，执行元件驱动节点300，将由传感器检测的执行元件的驱动力、 制动力、舵角发送到操作量生成节点100中。由此，操作量生成节点100 参照执行元件400的驱动力、制动力、舵角，能够运算各执行元件400 的目标操作量。
传感器500、操作量生成节点100、执行元件驱动节点300分别具有 检测自己的故障的故障检测功能210A、210B、210C。
由故障检测功能210A的传感器的故障检测，能够通过判定传感器 500所检测的值偏离规定的范围来实现，另外，通过使用多个传感器对这 些检测结果比较、校对或多数逻辑判定也能够实现。
故障检测功能210B的操作量生成节点100的故障检测，由监视计时 器形成的CPU的暂停、由冗长符号形成的ROM、RAM和双方向总线的 短时间错误检测、由I/O的比较核对能够实现，另外，也能够通过使用多 个操作量生成节点100对这些输出进行比较核对或多数逻辑判定来实现。
故障检测功能210C的执行元件驱动节点300的故障检测，通过监视 计时器形成的CPU的暂停、由冗长符号形成的ROM、RAM和双方向总 线的短时间错误检测、由I/O的比较核对能够实现，另外，也能够通过使 用多个操作量生成节点对这些输出取比较核对或多数逻辑判定来实现。
进而，故障检测功能210C也具有从执行元件400的驱动力、制动力、 舵角的变化量或操作量指令值120的差来检测执行元件400的故障的功 能。
故障检测功能210A、210B、210C，在检测自己或执行元件400的故 障的时候，对操作量生成节点100和其它的执行元件驱动节点300，输出 通知自己为故障状态用的故障检测通知230。
传感器500、操作量生成节点100、执行元件驱动节点300，分别为 在故障状态的时候仅以输出故障检测通知230而使其它的输出停止是理 想的，进而，在不能正常地输出故障检测通知230的时候，该故障检测通 知230也停止是理想的。
另外，各执行元件驱动节点300，具有基于自己、其它的各执行元件 驱动节点300、操作量生成节点100的各个故障检测结果等来选择控制程 序(执行元件控制方法)用的控制程序选择功能(控制方法选择装置)200。
控制程序选择功能200，通常基于从操作量生成节点100给出的操作 量指令值120来选择控制执行元件400的控制程序，但在操作量生成节点 100发生故障的时候，基于从传感器500给出的驾驶员要求信号200来选 择控制执行元件400的控制程序，在自己或其它的特定处的执行元件驱动 节点300发生故障的时候，选择安全地停止执行元件400的控制的控制程 序。
由此，即使在操作量生成节点100及执行元件驱动节点300发生故障 的时候，通过处于正常状态的执行元件驱动节点300能够继续进行车辆控 制。
此实施例的车辆控制装置，如图41中所示，也可以由CAN等的网 络600将操作量生成节点100和执行元件驱动节点300及传感器500可以 通信地进行连接。操作量生成节点100和执行元件驱动节点300及传感器 500，分别将操作量指令值120、故障检测通知230、驾驶员要求信号200 及其它的短信息、经由网络600送到所希望的节点中。进而，多个节点也 能够接收各个传感器发送的短信息。
另外，如图42所示，此实施例的车辆控制装置，也能够为传感器550 也作为一个节点连接到网络600的构成。由此，传感器550能够将车辆状 态信号201经过网络600发送到所希望的节点中。进而，多个节点也能够 接收传感器550发送的短信息。
另外，在图41、图42所示的车辆控制装置中，通过具有多个网络600 并具有冗长性，能够提高网络的可靠性。
图43是操作量生成节点100的功能方块图。操作量生成节点100， 将车辆控制用的多个控制程序装入到ROM和RAM中，在通过故障检测 功能210B检测自己的故障的时候，或在从传感器500、传感器550、执 行元件驱动节点400接收到故障检测通知230的时候，根据故障的地方及 故障的程度，切换控制程序。
图44是执行元件驱动节点300的功能方块图。执行元件驱动节点 300，将用于基于从操作量生成节点100接收的操作量指令值120来运算 执行元件400的动作目标值的多个控制程序装入到ROM和RAM中。执 行元件驱动节点300，具有：基于操作量生成节点100输出的操作量指令 值120来控制执行元件400的程序X，和基于传感器500输出的驾驶员要 求信号200来控制执行元件400的控制程序Y，和与操作量指令值120及 驾驶员要求信号200无关、将执行元件维持在规定的状态的控制程序Z， 通过控制程序选择功能220，根据自己的故障或其它的节点的故障状况， 能够切换控制程序。
以下，以图40～图44为例，对在于本车辆控制装置内发生故障时继 续车辆运动用的基本的处理进行说明。
对操作量生成节点100发生故障时的基本的处理进行说明。操作量生 成节点100，当由故障检测功能检测出自己的故障时，停止操作量指令值 120的发送，同时，发送故障检测通知230。在不能够正常地发送故障检 测通知230的时候，操作量生成节点100也停止故障检测通知230的发送。
由此，连接到网络600的各执行元件驱动节点300，通过接收从操作 量生成节点100给出的故障检测通知230，能够检测操作量生成节点100 发生了故障，另外，通过在预先确定的时间内不接收操作量指令值120， 能够检测在操作量生成节点100发生了某种异常。
另外，如果使网络600为分时多路存取(TDMA)，构成为各节点在 予定的时隙执行短信息的发送，则通过操作量生成节点100确认在发送操 作量指令值120的时隙的有无接收，而能够检测在操作量生成节点100 发生了某种异常。
各执行元件驱动节点300，当检测到从操作量生成节点100给出的故 障检测通知230或者检测出没有接收操作量指令值120的发送时，将控制 程序从(X)切换到(Y)，以从网络600取入传感器500的驾驶员要求信 号200来执行驱动力、制动力、舵角等的车辆运动控制。
由此，操作量生成节点100即使发生故障也继续进行车辆运动控制。
接着，对执行元件驱动节点300和执行元件400发生故障时的基本的 处理进行说明。另外，在执行元件400的故障中，包含对于未图示的执行 元件控制所需要的旋转位置传感器及电流传感器等的故障。
在设置在四轮的制动器的每个上的执行元件驱动节点300或执行元 件400发生故障时，执行元件驱动节点300，当通过故障检测功能检测出 自己的故障时，在发送故障检测通知230的同时，将控制程序从(X)切 换到(Z)，以解放该车轮的制动控制。
操作量生成节点100，在接收到故障检测通知230时，由剩下的二轮 至三轮来控制制动力。或者，驾驶员使用油压机构等的机械的备份机构来 直接制动车辆。
由此，即使设置在四轮的制动器的每个上的执行元件驱动节点300 或执行元件400发生故障，也能够继续进行车辆运动控制。
在设置于转向器上的执行元件驱动节点300或执行元件400发生故障 的时候，在执行元件驱动节点300通过故障检测功能210C检测自己的故 障时，在发出故障检测通知230的同时，将控制程序从(X)切换到(Z) 使舵角控制停止。
并且，驾驶员使用转向柱等的机械的备份机构直接控制车辆操舵。在 没有机械的备份机构的时候，设置多个转向用的执行元件驱动节点300 和执行元件400，由至少一个执行元件驱动节点300和执行元件400控制 舵角。
由此，即使设置于转向器的执行元件驱动节点300或执行元件400 发生故障也能够继续进行车辆运动控制。
在设置为驱动力用的执行元件驱动节点300或执行元件400发生故障 的时候，在执行元件驱动节点300通过故障检测功能检测自己的故障时， 在发出故障检测通知230的同时，将控制程序从(X)切换到(Z)使驱 动控制停止。
由此，即使设置为驱动力用的执行元件驱动节点300或执行元件400 发生故障也能够使车辆安全停止。
在制动踏板用的传感器500发生故障的时候，解放全车轮的制动器的 制动，驾驶员使用油压机构等的机械的备份机构直接制动车辆。在没有机 械的备份机构的时候，设置多个制动踏板用的传感器500，用至少一个传 感器500能够检测驾驶员的要求。
由此，即使制动踏板用的传感器500发生故障，也能够继续进行车辆 运动控制。
在方向盘用的传感器500发生故障的时候，使转向器控制停止，驾驶 员使用转向柱等的机械的备份机构直接操舵车辆。在没有机械的备份机构 的时候，设置多个制动踏板用的传感器500，用至少一个传感器500能够 检测驾驶员的要求。
由此，即使方向盘用的传感器500发生故障也能够继续进行车辆运动 控制。
在加速踏板用的传感器500发生故障的时候，使驱动力控制停止，使 车辆安全地停止。或者设置多个制动踏板用的传感器500，用至少一个传 感器500能够检测驾驶员的要求。
由此，能够继续进行车辆运动控制。
在传感器500发生故障的时候，操作量生成节点100基于正常取得的 车辆状态信息201、和从传感器500取得的驾驶员要求信号200来继续车 辆运动。
如以上说明，根据本实施例，由于操作量生成节点100和执行元件驱 动节点300相互备份，所以没有必要附加冗长的备份装置。
然而，在操作量生成节点100发生故障的时候，元件驱动节点300 分别独立地执行控制。
因此，需要执行元件驱动节点300同等地检测操作量生成节点100 的故障，另外，即使在车辆运动综合控制ECU30的基础上一部分执行元 件驱动节点300发生故障的时候，也可通过剩下的执行元件驱动节点300 安全地控制车辆。特别是制动器在左右的制动力产生差的时候，为单侧效 应的状态，车辆在制动中自转。
对为了避开这样的危险状态的操作量生成节点100和执行元件驱动 节点300的动作例使用图45～图57进行详细说明。在这里，以制动器为 例说明各个动作。
操作量生成节点100，以一定的控制周期(A)反复执行制动控制的 处理。该控制周期由车辆制动控制的必要精度来决定。另外，各执行元件 驱动节点300如后所述，与操作量生成节点100的控制周期(A)比较， 以更短的控制周期(B)反复执行执行元件400的制动力控制。这是由于 对执行元件400的电流反馈控制要求较高精度的缘故。
从而，在操作量生成节点100于控制周期(A)执行一系列的处理期 间，各执行元件驱动节点300，基于最新的操作量指令值120、以控制周 期(B)反复执行制动力控制，在与操作量生成节点100的通信处理等中 不中断制动力控制。
图45是表示执行元件驱动节点300的动作的时间图。横轴表示从左 向右时间的经过。各执行元件驱动节点300以控制周期(B)反复执行以 下的处理。
首先，执行元件驱动节点300确认是否从操作量生成节点100接收到 了操作量指令值120和故障检测通知230、从传感器500接收到了驾驶员 要求信号200(指令值、故障检测通知接收确认B1)。这些由于以控制周 期(A)的间隔发送，所以使用计测控制周期(A)的时间的计时器能够 确认操作量指令值120、驾驶员要求信号200的接收。或者，通过对这些 使用分时多路存取(TDMA)型的网络以预先确定的时隙发送接收也能够 确认接收。
接着，执行元件驱动节点300，将在前次的控制周期的最后检测的执 行元件400的制动力和由故障检测功能210C给出的诊断结果、发送到操 作量生成节点100或其它的执行元件驱动节点300(应答短信息发送B2)。 这时，在由(指令值、故障检测通知接收确认B1)不接收操作量指令值 120的时候，在对操作量指令值未接收、接收故障检测通知230的时候， 也一起通知故障检测通知接收。这些是作为一个的应答短信息而一起发 送。
接着，执行元件驱动节点300，基于有无操作量指令值120的接收、 有无故障检测通知230的接收、有无执行元件400和自己的故障、和有无 从其它执行元件驱动节点300给出的应答短信息及其内容选择控制程序 (控制程序选择B3)。控制程序，具有基于操作量指令值120来执行制动 力控制的控制程序(X)，和基于驾驶员要求信号200来执行制动力控制 的控制程序(Y)，和也与操作量指令值120和驾驶员要求信号200够无 关解放制动的控制程序(Z)，并从其中选择一个。
对该控制程序的选择程序(B3)，参照图46的流程进行说明。
首先，对自己的执行元件驱动节点300或执行元件400的异常发生， 由以下的条件进行判定(步骤S1610)。
条件1：自己和执行元件的诊断的结果、检测故障。
条件2：在从操作量生成节点100接收故障检测通知230时，其它的 两个以上的执行元件驱动节点300应答没有接收到故障检测通知230。
条件3：没有在从操作量生成节点100接收故障检测通知230时，其 它的两个以上的执行元件驱动节点300应答接收到故障检测通知230。
条件4：在从操作量生成节点100接收操作量指令值120时，其它的 两个以上的执行元件驱动节点300应答没有接收操作量指令值120。
条件5：在从操作量生成节点100没有接收到操作量指令值120时， 其它的两个以上的执行元件驱动节点300应答接收到操作量指令值120。
在从以上的条件1到条件5中，在至少一个成立时，判断为自己异常， 选择控制程序(Z)解放制动(步骤S1680)。
接着，对操作量生成节点100的异常发生由以下的条件进行判定(步 骤S1620)。
条件6：从操作量生成节点100接收故障检测通知230，并且，其它 的两个以上的操作量生成节点100也应答接收到了故障检测通知230。
条件7：从操作量生成节点100没有接收操作量指令值120，并且， 其它的两个以上的操作量生成节点100也应答没有接收到操作量指令值 120。
在条件6、7的条件都不成立的时候，操作量生成节点100判定正常， 选择控制程序(X)(步骤S1660)，基于操作量指令值120执行制动力控 制。
另外，在条件6、7之中在至少一个成立的时候，操作量生成节点100 判定异常，对其它的执行元件驱动节点300或执行元件400的异常发生由 以下的条件进行判定(步骤S1630)。
条件8：其它的执行元件驱动节点300通知故障。
条件9：其它的一个执行元件驱动节点300不发送应答短信息。
条件10：在从操作量生成节点100接收到故障检测通知230时，仅 其它的一个执行元件驱动节点300应答没有接收到故障检测通知230。
条件11：在从操作量生成节点100没有接收到故障检测通知230时， 仅其它的一个执行元件驱动节点300应答接收到了故障检测通知230。
条件12：在从操作量生成节点100接收到操作量指令值120时，仅 其它的一个执行元件驱动节点300应答没有接收到操作量指令值120。
条件13：在从操作量生成节点100没有接收到操作量指令值120时， 仅其它的一个执行元件驱动节点300应答接收到了操作量指令值120。
在从上述的条件8到条件13的条件都不成立的时候，其它的执行元 件驱动节点300和执行元件400判断为正常，选择控制程序(Y)(步骤 S1670)，基于驾驶员要求信号200执行制动力控制。
另外，在从条件8到13之中，在至少一个成立的时候，其它的执行 元件驱动节点300或执行元件400判定为异常，为了避开制动的单侧效应， 参照后述的控制程序选择表(步骤S1640)，选择控制程序(Y)或(Z) 其中之一(步骤S1650)。
如以上说明，执行元件驱动节点300，基于从条件1到条件13，判定 自己的执行元件驱动节点300或执行元件400的异常、操作量生成节点 100异常、其它的执行元件驱动节点300或执行元件400的异常，并选择 控制程序。
另外，上述的条件由于根据车辆系统的形态及各个构成要素的形态而 不同，所以也可以使用根据它们的条件。
另外，对于从操作量生成节点100给出的操作量指令值120及故障检 测通知230等的未接收，不是直接地判断为异常，可以在为二次以上未接 收时判断为异常。这时，也可以在各执行元件驱动节点300间交换未接收 次数，取多数逻辑判定等，使未接收次数一致。
图47(a)、(b)表示控制程序选择表。
表(a)是在四轮的制动中，在其它的执行元件驱动节点300或执行 元件400为异常的时候，由前二轮和后二轮的其中之一的制动器制动车辆 地选择控制程序的表。
另外，表(b)是在四轮的制动中，在其它的执行元件驱动节点300 或执行元件400为异常的时候，由处于对角线上的前一轮和后一轮的制动 器制动车辆地选择控制程序的表。
另外，在这些表中，其前提是，在由前二轮或后二轮、或者处于对角 线上的前一轮和后一轮的其中之一的制动器不能制动车辆的时候，解放由 全执行元件400形成的制动，并且驾驶员通过油压机构制动车辆。
当然，即使在这样的情况下，通过剩下的正常的执行元件400也可以 执行车辆制动。
另外，在没有油压机构的备份的时候，即使在由前二轮或后二轮、或 者处于对角线上的前一轮和后一轮的其中之一的制动器不能制动车辆的 时候，也需要通过剩下的正常的执行元件400执行车辆制动。通过在这些 时候控制内燃机的旋转数降低车辆的速度，抑制制动的单侧效应带来的影 响是理想的。
在控制程序选择完成后，返回到使用图45的说明中，进行制动力的 运算并执行制动控制(B4)，其后，进行实际的制动力的取入和故障信息 收集(B5)。
图48是表示制动的开始时期的操作量生成节点100和执行元件驱动 节点300的动作的时间图。横轴表示从左向右时间的经过。
首先，操作量生成节点100在检测驾驶员的制动踏板的踏入后，对四 轮的执行元件驱动节点300发送制动开始通知(1810)。
各执行元件驱动节点300在接收了制动开始通知后，使用故障检测功 能210C执行自己的故障诊断和执行元件400的故障诊断(1820)，将诊 断结果通过应答短信息发送到操作量生成节点100(1830)。另外，各执 行元件驱动节点300相互接收其它的诊断结果。
操作量生成节点100接收各执行元件驱动节点300的诊断结果，根据 故障节点的有无和故障节点的位置来选择应该制动控制的车轮(1840)。 另外，在执行元件驱动节点300没发送诊断结果的时候，该节点看作发生 故障的节点。或者，也可以再次发送制动开始通知一次至数次试从执行元 件驱动节点300给出的诊断结果发送。
操作量生成节点100，运算对于应该控制的车轮的目标操作量 (1850)，并对作为对象的执行元件驱动节点300发送操作量指令值120 (1860)。
各执行元件驱动节点300，在接收操作量指令值120后，更新制动力 控制的目标值并执行执行元件400的制动力控制(1870)。
另外，各执行元件驱动节点300，在一定的周期将执行元件400的制 动力的检测和由故障检测功能210C检测的定期的诊断结果、通过应答短 信息发送到操作量生成节点100(1880)。这时，各执行元件驱动节点300 也相互接收其它的诊断结果。
图49是表示制动控制中的操作量生成节点100和执行元件驱动节点 300的动作的时间图。横轴表示从左向右时间的经过。
操作量生成节点100按每个控制周期(A)执行以下的处理。
首先，操作量生成节点100接收从各执行元件驱动节点300给出的应 答短信息(1910)，参照包含在应答短信息中的各执行元件驱动节点300 的故障诊断结果，确认各执行元件驱动节点300和执行元件400的异常的 有无和异常处，选择应该制动控制的各执行元件驱动节点300(1920)。
接着，操作量生成节点100运算对于应该制动控制的车轮的目标操作 量(1930)，对作为对象的执行元件驱动节点300发送操作量指令值120 (1940)。
另外，在图49中，通过操作量生成节点100检测驾驶员的制动踏板 的踏入而对四轮的执行元件驱动节点300发送制动开始通知，开始制动控 制，但如果以驾驶员的制动踏板的踏入的有无作为驾驶员的要求量的差 异，则与驾驶员的制动踏板的踏入的有无无关，而使操作量生成节点100 总是如图49所示在控制周期(A)能够反复执行一系列的处理。
图50是选择执行制动控制的车轮用的流程图。
首先，操作量生成节点100对自己的异常发生由以下的条件进行判定 (步骤S2010)。
条件1：由自己的故障检测功能210B检测诊断的结果、故障。
条件2：没有接收到从三个以上的执行元件驱动节点300给出的应答 短信息。
在以上的条件1、条件2中，在至少一个成立时，操作量生成节点100 判断为异常，对执行元件驱动节点300发送故障检测通知230的同时(步 骤S2040)，停止操作量指令值120的发送(步骤S2050)。
另外，在条件1、条件2都不成立的时候，操作量生成节点100判断 为正常，对执行元件驱动节点300或执行元件400的异常发生，用以下的 条件判定(步骤S2020)。
条件3：从执行元件驱动节点300接收故障检测通知。
条件4：没有接收从两个以下的执行元件驱动节点300给出的应答短 信息。
在上述的条件3和条件4都不成立的时候，全部执行元件驱动节点 300和执行元件400判断为正常，执行四轮全部的制动力控制(步骤 S2070)。
对此，在条件3和条件中，在其任何一个成立的时候，执行元件驱动 节点300或执行元件400判断为异常，为了避开制动器的单侧效应，参照 后述的制动车轮选择表(2030)，执行由选择的车轮给出的制动力控制(步 骤S2060)。
如以上说明，操作量生成节点100基于条件1至条件4判定自己的异 常、执行元件驱动节点300或执行元件400的异常，自己如果为正常，则 使用正常的执行元件驱动节点300、避开制动器的单侧效应地执行制动控 制，自己如果是异常，停止自己制动控制，移动到由执行元件驱动节点 300实行的自律的制动控制。
另外，上述的条件，由于根据车辆系统的形态及各个构成要素的形态 而不同，所以也可以使用根据它们的条件。另外，从执行元件驱动节点 300给出的应答短信息的未接收，不是直接地判断为异常，也可以在为二 次以上未接收时判断为异常。
图51(a)、(b)表示制动车轮选择表。
表(a)是，在四轮的制动中，在执行元件驱动节点300或执行元件 400为异常的时候，由前二轮或后二轮的其中之一的制动器制动车辆地选 择控制制动车轮的表。
表(b)是，在四轮的制动中，在其它的执行元件驱动节点300或执 行元件400为异常的时候，由处于对角线上的前一轮和后一轮的制动器制 动车辆地选择制动车轮的表。
另外，在这些表中虽没有表示，但其前提是，在由前二轮或后二轮、 或者处于对角线上的前一轮和后一轮的其中之一的制动器不能制动车辆 的时候，操作量生成节点100解放全执行元件400的制动运算操作量指令 120，驾驶员通过油压制动车辆。
当然，即使在这样的情形，也可以通过剩下的正常的执行元件400 执行车辆制动地运算操作量指令120。
另外，在没有油压的备份机构的时候，即使在由前二轮或后二轮、或 者处于对角线上的前一轮和后一轮的其中之一的制动器不能制动车辆的 时候，也需要通过剩下的正常的执行元件400执行车辆制动。通过在这些 时候控制内燃机的旋转数降低车辆的速度，可抑制制动的单侧效应带来的 影响是理想的。
图52是表示在制动的开始时期，左后轮的执行元件驱动节点300或 执行元件400发生故障时的操作量生成节点100和执行元件驱动节点300 的动作的时间图。横轴表示从左向右时间的经过。
另外，在本时间图中，操作量生成节点100是基于图51所示的制动 车轮选择表(a)来选择执行制动力控制的车轮的节点。
首先，操作量生成节点100在检测到驾驶员的制动踏板的踏入后，对 四轮的执行元件驱动节点300发送制动开始通知(2210)。
各执行元件驱动节点300在接收到制动开始通知后，使用故障检测功 能210C执行自己的故障诊断和执行元件400的故障诊断(2220)，将诊 断结果通过应答短信息发送到操作量生成节点100(2230)。这时，左后 轮的执行元件驱动节点300将检测故障通过应答短信息传递给操作量生 成节点100。另外，各执行元件驱动节点300相互接收其它的诊断结果。
操作量生成节点100，接收各执行元件驱动节点300的诊断结果，并 检测左后轮的执行元件驱动节点300发生了故障，由前二轮执行制动控制 选择车轮(2240)。
操作量生成节点100，运算对于前二轮的目标操作量(2250)，在向 前二轮的执行元件驱动节点300发送操作量指令值120的同时，对于后二 轮的执行元件驱动节点300发送解放制动力的操作量指令值120(2260)。
前二轮的执行元件驱动节点300，在接收到操作量指令值120后，更 新制动力控制的目标值并执行执行元件400的制动力控制。另外，右后轮 的执行元件驱动节点300，在接收到操作量指令值120后，更新制动力控 制的目标值并执行执行元件400的制动力控制，但由于操作量指令值120 是解放制动力的值，所以实际上不发生制动力。
另外左后轮的执行元件驱动节点300，由于检测自己的故障的结果、 选择控制程序(Z)，所以不发生制动力(2270)。
图53是表示在制动控制中左后轮的执行元件驱动节点300或执行元 件400发生故障时的操作量生成节点100和执行元件驱动节点300的动作 的时间图。横轴表示从左向右时间的经过。
另外，在本时间图中，操作量生成节点100是基于图51所示的制动 车轮选择表(a)选择执行制动力控制的车轮的节点。
首先，操作量生成节点100，接收从各执行元件驱动节点300给出的 应答短信息，从包含在应答短信息中的各执行元件驱动节点300的故障诊 断结果，检测左后轮的执行元件驱动节点300发生了故障(2310)，由前 二轮执行制动控制地选择车轮(2320)。
接着，操作量生成节点100，运算对于应该制动控制的车轮的目标操 作量(2330)，在向前二轮的执行元件驱动节点300发送操作量指令值120 的同时，对于后二轮的执行元件驱动节点300发送解放制动力的操作量指 令值120(2240)。
前二轮的执行元件驱动节点300，在接收到操作量指令值120后，更 新制动力控制的目标值并执行执行元件400的制动力控制。另外，右后轮 的执行元件驱动节点300，在接收到操作量指令值120后，更新制动力控 制的目标值并执行执行元件400的制动力控制，但由于操作量指令值120 是解放制动力的值，所以实际上不发生制动力。
另外，左后轮的执行元件驱动节点300，检测自己的故障的结果，由 于选择控制程序(Z)不发生制动力(2270)。
以上，如使用图52和图53说明的那样，即使在任意的执行元件驱动 节点300或执行元件400发生故障的时候，操作量生成节点100使用正常 的前二轮或后二轮的执行元件驱动节点300制动车辆，为此生成操作量指 令值120，所以能够避开制动的单侧效应。
图54是表示在制动控制中一时发生故障的左后轮的执行元件驱动节 点300或执行元件400恢复时的操作量生成节点100和执行元件驱动节点 300的动作的时间图。横轴表示从左向右时间的经过。
另外，在本时间图中，操作量生成节点100是基于图51所示的制动 车轮选择表(a)来选择执行制动力控制的车轮的节点。
操作量生成节点100，由于左后轮的执行元件驱动节点300发生故障， 所以由前二轮执行制动控制选择车轮，在对前二轮的执行元件驱动节点 300发送操作量指令值120的同时，对于后二轮的执行元件驱动节点300 发送解放制动力的操作量指令值120(2410)。
各执行元件驱动节点300，使用故障检测功能210C执行自己的故障 诊断和执行元件400的故障诊断，将诊断结果通过应答短信息发送到操作 量生成节点100(2420)。这时，左后轮的执行元件驱动节点300，在故障 恢复时，将控制程序从(Z)切换成(X)，基于解放制动力的操作量指令 值120，在将制动力维持在解放状态的同时，将故障已恢复通过应答短信 息通知操作量生成节点100。另外，各执行元件驱动节点300相互接收其 它的诊断结果。
操作量生成节点100接收各执行元件驱动节点300的诊断结果，检测 左后轮的执行元件驱动节点300的故障已恢复，由四轮执行制动控制、选 择车轮(2430)。
操作量生成节点100，运算对于四轮的目标操作量(2440)，向四轮 的执行元件驱动节点300发送操作量指令值120(2450)。
前二轮的执行元件驱动节点300，在接收到操作量指令值120后，更 新制动力控制的目标值并执行执行元件400的制动力控制。另外，右后轮 的执行元件驱动节点300也在接收到新的操作量指令值120后，更新制动 力控制的目标值并执行执行元件400的制动力控制。进而，左后轮的执行 元件驱动节点300也接收到新的操作量指令值120后，更新制动力控制的 目标值并执行执行元件400的制动力控制。
以上，如使用图54说明的那样，即使在一时发生故障的执行元件驱 动节点300或执行元件400已恢复的时候，由于操作量生成节点100根据 执行元件驱动节点300或执行元件400的正常/异常而生成操作量指令值 120，所以不发生制动的单侧效应就能够恢复到正常的控制状态。
图55是表示在制动控制中操作量生成节点100发生故障时的执行元 件驱动节点300的动作的时间图。横轴表示从左向右时间的经过。
另外，在本时间图中，执行元件驱动节点300是基于图47所示的控 制程序选择表(a)来选择控制程序的节点。
操作量生成节点100，在通过故障检测功能210B检测到故障时，停 止操作量指令值120的发送，发送故障检测通知230(2510)。
各执行元件驱动节点300，在接收到故障检测通知230时，发送应答 短信息，相互确认故障检测通知230的接收，判断操作量生成节点100 为异常(2520)。
各执行元件驱动节点300，在判断操作量生成节点100为异常时，将 控制程序(X)切换成控制程序(Y)，基于驾驶员要求信号200来执行制 动力控制。
以上，如使用图55说明的那样，即使在操作量生成节点100发生故 障的时候，各执行元件驱动节点300相互确认操作量生成节点100的故障 发生，以整体切换控制程序、使用驾驶员要求信号200来制动车辆，所以 能够维持车辆的制动控制。
图56是表示在制动控制中一时发生故障的操作量生成节点100恢复 时的操作量生成节点100和执行元件驱动节点300的动作的时间图。横轴 表示从左向右时间的经过。
另外，在本时间图中，执行元件驱动节点300，是基于图47所示的 控制程序选择表(a)来选择控制程序的节点。
执行元件驱动节点300，由于操作量生成节点100发生故障，所以使 用控制程序(Y)，并基于驾驶员要求信号200来执行制动力控制。
操作量生成节点100，在故障恢复时，接收从各执行元件驱动节点300 给出的应答短信(2610)，参照包含在应答短信中的各执行元件驱动节点 300的故障诊断结果来确认各执行元件驱动节点300和执行元件400有无 异常和异常处，并选择应该制动控制的各执行元件驱动节点300(2620)。
接着，操作量生成节点100，运算对于应该制动控制的车轮的目标操 作量(2630)，对作为对象的执行元件驱动节点300发送操作量指令值120 (2640)。另外，操作量生成节点100，也可以为了将故障己恢复通知执 行元件驱动节点300，一起发送故障恢复通知。
各执行元件驱动节点300，在接收到操作量指令值120后，发送应答 信息相互确认操作量指令值120的接收，判断操作量生成节点100为正常 (2650)。这时，也可以以故障恢复通知的接收来判断是否操作量生成节 点100为正常。
各执行元件驱动节点300，在判断操作量生成节点100为正常时，将 控制程序(Y)切换成控制程序(X)，并基于操作量指令值120来执行制 动力控制。
以上，如使用图56说明的那样，即使在一时发生故障的操作量生成 节点100已恢复的时候，由于各执行元件驱动节点300根据操作量生成节 点100的正常/异常来切换控制程序，所以不发生制动的单侧效应能够恢 复到正常的控制状态。
图57是表示，在制动控制中操作量生成节点100和左后轮的执行元 件驱动节点300或执行元件400发生故障时的执行元件驱动节点300的动 作的时间图。横轴表示从左向右时间的经过。
另外，在本时间图中，执行元件驱动节点300是基于图47所示的控 制程序选择表(a)来选择控制程序的节点。
操作量生成节点100，当通过故障检测功能210B检测出故障时，停 止操作量指令值120的发送，发送故障检测通知230(2510)。另外，左 后轮的执行元件驱动节点300，在通过故障检测功能210B检测出故障时， 将控制程序(X)切换成控制程序(Z)。
各执行元件驱动节点300，在接收到故障检测通知230时，发送应答 短信息并相互确认故障检测通知230的接收。这时，发生故障的左后轮的 执行元件驱动节点300使用应答短信息将检测到故障通知其它的执行元 件驱动节点300(2720)。
由此，其它的执行元件驱动节点300，判断操作量生成节点100和左 后轮的执行元件驱动节点300为异常，并基于控制程序选择表(a)来选 择控制程序。
左右前轮的执行元件驱动节点300，将控制程序(X)切换成控制程 序(Y)，基于驾驶员要求信号200来执行制动力控制。另外，右后轮的 执行元件驱动节点300，将控制程序(X)切换成控制程序(Z)并解放制 动力。
以上，如使用图57说明的那样，即使在操作量生成节点100和执行 元件驱动节点300发生故障的时候，各执行元件驱动节点300相互确认操 作量生成节点100和执行元件驱动节点300的故障发生，由于根据发生故 障的各执行元件驱动节点300的地方切换控制程序、适当地执行使用驾驶 员要求信号200的制动力控制或制动力的解放，所以在避开制动的单侧效 应的同时能够维持车辆的制动控制。
在以上说明中，以制动为例说明了操作量生成节点100和执行元件驱 动节点300的动作，但本发明也同样能够适用于转向。
在舵角控制用的执行元件驱动节点300或执行元件400发生故障时， 舵角控制用的执行元件驱动节点300将故障检测通知发送到操作量生成 节点100和其它的执行元件驱动节点300。
并且，操作量生成节点100在接收到从舵角控制用的执行元件驱动节 点300给出的故障检测通知时，如果舵角控制用的执行元件驱动节点300 和执行元件400多重化，则对正常的舵角控制用的执行元件驱动节点300 发送操作量指令值120，能够继续操舵控制。或者以通过制动的右车轮和 左车轮的制动力差产生车辆的旋转运动的方式，对舵角控制用的执行元件 驱动节点300发送操作量指令值120也能够继续操舵控制。
另外，在发生操作量生成节点100的故障的时候，操作量生成节点 100将故障检测通知发送到各执行元件驱动节点300。并且，舵角控制用 的执行元件驱动节点300取入传感器500的驾驶员要求信号200而能够继 续进行操舵控制。
另外，在舵角控制用的执行元件驱动节点300或执行元件400发生故 障时，由于制动控制用的执行元件驱动节点300接收到从舵角控制用的执 行元件驱动节点300给出的故障检测通知或者没接收应答短信息，则检测 舵角控制用的执行元件驱动节点300的故障，以传感器500的驾驶员要求 信号200为基础，通过制动的右车轮和左车轮的制动力差产生车辆的旋转 运动，通过应答短信息相互参照各个操作量，同时也能够继续操舵控制。
在以上说明中，对具有操作量生成节点100和执行元件驱动节点300 的车辆控制装置进行了叙述，但本发明如在图58中所示，不使用操作量 生成节点100，对用各执行元件驱动节点300控制车辆的车辆控制装置也 有效。
本实施例的车辆控制装置中的执行元件驱动节点300，选择控制程序 (Y)或控制程序(Z)的其中之一来控制执行元件400，但该控制程序的 选择，在车辆控制装置的上述的实施例中，与操作量生成节点100发生故 障的情形相同。
由此，通过独立动作的执行元件驱动节点300边相互协调、同时控制 执行元件400，即使在没有操作量生成节点100的时候，也能够实现安全 的车辆控制装置。
(实施例9)
下面，使用图59～图61，对本发明的车辆控制装置的实施例9进行 说明。
图58表示实施例9中的车辆控制装置的基本构成。车辆控制装置， 由检测驾驶员的要求的传感器500、执行元件400、操作量生成节点100、 和执行元件驱动节点300构成。
其中，检测驾驶员的要求的传感器500、操作量生成节点100、和执 行元件驱动节点300，分别具有故障检测功能210A、210B、210C。执行 元件驱动节点300的故障检测功能210C不仅是自己诊断功能，也具有检 测执行元件400的故障的功能。
操作量生成节点100，基于驾驶员的要求信号200和车辆状态信号201 来运算操作量指令值120。接收该操作量指令值120，执行元件驱动节点 300控制执行元件400，执行车辆的驱动、操舵、、制动等。
故障检测功能210A、210B、210C在检测了节点内或执行元件400 的故障时，向节点外部输出通知自己为故障状态的故障检测通知230。当 具有故障检测功能的节点全部是故障状态时，除去输出该故障检测通知 230以外，停止向外部的输出。即构成为故障无反应。
另外，各节点具有数据接收表9100。在这里省略说明，但同样也具 有数据发送表。装入到发送表的数据，以在系统中预先决定的周期输出到 其它节点。另外，相反从其它的节点接收的数据暂时被储存到数据接收表 中，根据节点的控制周期读出而被利用。
各节点的连接除去图59所示的信号线的连接以外，也可以取以时间 分割使用共同的通信路的总线构成或网络构成。在此实施例中，能够由多 个节点接收从一个节点输出的数据。各故障检测功能210A、210B、210C 根据该数据接收表的内容，推定其它节点的状态，另外，也有将此推定结 果报告到多个节点的功能。
图60是记载数据接收表9100的具体例的图。具有区别发送出处、进 一步区别发送事项的短信息号码信息组9101。这也可以是实际的信息组， 也可以是在短信息中预先分配的特定的地址，也可以没有实态的信息组。
在数据接收表9100的其它的信息组中，具有表示该短信息的有效性 的有效信息组9102、记录该短信息发出时刻的时刻信息组9103、短信息 数据信息组9104、故障投票信息组9105。
在从各节点输出的短信息中包含这些信息，以在接收节点预先决定的 信息组区分来储存到表中。
另外，由于在该节点对于不需要的短信息就不需要储存，所以如在图 60中的短信息号码(No.2)，从开始能够使有效信息组为无效(0)。另 外，在控制时不需要，但单纯地仅为了信号监视也能够为有效。当然，在 有从各节点给出的故障检测通知230的时候被反映到数据信息组中，能够 进行是否有效的判定。
使用图61说明其他节点的故障诊断方法。在这里，表示操作量生成 节点发生故障的情形，但有关其以外的节点也同样。
首先，取出对应操作量生成节点的短信息号码信息组(步骤S2110)。 在该信息组为地址的实施例的情形时，通过对该地址访问可达到目的。
接着，参照数据接收表9100的有效信息组9102，如果有效并且更新 时刻信息组9103，则使用从操作量生成节点给出的数据9104进行控制。 在这里，以是否更新，例如，自节点具有的时刻信息(now)和各短信息 的时刻信息组(time)9103的差是否是预先确定的一定值(limit)以内来 判定(步骤S2120)。
返回到图60说明时，包含在节点5的短信息中的时刻，比其它的节 点落后，为差分50以上。判断为以此为基础没有动作。在通过这些方法 判定为不是有效的时候，表示操作量生成节点没正常地动作，使用从其以 外的节点发送的信息进行控制(步骤S2140)。对此，在判定为有效的时 候，使用从操作量生成节点发送的信息进行控制(步骤S2130)。
其后，为了将判定结果通知其它节点而进行故障投票输出(步骤 S2150)。这是作为故障投票信息组储存的。数据接收表9100的故障投票 信息组9105，以2进位数表现，从左按顺序对应短信息号码。在图60的 例中除去节点5的有效的节点，全部判定为节点5发生了故障(vote＝1)。
虽然仅节点5自身给出正常(vote＝0)的输出，但被确定的算法， 例如，由多数逻辑判定节点5认定为无效，使有效信息组无效化(步骤 S2160、步骤S2170)。
在没有动作的节点复活的时候，例如，通过不理想状的解除、自动复 位等来实现，其它情形也通过基于其它节点的观察结果的投票决定复活。
由此，施加控制的全节点同时能够接受节点5，按各系统的部分能够 避开控制方法不同的状况的发生。
另外，复活的情形的投票算法，也可以选择与故障认定的算法不同的 方法，例如，全节点一致也能够认定复活。另外，进行故障投票，为了在 系统中共有状态，即使是执行元件节点也进行输出处理。
以上，该实施例不是限定于上述的例子，能够以各种形态实施。例如， 生成控制指令的指令控制器，不一定需要集中在一个上，也可以由多个指 令控制器构成。
如图62所示，也可以是下述的构成，取入方向盘角度传感器3000-2 的信息将方向盘角度信息D3000输出到网络上的传感器控制器3000-1， 和取入制动踏板位置传感器3001-2的信息将制动踏板踏入量的D3001输 出到网络的传感器控制器3001-1，和使舵角控制电动马达3002-2动作的 执行元件控制器3002-1，和使电动制动钳动作的执行元件控制器3003-1， 和综合控制器A(3010-1)，和综合控制器B(3010-2)，由车内网络N3000 连接。
通过采取这样的构成，通过物理地离开计算目标制动力D3010-2的 指令控制器3010-2，和计算目标舵角D3010-1的指令控制器3010-1的配 置，综合控制功能完全可以降低失去的确立。
本发明的车辆控制装置可得到如下的效果。
(1)即使在不能使用车辆运动综合控制装置的时候，也可以进行驾 驶员的操纵装置和车辆控制装置的通信，具有按照驱动意图能够执行车辆 控制的效果。
(2)在车辆控制装置中，在于不论哪个节点发生故障的时候，正常 的节点基于发生故障的节点发送的故障通知，通过切换控制，可在系统全 体能够防备错误，所以对各个节点的冗长度不提高到所需要以上，则能够 以低成本实现非常高可靠性的车辆控制装置。
(3)通过对由驾驶员实行的操作量由生成的节点所生成的修正量进 行修正，作为结果能够为适当的转向操作、制动操作，能够达到车辆的稳 定化。
(4)在修正量生成节点发生故障的时候，使功能退缩不用修正量能 够进行按驾驶员操作的动作。
(5)对于为了修正量生成需要高度的信息处理，操作量的生成以能 够比较简单的信息处理即可完成。因此，修正量生成节点，要求与操作量 生成节点10比较，部件个数增加，操作频率增高要求电、热富裕量少的 动作。其结果，修正量生成节点20与操作量生成节点比较故障率变高。 从而，避开由故障率更高的修正量生成节点的故障带来的影响，本发明的 效果特别大。
(6)即使在操作量生成节点发生故障的时候，由于执行元件驱动节 点检测操作量生成节点的异常、切换控制程序继续车辆控制，所以不需要 操作量生成节点的多重化，能够实现安全且低成本的车辆控制装置。
(7)由于在执行元件驱动节点间相互检测异常、并切换到适当的控 制程序，所以例如能够避开制动的单侧效应等危险的车辆运动，即使在操 作量生成节点发生故障的状态下也能够维持安全的车辆控制。