CN108885570B - 车辆控制装置 - Google Patents

车辆控制装置 Download PDF

Info

Publication number
CN108885570B
CN108885570B CN201780022591.4A CN201780022591A CN108885570B CN 108885570 B CN108885570 B CN 108885570B CN 201780022591 A CN201780022591 A CN 201780022591A CN 108885570 B CN108885570 B CN 108885570B
Authority
CN
China
Prior art keywords
fail
arithmetic device
access
vehicle control
tendency
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201780022591.4A
Other languages
English (en)
Other versions
CN108885570A (zh
Inventor
月馆统宙
蛯名朋仁
石乡冈祐
成泽文雄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Publication of CN108885570A publication Critical patent/CN108885570A/zh
Application granted granted Critical
Publication of CN108885570B publication Critical patent/CN108885570B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/52Program synchronisation; Mutual exclusion, e.g. by means of semaphores
    • G06F9/526Mutual exclusion algorithms
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/16Handling requests for interconnection or transfer for access to memory bus
    • G06F13/1605Handling requests for interconnection or transfer for access to memory bus based on arbitration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/16Handling requests for interconnection or transfer for access to memory bus
    • G06F13/1605Handling requests for interconnection or transfer for access to memory bus based on arbitration
    • G06F13/1652Handling requests for interconnection or transfer for access to memory bus based on arbitration in a multiprocessor architecture
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/52Program synchronisation; Mutual exclusion, e.g. by means of semaphores
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • B60R16/0232Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Debugging And Monitoring (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)

Abstract

本发明提供能够抑制高负荷时的访问竞争引起的功能停止的车辆控制装置,本发明的车辆控制装置使用对共享存储区域进行的排他控制的执行次数和作为其结果而生成的访问竞争次数所表达的函数,来判断访问竞争产生的趋势。

Description

车辆控制装置
技术领域
本发明涉及控制车辆动作的车辆控制装置。
背景技术
近年来,汽车系统等嵌入式系统由于多功能化而运算量逐年增加,嵌入式系统中要求的CPU(Central Processing Unit:中央处理器)的性能一味增加。在个人电脑领域,相对于这样的处理量的增加,通过增加作为运算装置的CPU的核数(多核化)来对应。嵌入式系统领域也不例外,在汽车导航和移动电话等运算量多、实时性的制约比较弱的消费者体系中多核化正在进步。随着汽车控制系统等嵌入式控制系统的高度化、复杂化,可以预见它们的运算量会超过单核的界限,因此多核的采用正被研究。
另一方面,为了容易进行汽车行业的软件质量水平的统一和安全性证明,在2011年出台了功能安全标准ISO26262(以下称为功能安全标准)。在本标准中,在包含硬件、软件在内的整个系统中都规定了故障率计算方法和软件设计方法等。车辆控制装置要遵循该标准需要提出安全确保的依据。一般通过将现有设计中的见解和实绩作为证据汇总来遵循该标准。
在功能安全标准ISO26262中,谋求防止安全要求不同的软件间的干扰。因为一般的车辆控制装置由各种各样的控制应用构成,所以近年来着眼于用于防止构成时间保护功能、存储器保护功能等系统的软件间的相互作用的结构方式。例如为在某个软件失控的情况下防止该软件访问储存有其它软件使用的数据的储存器,破坏其数据的功能。
当对一般的车辆控制装置应用功能安全标准ISO26262时,可知在车辆控制装置内混有各种各样的ASIL(Automotive Safety Integrity Level:汽车安全完整性等级)的软件。因此,为了使得已有的软件遵循功能安全标准,需要防止软件间的干扰的结构方式和与此相关的处理的高速化、轻量化、可靠性提高等技术。
下述专利文献1记载有对共享资源的排他控制。在该文献中,为了分析对共享资源的访问竞争的状态正常与否,该分析对象程序获得共享资源的访问权限(锁定),测量锁定的获得所需的锁定获得所需时间。蓄积规定的数量的最近的锁定获得所需时间,基于该蓄积的锁定获得所需时间,计算作为锁定获得所需时间而容许的容许范围。在最新的锁定获得所需时间包含于该容许范围内的情况下,分析为对共享资源的访问竞争的状态正常。
现有技术文献
专利文献
专利文献1:日本特开2009-251871号公报
发明内容
发明所要解决的问题
多核系统能够通过使得各核独立地动作而并行地实施运算处理。另一方面,在各核共享存储区域的情况下,在核间产生对其存储区域的访问竞争。设计成如果产生访问竞争则一方通过排他控制等待另一方的执行处理完成。在车辆控制装置中,当对高负荷的处理导入排他控制时,越是高负荷时利用排他控制的等候时间越增加。如此,则存在车辆控制陷入功能停止的可能性。
本发明是鉴于上述那样的问题而完成的,其目的在于,提供能够抑制高负荷时的访问竞争引起的功能停止车辆控制装置。
用于解决问题的技术方案
本发明的车辆控制装置使用对共享存储区域的排他控制的执行次数和作为其结果而生成的访问竞争次数所表达的函数,来判断发生访问竞争的趋势。
发明的效果
根据本发明的车辆控制装置,能够抑制对高负荷时的共享存储区域的访问竞争引起的功能停止,提高安全性、可用性。
附图说明
图1是实施方式1的车辆控制装置(ECU)1的结构图。
图2是表示存储区域5储存的参数表50100的结构和数据例的图。
图3是表示存储区域5储存的记录表50200的结构和数据例的图。
图4是表示容许竞争次数表50300的结构和数据例的图。
图5是表示竞争记录表50400的结构和数据例的图。
图6是说明第1运算装置控制部401的动作的流程图。
图7是说明计时控制部402的动作的流程图。
图8是说明第1周期处理部403的动作的流程图。
图9是说明排他控制部404的动作的流程图。
图10是竞争诊断部405的动作流程。
图11是说明异常判断部406的动作的流程图。
图12是说明竞争趋势判断部407的动作的流程图。
图13是说明故障安全部408的动作的流程图。
图14是说明第2运算装置控制部409的动作的流程图。
图15是说明第2周期处理部410的动作的流程图。
图16是说明第2排他控制部411的动作的流程图。
图17是表示实施方式2的参数表50100的结构和数据例的图。
具体实施方式
<实施方式1>
图1是本发明的实施方式1的车辆控制装置(ECU)1的结构图。ECU1是控制例如电动机控制装置等那样的车辆的动作的装置,包括第1运算装置2、第2运算装置3、程序区域4、存储区域5、输入输出电路6。此处,作为ECU1所连接的设备,例示节气门传感器7和致动器8,不过并不限定于此。
第1运算装置2和第2运算装置3是执行程序区域4所储存的程序的运算装置。第1运算装置2和第2运算装置3能够并行执行程序区域4所储存的程序,进一步,能够对程序区域4和存储区域5并行地进行访问。
程序区域4例如是在ROM(Read Only Memory:只读存储器)等非易失性存储装置上构成的存储区域。程序区域4储存有第1运算装置控制部401、计时控制部402、第1周期处理部403、排他控制部404、竞争诊断部405、异常判断部406、竞争趋势判断部407、故障安全部408、第2运算装置控制部409、第2周期处理部410、第2排他控制部411。
存储区域5例如是在RAM(Ramdom Access Memory:随机存取存储器)等存储装置上的存储区域。存储区域5临时储存第1运算装置2和第2运算装置3执行控制运算时使用的数据。存储区域5还存储有后述的使用图2~图5说明的数据表。第1运算装置2和第2运算装置3能够分别并行地对程序区域4和存储区域5进行访问。因而,存在产生访问竞争的可能性。
图2是表示存储区域5储存的参数表50100的结构和数据例的图。参数表50100是保存ECU1实施控制运算时使用的设定参数的数据表。为了便于记载,本表储存在存储区域5内,不过也可以储存于其它存储装置。参数表50100具有名称字段50101、设定值字段50102。
名称字段50101保存参数表50100所管理的数据的名称。设定值字段50102保存参数的设定值。图2所示的各参数的详细情况与后述的各程序的动作一起说明。
图3是表示存储区域5储存的记录表50200的结构和数据例的图。记录表50200是储存ECU1实施控制运算的过程中的各变数(变量)的当前值数据表。记录表50200具有名称字段50201、当前值字段50202。
名称字段50201保存记录表50200所管理的变数的名称。当前值字段50202保存变数的当前值。图3所示的各数据的详细情况与后述的各程序的动作一起说明。
图4是表示容许竞争次数表50300的结构和数据例的图。容许竞争次数表50300是记述对应于对第1运算装置2和第2运算装置3共享的资源(例如存储区域5)进行的排他控制的执行次数、容许产生访问竞争的次数的数据表。本数据表例如能够预先基于实验等制作而成。为了便于进行记载,本表储存在存储区域5内,不过也可以储存在其它存储装置上。容许竞争次数表50300具有计时器值字段50301、执行次数字段50302、容许竞争次数字段50303。
计时器值字段50301保存定时计数器的值(相当于时刻)。执行次数字段50302在各时刻保存从开始时刻起累计预定执行的排他控制的执行次数而得到的值。容许竞争次数字段50303保存作为各时刻的访问竞争次数的累计值而容许的值。
图5是表示竞争记录表50400的结构和数据例的图。竞争记录表50400是记录通过进行排他控制产生的访问竞争的数据表。竞争记录表50400具有计时器值字段50401、排他控制执行次数字段50402、竞争次数字段50403。
计时器值字段50401保存定时计数器的值(相当于时刻)。排他控制执行次数字段50402保存被执行的排他控制的开始时刻至各时刻为止的累计值。竞争次数字段50403保存各时刻的访问竞争次数的累计值。
图6是说明第1运算装置控制部401的动作的流程图。第1运算装置控制部401例如按每规定周期执行本流程图。以下,对图6的各步骤进行说明。
(图6:步骤S401000)
第1运算装置控制部401将存储区域5所储存的记录表50200初始化。初始化的对象既可以是整个记录表50200,也可以仅为第1运算装置控制部401参照的值。
(图6:步骤S401001)
第1运算装置控制部401调用计时控制部402。计时控制部402的动作在后述的图7中进行说明。计时控制部402具有更新定时计数器的作用。
(图6:步骤S401002)
第1运算装置控制部401调用第1周期处理部403。第1周期处理部403的动作在后述的图8中进行说明。第1周期处理部403具有控制第1运算装置2执行处理的周期的作用。
(图6:步骤S401003)
第1运算装置控制部401调用竞争诊断部405。竞争诊断部405的动作在后述的图10中进行说明。竞争诊断部405具有诊断在第1运算装置2与第2运算装置3之间是否产生访问竞争的作用。
(图6:步骤S401004)
第1运算装置控制部401调用故障安全部408。故障安全部408的动作在后述的图13中进行说明。故障安全部408具有根据访问竞争的状况执行故障安全处理的作用。
(图6:步骤S401005)
第1运算装置控制部401判断是否满足结束条件。若满足则结束本流程图,若未满足则返回至步骤S401001。
图7是说明计时控制部402的动作的流程图。以下,对图7的各步骤进行说明。
(图7:步骤S402000)
计时控制部402从记录表50200取得定时计数器的当前值字段50202。计时控制部402进一步从参数表50100取得最大定时计数器的设定值字段50102。计时控制部402对所取得的定时计数器与最大定时计数器进行比较。若定时计数器为最大定时计数器以上则前进至步骤S402001,在其它情况下前进至步骤S402002。
(图7:步骤S402001)
计时控制部402将0代入记录表50200的定时计数器的当前值字段50202。
(图7:步骤S402002)
计时控制部402将在记录表50200的定时计数器的当前值字段50202加上1而得到的值写入。
(图7:步骤S402000~S402002:补充)
这些步骤是用于将定时计数器按每规定周期(此处为最大定时计数器)归零而重新从0开始计数的处理。
图8是说明第1周期处理部403的动作的流程图。以下,对图8的各步骤进行说明。
(图8:步骤S403000)
第1周期处理部403从记录表50200取得定时调整标识的当前值字段50202。在设置了定时调整标识的情况下前进至步骤S403001,在其它情况下前进至步骤S403003。定时调整标识是在后述的图13中设置的标识。
(图8:步骤S403001)
第1周期处理部403从参数表50100取得第1运算装置周期之2的设定值字段50102。第1周期处理部403进一步从记录表50200取得定时计数器的当前值字段50202。第1周期处理部403求取将定时计数器除以第1运算装置周期之2得到的余数。若余数为0则前进至步骤S403002,若为其它数则结束本流程图。
(图8:步骤S403002)
第1周期处理部403将记录表50200的定时调整标识的当前值字段50202清除(例如写入0)。
(图8:步骤S403001~S403002:补充)
通过这些步骤,第1运算装置2执行控制运算的周期被临时变更。在产生访问竞争时,通过设置后述的定时调整标识而经由这些步骤变更第1运算装置2的执行定时,能够实现访问竞争的消除。调整执行定时的方法并不限定于此。例如能够考虑(a)并不是临时而是经常改变执行定时、(b)非固定期间地执行周期处理等方法。
(图8:步骤S403003)
第1周期处理部403从参数表50100取得第1运算装置周期之1的设定值字段50102。第1周期处理部403进一步从记录表50200取得定时计数器的当前值字段50202。第1周期处理部403求取将定时计数器除以第1运算装置周期之1而得到。若余数为0则前进至步骤S403004,若为其它数则结束本流程图。
(图8:步骤S403004)
第1周期处理部403调用排他控制部404。排他控制部404的动作在后述的图9中进行说明。排他控制部404具有从第1运算装置2一侧实施对于第1运算装置2和第2运算装置3共享访问的资源(例如存储区域5)的排他控制的作用。
图9是说明排他控制部404的动作的流程图。以下,对图9的各步骤进行说明。
(图9:步骤S404000)
排他控制部404通过在记录表50200的排他控制执行计数器的当前值字段50202加上1而更新排他控制执行次数。
(图9:步骤S404001)
排他控制部404参照记录表50200的资源的当前值字段50202。该字段保存有表示第1运算装置2和第2运算装置3共享访问的资源(例如存储区域5)是否能够访问的标识保持。
通过参照该标识,能够判断是否能够获得该资源。若不能获得资源则前进至步骤S404002,若能获得则前进至步骤S404003。
(图9:步骤S404002)
排他控制部404通过在记录表50200的资源竞争计数器的当前值字段50202加上1而更新访问竞争次数。本步骤之后既可以返回至步骤S404000重新尝试资源获得,也可以结束本流程图等待下一执行周期。在图9中例示前者。
(图9:步骤S404003)
排他控制部404将记录表50200的资源的当前值字段50202更新为不可访问的意思的标识。排他控制部404通过执行将共享资源锁定的处理(临界区处理),在对所获得的共享资源进行排他控制的基础上,实施规定的控制运算。
(图9:步骤S404004)
排他控制部404将记录表50200的资源的当前值字段50202更新为能够访问的意思的标识。
图10是竞争诊断部405的动作流程。以下,对图10的各步骤进行说明。
(图10:步骤S405000)
竞争诊断部405从记录表50200取得定时计数器的当前值字段50202。竞争诊断部405进一步从参数表50100取得诊断执行周期的设定值字段50102。竞争诊断部405求取将定时计数器除以诊断执行周期而得到的余数。若余数为0则前进至步骤S405001,若为其它则结束本流程图。
(图10:步骤S405001)
竞争诊断部405调用异常判断部406。异常判断部406的动作在后述的图11中进行说明。异常判断部406具有判断ECU1是否因访问竞争而陷入异常状态的作用。
(图10:步骤S405002)
竞争诊断部405从记录表50200取得状态等级的当前值字段50202。若状态等级为0则前进至步骤S405003,若为其它则结束本流程图。
(图10:步骤S405003)
竞争诊断部405调用竞争趋势判断部407。竞争趋势判断部407的动作在后述的图12中进行说明。竞争趋势判断部407具有判断访问竞争产生的趋势达到了什么程度的作用。
图11是说明异常判断部406的动作的流程图。以下,对图11的各步骤进行说明。
(图11:步骤S406000)
异常判断部406从参数表50100取得异常判断阈值的设定值字段50102。异常判断部406进一步从记录表50200取得资源竞争计数器的当前值字段50202。若资源竞争计数器大于异常判断阈值则前进至步骤S406001,若为其它则结束本流程图。
(图11:步骤S406001)
异常判断部406将记录表50200的状态等级的当前值字段50202更新为访问竞争重大的意思的值。在访问竞争的产生次数(资源竞争计数器)超过异常判断阈值的情况下,能够看做访问竞争大量产生而超过容许范围。在本实施方式1中,以状态等级=2来表示该意思。
图12是说明竞争趋势判断部407的动作的流程图。以下,对图12的各步骤进行说明。
(图12:步骤S407000)
竞争趋势判断部407取得记录表50200的定时计数器的当前值字段50202(表示当前时刻)。竞争趋势判断部407通过从竞争记录表50400取得与当前时刻对应的记录及其记录的竞争次数字段50403,取得当前时刻的访问竞争趋势。
(图12:步骤S407001)
竞争趋势判断部407取得与容许竞争次数表50300当前时刻对应的记录及其记录的容许竞争次数字段50303。竞争趋势判断部407判断访问竞争趋势是否超过容许竞争次数。在超过的情况下前进至步骤S407002,在其它情况下结束本流程图。
(图12:步骤S407002)
竞争趋势判断部407将记录表50200的状态等级的当前值字段50202更新为访问竞争存在产生的趋势的意思的值。这是因为,在任一时刻竞争次数字段50403超过容许竞争次数字段50303的情况下,至少在该时刻访问竞争超过容许范围。在本实施方式1中,以状态等级=1表示该意思。
图13是说明故障安全部408的动作的流程图。以下,对图13的各步骤进行说明。
(图13:步骤S408000)
故障安全部408取得记录表50200的状态等级的当前值字段50202。若状态等级为2以上则前进至步骤S408001,在其它情况下前进至步骤S408002。
(图13:步骤S408001)
故障安全部408通过重新起动以下任一项来实施故障安全处理:(a)第1运算装置2,(b)第1运算装置2和第2运算装置3,(c)整个ECU1。
(图13:步骤S408002)
故障安全部408取得记录表50200的状态等级的当前值字段50202。若状态等级为1以上则前进至步骤S408003,在其它情况下结束本流程图。
(图13:步骤S408003)
故障安全部408设置记录表50200的定时调整标识的当前值字段50202(例如写入1)。
图14是说明第2运算装置控制部409的动作的流程图。第2运算装置控制部409例如按每规定周期执行本流程图。以下,对图14的各步骤进行说明。
(图14:步骤S409000)
第2运算装置控制部409对存储区域5所储存的数据表进行初始化。初始化的对象既可以为整个数据表,也可以仅为第2运算装置控制部409参照的值。不过本步骤的对象并不是第1运算装置控制部401初始化的数据表(例如记录表50200等),而仅为第2运算装置3使用的数据足以。
(图14:步骤S409001)
第2运算装置控制部409调用第2周期处理部410。第2周期处理部410的动作在后述的图15中进行说明。第2周期处理部410具有控制第2运算装置3执行处理的周期的作用。
(图14:步骤S409002)
第2运算装置控制部409判断是否已满足结束条件。若满足则结束本流程图,若未满足则返回至步骤S409001。
图15是说明第2周期处理部410的动作的流程图。以下,对图15的各步骤进行说明。
(图15:步骤S410000)
第2周期处理部410从记录表50200取得定时计数器的当前值字段50202。第2周期处理部410进一步从参数表50100取得第2运算装置周期的设定值字段50102。第2周期处理部410求取将定时计数器除以第2运算装置周期而得到的余数。若余数为0则前进至步骤S410001,若为其它则结束本流程图。
(图15:步骤S410001)
第2周期处理部410调用第2排他控制部411。第2排他控制部411的动作在后述的图16中进行说明。第2排他控制部411具有从第2运算装置3一侧实施对第1运算装置2和第2运算装置3共享访问的资源(例如存储区域5)进行的排他控制的作用。
图16是说明第2排他控制部411的动作的流程图。以下,对图16的各步骤进行说明。
(图16:步骤S411000)
第2排他控制部411通过参照记录表50200的资源的当前值字段50202,判断是否能够获得该资源。若不能获得资源则在例如等待规定时间后重复进行本步骤。若能够获得资源则前进至步骤S411001。
(图16:步骤S411001)
第2排他控制部411将记录表50200的资源的当前值字段50202更新为不可访问的意思的标识。排他控制部404通过执行将共享资源锁定的处理(临界区处理),在对所获得的共享资源进行排他控制的基础上,实施规定的控制运算。
(图16:步骤S411002)
第2排他控制部411将记录表50200的资源的当前值字段50202更新为能够访问的意思的标识。
<实施方式1:总结>
在本实施方式1的ECU1,在访问竞争次数超过规定的基准值(容许竞争次数表50300记述的容许竞争次数50303)的情况下,通过设置定时调整标识(S408003),临时变更第1运算装置2的执行周期。由此,能够避免在负荷变高时ECU1由于访问竞争而陷入动作停止状态。
<实施方式2>
在实施方式1中,根据每个访问竞争次数的时刻的累计值是否超过容许竞争次数50303,判断访问竞争的趋势。在本发明的实施方式2中,代之以根据访问竞争概率的增加率是否超过阈值来判断访问竞争的趋势。其它结构与实施方式1相同,因此以下以差异点为中心进行说明。
图17是表示本实施方式2的参数表50100的结构和数据例的图。在本实施方式2中,参数表50100新保存“容许竞争趋势”的设定值。以下对本参数的意义进行说明。
在访问竞争的累计值在某个时刻超过容许范围的情况下,在实施方式1中令状态等级=1,临时变更第1运算装置2的执行周期。但是认为访问竞争常见的趋势并不限定于此。例如在访问竞争产生的概率瞬间增加的情况下,设想在不久的将来访问竞争会超过容许范围。因此,在本实施方式2中,捕捉该瞬间的访问竞争概率的增加,提前改变第1运算装置2的执行周期,避免竞争。
为了实现上述内容,首先,在本实施方式2中定义为“竞争概率=访问竞争次数/排他控制执行次数”。因为访问竞争次数和排他控制执行次数分别与定时计数器协同计量,所以竞争概率成为时刻的函数。通过对该竞争概率进行时间微分,能够计算出竞争概率的瞬间变动。将该时间微分值用作本实施方式2中的访问竞争趋势。具体而言,竞争趋势判断部407在步骤S407000计算出上述时间微分值即可。在步骤S407001,竞争趋势判断部407将计算出的时间微分值与“容许竞争趋势”的设定值字段50102进行比较,由此能够判断出访问竞争趋势。在时间微分值超过容许竞争趋势的情况下,在步骤S407002令状态等级=1。
<实施方式2:总结>
本实施方式2的ECU1捕捉访问竞争概率的瞬间的增加,在访问竞争超过容许范围之前,临时改变预先第1运算装置2的执行周期。由此,能够提前防止产生访问竞争而ECU1陷入动作停止状态。
<关于本发明的变形例>
本发明并不限定于上述的实施方式,而包括各种各样的变形例。例如,上述的实施方式为了将本发明说明得容易明白而进行了详细的说明,但是并不一定限定于包括所说明的所有结构。此外,能够将一个实施方式的结构的一部分替换到另一个实施例方式的结构,此外,还能够在一个实施方式的结构中加入另一个实施方式的结构。此外,能够对各实施方式的结构的一部分进行其它结构的追加、削除、替换。
在以上的实施方式中,ECU1具备2个运算装置,不过运算装置的个数并不限定于2个。1个外壳内具备3个以上处理器或者处理器核的系统、由具有处理器核的多个外壳构成的系统也是本发明的对象。
在以上的实施方式中,作为ECU1的结构例示了图1,不过也可以具备其它结构。例如还能够具备用于保存数据的非易失性存储器(备用RAM)、使得各运算装置能够高速地访问的本地存储器、图1中例示的以外的传感器等。
在实施方式1中根据每个访问竞争次数的时刻的累计值判断访问竞争趋势,在实施方式2中根据竞争概率的时间微分判断访问竞争趋势,不过还能够将它们组合起来使用。例如考虑如下方式:确定以每个访问竞争次数的时刻的累计值和竞争概率的时间微分为变数评价函数,在该评价函数超过阈值的情况下,令状态等级=1。
在以上的实施方式中,在访问竞争趋势变高的情况下令状态等级=1,在竞争次数的累计值超过异常判断阈值的情况下令状态等级=2,不过还能够设置更多的状态等级。例如,考虑与每个访问竞争次数的时刻的累计值及竞争概率的时间微分值相应地将状态等级=1细分。在这种情况下,还能够实施按每个状态等级不同的故障安全处理。
在以上的实施方式中,基于访问竞争的趋势及其判断结果的异常判断由竞争诊断部405/异常判断部406/竞争趋势判断部407分担实施,不过这只不过是为了便于处理而进行的角色分担,所以也可以将这些功能部的全部或一部分一体地构成。
在以上的实施方式中,对临时变更第1运算装置2的执行周期进行了说明,对第2运算装置3也可以同样临时地变更执行周期。
附图标记说明
1:ECU、2:第1运算装置、3:第2运算装置、4:程序区域、401:第1运算装置控制部、402:计时控制部、403:第1周期处理部、404:排他控制部、405:竞争诊断部、406:异常判断部、407:竞争趋势判断部、408:故障安全部、409:第2运算装置控制部、410:第2周期处理部、411:第2排他控制部、5:存储区域、50100:参数表、50200:记录表、50300:容许竞争次数表、50400:竞争记录表。

Claims (13)

1.一种控制车辆的动作的车辆控制装置,其特征在于,包括:
执行用来控制所述车辆的动作的控制运算的第1运算装置和第2运算装置;
所述第1运算装置和所述第2运算装置都能访问的共享存储区域;
排他控制部,其执行排他控制,使得所述第1运算装置和所述第2运算装置彼此排他地对所述共享存储区域进行访问;和
异常判断部,其基于所述排他控制部执行的所述排他控制的结果,判断所述第1运算装置和所述第2运算装置对所述共享存储区域进行访问时发生访问竞争的趋势,
所述异常判断部对用所述排他控制的执行次数和访问竞争次数表达的函数与规定的判断阈值进行比较,来判断所述发生访问竞争的趋势,其中,所述访问竞争次数是作为所述排他控制的结果而生成的,
所述异常判断部使用由所述访问竞争次数相对于所述执行次数的比例所定义的竞争概率和从开始进行所述排他控制起的经过时间所表达的竞争概率函数作为所述函数,
所述异常判断部对所述竞争概率函数的时间微分与所述判断阈值进行比较来判断所述发生访问竞争的趋势,
确定以访问竞争次数的每个时刻的累计值和竞争概率的时间微分为变数的评价函数,在该评价函数超过阈值的情况下,将所述车辆控制装置的状态等级设定为表示访问竞争趋势变高的等级。
2.如权利要求1所述的车辆控制装置,其特征在于:
所述异常判断部使用表示对应于所述执行次数的所容许的所述访问竞争次数的容许竞争次数作为所述判断阈值,
所述异常判断部对所述容许竞争次数与所述访问竞争次数进行比较来判断所述发生访问竞争的趋势。
3.如权利要求1所述的车辆控制装置,其特征在于:
所述异常判断部使用将所述访问竞争次数、由所述访问竞争次数相对于所述执行次数的比例所定义的竞争概率、由从开始进行所述排他控制起的经过时间所表达的竞争概率函数组合而得到的复合函数作为所述函数,
所述异常判断部对所述复合函数与所述判断阈值进行比较来判断所述发生访问竞争的趋势。
4.如权利要求2所述的车辆控制装置,其特征在于:
所述车辆控制装置包括控制所述第1运算装置执行所述控制运算的周期的周期控制部,
所述异常判断部在所述访问竞争次数超过了所述判断阈值时判断为所述发生访问竞争的趋势超过了容许范围,
所述周期控制部在所述异常判断部判断为所述发生访问竞争的趋势超过了容许范围时暂时改变所述第1运算装置执行所述控制运算的周期。
5.如权利要求1所述的车辆控制装置,其特征在于:
所述车辆控制装置包括控制所述第1运算装置执行所述控制运算的周期的周期控制部,
所述异常判断部在所述竞争概率函数的时间微分超过了所述判断阈值时判断为所述发生访问竞争的趋势超过了容许范围,
所述周期控制部在所述异常判断部判断为所述发生访问竞争的趋势超过了容许范围时暂时改变所述第1运算装置执行所述控制运算的周期。
6.如权利要求3所述的车辆控制装置,其特征在于:
所述车辆控制装置包括控制所述第1运算装置执行所述控制运算的周期的周期控制部,
所述异常判断部在所述复合函数超过了所述判断阈值时判断为所述发生访问竞争的趋势超过了容许范围,
所述周期控制部在所述异常判断部判断为所述发生访问竞争的趋势超过了容许范围时暂时改变所述第1运算装置执行所述控制运算的周期。
7.如权利要求1所述的车辆控制装置,其特征在于:
所述车辆控制装置包括执行故障安全处理的故障安全部,
所述故障安全部在所述访问竞争次数的累计值超过规定的累计阈值的情况下执行所述故障安全处理。
8.如权利要求2所述的车辆控制装置,其特征在于:
所述车辆控制装置包括执行故障安全处理的故障安全部,
所述异常判断部在所述访问竞争次数超过了所述判断阈值时判断为所述发生访问竞争的趋势超过了容许范围,
所述故障安全部在所述异常判断部判断为所述发生访问竞争的趋势超过了容许范围时,作为所述故障安全处理暂时改变所述第1运算装置执行所述控制运算的周期。
9.如权利要求1所述的车辆控制装置,其特征在于:
所述车辆控制装置包括执行故障安全处理的故障安全部,
所述异常判断部在所述竞争概率函数的时间微分超过了所述判断阈值时判断为所述发生访问竞争的趋势超过了容许范围,
所述故障安全部在所述异常判断部判断为所述发生访问竞争的趋势超过了容许范围时,作为所述故障安全处理暂时改变所述第1运算装置执行所述控制运算的周期。
10.如权利要求3所述的车辆控制装置,其特征在于:
所述车辆控制装置包括执行故障安全处理的故障安全部,
所述异常判断部在所述复合函数超过了所述判断阈值时判断为所述发生访问竞争的趋势超过了容许范围,
所述故障安全部在所述异常判断部判断为所述发生访问竞争的趋势超过了容许范围时,作为所述故障安全处理暂时改变所述第1运算装置执行所述控制运算的周期。
11.如权利要求7所述的车辆控制装置,其特征在于:
所述故障安全部作为所述故障安全处理将所述第1运算装置重新起动。
12.如权利要求7所述的车辆控制装置,其特征在于:
所述故障安全部作为所述故障安全处理将所述第1运算装置和所述第2运算装置重新起动。
13.如权利要求7所述的车辆控制装置,其特征在于:
所述故障安全部作为所述故障安全处理将所述车辆控制装置重新起动。
CN201780022591.4A 2016-06-24 2017-06-14 车辆控制装置 Active CN108885570B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2016125241A JP6895719B2 (ja) 2016-06-24 2016-06-24 車両制御装置
JP2016-125241 2016-06-24
PCT/JP2017/021907 WO2017221778A1 (ja) 2016-06-24 2017-06-14 車両制御装置

Publications (2)

Publication Number Publication Date
CN108885570A CN108885570A (zh) 2018-11-23
CN108885570B true CN108885570B (zh) 2021-11-19

Family

ID=60784754

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780022591.4A Active CN108885570B (zh) 2016-06-24 2017-06-14 车辆控制装置

Country Status (5)

Country Link
US (1) US10597040B2 (zh)
EP (1) EP3477474A4 (zh)
JP (1) JP6895719B2 (zh)
CN (1) CN108885570B (zh)
WO (1) WO2017221778A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6895719B2 (ja) * 2016-06-24 2021-06-30 日立Astemo株式会社 車両制御装置
JP6995644B2 (ja) * 2018-01-23 2022-01-14 日立Astemo株式会社 電子制御装置
EP3783495B1 (en) * 2018-04-19 2023-10-18 Murata Machinery, Ltd. Exclusive control system and exclusive control method
JP7172193B2 (ja) * 2018-07-02 2022-11-16 コニカミノルタ株式会社 画像形成装置およびプログラム

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102804149A (zh) * 2010-03-18 2012-11-28 富士通株式会社 多核处理器系统、仲裁电路控制方法以及仲裁电路控制程序
CN103329102A (zh) * 2011-01-18 2013-09-25 丰田自动车株式会社 多处理器系统
CN103676925A (zh) * 2012-09-18 2014-03-26 日立汽车系统株式会社 车辆控制装置及车辆控制系统
CN104094233A (zh) * 2012-02-23 2014-10-08 日立汽车系统株式会社 车辆用控制装置
JP2016007920A (ja) * 2014-06-24 2016-01-18 住友電気工業株式会社 車両の制御装置、車両、及び車両の駐車決定方法
JP2016081204A (ja) * 2014-10-15 2016-05-16 三菱電機株式会社 電子制御装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004017676A (ja) * 2002-06-12 2004-01-22 Denso Corp 車両用通信システム、初期化装置及び車両用制御装置
JP2005242408A (ja) 2004-02-24 2005-09-08 Matsushita Electric Ind Co Ltd 共有メモリアクセス制御方法
JP2009048224A (ja) * 2007-08-13 2009-03-05 Fujitsu Ltd メモリコントローラ及びプロセッサシステム
JP2009251871A (ja) * 2008-04-04 2009-10-29 Nec Corp 競合分析装置、競合分析方法、およびプログラム
JP5625379B2 (ja) * 2010-02-16 2014-11-19 日本電気株式会社 ロック競合管理装置、ロック競合管理方法およびプログラム
WO2011114478A1 (ja) * 2010-03-17 2011-09-22 富士通株式会社 生成方法、スケジューリング方法、生成プログラム、スケジューリングプログラム、生成装置、および情報処理装置
JP2013239116A (ja) 2012-05-17 2013-11-28 Denso Corp ノード及び分散システム
JP5960632B2 (ja) 2013-03-22 2016-08-02 日立オートモティブシステムズ株式会社 車両用電子制御装置
CN105683906B (zh) * 2013-10-14 2018-11-23 国际商业机器公司 用于利用锁省略和锁定的选择进行数据共享的自适应处理
JP6895719B2 (ja) * 2016-06-24 2021-06-30 日立Astemo株式会社 車両制御装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102804149A (zh) * 2010-03-18 2012-11-28 富士通株式会社 多核处理器系统、仲裁电路控制方法以及仲裁电路控制程序
CN103329102A (zh) * 2011-01-18 2013-09-25 丰田自动车株式会社 多处理器系统
CN104094233A (zh) * 2012-02-23 2014-10-08 日立汽车系统株式会社 车辆用控制装置
CN103676925A (zh) * 2012-09-18 2014-03-26 日立汽车系统株式会社 车辆控制装置及车辆控制系统
JP2016007920A (ja) * 2014-06-24 2016-01-18 住友電気工業株式会社 車両の制御装置、車両、及び車両の駐車決定方法
JP2016081204A (ja) * 2014-10-15 2016-05-16 三菱電機株式会社 電子制御装置

Also Published As

Publication number Publication date
JP2017228192A (ja) 2017-12-28
US10597040B2 (en) 2020-03-24
EP3477474A4 (en) 2020-03-04
US20190143999A1 (en) 2019-05-16
WO2017221778A1 (ja) 2017-12-28
EP3477474A1 (en) 2019-05-01
JP6895719B2 (ja) 2021-06-30
CN108885570A (zh) 2018-11-23

Similar Documents

Publication Publication Date Title
CN108885570B (zh) 车辆控制装置
US10503582B2 (en) Method and computer system for fault tolerant data integrity verification of safety-related data
DE102011005209A1 (de) Programmanweisungsgesteuerte Instruktionsflusskontrolle
US10571295B2 (en) Method and device for monitoring an avionics software application via its execution duration, related computer program and avionics system
US11023578B2 (en) Method and electronic device for monitoring an avionics software application, related computer program and avionics system
CN112732474B (zh) 故障处理方法及装置、电子设备、计算机可读存储介质
JP5962697B2 (ja) 電子制御装置
CN112068960A (zh) 一种cpu资源分配方法、装置、存储介质及设备
US9009537B2 (en) Diagnostic data capture in a computing environment
RU2603497C2 (ru) Способ управления исполнением задачи в компьютерной системе
JP6502211B2 (ja) 車両制御装置
JP2016066139A (ja) 車両制御装置
CN103823711A (zh) 在Java虚拟机中提供相对定时的方法及装置
GB2504496A (en) Removing code instrumentation based on the comparison between collected performance data and a threshold
US10102052B2 (en) Dumping resources
CN110832459B (zh) 车辆控制装置
US10514970B2 (en) Method of ensuring operation of calculator
JP7032548B2 (ja) 制御装置
DE102013224365A1 (de) Verfahren für einen sicheren Hochfahrablauf eines elektronischen Systems
CN114326670B (zh) 控制器执行任务的检测方法、装置、存储介质及电子装置
CN112883925B (zh) 一种人脸图像处理方法、装置及设备
JP5942904B2 (ja) 処理装置
US20240232052A1 (en) Method and apparatus for monitoring - with contention mitigation - avionics application(s) running on a platform with multi-core processor, related electronic avionics system and computer program
CN106293983B (zh) 一种检测服务器是否正常运行的方法
US9658913B2 (en) Method for continuous operation of controller functionality during transient frame overrun

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: Ibaraki

Applicant after: Hitachi astemo Co.,Ltd.

Address before: Ibaraki

Applicant before: HITACHI AUTOMOTIVE SYSTEMS, Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant