Die vorliegende Erfindung betrifft eine Fahrzeugsteuereinheit zum Steuern eines Fahrzustands eines Fahrzeugs.The present invention relates to a vehicle control unit for controlling a driving state of a vehicle.
In Fahrzeugen der jüngsten Jahre ist es typisch, einen Fahrzustand des Fahrzeugs durch elektronisches Steuern unterschiedlicher Aktuatoren wie eines Kraftstoffinjektionsventils, einer Zündungseinrichtung und dergleichen zu steuern. Insbesondere berechnet eine zentrale Verarbeitungseinheit (Central Processing Unit, CPU) eine Kraftstoffinjektionsbetrag, eine Zündzeitgebung und dergleichen gemäß Steuerinformationen und Steueroperationen unterschiedlicher Aktuatoren basierend auf Berechnungsergebnissen.In recent years vehicles, it is typical to control a running state of the vehicle by electronically controlling various actuators such as a fuel injection valve, an ignition device, and the like. Specifically, a central processing unit (CPU) calculates a fuel injection amount, an ignition timing and the like according to control information and control operations of different actuators based on calculation results.
JP H11 - 505 587 A beschreibt, dass eine Inspektion (interne Inspektion) für eine Abnormalität von Steuerinformationen gemäß einem Überwachungsprogramm ausgeführt wird und dass eine Inspektion (externe Inspektion) für eine Abnormalität eines Mikrocomputers (Hauptmikrometers), der die Steuerinformationen und das Überwachungsprogramm speichert, durch einen Backup-Mikrocomputer ausgeführt wird. JP H11 - 505 587 A describes that an inspection (internal inspection) for an abnormality of control information is carried out according to a monitoring program, and an inspection (external inspection) for an abnormality of a microcomputer (main micrometer) storing the control information and the monitoring program is executed by a backup microcomputer becomes.
Wenn eine Abnormalität durch die interne Inspektion oder die externe Inspektion erfasst wird, ist eine Ausfallsicherheitssteuerung zum Verhängen einer Beschränkung für Steuerinhalte unterschiedlicher Aktuatoren erforderlich. Jedoch, obwohl ein Ansteigen der Möglichkeiten zum Verhängen der Beschränkung oder ein Ansteigen des Beschränkungsbetrags eine Verlässlichkeit einer Steuerung verbessert, reduziert dies signifikant eine Verfügbarkeit einer Steuerung.When an abnormality is detected by the internal inspection or the external inspection, a fail-safe control for imposing a restriction on control contents of different actuators is required. However, although increasing the ability to impose the restriction or increase the restriction amount improves reliability of control, it significantly reduces availability of control.
Darüber hinaus beschreiben DE 10 2011 009 588 A1 und DE 10 2009 042 604 A1 Fahrzeugsteuereinheiten, die über Überwachungsmittel zur Überwachung einer Speichereinheit verfügen.In addition, describe DE 10 2011 009 588 A1 and DE 10 2009 042 604 A1 Vehicle control units having monitoring means for monitoring a storage unit.
Die vorliegende Erfindung ist hinsichtlich des Vorhergehenden gemacht. Es ist eine Aufgabe der vorliegenden Erfindung, eine Fahrzeugsteuereinheit bereitzustellen, die eine angemessene Ausfallsicherheitssteuerung abhängig davon machen kann, welcher Speicherbereich einer Speichereinrichtung eine Abnormalität aufweist.The present invention is made in view of the foregoing. It is an object of the present invention to provide a vehicle control unit that can make an adequate fail-safe control depending on which storage area of a storage device has an abnormality.
Gemäß einem ersten Aspekt der vorliegenden Erfindung beinhaltet eine Fahrzeugsteuereinheit ein Fahrzeugsteuermittel, ein erstes Überwachungsmittel und ein zweites Überwachungsmittel. Das Fahrzeugsteuermittel führt eine Steuerung eines Fahrzustands bzw. Antriebszustands des Fahrzeugs gemäß Steuerinformationen durch, die in einer Speichereinrichtung gespeichert sind. Gemäß ersten Überwachungsinformationen, die in der Speichereinrichtung gespeichert sind, überwacht das erste Überwachungsmittel, ob die Steuerung durch das Fahrzeugsteuermittel normal ausgeführt wird. In Antwort auf ein Erfassen einer Abnormalität durch die Überwachung verhängt das erste Überwachungsmittel eine erste Beschränkung für einen Inhalt der Steuerung, die durch das Fahrzeugsteuermittel ausgeführt wird. Gemäß einem abnormalen Zustand der Speichereinrichtung verhängt das zweite Überwachungsmittel eine zweite Beschränkung für den Inhalt der Steuerung, die durch das Fahrzeugsteuermittel ausgeführt wird. Das zweite Überwachungsmittel beinhaltet ein Bestimmungsmittel und ein Ausfallsicherheitssteuermittel. Das Bestimmungsmittel bestimmt, welcher eines ersten Bereichs und eines zweiten Bereichs der Speichereinrichtung eine Abnormalität aufweist, wobei der erste Bereich die Steuerinformationen speichert und der zweite Bereich die ersten Überwachungsinformationen speichert. Das Ausfallsicherheitssteuermittel variiert einen Inhalt der zweiten Beschränkung gemäß einem Ergebnis der Bestimmung, die durch das Bestimmungsmittel gemacht wird.According to a first aspect of the present invention, a vehicle control unit includes a vehicle control means, a first monitoring means, and a second monitoring means. The vehicle control means performs control of a driving state of the vehicle according to control information stored in a storage device. In accordance with first monitoring information stored in the memory means, the first monitoring means monitors whether the control by the vehicle control means is normally performed. In response to detecting an abnormality by the monitoring, the first monitoring means imposes a first restriction on a content of the control executed by the vehicle control means. According to an abnormal state of the storage device, the second monitoring means imposes a second restriction on the content of the control executed by the vehicle control means. The second monitoring means includes a determining means and a fail-safe control means. The determining means determines which of a first area and a second area of the storage device has an abnormality, the first area storing the control information and the second area storing the first monitoring information. The fail-safe control means varies a content of the second restriction according to a result of the determination made by the determining means.
Gemäß der vorstehenden Fahrzeugsteuereinheit kann der Inhalt der zweiten Beschränkung für eine Steuerung (Fahrzeugsteuerung) eines Fahrzeugfahrzustands abhängig davon variieren, welcher des ersten Bereichs, der die Steuerinformationen speichert, und des zweiten Bereichs, der die Überwachungsinformationen speichert, eine Abnormalität aufweist. Demnach ist es in dem Fall der Abnormalität des ersten Bereichs möglich, die Verlässlichkeit der Fahrzeugsteuerung durch Verhängen der starken zweiten Beschränkung zu verbessern. In dem Fall der Abnormalität des zweiten Bereichs ist es möglich, die Verfügbarkeit der Fahrzeugsteuerung durch Verhängen der schwachen ersten Beschränkung aufrechtzuerhalten. Auf diese Weise ist es abhängig davon, welcher Speicherbereich der Speichereinrichtung eine Abnormalität aufweist, möglich, eine angemessene Ausfallsicherheitssteuerung auszuführen.According to the above vehicle control unit, the content of the second constraint for vehicle control control (vehicle control) may vary depending on which of the first area storing the control information and the second area storing the monitoring information has an abnormality. Thus, in the case of the abnormality of the first area, it is possible to improve the reliability of the vehicle control by imposing the strong second constraint. In the case of the abnormality of the second area, it is possible to maintain the availability of the vehicle control by imposing the weak first restriction. In this way, depending on which memory area of the memory device has an abnormality, it is possible to execute an adequate fail-safe control.
Die vorstehende und weitere Aufgaben, Merkmale und Vorteile der vorliegenden Offenbarung werden aus der nachfolgenden detaillierten Beschreibung in Zusammenschau mit den Zeichnungen ersichtlich.The above and other objects, features and advantages of the present disclosure will become apparent from the following detailed description taken in conjunction with the drawings.
Es zeigen:
- 1 ein Blockdiagramm, das eine Fahrzeugsteuereinheit einer ersten Ausführungsform illustriert;
- 2 ein Ablaufdiagramm, das eine erste Ausfallsicherheitssteuerung (Ausfallsicherheit wird nachfolgend und in den Figuren auch mit AS abgekürzt) durch ein Überwachungsprogramm von 1 illustriert;
- 3 ein Ablaufdiagramm, das eine dritte AS-Steuerung illustriert, die durch eine Ebene 3-Software von 1 ausgeführt wird;
- 4 ein Ablaufdiagramm, das eine ROM-Überprüfung illustriert, die durch die Ebene 3-Software von 1 ausgeführt wird;
- 5 ein Ablaufdiagramm, das eine RAM-Überprüfung illustriert, die durch die Ebene 3-Software von 1 ausgeführt wird;
- 6 ein Ablaufdiagramm, das eine Anweisungsüberprüfung illustriert, die durch die Ebene 3-Software von 1 ausgeführt wird; und
- 7 eine Fehlerübertragungsverarbeitung, die durch die Ebene 3-Software von 1 ausgeführt wird.
Show it: - 1 a block diagram illustrating a vehicle control unit of a first embodiment;
- 2 a flowchart illustrating a first fail-safe control (fail-safety is described below and in the figures also with AS abbreviated) by a monitoring program of 1 illustrated;
- 3 a flowchart illustrating a third AS control by a level 3 software of 1 is performed;
- 4 a flowchart illustrating a ROM check by the level 3 software of 1 is performed;
- 5 a flowchart illustrating a RAM check by the level 3 software of 1 is performed;
- 6 a flowchart illustrating an instruction check by the level 3 software of 1 is performed; and
- 7 an error transfer processing by the level 3 software of 1 is performed.
Nachfolgend wird eine Fahrzeugsteuereinheit gemäß einer ersten Ausführungsform mit Bezug auf die Zeichnungen illustriert.Hereinafter, a vehicle control unit according to a first embodiment will be illustrated with reference to the drawings.
Eine elektronische Steuereinheit (Electronic Control Unit, ECU) 10, die in 1 illustriert ist, steuert einen Fahrzustand des Fahrzeugs. Insbesondere steuert die ECU 10 elektronisch unterschiedliche Aktuatoren wie beispielsweise ein Drosselventil, ein Kraftstoffinjektionsventil, eine Zündungseinrichtung und dergleichen. Dabei steuert die ECU 10 einen Einlassluftbetrag, der in eine Verbrennungskammer eines Motors eingelassen wird, einen Kraftstoffinjektionsbetrag, eine Kraftstoffinjektionszeitgebung, eine Zündzeitgebung und dergleichen und steuert konsequent eine Motorausgabe, eine Abgasemission und dergleichen. Beispielsweise steuert ein Drosselmotor 20, der in 1 illustriert ist, das Antreiben des Drosselventils. Die ECU 10 berechnet einen erforderlichen Wert THtrg eines Öffnungsgrads des Drosselventils (Drosselöffnungsgrad) basierend auf einem Betrag einer Fahrerbedienung eines Gaspedals, einer Motorgeschwindigkeit oder dergleichen und steuert einen Betrieb des Drosselmotors 20 gemäß dem erforderlichen Wert THtrg.An electronic control unit (ECU) 10 , in the 1 is illustrated controls a driving condition of the vehicle. In particular, the ECU controls 10 electronically different actuators such as a throttle valve, a fuel injection valve, an ignition device and the like. The ECU controls 10 an intake air amount taken in a combustion chamber of an engine, a fuel injection amount, a fuel injection timing, an ignition timing, and the like, and consistently controls engine output, exhaust emission, and the like. For example, a throttle motor controls 20 who in 1 illustrated, driving the throttle valve. The ECU 10 calculates a required value THtrg An opening degree of the throttle valve (throttle opening degree) based on an amount of driver operation of an accelerator pedal, an engine speed, or the like, and controls an operation of the throttle motor 20 according to the required value THtrg ,
Die ECU 10 beinhaltet eine Eingabeeinrichtung (nicht dargestellt) zum Ausführen einer Eingabeverarbeitung für Signale von unterschiedlichen Sensoren, eine Ausgabeeinrichtung (nicht dargestellt) zum Ausgeben von Stellsignalen an unterschiedliche Aktuatoren und einen Mikrocomputer 10MC zum Ausführen einer Verarbeitung basierend auf den eingabeverarbeiteten Signalen. Der Mikrocomputer 10MC beinhaltet eine zentrale Verarbeitungseinheit (Central Processing Unit, CPU) 11, 12, einen ROM 13, der ein nichtflüchtiger Speicher (Speichereinrichtung) ist, und einen RAM 14, der ein flüchtiger Speicher (Speichereinrichtung) ist. Die CPU 11, 12, der ROM 13 und der RAM 14 sind in einem einzelnen integrierten Schaltkreischip integriert. In einem in 1 dargestellten Beispiel beinhaltet der Mikrocomputer 10MC zwei CPUs 11 und 12.The ECU 10 includes input means (not shown) for executing input processing for signals from different sensors, output means (not shown) for outputting actuating signals to different actuators, and a microcomputer 10mc for performing processing based on the input-processed signals. The microcomputer 10mc includes a central processing unit (CPU) 11 . twelve , a ROM 13 which is a nonvolatile memory (memory device) and a RAM 14 which is a volatile memory (memory device). The CPU 11 . twelve , the ROM 13 and the RAM 14 are integrated in a single integrated circuit chip. In an in 1 illustrated example includes the microcomputer 10mc two CPUs 11 and twelve ,
Der ROM 13 speichert ein Motorsteuerprogramm (Steuerinformationen) für die CPU, um den vorstehend erläuterten erforderlichen Wert THtrg oder dergleichen zu verarbeiten. Der ROM 13 speichert ferner eine Motorsteuerkonstante (Steuerinformationen), die für die Verarbeitung erforderlich ist. Der RAM 14 speichert Motorsteuerdaten (Steuerinformationen), die für die CPU 11, 12 verwendet werden, um die Verarbeitung bezüglich der Motorsteuerung auszuführen. Spezifische Beispiele der Motorsteuerdaten beinhalten Erfassungswerte der Motorgeschwindigkeit, der Sauerstoffkonzentration in dem Emissionsgas und dergleichen. Der Mikrocomputer 10MC, der die Motorsteuerung ausführt, kann einem Fahrzeugsteuermittel entsprechen.The ROM 13 stores a motor control program (control information) for the CPU to the required value explained above THtrg or the like to process. The ROM 13 Further stores a motor control constant (control information) required for the processing. The RAM 14 stores motor control data (control information) for the CPU 11 . twelve used to carry out the processing related to the engine control. Specific examples of the engine control data include detection values of the engine speed, the oxygen concentration in the emission gas, and the like. The microcomputer 10mc that executes the engine control may correspond to a vehicle control means.
Der ROM 13 speichert ferner ein Motorsteuerungsüberwachungsprogramm (erste Überwachungsinformationen) zum Überwachen, ob die Motorsteuerung normal in Übereinstimmung mit dem Motorsteuerprogramm ausgeführt wird. Dieses Überwachungsprogramm wird für die CPU 11, 12 verwendet, um eine Verarbeitung für die vorstehend erläuterte Überwachung auszuführen. Der RAM 14 speichert Motorsteuerungsüberwachungsdaten (erste Überwachungsinformationen), die für die CPU 11, 12 verwendet werden, um eine Verarbeitung bezüglich der Überwachung auszuführen.The ROM 13 Further stores a motor control monitoring program (first monitoring information) for monitoring whether the engine control is normally performed in accordance with the engine control program. This monitoring program is for the CPU 11 . twelve used to perform processing for the above-discussed monitoring. The RAM 14 stores engine control monitoring data (first monitoring information) for the CPU 11 . twelve used to perform processing related to the monitoring.
Die CPU 11, 12, die eine Verarbeitung gemäß dem Überwachungsprogramm ausführt, führt eine Ausfallsicherheitsverarbeitung (erste AS-Verarbeitung S10) aus, die in 2 illustriert ist. Der Mikrocomputer 10MC, der die Ausfallsicherheitsverarbeitung ausführt, entspricht einem ersten Überwachungsmittel.The CPU 11 . twelve performing processing according to the monitoring program performs fail-safe processing (first AS processing S10 ), which are in 2 is illustrated. The microcomputer 10mc that performs the fail-safe processing corresponds to a first monitoring means.
Bei S11 in 2 berechnet die CPU 11, 12 die erforderlichen Werte der vorstehend erläuterten unterschiedlichen Aktuatoren (beispielsweise den erforderlichen Wert THtrg des Drosselöffnungsgrads). Bei S12 erlangt die CPU 11, 12 einen Erfassungswert, der einen Operationszustand des Aktuators repräsentiert. Beispielsweise wird ein Erfassungswert THact des Drosselöffnungsgrads erlangt, der mit einem Winkelsensor (nicht dargestellt) erfasst wird.at S11 in 2 calculates the CPU 11 . twelve the required values of the above-described different actuators (for example, the required value THtrg the throttle opening degree). at S12 acquires the CPU 11 . twelve a detection value representing an operation state of the actuator. For example, a detection value THact of the throttle opening degree detected with an angle sensor (not shown).
Bei S13 wird bestimmt, ob oder nicht ein Absolutwert einer Differenz zwischen dem erforderlichen Wert THtrg und dem Erfassungswert THact größer oder gleich einem vorbestimmten Wert ist. Wenn der Absolutwert größer oder gleich dem vorbestimmten Wert ist (S13: JA), fährt die Verarbeitung mit S13 fort. Bei S14 inkrementiert die CPU 11, 12 einen Wert eines Abnormalitätszählers um 1, indem sie befindet, dass die Motorsteuerung nicht normal ausgeführt wird und sich in einem abnormalen Zustand befindet.at S13 is determined whether or not an absolute value of a difference between the required value THtrg and the detection value THact is greater than or equal to a predetermined value. If the absolute value is greater than or equal to the predetermined value ( S13 : YES), the processing continues S13 continued. at S14 increments the CPU 11 . twelve a value of an abnormality counter 1 By finding that the engine control is not normal is executed and is in an abnormal state.
Ein spezifisches Beispiel des abnormalen Zustands ist wie folgt. Aufgrund eines Ausfalls des vorstehend beschriebenen Aktuators operiert der Aktuator mit einem Steuerinhalt, der sich vom angewiesenen Steuerinhalt unterscheidet, und als ein Ergebnis überschreitet eine Differenz zwischen einem Sollwert (erforderliche Wert) und einem Erfassungswert einen vorbestimmten Wert. Der Erfassungswert repräsentiert den Fahrzustand bzw. Antriebszustand des Fahrzeugs wie beispielsweise eine Motorausgabe, eine Abgasemission oder dergleichen.A specific example of the abnormal condition is as follows. Due to a failure of the actuator described above, the actuator operates with a control content different from the commanded control content, and as a result, a difference between a target value (required value) and a detection value exceeds a predetermined value. The detection value represents the driving state of the vehicle such as engine output, exhaust emission or the like.
Ein weiteres spezifisches Beispiel des abnormalen Zustands ist wie folgt. Aufgrund eines Ausfalls des ROM 13 oder des RAM 14 hat die Motorsteuerkonstante oder haben die Motorsteuerdaten einen abnormalen Wert, da sie beispielsweise verstümmelt sind, und demzufolge überschreitet eine Differenz zwischen einem Sollwert und einem Erfassungswert, der den Fahrzustand bzw. den Antriebszustand des Fahrzeugs repräsentiert, einen vorbestimmten Wert.Another specific example of the abnormal condition is as follows. Due to a failure of the ROM 13 or the RAM 14 is the motor control constant or the motor control data has an abnormal value because it is garbled, for example, and thus a difference between a target value and a detection value representing the driving state of the vehicle exceeds a predetermined value.
Wird bei S15 bestimmt, dass der Wert des Abnormalitätszählers größer oder gleich einem vorbestimmten Zählwert ist (S15: JA), fährt die Verarbeitung mit Schritt S16 fort. Bei Schritt S16 wird eine Beschränkung (erste Beschränkung) für den erforderlichen Wert THtrg verhängt, so dass der erforderliche Wert THtrg eine vorab festgelegte obere Grenze nicht überschreitet. Insbesondere wenn der erforderliche Wert, der bei S11 berechnet wird, die erste obere Grenze überschreitet, wird der erforderliche Wert korrigiert, um der ersten oberen Grenze zu entsprechen.Is at S15 determines that the value of the abnormality counter is greater than or equal to a predetermined count value ( S15 : YES), the processing moves to step S16 continued. At step S16 becomes a restriction (first restriction) for the required value THtrg imposed, so the required value THtrg does not exceed a predetermined upper limit. Especially if the required value at S11 is calculated exceeds the first upper limit, the required value is corrected to correspond to the first upper limit.
Auf vorstehende Weise führt der Mikrocomputer 10MC eine normale Ausgabe und eine Ausfallsicherheitsausgabe aus. Bei der normalen Ausgabe gibt der Mikrocomputer 10MC ein Anweisungssignal, das sich auf die Motorsteuerung bezieht, an den Aktuator (Drosselmotor 20) gemäß dem Motorsteuerprogramm aus. Bei der Ausfallsicherheitsausgabe (erste AS-Ausgabe) gibt der Mikrocomputer 10MC ein Ausfallsicherheitssignal, das durch die erste obere Grenze beschränkt ist, an den Aktuator aus. Der Mikrocomputer 10MC, der den Fahrzustand bzw. den Antriebszustand des Fahrzeugs gemäß dem Motorsteuerprogramm steuert, kann als ein Überwachungsmittel funktionieren. Der Mikrocomputer 10MC, der überwacht, ob oder nicht die Motorsteuerung normal gemäß dem Motorsteuerungsüberwachungsprogramm durchgeführt wird, kann als ein erstes Überwachungsmittel funktionieren.In the above manner, the microcomputer performs 10mc a normal issue and a fail-safe issue. At the normal output gives the microcomputer 10mc an instruction signal related to the engine control, to the actuator (throttle motor 20 ) according to the engine control program. At the failsafe output (first AS output) gives the microcomputer 10mc a fail-safe signal, which is limited by the first upper limit, to the actuator. The microcomputer 10mc that controls the driving state of the vehicle according to the engine control program may function as a monitoring means. The microcomputer 10mc That monitors whether or not the engine control is normally performed according to the engine control monitoring program may function as a first monitoring means.
In dieser Hinsicht, wenn der abnormale Zustand aus dem Ausfall des Aktuators resultiert, funktioniert die Ausfallsicherheitssteuerung (die erste AS-Steuerung) durch das Überwachungsprogramm normal. Jedoch, wenn der abnormale Zustand aus dem Ausfall des Mikrocomputers 10MC resultiert, gibt es Bedenken, dass die Ausfallsicherheitssteuerung (die erste AS-Steuerung) durch das Überwachungsprogramm nicht normal funktionieren kann. Um diese Bedenken auszuräumen, beinhaltet die ECU 10 eine Überwachungsschaltung 15 (vergleiche 1), die separat zum Mikrocomputer 10MC vorgesehen ist, um eine zweite Ausfallsicherheitssteuerung (zweite AS-Steuerung) auszuführen.In this regard, when the abnormal state results from the failure of the actuator, the fail-safe control (the first AS control) by the monitoring program functions normally. However, if the abnormal state from the failure of the microcomputer 10mc As a result, there is a concern that the failsafe control (the first AS controller) can not function normally by the supervisor. To remedy these concerns, the ECU includes 10 a monitoring circuit 15 (see 1 ), which are separate to the microcomputer 10mc is provided to perform a second fail-safe control (second AS control).
Die Überwachungsschaltung 15 überwacht, ob eine Abnormalität in dem Mikrocomputer 10MC auftritt. Beim Erfassen der Abnormalität gibt die Überwachungsschaltung 15 (zweite AS-Ausgabe) Ausfallsicherheitssignale an unterschiedliche Aktuatoren wie beispielsweise den Drosselmotor 20 und dergleichen aus. Demzufolge verhängt, sogar wenn die in 2 illustrierte Verarbeitung nicht normal ausgeführt wird, die Überwachungsschaltung 15 eine Beschränkung für eine Operation des Aktuators, und demnach kann das vorstehend beschriebene Bedenken beseitigt werden.The monitoring circuit 15 monitors for any abnormality in the microcomputer 10mc occurs. Upon detecting the abnormality, the monitoring circuit outputs 15 (second AS output) Fail-safe signals to different actuators such as the throttle motor 20 and the like. Consequently imposed, even if the in 2 illustrated processing is not carried out normally, the monitoring circuit 15 a limitation to an operation of the actuator, and thus the above-described concerns can be eliminated.
Eine Konfiguration der Überwachungsschaltung 15 wird spezifisch mit Bezug auf 1 illustriert. Die Überwachungsschaltung 15 beinhaltet einen Komparator 15a, eine ROM-Speicherüberprüfungseinrichtung (Überprüfungseinrichtung für abnormalen Bereich) 15c, eine RAM-Speicherüberprüfungseinrichtung (Überprüfungseinrichtung für abnormalen Bereich) 15c und eine Fehlerverwaltungseinrichtung 15d. Der Komparator 15a vergleicht Verarbeitungsergebnisse der zwei CPUs 11 und 12 miteinander. An die Fehlerverwaltungseinrichtung 15d gibt der Komparator 15a ein Signal aus, das davon abhängt, ob oder nicht die Verarbeitungsergebnisse der zwei CPUs 11 und 12 übereinstimmen. Beispielsweise kann, wenn die zwei CPUs 11 und 12 dieselbe einzelne Verarbeitung ausgeben und die unterschiedlichen Verarbeitungsergebnisse bereitstellen, für mindestens eine der zwei CPUs 11, 12 ein Ausfall diagnostiziert werden.A configuration of the monitoring circuit 15 becomes specific with respect to 1 illustrated. The monitoring circuit 15 includes a comparator 15a a ROM memory checker (abnormal range checker) 15c , a RAM memory checker (abnormal range checker) 15c and a fault management facility 15d , The comparator 15a compares the processing results of the two CPUs 11 and twelve together. To the fault management facility 15d gives the comparator 15a a signal that depends on whether or not the processing results of the two CPUs 11 and twelve to match. For example, if the two CPUs 11 and twelve output the same single processing and provide the different processing results for at least one of the two CPUs 11 . twelve a failure to be diagnosed.
Wird für die CPU 11, 12 ein Ausfall auf vorstehende Weise diagnostiziert, gibt die Fehlerverwaltungseinrichtung 15d ein Fehlersignal, das den Ausfall der CPU 11, 12 angibt, an einen Überwachungs-IC 15e aus. In diesem Fall gibt der Überwachungs-IC 15e (zweite AS-Ausgabe) Ausfallsicherheitssignale an unterschiedliche Aktuatoren wie den Drosselmotor 20 und dergleichen aus. In dieser Ausfallsicherheitssteuerung (zweite AS-Steuerung) ist es bevorzugt, dass die Steuerung des Aktuators durch den Mikrocomputer 10MC verboten wird (außer Betrieb genommen wird). Beispielsweise kann die elektrische Energieversorgung des Drosselmotors 20 unterbrochen werden.Will for the CPU 11 . twelve diagnoses a failure in the above manner, gives the error management device 15d an error signal that indicates the failure of the CPU 11 . twelve indicates to a monitoring IC 15e out. In this case, the monitoring IC gives 15e (second AS output) Fail-safe signals to different actuators such as the throttle motor 20 and the like. In this fail-safe control (second AS control), it is preferable that the control of the actuator by the microcomputer 10mc is prohibited (taken out of service). For example, the electrical power supply of the throttle motor 20 to be interrupted.
Die ROM-Speicherüberprüfungseinrichtung 15b überprüft, ob oder nicht der ROM 13 einen Ausfall hat. Insbesondere legt die ROM-Speicherüberprüfungseinrichtung 15b ein Überprüfungsziel auf einen gesamten Speicherbereich des ROM 13 fest und überprüft sequenziell eine individuelle Adresse in dem Speicherbereich auf einen Ausfall. Die RAM-Speicherüberprüfungseinrichtung 15c überprüft, ob oder nicht der RAM 14 einen Ausfall hat. Insbesondere legt die RAM-Speicherüberprüfungseinrichtung 15c ein Überprüfungsziel auf einen gesamten Speicherbereich des RAM 14 fest und überprüft sequenziell eine individuelle Adresse in dem Speicherbereich auf einen Ausfall. Gemäß diesen Einrichtungen 15b, 15c ist es möglich, die Ausfälle des ROM 13 und des RAM 14 zu diagnostizieren und die Adresse mit dem Ausfall zu spezifizieren. An die Fehlerverwaltungseinrichtung 15d gibt die Speicherüberprüfungseinrichtung 15b, 15c Informationen aus, die die Adresse spezifizieren, für die Ausfall diagnostiziert wurde. The ROM memory checker 15b Check if or not the ROM 13 has a failure. In particular, the ROM memory checker lays down 15b a check target on an entire memory area of the ROM 13 and sequentially checks an individual address in the memory area for a failure. The RAM memory checker 15c Check if or not the RAM 14 has a failure. In particular, the RAM memory checker lays down 15c a check target for an entire memory area of the RAM 14 and sequentially checks an individual address in the memory area for a failure. According to these facilities 15b . 15c is it possible the failures of the ROM 13 and the RAM 14 to diagnose and specify the address with the failure. To the fault management facility 15d gives the memory checker 15b . 15c Information that specifies the address for which failure was diagnosed.
Die ersten Bereiche M10 und M11 des Speicherbereichs des ROM 13 speichern die Steuerinformationen und werden festgelegt, um eine Gruppe aufeinanderfolgender Adressen aufzuweisen. Der zweite Bereich M12 des Speicherbereichs des ROM 13 speichert die ersten Überwachungsinformationen und wird festgelegt, eine Gruppe aufeinanderfolgender Adressen aufzuweisen.The first areas M10 and M11 the memory area of the ROM 13 store the control information and are set to have a group of consecutive addresses. The second area M12 the memory area of the ROM 13 stores the first monitoring information and is determined to have a group of consecutive addresses.
Wenn weder der ROM 13 noch der RAM 14 einen Ausfall hat und beide der CPUs 11 und 12 abnormale Werte verarbeiten, stellt die Fehlerverwaltungseinrichtung 15d ein Diagnoseergebnis bereit, das angibt, dass es eine Trennungsabnormalität in einem Bus oder dergleichen des Mikrocomputers 10MC gibt. In diesem Fall gibt die Fehlerverwaltungseinrichtung 15d ebenso ein Fehlersignal, das diese Abnormalität angibt, an den Überwachungs-IC 15e aus und verbietet dem Mikrocomputer 10MC, den Aktuator zu steuern.If neither the ROM 13 still the RAM 14 has a failure and both of the CPUs 11 and twelve processing abnormal values is provided by the error manager 15d a diagnosis result indicating that there is a separation abnormality in a bus or the like of the microcomputer 10mc gives. In this case, the error management device gives 15d an error signal indicating this abnormality is also sent to the monitoring IC 15e and forbids the microcomputer 10mc to control the actuator.
Wenn für den ROM 13 oder den RAM 14 durch die Speicherüberprüfungseinrichtung 15b, 15c ein Ausfall diagnostiziert wird und für die CPU 11, 12 kein Ausfall diagnostiziert wird, gibt die Fehlerverwaltungseinrichtung 15d eine Adressnummer, für die der Ausfall diagnostiziert wurde, an die Überwachungssoftware 16 aus. Die Überwachungssoftware 16 ist eine Funktion, die durch die Operation des Mikrocomputers 10MC implementiert ist. Insbesondere führt die CPU 11, 12 eine AS-Verarbeitung S20 in 3 gemäß einem Ausfallabschnittsbestimmungsprogramm (zweite Überwachungsinformationen), das in dem ROM 13 gespeichert ist, aus, wodurch eine dritte Ausfallsicherheitssteuerung (dritte AS-Steuerung) ausgeführt wird. Vorstehend gibt die Fehlerverwaltungseinrichtung 15d die Adressnummer, für die der Ausfall diagnostiziert wurde, an den Mikrocomputer 10MC aus.If for the rom 13 or the RAM 14 through the memory checker 15b . 15c a failure is diagnosed and for the CPU 11 . twelve no failure is diagnosed, gives the error management facility 15d an address number for which the failure was diagnosed, to the monitoring software 16 out. The monitoring software 16 is a function caused by the operation of the microcomputer 10mc is implemented. In particular, the CPU performs 11 . twelve an AS processing S20 in 3 according to a failure section determination program (second monitoring information) stored in the ROM 13 is stored, whereby a third fail-safe control (third AS control) is executed. The above is the error management facility 15d the address number for which the failure was diagnosed to the microcomputer 10mc out.
Die Überwachungsschaltung 1 und die Überwachungssoftware 16 entsprechen einem zweiten Überwachungsmittel. Es ist zu beachten, dass die Überwachungsschaltung 1 Hardware ist. In der nachfolgenden Illustration werden die Speicherbereiche M10, M11, M20, die sich auf die Steuerinformationen beziehen und Teil der Speicherbereiche des ROM 13 und des ROM 14 sind, als eine Ebene 1 bezeichnet. Die Speicherbereiche M12, M21, die sich auf die ersten Überwachungsinformationen beziehen, und die CPUs 11, 12 werden als eine Ebene 2 bezeichnet. Die Speicherbereiche M13, M14, die sich auf die zweiten Überwachungsinformationen beziehen, und die Überwachungsschaltung 15 werden als eine Ebene 3 bezeichnet. In anderen Worten wird eine gemultiplexte Diagnose derart ausgeführt, dass eine Abnormalität der Ebene 1 durch die Ebene 2 diagnostiziert wird und eine Abnormalität der Ebene 2 durch die Ebene 3 diagnostiziert wird.The monitoring circuit 1 and the monitoring software 16 correspond to a second monitoring means. It should be noted that the monitoring circuit 1 Hardware is. In the following illustration, the memory areas become M10 . M11 . M20 which relate to the control information and part of the memory areas of the ROM 13 and the ROM 14 are, as a plane 1 designated. The storage areas M12 . M21 related to the first monitoring information and the CPUs 11 . twelve be as one level 2 designated. The storage areas M13 . M14 relating to the second monitoring information and the monitoring circuit 15 be as one level 3 designated. In other words, a multiplexed diagnosis is made such that an abnormality of the level 1 through the plane 2 is diagnosed and an abnormality of the level 2 through the plane 3 is diagnosed.
In Antwort auf eine Erfassung einer Abnormalität durch die Überwachungsschaltung 15 wird eine in 3 illustrierte Verarbeitung ausgeführt. Als Erstes werden bei S21 Abnormalitätsinformationen, die durch Überwachungsschaltung 15 (Hardware) bereitgestellt werden, gesammelt. Insbesondere werden die Diagnoseinformationen bezüglich der CPUs 11, 12, die durch den Komparator 15a bereitgestellt werden, die Diagnoseinformationen bezüglich des ROM 13 und des RAM 14, die durch die Speicherüberprüfungseinrichtungen 15b, 15c bereitgestellt werden, und weitere Diagnoseinformationen bezüglich des Busses oder dergleichen erlangt.In response to detection of an abnormality by the monitoring circuit 15 will be an in 3 illustrated processing executed. First, be at S21 Abnormality information provided by monitoring circuit 15 (Hardware) are collected. In particular, the diagnostic information regarding the CPUs becomes 11 . twelve passing through the comparator 15a to be provided, the diagnostic information regarding the ROM 13 and the RAM 14 passing through the memory checkers 15b . 15c and obtain further diagnostic information regarding the bus or the like.
Wird basierend auf den gesammelten Diagnoseinformationen bestimmt, dass der Mikrocomputer 10MC die Abnormalität aufweist (S22: JA), und wird bestimmt, dass der abnormale Abschnitt der ROM 13 oder der RAM 14 ist (S23: JA), fährt die Verarbeitung mit S24 fort. Bei S24 wird bestimmt, ob oder nicht die Adressnummer mit der Abnormalität in dem Speicherbereich (Ebene 2) bezüglich der ersten Überwachungsinformationen ist. Wird bestimmt (S24: JA), dass die Adressnummer mit der Abnormalität in der Ebene 2 ist, fährt die Verarbeitung mit S25 (ein Ausfallsicherheitssteuermittel) fort. Bei S25 wird die Beschränkung für den erforderlichen Wert THtrg verhängt, so dass der erforderliche Wert THtrg die vorab festgelegte obere Grenze nicht überschreitet. Insbesondere, wenn der erforderliche Wert, der bei S11 in 2 berechnet wird, die zweite obere Grenze überschreitet, wird der erforderliche Wert THtrg korrigiert, so dass er der zweiten oberen Grenze entspricht.Based on the collected diagnostic information, it is determined that the microcomputer 10mc has the abnormality ( S22 : YES), and it is determined that the abnormal portion of the ROM 13 or the RAM 14 is ( S23 : YES), the processing continues S24 continued. at S24 is determined whether or not the address number with the abnormality in the memory area (level 2 ) with respect to the first monitoring information. Is determined ( S24 : YES) that the address number with the abnormality in the plane 2 is, the processing proceeds with S25 (a fail-safe control means). at S25 becomes the restriction for the required value THtrg imposed, so the required value THtrg does not exceed the predetermined upper limit. In particular, if the required value at S11 in 2 which exceeds the second upper limit becomes the required value THtrg corrected so that it corresponds to the second upper limit.
Die zweite obere Grenze und die erste obere Grenze können auf denselben Wert festgelegt werden. Alternativ kann die zweite obere Grenze auf einen weniger eingeschränkten Wert als die erste obere Grenze festgelegt werden. Beispielsweise in dem Fall des Drosselöffnungsgrads kann die zweite obere Grenze auf einen größeren Öffnungsgrad als die erste obere Grenze festgelegt werden. Es ist zu beachten, dass die zweite AS-Steuerung, in der der Überwachungs-IC 15e die elektrische Energieversorgung des Aktuators unterbricht, eine stärkere Beschränkung als die erste AS-Steuerung und die dritte AS-Steuerung auferlegt.The second upper limit and the first upper limit can be set to the same value become. Alternatively, the second upper limit may be set to a less restricted value than the first upper limit. For example, in the case of the throttle opening degree, the second upper limit may be set to a larger opening degree than the first upper limit. It should be noted that the second AS control in which the monitoring IC 15e the electric power supply of the actuator interrupts, imposes a stronger restriction than the first AS controller and the third AS controller.
Die Überwachungssoftware 16 (Ebene 3) hat eine Funktion zum Überprüfen, ob oder nicht die AS-Steuerung von 3 normal ausgeführt wird. Diese Funktion ist durch die Operation des Mikrocomputers 10MC implementiert. Insbesondere stellt die CPU 11, 12 diese Funktion durch Ausführen von Überprüfungsverarbeitungen S30, S40, S50 in 4 bis 6 gemäß ROM/RAM-Überprüfungsprogrammen (zweite Überwachungsinformationen) und einem Anweisungsüberprüfungsprogramm, das in dem ROM 13 gespeichert ist, bereit.The monitoring software 16 (Level 3 ) has a function to check whether or not the AS control of 3 normal. This function is through the operation of the microcomputer 10mc implemented. In particular, the CPU provides 11 . twelve this feature by performing verification processing S30 . S40 . S50 in 4 to 6 according to ROM / RAM checking programs (second monitoring information) and an instruction checking program stored in the ROM 13 is stored, ready.
Die Verarbeitung S30, die durch das ROM-Überprüfungsprogramm bereitgestellt wird, wird mit Bezug auf 4 illustriert. Die Verarbeitung S30 überprüft eine Sicherung des Speicherbereichs M13 des ROM 13. Es ist zu beachten, dass der Speicherbereich M13 das Ausfallabschnittsbestimmungsprogramm speichert. Bei S31 legt die CPU 11, 12 einen Zielbereich auf den Speicherbereich M13 fest und berechnet einen Überprüfungssummenwert des Zielbereichs. Bei S32 bestimmt die CPU 11, 12, ob oder nicht der berechnete Überprüfungssummenwert mit einem vorbestimmten Wert übereinstimmt. Wenn die CPU 11, 12 bestimmt, dass der berechnete Überprüfungssummenwert nicht mit dem vorbestimmten Wert (S32: NEIN) übereinstimmt, befindet die CPU 11, 12, dass die Überwachungssoftware 16 einen Fehlerzustand aufweist. Dann gibt die CPU 11, 12 bei S33 eine Information über einen ROM-Fehlerzustand aus. Insbesondere überträgt durch die Übertragungsverarbeitung S60 von 7 die CPU 11, 12 ein Überprüfungssummenergebnis des ROM 13 an den Überwachungs-IC 15e.The processing S30 which is provided by the ROM checking program will be described with reference to 4 illustrated. The processing S30 checks a backup of the memory area M13 of the ROM 13 , It should be noted that the memory area M13 the failure section determination program stores. at S31 puts the CPU 11 . twelve a target area on the storage area M13 and calculates a checksum value of the target area. at S32 determines the CPU 11 . twelve whether or not the calculated checksum value matches a predetermined value. If the CPU 11 . twelve determines that the calculated checksum value does not match the predetermined value ( S32 : NO) is the CPU 11 . twelve that the monitoring software 16 has an error condition. Then the CPU gives 11 . twelve at S33 information about a ROM error state. In particular, transmits through the transmission processing S60 from 7 the CPU 11 . twelve a check sum result of the ROM 13 to the monitoring IC 15e ,
Die Verarbeitung S40, die durch das RAM-Überprüfungsprogramm bereitgestellt wird, wird mit Bezug auf 5 erläutert. Die Verarbeitung S40 überprüft eine Sicherheit des Speicherbereichs M13 des RAM 14, wobei der Speicherbereich M13 des RAM 14 durch das Ausfallabschnittsbestimmungsprogramm verwendet wird. Bei S41 erlangt die CPU 11, 12 Daten bei allen Adressen in einem Überprüfungszielbereich, der der Speicherbereich M13 des RAM 14 ist. Bei S42 schreibt die CPU 11, 12 ein spezifisches Speichermuster in eine Überprüfungszieladresse in dem Speicherbereich M13. Bei S43 liest die CPU 11, 12 einen Wert bei derselben Überprüfungszieladresse aus. Bei S44 bestimmt die CPU 11, 12, ob oder nicht der geschriebene Wert und der gelesene Wert übereinstimmen.The processing S40 which is provided by the RAM checking program will be described with reference to FIG 5 explained. The processing S40 checks for a security of the memory area M13 of the RAM 14 , where the memory area M13 of the RAM 14 is used by the failure section determination program. at S41 acquires the CPU 11 . twelve Data at all addresses in a scan target area that is the memory area M13 of the RAM 14 is. at S42 writes the CPU 11 . twelve a specific memory pattern into a check destination address in the memory area M13 , at S43 reads the CPU 11 . twelve a value at the same check destination address. at S44 determines the CPU 11 . twelve whether or not the written value and the read value match.
Wenn die CPU 11, 12 bestimmt, dass der geschriebene Wert und der gelesene Wert nicht übereinstimmen (S44: NEIN), befindet die CPU 11, 12, dass die Überwachungssoftware 16 den Fehlerzustand aufweist. Dann gibt die CPU 11, 12 bei S45 Informationen über den RAM-Fehlerzustand aus. Insbesondere überträgt die CPU 11, 12 durch die in 7 dargestellte Übertragungsverarbeitung S60 ein Ergebnis der Überprüfung des RAM 14 an den Überwachungs-IC 15e. Wenn die CPU 11, 12 bestimmt, dass der geschriebene Wert mit dem gelesenen Wert übereinstimmt (S44: JA), fährt die Verarbeitung mit S46 fort. Bei S46 wird bestimmt, ob oder nicht die Überprüfungszieladresse ein Ende des Überprüfungszielbereichs erreicht hat, der der Speicherbereich M13 des RAM 14 ist. Wenn die Überprüfungszieladresse das Ende des Überprüfungszielbereichs nicht erreicht hat (S46: NEIN), wird die Überprüfungszieladresse bei S47 um eins nach vorne versetzt und die Verarbeitung kehrt zu S41 zurück. Hat die Überprüfungszieladresse das Ende des Überprüfungszielbereichs erreicht (S46: JA), wird diese Verarbeitung S40 beendet.If the CPU 11 . twelve determines that the written value and the read value do not match ( S44 : NO), is the CPU 11 . twelve that the monitoring software 16 has the error state. Then the CPU gives 11 . twelve at S45 Information about the RAM error condition. In particular, the CPU transfers 11 . twelve through the in 7 illustrated transmission processing S60 a result of checking the RAM 14 to the monitoring IC 15e , If the CPU 11 . twelve determines that the written value matches the read value ( S44 : YES), the processing continues S46 continued. at S46 It is determined whether or not the check destination address has reached an end of the check target area that the memory area M13 of the RAM 14 is. If the verification destination address has not reached the end of the verification target area ( S46 : NO), the check destination address becomes S47 moved one forward and processing returns S41 back. If the verification destination address has reached the end of the verification target area ( S46 : YES), this processing becomes S40 completed.
Die Verarbeitung S50, die durch das Anweisungsüberprüfungsprogramm bereitgestellt wird, wird mit Bezug auf 6 dargestellt. Die Verarbeitung S50 bestätigt ein Verhalten des Ausfallabschnittsbestimmungsprogramms. Bei S51 wählt die CPU 11, 12 aus vorab vorbereiteten Testsignalen ein zu verwendendes Testsignal aus und gibt das ausgewählte Testsignal aus. Das Testsignal veranlasst die CPU 11, 12, eine Testverarbeitung auszuführen. Ein Wert einer korrekten Antwort für die Testverarbeitung ist in dem Testsignal vorab gespeichert. Bei S52 wird ein Ergebnis der Testverarbeitung durch die CPU 11, 12 ausgelesen. Wenn das Ergebnis der Testverarbeitung nicht der korrekte Antwortwert ist (S53: NEIN), befindet die CPU 11, 12, dass die Überwachungssoftware 16 einen Fehlerzustand aufweist. Dann gibt die CPU 11, 12 bei S54 Informationen über den Fehlerzustand aus. Insbesondere gibt die CPU 11, 12 durch die Übertragungsverarbeitung von 7 ein Anweisungsüberprüfungsergebnis an den Überwachungs-IC 15e aus.The processing S50 provided by the instruction check program will be referred to with reference to 6 shown. The processing S50 confirms behavior of the failure section determination program. at S51 selects the CPU 11 . twelve from pre-prepared test signals, a test signal to be used and outputs the selected test signal. The test signal causes the CPU 11 . twelve to execute a test processing. A value of a correct answer for the test processing is pre-stored in the test signal. at S52 becomes a result of the test processing by the CPU 11 . twelve read. If the result of the test processing is not the correct answer value ( S53 : NO), is the CPU 11 . twelve that the monitoring software 16 has an error condition. Then the CPU gives 11 . twelve at S54 Information about the error condition. In particular, the CPU gives 11 . twelve through the transmission processing of 7 an instruction check result to the monitoring IC 15e out.
7 illustriert die Übertragungsverarbeitung S60, die durch die Überwachungssoftware 16 (d. h. durch den Mikrocomputer 10MC) ausgeführt wird. Bei S61, S62, S63 werden die Informationen (Informationsdaten) über den Fehlerzustand (Überprüfungsergebnis), die bei jeder Übertragungsverarbeitung S30, S40, S50 erfasst werden, in einen Puffer kopiert. Bei S64 werden die Daten in dem Puffer an den Überwachungs-IC 15e übertragen. Wenn der Überwachungs-IC 15e die Daten empfängt, die mindestens einen Fehlerzustand angeben, wird die zweite AS-Steuerung einschließlich der zweiten AS-Ausgabe ausgeführt. Der Mikrocomputer 10MC, der S30 bis S60 in 3 bis 7 ausführt, entspricht einem zweiten Überwachungsmittel. Der Mikrocomputer 10MC, der die Verarbeitungen S30 bis S50 in 3 bis 6 ausführt, entspricht einem Überwachungsmittel. 7 illustrates the transmission processing S60 through the monitoring software 16 (ie by the microcomputer 10mc ) is performed. at S61 . S62 . S63 The information (information data) about the error state (check result), which is at every transmission processing S30 . S40 . S50 be copied into a buffer. at S64 The data in the buffer is sent to the monitoring IC 15e transfer. When the monitoring IC 15e receives the data that indicate at least one error condition, the second AS controller including the second AS output is executed. The microcomputer 10mc , of the S30 to S60 in 3 to 7 performs, corresponds to a second monitoring means. The microcomputer 10mc that the processing S30 to S50 in 3 to 6 performs, corresponds to a monitoring means.
In der vorliegenden Ausführungsform wird bestimmt (S24), wenn die Speicherüberprüfungseinrichtungen 15b, 15c die Abnormalitäten des ROM 13 und des RAM 14 erfassen, ob oder nicht die Abnormalität in dem zweiten Bereich auftritt, der die ersten Überwachungsinformationen speichert. Tritt die Abnormalität im zweiten Bereich auf S24: JA), wird die Beschränkung (dritte AS-Steuerung) verhängt, so dass der erforderliche Wert des Aktuators wie beispielsweise des Drosselmotors 20 und dergleichen die zweite obere Grenze nicht überschreitet. Tritt die Abnormalität in dem ersten Bereich auf, der die Steuerinformationen speichert, wird diese Abnormalität durch das Überwachungsprogramm (S15: JA) erfasst, und zusätzlich wird die Beschränkung verhängt (erste AS-Steuerung), so dass der erforderliche Wert des Aktuators wie beispielsweise des Drosselmotors 20 und dergleichen die erste obere Grenze nicht überschreitet.In the present embodiment, it is determined ( S24 ) when the memory checkers 15b . 15c the abnormalities of the ROM 13 and the RAM 14 detect whether or not the abnormality occurs in the second area storing the first monitoring information. If the abnormality occurs in the second area S24 : YES), the restriction (third AS control) is imposed so that the required value of the actuator such as the throttle motor 20 and the like does not exceed the second upper limit. If the abnormality occurs in the first area storing the control information, this abnormality is detected by the monitoring program (FIG. S15 : YES), and in addition, the restriction is imposed (first AS control) so that the required value of the actuator such as the throttle motor 20 and the like does not exceed the first upper limit.
Demnach kann abhängig davon, in welchem des ersten Bereichs, der die Steuerinformationen speichert, und des zweiten Bereichs, der die Überwachungsinformationen speichert, die Abnormalität auftritt, ein Inhalt einer zweiten Beschränkung für eine Steuerung (Fahrzeugsteuerung) eines Fahrzeugfahrzustands variieren. Insbesondere wenn der erste Bereich M10, M11, M20 eine Abnormalität aufweist, führt der Überwachungs-IC 15e die zweite AS-Steuerung (Außerbetriebnahme) durch. Wenn der zweite Bereich M12, M21 eine Abnormalität aufweist, führt die Überwachungssoftware 16 (d. h. der Mikrocomputer 10MC) die dritte AS-Steuerung (Beschränkung auf die zweite obere Grenze) aus. Somit verbessert in dem Fall einer Abnormalität des ersten Bereichs M10, M11, M20 die Außerbetriebnahme die Verlässlichkeit der Fahrzeugsteuerung. In dem Fall einer Abnormalität des zweiten Bereichs M12, M21 unterdrückt die Beschränkung auf die zweite obere Grenze eine Reduzierung einer Verfügbarkeit der Fahrzeugsteuerung. Auf diese Weise kann abhängig von einer abnormalen Seite in dem ROM 13 und dem RAM 14 eine angemessene Ausfallsicherheitssteuerung ausgeführt werden.Thus, depending on in which of the first area storing the control information and the second area storing the monitoring information, the abnormality occurs, a content of a second restriction for control (vehicle control) of a vehicle running state may vary. Especially if the first area M10 . M11 . M20 has an abnormality, the monitoring IC performs 15e the second AS control (decommissioning) by. If the second area M12 . M21 has an abnormality, performs the monitoring software 16 (ie the microcomputer 10mc ) the third AS control (restriction to the second upper limit). Thus, in the case of an abnormality of the first area improves M10 . M11 . M20 decommissioning the reliability of vehicle control. In the case of an abnormality of the second area M12 . M21 The limitation to the second upper limit suppresses a reduction in availability of the vehicle control. In this way, depending on an abnormal page in the ROM 13 and the RAM 14 adequate fail-safe control is executed.
Insbesondere wird eine Multiplexiagnose derart ausgeführt, dass eine Abnormalität der Ebene 1 durch die Ebene 2 diagnostiziert wird und eine Abnormalität der Ebene 2 durch die Ebene 3 diagnostiziert wird. Wenn eine Speicherabnormalität bezüglich der Ebene 2 durch die Ebene 3 erfasst wird, verhängt die Ausfallsicherheitssteuerung verglichen mit einem Fall, in dem eine Speicherabnormalität bezüglich der Ebene 1 erfasst wird, eine schwächere Beschränkung (dritte AS-Steuerung). Dies verbessert die Verfügbarkeit der Fahrzeugsteuerung. Wenn eine Speicherabnormalität bezüglich der Ebene 1 erfasst wird, wird die zweite AS-Steuerung, die eine stärkere Beschränkung als die dritte AS-Steuerung verhängt, ausgeführt. Die verbessert die Verlässlichkeit der Fahrzeugsteuerung.In particular, a multiplex diagnosis is performed such that an abnormality of the level 1 through the plane 2 is diagnosed and an abnormality of the level 2 through the plane 3 is diagnosed. If a memory abnormality with respect to the level 2 through the plane 3 is detected, the fail-safe control imposes a case where a memory abnormality with respect to the plane 1 is detected, a weaker restriction (third AS control). This improves the availability of the vehicle control. If a memory abnormality with respect to the level 1 is detected, the second AS controller, which imposes a stronger restriction than the third AS controller, is executed. This improves the reliability of vehicle control.
Zusätzlich zu den vorstehenden technischen Wirkungen beinhaltet das Vorliegende die folgenden technischen Wirkungen, die durch die nachfolgenden Merkmale bereitgestellt werden.In addition to the above technical effects, the above includes the following technical effects provided by the following features.
(Erstes Merkmal)(First feature)
Ein erstes Merkmal ist ein Überwachungsmittel S30, S40, S50 zum Überwachen, ob das Bestimmungsmittel (S23) die Bestimmung normal ausführt. Insbesondere ist das Überwachungsmittel S30, S40, S50 durch die Überwachungssoftware 16 implementiert, die die CPU 11, 12 gemäß dem Ausfallabschnittsbestimmungsprogramm (zweite Überwachungsinformationen) ausführt, um zu bestimmen, welcher des ersten Bereichs M10, M11, M20 und des zweiten Bereichs M12, M21 eine Abnormalität aufweist. Das Überwachungsmittel S30, S40, S50 überwacht Abnormalitäten des ROM 13, des RAM 14 und der CPU 11, 12.A first feature is a monitoring means S30 . S40 . S50 for monitoring whether the determining means ( S23 ) performs the determination normally. In particular, the monitoring means S30 . S40 . S50 through the monitoring software 16 implements the CPU 11 . twelve according to the failure section determination program (second monitoring information) to determine which one of the first area M10 . M11 . M20 and the second area M12 . M21 has an abnormality. The monitoring device S30 . S40 . S50 monitors abnormalities of the ROM 13 , the ram 14 and the CPU 11 . twelve ,
Gemäß diesem Merkmal kann aufgrund der Anwesenheit des Überwachungsmittels zum Überwachen des Bestimmungsmittels ein angemessenes Festlegen der zweiten Beschränkung, die aus einer Abnormalität des Bestimmungsmittels resultiert, unterbunden werden. In anderen Worten kann eine unangemessene Auswahl bezüglich dessen, welche der zweiten AS-Steuerung und der dritten AS-Steuerung ausgeführt werden soll, unterbunden werden. Demnach kann die Verlässlichkeit bezüglich einer Abnormalität gemultiplext werden. Die Ausfallsicherheitssteuerungsverlässlichkeit kann verbessert werden.According to this feature, due to the presence of the monitoring means for monitoring the determining means, an appropriate setting of the second restriction resulting from an abnormality of the determining means can be inhibited. In other words, an inappropriate selection as to which of the second AS controller and the third AS controller should be executed can be inhibited. Thus, the reliability with respect to an abnormality can be multiplexed. Fail-safe control reliability can be improved.
(Zweites Merkmal)(Second feature)
Nachfolgend wird ein zweites Merkmal erläutert. Das zweite Überwachungsmittel ist eine Einrichtung, die separat zu einer Einrichtung (10MC) bereitgestellt wird, die eine Verarbeitung gemäß den Steuerinformationen oder den ersten Überwachungsinformationen ausführt. Das zweite Überwachungsmittel beinhaltet die Speicherüberprüfungseinrichtung 15b, 15c (Überprüfungseinrichtung für abnormalen Bereich) zum Überprüfen eines Bereichs des ROM 13 und des RAM 14, in dem eine Abnormalität auftritt. Das Bestimmungsmittel macht die Bestimmung gemäß einem Ergebnis der Überprüfung durch die Überprüfungseinrichtung für einen abnormalen Bereich.Hereinafter, a second feature will be explained. The second monitoring means is a device separate from a device ( 10mc ) performing processing according to the control information or the first monitoring information. The second monitoring means includes the memory checker 15b . 15c (Abnormal area checker) for checking a portion of the ROM 13 and the RAM 14 in which an abnormality occurs. The determining means makes the determination according to a result of the check by the abnormal range checker.
Nachfolgend wird davon ausgegangen, dass der Mikrocomputer 10M, der die Motorsteuerung und die erste AS-Steuerung ausführt, als die Überprüfungseinrichtung für einen abnormalen Bereich verwendet wird, die den Bereich einer auftretenden Abnormalität des ROM 13 und des RAM 14 überprüft. In diesem Vergleichsbeispiel, das sich vom zweiten Merkmal unterscheidet, ist es, wenn eine Abnormalität in der Überprüfungseinrichtung für einen abnormalen Bereich auftritt, hochwahrscheinlich, dass die Fahrzeugsteuerung oder die erste AS-Steuerung nicht normal operieren kann und dass die Überprüfung des Bereichs mit auftretender Abnormalität nicht normal ausgeführt werden kann. Demzufolge kann das zweite Überwachungsmittel die zweite Beschränkung nicht angemessen festlegen. In anderen Worten ist es möglich, dass die Auswahl bezüglich dessen, welche der zweiten AS-Steuerung und der dritten AS-Steuerung ausgeführt werden soll, unangemessen ist.Below it is assumed that the microcomputer 10M which executes the motor control and the first AS control when the abnormal region check means is used, which is the range of occurrence of abnormality of the ROM 13 and the RAM 14 checked. In this comparative example, which is different from the second feature, when an abnormality occurs in the abnormal range checker, it is highly likely that the vehicle controller or the first AS controller can not operate normally and the check of the abnormality occurring portion can not be done normally. As a result, the second monitoring means can not appropriately set the second restriction. In other words, it is possible that the selection as to which of the second AS controller and the third AS controller is to be executed is inappropriate.
Im Gegensatz zum vorstehenden Vergleichsbeispiel wird gemäß dem zweiten Merkmal die Speicherüberprüfungseinrichtung 15b, 15c, die separat vom Mikrocomputer 10MC vorgesehen ist, verwendet, um den Bereich mit auftretender Abnormalität zu überprüfen, um die Ausfallsicherheitssteuerung durch Erfassen der Abnormalität des ROM 13 oder des RAM 14 auszuführen. Demnach kann die Verlässlichkeit bezüglich Abnormalitäten des ROM 13 und des RAM 14 gemultiplext werden. Die Ausfallsicherheitssteuerungsverlässlichkeit kann verbessert werden.In contrast to the above comparative example, according to the second feature, the memory check device 15b . 15c that separate from the microcomputer 10mc is provided to check the abnormality occurrence area to the fail-safe control by detecting the abnormality of the ROM 13 or the RAM 14 perform. Thus, the reliability with respect to abnormalities of the ROM 13 and the RAM 14 be multiplexed. Fail-safe control reliability can be improved.
(Drittes Merkmal)(Third feature)
Ein drittes Merkmal ist, dass ein Speicherbereich des ROM 13 derart festgelegt wird, dass jeder des ersten Bereichs M10, M11 und des zweiten Bereichs M12 eine Gruppe aufeinanderfolgender Adressen ausbildet.A third feature is that a memory area of the ROM 13 is set so that each of the first area M10 . M11 and the second area M12 forms a group of consecutive addresses.
Es wird davon ausgegangen, dass der Speicherbereich derart festgelegt wird, dass Adressen in dem ersten Bereich M10, M11 und dem zweiten Bereich M12 sich vermischen. In diesem Vergleichsbeispiel sollte, wenn das zweite Überwachungsmittel bestimmt, in welchem des ersten Bereichs und des zweiten Bereichs die Abnormalität auftritt, sollte diese komplizierte Bestimmungsverarbeitung ausgeführt werden. Im Gegensatz diesem Vergleichsbeispiel kann gemäß dem dritten Merkmal, da der Speicherbereich derart festgelegt wird, dass jeder des ersten Bereichs M10, M11 und des zweiten Bereichs M12 eine Gruppe aufeinanderfolgender Adressen ausbildet, die Bestimmungsverarbeitung durch das Bestimmungsmittel vereinfacht werden und die Bestimmungsgenauigkeit verbessert werden.It is assumed that the memory area is set such that addresses in the first area M10 . M11 and the second area M12 to mix. In this comparative example, when the second monitoring means determines in which of the first area and the second area the abnormality occurs, this complicated determination processing should be performed. In contrast to this comparative example, according to the third feature, since the storage area is set such that each of the first area M10 . M11 and the second area M12 forms a group of successive addresses, the determination processing by the determining means is simplified, and the determination accuracy is improved.
(Zweite Ausführungsform)Second Embodiment
In der ersten Ausführungsform werden die zweiten Überwachungsinformationen in dem ROM 13 und dem RAM 14 gespeichert, die die Speichereinrichtungen sind, die durch das erste Überwachungsmittel verwendet werden. In der zweiten Ausführungsform werden die zweiten Überwachungsinformationen in einer Speichereinrichtung gespeichert, die separat zum ROM 13 und RAM 14 bereitgestellt wird.In the first embodiment, the second monitoring information becomes in the ROM 13 and the RAM 14 which are the storage devices used by the first monitoring means. In the second embodiment, the second monitoring information is stored in a memory device separate from the ROM 13 and RAM 14 provided.
Es wird davon ausgegangen, dass die zweiten Überwachungsinformationen in dem ROM 13 oder RAM 14 gespeichert werden. In diesem Fall, wenn eine Abnormalität in dem ROM 13 oder RAM 14 auftritt, ist es hochwahrscheinlich, dass das Fahrzeugsteuermittel oder das erste Überwachungsmittel nicht normal operieren kann und dass das Bestimmungsmittel (zweites Überwachungsmittel) ebenso nicht normal operieren kann. Demzufolge ist es möglich, dass das zweite Überwachungsmittel nicht verlässlich die zweite Beschränkung festlegen kann.It is assumed that the second monitoring information in the ROM 13 or RAM 14 get saved. In this case, if an abnormality in the ROM 13 or RAM 14 occurs, it is highly likely that the vehicle control means or the first monitoring means can not operate normally, and that the determining means (second monitoring means) also can not operate normally. As a result, it is possible that the second monitoring means can not reliably set the second restriction.
Im Gegensatz dazu kann gemäß der vorliegenden Ausführungsform, da die zweiten Überwachungsinformationen in einer Speichereinrichtung gespeichert werden, die separat zum ROM 13 und RAM 14 bereitgestellt wird, die Verlässlichkeit bezüglich der Abnormalitäten des ROM 13 und des RAM 14 gemultiplext werden, und die Verlässlichkeit der Ausfallsicherheitssteuerung kann sich ferner verbessern.In contrast, according to the present embodiment, since the second monitoring information is stored in a storage device separate from the ROM 13 and RAM 14 the reliability with respect to the abnormality of the ROM 13 and the RAM 14 can be multiplexed, and the reliability of the fail-safe control can further improve.
(Weitere Ausführungsform)(Further embodiment)
Ausführungsformen der vorliegenden Erfindung sind nicht auf die vorstehend illustrierten Ausführungsformen beschränkt und können auf unterschiedliche Arten modifiziert werden. Ferner können technische Konfigurationen hinsichtlich Ausführungsformen beliebig kombiniert werden.Embodiments of the present invention are not limited to the embodiments illustrated above and may be modified in various ways. Furthermore, technical configurations may be arbitrarily combined with respect to embodiments.
Beispielsweise sind in den vorstehend illustrierten Ausführungsformen die CPU 11, 12, der ROM 13 und der RAM 14 in einem einzelnen integrierten Schaltungschip integriert und in einem Einzelchipmikrocomputer 10MC vorgesehen. Alternativ können die CPU 11, 12, der ROM 13 und der RAM 14 in separaten integrierten Schaltungschips konfiguriert sein.For example, in the embodiments illustrated above, the CPU 11 . twelve , the ROM 13 and the RAM 14 integrated in a single integrated circuit chip and in a single chip microcomputer 10mc intended. Alternatively, the CPU 11 . twelve , the ROM 13 and the RAM 14 be configured in separate integrated circuit chips.
