Die Erfindung betrifft eine elektronische Steuereinheit.The invention relates to an electronic control unit.
In einer elektronischen Steuereinheit sind mehrere Steuerfunktionsteile, die beispielsweise Drehmomentsteuerung, Leerlaufstoppsystemsteuerung und dergleichen ausführen, in separaten Prozessoren eines Mikrocomputers vorgesehen. Dieser Typ einer elektronischen Steuereinheit führt mehrere Steuerungen aus und überwacht die mehreren Steuerungen durch separate Prozessoren. In der elektronischen Steuereinheit werden Überwachungsergebnisse einschließlich Identifikationsinformationen der überwachten Steuerungen ausgegeben, so dass Ausfallsicherungsverarbeitung für jede Steuerung ausgeführt werden kann. Somit erreicht die elektronische Steuereinheit sowohl Sicherheit als auch Verfügbarkeit (vgl. beispielsweise JP 2014 - 85761 A ).In an electronic control unit, a plurality of control functions that perform, for example, torque control, idle stop system control and the like are provided in separate processors of a microcomputer. This type of electronic control unit performs multiple controls and monitors the multiple controls through separate processors. In the electronic control unit, monitoring results including identification information of the monitored controllers are output so that fail-safe processing can be carried out for each controller. The electronic control unit thus achieves both security and availability (see, for example JP 2014 - 85761 A ).
Gemäß der elektronischen Steuereinheit, die vorstehend beschrieben ist, ist es möglich, ferner Steuerfunktionsteile wie eine Übertragungssteuerung durch Bereitstellen eines Fehlerüberprüfungsfunktionsteils in einem Überwachungsteil hinzuzufügen. Jedoch ist der Fehlerüberprüfungsfunktionsteil durch eine Hardwareschaltung realisiert, die Anzahl von Anschlüssen muss für eine Fehlerüberprüfungsfunktion erhöht werden und eine Ausfallsicherungsoperation erhöht somit einen Aufwand des Überwachungsteils. Ferner ist es schwierig, eine derartige Modifikation flexibel zu erfüllen.According to the electronic control unit described above, it is possible to further add control function parts such as transmission control by providing an error check function part in a monitoring part. However, the error checking function part is implemented by a hardware circuit, the number of terminals must be increased for an error checking function, and a fail-safe operation thus increases a cost of the monitoring part. Furthermore, it is difficult to flexibly meet such a modification.
Ferner wird auf DE 10 2014 201 682 A1 und die DE 10 2007 045 398 A1 verwiesen, die als Stand der Technik ermittelt wurden.Furthermore, on DE 10 2014 201 682 A1 and the DE 10 2007 045 398 A1 referenced, which were determined to be the state of the art.
Die DE 10 2007 045 398 A1 zeigt eine elektronische Steuereinheit, die eine arithmetische Verarbeitungseinheit, die mehrere Prozessoren für mehrere Steuerobjekte beinhaltet, und eine Überwachung der arithmetischen Verarbeitungseinheit basierend auf Daten, die von der arithmetischen Verarbeitungseinheit ausgegeben werden, aufweist. Die mehreren Prozessoren weisen mehrere Steuerfunktionsteile zum Antreiben der mehreren Steuerobjekte und mehrere Steuerüberwachungsfunktionsteile zum Überwachen der mehreren Steuerfunktionsteile auf.The DE 10 2007 045 398 A1 Fig. 13 shows an electronic control unit including an arithmetic processing unit including multiple processors for multiple control objects and monitoring of the arithmetic processing unit based on data output from the arithmetic processing unit. The multiple processors have multiple control functions for driving the multiple control objects and multiple control monitoring functions for monitoring the multiple control functions.
Die zeigt ein integriertes Mikroprozessorsystem für sicherheitskritische Regelungen, das wenigstens zwei Mikroprozessorsystemmodule umfasst, welche jeweils zumindest einen Prozessorkern aufweisen. Das Mikroprozessorsystem weist ein als Hardwaremodul ausgebildetes Sicherheitsmodul auf, sowie ein Ein-/Ausgabemodul mit mehreren Kanälen, über welche die im System ausgeführten Hauptprogramme und Überwachungsprogramme externe Systeme ansteuern. Das Sicherheitsmodul umfasst eine Watchdog-Einheit und steuert das Ein-/Ausgabemodul an, wobei im Fall eines erkannten Fehlverhaltens ein oder mehrere Kanäle des Ein-/Ausgabemoduls durch das Sicherheitsmodul abgeschaltet werden.FIG. 12 shows an integrated microprocessor system for safety-critical regulations, which comprises at least two microprocessor system modules, each of which has at least one processor core. The microprocessor system has a security module designed as a hardware module and an input / output module with several channels via which the main programs and monitoring programs executed in the system control external systems. The security module comprises a watchdog unit and controls the input / output module, one or more channels of the input / output module being switched off by the security module in the event of a detected malfunction.
Die vorliegende Erfindung adressiert die vorstehend beschriebene Situation, und ihre Aufgabe ist es, eine elektronische Steuereinheit bereitzustellen, die neue Steuerfunktionsteile flexibel ohne Erhöhen eines Aufwands eines Überwachungsteils hinzufügen kann.The present invention addresses the situation described above, and its object is to provide an electronic control unit which can flexibly add new control function parts without increasing an expense of a monitoring part.
Die vorstehende Aufgabe wird durch die Merkmale des unabhängigen Anspruchs 1 gelöst.
- 1 ist ein Blockschaltbild, das eine erste Ausführungsform der vorliegenden Erfindung zeigt;
- 2 ist ein Diagramm, das Wichtigkeit von Software zeigt;
- 3 ist ein Blockschaltbild, das Lesezugriffsautorität und Schreib/Lesezugriffsautorität darstellt;
- 4 ist ein Blockschaltbild, das eine zweite Ausführungsform der Erfindung darstellt; und
- 5 ist ein Blockschaltbild, das eine dritte Ausführungsform der vorliegenden Erfindung darstellt.
The above object is achieved by the features of independent claim 1. - 1 Fig. 13 is a block diagram showing a first embodiment of the present invention;
- 2 Fig. 3 is a diagram showing importance of software;
- 3 Figure 13 is a block diagram illustrating read access authority and read / write access authority;
- 4th Fig. 3 is a block diagram showing a second embodiment of the invention; and
- 5 Fig. 13 is a block diagram showing a third embodiment of the present invention.
Die vorliegende Erfindung wird nachfolgend gemäß mehrerer Ausführungsformen beschrieben, die als eine elektronische Steuereinheit zum Ausführen einer Getriebesteuerung (T/M-Steuerung), einer Leerlaufstoppsystemsteuerung (ISS-Steuerung) und einer Drehmomentsteuerung für ein Fahrzeug implementiert sind.The present invention is described below in accordance with several embodiments implemented as an electronic control unit for performing transmission control (T / M control), idle stop system control (ISS control), and torque control for a vehicle.
(Erste Ausführungsform)(First embodiment)
Eine erste Ausführungsform der vorliegenden Erfindung ist in 1 bis 3 dargestellt. Wie in 1 dargestellt ist, beinhaltet eine elektronische Steuereinheit (ECU) 1, einen Mikrocomputer 2 als eine arithmetische Verarbeitungseinheit, eine Eingangsschaltung 3, einen Überwachungs-IC 4, der eine integrierte Schaltung als ein Überwachungsteil ist, eine Getriebeantriebsschaltung 5 als ein Steuerobjekt, eine Anlasserrelaisantriebsschaltung 6 als ein Steuerobjekt, eine Drosselmotorantriebsschaltung 7 als ein Steuerobjekt und Oder-Schaltungen 8 bis 10. Die Getriebeantriebsschaltung 5, die Anlasserrelaisantriebsschaltung 6 und die Drosselmotorantriebsschaltung 7 operieren als Aktuatorantriebsschaltungen.A first embodiment of the present invention is shown in FIG 1 to 3 shown. As in 1 includes an electronic control unit (ECU) 1 , a microcomputer 2 as an arithmetic processing unit, an input circuit 3 , a monitoring IC 4th which is an integrated circuit as a monitoring part, a transmission drive circuit 5 as a control object, a starter relay drive circuit 6th as a control object, a throttle motor drive circuit 7th as a control object and OR circuits 8th to 10 . The transmission drive circuit 5 , the starter relay drive circuit 6th and the throttle motor drive circuit 7th operate as actuator drive circuits.
Der Mikrocomputer 2 hat eine Konfiguration, der einen internationalen Standard ISO26262 erfüllt, der für funktionale Sicherheit eines Fahrzeugs vorgesehen ist. In 1 sind Signalleitungen für Stoppsignale zu den Aktuatorantriebsschaltungen 5 bis 7 mit Pfeilen mit unterbrochenen Linien angegeben und Signalleitungen für unterschiedliche Signale außer den Stoppsignalen sind mit durchgezogenen Pfeilen angegeben. Ferner sind Beziehungen von Überwachungsobjekten in jedem funktionalen Teil durch strichzweipunktierte Linien angegeben.The microcomputer 2 has a configuration that complies with an international standard ISO26262 intended for functional safety of a vehicle. In 1 are signal lines for Stop signals to the actuator drive circuits 5 to 7th indicated with arrows with broken lines and signal lines for different signals other than the stop signals are indicated with solid arrows. Furthermore, relationships of monitoring objects in each functional part are indicated by dash-two-dot lines.
Die Eingangsschaltung 3 gibt unterschiedliche Signale, die von externen Einrichtungen der ECU eingegeben werden, an den Mikrocomputer aus. Die Signale, die von den externen Einrichtungen der ECU eingegeben werden, sind Signale, die für die Getriebesteuerung, die Leerlaufstoppsystemsteuerung und die Drehmomentsteuerung verwendet werden. Die Signale sind beispielsweise ein Gangpositionssignal, das die Gangposition angibt, ein Bremssignal, das einen Operationszustand eines Bremspedals angibt, ein Gaspedal, das einen Operationszustand eines Gaspedals angibt, ein Fahrzeuggeschwindigkeitssignal, das eine Fahrzeuggeschwindigkeit angibt, ein Anlassoperationssignal, das Anwesenheit/Abwesenheit einer Anlassoperation eines Fahrers angibt, und ein Rotationsgeschwindigkeitssignal, das eine Rotationsgeschwindigkeit einer Bremskraftmaschine angibt.The input circuit 3 outputs various signals input from external devices to the ECU to the microcomputer. The signals input from the external devices to the ECU are signals used for transmission control, idle stop system control, and torque control. The signals are, for example, a gear position signal indicating the gear position, a brake signal indicating an operating state of a brake pedal, an accelerator pedal indicating an operating state of an accelerator pedal, a vehicle speed signal indicating a vehicle speed, a starting operation signal, the presence / absence of a starting operation And a rotational speed signal indicative of a rotational speed of a brake engine.
Der Überwachungs-IC überwacht eine Operation des Mikrocomputers 2. Die Getriebeantriebsschaltung 5 steuert Antreiben eines Zahnrads 11 in Antwort auf ein Steuersignal, das in den Mikrocomputer 2 eingegeben wird. Die Anlasserrelaisantriebsschaltung 5 steuert ein/aus eines Anlasserrelais 12 und Antreiben eines Anlassers 13 in Antwort auf ein Steuersignal, das vom Mikrocomputer 2 eingegeben wird. Wird der Anlasser 13 angetrieben, wird eine Rotationskraft des Anlassers 13 auf eine Brennnkraftmaschine 14 durch das Zahnrad 11 übertragen. Die Drosselmotorantriebsschaltung 7 steuert Antreiben eines Drosselmotors 15 in Antwort auf ein Steuersignal, das vom Mikrocomputer 2 eingegeben wird. Wird der Drosselmotor 15 angetrieben, wird eine „OFFEN“-Position eines Drosselventils 16 geregelt und eine Quantität von Einlassluft in die Brennkraftmaschine 14 wird geregelt.The monitoring IC monitors an operation of the microcomputer 2 . The transmission drive circuit 5 controls driving a gear 11 in response to a control signal entering the microcomputer 2 is entered. The starter relay drive circuit 5 controls on / off a starter relay 12th and driving a starter 13th in response to a control signal received from the microcomputer 2 is entered. Will be the starter 13th driven, a rotating force of the starter is driven 13th on an internal combustion engine 14th through the gear 11 transfer. The throttle motor drive circuit 7th controls driving a throttle motor 15th in response to a control signal received from the microcomputer 2 is entered. Will the throttle motor 15th driven, an "OPEN" position of a throttle valve is activated 16 regulated and a quantity of intake air into the internal combustion engine 14th is regulated.
Der Mikrocomputer 2 beinhaltet einen ersten Eingabe-Ausgabe-Port 17, einen zweiten Eingabe-Ausgabe-Port 18, einen ersten bis vierten Prozessor 19 bis 22, ein ROM (Nur-Lese-Speicher) 23, ein RAM (Speichern mit wahlfreiem Zugriff) 24, eine Speicherschutzeinheit 25 und eine Kommunikationsschaltung 26. Der erste Eingabe-Ausgabe-Port 17, der zweite Eingabe-Ausgabe-Port 18, der erste bis vierte Prozessor 19 bis 22, das ROM 23, das RAM 24, die Speicherschutzeinheit 25 und die Kommunikationsschaltung 26 sind gegenseitig durch einen internen Bus 27 verbunden.The microcomputer 2 includes a first input-output port 17th , a second input-output port 18th , a first through fourth processor 19th to 22nd , a ROM (read-only memory) 23 , a RAM (Random Access Memory) 24, a memory protection unit 25th and a communication circuit 26th . The first input-output port 17th , the second input-output port 18th , the first through fourth processors 19th to 22nd , the ROM 23 , the RAM 24 , the memory protection unit 25th and the communication circuit 26th are mutually through an internal bus 27 connected.
Der erste Eingabe-Ausgabe-Port 17 operiert als eine Schnittstelle einer Eingangsseite des Mikrocomputers 2 zum Eingeben der unterschiedlichen Signale von der Eingangsschaltung 3. Der zweite Eingabe-Ausgabe-Port 18 operiert als eine Schnittstelle einer Ausgangsseite des Mikrocomputers 2 und gibt unterschiedliche Signale an die Aktuatorantriebsschaltungen 5 bis 7 und Stoppsignale an die Oder-Schaltungen 8 bis 10 aus. Das ROM 23 speichert unterschiedliche Programme, die durch mehrere Funktionsteile ausgeführt werden, die in dem ersten bis vierten Prozessor 19 bis 22 wie später beschrieben vorgesehen sind. Jeder der Funktionsteile, der in dem ersten bis vierten Prozessor 19 bis 22 vorgesehen ist, ist durch Software, das heißt, durch Programme, die in dem ROM 23 gespeichert sind, realisiert.The first input-output port 17th operates as an interface of an input side of the microcomputer 2 for inputting the various signals from the input circuit 3 . The second input-output port 18th operates as an interface of an output side of the microcomputer 2 and gives different signals to the actuator drive circuits 5 to 7th and stop signals to the OR circuits 8th to 10 out. The ROM 23 stores different programs executed by a plurality of functional parts that are in the first through fourth processors 19th to 22nd are provided as described later. Each of the functional parts included in the first through fourth processors 19th to 22nd is provided by software, that is, by programs residing in the ROM 23 are stored, realized.
Der erste Prozessor 19 beinhaltet ein Getriebesteuerfunktionsteil 19a, einen Drehmomentsteuerüberwachungsfunktionsteil 19b und einen Überwachungstestfunktionsteil 19c für die Drehmomentsteuerüberwachung. Der zweite Prozessor 20 beinhaltet einen Leerlaufstoppsystemsteuerfunktionsteil 20a, einen Getriebesteuerüberwachungsfunktionsteil 20b und einen Überwachungstestfunktionsteil 20c für die Getriebesteuerüberwachung. Der dritte Prozessor 21 beinhaltet einen Drehmomentsteuerfunktionsteil 21a, einen Leerlaufstoppsystemsteuerüberwachungsfunktionsteil 21b und einen Überwachungstestfunktionsteil 21c für die Leerlaufstoppsytemsteuerüberwachung.The first processor 19th includes a transmission control function part 19a , a torque control monitoring function part 19b and a monitoring test function part 19c for torque control monitoring. The second processor 20th includes an idle stop system control function part 20a , a transmission control monitoring function part 20b and a monitoring test function part 20c for transmission control monitoring. The third processor 21 includes a torque control function part 21a , an idle stop system control monitoring function part 21b and a monitoring test function part 21c for idle stop system control monitoring.
Der Getriebesteuerfunktionsteil 19a steuert das Getriebe durch Ausführen eines in dem ROM 23 gespeicherten Getriebesteuerprogramms. Der Getriebesteuerüberwachungsfunktionsteil 20b überwacht den Getriebesteuerfunktionsteil 19a des ersten Prozessors 19 durch Ausführen eines in dem ROM 23 gespeicherten Getriebesteuerüberwachungsprogramms. Der Getriebesteuerüberwachungsfunktionsteil 20b führt Ausfallsicherungsverarbeitung der Getriebesteuerung ausgehend von seiner Bestimmung, dass der Übertragungssteuerfunktionsteil 19a abnormal ist, als ein Ergebnis des Überwachungsergebnisses bezüglich des Getriebesteuerfunktionsteils 19a. Der Überwachungstestfunktionsteil 20c für die Getriebesteuerüberwachung überwacht den Getriebesteuerüberwachungsfunktionsteil 20b und erzeugt Überwachungsergebnisinformationen, die das Überwachungsergebnis angeben, durch Ausführen eines in dem ROM 23 gespeicherten Getriebesteuerüberwachungsprogramms. Die Überwachungsergebnisinformationen, die durch den Überwachungstestfunktionsteil 20c erzeugt werden, beinhalten Identifikationsinformationen, die angeben, dass die Testergebnisinformationen sich auf die Getriebesteuerüberwachung beziehen, und werden von dem zweiten Prozessor 20 an den vierten Prozessor 22 durch den internen Bus ausgegeben.The transmission control function part 19a controls the transmission by executing one in the ROM 23 stored transmission control program. The transmission control monitoring function part 20b monitors the transmission control function part 19a of the first processor 19th by executing one in the ROM 23 stored transmission control monitoring program. The transmission control monitoring function part 20b performs failover processing of the transmission control based on its determination that the transfer control function part 19a is abnormal as a result of the monitoring result on the transmission control function part 19a . The monitoring test function part 20c for the transmission control monitoring monitors the transmission control monitoring function part 20b and generates monitoring result information indicating the monitoring result by executing one in the ROM 23 stored transmission control monitoring program. The monitoring result information obtained by the monitoring test function part 20c are generated include identification information indicating that the test result information relates to the transmission control monitor, and are processed by the second processor 20th to the fourth processor 22nd issued by the internal bus.
Der Leerlaufstoppsystemsteuerfunktionsteil 20a steuert eine automatische Leerlaufstopp- und -startoperation durch Ausführen eines Leerlaufstoppsystemsteuerprogramms, das in dem ROM 23 gespeichert ist. Der Leerlaufstoppsystemsteuerüberwachungsfunktionsteil 21b überwacht den Leerlaufstoppsystemsteuerfunktionsteil 20a des Prozessors 20 durch Ausführen eines Leerlaufstoppsteuerüberwachungsprogramms, das in dem ROM 23 gespeichert ist. Der Leerlaufstoppsystemsteuerüberwachungsfunktionsteil 21b führt Ausfallsicherungsverarbeitung der Leerlaufstoppsystemsteuerung ausgehend von seiner Bestimmung aus, dass der Leerlaufstoppsystemsteuerfunktionsteil 20a optimal ist. Der Überwachungstestfunktionsteil 21c für die Leerlaufstoppsystemsteuerüberwachung überwacht den Leerlaufstoppsystemsteuerüberwachungsfunktionsteil 21b und erzeugt Überwachungsergebnisinformationen, die das Überwachungsergebnis angeben, durch Ausführen eines Leerlaufstoppsystemsteuerüberwachungstestprogramms, das in dem ROM 23 gespeichert ist. Die Überwachungsergebnisinformationen, die durch den Überwachungstestfunktionsteil 21c erzeugt werden, beinhalten Identifikationsinformationen, die angeben, dass die Testergebnisinformationen sich auf die Leerlaufstoppsystemsteuerüberwachung beziehen, und werden von dem dritten Prozessor 21 an den vierten Prozessor 22 durch den internen Bus ausgegeben.The idle stop system control function part 20a controls an automatic idle stop and start operation by executing an idle stop system control program stored in the ROM 23 is stored. The idle stop system control monitoring function part 21b monitors the idle stop system control function part 20a of the processor 20th by executing an idle stop control monitoring program stored in the ROM 23 is stored. The idle stop system control monitoring function part 21b executes failover processing of the idle stop system controller based on its determination that the idle stop system control function part 20a is optimal. The monitoring test function part 21c for the idle stop system control monitoring monitors the idle stop system control monitoring function part 21b and generates monitoring result information indicating the monitoring result by executing an idle stop system control monitoring test program stored in the ROM 23 is stored. The monitoring result information obtained by the monitoring test function part 21c includes identification information indicating that the test result information is related to the idle stop system control monitoring, and are processed by the third processor 21 to the fourth processor 22nd issued by the internal bus.
Der Drehmomentsteuerfunktionsteil 21a führt die Drehmomentsteuerung durch Ausführen eines Momentsteuerprogramms aus, das in dem ROM 23 gespeichert ist. Der Drehmomentsteuerüberwachungsteil 19b überwacht den Drehmomentsteuerfunktionsteil 21a des Prozessors 21 durch Ausführen eines im dem ROM 23 gespeicherten Drehmomentsteuerüberwachungsprogramms. Der Drehmomentsteuerüberwachungsteil 19b führt die Ausfallsicherungsverarbeitung der Drehmomentsteuerung ausgehend von einer Bestimmung, dass der Drehmomentsteuerfunktionsteil 21a anomal ist, aus. Der Überwachungstestfunktionsteil 19c für die Drehmomentsteuerüberwachung überwacht den Drehmomentsteuerüberwachungsteil 19b und erzeugt Überwachungsergebnisinformationen, die das Überwachungsergebnis angeben, durch Ausführen des zugehörigen Programms, das in dem ROM 23 gespeichert ist. Die Überwachungsergebnisinformationen, die durch den Überwachungstestfunktionsteil 19c für den Drehmomentsteuerüberwachung erzeugt werden, beinhalten Identifikationsinformationen, die angeben, dass die Testergebnisinformationen sich auf den Drehmomentsteuerüberwachung beziehen, und werden von dem ersten Prozessor 19 an den vierten Prozessor 22 durch den internen Bus 27 ausgegeben.seite5The torque control function part 21a executes the torque control by executing a torque control program stored in the ROM 23 is stored. The torque control monitoring part 19b monitors the torque control function part 21a of the processor 21 by running one in the ROM 23 stored torque control monitoring program. The torque control monitoring part 19b performs the failsafe processing of the torque control based on a determination that the torque control function part 21a is abnormal, off. The monitoring test function part 19c for the torque control monitoring monitors the torque control monitoring part 19b and generates monitoring result information indicating the monitoring result by executing the associated program stored in the ROM 23 is stored. The monitoring result information obtained by the monitoring test function part 19c for the torque control monitor include identification information indicating that the test result information is related to the torque control monitor and are processed by the first processor 19th to the fourth processor 22nd through the internal bus 27 output.page5
Der Mikrocomputer 2 erreicht somit sowohl Sicherheit als auch Verfügbarkeit durch Ausführen bezüglich jeder der Getriebesteuerung, der Leerlaufstoppsystemsteuerung und der Drehmomentsteuerung, jeder Steuerung und jeder Überwachung der entsprechenden Steuerung durch unterschiedliche Prozessoren des ersten bis dritten Prozessors.The microcomputer 2 thus achieves both safety and availability by executing on each of the transmission control, the idle stop system control and the torque control, each control and each monitoring of the corresponding control by different processors of the first to third processors.
Der vierte Prozessor 22 beinhaltet einen Fehlerüberprüfungsfunktionsteil 22a für die Testfunktion der Getriebesteuerung, einen Fehlerüberprüfungsfunktionsteil 22b für die Testfunktion der Leerlaufstoppsystemsteuerung und einen Fehlerüberprüfungsfunktionsteil 22c für die Testfunktion der Drehmomentsteuerung. Der vierte Prozessor 22 beinhaltet ferner einen Überprüfungstestfunktionsteil 22d für die Fehlerüberprüfungsfunktion und einen Ausfallsicherungszuteilungsteil 22e. Der Fehlerüberprüfungsfunktionsteil 22a für den Getriebesteuerungstest überprüft die Testfunktion der Getriebesteuerüberwachung basierend auf den Überwachungsergebnisinformationen bezüglich der Getriebesteuerüberwachung, die von dem zweiten Prozessor 20 durch den internen Bus 27 eingegeben werden, durch Ausführen eines Getriebesteuerüberwachungstestfehlerüberprüfungsprogramms, das in dem ROM 23 gespeichert ist. Der Fehlerüberprüfungsfunktionsteil 22b für den Leerlaufstoppsystemsteuerüberwachungtest überprüft die Testfunktion der Leerlaufstoppsystemsteuerüberwachung basierend den Überwachungsergebnisinformationen bezüglich der Leerlaufstoppsystemsteuerüberwachung, die von dem dritten Prozessor 21 durch den internen Bus 27 eingegeben werden, durch Ausführen eines Leerlaufstopsystemsteuerüberwachungstestfehlerüberprüfungsprogramms, das in dem ROM 23 gespeichert ist. Der Fehlerüberprüfungsfunktionsteil 22c für die Drehmomentsteuertestfunktion überprüft die Testfunktion der Drehmomentsteuerüberwachung basierend auf den Überwachungsergebnisinformationen bezüglich des Drehmomentsteuerüberwachung, die von dem ersten Prozessor 19 durch den internen Bus 27 eingegeben werden, durch Ausführen eines Drehmomentsteuerüberwachungstestfehlerüberprüfungsprogramms, das in dem ROM 23 gespeichert ist.The fourth processor 22nd includes an error checking function part 22a for the test function of the transmission control, a fault checking function part 22b for the test function of the idle stop system control and a fault checking function part 22c for the test function of the torque control. The fourth processor 22nd further includes a verification test function part 22d for the error checking function and a failover allocation part 22e . The error checking function part 22a For the transmission control test, the test function of the transmission control monitoring checks based on the monitoring result information relating to the transmission control monitoring that is sent by the second processor 20th through the internal bus 27 can be input by executing a transmission control monitoring test failure checking program stored in the ROM 23 is stored. The error checking function part 22b for the idle stop system control monitor test, the test function checks the idle stop system control monitor based on the monitoring result information on the idle stop system control monitor received from the third processor 21 through the internal bus 27 can be input by executing an idle stop system control monitoring test failure checking program stored in the ROM 23 is stored. The error checking function part 22c for the torque control test function, the test function checks the torque control monitor based on the monitoring result information regarding the torque control monitor received from the first processor 19th through the internal bus 27 can be input by executing a torque control monitoring test failure checking program stored in the ROM 23 is stored.
Der Überprüfungstestfunktionsteil 22d für die Fehlertestfunktion überwacht den Fehlerüberprüfungsfunktionsteil 22a für die Getriebesteuertestfunktion, der Fehlerüberprüfungsfunktionsteil 22d für die Leerlaufstopfsystemsteuertestfunktion und der Fehlerüberprüfungsteil 22c für die Drehmomentsteuertestfunktion und erzeugt Überwachungsergebnisinformationen, die überwachte Ergebnisse bzw. Überwachungsergebnisse angeben. Der Ausfallsicherungszuteilungsteil 22e teilt das Ausgeben von Stoppsignalen (Antriebsstoppbefehle) von dem Mikrocomputer 2 den Aktuatorantriebsschaltungen 5 bis 7 zu. Das heißt, ausgehend von der Bestimmung, dass eine der Übertragungssteuerungen, der Leerlaufstoppsystemsteuerungen und r der Drehmomentsteuerungen die Ausfallsicherungsverarbeitung benötigt, führt der Ausfallsicherungszuteilungsteil 22e die Ausfallsicherungsverarbeitung für die entsprechende Steuerung durch Ausgeben des Stoppsignals von dem zweiten Eingabe-Ausgabe-Port 18 an die entsprechenden Oder-Schaltungen 8 bis 10 aus.The verification test function part 22d for the fault test function monitors the fault checking function part 22a for the transmission control test function, the error check function part 22d for the idle tamping system control test function and the error checking part 22c for the torque control test function and generates monitoring result information indicating monitored results and monitoring results, respectively. The failover allocation part 22e divides the output of stop signals (drive stop commands) from the microcomputer 2 the actuator drive circuits 5 to 7th to. That is, based on the determination that one of the transmission controls, the idle stop system controls, and r the Torque controls that require failover processing are performed by the failover allocation part 22e the failover processing for the corresponding control by outputting the stop signal from the second input-output port 18th to the corresponding OR circuits 8th to 10 out.
Der RAM 24 speichert Ergebnisse arithmetischer Operationen des ersten bis vierten Prozessors 19 bis 22. Die Kommunikationsschaltung 26 kommuniziert Daten mit dem Überwachungs-IC 4 durch eine serielle Kommunikationsleitung. Das heißt, ausgehend vom Empfang der Überwachungsergebnisinformationen von dem vierten Prozessor 22 gibt die Kommunikationsschaltung 26 empfangene Überwachungsergebnisinformationen an den Überwachungs-IC 4 durch die serielle Kommunikationsleitung aus. Der Überwachungs-IC 4 beinhaltet eine Kommunikationsschaltung 28 und einen Mikrocomputerüberwachungsfunktionsteil 29. Die Kommunikationsschaltung 28 kommuniziert Daten mit dem Mikrocomputer 2 durch die serielle Kommunikationsleitung. Der Mikrocomputerüberwachungsfunktionsteil 29 steuert das Ausgeben der Stoppsignale von dem Überwachungs-IC 4 an die Aktuatorantriebsschaltungen 5 bis 7. Ausgehend von der Bestimmung, dass die Mikrocomputerfunktion anormal ist, bestimmt der Mikrocomputerüberwachungsfunktionsteil 29, dass die Ausfallsicherungsverarbeitung für jede der Übertragungssteuerungen, der Leerlaufstoppsystemsteuerungen und der Drehmomentsteuerung ausgeführt werden muss. Der Mikrocomputerüberwachungsfunktionsteil 29 führt die Ausfallsicherungsverarbeitung für jede der Getriebesteuerungen, der Leerlaufstoppsystemsteuerungen und der Drehmomentsteuerungen durch Ausgeben der Stoppsignale an alle Oder-Schaltungen 8 bis 10 von dem zweiten Eingabe-Ausgabe-Port 18 aus.The RAM 24 stores results of arithmetic operations of the first to fourth processors 19th to 22nd . The communication circuit 26th communicates data with the monitoring IC 4th through a serial communication line. That is, based on the reception of the monitoring result information from the fourth processor 22nd gives the communication circuit 26th received monitoring result information to the monitoring IC 4th through the serial communication line. The monitoring IC 4th includes a communication circuit 28 and a microcomputer supervisory function part 29 . The communication circuit 28 communicates data with the microcomputer 2 through the serial communication line. The microcomputer supervisory function part 29 controls the outputting of the stop signals from the monitoring IC 4th to the actuator drive circuits 5 to 7th . Based on the determination that the microcomputer function is abnormal, the microcomputer monitoring function part determines 29 that the failover processing needs to be performed for each of the transmission controls, the idle stop system controls, and the torque control. The microcomputer supervisory function part 29 performs failover processing for each of the transmission controls, the idle stop system controls, and the torque controls by outputting the stop signals to all of the OR circuits 8th to 10 from the second input-output port 18th out.
Der Ausfallsicherungszuteilungsteil 22e des vierten Prozessors 27 wird als Nächstes beschrieben. In dem Mikrocomputer 2, der die Anforderungen der ISO26262 erfüllt, ist die Wichtigkeit von Software in fünf Ebenen klassifiziert, die QM (Qualitätsverwaltung) und vier ASILs (Automotive Safety Integrity Levels) A bis D sind. Die D-Ebene ist auf höchste Wichtigkeit festgelegt.The failover allocation part 22e of the fourth processor 27 will be described next. In the microcomputer 2 , which meets the requirements of ISO26262, the importance of software is classified into five levels, which are QM (Quality Management) and four ASILs (Automotive Safety Integrity Levels) A to D. The D level is set to be of the highest importance.
Strengere Verarbeitung und mehr Evaluierungselemente werden Software mit höherer Wichtigkeit auferlegt. In einem Fall, in dem ein Mikrocomputer programmiert ist, um unterschiedliche Software unterschiedlicher Wichtigkeit auszuführen, ist es erforderlich, dass eine Software nicht mit der anderen interferiert. In einem Fall, in dem eine derartige Anforderung nicht erfüllt ist, ist es erforderlich, Software niedriger Wichtigkeit in Übereinstimmung mit Software der höchsten Wichtigkeit zu entwickeln. Aus diesem Grund, wie in 2 dargestellt ist, vermeidet die Speicherschutzeinheit 25 Interferenz zwischen Software durch Separieren von Speichern und Registerbereichen, auf die zugegriffen werden darf, in Korrespondenz mit der Wichtigkeit von Software und blockiert eine Bewegung eines Fehlers von Software niedrigerer Wichtigkeit zu Software höherer Wichtigkeit.More rigorous processing and more evaluation items are imposed on software with higher importance. In a case where a microcomputer is programmed to run different software of different importance, one software is required not to interfere with the other. In a case where such a requirement is not met, it is necessary to develop low-importance software in accordance with highest-importance software. Because of this, as in 2 is shown, the memory protection unit avoids 25th Interference between software by separating memories and registers that are allowed to be accessed in correspondence with the importance of software and blocks movement of an error from software of lower importance to software of higher importance.
Insbesondere, wie in 3 dargestellt ist, sind der Getriebesteuerfunktionsteil 19a, der Leerlaufstoppsystemsteuerfunktionsteil 20a und der Drehmomentsteuerfunktionsteil 21a klassifiziert, um in der ersten Ausführungsform QM zu sein. Der Überwachungstestfunktionsteil 21c für die Leerlaufstoppsystemsteuerüberwachung, der Fehlerüberprüfungsfunktionsteil 22d für die Testfunktion der Leerlaufstoppsystemsteuerung, der Überwachungstestfunktionsteil 19c für die Drehmomentsteuerüberwachung und der Fehlerüberprüfungsfunktionsteil 22c für die Testfunktion der Drehmomentsteuerung sind klassifiziert, um ASIL-A zu sein. Der Leerlaufstoppsystemsteuerüberwachungsfunktionsteil 21b, der Überwachungstestfunktionsteil 20c für die Getriebesteuerüberwachung und der Fehlerüberprüfungsfunktionsteil 22a für die Testfunktion der Getriebesteuerung sind klassifiziert, um ein ASIL-B zu sein. Der Drehmomentsteuerüberwachungsteil 19 b ist klassifiziert, um ASIL-C zu sein. Der Getriebesteuerüberwachungsfunktionsteil 20b ist klassifiziert, um ASIL-D zu sein. Der Ausfallsicherungszuteilungsteil 22e ist klassifiziert, um ASIL-D zu sein.In particular, as in 3 is shown are the transmission control function part 19a , the idle stop system control function part 20a and the torque control function part 21a classified to be QM in the first embodiment. The monitoring test function part 21c for the idle stop system control monitoring, the error checking function part 22d for the test function of idle stop system control, the monitoring test function part 19c for torque control monitoring and the error checking function part 22c for the test function of the torque control are classified to be ASIL-A. The idle stop system control monitoring function part 21b , the monitoring test function part 20c for the transmission control monitoring and the error checking function part 22a for the test function of the transmission control are classified to be an ASIL-B. The torque control monitoring part 19th b is classified to be ASIL-C. The transmission control monitoring function part 20b is classified to be ASIL-D. The failover allocation part 22e is classified to be ASIL-D.
Für RAM-Werte, die Stoppbefehlanforderungen an die Aktuatorantriebsschaltungen 5 bis 7, die von den Steuerüberwachungsfunktionen und den Testfunktionen angefordert werden, speichern, hat der Ausfallsicherungszuteilungsteil 22e eine Lesezugriffsautorität für eine Software mit niedrigerer Wichtigkeit als die eigene Wichtigkeit und eine Schreib-LeseZugriffsautorität für eine Software mit gleicher Wichtigkeit wie die eigene Wichtigkeit. Somit teilt der Ausfallsicherungszuteilungsteil 22e ein Ausgeben des Stoppsignals von dem Mikrocomputer 2 an die Aktuatorantriebsschaltungen 5 bis 7 zu. In 3 ist die Lesezugriffsautorität mit einer unidirektionalen Pfeilmarkierung angegeben und die Lese-Schreibe-Zugriffsautorität ist mit einer bidirektionalen Pfeilmarkierung angegeben.For RAM values, the stop command requirements for the actuator drive circuits 5 to 7th that are requested by the control monitoring functions and the test functions store, the failover allocation part has 22e a read access authority for software with less importance than its own importance and a read / write access authority for software with the same importance as its own importance. Thus, the failover arbitration part shares 22e outputting the stop signal from the microcomputer 2 to the actuator drive circuits 5 to 7th to. In 3 the read access authority is indicated with a unidirectional arrow mark and the read-write access authority is indicated with a bidirectional arrow mark.
Somit teilt der Ausfallsicherungszuteilungsteil 22e das Ausgeben der Stoppsignale an die Aktuatorantriebsschaltungen 5 bis 7, die durch die Steuerüberwachungsfunktionsteile 19b, 20b und 21b angefordert werden, und das Ausgeben der Stoppsignale an die Aktuatorantriebsschaltungen 5 bis 7 zu, die durch die Testfunktionsteile 19c, 20c und 21c angefordert werden. Durch Festlegen der Zugriffsautorität für den Registerwert des zweiten Eingabe-Ausgabe-Ports 18 nur auf die Software, die den Ausfallsicherungszuteilungsteil 22e realisiert, ist es nicht notwendig, die Zugriffsautorität für den Registerwert des zweiten Eingabe-Ausgabe-Ports 18 individuell für jede Funktion festzulegen. Es ist demzufolge somit möglich, Ressourcen eines Speicherschutzes zu reduzieren, der die Anzahl von Portanschlüssen des zweiten Eingabe-Ausgabe-Ports 18 und Zugriffsautorität festlegt, und Verwendung von Hardwareressourcen zu reduzieren. Das heißt, durch Klassifizieren des Ausfallsicherungszuteilungsteils 22e als ASIL-D, was der höchsten Wichtigkeit entspricht, ist es möglich, Registerwerte des zweiten Eingabe-Ausgabe-Ports 18 kollektiv zu steuern und Ressourcenverwendung von Hardware zu sichern, wobei das Steuern der Registerwerte des zweiten Eingabe-Ausgabe-Ports 18 das Ausgeben der Stoppsignale an die Aktuatorantriebsschaltungen 5 bis 7 steuert.Thus, the failover arbitration part shares 22e outputting the stop signals to the actuator drive circuits 5 to 7th by the control supervisory function parts 19b , 20b and 21b and outputting the stop signals to the actuator drive circuits 5 to 7th to that by the test function parts 19c , 20c and 21c be requested. By setting the access authority for the register value of the second input-output port 18th only to the software that has the failover allocation part 22e realized, it is not necessary to change the access authority for the register value of the second input-output ports 18th to be set individually for each function. It is consequently possible to reduce the resources of memory protection that the number of port connections of the second input-output port 18th and set access authority, and reduce the use of hardware resources. That is, by classifying the failover allocation part 22e as ASIL-D, which corresponds to the highest importance, it is possible to use register values of the second input-output port 18th collectively control and secure resource use of hardware, controlling the register values of the second input-output port 18th outputting the stop signals to the actuator drive circuits 5 to 7th controls.
Wie vorstehend beschrieben ist, stellt die erste Ausführungsform die folgenden Vorteile bereit. Die elektronische Steuereinheit 1 beinhaltet den ersten bis dritten Prozessor 19 bis 21, in dem mehrere Steuerfunktionsteile 19a, 20a, 21a, mehrere Steuerüberwachungsfunktionsteile 19b, 20b, 21b und mehrere Testfunktionsteile 19c, 20c, 21c für die mehreren Steuerüberwachungen vorgesehen sind. Die elektronische Steuereinheit 1 beinhaltet ferner den vierten Prozessor 22, in dem mehrere Fehlerüberprüfungsfunktionsteile 22a, 22b, 22c für die mehreren Testfunktionen, der Überprüfungstestfunktionsteil 22d für die Fehlerüberprüfungsfunktionen und der Ausfallsicherungszuteilungsteil 22e vorgesehen sind. Somit ist es möglich, durch Software die mehreren Fehlerüberprüfungsfunktionsteile 22a, 22b, 22c für die Testfunktionen, den Überprüfungstestfunktionsteil 22d für die Fehlerüberprüfungsfunktion und den Ausfallsicherungszuteilungsteil 22e zu realisieren. Das heißt, durch Realisieren der Teile durch Software ist es, wie vorstehend beschrieben, möglich, einem Hinzufügen von Steuerfunktionsteilen flexibel zu begegnen, ohne die Anzahl von Anschlüssen für Fehlerüberprüfungsfunktionen und Ausfallsicherungsoperation zu erhöhen und ohne den Aufwand des Überwachungs-ICs 4 zu erhöhen, verglichen zu einem herkömmlichen Fall der Realisierung eines derartigen Hinzufügens von Steuerfunktionen durch Hardware.As described above, the first embodiment provides the following advantages. The electronic control unit 1 includes the first through third processors 19th to 21 , in which several control function parts 19a , 20a , 21a , several control control function parts 19b , 20b , 21b and several test function parts 19c , 20c , 21c for which several control monitors are provided. The electronic control unit 1 further includes the fourth processor 22nd , in which several error checking function parts 22a , 22b , 22c for the multiple test functions, the verification test function part 22d for the error checking functions and the failover arbitration part 22e are provided. Thus, it is possible to use software to perform the multiple error checking function parts 22a , 22b , 22c for the test functions, the verification test function part 22d for the error checking function and the failover arbitration part 22e to realize. That is, by realizing the parts by software, as described above, it is possible to flexibly cope with adding control function parts without increasing the number of terminals for fault checking functions and failover operation and without the burden of the monitoring IC 4th compared to a conventional case of realizing such adding of control functions by hardware.
Ferner teilt der Ausfallsicherungszuteilungsteil 22e das Ausgeben der Stoppsignale an die Schaltungen 5 bis 7, die von Anforderungen von den Steuerfunktionsteilen 19b, 20b, 21b angefordert werden, und Ausgeben der Stoppsignale an die Schaltungen 5 bis 7 zu, die von den Testfunktionsteilen 19c, 20c, 21c angefordert werden. Es ist somit möglich, Verwendung von Ressourcen und der Hardware zu sichern bzw. zu schützen. Bestimmt der Überwachungs-IC 4, dass der Mikrocomputer 2 abnormal ist, basierend auf den Überwachungsergebnisinformationen, die von dem Überprüfungstestfunktionsteil 22d der Fehlerüberprüfungsfunktion ausgegeben werden, wird das Stoppsignal an alle der Aktuatorantriebsschaltungen 5 ausgegeben. Es ist somit möglich, die Ausfallsicherungsverarbeitung für jede der Übertragungssteuerungen, der Leerlaufstoppsystemsteuerung und der Drehmomentsteuerung auszuführen.Furthermore, the failover allocation part shares 22e outputting the stop signals to the circuits 5 to 7th that of requests from the control functional parts 19b , 20b , 21b are requested, and outputting the stop signals to the circuits 5 to 7th to that of the test function parts 19c , 20c , 21c be requested. It is thus possible to secure or protect the use of resources and hardware. Determines the monitoring IC 4th that the microcomputer 2 is abnormal based on the monitoring result information received from the verification test function part 22d of the error check function are output, the stop signal is sent to all of the actuator drive circuits 5 issued. It is thus possible to execute the fail-safe processing for each of the transmission controls, the idle stop system control, and the torque control.
(Zweite Ausführungsform)(Second embodiment)
Eine zweite Ausführungsform der vorliegenden Erfindung wird mit Bezug auf 4 beschrieben. Zur Vereinfachung der Beschreibung werden nur Teile der zweiten Ausführungsform, die zur ersten Ausführungsform unterschiedlich sind, beschrieben.A second embodiment of the present invention will be described with reference to FIG 4th described. To simplify the description, only parts of the second embodiment that are different from the first embodiment will be described.
In der zweiten Ausführungsform beinhaltet eine elektronische Steuereinheit 31 ferner eine Warnlichtantriebsschaltung 32, die der elektronischen Einheit 1 hinzugefügt ist, die als die erste Ausführungsform beschrieben ist. In der zweiten Ausführungsform führen die Testfunktionsteile 19c, 20c, 21c für die Steuerüberwachungen, die in dem ersten bis dritten Prozessor 10 bis 21 bereitgestellt sind, Funktionstests für irgendeinen der Fehlerüberprüfungsfunktionsteile 22a, 22b, 22c des Überprüfungstestfunktionsteils 22d der Fehlerüberprüfungsfunktion und des Ausfallsicherungsteils 22e aus, die in dem vierten Prozessor vorgesehen sind. Die Testfunktionsteile 19c, 20c, 21c für die Steuerüberwachung geben ein Steuersignal von dem zweiten Eingabe-Ausgabe-Port 18 an eine Warnlichtantriebsschaltung 32 aus, wenn mindestens einer der Fehlerüberprüfungsfunktionsteile 22a, 22b, 22c, des Testfunktionsteils 22d für die Fehlerüberprüfungsfunktion und des Ausfallsicherungszuteilungsteils 22e als anomal bestimmt wird. Die Warnlichtantriebsschaltung 32 gibt ein Antriebssignal an ein Warnlicht 33 in Antwort auf das Steuersignal, das von dem zweiten Eingabe-Ausgabe-Port 18 empfangen wird, zum Einschalten des Warnlichts 33 aus. Somit wird der Benutzer wie beispielsweise ein Fahrer über die Anomalität unterrichtet.In the second embodiment includes an electronic control unit 31 also a warning light drive circuit 32 that of the electronic unit 1 which is described as the first embodiment is added. In the second embodiment, the test function parts lead 19c , 20c , 21c for the control monitors that are in the first through third processors 10 to 21 are provided, functional tests for any of the fault-checking functional parts 22a , 22b , 22c of the verification test function part 22d the error checking function and the failover part 22e provided in the fourth processor. The test function parts 19c , 20c , 21c for control monitoring give a control signal from the second input-output port 18th to a warning light drive circuit 32 off if at least one of the error checking functional parts 22a , 22b , 22c , the test function part 22d for the error checking function and the failover arbitration part 22e is determined to be abnormal. The warning light drive circuit 32 gives a drive signal to a warning light 33 in response to the control signal from the second input-output port 18th is received to switch on the warning light 33 out. Thus, the user such as a driver is notified of the abnormality.
Das heißt, sogar, wenn der vierte Prozessor 22 eine Anomalität von Software in dem vierten Prozessor 22 bestimmt, wird kein kritisches Sicherheitsproblem im Gegensatz zur Anomalität von Software in dem ersten bis dritten Prozessor 19 bis 21 verursacht. Aus diesem Grund, wenn die Anomalität von Software in dem vierten Prozessor 22 bestimmt wird, geben die Testfunktionsteile 19c, 20c, 21c für die Steuerüberwachung die Stoppsignale nicht an die Aktuatorantriebsschaltungen 5 bis 7 aus und ändern einen Notlaufbetrieb nicht. Anstatt dessen geben die Testfunktionsteile 19c, 20c, 21c das Steuersignal an die Warnlichtantriebsschaltung 32 aus, um dabei einen Benutzer wie beispielsweise einen Fahrer über die Anomalität von Software in dem vierten Prozessor 22 zu unterrichten.That is, even if the fourth processor 22nd an abnormality of software in the fourth processor 22nd determined, no critical security problem becomes unlike the abnormality of software in the first to third processors 19th to 21 caused. Because of this, when the abnormality of software in the fourth processor 22nd is determined, give the test function parts 19c , 20c , 21c for control monitoring, do not send the stop signals to the actuator drive circuits 5 to 7th and do not change an emergency operation. Instead, the test function parts give 19c , 20c , 21c the control signal to the warning light drive circuit 32 out to thereby inform a user such as a driver about the abnormality of software in the fourth processor 22nd to teach.
Gemäß der zweiten vorstehend beschriebenen Ausführungsform wird der gleiche Vorteil wie der der ersten Ausführungsform bereitgestellt. Ferner ist es möglich, einen Benutzer wie beispielsweise einen Fahrer über die Softwareanomalität in dem vierten Prozessor 22 zu unterrichten.According to the second embodiment described above, the same advantage as that of the first embodiment is provided. Further, it is possible to inform a user such as a driver about the software abnormality in the fourth processor 22nd to teach.
(Dritte Ausführungsform)(Third embodiment)
Eine dritte Ausführungsform der vorliegenden Erfindung wird mit Bezug auf 5 beschrieben. Der Einfachheit halber werden nur Teile der dritten Ausführungsform, die sich von der zweiten Ausführungsform unterscheiden.A third embodiment of the present invention will be described with reference to FIG 5 described. For the sake of simplicity, only parts of the third embodiment that differ from the second embodiment are shown.
In der dritten Ausführungsform beinhaltet bezüglich der zweiten Ausführungsform die elektronische Steuereinheit 31 ferner eine Konfiguration, in der die Testfunktionsteile 19c, 20c, 21c für die Steuerüberwachungen, die in dem ersten bis dritten Prozessor 10 bis 21 vorgesehen sind, an den Überwachungs-IC 4 Testergebnisse ausgeben, die für irgendeinen der Fehlerüberprüfungsfunktionsteile 22a, 22b, 22c für die Testfunktion, den Überprüfungstestfunktionsteil 22d der Fehlerüberprüfungsfunktion und den Ausfallsicherungszuteilungsteil 22e, die in dem vierten Prozessor vorgesehen sind, ausgeführt werden.In the third embodiment, related to the second embodiment, includes the electronic control unit 31 also a configuration in which the test function parts 19c , 20c , 21c for the control monitors that are in the first through third processors 10 to 21 are provided to the monitoring IC 4th Output test results relevant to any of the fault-checking functional parts 22a , 22b , 22c for the test function, the verification test function part 22d the error checking function and the failover arbitration part 22e provided in the fourth processor are executed.
Die Testfunktionsteile 19c, 20c, 21c für die Steuerüberwachung geben die Testergebnisse an den Überwachungs-IC 4 individuell, das heißt Prozessor um Prozessor aus. Der Überwachungs-IC analysiert das vom Mikrocomputer 2 empfangene Testergebnis und spezifiziert eine spezielle Steuerung aus der Getriebesteuerung, der Leerlaufstoppsystemsteuerung und der Drehmomentsteuerung, für die die Ausfallsicherungsverarbeitung ausgeführt werden muss. Der Überwachungs-IC 4 gibt dann das Stoppsignal an die entsprechenden Aktuatorantriebsschaltungen 5 bis 7 aus und gibt das Steuersignal an die Warnlichtantriebsschaltung 32 aus, so dass die Anomalität einem Benutzer wie beispielsweise einem Fahrer durch Einschalten des Warnlichts 33 berichtet bzw. dieser dadurch unterrichtet wird.The test function parts 19c , 20c , 21c for the control monitoring give the test results to the monitoring IC 4th individually, that is, processor after processor. The monitoring IC analyzes this from the microcomputer 2 received test result and specifies a specific control among the transmission control, the idling stop system control and the torque control for which the fail-safe processing needs to be executed. The monitoring IC 4th then gives the stop signal to the corresponding actuator drive circuits 5 to 7th and outputs the control signal to the warning light drive circuit 32 off so that the abnormality can be notified to a user such as a driver by turning on the warning light 33 reported or this is informed.
Gemäß der vorstehend beschriebenen dritten Ausführungsform wird der gleiche Vorteil wie der der ersten Ausführungsform bereitgestellt. Ferner ist es möglich, übermäßiges Ausführen der Ausfallsicherungsverarbeitung für die Getriebesteuerung, die Leerlaufstoppsystemsteuerung und die Drehmomentsteuerung zu beschränken.According to the third embodiment described above, the same advantage as that of the first embodiment is provided. Further, it is possible to restrict the failover processing for the transmission control, the idle stop system control, and the torque control from being excessively executed.
(Weitere Ausführungsform)(Further embodiment)
Die vorliegende Erfindung ist nicht auf die vorstehend beschriebenen Ausführungsformen beschränkt und kann auf unterschiedliche Weise modifiziert werden.The present invention is not limited to the above-described embodiments and can be modified in various ways.
Obwohl die vorstehend beschriebenen Ausführungsformen beispielhaft dargestellt sind, um die Getriebesteuerung, die Leerlaufstoppsystemsteuerung und Drehmomentsteuerung auszuführen, können andere Steuerungen ausgeführt werden. Das heißt, die Anzahl von Prozessoren mit den Steuerfunktionsteilen und den Steuerüberwachungsteilen ist nicht auf drei beschränkt, sondern kann 2, 4 und mehr sein.Although the above-described embodiments are exemplified to perform the transmission control, the idle stop system control, and the torque control, other controls may be performed. That is, the number of processors having the control function parts and the control monitoring parts is not limited to three, but can be 2, 4 and more.
Die Erfindung kann folgendermaßen zusammengefasst werden: Eine elektronische Steuereinheit beinhaltet den ersten bis dritten Prozessor, in denen mehrere Steuerfunktionsteile, mehrere Steuerüberwachungsfunktionsteile und mehrere Überwachungstestfunktionsteile vorgesehen sind. Die elektronische Steuereinheit beinhaltet ferner einen vierten Prozessor, in dem mehrere Fehlerüberprüfungsfunktionsteile für die Überwachungstestfunktionen, ein Überprüfungstestfunktionsteil für die Fehlerüberprüfungsfunktionen und ein Ausfallsicherungszuteilungsteil vorgesehen sind. Die mehreren Fehlerüberprüfungsfunktionsteile, der Überprüfungstestfunktionsteil und der Ausfallsicherungszuteilungsteil sind in dem vierten Prozessor, der sich von dem ersten bis dritten Prozessor unterscheidet, durch Software realisiert.The invention can be summarized as follows: An electronic control unit includes the first to third processors in which a plurality of control function parts, a plurality of control monitoring function parts and a plurality of monitoring test function parts are provided. The electronic control unit further includes a fourth processor in which a plurality of failure checking function parts for the monitoring test functions, a verification test function part for the failure checking functions, and a failover allocation part are provided. The plurality of fault checking function parts, the verification test function part, and the failover arbitration part are implemented by software in the fourth processor, which is different from the first to third processors.
