DE102018219700B4 - Steuervorrichtung - Google Patents

Steuervorrichtung Download PDF

Info

Publication number
DE102018219700B4
DE102018219700B4 DE102018219700.8A DE102018219700A DE102018219700B4 DE 102018219700 B4 DE102018219700 B4 DE 102018219700B4 DE 102018219700 A DE102018219700 A DE 102018219700A DE 102018219700 B4 DE102018219700 B4 DE 102018219700B4
Authority
DE
Germany
Prior art keywords
error
memory
processing
cpu
arithmetic unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102018219700.8A
Other languages
English (en)
Other versions
DE102018219700A1 (de
Inventor
Keiji Sasaki
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from JP2018086888A external-priority patent/JP7024582B2/ja
Application filed by Denso Corp filed Critical Denso Corp
Publication of DE102018219700A1 publication Critical patent/DE102018219700A1/de
Application granted granted Critical
Publication of DE102018219700B4 publication Critical patent/DE102018219700B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1666Error detection or correction of the data by redundancy in hardware where the redundant component is memory or memory area

Abstract

Steuervorrichtung, die ein in einem Fahrzeug montiertes Steuerziel steuert, wobei die Steuervorrichtung umfasst:einen ersten Speicher (13) mit einer Fehlerprüffunktion;einen zweiten Speicher (14) mit einer Fehlerprüffunktion; undeine Arithmetikeinheit (11), die dazu ausgelegt ist, auf den ersten Speicher und den zweiten Speicher zuzugreifen, um Daten auszulesen,wobei der erste Speicher für die Arithmetikeinheit verwendet wird, um eine Steuerverarbeitung zum Steuern des Steuerziels auszuführen,wobei der zweite Speicher für die Arithmetikeinheit verwendet wird, um eine Überwachungsverarbeitung zur Sicherheit beim Steuern des Steuerziels durchzuführen,wobei sich ein erster Fehler auf einen Fehler beim Auslesen von Daten bezieht, die aus dem ersten Speicher ausgelesen werden,wobei sich ein zweiter Fehler auf einen Fehler beim Auslesen von Daten bezieht, die aus dem zweiten Speicher ausgelesen werden,wobei die Arithmetikeinheit dazu ausgelegt ist, als Reaktion auf das Erfassen des ersten Fehlers und ohne Erfassung des zweiten FehlersDaten, die aus dem ersten Speicher ausgelesen werden, in einen Speicherbereich des ersten Speichers zu schreiben, in dem die Daten gespeichert werden, undkeine Sicherheitsverarbeitung für die Sicherheit beim Steuern des Steuerziels auszuführen, undwobei die Arithmetikeinheit dazu ausgelegt ist, als Reaktion auf das Erfassen des zweiten Fehlers eine Sicherheitsverarbeitung für die Sicherheit beim Steuern des Steuerziels durchzuführen.

Description

  • Die vorliegende Offenbarung betrifft eine Steuervorrichtung.
  • Beispielsweise offenbart die JP 2009-62998 A eine Steuervorrichtung. Die Steuervorrichtung bestimmt eine Verhaltensänderung eines Fahrzeugs, die nicht von einem Fahrer beabsichtigt ist, als Reaktion auf die Bestimmung, dass die tatsächliche Beschleunigung des Fahrzeugs größer als die gewünschte Beschleunigung ist, um die Maschinenleistung zu stoppen oder zu reduzieren.
  • Ein Fehler in einer Steuerung kann ein Soft Error des Speichers sein. Der Soft Error ist einer der Fehler, die verursacht werden, wenn ein oder mehrere Datenbits im Speicher durch kosmische Strahlung invertiert werden. JP 2009-62998 A offenbart jedoch keine Gegenmaßnahmen für den Soft Error.
  • Der Speicher verfügt über eine ,Error-Check-and-Correct‘ (Fehlerprüf- und Korrigier-, im Folgenden „ECC“ genannt) Funktion als Gegenmaßnahme zum Soft Error. Bei der ECC-Funktion werden beim Schreiben von Daten in den Speicher die Prüfdaten, die auf der Grundlage der Ist-Daten als Schreibdaten berechnet werden, an die Ist-Daten angehängt und in den Speicher geschrieben, und bei Verwendung der angehängten Prüfdaten wird beim Auslesen der Daten aus dem Speicher ein Fehler (d.h. Datenfehler) festgestellt. Die Prüfdaten beziehen sich auf redundante Daten, die zur Überprüfung und Behebung eines Fehlers hinzugefügt werden. Der mit der ECC-Funktion ausgestattete Speicher kann als ECC-Speicher bezeichnet werden.
  • Ein mit dem ECC-Speicher versehener Mikrocomputer kann als Steuerung zum Steuern des Betriebs der Steuervorrichtung verwendet werden, um den Soft Error im Speicher zu erkennen. Es kann auch in Betracht gezogen werden, den Mikrocomputer als Reaktion auf das Erkennen des Soft Errors zurücksetzen.
  • Der Erfinder, der die vorstehend erläuterte Technik genau untersuchte, hat jedoch folgende Punkte gefunden. Die mit dem vorstehend erwähnten Mikrocomputer aufgebaute Steuervorrichtung darf, soweit dies möglich ist, ein Objekt nicht mehr steuern, wenn die Steuervorrichtung einen Fehler aufweist. Der Reset bzw. das Rücksetzen des Mikrocomputers entspricht dem Rücksetzen des Steuergerätes.
  • Ein „Safety application guide for SPC564Axx/RPC564Axx family. Application note“, der im Internet zumindest am 9. September 2019 unter der URL „https://www.st.com/content/ccc/resource/technical/document/application note/76/04/7a /01/b2/c1/43/db/DM00081501.pdf/files/DM00081501.pdf/jcr:content/translations/en.DM0 0081501.pdf“ herunterladbar war, offenbart eine Steuervorrichtung, die ein in einem Fahrzeug montiertes Steuerziel steuert, wobei die Steuervorrichtung Folgendes umfasst: Einen Speicher mit einer Fehlerprüffunktion, eine Arithmetikeinheit, die dazu aufgelegt ist, auf den Speicher zuzugreifen, um Daten auszulesen, wobei die Arithmetikeinheit dazu ausgelegt ist, eine Sicherheitsverarbeitung für die Sicherheit beim Steuern des Steuerzieles als Reaktion auf die Erfassung eines Fehlers durchzuführen, wobei sich der Fehler auf einen Fehler beim Auslesen von Daten aus dem Speicher bezieht.
  • Mit der vorliegenden Erfindung soll eine Steuervorrichtung bereitgestellt werden, um die Sicherheit der Steuerung zu gewährleisten und gleichzeitig ein Steuerziel so weit wie möglich zu steuern, selbst wenn ein Fehler in einem Speicher auftritt. Somit ist es Aufgabe der vorliegenden Erfindung die Sicherheit der Maschinensteuerung über einen langen Zeitraum zu gewährleisten.
  • Diese Aufgabe wird durch den Gegenstand von Anspruch 1 gelöst. Erfindungsgemäße Weiterbildungen sind Gegenstand der Unteransprüche. Nach einem Aspekt der vorliegenden Offenbarung steuert eine Steuervorrichtung ein in einem Fahrzeug montiertes Steuerziel. Die Steuervorrichtung umfasst: einen ersten Speicher mit einer Fehlererkennungsfunktion; einen zweiten Speicher mit einer Fehlererkennungsfunktion; und eine Recheneinheit, die dafür ausgelegt ist, auf den ersten Speicher und den zweiten Speicher zuzugreifen. Der erste Speicher wird für die Arithmetikeinheit verwendet, um eine Steuerverarbeitung zur Steuerung des Steuerziels auszuführen, und der zweite Speicher wird für die Arithmetikeinheit verwendet, um eine Überwachungsverarbeitung zur Sicherung der Steuerverarbeitung des Steuerziels durchzuführen. Die Recheneinheit ist dafür ausgelegt, aus dem ersten Speicher ausgelesene Daten in einen Speicherbereich des ersten Speichers zu schreiben, in dem die Daten als Reaktion auf das Erkennen eines ersten Fehlers gespeichert werden. Die Recheneinheit ist dafür ausgelegt, eine Sicherheitsverarbeitung für die Sicherheit bei der Steuerung des Steuerziels als Reaktion auf das Erkennen eines zweiten Fehlers durchzuführen. Der erste Fehler bezieht sich auf einen Fehler beim Auslesen von Daten aus dem ersten Speicher und der zweite Fehler auf einen Fehler beim Auslesen von Daten aus dem zweiten Speicher.
  • Gemäß diesem Aufbau wird die Sicherheitsverarbeitung durchgeführt, da die Überwachungsfunktion beim zweiten Fehler wahrscheinlich nicht im Normalzustand arbeitet. Dadurch kann die Sicherheit bei der Steuerung erhöht werden.
  • Die normale Steuerungsverarbeitung kann weiter fortgesetzt werden, ohne die Sicherheitsverarbeitung beim ersten Fehler durchzuführen. In dieser Situation ist die Sicherheit bei der Steuerung durch die Überwachungsfunktion gewährleistet, die der zweite Speicher nutzt. Somit kann der Steuerbetrieb auch bei einem Fehler im Speicher so weit wie möglich fortgesetzt werden.
  • Es ist möglich, die Sicherheit der Steuerung zu gewährleisten und gleichzeitig ein Steuerziel so weit wie möglich selbst dann zu kontrollieren, wenn ein Fehler im Speicher auftritt.
  • Die vorstehend genannten und andere Objekte, Merkmale und Vorteile der vorliegenden Offenbarung werden aus der folgenden genauen Beschreibung unter Bezugnahme auf die beigefügten Zeichnungen ersichtlich. In den Zeichnungen:
    • ist 1 ein Blockschaltbild, das eine elektronische Steuereinheit gemäß einer ersten Ausführungsform darstellt;
    • ist 2 ein Ablaufplan, der den Betrieb eines Überwachungs-ICs veranschau licht;
    • ist 3 ein Ablaufplan, der die Verarbeitung der Drehmomentüberwachung veranschau licht;
    • ist 4 ein Ablaufplan, der die Fehlerverarbeitung gemäß der ersten Ausführungsform veranschaulicht; und
    • ist 5 ein Ablaufplan, der die Fehlerverarbeitung gemäß der zweiten Ausführungsform veranschaulicht.
    • 6 ist ein Ablaufplan, der die Fehlerverarbeitung nach anderen Ausführungsformen veranschaulicht.
  • Nachstehend werden mehrere Ausführungsformen der vorliegenden Offenbarung anhand der Zeichnungen beschrieben.
  • [Erste Ausführungsform]
  • [Aufbau]
  • Eine (im Folgenden als ECU bezeichnete) elektronische Steuereinheit 1 gemäß der ersten in 1 dargestellten Ausführungsform ist beispielsweise eine Steuervorrichtung zum Steuern einer Maschine als Energieversorgung eines Fahrzeugs.
  • Wie in 1 dargestellt, umfasst die ECU 1 einen Mikrocomputer 3 als Steuerung zum Steuern des Betriebs der ECU 1. Die ECU 1 umfasst ferner einen Überwachungs-IC 5, der den Betrieb des Mikrocomputers 3 überwacht.
  • Eine elektronische Drossel 7 und ein Messgerät 9 sind mit der ECU 1 verbunden. Die elektronische Drossel 7 umfasst ein Drosselventil zum Einstellen der Ansaugluftmenge der Maschine und ein Stellglied zum Einstellen des Öffnungsgrades des Drosselventils. Das Messgerät 9 ist mit einer Lampe 9a ausgestattet, die das Auftreten eines Fehlers anzeigt. Obwohl dies nicht in den Zeichnungen dargestellt ist, kann die ECU 1 beispielsweise auch an ein Einspritzventil zum Einspritzen von Kraftstoff in die Maschine oder an eine Zündung zum Zünden in einem Zylinder der Maschine angeschlossen sein.
  • Der Mikrocomputer 3 umfasst eine CPU 11, ein ROM 12, ein erstes RAM 13, ein zweites RAM 14 und einen Störungsmelder 15. Die CPU 11 kann auf das ROM 12, das erste RAM 13 und das zweite RAM 14 zugreifen. Das erste RAM 13 und das zweite RAM 14 können in zwei verschiedene Speicherbereiche in einem RAM oder in zwei physikalisch unterschiedliche RAMs unterteilt werden.
  • Ein Programm, das durch die CPU 11 ausführbar ist, wird im ROM 12 gespeichert. Jede Funktion im Mikrocomputer 3 ist dazu aufgebaut, der CPU 11 zu erlauben, ein Programm auszuführen, das auf einem nichtflüchtigen physikalischen Speichermedium gespeichert ist. In diesem Beispiel entspricht das ROM 12 dem nichtflüchtigen physikalischen Speichermedium, das ein Programm speichert. Darüber hinaus wird ein dem Programm entsprechendes Verfahren durch Ausführen des Programms durchgeführt. Die ECU 1 kann auch mehrere Microcomputer umfassen.
  • Die CPU 11 kann die Verarbeitung zur Steuerung der Maschine (im Folgenden „Maschinensteuerungsverarbeitung“ genannt) durch Ausführen eines im ROM 12 gespeicherten Programms zur Steuerung der Maschine ausführen.
  • Für die Maschinensteuerungsverarbeitung kann die CPU 11 beispielsweise das vom Fahrer benötigte Ausgangsdrehmoment der Maschine (im Folgenden „erforderliches Drehmoment“ genannt) basierend auf der Betriebsgröße eines vom Fahrer betätigten Gaspedals berechnen. Für die Maschinensteuerungsverarbeitung kann die CPU 11 auch den Öffnungsgrad des Drosselventils, die Kraftstoffeinspritzmenge oder den Zündzeitpunkt so steuern, dass das Ausgangsdrehmoment der Maschine dem gewünschten Drehmoment entspricht. Der Öffnungsgrad der Drossel bezieht sich auf den Öffnungsgrad des Drosselventils in der elektronischen Drossel 7.
  • Die CPU 11 führt dann die Maschinensteuerungsverarbeitung unter Verwendung des ersten RAM 13 aus. Anders gesagt wird das erste RAM 13 von der CPU 11 für die Maschinensteuerungsbearbeitung verwendet.
  • Die CPU 11 führt auch die Überwachungsverarbeitung (nachfolgend „Drehmomentüberwachungsverarbeitung“ oder kurz „Drehmomentüberwachung“ genannt) zur Gewährleistung der Sicherheit der Maschinensteuerung durch, indem sie ein im ROM 12 gespeichertes Programm zur Überwachung ausführt.
  • Die CPU 11 verwendet das zweite RAM 14 zur Ausführung der Drehmomentüberwachung. Das heißt, das zweite RAM 14 wird von der CPU 11 verwendet, um die Überwachung auszuführen.
  • Das erste RAM 13 und das zweite RAM 14 sind mit der ECC-Funktion ausgestattet. Anders gesagt sind es ECC-Speicher. Für das erste RAM 13 und das zweite RAM 14 wird in einer Situation mit einem Fehler, bei dem nur ein Bit invertiert ist, das invertierte Bit auf das korrigierte Bit geschaltet. Andererseits werden in einer Situation, in der ein Fehler auftritt, bei dem zwei oder mehr Bits invertiert werden, die invertierten Bits nicht auf die korrigierten Bits umgeschaltet. Stattdessen wird das Auftreten der invertierten Bits (also ein Fehler) erkannt.
  • Die CPU 11 liest Daten sowohl im ersten RAM 13 als auch im zweiten RAM 14 aus. Wenn ein Fehler in den ausgelesenen Daten erkannt wird, gibt der Störungsmelder 15 eine Fehlermeldung, die das Auftreten eines Fehlers anzeigt, an die CPU 11 aus. Die Fehlermeldung enthält auch die Information über eine Adresse, bei der ein Fehler erkannt wird.
  • Die CPU 11 gibt ein von einem Watchdog-Zeitgeber erzeugtes klares Signal (im Folgenden „WDC-Signal“ genannt) innerhalb einer vorgegebenen Zeit vom Mikrocomputer 3 an den Überwachungs-IC 5 aus.
  • Wie in 2 dargestellt bestimmt der Überwachungs-IC 5, ob der Mikrocomputer 3 die Ausgabe des WDC-Signals bei Schritt S110 beendet. Insbesondere verwendet der Überwachungs-IC 5 einen integrierten Timer (nämlich den Watchdog-Zeitgeber), um zu überwachen, ob die Stoppzeit der Ausgabe des WDC-Signals schon länger als oder gleich lang wie eine erforderliche Zeit verstrichen ist, die länger als die vorstehend genannte vorbestimmte Zeit ist. Der Überwachungs-IC 5 bestimmt dann, dass der Mikrocomputer 3 die Ausgabe des WDC-Signals stoppt, wenn die Stoppzeit der Ausgabe des WDC-Signals länger als die erforderliche Zeit oder gleich lang ist.
  • Wenn der Überwachungs-IC 5 bei Schritt S110 bestimmt, dass der Mikrocomputer 3 die Ausgabe des WDC-Signals beendet, gibt der Überwachungs-IC 5 bei Schritt S120 ein Rücksetzsignal an den Mikrocomputer 3 aus. Der Überwachungs-IC 5 bestimmt dann bei Schritt S130, ob die vorgegebene Rücksetzzeit ab dem Startzeitpunkt der Ausgabe des Rücksetzsignals abgelaufen ist, und stoppt die Ausgabe des Rücksetzsignals an den Mikrocomputer 3 bei Schritt S140, wenn die Rücksetzzeit abgelaufen ist. Das heißt, das Zurücksetzen bzw. der Reset des Mikrocomputers 3 wird gelöscht.
  • [ Drehmomentüberwachung]
  • Im Folgenden wird die Drehmomentüberwachung durch die CPU 11 mit Bezug auf 3 beschrieben. Die Drehmomentüberwachung wird z.B. in jedem vorgegebenen Zeitintervall durchgeführt.
  • Wie in 3 dargestellt, beginnt die CPU 11 mit der Ausführung der Drehmomentüberwachung bei Schritt S210, um zu bestimmen, ob eine Drehmomenterhöhung stattfindet, die nicht vom Fahrer beabsichtigt ist. Insbesondere bestimmt die CPU 11 das maximale Drehmoment, das der Maximalwert des Fahrzeugdrehmoments ist, basierend auf dem erforderlichen Drehmoment, und bestimmt das tatsächliche Fahrzeugdrehmoment (im Folgenden „Istdrehmoment“ genannt). Die CPU 11 vergleicht das tatsächliche Drehmoment mit dem maximalen Drehmoment und bestimmt, dass eine Erhöhung des Drehmoments auftritt, die nicht vom Fahrer beabsichtigt ist, wenn das tatsächliche Drehmoment das maximale Drehmoment überschreitet.
  • Wenn die CPU 11 bei Schritt S210 bestimmt, dass eine Erhöhung des Drehmoments auftritt, die nicht vom Fahrer beabsichtigt ist, stoppt die CPU 11 die elektrische Leitung zur elektronischen Drossel 7 bei Schritt S220. Anschließend beendet die CPU 11 die Drehmomentüberwachung. Wenn die elektrische Leitung zur elektronischen Drossel 7 unterbrochen wird, ist der Öffnungsgrad der Drossel ein solcher Öffnungsgrad, dass die Maschine einen Leerlaufbetrieb ausführen kann. Dementsprechend wird die Maschinenleistung auf den minimalen Grenzwert beschränkt, um die Beschleunigung des Fahrzeugs zu verhindern. Das Fahrzeug kann jedoch mit der minimalen Grenzgeschwindigkeit (d.h. in einem Kriechmodus) fahren.
  • Wenn die CPU 11 bei Schritt S210 bestimmt, dass keine Erhöhung des Drehmoments auftritt, die der Fahrer nicht beabsichtigt hat, beendet die CPU 11 die Verarbeitung der Drehmomentüberwachung, ohne die Verarbeitung bei Schritt S220 durchzuführen.
  • [Fehlerbehandlung]
  • Im Folgenden wird die Fehlerbehandlung durch die CPU 11 mit Bezug auf 4 beschrieben.
  • Die CPU 11 führt die in 4 dargestellte Fehlerbearbeitung durch, wenn der Störungsmelder 15 die Fehlermeldung ausgibt.
  • Wie in 4 dargestellt, startet die CPU 11 die Fehlerverarbeitung, um zu bestimmen, ob ein Fehler im zweiten RAM 14 erkannt wird. Die CPU 11 bestimmt basierend auf der Adressinformation, die in der vom Störungsmelder 15 ausgegebenen Fehlermeldung enthalten ist, ob der Fehler im ersten RAM 13 oder im zweiten RAM 14 erkannt wird.
  • Wenn die CPU 11 bei Schritt S310 bestimmt, dass der Fehler im zweiten RAM 14 erkannt wird, verschiebt die CPU 11 die Verarbeitung auf Schritt S320 und stoppt dann die Ausgabe des WDC-Signals an den Überwachungs-IC 5. Die CPU 11 wartet dann bei Schritt S330 darauf, dass der Mikrocomputer 3 zurückgesetzt wird, d.h. durch den Überwachungs-IC 5 initialisiert wird. Der Reset bzw. das Rücksetzen des in der ECU 1 enthaltenen Mikrocomputers 3 entspricht dem Reset der ECU 1.
  • Wenn die CPU 11 bei Schritt S310 bestimmt, dass kein Fehler im zweiten RAM 14 erkannt wird, d.h. der Fehler im ersten RAM 13 beim Auslesen von Daten aus dem ersten RAM 13 erkannt wird, geht die CPU 11 zur Verarbeitung des Schritts S340 weiter.
  • Die CPU 11 aktualisiert den Speicher, wenn bei Schritt S340 die Daten aus dem ersten RAM 13 ausgelesen werden. Mit anderen Worten werden die aus dem ersten RAM 13 ausgelesenen Daten in die Adresse des ersten RAMs 13 geschrieben, in der die Daten gespeichert sind.
  • Die CPU 11 benachrichtigt dann einen Benutzer über das Auftreten eines Fehlers, indem sie die Lampe 9a des Messgeräts 9 einschaltet, und beendet anschließend die Fehlerbehandlung. Die Ausführung der Maschinensteuerungsverarbeitung wird weiter fortgesetzt, wenn der Fehler im ersten RAM 13 erkannt wird.
  • [Effekte]
  • Mit der ECU 1 gemäß der ersten Ausführungsform können folgende Effekte erzielt werden.
  • (1a) In einer Situation, in der die CPU 11 bestimmt, dass beim Auslesen von Daten aus dem zweiten RAM 14 ein Fehler erkannt wird (im Folgenden „mit dem zweiten Fehler“ genannt), ist es wahrscheinlich, dass die Überwachungsfunktion im Normalzustand nicht funktioniert. Mit anderen Worten ist es wahrscheinlich, dass die Drehmomentüberwachung nicht in einem Normalzustand ausgeführt wird. Daher führt die CPU 11 die Verarbeitung bei Schritt S320 als Sicherheitsverarbeitung zur Absicherung der Maschinensteuerung durch. Wenn der Mikrocomputer 3 durch die Verarbeitung bei Schritt S320 zurückgesetzt wird, werden die Speicherdaten im zweiten RAM 14 initialisiert. Daher ist es wahrscheinlich, dass die Überwachungsfunktion unter Nutzung des zweiten RAM 14 im Normalzustand arbeitet. Dementsprechend wird die Sicherheit bei der Maschinensteuerung erhöht.
  • In einer Situation, in der die CPU 11 einen Fehler beim Auslesen von Daten aus dem ersten RAM 13 erkennt (im Folgenden „mit dem ersten Fehler“ genannt), setzt die CPU 11 die Ausführung der Maschinensteuerungsverarbeitung fort, ohne den Mikrocomputer 3 zurückzusetzen. In dieser Situation kann die Sicherheit bei der Maschinensteuerung durch die Überwachungsfunktion mit Hilfe des zweiten RAM 14 gewährleistet werden. Daher kann die Maschinensteuerung auch bei einem Fehler so weit wie möglich fortgesetzt werden.
  • Die ECU 1 kann die Sicherheit der Maschinensteuerung gewährleisten und gleichzeitig die Maschinensteuerung auch im Fehlerfall so weit wie möglich fortsetzen.
  • Im Allgemeinen benötigt die Maschinensteuerungsverarbeitung verglichen mit der Überwachungsverarbeitung mehr Speicherplatz. Die Ursache für die Durchführung des Zurücksetzens ist auf eine Situation beschränkt, bei der im zweiten RAM 14 ein Soft Error vorliegt. Dadurch wird die Wahrscheinlichkeit des Auftretens eines Resets verringert.
  • (1b) Wenn der zweite Fehler vorliegt, führt die CPU 11 eine Verarbeitung als Sicherheitsverarbeitung durch, um den Mikrocomputer 3 bei Schritt S320 zurückzusetzen. Somit ist es wie bereits erwähnt wahrscheinlich, dass die Überwachungsfunktion im Normalzustand ausgeführt und damit die Sicherheit bei der Maschinensteuerung erhöht wird. Wie vorstehend erwähnt, entspricht der Reset des Mikrocomputers 3 dem Reset der ECU 1.
  • (1c) Die CPU 11 schreibt die Daten, die aus dem ersten RAM 13 ausgelesen werden, in den Speicherbereich des ersten RAM 13, in dem die Daten beim ersten Fehler gespeichert werden.
  • Daher ist es möglich, die erneute Erkennung des Fehlers im RAM 13 zu unterdrücken. Anders gesagt ist es möglich, die Wahrscheinlichkeit zu verringern, dass ein Fehler erfasst wird, wenn die Daten wieder aus dem Speicherbereich im ersten RAM 13, in dem der Fehler erkannt wird, ausgelesen werden.
  • In einer Situation, in der die CPU 11 unmittelbar vor der Fehlererkennung bei Auftreten des Fehlers erneut einen Auslesebefehl ausführt, ist es möglich, eine Stagnation der von der CPU 1 ausgeführten Verarbeitung zu verhindern.
  • (1d) Die CPU schaltet die Lampe 9a ein, wenn der erste Fehler vorliegt. Daher ist es möglich, einem Benutzer des Fahrzeugs einen Fehler mitzuteilen. Zum Verarbeiten einer Fehlermeldung an den Benutzer des Fahrzeugs ist sie nicht auf die Situation des Einschaltens der Lampe 9a beschränkt. Es kann beispielsweise auch eine Verarbeitung zum Anzeigen einer Meldung über das Auftreten eines Fehlers in einer Anzeigevorrichtung sein.
  • In der ersten Ausführungsform entspricht das erste RAM 13 dem ersten Speicher, das zweite RAM 14 dem zweiten Speicher und die CPU 11 einer Recheneinheit.
  • [Zweite Ausführungsform]
  • [Unterschiede zwischen erster und zweiter Ausführungsform]
  • Die zweite Ausführungsform ist im grundlegenden Aufbau ähnlich der ersten Ausführungsform. Im Folgenden wird der Unterschied zwischen beiden Ausführungsformen beschrieben. Die nachstehenden Bezugszeichen, die mit denen der ersten Ausführungsform identisch sind, zeigen die gleichen Aufbauelemente an.
  • Mit Bezug auf die ECU 1 nach der zweiten Ausführungsform führt die CPU 11 die in 5 dargestellte Fehlerverarbeitung anstelle der in 4 für die erste Ausführungsform dargestellten Fehlerverarbeitung durch.
  • Mit Bezug auf die in 5 dargestellte Fehlerverarbeitung führt die CPU 11 die Verarbeitung bei Schritt S335 als Ersatz für die Verarbeitung bei den Schritten S320 und S330 durch. Die Verarbeitung bei den Schritten S320 und S330 bezieht sich auf die erste Ausführungsform.
  • Wie in 5 dargestellt geht die Verarbeitung durch die CPU 11 zu Schritt S335 weiter, nachdem sie bei Schritt S310 einen Fehler im zweiten RAM 14 erkannt hat. Die CPU 11 führt dann bei Schritt S335 eine Verarbeitung zum Abschalten der elektrischen Leitung zur elektronischen Drossel 7 als Sicherheitsverarbeitung durch.
  • [Effekte]
  • Die ECU 1 nach der zweiten Ausführungsform führt eine Verarbeitung zum Abschalten der elektrischen Leitung zur elektronischen Drossel 7 als die Sicherheitsverarbeitung bei Auftreten des zweiten Fehlers durch. Somit ist der Betrieb der Maschine beim zweiten Fehler eingeschränkt. Insbesondere wird die Leistung der Maschine auf einen Minimalwert begrenzt. Die Sicherheit der Maschinensteuerung beim Auftreten des zweiten Fehlers kann erhalten werden, während sich das Fahrzeug im Kriechmodus befindet. Die ECU 1 nach der zweiten Ausführungsform kann auch die ähnlichen Auswirkungen wie die ECU 1 nach der ersten Ausführungsform erzielen.
  • [Andere Ausführungsformen]
  • Obwohl die vorliegende Offenbarung mit Bezug auf ihre Ausführungsformen beschrieben wurde, ist zu verstehen, dass die Offenbarung nicht auf die Ausführungsformen und Konstruktionen beschränkt ist. Die vorliegende Offenbarung soll verschiedene Modifikationen und gleichwertige Anordnungen abdecken. Darüber hinaus liegen neben den verschiedenen Kombinationen und Konfigurationen auch andere Kombinationen und Konfigurationen, die mehr, weniger oder nur ein einzelnes Element beinhalten, im Sinn und Umfang der vorliegenden Offenbarung.
  • Wenn beispielsweise mit Bezug auf die Fehlerverarbeitung in 4 der durch die Verarbeitung bei Schritt S320 ausgeführte Reset ein oder mehrere vorgegebene Male ausgeführt wird, kann die CPU 11 anschließend die vorstehend erwähnte Verarbeitung bei Schritt S335 in der in 5 dargestellten Fehlerverarbeitung anstelle der Verarbeitung bei den Schritten S320 und S330 ausführen.
  • Insbesondere kann die CPU 11 die in 6 dargestellte Fehlerverarbeitung anstelle der in 4 dargestellten Fehlerverarbeitung durchführen. Die Schritte S315, S317 und S335 werden in der in 6 dargestellten Fehlerverarbeitung im Vergleich zur in 4 dargestellten Fehlerbehandlung hinzugefügt. Die Verarbeitung bei Schritt S335 ist ähnlich wie die in der zweiten Ausführungsform.
  • Wenn die CPU 11 wie in 6 dargestellt bestimmt, dass ein Fehler im zweiten RAM 14 bei Schritt S310 erkannt wird, bestimmt die CPU 11 daraufhin, ob der Zählerwert größer als oder gleich einem vorgegebenen Wert N ist, der größer als oder gleich eins ist. Der Zählerwert gibt an, wie oft die CPU 11 die Verarbeitung bei Schritt S320 (d.h. die Rücksetzverarbeitung) durchführt. Der Zählerwert wird in einem Speicher (z.B. einem wiederbeschreibbaren nichtflüchtigen Speicher) gespeichert, in dem der Speicherinhalt gespeichert bleibt, auch wenn der Mikrocomputer 3 zurückgesetzt wird. Der Anfangswert des Zählerwertes ist Null.
  • Wenn die CPU 11 bei Schritt S315 bestimmt, dass der Zählerwert nicht größer oder gleich dem vorgegebenen Wert N ist, erhöht die CPU 11 daraufhin den Zählerwert und geht anschließend zur Verarbeitung des Schritts S320 weiter. Man bemerke, dass die Verarbeitung bei Schritt S317 und die Verarbeitung bei Schritt S320 in umgekehrter Reihenfolge durchgeführt werden kann.
  • Wenn die CPU 11 bestimmt, dass der Zählerwert gleich oder größer als der vorgegebene Wert N ist, anders gesagt die Rücksetzverarbeitung mit einer vorgegebenen Anzahl der Ereignisse (z.B. 1 oder mehr) bei vorherigen zweiten Fehlern durchgeführt wurde, geht die CPU 11 bei der Verarbeitung zu Schritt S335 weiter. Die CPU 11 führt dann die Verarbeitung zum Abschalten der elektrischen Leitung zur elektronischen Drosselklappe 7 als Sicherheitsverarbeitung durch, die der zweiten Ausführungsform ähnlich ist. Anschließend beendet die CPU 11 die Fehlerbehandlung.
  • Mit Bezug auf die geänderte Konfiguration tritt der Fehler im zweiten RAM 14 durch den Reset nicht wieder auf. Dadurch ist es möglich, die Sicherheit der Maschinensteuerung zu erhöhen, da die elektrische Leitung zur elektronischen Drossel 7 unterbrochen wird.
  • Mit Bezug auf die in 6 dargestellte Fehlerverarbeitung kann die CPU 11 das Flag als Aufzeichnung setzen, das anzeigt, dass die Rücksetzverarbeitung bei Schritt S317 ausgeführt wurde, wenn der vorbestimmte Wert N auf 1 gesetzt ist, und bei Schritt S315 bestimmen, ob das Flag gesetzt wurde.
  • Mit Bezug auf die Verarbeitung in Schritt S335 kann die CPU 11 eine Verarbeitung zur Reduzierung der Kraftstoffeinspritzmenge für die Maschine als Sicherheitsverarbeitung durchführen. Mit Bezug auf den geänderten Aufbau ist der Betrieb der Maschine auch beim zweiten Fehler eingeschränkt. Mit Bezug auf die Verarbeitung in Schritt S335 kann die CPU 11 als Sicherheitsverarbeitung auch eine Verarbeitung zum Stoppen der Kraftstoffeinspritzung in die Maschine durchführen. Mit Bezug auf den geänderten Aufbau wird der Betrieb der Maschine gestoppt, wenn der zweite Fehler vorliegt.
  • Mit Bezug auf die Fehlerbehandlung in 4 oder 5 kann es sein, dass entweder die Verarbeitung bei Schritt S340 oder die Verarbeitung bei Schritt S350 nicht von der CPU 11 ausgeführt wird. Oder alternativ kann es sein, dass weder die Verarbeitung bei Schritt S340 noch die Verarbeitung bei Schritt S350 von der CPU 11 ausgeführt werden.
  • Sowohl das erste RAM 13 als auch das zweite RAM 14 umfasst jeweils eine Fehlererkennungsfunktion, jedoch kann es bei jedem von ihnen sein, dass es keine Fehlerkorrekturfunktion aufweist. In dieser Situation gibt der Störungsmelder 15 die Fehlermeldung an die CPU 11 aus, ohne den Fehler zu korrigieren, auch wenn ein Datenfehler vorliegt, bei dem nur ein Bit im ersten RAM 13 und im zweiten RAM 14 invertiert wird. Der erste Speicher und der zweite Speicher sind nicht auf RAM beschränkt. So können beispielsweise sowohl der erste als auch der zweite Speicher auch wiederbeschreibbare nichtflüchtige Speicher sein.
  • Das Steuerziel ist nicht auf eine Maschine bzw. Brennkraftmaschine beschränkt. So kann beispielsweise das Steuerziel auch ein Elektromotor als Energiequelle für das Fahrzeug sein.
  • Zusätzlich zu der vorstehend beschriebenen ECU 1 kann die vorliegende Offenbarung auf verschiedene Formen übertragen werden, wie z.B. in ein System mit der ECU 1 als Komponente, ein Programm, das den Computer als ECU 1 arbeiten lässt, oder ein nichtflüchtiges materielles Speichermedium wie ein Halbleiterspeicher zum Speichern des Programms.
  • Es wird darauf hingewiesen, dass ein Ablaufplan oder die Verarbeitung des Ablaufplans in der vorliegenden Anmeldung Abschnitte (auch als Schritte bezeichnet) umfasst, die jeweils z.B. als S110 dargestellt werden. Darüber hinaus kann jeder Abschnitt in mehrere Unterabschnitte unterteilt werden, während mehrere Abschnitte zu einem einzigen Abschnitt zusammengefasst werden können. Darüber hinaus kann jeder der so konfigurierten Abschnitte auch als eine Vorrichtung, ein Modul oder eine Einrichtung bezeichnet werden.

Claims (5)

  1. Steuervorrichtung, die ein in einem Fahrzeug montiertes Steuerziel steuert, wobei die Steuervorrichtung umfasst: einen ersten Speicher (13) mit einer Fehlerprüffunktion; einen zweiten Speicher (14) mit einer Fehlerprüffunktion; und eine Arithmetikeinheit (11), die dazu ausgelegt ist, auf den ersten Speicher und den zweiten Speicher zuzugreifen, um Daten auszulesen, wobei der erste Speicher für die Arithmetikeinheit verwendet wird, um eine Steuerverarbeitung zum Steuern des Steuerziels auszuführen, wobei der zweite Speicher für die Arithmetikeinheit verwendet wird, um eine Überwachungsverarbeitung zur Sicherheit beim Steuern des Steuerziels durchzuführen, wobei sich ein erster Fehler auf einen Fehler beim Auslesen von Daten bezieht, die aus dem ersten Speicher ausgelesen werden, wobei sich ein zweiter Fehler auf einen Fehler beim Auslesen von Daten bezieht, die aus dem zweiten Speicher ausgelesen werden, wobei die Arithmetikeinheit dazu ausgelegt ist, als Reaktion auf das Erfassen des ersten Fehlers und ohne Erfassung des zweiten Fehlers Daten, die aus dem ersten Speicher ausgelesen werden, in einen Speicherbereich des ersten Speichers zu schreiben, in dem die Daten gespeichert werden, und keine Sicherheitsverarbeitung für die Sicherheit beim Steuern des Steuerziels auszuführen, und wobei die Arithmetikeinheit dazu ausgelegt ist, als Reaktion auf das Erfassen des zweiten Fehlers eine Sicherheitsverarbeitung für die Sicherheit beim Steuern des Steuerziels durchzuführen.
  2. Steuervorrichtung nach Anspruch 1, wobei die Arithmetikeinheit dazu ausgelegt ist, das Zurücksetzen der Steuervorrichtung als Antwort auf das Erfassen des zweiten Fehlers als Sicherheitsverarbeitung auszuführen.
  3. Steuervorrichtung nach Anspruch 1, wobei die Arithmetikeinheit dazu ausgelegt ist, als Reaktion auf das Erfassen des zweiten Fehlers als Sicherheitsverarbeitung das Einschränken oder Stoppen eines Betriebs des Steuerziels auszuführen.
  4. Steuervorrichtung nach Anspruch 2, wobei die Arithmetikeinheit dazu ausgelegt ist, eine Einschränkung oder ein Anhalten eines Betriebs des Steuerziels als Reaktion auf das Erfassen des zweiten Fehlers als Sicherheitsverarbeitung auszuführen, wenn das Zurücksetzen der Steuervorrichtung mit einer vorbestimmten Häufigkeit ausgeführt wurde, die größer als oder gleich eins ist.
  5. Steuervorrichtung nach einem der Ansprüche 1 bis 4, wobei die Recheneinheit dazu ausgelegt ist, einem Fahrzeugnutzer als Reaktion auf das Erfassen des ersten Fehlers einen Fehler mitzuteilen.
DE102018219700.8A 2017-11-22 2018-11-16 Steuervorrichtung Active DE102018219700B4 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2017224754 2017-11-22
JP2017-224754 2017-11-22
JP2018086888A JP7024582B2 (ja) 2017-11-22 2018-04-27 車載制御装置
JP2018-086888 2018-04-27

Publications (2)

Publication Number Publication Date
DE102018219700A1 DE102018219700A1 (de) 2019-05-23
DE102018219700B4 true DE102018219700B4 (de) 2020-06-04

Family

ID=66336646

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018219700.8A Active DE102018219700B4 (de) 2017-11-22 2018-11-16 Steuervorrichtung

Country Status (1)

Country Link
DE (1) DE102018219700B4 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009062998A (ja) 2008-11-20 2009-03-26 Denso Corp 車両制御システム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009062998A (ja) 2008-11-20 2009-03-26 Denso Corp 車両制御システム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ST: Safety application guide for SPC564Axx/RPC564Axx family. Application note. Oktober 2015. Im Internet: <URL: https://www.st.com/content/ccc/resource/technical/document/application_note/76/04/7a/01/b2/c1/43/db/DM00081501.pdf/files/DM00081501.pdf/jcr:content/translations/en.DM00081501.pdf> *

Also Published As

Publication number Publication date
DE102018219700A1 (de) 2019-05-23

Similar Documents

Publication Publication Date Title
DE102007047150B4 (de) Elektroniksteuerung
DE10341786B4 (de) Elektronische Fahrzeugsteuervorrichtung
DE102013113296A1 (de) Redundante Rechenarchitektur
EP1588380B1 (de) Verfahren zur erkennung und/oder korrektur von speicherzugriffsfehlern und elektronische schaltungsanordnung zur durchführung des verfahrens
WO2007057270A1 (de) Programmgesteuerte einheit und verfahren zum betreiben derselbigen
DE102013221098B4 (de) Fahrzeugsteuereinheit
DE102016200130B4 (de) Elektronische Steuervorrichtung
EP1359485B1 (de) Steuer- und Überwachungssystem
DE102004037713A1 (de) Verfahren, Betriebssystem und Rechengerät zum Abarbeiten eines Computerprogramms
DE102005016801B4 (de) Verfahren und Rechnereinheit zur Fehlererkennung und Fehlerprotokollierung in einem Speicher
DE102018219700B4 (de) Steuervorrichtung
DE10392916T5 (de) Selbsttestsystem
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
DE10131577A1 (de) Verfahren zum Schutz eines Mikrorechner-Systems gegen Manipulation seines Programms
WO2007071590A1 (de) Verfahren zur erkennung einer versorgungsunterbrechung in einem datenspeicher und zur wiederherstellung des datenspeichers
EP1924914B1 (de) Datenverarbeitungssystem und betriebsverfahren dafür
WO2022042950A1 (de) VORRICHTUNG ZUR ERFASSUNG UND VERARBEITUNG EINER MESSGRÖßE EINES SENSORS IN EINEM KRAFTFAHRZEUG
DE102004051966A1 (de) Verfahren, Betriebssystem und Rechengerät zum Abarbeiten eines Computerprogramms
DE60309157T2 (de) Speichersystem mit Fehlererkennungsvorrichtung
DE102019208129B4 (de) Elektronische Steuereinheit
DE102005061394A1 (de) Fehlertolerantes Prozessorsystem
EP1433061B1 (de) Verfahren zum überprüfen eines rechnerkerns eines mikroprozessors oder eines mikrocontrollers
DE10128996B4 (de) Verfahren und Vorrichtung zur Überwachung von Speicherzellen eines flüchtigen Datenspeichers
DE102017208872A1 (de) Elektronische Steuereinheit
DE102013106753B4 (de) Prüfverfahren und Betriebssicherungsverfahren für ein Fahrzeug-Steuergerät

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R084 Declaration of willingness to licence