DE112017000868B4 - Elektronische Steuervorrichtung - Google Patents

Elektronische Steuervorrichtung Download PDF

Info

Publication number
DE112017000868B4
DE112017000868B4 DE112017000868.9T DE112017000868T DE112017000868B4 DE 112017000868 B4 DE112017000868 B4 DE 112017000868B4 DE 112017000868 T DE112017000868 T DE 112017000868T DE 112017000868 B4 DE112017000868 B4 DE 112017000868B4
Authority
DE
Germany
Prior art keywords
reset
microcomputer
path
signal
monitoring device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE112017000868.9T
Other languages
English (en)
Other versions
DE112017000868T5 (de
Inventor
Yasushi Sugiyama
Ryosuke Ishida
Hirofumi Kurimoto
Kenichi Hoshino
Shunta Tomatsu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Publication of DE112017000868T5 publication Critical patent/DE112017000868T5/de
Application granted granted Critical
Publication of DE112017000868B4 publication Critical patent/DE112017000868B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

Fahrzeuginterne Steuervorrichtung, die einen Mikrocomputer (1) und eine den Mikrocomputer überwachende Überwachungsvorrichtung (2) aufweist, wobei der Mikrocomputer (1) aufweist:
eine Interner-Fehler-Erkennungseinheit (17, 17a, 17b, 17c), um, falls in einem Zeitraum, in dem ein Zündschalter im Einschaltzustand ist, ein interner Fehler auftritt, ein Abnormitätssignal (3, 4, 5, 18), das angibt, dass der interne Fehler aufgetreten ist, über einen ersten Weg (P1a, P1b, P1c) in die Überwachungsvorrichtung (2) einzugeben und das Abnormitätssignal (3, 4, 5, 18) in einem Zeitraum, in dem der Zündschalter im Ausschaltzustand ist, zum Testen über den ersten Weg (P1a, P1b, P1c) in die Überwachungsvorrichtung (2) einzugeben, und
eine Diagnoseeinheit (21), die den ersten Weg (P1a, P1b, P1c) auf der Grundlage des Signalpegels eines vom ersten Weg (P1a, P1b, P1c) abzweigenden zweiten Wegs (P2a, P2b, P2c) diagnostiziert, nachdem die Interner-Fehler-Erkennungseinheit (17, 17a, 17b, 17c) das Abnormitätssignal (3, 4, 5, 18) in die Überwachungsvorrichtung (2) eingegeben hat.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft eine elektronische Steuervorrichtung.
  • Technischer Hintergrund
  • Herkömmlich ist ein Überwachungsmodul, das für die Überwachung eines abnormen Betriebs eines Hauptmikrocomputers, der die Ein- und Ausgabesteuerung einer ECU (elektronischen Steuereinheit) ausführt, verantwortlich ist, in einem Mechanismus implementiert, der dazu dient, ein Fahrzeug in einen sicheren Zustand zu versetzen, wenn ein abnormer Betrieb auftritt.
  • Bei einem ersten Beispiel eines spezifischen Überwachungsverfahrens wird ein abnormer Betrieb des Hauptmikrocomputers unter Verwendung einer im Überwachungsmodul bereitgestellten Überwachungszeitgeberfunktion überwacht. Bei einem zweiten Beispiel wird die Hauptmikrocomputer-Rechenfunktion überwacht, indem vom Überwachungsmodul eine beispielhafte Frage gestellt wird und die Antwort des Hauptmikrocomputers auf die Frage geprüft wird.
  • Ferner wurde in den letzten Jahren als drittes Beispiel ein Lock-Step-Kern-Mikrocomputer verwendet, bei dem für ECU, die ein hohes Sicherheitsniveau benötigen, die gleiche Verarbeitung von zwei im Hauptmikrocomputer montierten Prozessorkernen ausgeführt wird, die Rechenergebnisse verglichen werden und Befehle nur dann ausgeführt werden, wenn die Verarbeitungsergebnisse gleich sind. Durch die Erkennung der Lock-Step-Kern-Abnormität mit dem Überwachungsmodul kann das Fahrzeug in einen sicheren Zustand versetzt werden.
  • Auf diese Weise können mehrere Abnormitätserkennungsfunktionen des in der ECU implementierten Hauptmikrocomputers bereitgestellt werden.
  • In Bezug auf diese Abnormitätserkennungsfunktionen (Abnormitätserkennungsmechanismus) kann ein vorgegebener fehlersicherer Betrieb ausgeführt werden, wenn eine Abnormität erkannt wird. Es besteht jedoch eine Sorge, dass das Fahrzeug nach dem Auftreten eines Ausfallmodus, bei dem ein fehlersicherer Betrieb nicht ausgeführt werden kann, in der Art einer Trennung eines Wegs (einer Signalleitung zwischen dem Hauptmikrocomputer und dem Überwachungsmodul) zur Ausführung eines fehlersicheren Betriebs nicht in einen sicheren Zustand versetzt werden kann. Daher ist es erforderlich, dass der Fahrer des Fahrzeugs während eines Zeitraums, der vom Drehen eines Zündschlüsselschalters durch den Fahrer des Fahrzeugs bis zum Ausschalten des Zündschlüsselschalters durch den Fahrer des Fahrzeugs und zum Anhalten der ECU reicht, wenigstens einmal bestätigt, dass ein vorgegebener fehlersicherer Betrieb ausgeführt werden kann.
  • Es sei bemerkt, dass die ECU als fehlersicherer Betrieb für diese Abnormitätserkennungsfunktionen angehalten werden kann, indem ein IRES-Anschluss des Hauptmikrocomputers auf L (niedrig) abgesenkt wird. Dies zielt darauf ab, den /RES-Anschluss wieder auf H (hoch) zu setzen und die ECU auf den Betrieb zu einer früheren Stufe zurück zu versetzen oder einen abnormen Betrieb durch Anhalten der ECU und Versetzen des Fahrzeugs in einen sicheren Zustand zu verhindern. Im Fall einer mit mehreren Abnormitätserkennungsfunktionen des Hauptmikrocomputers versehenen ECU sind mehrere Ausfallmodi erforderlich, in denen der /RES-Anschluss im fehlersicheren Betrieb auf L abgesenkt wird, um die ECU anzuhalten.
  • Falls es nur einen Weg zum Absenken des IRES-Anschlusses auf L gibt, wird der /RES-Anschluss durch absichtliches Bewirken eines Fehlers und Aktivieren der Abnormitätserkennungsfunktion, nachdem der Zündschlüsselschalter des Fahrers des Fahrzeugs in den Ausschaltzustand versetzt wurde, auf L abgesenkt. Weil die ECU durch diesen Vorgang angehalten wird, kann eine Diagnose einmal in Bezug darauf ausgeführt werden, ob der fehlersichere Betrieb während des Zeitraums vom Einschalten des Zündschlüsselschalters durch den Fahrer des Fahrzeugs bis zum Ausschalten des Zündschlüsselschalters durch den Fahrer des Fahrzeugs, um die ECU anzuhalten, funktioniert. Der Hauptmikrocomputer erkennt eine Fehlfunktion der Abnormitätserkennungsfunktion, wenn der /RES-Anschluss nicht auf einen L-Pegel abfällt.
  • Die ECU hält jedoch an, sobald /RES L wird. Daher können durch dieses Verfahren, wenn es zwei oder mehr Ausfallmodi gibt, bei denen der fehlersichere Betrieb /RES auf L abfällt, nicht alle Wege diagnostiziert werden, bei denen bewirkt wird, dass /RES auf L geht.
  • Bei einem Beispiel zur Lösung dieses Problems wird ein Schalten zum Verbieten/Erlauben der Überwachungsfunktion durch das Schalten zwischen dem Normalmodus und dem Standbymodus des Hauptmikrocomputers ausgelöst ausgeführt (siehe beispielsweise PTL 1).
  • Zitatliste
  • Patentliteratur
  • PTL 1: JP 2008-276360 A
  • Weiterer Stand der Technik ist in DE 10 2015 208 598 A und US 4 597 052 A offenbart.
  • Kurzfassung der Erfindung
  • Technisches Problem
  • Wie bei der in PTL 1 offenbarten Technik wird, falls der Zustand der Überwachungsfunktion im Betriebszustand des Hauptmikrocomputers gesteuert wird, kein Hardwarerücksetzen erzeugt, weshalb eine Wegbestätigung des fehlersicheren Betriebs möglich ist. Dies geschieht jedoch unter der Voraussetzung, dass der Hauptmikrocomputer das Überwachungsmodul steuern kann, und die Schaltungskonfiguration aus PTL 1 kann nicht angewendet werden, wenn während des Betriebs des Hauptmikrocomputers eine konstante Überwachung angewendet wird. Ferner hat PTL 1 keine Idee zum Bestätigen mehrerer Rücksetzwege.
  • Daher konnte in der Vergangenheit ein Fall auftreten, in dem der Weg zwischen dem Hauptmikrocomputer (Mikrocomputer) und dem Überwachungsmodul (der Überwachungsvorrichtung) nicht diagnostiziert werden konnte.
  • Eine Aufgabe der vorliegenden Erfindung besteht darin, eine fahrzeuginterne Steuervorrichtung bereitzustellen, welche die Diagnosezuverlässigkeit für den Weg zwischen dem Mikrocomputer und der Überwachungsvorrichtung verbessern kann.
  • Lösung des Problems
  • Zum Lösen der vorstehend beschriebenen Aufgabe sieht die vorliegende Erfindung eine fahrzeuginterne Steuervorrichtung nach den anhängenden Patentansprüchen vor.
  • Vorteilhafte Wirkungen der Erfindung
  • Gemäß der vorliegenden Erfindung kann die Zuverlässigkeit der Diagnose auf dem Weg zwischen dem Mikrocomputer und der Überwachungsvorrichtung verbessert werden. Von den vorstehend beschriebenen verschiedenen Problemen, Konfigurationen und Wirkungen werden anhand der Beschreibung der folgenden Ausführungsformen erklärt.
  • Kurzbeschreibung der Zeichnung
  • Es zeigen:
    • 1 ein Blockdiagramm eines schematischen Konfigurationsbeispiels einer ECU als elektronische Steuervorrichtung gemäß einer ersten Ausführungsform der vorliegenden Erfindung,
    • 2 ein Blockdiagramm eines schematischen Konfigurationsbeispiels einer ECU als elektronische Steuervorrichtung gemäß einer zweiten Ausführungsform der vorliegenden Erfindung,
    • 3 ein Blockdiagramm eines schematischen Konfigurationsbeispiels einer ECU als elektronische Steuervorrichtung gemäß einer dritten Ausführungsform der vorliegenden Erfindung.
    • 4 ein Blockdiagramm einer Modifikation der ECU als elektronische Steuervorrichtung gemäß der dritten Ausführungsform aus 3 und
    • 5 ein Ablaufdiagramm eines Verfahrens zur Bestätigung eines Ausfallbenachrichtigungswegs gemäß der Modifikation aus 4.
  • Beschreibung von Ausführungsformen
  • Nachstehend werden die Konfiguration und der Betrieb der ECU gemäß der ersten bis dritten Ausführungsform der vorliegenden Erfindung mit Bezug auf die Zeichnung beschrieben.
  • (Erste Ausführungsform)
  • 1 ist ein Blockdiagramm eines schematischen Konfigurationsbeispiels einer ECU als elektronische Steuervorrichtung (fahrzeuginterne Steuervorrichtung) gemäß der ersten Ausführungsform der vorliegenden Erfindung. Die ECU weist Folgendes auf: einen Mikrocomputer, im Folgenden Hauptmikrocomputer 1, ein Überwachungsmodul 2 (eine Überwachungsvorrichtung), das als Überwachungsvorrichtung zur Überwachung des Hauptmikrocomputers 1 dient, Wege P1a, P1b und P1c mehrerer Rücksetzerzeugungsanforderungssignale 3, 4 und 5, die ein Rücksetzen des Hauptmikrocomputers anfordern, wenn ein Ausfall des Hauptmikrocomputers 1 erzeugt wird, beispielsweise eine NOR-Schaltung 6 (Logikschaltung), die im Überwachungsmodul 2 installiert ist und die Wege P1a, P1b und P1c der mehreren Rücksetzerzeugungsanforderungssignale 3, 4 und 5 verbindet, einen /RES 7 des Hauptmikrocomputers 1, der mit dem Ausgang der NOR-Schaltung 6 verbunden ist, Wege P2a, P2b und P2c der Abnormitätsbenachrichtigungsausgangsignale 8, 9 und 10, die den Hauptmikrocomputer 1 über die Zustände der Rücksetzerzeugungsanforderungssignale 3, 4 und 5 informieren, und einen Weg des Diagnosesteuersignals 11 zum Erlauben und Verbieten der Ausgabe der NOR-Schaltung 6.
  • Der Hauptmikrocomputer 1 besteht beispielsweise aus einer CPU als Prozessor, einem RAM und einem ROM als Speichervorrichtungen und einem Eingabe- und Ausgabeport als Ein- und Ausgabevorrichtung. Der Hauptmikrocomputer 1 verwirklicht verschiedene Funktionen durch diese Hardwarebestandteile, die mit anderen zusammenwirken.
  • Insbesondere wirkt der Hauptmikrocomputer 1 (Mikrocomputer) als Interner-Fehler-Abnormitätserkennungseinheiten 17a, 17b, 17c und Diagnoseeinheit 21.
  • Wenn beispielsweise ein interner Fehler auftritt, während der Zündschalter im Einschaltzustand ist (Diagnosesteuersignal 11: H), gibt die Interner-Fehler-Abnormitätserkennungseinheit 17a ein Abnormitätssignal (Rücksetzerzeugungsanforderungssignal 3: H), das angibt, dass ein interner Fehler aufgetreten ist, über den Weg P1a (ersten Weg) in das Überwachungsmodul 2 (die Überwachungsvorrichtung) ein. Die Interner-Fehler-Abnormitätserkennungseinheit 17a gibt auch während des Zeitraums, in dem der Zündschalter im Ausschaltzustand ist (Diagnosesteuersignal 11: L), ein Abnormitätssignal (Rücksetzerzeugungsanforderungssignal 3: H) zum Testen über den Weg P1a in das Überwachungsmodul 2 ein. Die Interner-Fehler-Abnormitätserkennungseinheiten 17b, 17c wirken auch in der gleichen Weise.
  • Nachdem die Interner-Fehler-Abnormitätserkennungseinheit 17a (Interner-Fehler-Erkennungseinheit) das Abnormitätssignal (Rücksetzerzeugungsanforderungssignal 3: H) in das Überwachungsmodul 2 (die Überwachungsvorrichtung) eingegeben hat, diagnostiziert die Diagnoseeinheit 21 den Weg P1a (ersten Weg) auf der Grundlage des Signalpegels des vom Weg P1a (ersten Weg) abzweigenden Wegs P2a (zweiten Wegs). Die Diagnoseeinheit 21 diagnostiziert ähnlich die Wege P1b, P1c (erster Weg).
  • Insbesondere stellt die Diagnoseeinheit 21 beispielsweise fest, dass der Weg P1a (erster Weg) nicht in Kommunikation ist, nachdem die Interner-Fehler-Abnormitätserkennungseinheit 17a (Interner-Fehler-Erkennungseinheit) das Abnormitätssignal (Rücksetzerzeugungsanforderungssignal 3: H) in das Überwachungsmodul 2 (die Überwachungsvorrichtung) eingegeben hat, falls das Abnormitätssignal (Abnormitätsbenachrichtigungsausgangssignal 8: H) nicht über den Weg P2a (den zweiten Weg) in den Hauptmikrocomputer 1 (Mikrocomputer) eingegeben wird.
  • Nachdem die Interner-Fehler-Abnormitätserkennungseinheit 17a das Abnormitätssignal (Rücksetzerzeugungsanforderungssignal 3: H) in das Überwachungsmodul 2 (die Überwachungsvorrichtung) eingegeben hat, diagnostiziert die Diagnoseeinheit 21, falls das Abnormitätssignal (Abnormitätsbenachrichtigungsausgangssignal 8: H) über den Weg P2a (den zweiten Weg) in den Hauptmikrocomputer 1 (Mikrocomputer) eingegeben wird, dass die Interner-Fehler-Abnormitätserkennungseinheit 17a normal arbeitet und der Weg P1a (erster Weg) in Kommunikation ist.
  • Die Diagnoseeinheit 21 diagnostiziert ähnlich den Weg P1b, P1c (den ersten Weg).
  • Wenn der Zündschalter andererseits im Einschaltzustand ist (Diagnosesteuersignal 11: H) und das Abnormitätssignal (zumindest eines der Rücksetzerzeugungsanforderungssignale 3, 4 und 5: H) in das Überwachungsmodul 2 (die Überwachungsvorrichtung) eingegeben wird, gibt die NOR-Schaltung 6 (erste Rücksetzeinheit) des Überwachungsmoduls 2 (der Überwachungsvorrichtung) ein Rücksetzsignal (/RES 7: L) zum Rücksetzen des Hauptmikrocomputers 1 (Mikrocomputers) in den Hauptmikrocomputer 1 ein.
  • Wenn der Zündschalter im Ausschaltzustand ist (Diagnosesteuersignal 11: L) und das Abnormitätssignal (zumindest eines der Rücksetzerzeugungsanforderungssignale 3, 4 und 5: H) in das Überwachungsmodul 2 (die Überwachungsvorrichtung) eingegeben wird, gibt die NOR-Schaltung 6 (die erste Rücksetzeinheit) das Rücksetzsignal (/RES 7: L) nicht in den Hauptmikrocomputer 1 ein.
  • Dadurch wird der Mikrocomputer während des Zeitraums, in dem der Zündschalter im Ausschaltzustand ist (Diagnosesteuersignal 11: L), nicht zurückgesetzt.
  • Für die NOR-Schaltung 6 können ähnliche Operationen durch Software verwirklicht werden. Außer der Verbindung der Wege P2a, P2b und P2c der Abnormitätsbenachrichtigungsausgangssignale 8, 9 und 10 mit dem Hauptmikrocomputer 1 als Verdrahtung auf der gedruckten Leiterplatte kann ein Verfahren verwendet werden, bei dem der Zustand des Hauptmikrocomputers 1 entsprechend einer allgemeinen Kommunikationsform in der Art einer SPI-Kommunikation mitgeteilt wird.
  • Gemäß dieser Schaltungskonfiguration wird unter der Bedingung, dass das Diagnosesteuersignal 11 H ist, falls eines der Rücksetzerzeugungsanforderungssignale 3, 4 und 5 den H-Zustand annimmt, /RES 7 durch die NOR-Schaltung 6 auf L abgesenkt, wodurch der Hauptmikrocomputer 1 angehalten wird.
  • Wenn das Diagnosesteuersignal 11 L ist, befindet sich die NOR-Schaltung 6 unabhängig davon, welches der Rücksetzerzeugungsanforderungssignale 3, 4 und 5 H annimmt, im Ausgabeverhinderungszustand, weshalb /RES 7 nicht auf L abgesenkt wird.
  • Daher werden im Zustand, in dem das Diagnosesteuersignal 11 auf L gesetzt ist, die Rücksetzerzeugungsanforderungssignale 3, 4 und 5 von L auf H geschaltet und liest der Hauptmikrocomputer 1 die Informationen der Abnormitätsbenachrichtigungsausgangssignale 8, 9 und 10. Auf diese Weise kann die Bestätigung des Wegs verwirklicht werden.
  • Wie vorstehend beschrieben wurde, kann gemäß der vorliegenden Ausführungsform die Diagnosezuverlässigkeit des Wegs zwischen dem Hauptmikrocomputer 1 und dem Überwachungsmodul 2 verbessert werden. Weil die Wege P1a, P1b und P1c jeweils auf der Grundlage der Signalpegel der Wege P2a, P2b und P2c diagnostiziert werden, können die jeweiligen Wege P1a, P1b und P1c zuverlässig diagnostiziert werden.
  • (Zweite Ausführungsform)
  • 2 ist ein Blockdiagramm eines schematischen Konfigurationsbeispiels einer ECU als elektronische Steuervorrichtung gemäß der zweiten Ausführungsform der vorliegenden Erfindung.
  • 2 zeigt eine Konfiguration, die durch Hinzufügen beispielsweise einer NAND-Schaltung 12 (Logikschaltung) zur Schaltungskonfiguration aus 1 erhalten wird. Wenn Abnormitätssignale (Rücksetzerzeugungsanforderungssignale 3, 4 und 5: H) von allen Interner-Fehler-Abnormitätserkennungseinheiten 17a, 17b und 17c (Interner-Fehler-Erkennungseinheit) in ein Überwachungsmodul 2 (eine Überwachungsvorrichtung) eingegeben werden, gibt die NAND-Schaltung 12 (zweite Rücksetzeinheit) des Überwachungsmoduls 2 (der Überwachungsvorrichtung) das Rücksetzsignal (/RES 7: L) in einen Hauptmikrocomputer 1 (Mikrocomputer) ein.
  • Wenn bei dieser Schaltungskonfiguration ein Diagnosesteuersignal 11 im H-Zustand ist und eines der Rücksetzerzeugungsanforderungssignale 3, 4 und 5 den H-Zustand annimmt, wird der Hauptmikrocomputer 1 durch Absenken von /RES 7 auf L durch eine NOR-Schaltung 6 angehalten. Wenn das Diagnosesteuersignal 11 im L-Zustand ist und eines der Rücksetzerzeugungsanforderungssignale 3, 4 und 5 den H-Zustand annimmt, befindet sich die NOR-Schaltung 6 in einem Ausgabeverhinderungszustand, weshalb /RES 7 nicht auf L abfällt. Wenn alle Rücksetzerzeugungsanforderungssignale 3, 4 und 5 den H-Zustand annehmen, arbeitet die NAND-Schaltung 12 jedoch und senkt /RES 7 auf L ab.
  • Wenn beispielsweise im Zustand, in dem das Diagnosesteuersignal 11 auf L gesetzt ist, die Rücksetzerzeugungsanforderungssignale 3, 4 und 5 in den H-Zustand versetzt werden, kann daher jeder Weg durch Lesen des Zustands der Abnormitätsbenachrichtigungsausgangssignale 8, 9 und 10 mit dem Hauptmikrocomputer 1 bestätigt werden. Schließlich wird bewirkt, dass alle Rücksetzerzeugungsanforderungssignale 3, 4 und 5 den H-Zustand annehmen, so dass die NAND-Schaltung 12 /RES 7 auf L absenkt. Mit dieser Konfiguration kann der Weg von /RES 7 bestätigt werden. Wenn eines der Rücksetzerzeugungsanforderungssignale 3, 4 und 5 allein H annimmt, fällt /RES 7 nicht auf L ab und hält der Hauptmikrocomputer 1 nicht an. Dementsprechend können alle Wegabnormitäten bestätigt werden.
  • Wie vorstehend beschrieben wurde, kann gemäß der vorliegenden Ausführungsform die Diagnosezuverlässigkeit des Wegs zwischen dem Hauptmikrocomputer 1 und dem Überwachungsmodul 2 verbessert werden. Ferner kann der Hauptmikrocomputer 1 während des Zeitraums, in dem der Zündschalter im Ausschaltzustand ist (Diagnosesteuersignal 11: L), durch die NAND-Schaltung 12 zurückgesetzt werden.
  • (Dritte Ausführungsform)
  • 3 ist ein Blockdiagramm eines schematischen Konfigurationsbeispiels einer ECU als elektronische Steuervorrichtung gemäß der dritten Ausführungsform der vorliegenden Erfindung. 3 zeigt eine Konfiguration, welche UND-Schaltungen 13, 14 und 15 (Logikschaltungen) zur Eingabe von Rücksetzerzeugungsanforderungssignalen 3, 4 und 5 und eines Diagnosesteuersignals 11 aufweist.
  • Gemäß der vorliegenden Ausführungsform wirkt ein Hauptmikrocomputer 1 (Mikrocomputer) ferner als Rücksetzanforderungseinheit 22 zur Eingabe einer Rücksetzanforderung (Rücksetzerzeugungsanforderungssignal 16: H) in ein Überwachungsmodul 2 (eine Überwachungsvorrichtung).
  • Die UND-Schaltungen 13, 14 und 15 und eine NOR-Schaltung 6 gemäß der vorliegenden Ausführungsform entsprechen der ersten Rücksetzeinheit (NOR-Schaltung 6 aus 1) gemäß der ersten Ausführungsform. Wenn die Rücksetzanforderung (Rücksetzerzeugungsanforderungssignal 16: H) vom Hauptmikrocomputer 1 (Mikrocomputer) in das Überwachungsmodul 2 (die Überwachungsvorrichtung) eingegeben wird, gibt die NOR-Schaltung 6 aus 3 das Rücksetzsignal (/RES 7: L) in den Hauptmikrocomputer 1 ein.
  • Wenn sich bei dieser Schaltungskonfiguration das Diagnosesteuersignal 11 im H-Zustand befindet und eines der Rücksetzerzeugungsanforderungssignale 3, 4 und 5 den H-Zustand annimmt, wird der Hauptmikrocomputer 1 durch Absenken von /RES 7 auf L durch die NOR-Schaltung 6 angehalten.
  • Selbst wenn eines der Rücksetzerzeugungsanforderungssignale 3, 4 und 5 den H-Zustand annimmt, während das Diagnosesteuersignal 11 im L-Zustand ist, ändert sich die Ausgabe der Logikschaltungen 13, 14 und 15 im L-Zustand nicht, weshalb /RES 7 nicht auf L abfällt. Schließlich wird bewirkt, dass das Rücksetzerzeugungsanforderungssignal 16 den H-Zustand annimmt, so dass /RES 7 auf L abgesenkt wird. Mit dieser Konfiguration kann der Weg von /RES 7 bestätigt werden. Wenn eines der Rücksetzerzeugungsanforderungssignale 3, 4 und 5 allein H annimmt, fällt /RES 7 nicht auf L ab und hält der Hauptmikrocomputer 1 nicht an. Dementsprechend können alle Wegabnormitäten bestätigt werden.
  • Wie vorstehend beschrieben wurde, kann gemäß der vorliegenden Ausführungsform die Diagnosezuverlässigkeit des Wegs zwischen dem Hauptmikrocomputer 1 und dem Überwachungsmodul 2 verbessert werden. Zusätzlich kann die Rücksetzanforderungseinheit 22 den Hauptmikrocomputer 1 während des Zeitraums, in dem der Zündschalter im Ausschaltzustand ist (Diagnosesteuersignal 11: L), zurücksetzen.
  • (Modifikation)
  • 4 ist ein Blockdiagramm, das eine Modifikation einer ECU als elektronische Steuervorrichtung gemäß einer dritten Ausführungsform aus 3 zeigt. Eine Interner-Fehler-Abnormitätserkennungseinheit 17 (Interner-Fehler-Erkennungseinheit) eines Hauptmikrocomputers 1, ein Interner-Fehler-Abnormitätserkennungssignal 18, das eine Benachrichtigung vom Hauptmikrocomputer 1 ausgibt, wenn die Interner-Fehler-Abnormitätserkennungseinheit 17 eine Abnormität erkennt, ein Weg eines P-RUN-Signals 19 des Hauptmikrocomputers 1 und ein WDT 20 (Überwachungszeitgeber), wodurch ein Überwachungszeitgeberzähler mit dem P-RUN-Signal 19 freigegeben wird, sind bereitgestellt. Die ECU beruht auf einer Spezifikation, bei der, wenn die Abnormität der Interner-Fehler-Abnormitätserkennungseinheit 17 erkannt wird und der WDT 20 eine Abnormität feststellt, /RES 7 auf L abgesenkt wird. Es wird angenommen, dass das Diagnosesteuersignal 11 ein Zündschlüsselschaltersignal 11a ist.
  • Gemäß der vorliegenden Ausführungsform wirkt der Hauptmikrocomputer 1 (Mikrocomputer) ferner als Impulserzeugungseinheit 23, die einen Impuls (P-RUN-Signal 19) mit einem vorgegebenen Zyklus T erzeugt und ihn in das Überwachungsmodul 2 (die Überwachungsvorrichtung) eingibt. Falls der Impuls selbst nach Verstreichen des Zyklus T nicht in das Überwachungsmodul 2 (die Überwachungsvorrichtung) eingegeben wird, wirken der WDT 20 und die NOR-Schaltung 6 als erste Rücksetzeinheit zur Eingabe des Rücksetzsignals (/RES 7: L) in den Hauptmikrocomputer 1.
  • Wenn das Zündschlüsselschaltersignal 11a im H-Zustand ist und die ECU während des Normalbetriebs mit der Interner-Fehler-Abnormitätserkennungseinheit 17 eine Abnormität des Hauptmikrocomputers 1 erkennt, wird das Interner-Fehler-Abnormitätserkennungssignal 18 mit der Eingabeeinheit der UND-Schaltung 13 im Überwachungsmodul 2 verbunden (darin eingegeben) und wird die Ausgabeeinheit der UND-Schaltung 13 auf H geschaltet. Dementsprechend ändert sich die Ausgabe der NOR-Schaltung 6 auf L. Daher kann /RES 7 auf L abgesenkt werden. Falls das P-RUN-Signal 19 infolge eines Programmabsturzes des Hauptmikrocomputers nicht ausgegeben wird, erkennt der WDT 20 eine Abnormität, so dass die Ausgabeeinheit der NOR-Schaltung 6 auf L wechselt. Dementsprechend kann /RES 7 auf L abgesenkt werden.
  • Wenn das Zündschlüsselschaltersignal 11a vom H- in den L-Zustand schaltet, wechselt die ECU in die Beendigungssequenz und führt verschiedene Diagnosen aus. 5 zeigt ein Beispiel der Wegdiagnosetechnik in der Endsequenzperiode.
  • Das Interner-Fehler-Abnormitätserkennungssignal 18 wird durch Erzeugen eines Pseudofehlers in der Interner-Fehler-Abnormitätserkennungseinheit 17 in der Endsequenz erzeugt. Weil das Zündschlüsselschaltersignal 11a (= L) und das Interner-Fehler-Abnormitätserkennungssignal 18 (= H) in die UND-Schaltung 13 eingegeben werden, wird die Ausgabe nicht geschaltet. Daher fällt /RES 7 nicht auf L ab und hält der Hauptmikrocomputer 1 nicht an.
  • Durch Lesen des Zustands des Abnormitätsbenachrichtigungsausgangssignals 8 kann der Hauptmikrocomputer 1 bestätigen, dass die Interner-Fehler-Abnormitätserkennungseinheit 17 eine Abnormität erkennen kann, und feststellen, ob im Weg des Interner-Fehler-Abnormitätserkennungssignals 18 eine Schaltungstrennung oder dergleichen auftritt. Am Ende der Endsequenz unterbricht der Hauptmikrocomputer 1 die Ausgabe des P-RUN-Signals 19, um /RES 7 auf L abzusenken, so dass die Funktionsdiagnose in Bezug auf den WDT 20 verwirklicht werden kann.
  • Wie vorstehend beschrieben wurde, kann gemäß der vorliegenden Ausführungsform die Diagnosezuverlässigkeit des Wegs mit dem Überwachungsmodul 2 verbessert werden. Ferner kann durch die Impulserzeugungseinheit 23 der Hauptmikrocomputer 1 beispielsweise im Zeitraum, in dem der Zündschalter im Ausschaltzustand ist (Zündschlüsselschaltersignal 11a: L), zurückgesetzt werden.
  • Es sei bemerkt, dass die vorliegende Erfindung nicht auf die vorstehend beschriebenen Ausführungsformen beschränkt ist und verschiedene Modifikationen einschließt. Beispielsweise wurden die vorstehenden Ausführungsformen detailliert beschrieben, um die vorliegende Erfindung leicht verständlich zu erklären, und sie sind nicht notwendigerweise darauf beschränkt, dass sie alle beschriebenen Konfigurationen aufweisen. Zusätzlich kann ein Teil der Konfiguration einer Ausführungsform durch die Konfiguration einer anderen Ausführungsform ersetzt werden und kann die Konfiguration einer anderen Ausführungsform zur Konfiguration einer Ausführungsform hinzugefügt werden. Ferner können andere Konfigurationen zu einem Teil der Konfiguration jeder Ausführungsform hinzugefügt, daraus entnommen und dadurch ausgetauscht werden.
  • Falls die Diagnoseeinheit 21 beispielsweise diagnostiziert, dass die Wege P1a, P1b und P1c (der erste Weg) nicht in Kommunikation sind, kann die Diagnoseeinheit 21 die Information zur externen Vorrichtung (Host-System, andere ECU oder dergleichen) übermitteln. Die externe Vorrichtung kann eine Benachrichtigung (Einschalten der Warnlampe oder dergleichen) auf der Grundlage der übermittelten Informationen bereitstellen.
  • Ferner kann jede der vorstehend beschriebenen Konfigurationen, Funktionen und dergleichen durch Hardware verwirklicht werden, indem sie teilweise oder ganz beispielsweise durch eine integrierte Schaltung verwirklicht werden. Zusätzlich kann jede der vorstehend beschriebenen Konfigurationen, Funktionen und dergleichen durch Interpretieren und Ausführen eines Programms, mit dem der Prozessor jede Funktion verwirklicht, durch Software verwirklicht werden. Informationen in der Art von Programmen, Tabellen, Dateien und dergleichen, welche die jeweiligen Funktionen verwirklichen, können in einer Aufzeichnungsvorrichtung in der Art eines Speichers, einer Festplatte, einer SSD (eines Halbleiterlaufwerks) oder einem Aufzeichnungsmedium in der Art einer Chipkarte, einer SD-Karte, einer DVD oder dergleichen gespeichert werden.
  • Die Ausführungsformen der vorliegenden Erfindung können durch die folgenden Aspekte gegeben sein.
    • (1) Eine Fahrzeugsteuervorrichtung, die mehrere Typen von Rücksetzerzeugungsanforderungssignalen entsprechend einem abnormen Zustand erzeugt, welche aufweist: eine Diagnoseeinheit, die den Erzeugungsvorgang der mehreren Rücksetzerzeugungsanforderungssignale diagnostiziert, und eine Logikschaltung in der Art einer NOR-Schaltung zur Eingabe der mehreren Rücksetzerzeugungsanforderungssignale, wobei die Diagnoseeinheit bei einer Schaltungskonfiguration, bei der ein Ausgang der Logikschaltung mit einem Rücksetzen verbunden ist, den Erzeugungsvorgang der mehreren Rücksetzerzeugungsanforderungssignale, die in die Logikschaltung eingegeben werden, diagnostiziert.
    • (2) Die Fahrzeugsteuervorrichtung nach (1), wobei das Diagnosesteuersignal den Zustand eines Zündschlüsselschalters ausdrückt und wobei, während ein den Einschaltzustand des Zündschlüsselschalters angebendes Signal eingegeben wird, die Logikschaltung aktiviert wird, wenn die mehreren Rücksetzerzeugungsanforderungssignale eingegeben werden.
    • (3) Die Fahrzeugsteuervorrichtung nach (1), wobei die Diagnoseeinheit in einem Fall, in dem das Diagnosesteuersignal von einem Zustand, der ein Verbot einer Diagnose angibt, in einen Zustand, der eine Erlaubnis einer Diagnose angibt, wechselt, die mehreren Rücksetzerzeugungsanforderungssignale diagnostiziert.
    • (4) Die Fahrzeugsteuervorrichtung nach (1), wobei die Fahrzeugsteuervorrichtung in der Lage ist, einen Rücksetzweg durch Hinzufügen einer neuen aktivierten Logikschaltung zu bestätigen und ein Rücksetzen zu erzeugen, wenn alle der mehreren Rücksetzerzeugungsanforderungssignale eingegeben werden.
    • (5) Gemäß einer anderen Ausführungsform der Fahrzeugsteuervorrichtung nach (1), wobei das Rücksetzerzeugungsanforderungssignal und ein Zündschlüsselschaltersignal an eine Logikschaltung in der Art einer UND-Schaltung angelegt sind, werden andererseits ein vom Rücksetzerzeugungsanforderungssignal verschiedenes Rücksetzerzeugungsanforderungssignal und das Zündschlüsselschaltersignal an eine Logikschaltung in der Art einer UND-Schaltung angelegt, wobei diese Konfiguration auf die mehreren Rücksetzerzeugungsanforderungssignale angewendet wird; eine Diagnoseeinheit, die den Erzeugungsvorgang der mehreren Rücksetzerzeugungsanforderungssignale diagnostiziert, wobei Ausgaben von Logikschaltungen in der Art der mehreren UND-Schaltungen an eine Logikschaltung in der Art einer NOR-Schaltung angelegt werden und ein von den mehreren Rücksetzerzeugungsanforderungssignalen verschiedenes Rücksetzerzeugungsanforderungssignal an eine Logikschaltung in der Art der NOR-Schaltung angelegt wird und die Ausgabe der Logikschaltung in der Art der NOR-Schaltung mit einem Rücksetzen verbunden wird, wobei bei der Schaltungskonfiguration die Diagnoseeinheit den Erzeugungsvorgang der mehreren Rücksetzerzeugungsanforderungssignale, die in die Logikschaltung eingegeben werden, diagnostiziert und durch Ausgeben eines von den mehreren Rücksetzerzeugungsanforderungssignalen verschiedenen Rücksetzerzeugungsanforderungssignals ein Rücksetzen erzeugt wird, wodurch der Weg bestätigt werden kann.
    • (6) Die Fahrzeugsteuervorrichtung nach (5), wobei ein abnormer Zustand angenommen wird, wenn ein interner Fehler des Hauptmikrocomputers, ein WDT-Fehler und eines der Rücksetzerzeugungsanforderungssignale für den abnormen Zustand davon mit einer UND-Schaltung an den Zündschlüsselschalter angelegt werden und eine Ausgabe der UND-Schaltung in die NOR-Schaltung eingegeben wird und eines der Rücksetzerzeugungsanforderungssignale für den abnormen Zustand davon direkt in die NOR-Schaltung eingegeben wird und die Ausgabe der NOR-Schaltung mit einem Rücksetzen verbunden wird, wobei bei dieser Schaltungskonfiguration im Fall eines H-Zustands, bei dem der Zündschlüsselschalter im Einschaltzustand ist, ein Rücksetzen selbst dann erzeugt wird, wenn einer der Fehler auftritt, und im Fall eines L-Zustands, bei dem der Zündschlüsselschalter im Ausschaltzustand ist, ein Erzeugungsvorgang des an die UND-Schaltung angelegten Rücksetzerzeugungsanforderungssignals diagnostiziert wird und ein direkt an die NOR-Schaltung angelegtes Rücksetzerzeugungsanforderungssignal erzeugt wird, wodurch ein Rücksetzen erzeugt wird und das Fahrzeug angehalten wird, so dass ein Wegerzeugungsrücksetzen bestätigt werden kann.
  • Die elektronische Steuervorrichtung (nachstehend als ECU bezeichnet) kann auch dadurch gekennzeichnet werden, dass sie beispielsweise einen Hauptmikrocomputer, der eine fahrzeuginterne elektronische Steuervorrichtung steuert, ein Überwachungsmodul, das eine Abnormität des Hauptmikrocomputers erkennt, ein Rücksetzerzeugungsanforderungssignal, das zwischen dem Hauptmikrocomputer und dem Überwachungsmodul ausgetauscht wird und dem Überwachungsmodul das Auftreten einer Abnormität im Hauptmikrocomputer mitteilt, um ein Rücksetzen zu erzeugen, mehrere vom Rücksetzerzeugungsanforderungssignal verschiedene Rücksetzerzeugungsanforderungssignale, eine Logikschaltung, die den Hauptmikrocomputer in einem Fall anhält, in dem eines der mehreren Rücksetzanforderungssignale den H-Pegel annimmt, ein Diagnosesteuersignal, das als /Verbotssignal wirkt, wodurch die Ausgabe der Logikschaltung erlaubt wird und die Ausgabe der Logikschaltung nicht gewechselt wird, wenn das Ausgabeerlaubnis /Verbotssignal den L-Pegel annimmt und sich daher im Verbotszustand befindet, ein Abnormitätsbenachrichtigungsausgangssignal am Verbindungsabschnitt zwischen dem Rücksetzerzeugungsanforderungssignal und der Logikschaltung, wodurch dem Hauptmikrocomputer der Logikzustand der Logikschaltungs-Eingabeeinheit mitgeteilt wird, und mehrere Abnormitätsbenachrichtigungsausgangssignale an einem Verbindungsabschnitt zwischen den mehreren Rücksetzerzeugungsanforderungssignalen und der Logikschaltung, die vom Rücksetzerzeugungsanforderungssignal verschieden sind, wodurch dem Hauptmikrocomputer der Logikzustand der Logikschaltungs-Eingabeeinheit mitgeteilt wird, aufweist, wobei die elektronische Steuervorrichtung in einer einzigen Endsequenz feststellen kann, dass die mehreren Rücksetzerzeugungsanforderungssignale normal sind.
  • Bezugszeichenliste
    • 1
    Hauptmikrocomputer (Mikrocomputer)
    2
    Überwachungsmodul (Überwachungsvorrichtung)
    3
    Rücksetzerzeugungsanforderungssignal (Abnormitätssignal)
    4
    Rücksetzerzeugungsanforderungssignal (Abnormitätssignal)
    5
    Rücksetzerzeugungsanforderungssignal (Abnormitätssignal)
    6
    NOR-Schaltung (Logikschaltung, erste Rücksetzeinheit)
    7
    /RES (Rücksetzsignal)
    8
    Abnormitätsbenachrichtigungsausgangssignal
    9
    Abnormitätsbenachrichtigungsausgangssignal
    10
    Abnormitätsbenachrichtigungsausgangssignal
    11
    Diagnosesteuersignal
    11a
    Zündschlüsselschaltersignal
    12
    NAND-Schaltung (Logikschaltung, zweite Rücksetzeinheit)
    13
    UND-Schaltung (Logikschaltung)
    14
    UND-Schaltung (Logikschaltung)
    15
    UND-Schaltung (Logikschaltung)
    16
    Rücksetzerzeugungsanforderungssignal (Rücksetzanforderung)
    17
    Interner-Fehler-Abnormitätserkennungseinheit (InternerFehler-Erkennungseinheit)
    18
    Interner-Fehler-Abnormitätserkennungssignal (Abnormitätssignal)
    19
    P-RUN-Signal (Impulse)
    20
    WDT
    21
    Diagnoseeinheit
    22
    Rücksetzanforderungseinheit
    23
    Impulserzeugungseinheit

Claims (9)

  1. Fahrzeuginterne Steuervorrichtung, die einen Mikrocomputer (1) und eine den Mikrocomputer überwachende Überwachungsvorrichtung (2) aufweist, wobei der Mikrocomputer (1) aufweist: eine Interner-Fehler-Erkennungseinheit (17, 17a, 17b, 17c), um, falls in einem Zeitraum, in dem ein Zündschalter im Einschaltzustand ist, ein interner Fehler auftritt, ein Abnormitätssignal (3, 4, 5, 18), das angibt, dass der interne Fehler aufgetreten ist, über einen ersten Weg (P1a, P1b, P1c) in die Überwachungsvorrichtung (2) einzugeben und das Abnormitätssignal (3, 4, 5, 18) in einem Zeitraum, in dem der Zündschalter im Ausschaltzustand ist, zum Testen über den ersten Weg (P1a, P1b, P1c) in die Überwachungsvorrichtung (2) einzugeben, und eine Diagnoseeinheit (21), die den ersten Weg (P1a, P1b, P1c) auf der Grundlage des Signalpegels eines vom ersten Weg (P1a, P1b, P1c) abzweigenden zweiten Wegs (P2a, P2b, P2c) diagnostiziert, nachdem die Interner-Fehler-Erkennungseinheit (17, 17a, 17b, 17c) das Abnormitätssignal (3, 4, 5, 18) in die Überwachungsvorrichtung (2) eingegeben hat.
  2. Fahrzeuginterne Steuervorrichtung nach Anspruch 1, wobei die Überwachungsvorrichtung (2) eine erste Rücksetzeinheit (6) aufweist, die ein Rücksetzsignal (7) zum Rücksetzen des Mikrocomputers (1) in den Mikrocomputer (1) eingibt, falls der Zündschalter im Einschaltzustand ist und das Abnormitätssignal (3, 4, 5, 18) in die Überwachungsvorrichtung (2) eingegeben wird.
  3. Fahrzeuginterne Steuervorrichtung nach Anspruch 2, wobei, falls der Zündschalter im Ausschaltzustand ist und das Abnormitätssignal (3, 4, 5, 18) in die Überwachungsvorrichtung (2) eingegeben wird, die erste Rücksetzeinheit (6) das Rücksetzsignal (7) nicht in den Mikrocomputer (1) eingibt.
  4. Fahrzeuginterne Steuervorrichtung nach Anspruch 2, die mehrere Interner-Fehler-Erkennungseinheiten (17a, 17b, 17c) aufweist, wobei der erste Weg (P1a, P1b, P1c) und der zweite Weg (P2a, P2b, P2c) für jede der Interner-Fehler-Erkennungseinheiten (17a, 17b, 17c) vorgesehen sind, wobei, falls der Zündschalter im Einschaltzustand ist und zumindest eine der Interner-Fehler-Erkennungseinheiten (17a, 17b, 17c) das Abnormitätssignal (3, 4, 5) in die Überwachungsvorrichtung (2) eingibt, die erste Rücksetzeinheit (6) das Rücksetzsignal (7) in den Mikrocomputer (1) eingibt.
  5. Fahrzeuginterne Steuervorrichtung nach Anspruch 4, wobei die Überwachungsvorrichtung (2) ferner eine zweite Rücksetzeinheit (12) aufweist, die dazu dient, das Rücksetzsignal (7) in den Mikrocomputer (1) einzugeben, falls alle Interner-Fehler-Erkennungseinheiten (17a, 17b, 17c) das Abnormitätssignal (3, 4, 5) in die Überwachungsvorrichtung (2) eingeben.
  6. Fahrzeuginterne Steuervorrichtung nach Anspruch 4, wobei der Mikrocomputer (1) ferner eine Rücksetzanforderungseinheit (22) zur Eingabe einer Rücksetzanforderung (16) in die Überwachungsvorrichtung (2) aufweist, wobei die erste Rücksetzeinheit (6) das Rücksetzsignal (7) in den Mikrocomputer (1) eingibt, falls der Mikrocomputer (1) die Rücksetzanforderung (16) in die Überwachungsvorrichtung (2) eingibt.
  7. Fahrzeuginterne Steuervorrichtung nach Anspruch 2, wobei der Mikrocomputer (1) ferner eine Impulserzeugungseinheit (23) aufweist, die einen Impuls (19) mit einem vorgegebenen Zyklus erzeugt und den Impuls (19) in die Überwachungsvorrichtung (2) eingibt, wobei die erste Rücksetzeinheit (6) das Rücksetzsignal (7) in den Mikrocomputer (1) eingibt, falls der Impuls (19) bis zum Verstreichen des Zyklus nicht in die Überwachungsvorrichtung (2) eingegeben wird.
  8. Fahrzeuginterne Steuervorrichtung nach Anspruch 1, wobei die Diagnoseeinheit (21), nachdem die Interner-Fehler-Erkennungseinheit (17, 17a, 17b, 17c) das Abnormitätssignal (3, 4, 5, 18) in die Überwachungsvorrichtung (2) eingegeben hat, falls das Abnormitätssignal (3, 4, 5, 18) nicht über den zweiten Weg (P2a, P2b, P2c) in den Mikrocomputer (1) eingegeben wird, diagnostiziert, dass über den ersten Weg (P1a, P1b, P1c) nicht kommuniziert wird.
  9. Fahrzeuginterne Steuervorrichtung nach Anspruch 8, wobei die Diagnoseeinheit (21), nachdem die Interner-Fehler-Erkennungseinheit (17, 17a, 17b, 17c) das Abnormitätssignal (3, 4, 5, 18) in die Überwachungsvorrichtung (2) eingegeben hat, falls das Abnormitätssignal (3, 4, 5, 18) über den zweiten Weg (P2a, P2b, P2c) in den Mikrocomputer (1) eingegeben wird, diagnostiziert, dass die Interner-Fehler-Erkennungseinheit (17, 17a, 17b, 17c) normal arbeitet und dass über den ersten Weg (P1a, P1b, P1c) kommuniziert wird.
DE112017000868.9T 2016-03-28 2017-01-30 Elektronische Steuervorrichtung Active DE112017000868B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2016-062972 2016-03-28
JP2016062972 2016-03-28
PCT/JP2017/003084 WO2017169058A1 (ja) 2016-03-28 2017-01-30 電子制御装置

Publications (2)

Publication Number Publication Date
DE112017000868T5 DE112017000868T5 (de) 2018-11-15
DE112017000868B4 true DE112017000868B4 (de) 2024-05-23

Family

ID=59963036

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112017000868.9T Active DE112017000868B4 (de) 2016-03-28 2017-01-30 Elektronische Steuervorrichtung

Country Status (3)

Country Link
JP (1) JP6457149B2 (de)
DE (1) DE112017000868B4 (de)
WO (1) WO2017169058A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4597052A (en) 1983-05-17 1986-06-24 Nissan Motor Company, Limited Digital control system with error monitor operative upon starting system operation
JP2008276360A (ja) 2007-04-26 2008-11-13 Fujitsu Ten Ltd 電子制御装置
DE102015208598A1 (de) 2014-05-09 2015-11-12 Denso Corporation Elektronische steuereinheit

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63123138A (ja) * 1986-11-12 1988-05-26 Yamatake Honeywell Co Ltd マイコン暴走検知回路
JPH0675824A (ja) * 1992-08-27 1994-03-18 Fujitsu Ten Ltd Cpuの動作監視装置
JP4437812B2 (ja) * 2006-12-19 2010-03-24 富士通テン株式会社 電子制御装置
JP2013037635A (ja) * 2011-08-10 2013-02-21 Renesas Electronics Corp ウォッチドッグタイマ回路
JP2015057016A (ja) * 2013-09-13 2015-03-23 株式会社オートネットワーク技術研究所 負荷制御装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4597052A (en) 1983-05-17 1986-06-24 Nissan Motor Company, Limited Digital control system with error monitor operative upon starting system operation
JP2008276360A (ja) 2007-04-26 2008-11-13 Fujitsu Ten Ltd 電子制御装置
DE102015208598A1 (de) 2014-05-09 2015-11-12 Denso Corporation Elektronische steuereinheit

Also Published As

Publication number Publication date
JPWO2017169058A1 (ja) 2018-07-05
DE112017000868T5 (de) 2018-11-15
WO2017169058A1 (ja) 2017-10-05
JP6457149B2 (ja) 2019-01-23

Similar Documents

Publication Publication Date Title
DE112018002176B4 (de) Anormalitätsbestimmungsvorrichtung, Anormalitätsbestimmungsverfahren und Anormalitätsbestimmungsprogramm
DE102010013349B4 (de) Computersystem und Verfahren zum Vergleichen von Ausgangssignalen
DE112015002210T5 (de) Motorsteuervorrichtung
DE69925000T2 (de) Fehlertolerantes elektronisches bremssystem
DE102015003194A1 (de) Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern
DE112010005400T5 (de) System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
DE102015110958A1 (de) Ausfallverwaltung in einem Fahrzeug
EP3571593A1 (de) Redundante prozessorarchitektur
DE102008004205A1 (de) Schaltungsanordnung und Verfahren zur Fehlerbehandlung in Echtzeitsystemen
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
DE102011054435A1 (de) Elektronische Steuereinheit und elektrische Servolenkvorrichtung
EP1615087A2 (de) Steuer- und Regeleinheit
EP2745205B1 (de) Verfahren zum betreiben eines steuerungsnetzwerk und steuerungsnetzwerk
EP2786162B1 (de) Verfahren zum feststellen eines fehlers in verbindungleitungen zwischen einer zentraleinheit und einer mehrzahl von voreinander unabhängigen elektronischen baueinheiten
DE102005034161B3 (de) Elektronische Vorrichtung
DE102017011685A1 (de) Verfahren und Vorrichtung zur Verarbeitung von Alarmsignalen
DE112017000868B4 (de) Elektronische Steuervorrichtung
DE10302456A1 (de) Vorrichtung für sicherheitskritische Anwendungen und sichere Elektronik-Architektur
EP3341843A1 (de) Verfahren und vorrichtung zum überwachen eines zustandes einer elektronischen schaltungseinheit eines fahrzeugs
DE102007045509A1 (de) Fahrzeug-Steuereinheit mit einem Versorgungspannungsüberwachten Mikrocontroller sowie zugehöriges Verfahren
DE10007008B4 (de) Verfahren zur Überwachung einer Datenverarbeitungseinrichtung
DE102007026934B4 (de) System und Verfahren zur Ausfalldetektion eines Sensors, insbesondere eines Winkelsensors, einer aktiven Frontlenkung in einem System mit mehreren Sensoren, insbesondere Winkelsensoren
DE102017201621A1 (de) Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung
DE112016007535T5 (de) Steuereinrichtung und verarbeitungsverfahren im falle einer fehlfunktion der steuereinrichtung
DE112019007286T5 (de) Fahrzeuginterne steuerungsvorrichtung und fahrzeuginternes steuerungssystem

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: HITACHI ASTEMO, LTD., HITACHINAKA-SHI, JP

Free format text: FORMER OWNER: HITACHI AUTOMOTIVE SYSTEMS, LTD., HITACHINAKA-SHI, IBARAKI, JP

R016 Response to examination communication
R018 Grant decision by examination section/examining division