DE112020005251T5 - Fahrzeugmontierte elektronische steuervorrichtung - Google Patents

Fahrzeugmontierte elektronische steuervorrichtung Download PDF

Info

Publication number
DE112020005251T5
DE112020005251T5 DE112020005251.6T DE112020005251T DE112020005251T5 DE 112020005251 T5 DE112020005251 T5 DE 112020005251T5 DE 112020005251 T DE112020005251 T DE 112020005251T DE 112020005251 T5 DE112020005251 T5 DE 112020005251T5
Authority
DE
Germany
Prior art keywords
driver
computing device
normally
vehicle
check signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112020005251.6T
Other languages
English (en)
Inventor
Toru Fukuda
Yoshitaka Tokunaga
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Publication of DE112020005251T5 publication Critical patent/DE112020005251T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2028Failover techniques eliminating a faulty processor or activating a spare
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0225Failure correction strategy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • B60R16/0232Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/006Identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2025Failover techniques using centralised failover control functionality
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0062Adapting control system settings
    • B60W2050/0075Automatic parameter input, automatic initialising or calibrating means
    • B60W2050/0083Setting, resetting, calibration
    • B60W2050/0085Setting or resetting initial positions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2710/00Output or target parameters relating to a particular sub-units
    • B60W2710/06Combustion engines, Gas turbines
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2710/00Output or target parameters relating to a particular sub-units
    • B60W2710/24Energy storage means
    • B60W2710/242Energy storage means for electrical energy
    • B60W2710/244Charge state
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2710/00Output or target parameters relating to a particular sub-units
    • B60W2710/30Auxiliary equipments

Abstract

Die vorliegende Erfindung ist im Hinblick auf die obigen Probleme gemacht worden, wobei es eine Aufgabe der vorliegenden Erfindung ist, wenn eine Anomalie in einer elektronischen Steuervorrichtung, die mehrere Funktionen steuert, detektiert wird, einen Betrieb fortzusetzen, ohne die andere Funktion zu beeinflussen, und die Sicherheit einer Steuerzielvorrichtung, die der Funktion entspricht, in der die Anomalie detektiert wird, sicherzustellen. In der fahrzeugmontierten elektronischen Steuervorrichtung gemäß der vorliegenden Erfindung gibt jeder eines ersten Rechenabschnitts und eines zweiten Rechenabschnitts ein Betriebsprüfsignal aus und setzt eine Treibersteuereinheit einen Treiber, der dem Rechenabschnitt entspricht, in dem eine Anomalie durch das Betriebsprüfsignal angegeben wird, zwischen dem ersten Rechenabschnitt und dem zweiten Rechenabschnitt in einen degenerierten Zustand.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung bezieht sich auf eine fahrzeugmontierte elektronische Steuervorrichtung, die in einem Fahrzeug angebracht ist.
  • Technischer Hintergrund
  • Eine elektronische Steuereinheit (ECU), die in einem Fahrzeug angebracht ist, enthält im Allgemeinen eine Überwachungseinheit, die überwacht, ob ein Mikrocomputer in der ECU normal arbeitet. Im Allgemeinen ist eine Überwachungseinheit für einen Mikrocomputer angeordnet. Die Überwachungseinheit kann z. B. durch einen Überwachungszeitgeber (WDT) konfiguriert sein. Falls das Überwachungsergebnis der Überwachungseinheit anomal ist, wird der Mikrocomputer zurückgesetzt, um zu versuchen, den Mikrocomputer aus dem anomalen Zustand wiederherzustellen.
  • Die im Folgenden aufgeführte PTL 1 offenbart eine Technik mit einer Aufgabe, dass „eine fahrzeugmontierte elektronische Steuervorrichtung geschaffen wird, die eine Störungsüberwachung einer Mehrkern-CPU zu geringen Kosten ermöglicht, ohne die Anzahl der überwachenden CPUs zu erhöhen“. Bei dieser Technik „wird ein CPU-Kern 10 in einer Steuer-IC 2 als ein Haupt-CPU-Kern festgelegt, wobei andere CPU-Kerne 20, 30 und 40 als Unter-CPU-Kerne festgelegt werden, die CPU-Kerne 20, 30 und 40 Antwortdaten auf Beispieldaten, die von dem CPU-Kern 10 übertragen werden, berechnen und die Antwortdaten zu dem CPU-Kern 10 übertragen, der CPU-Kern 10 die Antwortdaten auf Beispieldaten, die durch eine Überwachungs-IC 3 übertragen werden, berechnet und die Beispieldaten zu den CPU-Kernen 20, 30, und 40, überträgt und endgültige Antwortdaten basierend auf den eigenen Antwortdaten und den Antwortdaten, die als eine Antwort durch die CPU-Kerne 20, 30 und 40 übertragen worden sind, erzeugt und die endgültigen Antwortdaten an die Überwachungs-IC 3 überträgt, und die Überwachungs-IC 3 eine Störung der Steuer-IC 2 basierend auf einem Vergleichsergebnis zwischen den endgültigen Antwortdaten, die von dem CPU-Kern 10 empfangen wurden, und einem erwarteten Antwortdatenwert, der im Voraus vorbereitet wurde, diagnostiziert“ (siehe Zusammenfassung).
  • Die im Folgenden aufgeführte PTL 2 offenbart eine Technik, die die Aufgabe hat, „eine Datenverarbeitungsvorrichtung zu schaffen, die die andere Anwendung kontinuierlich ausführen kann, selbst wenn in einer von zwei oder mehr Anwendungen eine Anomalie detektiert wird“. In dieser Technik „enthält die Datenverarbeitungsvorrichtung mehrere Anwendungen, Anwendungsüberwachungsmittel 60 zum Zählen der Anzahl von Betriebsmeldungen für jede Anwendung in einer ersten Zählperiode und Anwendungssteuermittel 32 zum Steuern eines Betriebs der Anwendung, wobei, wenn die Anwendungsüberwachungsmittel ein Anomalitätszeichen der Anwendung basierend auf der Anzahl von vorherigen Betriebsmeldungen der Anwendung detektieren, die Anwendungssteuermittel die Übertragung einer Betriebsmeldung einer Anwendung mit einer niedrigsten Priorität stoppen, und die Anwendung, deren Anomalitätszeichen nicht detektiert wird, eine Betriebsmeldung zu einem Zeitpunkt, bevor das Anomalitätszeichen detektiert wird, und zu einem Zeitpunkt, zu dem eine Anwendung, deren Anomalitätszeichen detektiert wird, eine Betriebsmeldung überträgt, oder zu einem Zeitpunkt vor und nach einem derartigen Zeitpunkt überträgt“ (siehe Zusammenfassung).
  • Liste der Entgegenhaltungen
  • Patentliteratur
    • PTL 1: JP 2015-103052 A
    • PTL 2: JP 2013-143093 A
  • Zusammenfassung der Erfindung
  • Technisches Problem
  • In den letzten Jahren ist in einer fahrzeugmontierten elektronischen Steuervorrichtung ein Mehrkern-Mikrocomputer in Gebrauch gekommen, der mehrere Prozessorkerne enthält. Der Mehrkern-Mikrocomputer kann für jeden Kern eine andere Funktion ausführen. Weil die Kosten steigen, falls die Überwachungseinheit für jeden Kern angeordnet ist, wird es als wünschenswert betrachtet, die Kerne durch eine Überwachungseinheit gemeinsam zu überwachen.
  • In einem Mehrkern-Mikrocomputer, der mehrere Funktionen ausführt, wird die Gesamtheit des Mikrocomputers zurückgesetzt, wenn irgendeine der Funktionen durch die Überwachungseinheit als anomal bestimmt wird. Falls der Mikrocomputer zurückgesetzt wird, wird außerdem die Funktion, die normal arbeitet, zurückgesetzt. Folglich wird die Betriebskontinuität unterdrückt.
  • Insbesondere bei der fahrzeugmontierten elektronischen Steuervorrichtung kann es erforderlich sein, den Betrieb fortzusetzen. Folglich ist eine derartige Konfiguration nicht wünschenswert.
  • In PTL 1 überwacht eine Überwachungs-IC 3 die mehreren CPU-Kerne 10 bis 40 in einer Weise, dass der CPU-Kern 10 bis 40 die von der Überwachungs-IC 3 übertragenen Beispieldaten weiterleitet. Es wird in Betracht gezogen, dass eine derartige Konfiguration beim Unterdrücken der Kosten der Überwachungs-IC 3 nützlich ist. Falls jedoch die Gesamtheit der CPU zurückgesetzt wird, wenn irgendeiner der CPU-Kerne anomal ist, kann die Betriebskontinuität behindert werden.
  • In PTL 2 wird, wenn irgendeine von zwei oder mehr Anwendungen anomal ist, die Betriebsmeldung der Anwendung mit der niedrigsten Priorität gestoppt, während die anderen Anwendungen fortgesetzt werden. Weil jedoch gemäß PTL 2 die Betriebsmeldung der Anwendung mit der geringen Priorität zum Zeitpunkt der Anomalie gestoppt wird, ist die Überwachungsfähigkeit für die Anwendung verschlechtert. Das heißt, dass in PTL 2, wenn eine Anomalie auftritt, der Mikrocomputer in einen Zustand übergeht, der sich von einem Normalzustand unterscheidet. In der fahrzeugmontierten elektronischen Steuervorrichtung ist es notwendig, die Betriebskontinuität zu berücksichtigen, die nicht nur den Mikrocomputer, sondern außerdem eine Steuerzielvorrichtung (einen in einem Fahrzeug enthaltenen Aktuator oder dergleichen), die (der) durch die ECU gesteuert ist, enthält. Das Festlegen des Mikrocomputers selbst in einem vom Normalzustand abweichenden Zustand wie in PTL 2 kann vom Standpunkt der Betriebskontinuität nicht notwendigerweise optimal sein. Dies ist so, weil eine Verarbeitung des Wiederherstellens des Mikrocomputers in den Normalzustand erforderlich ist.
  • Die vorliegende Erfindung ist im Hinblick auf die obigen Probleme gemacht worden, wobei es eine Aufgabe der vorliegenden Erfindung ist, wenn in einer elektronischen Steuervorrichtung, die mehrere Funktionen steuert, eine Anomalie detektiert wird, einen Betrieb fortzusetzen, ohne die andere Funktion zu beeinflussen, und die Sicherheit einer Steuerzielvorrichtung sicherzustellen, die der Funktion entspricht, in der die Anomalie detektiert wird.
  • Lösung des Problems
  • In der fahrzeugmontierten elektronischen Steuervorrichtung gemäß der vorliegenden Erfindung gibt jeder von einem ersten Rechenabschnitt und einem zweiten Rechenabschnitt ein Betriebsprüfsignal aus und setzt eine Treibersteuereinheit einen Treiber, der dem Rechenabschnitt, in dem eine Anomalie durch das Betriebsprüfsignal angegeben wird, zwischen dem ersten Rechenabschnitt und dem zweiten Rechenabschnitt entspricht, in einen degenerierten Zustand.
  • Vorteilhafte Wirkungen der Erfindung
  • Gemäß der fahrzeugmontierten elektronischen Steuervorrichtung der vorliegenden Erfindung ist es möglich, einen Betrieb fortzusetzen, ohne eine Funktion zu beeinflussen, in der keine Anomalie auftritt, und die Sicherheit einer Steuerzielvorrichtung sicherzustellen, die einer Funktion entspricht, in der die Anomalie detektiert wird.
  • Figurenliste
    • 1 ist ein Konfigurationsdiagramm einer fahrzeugmontierten elektronischen Steuervorrichtung 100 gemäß einer ersten Ausführungsform.
    • 2 ist ein Zeitdiagramm zum Erklären einer Prozedur, bei der eine Bestimmungseinheit 4 jeden Treiber steuert.
    • 3 ist ein Zeitdiagramm zum Erklären einer Prozedur, bei der die Bestimmungseinheit 4 einen Mikrocomputer 6 zurücksetzt.
    • 4 ist eine graphische Darstellung, die ein Beispiel einer Vorrichtung veranschaulicht, die durch die fahrzeugmontierte elektronische Steuervorrichtung 100 gesteuert ist.
  • Beschreibung der Ausführungsformen
  • <Erste Ausführungsform>
  • 1 ist ein Konfigurationsdiagramm einer fahrzeugmontierten elektronischen Steuervorrichtung 100 gemäß einer ersten Ausführungsform der vorliegenden Erfindung. Die fahrzeugmontierte elektronische Steuervorrichtung 100 ist eine elektronische Steuervorrichtung, die an einem Fahrzeug angebracht ist. Die fahrzeugmontierte elektronische Steuervorrichtung 100 ist eine Vorrichtung, die Vorrichtungen (z. B. eine Aktuator und dergleichen, spezifische Beispiele werden später beschrieben) steuert, die im Fahrzeug enthalten sind.
  • Die fahrzeugmontierte elektronische Steuervorrichtung 100 enthält eine Überwachungseinheit 1, einen Mikrocomputer 6 (eine Rechenvorrichtung), einen ersten Treiber 18 und einen zweiten Treiber 19.
  • Der Mikrocomputer 6 enthält eine Zentraleinheit (CPU), die ein Programm ausführt, in dem eine Steuerberechnung zum Steuern der im Fahrzeug enthaltenen Vorrichtungen enthalten ist. Der Mikrocomputer 6 ist ein Mehrprozessor-Mikrocomputer, der mehrere CPUs enthält. 1 veranschaulicht ein Beispiel, das eine CPU 11 (einen ersten Rechenabschnitt) und eine CPU 13 (einen zweiten Rechenabschnitt) enthält. Die CPU 11 führt eine Steuerberechnung zum Verwirklichen einer ersten Funktion 7 (eines ersten Prozesses) aus, während die CPU 13 eine Steuerberechnung zum Verwirklichen einer zweiten Funktion 8 (eines zweiten Prozesses) ausführt. Hinsichtlich eines Funktionssicherheitsanforderungsniveaus in dem Standard, dem die fahrzeugmontierte elektronische Steuervorrichtung entspricht, ist das Funktionssicherheitsanforderungsniveau der ersten Funktion 7 höher als das Funktionssicherheitsanforderungsniveau der zweiten Funktion 8.
  • Die CPU 11 gibt ein erstes Treibersignal zum Steuern des ersten Treibers 18 über eine E/A-Schaltung 17 gemäß dem Steuerberechnungsergebnis aus. Der erste Treiber 18 steuert eine erste Vorrichtung gemäß dem ersten Treibersignal an. Die CPU 13 gibt ein zweites Treibersignal zum Steuern des zweiten Treibers 19 über die E/A-Schaltung 17 gemäß dem Steuerberechnungsergebnis aus. Der zweite Treiber 19 steuert eine zweite Vorrichtung gemäß dem zweiten Treibersignal an.
  • Die CPU 11 gibt ein erstes Betriebsprüfsignal, das angibt, dass die CPU 11 das Programm ausführt, über die E/A-Schaltung 17 an die Überwachungseinheit 1 aus. Die CPU 13 gibt ein zweites Betriebsprüfsignal, das angibt, dass die CPU 13 das Programm ausführt, über die E/A-Schaltung 17 an die Überwachungseinheit 1 aus.
  • In einem Gleichschritt 9 wird die gleiche Berechnung wie die der CPU 11 ausgeführt. In einem Gleichschritt 10 wird die gleiche Berechnung wie die der CPU 13 ausgeführt. Eine im Mikrocomputer 6 enthaltene MPU-Überwachungseinheit 15 (Rechenvorrichtungs-Überwachungseinheit) vergleicht das Rechenergebnis der CPU mit dem Rechenergebnis des Gleichschritts. Wenn die Berechnungsergebnisse nicht zueinander gleich sind, gibt die MPU-Überwachungseinheit 15 ein Signal (Fehlerausgabe), das angibt, dass der Mikrocomputer 6 anomal ist, an die Überwachungseinheit 1 aus.
  • Der Mikrocomputer 6 enthält ferner die Speicher 12 und 14, eine Peripherieschaltung 16 und dergleichen. Die Speicher 12 und 14 sind Speichervorrichtungen, die Daten und dergleichen speichern, die durch die CPUs 11 bzw. 13 verwendet werden.
  • Die Peripherieschaltung 16 ist z. B. eine weitere Schaltung, wie z. B. ein Zeitgeber, ein AD-Umsetzer oder eine Kommunikationsschnittstelle, die im Allgemeinen im Mikrocomputer 6 enthalten ist. Die MPU-Überwachungseinheit 15 überwacht, ob die Speicher 12 und 14, die Peripherieschaltung 16 und die E/A-Schaltung 17 normal arbeiten, zusätzlich zu jeder CPU und gibt eine Fehlerausgabe zu der Überwachungseinheit 1 aus, wenn irgendeine der obigen Komponenten anomal ist. Folglich weist die MPU-Überwachungseinheit 15 eine Rolle des Überwachens eines Auftretens eines Problems in dem Mikrocomputer 6 auf.
  • Die Überwachungseinheit 1 enthält eine Rücksetzsteuereinheit 2, eine Antwortüberwachungseinheit 3, eine Bestimmungseinheit 4 und eine Treibersteuereinheit 5. Die Rücksetzsteuereinheit 2 gibt gemäß einer Anweisung von der Bestimmungseinheit 4 ein Rücksetzsignal an den Mikrocomputer 6 aus. Die Antwortüberwachungseinheit 3 überwacht den Betrieb der CPU 11. Die Antwortüberwachungseinheit 3 kann z. B. durch einen WDT konfiguriert sein. Die Bestimmungseinheit 4 bestimmt gemäß einer später zu beschreibenden Prozedur, ob der Mikrocomputer 6 normal ist. Die Treibersteuereinheit 5 gibt ein Signal (Ausgabeerlaubnissignal der Funktion 1) zum Steuern des ersten Treibers 18 und ein Signal (Ausgabeerlaubnissignal der Funktion 2) zum Steuern des zweiten Treibers 19 gemäß einer Anweisung von der Bestimmungseinheit 4 aus.
  • 2 ist ein Zeitdiagramm zum Erklären einer Prozedur, bei der die Bestimmungseinheit 4 jeden Treiber steuert. Die Bestimmungseinheit 4 weist den Treiber entsprechend dem Betriebsprüfsignal, das die Anomalie angibt, an, die Ausgabe zu stoppen. In 2 weist die Bestimmungseinheit 4 den zweiten Treiber 19 an, die Ausgabe zu stoppen, weil das zweite Betriebsprüfsignal eine Anomalie angibt. Dann gibt der zweite Treiber 19 das zweite Treibersignal nicht an die zweite Vorrichtung aus. Wenn mehrere Betriebsprüfsignale die Anomalie angeben, kann der Treiber, der jedem Betriebsprüfsignal entspricht, angewiesen werden, die Ausgabe zu stoppen. Wenn das Betriebsprüfsignal die Normalität angibt, wird der entsprechende Treiber angewiesen, die Ausgabe zu erlauben.
  • 3 ist ein Zeitdiagramm zum Erklären einer Prozedur, bei der die Bestimmungseinheit 4 den Mikrocomputer 6 zurücksetzt.
  • Wie bezüglich 2 beschrieben worden ist, weist die Bestimmungseinheit 4 jedes Mal, wenn ein Betriebsprüfsignal die Anomalie angibt, den entsprechenden Treiber an, die Ausgabe zu stoppen. Wenn alle Betriebsprüfsignale (das erste Betriebsprüfsignal und das zweite Betriebsprüfsignal in der ersten Ausführungsform) die Anomalie angeben und von der MPU-Überwachungseinheit 15 eine Fehlerausgabe erzeugt wird, führt jede CPU das Programm nicht normal aus, wobei außerdem ein Problem im Mikrocomputer 6 auftritt. In diesem Fall wird in Betracht gezogen, dass es nicht möglich ist, den Betrieb des Mikrocomputers 6 weiterhin fortzusetzen. Deshalb weist die Bestimmungseinheit 4 die Rücksetzsteuereinheit 2 an, ein Rücksetzsignal auszugeben. 3 veranschaulicht ein Beispiel, bei dem, nachdem das zweite Betriebsprüfsignal die Anomalie angibt, das erste Betriebsprüfsignal die Anomalie angibt, wobei dann die Fehlerausgabe erzeugt wird.
  • <Erste Ausführungsform: Zusammenfassung>
  • Eine fahrzeugmontierte elektronische Steuervorrichtung 100 gemäß der ersten Ausführungsform ist eine fahrzeugmontierte elektronische Steuervorrichtung (100), die an einem Fahrzeug angebracht ist. Die fahrzeugmontierte elektronische Steuervorrichtung (100) enthält einen ersten Treiber (18), der ein erstes Treibersignal zum Ansteuern einer in dem Fahrzeug enthaltenen ersten Vorrichtung ausgibt, einen zweiten Treiber (19), der ein zweites Treibersignal zum Ansteuern einer in dem Fahrzeug enthaltenen zweiten Vorrichtung ausgibt, eine Treibersteuereinheit (5), die einen Betriebszustand jedes des ersten Treibers (18) und des zweiten Treibers (19) steuert, und eine Rechenvorrichtung (6), die mehrere Recheneinheiten enthält, die konfiguriert sind, einen Steuerprozess zum Steuern des Fahrzeugs auszuführen. Die Rechenvorrichtung (6) enthält als die Recheneinheit einen ersten Rechenabschnitt (11), der einen ersten Prozess zum Steuern der ersten Vorrichtung ausführt und den ersten Treiber (18) gemäß einem Ergebnis des ersten Prozesses steuert, einen zweiten Rechenabschnitt (13), der einen zweiten Prozess zum Steuern der zweiten Vorrichtung ausführt und den zweiten Treiber (19) gemäß einem Ergebnis des zweiten Prozesses steuert. Die Rechenvorrichtung gibt ein Prüfsignal aus, das angibt, ob der Steuerprozess normal ausgeführt wird. Der erste Rechenabschnitt (11) gibt als das Prüfsignal ein erstes Betriebsprüfsignal aus, das angibt, ob der erste Prozess normal ausgeführt wird. Der zweite Rechenabschnitt (13) gibt als das Prüfsignal ein zweites Betriebsprüfsignal aus, das angibt, ob der zweite Prozess normal ausgeführt wird. Wenn das erste Betriebsprüfsignal angibt, dass der erste Prozess normal ausgeführt wird, und das zweite Betriebsprüfsignal angibt, dass der zweite Prozess nicht normal ausgeführt wird, veranlasst die Treibersteuereinheit (5) den ersten Treiber (18), normal zu arbeiten, wobei sie den zweiten Treiber (19) in einen Zustand setzt, in dem der zweite Treiber von einem Normalbetrieb degeneriert ist. Wenn das erste Betriebsprüfsignal angibt, dass der erste Prozess nicht normal ausgeführt wird, und das zweite Betriebsprüfsignal angibt, dass der zweite Prozess normal ausgeführt wird, setzt die Treibersteuereinheit (5) den ersten Treiber (18) in einen Zustand, in dem der erste Treiber vom Normalbetrieb degeneriert ist, und veranlasst den zweiten Treiber (19), normal zu arbeiten. Indem der Treiber in einen degenerierten Zustand gebracht wird, ist es möglich, den Betrieb des Fahrzeugs in eine ausfallsichere Betriebsart zu überführen, während der Betrieb der CPU fortgesetzt wird. Weil es nicht notwendig ist, den Mikrocomputer 6 (die Rechenvorrichtung) rückzusetzen, ist es möglich zu verhindern, dass der Mikrocomputer 6 (die Rechenvorrichtung) eine Funktion beeinflusst, die normal arbeitet.
  • Die fahrzeugmontierte elektronische Steuervorrichtung (100) enthält ferner eine Rechenvorrichtungs-Überwachungseinheit (15), die ein Auftreten eines Problems in der Rechenvorrichtung überwacht, und eine Rücksetzsteuereinheit (2), die ein Rücksetzsignal zum Rücksetzen der Rechenvorrichtung (6) ausgibt. Wenn das Prüfsignal angibt, dass alle in der Rechenvorrichtung (6) enthaltenen Recheneinheiten anomal sind, und die Rechenvorrichtungs-Überwachungseinheit (15) detektiert, dass in der Rechenvorrichtung (6) ein Problem aufgetreten ist, setzt die Rücksetzsteuervorrichtung (2) durch das Ausgeben des Rücksetzsignals zu der Rechenvorrichtung (6) die Rechenvorrichtung (6) zurück. Wenn angenommen wird, dass das Anomalieniveau des Mikrocomputers (6) (der Rechenvorrichtung) hoch ist, ist es möglich zu versuchen, den Mikrocomputer durch das Rücksetzen des Mikrocomputers in den Normalzustand wiederherzustellen.
  • Die Rechenvorrichtung (6) setzt den ersten Prozess durch den ersten Rechenabschnitt (11) fort, selbst wenn das erste Betriebsprüfsignal angibt, dass der erste Prozess nicht normal ausgeführt wird. Die Rechenvorrichtung (6) setzt den zweiten Prozess durch den zweiten Rechenabschnitt (13) fort, selbst wenn das zweite Betriebsprüfsignal angibt, dass der zweite Prozess nicht normal ausgeführt wird. Folglich ist es möglich, den Betrieb des Fahrzeugs in die ausfallsichere Betriebsart zu überführen, ohne den Mikrocomputer 6 (die Rechenvorrichtung) rückzusetzen.
  • Die Rechenvorrichtung (6) setzt den zweiten Prozess durch den zweiten Rechenabschnitt (13) fort, selbst wenn das erste Betriebsprüfsignal angibt, dass der erste Prozess nicht normal ausgeführt wird. Die Rechenvorrichtung (6) setzt den ersten Prozess durch den ersten Rechenabschnitt (11) fort, selbst wenn das zweite Betriebsprüfsignal angibt, dass der zweite Prozess nicht normal ausgeführt wird. Folglich ist es möglich, den Betrieb des Fahrzeugs in die ausfallsichere Betriebsart zu überführen, ohne den Mikrocomputer 6 (die Rechenvorrichtung) rückzusetzen.
  • <Zweite Ausführungsform>
  • In der ersten Ausführungsform ist beschrieben worden, dass der Treiber gemäß dem Betriebsprüfsignal in den degenerierten Zustand gesetzt wird. Aufgrund eines vorübergehenden Zustands der E/A-Schaltung 17, der Verdrahtung oder dergleichen kann jedoch z. B. das Betriebsprüfsignal fälschlicherweise eine Normalität angeben, obwohl das Betriebsprüfsignal ursprünglich eine Anomalie angeben soll. Deshalb wird in einer zweiten Ausführungsform der vorliegenden Erfindung eine Prozedur zum Bestimmen, ob der Mikrocomputer 6 normal ist, unter Verwendung des Betriebsprüfsignals/der MPU-Überwachungseinheit 15/der Antwortüberwachungseinheit 3 in Kombination beschrieben. Die Konfiguration der fahrzeugmontierten elektronischen Steuervorrichtung 100 ist zu der in der ersten Ausführungsform ähnlich.
  • (Abschnitt 1 der Prozedur) Wenn sowohl das erste Betriebsprüfsignal als auch das zweite Betriebsprüfsignal Normalität angeben, erfasst die Bestimmungseinheit 4 ferner ein Überwachungsergebnis durch die MPU-Überwachungseinheit 15 und ein Überwachungsergebnis durch die Antwortüberwachungseinheit 3. Wenn die MPU-Überwachungseinheit 15 detektiert, dass im Mikrocomputer 6 ein Problem aufgetreten ist, und die Antwortüberwachungseinheit 3 detektiert, dass die CPU 11 normal arbeitet, gibt es eine Möglichkeit, dass eine Anomalie in der CPU 13 oder einem auf sie bezogenen bestimmten Abschnitt aufgetreten ist. Dies ist so, weil die CPU 11 normal arbeitet, obwohl das Innere des Mikrocomputers 6 anomal ist. In diesem Fall gibt die Bestimmungseinheit 4 eine Anweisung aus, die Ausgabe des zweiten Treibers 19 zu stoppen, selbst wenn das zweite Betriebsprüfsignal normal ist.
  • Der erste Treiber 18 setzt den Normalbetrieb fort. Folglich ist es möglich, die Ausfallsicherheit des zweiten Treibers 19 sicherzustellen, selbst wenn das zweite Betriebsprüfsignal aus irgendeinem Grund fälschlicherweise Normalität angibt.
  • (Abschnitt 2 der Prozedur) Wenn sowohl das erste Betriebsprüfsignal als auch das zweite Betriebsprüfsignal Normalität angeben, erfasst die Bestimmungseinheit 4 ferner ein Überwachungsergebnis durch die MPU-Überwachungseinheit 15 und ein Überwachungsergebnis durch die Antwortüberwachungseinheit 3. Wenn die MPU-Überwachungseinheit 15 detektiert, dass im Mikrocomputer 6 ein Problem aufgetreten ist, und die Antwortüberwachungseinheit 3 detektiert, dass die CPU 11 nicht normal arbeitet, gibt es eine Möglichkeit, dass eine Anomalie in der CPU 11 oder einem auf sie bezogenen bestimmten Abschnitt aufgetreten ist. In diesem Fall gibt die Bestimmungseinheit 4 eine Anweisung aus, die Ausgabe des ersten Treibers 18 vorübergehend zu stoppen, selbst wenn das erste Betriebsprüfsignal normal ist. Der zweite Treiber 19 setzt den Normalbetrieb fort. Folglich ist es möglich, die Ausfallsicherheit des ersten Treibers 18 sicherzustellen, selbst wenn das erste Betriebsprüfsignal aus irgendeinem Grund fälschlicherweise Normalität angibt.
  • (Abschnitt 3 der Prozedur) Wenn im Abschnitt 2 der Prozedur ein Zustand andauert, in dem die MPU-Überwachungseinheit 15 detektiert, dass das Problem im Mikrocomputer 6 aufgetreten ist, und die Antwortüberwachungseinheit 3 detektiert, dass die CPU 11 nicht normal arbeitet, ist es wünschenswert, die CPU 11 schnell im Normalzustand wiederherzustellen. Dies ist so, weil die CPU 11 einen Prozess ausführt, der ein hohes Funktionssicherheitsanforderungsniveau aufweist. Folglich setzt in diesem Fall die Bestimmungseinheit 4 den Mikrocomputer 6 über die Rücksetzsteuereinheit 2 zurück. Im Ergebnis ist es möglich, den ersten Treiber 18 schnell im Normalzustand wiederherzustellen, selbst wenn ein Zustand, in dem das erste Betriebsprüfsignal fälschlicherweise Normalität angibt, aus irgendeinem Grund andauert.
  • <Zweite Ausführungsform: Zusammenfassung>
  • Bei der fahrzeugmontierten elektronischen Steuervorrichtung (100) gemäß der zweiten Ausführungsform ist ein für den ersten Prozess erforderliches Funktionssicherheitsniveau höher als ein für den zweiten Prozess erforderliches Funktionssicherheitsniveau. Die fahrzeugmontierte elektronische Steuervorrichtung (100) enthält ferner eine Rechenvorrichtungs-Überwachungseinheit (15), die ein Auftreten eines Problems in der Rechenvorrichtung (6) überwacht, und eine Antwortüberwachungseinheit (3), die überwacht, ob der erste Rechenabschnitt (11) normal arbeitet. Wenn das erste Betriebsprüfsignal angibt, dass der erste Prozess normal ausgeführt wird, das zweite Betriebsprüfsignal angibt, dass der zweite Prozess normal ausgeführt wird, die Rechenvorrichtungs-Überwachungseinheit (15) detektiert, dass in der Rechenvorrichtung (6) ein Problem aufgetreten ist, und die Antwortüberwachungseinheit (3) detektiert, dass der erste Rechenabschnitt (11) normal arbeitet, veranlasst die Treibersteuereinheit (5) den ersten Treiber (18), normal zu arbeiten, während sie den zweiten Treiber in einen Zustand setzt, in dem der zweite Treiber (19) vom Normalbetrieb degeneriert ist. Folglich ist es selbst dann, wenn das zweite Betriebsprüfsignal aus irgendeinem Grund fälschlicherweise Normalität angibt, möglich, die Ausfallsicherheit des zweiten Treibers (19) sicherzustellen.
  • Bei der fahrzeugmontierten elektronischen Steuervorrichtung (100) gemäß der zweiten Ausführungsform ist ein für den ersten Prozess erforderliches Funktionssicherheitsniveau höher als ein für den zweiten Prozess erforderliches Funktionssicherheitsniveau. Die fahrzeugmontierte elektronische Steuervorrichtung (100) enthält ferner eine Rechenvorrichtungs-Überwachungseinheit (15), die ein Auftreten eines Problems in der Rechenvorrichtung (6) überwacht, und eine Antwortüberwachungseinheit (3), die überwacht, ob der erste Rechenabschnitt (11) normal arbeitet. Wenn das erste Betriebsprüfsignal angibt, dass der erste Prozess normal ausgeführt wird, das zweite Betriebsprüfsignal angibt, dass der zweite Prozess normal ausgeführt wird, die Rechenvorrichtungs-Überwachungseinheit (15) detektiert, dass in der Rechenvorrichtung (6) ein Problem aufgetreten ist, und die Antwortüberwachungseinheit (3) detektiert, dass der erste Rechenabschnitt (11) nicht normal arbeitet, setzt die Treibersteuereinheit (5) den ersten Treiber (18) vorübergehend in einen Zustand, in dem der erste Treiber vom Normalbetrieb degeneriert ist, wobei sie den zweiten Treiber (19) veranlasst, normal zu arbeiten. Folglich ist es möglich, die Ausfallsicherheit des ersten Treibers (18) sicherzustellen, selbst wenn das erste Betriebsprüfsignal aus irgendeinem Grund fälschlicherweise Normalität angibt.
  • Die fahrzeugmontierte elektronische Steuervorrichtung (100) gemäß der zweiten Ausführungsform enthält ferner eine Rücksetzsteuereinheit (2), die ein Rücksetzsignal zum Rücksetzen der Rechenvorrichtung (6) ausgibt. Wenn das erste Betriebsprüfsignal angibt, dass der erste Prozess normal ausgeführt wird, das zweite Betriebsprüfsignal angibt, dass der zweite Prozess normal ausgeführt wird, die Rechenvorrichtungs-Überwachungseinheit (15) detektiert, dass in der Rechenvorrichtung (6) ein Problem aufgetreten ist, und ein Zustand, in dem die Antwortüberwachungseinheit (15) detektiert, dass der erste Rechenabschnitt (11) nicht normal arbeitet, kontinuierlich für eine vorgegebene Periode oder mehr hergestellt ist, setzt die Rücksetzsteuereinheit (2) durch das Ausgeben des Rücksetzsignals an die Rechenvorrichtung (6) die Rechenvorrichtung (6) zurück.
  • Im Ergebnis ist es selbst dann, wenn ein Zustand, in dem das erste Betriebsprüfsignal fälschlicherweise normal angibt, aus irgendeinem Grund andauert, möglich, den ersten Treiber 18 schnell wieder im Normalzustand wiederherzustellen.
  • <Dritte Ausführungsform>
  • In der ersten und der zweiten Ausführungsform ist beschrieben worden, dass der Treiber das Ausgeben des Treibersignals stoppt, um den Treiber vom Normalbetrieb in den degenerierten Zustand zu setzen. Wenn der Treiber z. B. durch ein Schaltelement konfiguriert ist, kann die obige Operation durch das Festlegen des Signalpegels eines Treiberanschlusses (wie z. B. eines Gate-Anschlusses) des Schaltelements in einen AUS-Zustand ausgeführt werden. Der degenerierte Zustand des Treibers ist nicht darauf eingeschränkt, wobei andere Formen des degenerierten Zustands außerdem denkbar sind.
  • Es wird z. B. in Betracht gezogen, dass es durch das Setzen des Treibers, den Betrieb fortzusetzen, ohne sich auf die Anweisung vom Mikrocomputer 6 zu stützen, möglich ist, die Betriebskontinuität sicherzustellen, obwohl die Flexibilität des Betriebs beeinträchtigt ist. Der Treiber kann z. B. durch das Verbinden der Schaltung, in der die vorgeschriebene Operation ausgeführt wird, mit dem Treiber und durch das Trennen der Verbindung zwischen dem Treiber und dem Mikrocomputer 6 konfiguriert werden, den vorgeschriebenen Betrieb fortzusetzen, ohne sich auf den Mikrocomputer 6 zu stützen. Dies ist zum Übergang des Treibers in die ausfallsichere Betriebsart hinsichtlich des Sicherstellens der Betriebskontinuität der Operation äquivalent und kann folglich als eine Form des degenerierten Zustands bezeichnet werden. Das gleiche gilt sowohl für den ersten Treiber 18 als auch für den zweiten Treiber 19.
  • <Dritte Ausführungsform: Zusammenfassung>
  • In der fahrzeugmontierten elektronischen Steuervorrichtung (100) setzt die Treibersteuereinheit (5) durch das Steuern des ersten Treibers (18), das erste Treibersignal nicht auszugeben, den ersten Treiber (18) in einen Zustand, in dem der erste Treiber (18) vom Normalbetrieb degeneriert ist. Die Treibersteuereinheit (5) setzt den zweiten Treiber (19) durch das Steuern des zweiten Treibers (19), das zweite Treibersignal nicht auszugeben, in einen Zustand, in dem der zweite Treiber (19) vom Normalbetrieb degeneriert ist.
  • Alternativ kann die Treibersteuereinheit (5) den ersten Treiber (18) durch das Setzen des ersten Treibers (18) in einen Zustand, in dem ein Betrieb fortgesetzt wird, ohne sich auf das erste Treibersignal zu stützen, in einen Zustand setzen, in dem der erste Treiber (18) vom Normalbetrieb degeneriert ist, während die Treibersteuereinheit (5) den zweiten Treiber (19) durch das Setzen des zweiten Treibers (19) in einen Zustand, in dem ein Betrieb fortgesetzt wird, ohne sich auf das zweite Treibersignal zu stützen, in einen Zustand setzen kann, in dem der zweite Treiber (19) vom Normalbetrieb degeneriert ist.
  • <Modifikationsbeispiele der vorliegenden Erfindung>
  • Die vorliegende Erfindung ist nicht auf die obigen Ausführungsformen eingeschränkt, wobei verschiedene Modifikationsbeispiele vorgesehen sein können. Die obige Ausführungsform ist z. B. ausführlich beschrieben worden, um die vorliegende Erfindung in einer leicht verständlichen Weise zu erklären, wobei die obige Ausführungsform nicht notwendigerweise auf einen Fall eingeschränkt ist, der alle beschriebenen Konfigurationen enthält. Ferner können einige Komponenten in einer Ausführungsform durch Komponenten in einer weiteren Ausführungsform ersetzt werden und kann die Konfiguration einer weiteren Ausführungsform zu der Konfiguration einer Ausführungsform hinzugefügt werden. Hinsichtlich einiger Komponenten in den Ausführungsformen können andere Komponenten hinzugefügt, gelöscht und ersetzt werden.
  • 4 ist eine graphische Darstellung, die ein Beispiel der durch die fahrzeugmontierte elektronische Steuervorrichtung 100 gemäß der vorliegenden Erfindung gesteuerten Vorrichtung veranschaulicht. Die fahrzeugmontierte elektronische Steuervorrichtung 100 ist in irgendeiner der ersten bis dritten Ausführungsformen beschrieben worden. Die fahrzeugmontierte elektronische Steuervorrichtung 100 kann als die erste Funktion 7 z. B. die folgenden Fälle steuern. (a) Die Aktuatoren der Kraftmaschine, die am Fahrzeug angebracht sind, z. B. eine Kraftstoffeinspritzdüse und eine Drosselklappe; (b) eine Ladeschaltung, die einer am Fahrzeug angebrachten Batterie einen Ladestrom zuführt; und (c) ein Fluid, das im Fahrzeug in einem Wärmebehandlungssystem zirkuliert, das die Wärme im Fahrzeug steuert, d. h., ein Wärmesteuersystem unter Verwendung eines Fluids, z. B. ein Wasserkühlsystem. Weil es erforderlich ist, dass die Systeme den Betrieb fortsetzen, ist es wünschenswert, die Steuerung durch den ersten Treiber 18 auszuführen. Obwohl 4 veranschaulicht, dass ein erster Treiber 18 drei Vorrichtungen steuert, ist dies ein Beispiel für die Beschreibung, wobei für jede Vorrichtung ein Treiber vorgesehen sein kann, der zu dem ersten Treiber 18 äquivalent ist.
  • Das heißt, in der fahrzeugmontierten elektronischen Steuervorrichtung (100) kann wenigstens irgendeiner des ersten Treibers (18) und des zweite Treibers (19) ein Treibersignal zum Ansteuern wenigstens irgendeines eines in dem Fahrzeug enthaltenen Aktuators einer Kraftmaschine, einer Schaltung, die einen Ladestrom zum Laden einer in dem Fahrzeug enthaltenen Batterie zuführt, und eines Wärmebehandlungssystems zum Steuern der Wärme des Fahrzeugs ausgeben.
  • In den obigen Ausführungsformen kann die Bestimmungseinheit 4 jeden Treiber im Normalzustand wiederherstellen, wenn jedes Betriebsprüfsignal während einer Periode, nachdem das erste Betriebsprüfsignal oder das zweite Betriebsprüfsignal die Anomalie angibt und bevor der Mikrocomputer 6 zurückgesetzt wird, im Normalzustand wiederhergestellt wird. Wenn der Mikrocomputer 6 zurückgesetzt wird, bevor das Betriebsprüfsignal im Normalzustand wiederhergestellt ist, können die Prozesse ähnlich zu jenen in der obigen Ausführungsform abermals ausgeführt werden.
  • Das heißt, in der fahrzeugmontierten elektronischen Steuervorrichtung (100) kann die Treibersteuereinheit (5) sowohl den ersten Treiber (18) als auch den zweiten Treiber (19) veranlassen, normal zu arbeiten, wenn das Prüfsignal angibt, dass sowohl der erste Prozess als auch der zweite Prozess normal sind, bevor die Rechenvorrichtung (6) zurückgesetzt wird, nachdem das Prüfsignal angibt, dass entweder der erste Prozess oder der zweite Prozess nicht normal ist.
  • In den obigen Ausführungsformen ist beschrieben worden, dass der Mikrocomputer 6 ein Mehrprozessor-Mikrocomputer ist, wobei aber die vorliegende Erfindung sogar angewendet werden kann, wenn der Mikrocomputer 6 ein Mehrkern-Mikrocomputer ist. In diesem Fall wird für jeden Kern eine andere Funktion ausgeführt.
  • In den obigen Ausführungsformen ist beschrieben worden, dass der Mikrocomputer 6 zwei CPUs enthält, wobei aber die vorliegende Erfindung außerdem auf einen Fall angewendet werden kann, in dem der Mikrocomputer 6 drei oder mehr CPUs (oder Prozessorkerne) enthält. In diesem Fall führt jeder Prozessor eine andere Funktion aus. Die Operation, wenn das Betriebsprüfsignal angibt, dass alle Prozessoren anomal sind, und die MPU-Überwachungseinheit 15 die interne Anomalie angibt, ist zu der ähnlich, die in der ersten Ausführungsform beschrieben worden ist.
  • Bezugszeichenliste
    • 1
    Überwachungseinheit
    2
    Rücksetzsteuereinheit
    3
    Antwortüberwachungseinheit
    4
    Bestimmungseinheit
    5
    Treibersteuereinheit
    6
    Mikrocomputer
    11
    CPU
    13
    CPU
    15
    MPU-Überwachungseinheit
    18
    erster Treiber
    19
    zweiter Treiber
    100
    Fahrzeugmontierte elektronische Steuervorrichtung
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2015103052 A [0004]
    • JP 2013143093 A [0004]

Claims (11)

  1. Fahrzeugmontierte elektronische Steuervorrichtung, die in einem Fahrzeug angebracht ist, wobei die fahrzeugmontierte elektronische Steuervorrichtung umfasst: einen ersten Treiber, der ein erstes Treibersignal zum Ansteuern einer in dem Fahrzeug enthaltenen ersten Vorrichtung ausgibt; einen zweiten Treiber, der ein zweites Treibersignal zum Ansteuern einer in dem Fahrzeug enthaltenen zweiten Vorrichtung ausgibt; eine Treibersteuereinheit, die einen Betriebszustand sowohl des ersten Treibers als auch des zweiten Treibers steuert; und eine Rechenvorrichtung, die mehrere Recheneinheiten enthält, die konfiguriert sind, einen Steuerprozess zum Steuern des Fahrzeugs auszuführen, wobei die Rechenvorrichtung als die Recheneinheit Folgendes enthält: einen ersten Rechenabschnitt, der einen ersten Prozess zum Steuern der ersten Vorrichtung ausführt und den ersten Treiber gemäß einem Ergebnis des ersten Prozesses steuert, und einen zweiten Rechenabschnitt, der einen zweiten Prozess zum Steuern der zweiten Vorrichtung ausführt und den zweiten Treiber gemäß einem Ergebnis des zweiten Prozesses steuert, die Rechenvorrichtung ein Prüfsignal ausgibt, das angibt, ob der Steuerprozess normal ausgeführt wird, der erste Rechenabschnitt als das Prüfsignal ein erstes Betriebsprüfsignal ausgibt, das angibt, ob der erste Prozess normal ausgeführt wird, der zweite Rechenabschnitt als das Prüfsignal ein zweites Betriebsprüfsignal ausgibt, das angibt, ob der zweite Prozess normal ausgeführt wird, dann, wenn das erste Betriebsprüfsignal angibt, dass der erste Prozess normal ausgeführt wird, und das zweite Betriebsprüfsignal angibt, dass der zweite Prozess nicht normal ausgeführt wird, die Treibersteuereinheit den ersten Treiber veranlasst, normal zu arbeiten, und den zweiten Treiber in einen Zustand setzt, in dem der zweite Treiber von einem Normalbetrieb degeneriert ist, und dann, wenn das erste Betriebsprüfsignal angibt, dass der erste Prozess nicht normal ausgeführt wird, und das zweite Betriebsprüfsignal angibt, dass der zweite Prozess normal ausgeführt wird, die Treibersteuereinheit den ersten Treiber in einen Zustand setzt, in dem der erste Treiber vom Normalbetrieb degeneriert ist, und den zweiten Treiber veranlasst, normal zu arbeiten.
  2. Fahrzeugmontierte elektronische Steuervorrichtung nach Anspruch 1, die ferner umfasst: eine Rechenvorrichtungs-Überwachungseinheit, die ein Auftreten eines Problems in der Rechenvorrichtung überwacht; und eine Rücksetzsteuereinheit, die ein Rücksetzsignal zum Rücksetzen der Rechenvorrichtung ausgibt, wobei, wenn das Prüfsignal angibt, dass alle in der Rechenvorrichtung enthaltenen Recheneinheiten anomal sind, und die Rechenvorrichtungs-Überwachungseinheit detektiert, dass in der Rechenvorrichtung ein Problem aufgetreten ist, die Rücksetzsteuereinheit die Rechenvorrichtung durch das Ausgeben des Rücksetzsignals an die Rechenvorrichtung zurücksetzt.
  3. Fahrzeugmontierte elektronische Steuervorrichtung nach Anspruch 1, wobei die Rechenvorrichtung den ersten Prozess durch den ersten Rechenabschnitt fortsetzt, selbst wenn das erste Betriebsprüfsignal angibt, dass der erste Prozess nicht normal ausgeführt wird, und die Rechenvorrichtung den zweiten Prozess durch den zweiten Rechenabschnitt fortsetzt, selbst wenn das zweite Betriebsprüfsignal angibt, dass der zweite Prozess nicht normal ausgeführt wird.
  4. Fahrzeugmontierte elektronische Steuervorrichtung nach Anspruch 1, wobei die Rechenvorrichtung den zweiten Prozess durch den zweiten Rechenabschnitt fortsetzt, selbst wenn das erste Betriebsprüfsignal angibt, dass der erste Prozess nicht normal ausgeführt wird, und die Rechenvorrichtung den ersten Prozess durch den ersten Rechenabschnitt fortsetzt, selbst wenn das zweite Betriebsprüfsignal angibt, dass der zweite Prozess nicht normal ausgeführt wird.
  5. Fahrzeugmontierte elektronische Steuervorrichtung nach Anspruch 1, wobei ein für den ersten Prozess erforderliches Funktionssicherheitsniveau höher als ein für den zweiten Prozess erforderliches Funktionssicherheitsniveau ist, die fahrzeugmontierte elektronische Steuervorrichtung ferner umfasst eine Rechenvorrichtungs-Überwachungseinheit, die ein Auftreten eines Problems in der Rechenvorrichtung überwacht, und eine Antwortüberwachungseinheit, die überwacht, ob der erste Rechenabschnitt normal arbeitet, und wenn das erste Betriebsprüfsignal angibt, dass der erste Prozess normal ausgeführt wird, das zweite Betriebsprüfsignal angibt, dass der zweite Prozess normal ausgeführt wird, die Rechenvorrichtungs-Überwachungseinheit detektiert, dass in der Rechenvorrichtung ein Problem aufgetreten ist, und die Antwortüberwachungseinheit detektiert, dass der erste Rechenabschnitt normal arbeitet, die Treibersteuereinheit den ersten Treiber veranlasst, normal zu arbeiten, und den zweiten Treiber in einen Zustand setzt, in dem der zweite Treiber vom Normalbetrieb degeneriert ist.
  6. Fahrzeugmontierte elektronische Steuervorrichtung nach Anspruch 1, wobei ein für den ersten Prozess erforderliches Funktionssicherheitsniveau höher als ein für den zweiten Prozess erforderliches Funktionssicherheitsniveau ist, die fahrzeugmontierte elektronische Steuervorrichtung ferner umfasst eine Rechenvorrichtungs-Überwachungseinheit, die ein Auftreten eines Problems in der Rechenvorrichtung überwacht, und eine Antwortüberwachungseinheit, die überwacht, ob der erste Rechenabschnitt normal arbeitet, und wenn das erste Betriebsprüfsignal angibt, dass der erste Prozess normal ausgeführt wird, das zweite Betriebsprüfsignal angibt, dass der zweite Prozess normal ausgeführt wird, die Rechenvorrichtungs-Überwachungseinheit detektiert, dass in der Rechenvorrichtung ein Problem aufgetreten ist, und die Antwortüberwachungseinheit detektiert, dass der erste Rechenabschnitt nicht normal arbeitet, die Treibersteuereinheit den ersten Treiber vorübergehend in einen Zustand setzt, in dem der erste Treiber vom Normalbetrieb degeneriert ist, und bewirkt, dass der zweite Treiber normal arbeitet.
  7. Fahrzeugmontierte elektronische Steuervorrichtung nach Anspruch 6, die ferner eine Rücksetzsteuereinheit umfasst, die ein Rücksetzsignal zum Rücksetzen der Rechenvorrichtung ausgibt, wobei, wenn das erste Betriebsprüfsignal angibt, dass der erste Prozess normal ausgeführt wird, das zweite Betriebsprüfsignal angibt, dass der zweite Prozess normal ausgeführt wird, die Rechenvorrichtungs-Überwachungseinheit detektiert, dass in der Rechenvorrichtung ein Problem aufgetreten ist, und ein Zustand, in dem die Antwortüberwachungseinheit detektiert, dass der erste Rechenabschnitt nicht normal arbeitet, kontinuierlich für eine vorgegebene Periode oder mehr hergestellt ist, die Rücksetzsteuereinheit die Rechenvorrichtung durch das Ausgeben des Rücksetzsignals an die Rechenvorrichtung zurücksetzt.
  8. Fahrzeugmontierte elektronische Steuervorrichtung nach Anspruch 1, wobei die Treibersteuereinheit durch das Steuern des ersten Treibers, das erste Treibersignal nicht auszugeben, den ersten Treiber in einen Zustand setzt, in dem der erste Treiber vom Normalbetrieb degeneriert ist, und die Treibersteuereinheit durch das Steuern des zweiten Treibers, das zweite Treibersignal nicht auszugeben, den zweiten Treiber in einen Zustand setzt, in dem der zweite Treiber vom Normalbetrieb degeneriert ist.
  9. Fahrzeugmontierte elektronische Steuervorrichtung nach Anspruch 1, wobei die Treibersteuereinheit durch das Setzen des ersten Treibers in einen Zustand, in dem ein Betrieb fortgesetzt wird, ohne sich auf das erste Treibersignal zu stützen, den ersten Treiber in einen Zustand setzt, in dem der erste Treiber vom Normalbetrieb degeneriert ist, und die Treibersteuereinheit durch das Setzen des zweiten Treibers in einen Zustand, in dem ein Betrieb fortgesetzt wird, ohne sich auf das zweite Treibersignal zu stützen, den zweiten Treiber in einen Zustand setzt, in dem der zweite Treiber vom Normalbetrieb degeneriert ist.
  10. Fahrzeugmontierte elektronische Steuervorrichtung nach Anspruch 2, wobei wenn das Prüfsignal angibt, dass sowohl der erste Prozess als auch der zweite Prozess normal sind, bevor die Rechenvorrichtung zurückgesetzt wird, nachdem das Prüfsignal angibt, dass entweder der erste Prozess oder der zweite Prozess nicht normal ist, die Treibersteuereinheit sowohl den ersten Treiber als auch den zweiten Treiber veranlasst, normal zu arbeiten.
  11. Fahrzeugmontierte elektronische Steuervorrichtung nach Anspruch 1, wobei wenigstens irgendeiner von dem ersten Treiber und dem zweiten Treiber ein Treibersignal zum Ansteuern wenigstens irgendeines eines in dem Fahrzeug enthaltenen Aktuators einer Kraftmaschine, einer Schaltung, die einen Ladestrom zum Laden einer in dem Fahrzeug enthaltenen Batterie zuführt, und eines Wärmebehandlungssystems zum Steuern der Wärme des Fahrzeugs ausgibt.
DE112020005251.6T 2019-12-05 2020-11-20 Fahrzeugmontierte elektronische steuervorrichtung Pending DE112020005251T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2019-220135 2019-12-05
JP2019220135 2019-12-05
PCT/JP2020/043336 WO2021111896A1 (ja) 2019-12-05 2020-11-20 車載電子制御装置

Publications (1)

Publication Number Publication Date
DE112020005251T5 true DE112020005251T5 (de) 2022-08-11

Family

ID=76222176

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112020005251.6T Pending DE112020005251T5 (de) 2019-12-05 2020-11-20 Fahrzeugmontierte elektronische steuervorrichtung

Country Status (5)

Country Link
US (1) US20230001939A1 (de)
JP (1) JP7299344B2 (de)
CN (1) CN114761929A (de)
DE (1) DE112020005251T5 (de)
WO (1) WO2021111896A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013143093A (ja) 2012-01-12 2013-07-22 Toyota Motor Corp 情報処理装置、情報処理システム
JP2015103052A (ja) 2013-11-26 2015-06-04 日立オートモティブシステムズ株式会社 車載用電子制御装置

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0648646A (ja) * 1992-07-27 1994-02-22 Toshiba Corp 停止制御装置
JP4266357B2 (ja) * 2004-03-29 2009-05-20 三菱電機株式会社 車載電子制御装置
DE102006028695B4 (de) * 2005-06-23 2017-11-30 Denso Corporation Elektronisches Steuersystem mit Fehlfunktionsüberwachung
DE112010005400T5 (de) * 2010-03-18 2013-04-18 Toyota Jidosha Kabushiki Kaisha System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
JP2011213210A (ja) 2010-03-31 2011-10-27 Denso Corp 電子制御装置及び制御システム
US9751534B2 (en) * 2013-03-15 2017-09-05 Honda Motor Co., Ltd. System and method for responding to driver state
US20150175010A1 (en) * 2013-07-23 2015-06-25 Atieva, Inc. All-wheel drive electric vehicle motor torque safety monitor
JP2016090756A (ja) * 2014-10-31 2016-05-23 株式会社リコー 検出装置、検出方法、加熱装置および画像形成装置
JP6380141B2 (ja) * 2015-02-04 2018-08-29 株式会社デンソー 電子制御装置
US10467824B2 (en) * 2016-04-26 2019-11-05 Walter Steven Rosenbaum Method for determining driving characteristics of a vehicle and vehicle analyzing system
KR20190045677A (ko) * 2017-10-24 2019-05-03 엘에스오토모티브테크놀로지스 주식회사 복수의 mcu를 가진 시스템의 페일 세이프 장치 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013143093A (ja) 2012-01-12 2013-07-22 Toyota Motor Corp 情報処理装置、情報処理システム
JP2015103052A (ja) 2013-11-26 2015-06-04 日立オートモティブシステムズ株式会社 車載用電子制御装置

Also Published As

Publication number Publication date
CN114761929A (zh) 2022-07-15
US20230001939A1 (en) 2023-01-05
WO2021111896A1 (ja) 2021-06-10
JP7299344B2 (ja) 2023-06-27
JPWO2021111896A1 (de) 2021-06-10

Similar Documents

Publication Publication Date Title
DE112008001528B4 (de) Multiprozessorsystem und Steuerverfahren hierfür
DE112010005400T5 (de) System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
DE102011014142A1 (de) Fahrzeugsteuervorrichtung für eine CAN-Kommunikation und Diagnoseverfahren hierfür
DE102015003194A1 (de) Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern
DE112018002176T5 (de) Anormalitätsbestimmungsvorrichtung, Anormalitätsbestimmungsverfahren und Anormalitätsbestimmungsprogramm
DE102011086530A1 (de) Mikroprozessorsystem mit fehlertoleranter Architektur
DE112015002210T5 (de) Motorsteuervorrichtung
DE19919504A1 (de) Triebwerksregler, Triebwerk und Verfahren zum Regeln eines Triebwerks
DE102008004205A1 (de) Schaltungsanordnung und Verfahren zur Fehlerbehandlung in Echtzeitsystemen
EP3073333A1 (de) Sicherheitsarchitektur für fehlersichere Systeme
EP1615087A2 (de) Steuer- und Regeleinheit
DE112020005251T5 (de) Fahrzeugmontierte elektronische steuervorrichtung
DE112019007853T5 (de) Steuereinrichtung
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
DE102022214445A1 (de) Managementsystem und Verfahren zu dessen Steuerung für ein Batteriemanagementsystem
DE3332626A1 (de) Schaltungsanordnung zum erkennen von statischen und dynamischen fehlern in schaltungsbaugruppen
DE3040429A1 (de) Ueberwachungseinrichtung fuer ein computersystem
EP3557356A1 (de) Verfahren und automatisierungssystem zum sicheren automatischen betrieb einer maschine oder eines fahrzeugs
DE112016007535T5 (de) Steuereinrichtung und verarbeitungsverfahren im falle einer fehlfunktion der steuereinrichtung
DE1966991A1 (de) Ausfallgesicherte datenverarbeitungsanlage
EP1398699A1 (de) Verfahren zur Ereignissynchronisation, insbesondere für Prozessoren fehlertoleranter Systeme
DE102006003147A1 (de) Verfahren zur Wiederherstellung der Kontrolle über eine sich fortwährend zurücksetzende Steuereinheit
DE102022206080A1 (de) Verfahren zum Betreiben einer Rechenanordnung
DE112017006135T5 (de) Ersetzungseinrichtung, informationsverarbeitungssystem und ersetzungsverfahren
DE102011011224A1 (de) Steuergeräteanordnung

Legal Events

Date Code Title Description
R012 Request for examination validly filed