JP2006293649A - 電子制御装置 - Google Patents
電子制御装置 Download PDFInfo
- Publication number
- JP2006293649A JP2006293649A JP2005112822A JP2005112822A JP2006293649A JP 2006293649 A JP2006293649 A JP 2006293649A JP 2005112822 A JP2005112822 A JP 2005112822A JP 2005112822 A JP2005112822 A JP 2005112822A JP 2006293649 A JP2006293649 A JP 2006293649A
- Authority
- JP
- Japan
- Prior art keywords
- data
- control
- backup
- mirror
- storage area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Techniques For Improving Reliability Of Storages (AREA)
- For Increasing The Reliability Of Semiconductor Memories (AREA)
Abstract
【課題】RAMに保存されたデータに異常が生じた場合であっても、極力、そのデータを復旧させて、システムの制御を継続して行うこと。
【解決手段】
電子制御装置は、RAMに、制御用データに加えて、制御用データと一致もしくは整合関係を有する制御用ミラーデータ、バックアップ用データ、及びバックアップ用ミラーデータを保存する。従って、制御用データが異常である可能性が生じた場合にも、それらのデータを利用して、制御用データを復旧させる機会を増やすことが可能となる。このため、制御用データが異常である可能性が発生した場合であっても、即座にシステム制御を停止させるのではなく、極力、そのシステム制御を継続させることができる。
【選択図】 図3
【解決手段】
電子制御装置は、RAMに、制御用データに加えて、制御用データと一致もしくは整合関係を有する制御用ミラーデータ、バックアップ用データ、及びバックアップ用ミラーデータを保存する。従って、制御用データが異常である可能性が生じた場合にも、それらのデータを利用して、制御用データを復旧させる機会を増やすことが可能となる。このため、制御用データが異常である可能性が発生した場合であっても、即座にシステム制御を停止させるのではなく、極力、そのシステム制御を継続させることができる。
【選択図】 図3
Description
本発明は、所定のシステムの制御に用いる制御用データを一時的に保存するRAMを有する電子制御装置に関する。
従来の電子制御装置として、例えば特許文献1に記載されたものが知られている。この従来装置では、単に制御開始前にRAMの故障診断を行うだけでは、RAM故障の発生を十分に検出できないことに鑑みて、診断用期間毎に、RAMの故障診断を繰り返し行う。具体的には、RAM領域をセルに分割し、分割されたセルに対して順次リードライトチェックを行い、書き込み結果と読み出し結果の一致性を確認する。
そして、このようなRAMの故障診断の結果、RAMに故障が発生したと診断した場合、制御対象である電動パワーステアリング装置におけるアシスト力制御を停止させる。
特開2004−133635号
ここで、RAMへの書き込み結果と読み出し結果とが不一致となる原因は、物理的にRAMの記憶領域が損傷して、データの書き込みや読み出しを正確に行うことが不可能なRAM故障の他、ノイズ等の影響により、書き込み値が所定値とは異なってしまったRAM化けや、電源の瞬断等によるレジスタやバス上のデータ化けに起因するRAM値異常などが考えられる。
上述したRAM化けやRAM値異常の場合、RAMそのものに故障は発生していないにも係わらず、従来装置では、すべてRAM故障とみなして、制御対象に対する制御を停止させてしまう。
このため、その制御対象が、例えば、ガソリンエンジンと電気モータを動力源とするハイブリッドシステムである場合、制御が停止されると車両の走行に重大な影響を及ぼすことになる。さらに、制御の停止により、電流・電圧が急激に変化する場合、電気モータ及びその駆動部品に対して過剰な負荷を掛ける恐れも生じる。
本発明は、上述した点に鑑みてなされたものであり、RAMに保存されたデータに異常が生じた場合であっても、RAMの信頼性を確保した上で、極力、そのデータを復旧させて、システムの制御を継続して行うことが可能な電子制御装置を提供することを目的とする。
上記目的を達成するために、請求項1に記載の電子制御装置は、所定のシステムの制御に用いる制御用データを一時的に保存するRAMを有し、当該RAMは、制御用データを保存する制御用データ保存領域、制御用データのミラーデータである制御用ミラーデータを保存する制御用ミラーデータ保存領域、制御用データと同一データであるバックアップ用データを保存するバックアップ用データ保存領域、及びバックアップ用データのミラーデータであるバックアップ用ミラーデータを保存するバックアップ用ミラーデータ保存領域を有し、
制御用データ、制御用ミラーデータ、バックアップ用データ、及びバックアップ用ミラーデータをそれぞれ該当する保存領域に書き込む書込手段と、
RAMに保存されている制御用データの値が異常である可能性が有るか否かを判定する異常判定手段と、
制御用データの値が異常である可能性が有ると判定されたとき、RAMに保存された制御用データ、制御用ミラーデータ、バックアップ用データ、及びバックアップ用ミラーデータの一致・整合関係に基づいて、RAMにおいて異常となったデータを復旧させるデータ復旧手段とを備えることを特徴とする。
制御用データ、制御用ミラーデータ、バックアップ用データ、及びバックアップ用ミラーデータをそれぞれ該当する保存領域に書き込む書込手段と、
RAMに保存されている制御用データの値が異常である可能性が有るか否かを判定する異常判定手段と、
制御用データの値が異常である可能性が有ると判定されたとき、RAMに保存された制御用データ、制御用ミラーデータ、バックアップ用データ、及びバックアップ用ミラーデータの一致・整合関係に基づいて、RAMにおいて異常となったデータを復旧させるデータ復旧手段とを備えることを特徴とする。
上述したように、請求項1に記載の電子制御装置においては、RAMに、制御用データに加えて、制御用データと一致・整合関係を有する制御用ミラーデータ、バックアップ用データ、及びバックアップ用ミラーデータを保存する。従って、制御用データが異常である可能性が生じた場合にも、それらのデータを利用して、制御用データを復旧させる機会を増やすことが可能となる。このため、制御用データが異常である可能性が発生した場合であっても、即座にシステム制御を停止させるのではなく、極力、そのシステム制御を継続させることができる。
請求項2に記載したように、制御用データ、制御用ミラーデータ、バックアップ用データ、及びバックアップ用ミラーデータは、物理的に離間して保存されるように、それぞれの保存領域に書き込まれることが好ましい。
上述したように、RAMに保存したデータが異常となる原因は、物理的に記憶領域が損傷するRAM故障、ノイズ等の影響により、書き込み値が所定値とは異なってしまうRAM化け、及び電源の瞬断等によるレジスタやバス上のデータ化けに起因するRAM値異常などである。この中で、特にRAM故障の場合、RAMの記憶領域全体が損傷することは稀であり、一部の記憶領域のみが損傷して、正常なデータの読み書きができなくなることがほとんどである。
ここで、データの冗長性を確保するために、RAM内に、制御用データ、制御用ミラーデータ、バックアップ用データ、及びバックアップ用ミラーデータを保存したとしても、それらが近接した記憶領域に保存されていると、複数のデータの記憶領域に跨るように記憶領域が損傷するRAM故障が起こりえる。このようなRAM故障が発生した場合、複数のデータの記憶領域が同時に故障してしまうので、制御用データの復旧の機会を減少させてしまう。
それに対して、請求項2に記載したように、各データを物理的に離間して保存することにより、同時に複数のデータが異常となる可能性を低減することができ、制御用データが異常となった場合にも、その復旧機会を増加させることができる。
請求項3に記載したように、異常判定手段は、制御用データ保存領域に所定値を示すデータを書き込み、その書き込んだデータを読み出した値が所定値に一致するか否かに基づいて、制御用データの値が異常である可能性が有るか否かを判定することができる。また、請求項4に記載したように、異常判定手段は、制御用データと制御用ミラーデータとの整合関係が確保されているか否かに基づいて、制御用データの値が異常である可能性が有るか否かを判定することができる。いずれの場合も、制御用データの書き込み及び読み出しが正しく行い得るかを確認することができるためである。
また、異常判定手段が、制御用データと制御用ミラーデータとの整合関係が確保されているか否かを判定する場合には、請求項5に記載したように、制御用ミラーデータ保存領域に所定値を示すデータを書き込み、その書き込んだデータを読み出した値が所定値に一致するか否かに基づいて、制御用データの値が異常である可能性が有るか否かを判定するようにしても良い。制御用ミラーデータ保存領域に対するリードライトチェックの結果、制御用ミラーデータが異常である可能性がある場合、その制御用ミラーデータとの整合関係のチェックによっては、制御用データの正常・異常を正確に判定できないためである。
請求項6に記載したように、データ復旧手段は、バックアップ用データとバックアップ用ミラーデータとの整合関係が確保されているか否かを判定し、整合関係が確保されている場合には、バックアップ用データとバックアップ用ミラーデータとを用いて、制御用データと制御用ミラーデータとを復旧させることが好ましい。バックアップ用データとバックアップ用ミラーデータとの整合関係が確保されている場合、バックアップ用データ及びバックアップ用ミラーデータは正常であると推測できるためである。
一方、請求項7に記載したように、データ復旧手段は、バックアップ用データとバックアップ用ミラーデータとの整合関係が確保されていない場合には、制御用データとバックアップ用データとの一致関係、制御用ミラーデータとバックアップ用ミラーデータとの一致関係、制御用データとバックアップ用ミラーデータとの整合関係、及びバックアップ用データと制御用ミラーデータとの整合関係との少なくとも1つが成立するか否かを判定し、いずれかの関係が成立した場合には、その関係に含まれるデータを用いて、残りのデータを復旧させることが好ましい。
つまり、4つのデータは、相互に一致もしくは整合関係を有しているので、制御用データと制御用ミラーデータという関係や、バックアップ用データとバックアップ用ミラーデータという関係を超えて、相互にデータを対比させることにより、その対比データの正常・異常を判定することができる。例えば、制御用データとバックアップ用データとは同一であるはずであり、これらのデータを対比させたときに、一致関係が成立すれば、これらのデータは正しいと推測することができる。そして、正しいデータが特定できれば、その正しいデータを用いて、残りのデータを復旧することができる。
請求項8に記載したように、データ復旧手段は、バックアップ用データとバックアップ用ミラーデータとの整合関係の判定のみでなく、バックアップ用データ保存領域及びバックアップ用ミラーデータ保存領域にそれぞれ所定値を示すデータを書き込み、その書き込んだデータを読み出した値が所定値に一致するか否かを判定し、読み出した値が所定値に一致した場合に、バックアップ用データとバックアップ用ミラーデータとを用いて、制御用データと制御用ミラーデータとを復旧させても良い。これにより、バックアップ用データ及びバックアップ用ミラーデータの正常・異常の判定の精度を向上することができ、より確実に正常と推測できるバックアップ用データ及びバックアップ用ミラーデータを用いて、制御用データ及び制御ミラーデータを復旧させることができる。
請求項9に記載したように、異常判定手段が、制御用データ保存領域及び制御用ミラーデータ保存領域に所定値を示すデータの書き込みを行い、データ復旧手段が、バックアップ用データ保存領域及びバックアップ用ミラーデータ保存領域に所定値を示すデータの書き込みを行った場合に、読み出した値が所定値に一致しないとの判定が、制御用データ保存領域、制御用ミラーデータ保存領域、バックアップ用データ保存領域、及びバックアップ用ミラーデータ保存領域の3個以上の領域に対してなされた場合に、データ復旧手段は、データの復旧処理を中止することが好ましい。この場合、制御用データ、制御用ミラーデータ、バックアップ用データ、及びバックアップ用ミラーデータの3個以上のデータに異常がある可能性があるので、各データの一致・整合関係から、データを正しく復旧させることができない可能性が高いためである。
請求項10に記載したように、データ復旧手段によりデータの復旧が不可能である場合に、電子制御装置は、所定のシステムの制御を停止させることが好ましい。制御用データが異常となり、その復旧が不可能である場合には、システム制御を正しく実行することができない可能性が生じるためである。
以下、本発明の実施形態による電子制御装置に関して、図面を用いて詳細に説明する。なお、本実施形態による電子制御装置が制御対象とするシステムは、特に限定されるものではないが、例えば、車両におけるハイブリッドシステムに用いて好適である。
本実施形態による電子制御装置は、後に詳細に説明するが、制御用データを保存するRAMに異常が発生した場合であっても、制御対象とするシステムの制御を極力継続させることができる。従って、システムの制御の停止が、重大な影響を及ぼすハイブリッドシステムのようなシステムを制御対象とした場合に、特に有益な結果をもたらす。
図1は、本実施形態における電子制御装置(ECU)1の概略構成を示している。図1に示すように、ECU1は、CPU2、RAM3、ROM4、レジスタ5、入出力回路(I/O)6、及びこれらを相互に接続するバス7などを備えている。このECU1は、図示しない電源回路から動作電源を供給されることにより制御対象システム10の制御のための処理等を開始する。
ROM4は、制御対象システム10を制御するための制御プログラムや、後述するRAM3の故障診断のための診断プログラム等を記憶している。CPU2は、ROM4に記憶された制御プログラムや診断プログラムに従って、各種の演算処理を実行する。
RAM3は、CPU2が各種の演算処理を実行する際に、その演算処理結果である制御用データなどを一時的に保存するものである。すなわち、CPU2は、システムの制御に必要な制御用データをRAM3に書き込んで一時的に保存させたり、必要時に読み出したりする。例えばハイブリッドシステムが制御対象システムである場合、車両の運転者によって操作されるアクセルペダルの開度を示すアクセル開度データ、トランスミッションにおけるシフト位置を示すシフト位置データなどが、制御用データとしてRAM3に一時的に保存される。
この制御用データに異常が生じた場合、ECU1は適切な制御を実行できなくなってしまう。そのため、RAM3には、図2に示すように、制御用データの異常発生の可能性を判定するため、及び異常発生の可能性がある場合に制御用データを復旧するために、制御用データの他に、制御用ミラーデータ、バックアップ用データ、及びバックアップ用ミラーデータが保存される。具体的には、RAM3に、制御用データ保存領域RAMa、制御用ミラーデータ保存領域RAMb、バックアップ用データ保存領域RAMc、及びバックアップ用ミラーデータ保存領域RAMdが設定され、上述した各データがCPU2によって該当する保存領域RAMa,RAMb,RAMc,RAMdに書き込まれる。
制御用ミラーデータは、制御用データの各ビットデータを反転させたものであり、制御用データと制御用ミラーデータとは反転という整合関係を有する。バックアップ用データは、制御用データと同一のデータであり、制御用データとバックアップ用データとは各ビットデータが一致する一致関係を有する。また、バックアップ用ミラーデータは、バックアップ用データの各ビットデータを反転させたものである。従って、バックアップ用ミラーデータは、制御用データ及びバックアップ用データとは整合関係を有し、制御用ミラーデータとは一致関係を有する。
RAM3においては、一致・整合関係を有する制御用データ、制御用ミラーデータ、バックアップ用データ、及びバックアップ用ミラーデータが、物理的に離間した記憶領域に保存されるように、CPU2によって各保存領域RAMa,RAMb,RAMc,RAMdに書き込まれる。例えば制御用データが制御用データ保存領域RAMaの先頭の記憶領域に保存された場合には、それに対応する制御用ミラーデータ、バックアップ用データ、及びバックアップ用ミラーデータも、それぞれのデータ保存領域RAMb,RAMc,RAMdの先頭の記憶領域に保存される。
ここで、RAM故障が発生する場合、RAMの記憶領域全体が損傷することは稀であり、図2に示すように一部の記憶領域のみが損傷して、正常なデータの読み書きができなくなることがほとんどである。従って、RAM故障が一部の記憶領域に発生して、データの読み書きが正常に行い得ない場合でも、制御用データ、制御用ミラーデータ、バックアップ用データ及びバックアップ用ミラーデータを離間して保存することにより、その各データの内、複数のデータが同時に異常となる可能性を低減することができる。その結果、制御用データが異常である可能性が生じた場合に、残りのデータを利用して、制御用データ等を復旧させる機会を増加させることができる。
レジスタ5は、CPU2における各種の演算処理を行う際に用いるデータや、その演算処理の途中段階での演算データを一時的に格納するものである。また、本実施形態においては、RAM3の各保存領域RAMa,RAMb,RAMc,RAMdに所定値を書き込んで、その書き込み値の読み出し結果が所定値に一致するか否かのリードライトチェックを行う際に、各保存領域RAMa,RAMb,RAMc,RAMdに保存されているデータがレジスタ5に退避される。
I/O6は、制御対象システム10の動作状態を検出する各種センサからの信号を取り込んだり、制御対象システム10に対する制御信号を出力したりする回路である。また、ECU1内のCPU2やRAM3等の各構成は、互いにバス7を介して接続されている。
次に、本実施形態の特徴部分に関する、RAM3の故障診断処理について、図3及び図4のフローチャートに基づいて説明する。なお、図3のフローチャートは、故障診断処理の全体の処理の流れを示すものであり、図4のフローチャートは、RAM3に異常が生じた場合に、異常データを復旧するためのデータ復旧処理を示すものである。
本実施形態における故障診断処理は、ECU1が制御対象システム10に対する制御を実施している実施期間中に、例えば所定時間毎に繰り返し実施される。
図3において、まずステップS101では、各データ保存領域RAMa〜RAMdに対して、リードライトチェックを行う。なお、このステップS101では、制御用データ保存領域RAMaと制御用ミラーデータ保存領域RAMbに対してのみリードライトチェックを行うようにしても良い。
ステップS102では、リードライトチェックの結果に基づいて、制御用データ保存領域RAMaと制御用ミラーデータ保存領域RAMbに異常が無いか否かを判定する。この判定処理において、異常なしと判定された場合には、ステップS103に進み、異常ありと判定された場合には、ステップS201に進む。
ステップS103では、制御用データ保存領域RAMaに保存された制御用データと制御用ミラーデータ保存領域RAMbに保存された制御用ミラーデータとが、各データビットが反転している整合関係を有するか否かのミラーチェックを実施する。そして、ステップS104では、制御用データと制御用ミラーデータとが整合関係を有して、ミラーチェックの結果が正常であるか否かを判定する。この判定処理において、正常と判定された場合には、ステップS105に進み、正常ではないと判定された場合には、ステップS201に進む。
ステップS105では、制御対象システム10に対する制御を継続して実施してもよいことを示す制御継続許可判定を行って、図3に示す故障診断処理を終了する。
一方、制御用データ保存領域RAMa及び制御用ミラーデータ保存領域RAMbに対するリードライトチェックや、制御用データと制御用ミラーデータとのミラーチャックの結果、異常ありとの判定がなされた場合、制御用データが異常である可能性がある。
すなわち、制御用データ保存領域RAMaに対するリードライトチェックの結果が異常である場合には、制御用データ保存領域RAMaにRAM故障が発生している可能性がある。また、制御用ミラーデータ保存領域RAMbに対するリードライトチェックの結果が異常である場合には、制御用ミラーデータの信頼性が保証されず、制御用データのミラーチェックを行うことができない。従って、制御用データが正しいとの確認ができず、制御用データが異常である可能性を否定できない。さらに、ミラーチェックの結果が異常である場合には、制御用データと制御用ミラーデータとの少なくとも一方に異常が生じていることは明らかである。
このように、制御用データ保存領域RAMa及び制御用ミラーデータ保存領域RAMbに対するリードライトチェック、及び制御用データと制御用ミラーデータとを用いたミラーチェックは、いずれも、制御用データの書き込み及び読み出しが正しく行い得るかを確認することができる診断手法である。
制御用データが異常である可能性がある場合に実行されるステップS201では、バックアップ用データ保存領域RAMc及びバックアップ用ミラーデータ保存領域RAMdに対するリードライトチェックの結果に基づいて、バックアップ用データ保存領域RAMcとバックアップ用ミラーデータ保存領域RAMdに異常が無いか否かを判定する。この判定処理において、異常なしと判定された場合には、ステップS202に進み、異常ありと判定された場合には、ステップS301に進む。
ステップS202では、バックアップ用データ保存領域RAMcに保存されたバックアップ用データとバックアップ用ミラーデータ保存領域RAMdに保存されたバックアップ用ミラーデータとが、各データビットが反転している整合関係を有するか否かのミラーチェックを実施する。そして、ステップS203では、バックアップ用データとバックアップ用ミラーデータとが整合関係を有して、ミラーチェックの結果が正常であるか否かを判定する。この判定処理において、正常と判定された場合には、ステップS204に進み、正常ではないと判定された場合には、ステップS302に進む。
ステップS204では、バックアップ用データとバックアップ用ミラーデータとを用いて、制御用データと制御用ミラーデータとを復旧する。すなわち、バックアップ用データ保存領域RAMc及びバックアップ用ミラーデータ保存領域RAMdに対するリードライトチェック、及びバックアップ用データとバックアップ用ミラーデータとのミラーチェックがいずれも正常である場合、バックアップ用データとバックアップ用データとはいずれも正確であるとみなすことができる。このため、バックアップ用データとバックアップ用ミラーデータとを用いて、制御用データと制御用ミラーデータとを復旧させることができる。
なお、バックアップ用データとバックアップ用ミラーデータとのミラーチェックのみによって、バックアップ用データとバックアップ用ミラーデータとの正常・異常を判定することも可能である。しかし、併せて、バックアップ用データ保存領域RAMc及びバックアップ用ミラーデータ保存領域RAMdに対するリードライトチェックを実施することにより、バックアップ用データ及びバックアップ用ミラーデータの正常・異常の判定の精度を向上することができる。その結果、より確実に正常と推測できるバックアップ用データ及びバックアップ用ミラーデータを用いて、制御用データ及び制御ミラーデータの復旧を試みることができる。
ステップS204にて、制御用データと制御用ミラーデータとの復旧を試みた後は、制御用データもしくはバックアップ用データにより制御が継続可能となるため、ステップS105にて、制御継続許可判定を行って、制御対象システム10に対する制御を継続することを許可する。
一方、バックアップ用データ保存領域RAMc及びバックアップ用ミラーデータ保存領域RAMdに対するリードライトチェックの結果が、異常と判定されたときに実行されるステップS301では、リードライトチェック結果が異常との判定が、制御用データ保存領域RAMa,制御用ミラーデータ保存領域RAMb,バックアップ用データ保存領域RAMc,及びバックアップ用ミラーデータ保存領域RAMdの3個以上の領域に対してなされたか否かを判定する。この判定処理において、3個以上の領域に対してリードライトチェック異常との判定がなされたと判定された場合、ステップS304に進んで、制御対象システム10に対する制御を停止させるとともに、その起動を禁止する制御禁止・起動禁止判定を行う。この場合、制御用データ、制御用ミラーデータ、バックアップ用データ、及びバックアップ用ミラーデータの3個以上のデータに異常がある可能性があるので、各データの一致・整合関係が確認できず、データの信頼性を確保することができない可能性が高いためである。
ステップS301の判定処理において、3個以上の領域に対してリードライトチェック異常との判定がなされてはいないと判定された場合、ステップS302に進んで、異常データの復旧処理を実施する。この復旧処理は、後に詳細に説明する。続くステップS303では、ステップS302の復旧処理によって異常データの復旧に成功したか否かを判定する。そして、復旧に成功したと判定されると、上述したステップS105の処理に進み、復旧に失敗したと判定されると、上述したステップS304の処理に進む。
次に、図4のフローチャートを用いて、異常データの復旧処理について説明する。まずステップS401では、制御用データとバックアップ用データとが一致関係を有するか否かを判定する。この判定処理において、一致関係を有すると判定された場合、制御用データとバックアップ用データとが正常であると推測できるので、ステップS406に進んで、制御用データ及びバックアップ用データから、そのミラーデータを生成し、生成したミラーデータを用いて、制御用ミラーデータ及びバックアップ用ミラーデータを復旧させる。
ステップS401において、制御用データとバックアップ用データとが一致関係を有さないと判定された場合には、ステップS402に進む。ステップS402では、制御用データとバックアップ用ミラーデータとが各データビットが反転した整合関係を有するか否かを判定する。この判定処理において、整合関係を有すると判定された場合、制御用データとバックアップ用ミラーデータとが正常であると推測できるので、ステップS407に進んで、制御用データでバックアップ用データを復旧させるとともに、バックアップ用ミラーデータで制御用ミラーデータを復旧させる。
ステップS402において、制御用データとバックアップ用ミラーデータとが整合関係を有さないと判定された場合には、ステップS403に進む。ステップS403では、制御用ミラーデータとバックアップ用データとが各データビットが反転した整合関係を有するか否かを判定する。この判定処理において、整合関係を有すると判定された場合、制御用ミラーデータとバックアップ用データとが正常であると推測できるので、ステップS408に進んで、バックアップ用データで制御用データを復旧させるとともに、制御用ミラーデータでバックアップ用ミラーデータを復旧させる。
ステップS403において、制御用ミラーデータとバックアップ用データとが整合関係を有さないと判定された場合には、ステップS404に進む。ステップS404では、制御用ミラーデータとバックアップ用ミラーデータとが一致関係を有するか否かを判定する。この判定処理において、一致関係を有すると判定された場合、制御用ミラーデータとバックアップ用ミラーデータとが正常であると推測できる。従って、ステップS409に進んで、制御用ミラーデータ及びバックアップ用ミラーデータから、そのミラーデータ、すなわち制御用データ及びバックアップ用データに等しいデータを生成し、生成したデータを用いて、制御用データ及びバックアップ用データを復旧させる。
ステップS404において、制御用ミラーデータとバックアップ用ミラーデータとが一致関係を有さないと判定された場合には、ステップS405に進んで、異常データの復旧処理が失敗した旨の判定を行う。一方、ステップS406〜S409のいずれかのステップによって異常データの復旧処理が行われた場合には、ステップS410に進んで、異常データの復旧処理に成功した旨の判定を行う。
すなわち、本実施形態では、制御データ、制御用ミラーデータ、バックアップ用データ、及びバックアップ用ミラーデータは、相互に一致もしくは整合関係を有しているので、制御用データと制御用ミラーデータという関係や、バックアップ用データとバックアップ用ミラーデータという関係を超えて、相互にデータを対比させることにより、その対比データの正常・異常を判定することができる。例えば、制御用データとバックアップ用データとは同一であるはずであり、これらのデータを対比させたときに、一致関係が成立すれば、これらのデータは正しいと推測することができる。そして、正しいデータが特定できれば、その正しいデータを用いて、残りのデータを復旧することができる。このため、制御用データを含むいずれかのデータに異常が生じた場合であっても、それを正常値に復旧させる機会を増加することができ、極力、システム制御を継続して実行させることができる。
1 電子制御装置
2 CPU
3 RAM
4 ROM
5 レジスタ
6 I/O
7 バス
10 制御対象システム
2 CPU
3 RAM
4 ROM
5 レジスタ
6 I/O
7 バス
10 制御対象システム
Claims (10)
- 所定のシステムの制御に用いる制御用データを一時的に保存するRAMを有する電子制御装置であって、
前記RAMは、制御用データを保存する制御用データ保存領域、前記制御用データのミラーデータである制御用ミラーデータを保存する制御用ミラーデータ保存領域、前記制御用データと同一データであるバックアップ用データを保存するバックアップ用データ保存領域、及び前記バックアップ用データのミラーデータであるバックアップ用ミラーデータを保存するバックアップ用ミラーデータ保存領域を有し、
前記制御用データ、前記制御用ミラーデータ、前記バックアップ用データ、及び前記バックアップ用ミラーデータをそれぞれ該当する保存領域に書き込む書込手段と、
前記RAMに保存されている制御用データの値が異常である可能性が有るか否かを判定する異常判定手段と、
前記制御用データの値が異常である可能性が有ると判定されたとき、前記RAMに保存された前記制御用データ、前記制御用ミラーデータ、前記バックアップ用データ、及び前記バックアップ用ミラーデータの一致・整合関係に基づいて、前記RAMにおいて異常となったデータを復旧させるデータ復旧手段とを備えることを特徴とする電子制御装置。 - 前記制御用データ、前記制御用ミラーデータ、前記バックアップ用データ、及び前記バックアップ用ミラーデータは、物理的に離間して保存されるように、それぞれの保存領域に書き込まれることを特徴とする請求項1に記載の電子制御装置。
- 前記異常判定手段は、前記制御用データ保存領域に所定値を示すデータを書き込み、その書き込んだデータを読み出した値が前記所定値に一致するか否かに基づいて、前記制御用データの値が異常である可能性が有るか否かを判定することを特徴とする請求項1又は請求項2に記載の電子制御装置。.
- 前記異常判定手段は、前記制御用データと前記制御用ミラーデータとの整合関係が確保されているか否かに基づいて、前記制御用データの値が異常である可能性が有るか否かを判定することを特徴とする請求項1乃至請求項3のいずれかに記載の電子制御装置。
- 前記異常判定手段は、前記制御用ミラーデータ保存領域に所定値を示すデータを書き込み、その書き込んだデータを読み出した値が前記所定値に一致するか否かに基づいて、前記制御用データの値が異常である可能性が有るか否かを判定することを特徴とする請求項4に記載の電子制御装置。
- 前記データ復旧手段は、前記バックアップ用データと前記バックアップ用ミラーデータとの整合関係が確保されているか否かを判定し、前記整合関係が確保されている場合には、前記バックアップ用データと前記バックアップ用ミラーデータとを用いて、前記制御用データと前記制御用ミラーデータとを復旧させることを特徴とする請求項1乃至請求項5のいずれかに記載の電子制御装置。
- 前記データ復旧手段は、前記バックアップ用データと前記バックアップ用ミラーデータとの整合関係が確保されていない場合に、前記制御用データと前記バックアップ用データとの一致関係、前記制御用ミラーデータと前記バックアップ用ミラーデータとの一致関係、前記制御用データと前記バックアップ用ミラーデータとの整合関係、及び前記バックアップ用データと前記制御用ミラーデータとの整合関係との少なくとも1つが成立するか否かを判定し、いずれかの関係が成立した場合には、その関係に含まれるデータを用いて、残りのデータを復旧させることを特徴とする請求項6に記載の電子制御装置。
- 前記データ復旧手段は、前記バックアップ用データ保存領域及び前記バックアップ用ミラーデータ保存領域にそれぞれ所定値を示すデータを書き込み、その書き込んだデータを読み出した値が前記所定値に一致するか否かを判定するとともに、前記読み出した値が前記所定値に一致した場合に、前記バックアップ用データと前記バックアップ用ミラーデータとを用いて、前記制御用データと前記制御用ミラーデータとを復旧させることを特徴とする請求項6に記載の電子制御装置。
- 前記異常判定手段が、前記制御用データ保存領域及び前記制御用ミラーデータ保存領域に所定値を示すデータの書き込みを行い、前記データ復旧手段が、前記バックアップ用データ保存領域及び前記バックアップ用ミラーデータ保存領域に所定値を示すデータの書き込みを行った場合に、読み出した値が前記所定値に一致しないとの判定が、前記制御用データ保存領域、前記制御用ミラーデータ保存領域、前記バックアップ用データ保存領域、及び前記バックアップ用ミラーデータ保存領域の3個以上の領域に対してなされた場合に、前記データ復旧手段は、データの復旧処理を中止することを特徴とする請求項7又は請求項8に記載の電子制御装置。
- 前記データ復旧手段によりデータの復旧が不可能である場合に、前記所定のシステムの制御を停止させることを特徴とする請求項1乃至請求項9のいずれかに記載の電子制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005112822A JP4639920B2 (ja) | 2005-04-08 | 2005-04-08 | 電子制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005112822A JP4639920B2 (ja) | 2005-04-08 | 2005-04-08 | 電子制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006293649A true JP2006293649A (ja) | 2006-10-26 |
| JP4639920B2 JP4639920B2 (ja) | 2011-02-23 |
Family
ID=37414168
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005112822A Expired - Fee Related JP4639920B2 (ja) | 2005-04-08 | 2005-04-08 | 電子制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4639920B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011191830A (ja) * | 2010-03-11 | 2011-09-29 | Fuji Electric Co Ltd | メモリ診断方法および電力変換装置の制御機器 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH02259902A (ja) * | 1989-03-31 | 1990-10-22 | Mazda Motor Corp | 車載制御機器のデータ保持装置 |
| JPH04274540A (ja) * | 1991-03-01 | 1992-09-30 | Toshiba Corp | メモリデ―タ保存装置 |
| JPH05334196A (ja) * | 1991-09-30 | 1993-12-17 | Oki Electric Ind Co Ltd | メモリ多重化システムにおけるメモリ管理方式 |
| JPH0895868A (ja) * | 1994-09-21 | 1996-04-12 | Fujitsu Ten Ltd | バックアップデ−タの異常判定方法及び異常時の異常処理方法 |
| JP2000076142A (ja) * | 1998-08-27 | 2000-03-14 | Unisia Jecs Corp | Ramの診断装置 |
| JP2004021520A (ja) * | 2002-06-14 | 2004-01-22 | Denso Corp | 車両用電子制御装置 |
-
2005
- 2005-04-08 JP JP2005112822A patent/JP4639920B2/ja not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH02259902A (ja) * | 1989-03-31 | 1990-10-22 | Mazda Motor Corp | 車載制御機器のデータ保持装置 |
| JPH04274540A (ja) * | 1991-03-01 | 1992-09-30 | Toshiba Corp | メモリデ―タ保存装置 |
| JPH05334196A (ja) * | 1991-09-30 | 1993-12-17 | Oki Electric Ind Co Ltd | メモリ多重化システムにおけるメモリ管理方式 |
| JPH0895868A (ja) * | 1994-09-21 | 1996-04-12 | Fujitsu Ten Ltd | バックアップデ−タの異常判定方法及び異常時の異常処理方法 |
| JP2000076142A (ja) * | 1998-08-27 | 2000-03-14 | Unisia Jecs Corp | Ramの診断装置 |
| JP2004021520A (ja) * | 2002-06-14 | 2004-01-22 | Denso Corp | 車両用電子制御装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011191830A (ja) * | 2010-03-11 | 2011-09-29 | Fuji Electric Co Ltd | メモリ診断方法および電力変換装置の制御機器 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4639920B2 (ja) | 2011-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2018221136A1 (ja) | 異常判定装置、異常判定方法及び異常判定プログラム | |
| US9207661B2 (en) | Dual core architecture of a control module of an engine | |
| JP6266239B2 (ja) | マイクロコンピュータ | |
| CN107077407B (zh) | 车辆控制装置 | |
| WO2017022476A1 (ja) | 車両制御装置 | |
| JP2009104246A (ja) | プログラマブルコントローラおよびその異常時復旧方法 | |
| JP2018041402A (ja) | 電子制御装置 | |
| JP2006259935A (ja) | 演算異常判断機能付き演算装置 | |
| JP6512065B2 (ja) | 電子制御装置 | |
| JP4639920B2 (ja) | 電子制御装置 | |
| JP2016126692A (ja) | 電子制御装置 | |
| JP2002334024A (ja) | 電子制御装置 | |
| JP4820679B2 (ja) | 車両用電子制御装置 | |
| EP3525210B1 (en) | Data register monitoring | |
| JP2011126327A (ja) | 車載制御装置 | |
| JP7024582B2 (ja) | 車載制御装置 | |
| JP6075262B2 (ja) | 制御装置 | |
| JP2000035923A (ja) | 異常検出方法および異常検出装置 | |
| JP2014056396A (ja) | 電子制御装置 | |
| JP5287198B2 (ja) | 情報処理装置 | |
| JP7200883B2 (ja) | 電子制御装置 | |
| JP2002047998A (ja) | 車両用制御装置 | |
| JP6275098B2 (ja) | 制御装置およびレジスタの故障復帰方法 | |
| JP2009099026A (ja) | ディジタルシステムのパラメータ化け検出方法と該検出方法を備えたインバータ装置、並びに工作機械用及びロボット用御制装置 | |
| JP2022032510A (ja) | 異常判定装置および異常判定方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070601 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100907 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100914 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101018 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101102 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101115 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 4639920 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131210 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |