JP2013025570A - Electronic control unit - Google Patents

Electronic control unit Download PDF

Info

Publication number
JP2013025570A
JP2013025570A JP2011159875A JP2011159875A JP2013025570A JP 2013025570 A JP2013025570 A JP 2013025570A JP 2011159875 A JP2011159875 A JP 2011159875A JP 2011159875 A JP2011159875 A JP 2011159875A JP 2013025570 A JP2013025570 A JP 2013025570A
Authority
JP
Japan
Prior art keywords
microcomputer
virtual cpu
control
sub
main
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011159875A
Other languages
Japanese (ja)
Other versions
JP5541246B2 (en
Inventor
Takayoshi Honda
隆芳 本多
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2011159875A priority Critical patent/JP5541246B2/en
Publication of JP2013025570A publication Critical patent/JP2013025570A/en
Application granted granted Critical
Publication of JP5541246B2 publication Critical patent/JP5541246B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide an electronic control unit for achieving high safety and desired vehicle control by using lockstep processing while suppressing current consumption.SOLUTION: A sub-microcomputer 6 is configured to compare the arithmetic results of a first instruction execution part 6a and a second instruction execution part 6b by lockstep processing. The sub-microcomputer 6 is configured to monitor the control state of a first main microcomputer 3 by the lockstep processing from a virtual CPU, and to, when it is determined that the control state of the first main microcomputer 3 is not normal, reset the first main microcomputer 3. Therefore, the sub-microcomputer 6 is able to monitor the first main microcomputer 3 by the lockstep processing from a virtual CPU (A) virtually constructed inside the sub-microcomputer 6.

Description

本発明は、車両制御を行うマイコンを備えた電子制御ユニットに関する。   The present invention relates to an electronic control unit including a microcomputer that performs vehicle control.

各種の制御を実現するため本願関連技術が提供されている(例えば、特許文献1、2参照)。特許文献1は、仮想CPUの構築技術を提供している。特に、車載装置に演算結果を提供する電子制御ユニットにおいて、実在するCPUと、実在するCPUから仮想的なCPUを構築する仮想CPU構築手段と、仮想的に構築された第1の仮想CPU及び第2の仮想CPUと、を有し、演算結果を提供する第1の仮想CPUを第2の仮想CPUが監視する技術を提供している。また、特許文献2は、少なくとも2つの命令実行部と1つの比較ユニットを備え命令実行部の演算結果を比較ユニットで比較するロックステップ技術を提供している。   In order to realize various controls, techniques related to the present application are provided (see, for example, Patent Documents 1 and 2). Patent Document 1 provides a technology for constructing a virtual CPU. In particular, in an electronic control unit that provides a calculation result to an in-vehicle device, a real CPU, a virtual CPU construction means for constructing a virtual CPU from the real CPU, a first virtual CPU and a first virtual CPU constructed And a second virtual CPU that monitors a first virtual CPU that provides a calculation result. Further, Patent Document 2 provides a lockstep technique that includes at least two instruction execution units and one comparison unit, and compares the operation results of the instruction execution units with the comparison unit.

特開2011−22934号公報JP 2011-22934 A 特表2009−505183号公報Special table 2009-505183

通常、車両制御用のECUには、制御マイコンと、その制御マイコンを監視する監視マイコンとが搭載されている。制御マイコンが制御する複数の制御システムのうち、電子スロットル制御など、より高い安全性が求められる制御に関しては、監視マイコンを用いて対象制御システムの監視を行っている。近年、車両制御技術分野において、更なる安全性向上のため、特許文献2記載のロックステップ処理を付加することが提案されている。   Usually, the ECU for vehicle control is equipped with a control microcomputer and a monitoring microcomputer for monitoring the control microcomputer. Among a plurality of control systems controlled by the control microcomputer, for the control requiring higher safety such as electronic throttle control, the target control system is monitored using a monitoring microcomputer. In recent years, in the field of vehicle control technology, it has been proposed to add a lockstep process described in Patent Document 2 in order to further improve safety.

しかしながら、制御マイコンに対してロックステップ処理を追加した場合、制御電流が増大する懸念点がある。つまり、制御マイコンに対してロックステップ技術を適用した場合、監視を必要としない制御システムまでロックステップ処理を適用することとなるためである。   However, when the lock step process is added to the control microcomputer, there is a concern that the control current increases. That is, when the lock step technology is applied to the control microcomputer, the lock step process is applied to a control system that does not require monitoring.

本発明は、上記事情に鑑みてなされたもので、消費電流を抑制しつつ、ロックステップ処理を用いて高い安全性を実現でき所望の車両制御を実現できるといった格別の効果を有する電子制御ユニットを提供することにある。   The present invention has been made in view of the above circumstances, and an electronic control unit that has a special effect of being able to achieve high safety and achieve desired vehicle control using lockstep processing while suppressing current consumption. It is to provide.

請求項1記載の発明によれば、第1マイコンは車両制御を行うが、第2マイコンはロックステップ処理によって命令実行部の演算結果を互いに比較する。第2マイコンは、仮想的なCPUを構築する仮想CPU構築手段と、仮想CPU構築手段により構築された少なくとも第1仮想CPU、第2仮想CPUとを備える。そして、第2マイコンの第1仮想CPUは、ロックステップ処理により少なくとも第1マイコンによる制御状態を監視し、第1マイコンの制御状態が正常でないと判断した場合、第1マイコンをリセットするため、当該リセット後には、第1マイコンが正常な車両制御を行うことができる。   According to the first aspect of the present invention, the first microcomputer performs vehicle control, but the second microcomputer compares the calculation results of the instruction execution unit with each other by lock step processing. The second microcomputer includes virtual CPU construction means for constructing a virtual CPU, and at least a first virtual CPU and a second virtual CPU constructed by the virtual CPU construction means. Then, the first virtual CPU of the second microcomputer monitors at least the control state of the first microcomputer by the lock step process, and when it is determined that the control state of the first microcomputer is not normal, the first microcomputer resets the first microcomputer. After the reset, the first microcomputer can perform normal vehicle control.

したがって、監視マイコンとしての第2マイコンは、その内部に仮想的に構築された第1仮想CPUによってロックステップ処理し、制御マイコンとしての第1マイコンを監視するため、消費電流を抑制しつつロックステップ処理を用いて高い安全性を実現でき所望の車両制御を実現できるという格別の効果を有する。   Therefore, the second microcomputer as the monitoring microcomputer performs the lock step process by the first virtual CPU virtually built therein, and monitors the first microcomputer as the control microcomputer. It has a special effect that high safety can be realized using the processing and desired vehicle control can be realized.

請求項2記載の発明によれば、第3マイコンが第1マイコンによって行われる車両制御とは異なる種類の車両制御を行い、第2仮想CPUが第3マイコンによる制御状態を監視するように構成することで、新たに監視用のマイコンを追加することなく監視処理を行うことができ、更なる消費電流の抑制が図れるといった格別の効果を有する。   According to the second aspect of the invention, the third microcomputer performs vehicle control of a type different from the vehicle control performed by the first microcomputer, and the second virtual CPU is configured to monitor the control state by the third microcomputer. Thus, the monitoring process can be performed without newly adding a monitoring microcomputer, and the current consumption can be further suppressed.

請求項3記載の発明によれば、第1マイコンは、第1仮想CPUの制御状態を監視し、第1仮想CPUが正常ではないと判断した場合、第1仮想CPUのみをリセットするため、第1マイコンおよび第1仮想CPUを相互に監視することができ、更なる安全性の向上を図ることができる。   According to the third aspect of the present invention, the first microcomputer monitors the control state of the first virtual CPU and resets only the first virtual CPU when it is determined that the first virtual CPU is not normal. One microcomputer and the first virtual CPU can be monitored each other, and the safety can be further improved.

請求項4記載の発明によれば、第1マイコンは第1仮想CPUの制御状態を監視し、当該第1仮想CPUが正常でないと判断した場合、第1仮想CPUが正常でない旨を第3マイコンに通知するため、第3マイコンは第1仮想CPUが正常動作していない旨を認識することができ第3マイコンによる制御システムへの悪影響を軽減できる。しかも、第1仮想CPUおよび第2仮想CPUをリセットするため、リセット後には、第1仮想CPUおよび第2仮想CPUによる第3マイコンの制御状態の監視処理を正常に実施できる。   According to the fourth aspect of the present invention, the first microcomputer monitors the control state of the first virtual CPU, and if it is determined that the first virtual CPU is not normal, the third microcomputer indicates that the first virtual CPU is not normal. Therefore, the third microcomputer can recognize that the first virtual CPU is not operating normally, and can reduce the adverse effect of the third microcomputer on the control system. Moreover, since the first virtual CPU and the second virtual CPU are reset, the monitoring process of the control state of the third microcomputer by the first virtual CPU and the second virtual CPU can be normally performed after the reset.

請求項5記載の発明によれば、第1仮想CPUが第1マイコンの制御状態と第3マイコンの制御状態との双方の制御情報を用いて第1マイコンの監視処理を実施することで、制御システムの安全性を更に向上させることができる。   According to the fifth aspect of the present invention, the first virtual CPU performs the monitoring process of the first microcomputer using the control information of both the control state of the first microcomputer and the control state of the third microcomputer, thereby controlling the first microcomputer. The safety of the system can be further improved.

請求項6記載の発明によれば、第2マイコンは、第1仮想CPUで第1マイコンの制御状態を監視するとともに、第1仮想CPUとは異なる仮想CPUで第1マイコンとは異なるシステムの処理を実行することができる。   According to the sixth aspect of the invention, the second microcomputer monitors the control state of the first microcomputer by the first virtual CPU, and processes the system different from the first microcomputer by a virtual CPU different from the first virtual CPU. Can be executed.

請求項7記載の発明によれば、第1マイコンは車両制御を行うが、第3マイコンは第1マイコンが行う車両制御とは異なる種類の車両制御を行う。また、第2マイコンは、少なくとも2つ以上の命令実行部および比較部を用いてロックステップ処理により命令実行部の演算結果を互いに比較する。第2マイコンは、ロックステップ処理により第1マイコンの制御状態を監視し第1マイコンの制御状態が正常でないと判断した場合に第1マイコンをリセットするとともに、第3マイコンの制御状態を監視し第3マイコンの制御状態が正常でないと判断した場合に第3マイコンをリセットするため、リセット後には、第1マイコン、第3マイコン共に正常な車両制御を行うことができる。   According to the seventh aspect of the invention, the first microcomputer performs vehicle control, but the third microcomputer performs vehicle control of a type different from the vehicle control performed by the first microcomputer. The second microcomputer compares the operation results of the instruction execution units with each other by lock step processing using at least two or more instruction execution units and comparison units. The second microcomputer monitors the control state of the first microcomputer by lockstep processing, and resets the first microcomputer when it is determined that the control state of the first microcomputer is not normal, and monitors the control state of the third microcomputer. Since the third microcomputer is reset when it is determined that the control state of the three microcomputers is not normal, both the first microcomputer and the third microcomputer can perform normal vehicle control after the reset.

本発明の第1実施形態を概略的に示す電気的ブロック構成図1 is an electrical block configuration diagram schematically showing a first embodiment of the present invention. 監視態様例を示す電気的ブロック構成図Electrical block diagram showing an example of monitoring mode ロックステップ処理の流れを示すタイミングチャートTiming chart showing the flow of lockstep processing 本発明の第2実施形態を概略的に示す図1相当図FIG. 1 equivalent view schematically showing a second embodiment of the present invention.

(第1実施形態)
以下、本発明の第1実施形態について図1ないし図3を参照しながら説明する。通常、車両には当該車両内の多数のアクチュエータの制御を行うため、エンジン制御ECU(Electronic Control Unit)、ブレーキ制御ECU、ボディ制御ECU、メータ制御ECUなど数十以上の電子制御ユニットが搭載されており、これらのECU間は所定の通信規格に応じて通信し、これにより車両全体の制御が行われている。近年、コスト抑制などを目的として、ECUの統合化が図られている。そこで本実施形態では、エンジン制御ECU、ボディ制御ECU、ブレーキ制御ECUの各機能が搭載された統合ECU1について説明を行う。 (First embodiment)
Hereinafter, a first embodiment of the present invention will be described with reference to FIGS. 1 to 3. Usually, in order to control a large number of actuators in the vehicle, a vehicle is equipped with several tens or more electronic control units such as an engine control ECU (Electronic Control Unit), a brake control ECU, a body control ECU, and a meter control ECU. These ECUs communicate with each other according to a predetermined communication standard, thereby controlling the entire vehicle. In recent years, ECUs have been integrated for the purpose of cost reduction and the like. Therefore, in the present embodiment, the integrated ECU 1 in which the functions of the engine control ECU, the body control ECU, and the brake control ECU are mounted will be described.

図1は、本実施形態に係る統合ECU内の電気的ブロック構成を概略的に示している。
統合ECU1には、エンジン制御ECU、ボディ制御ECU、ブレーキ制御ECUの各機能が搭載されている。この統合ECU1は、共通電源回路2から供給される電源によって動作する。共通電源回路2はバッテリから供給される常時電源の電圧を統合ECU1内の各回路で使用する電圧に変換して供給する。 FIG. 1 schematically shows an electrical block configuration in the integrated ECU according to the present embodiment.
The integrated ECU 1 has functions of an engine control ECU, a body control ECU, and a brake control ECU. The integrated ECU 1 is operated by the power supplied from the common power supply circuit 2. The common power supply circuit 2 converts the constant power supply voltage supplied from the battery into a voltage used in each circuit in the integrated ECU 1 and supplies the converted voltage.

また、統合ECU1は、第1メインマイコン3、第2メインマイコン4、第3メインマイコン5を備える。第1メインマイコン3は、特に電子スロットル制御などエンジン制御ECUの機能を主に備える。第2メインマイコン4は、特にブレーキ制御ECUの機能を主に備える。第3メインマイコン5は、特にボディ制御ECUの機能を主に備える。これらの第1〜第3メインマイコン3〜5は、それぞれ、CPU3a〜5a、ROM(図示せず)、RAM(図示せず)、システムインタフェース(I/F)回路3b〜5bなどを備える。なお、図中、第1〜第3メインマイコン3〜5の搭載CPUにはそれぞれ符号aを追加して付し、システムインタフェース回路にはそれぞれ符号bを追加して付して示す。   The integrated ECU 1 includes a first main microcomputer 3, a second main microcomputer 4, and a third main microcomputer 5. The first main microcomputer 3 mainly has functions of an engine control ECU such as electronic throttle control. The second main microcomputer 4 mainly includes the function of the brake control ECU. The third main microcomputer 5 mainly includes the function of the body control ECU. These first to third main microcomputers 3 to 5 include CPUs 3a to 5a, ROM (not shown), RAM (not shown), system interface (I / F) circuits 3b to 5b, respectively. In the drawing, the symbols “a” are added to the mounted CPUs of the first to third main microcomputers 3 to 5 and the symbols “b” are added to the system interface circuits.

また、統合ECU1内には、これらの第1〜第3メインマイコン3〜5とは別にサブマイコン6が搭載されている。サブマイコン6は、その内部に複数の命令実行部(第1命令実行部6a、第2命令実行部6b)、コンパレータからなる比較ユニット6c、および、システムインタフェース回路6dを備え、第1命令実行部6a、第2命令実行部6bのそれぞれに仮想的なCPU(後述の仮想CPU(A)(第1仮想CPUに相当)、仮想CPU(B)(第2仮想CPUに相当)など)を構築し、これらの第1命令実行部6a、第2命令実行部6bおよび比較ユニット6cによってロックステップを行う。このサブマイコン6によるロックステップ処理の概要は後述する。   In addition, a sub-microcomputer 6 is mounted in the integrated ECU 1 in addition to the first to third main microcomputers 3 to 5. The sub-microcomputer 6 includes therein a plurality of instruction execution units (first instruction execution unit 6a and second instruction execution unit 6b), a comparison unit 6c including a comparator, and a system interface circuit 6d. A virtual CPU (virtual CPU (A) (corresponding to the first virtual CPU) described later, virtual CPU (B) (corresponding to the second virtual CPU), etc.) is constructed in each of 6a and the second instruction execution unit 6b. The first instruction execution unit 6a, the second instruction execution unit 6b, and the comparison unit 6c perform a lock step. The outline of the lock step process by the sub-microcomputer 6 will be described later.

システムインタフェース回路3b〜5b、6dは、アナログ入力信号をデジタル変換して自らのマイコンに出力するA/Dコンバータ(ADC)、および、デジタル入力信号を入力して自らのマイコンに出力する入力バッファなどを備えた入力I/F(インタフェース)、アクチュエータ駆動信号を出力する出力I/F(インタフェース)、他のマイコンとの間の通信処理を行う通信I/F(インタフェース)をそれぞれ備えている。図示しないが、この統合ECU1には、前述説明した共通電源回路2、第1〜第3メインマイコン3〜5、サブマイコン6と共に、EEPROMなどのメモリ等の各種周辺回路が搭載されている。   The system interface circuits 3b to 5b, 6d include an A / D converter (ADC) that converts an analog input signal into digital data and outputs it to its own microcomputer, an input buffer that inputs a digital input signal and outputs it to its own microcomputer, etc. , An output I / F (interface) that outputs an actuator drive signal, and a communication I / F (interface) that performs communication processing with other microcomputers. Although not shown, the integrated ECU 1 is mounted with various peripheral circuits such as a memory such as an EEPROM as well as the common power supply circuit 2, the first to third main microcomputers 3 to 5, and the sub-microcomputer 6 described above.

図2は、サブマイコン6による第1メインマイコン3の動作状態の監視態様の具体例を示している。
第1メインマイコン3は、システムインタフェース回路3bの入力I/F(ADC)を通じてアクセル開度信号を入力する。サブマイコン6も同様に、システムインタフェース回路6dの入力I/F(ADC)を通じてアクセル開度信号を入力する。第1メインマイコン3は、アクセル開度信号を入力するとスロットル開度の操作量を決定する。 FIG. 2 shows a specific example of the monitoring mode of the operating state of the first main microcomputer 3 by the sub-microcomputer 6.
The first main microcomputer 3 inputs an accelerator opening signal through an input I / F (ADC) of the system interface circuit 3b. Similarly, the sub-microcomputer 6 inputs the accelerator opening signal through the input I / F (ADC) of the system interface circuit 6d. The first main microcomputer 3 determines the operation amount of the throttle opening when the accelerator opening signal is inputted.

また、スロットルの開度信号はシステムインタフェース回路3bの入力I/Fを通じて第1メインマイコン3に入力される。このスロットル開度信号は、サブマイコン6にもシステムインタフェース回路6dの入力I/Fを通じて入力される。また、第1メインマイコン3で取得したアクセル開度信号やスロットル開度信号を監視用のサブマイコン6に送信しても良い。   The throttle opening signal is input to the first main microcomputer 3 through the input I / F of the system interface circuit 3b. This throttle opening signal is also input to the sub-microcomputer 6 through the input I / F of the system interface circuit 6d. Further, the accelerator opening signal and the throttle opening signal acquired by the first main microcomputer 3 may be transmitted to the monitoring sub-microcomputer 6.

第1メインマイコン3のCPU3aは、スロットル開度の操作量とスロットルの開度信号と比較して開度偏差を求め、電子スロットルSの制御用モータで必要となる制御量を求め、制御量をデューティ比に変換し当該信号に応じた電流をモータに通電することでスロットル弁Saの開度を制御する(スロットル開度制御)。   The CPU 3a of the first main microcomputer 3 obtains the opening deviation by comparing the operation amount of the throttle opening and the throttle opening signal, obtains the control amount required for the control motor of the electronic throttle S, and calculates the control amount. The opening of the throttle valve Sa is controlled by converting it into a duty ratio and supplying a current corresponding to the signal to the motor (throttle opening control).

サブマイコン6は、システムインタフェース回路6dを介してスロットル開度制御の状態を監視するが、この監視結果が異常な場合には、モータ駆動を停止したり電源遮断制御(電源カット)したりする。この方法としては、第1メインマイコン3のシステムインタフェース回路3bの出力I/Fと、システムインタフェース回路6dの出力I/Fの論理和を求めることで、電源通電やモータ駆動信号の有効/無効を切換える方法がある。   The sub-microcomputer 6 monitors the throttle opening control state via the system interface circuit 6d. If the monitoring result is abnormal, the sub-microcomputer 6 stops the motor drive or performs power-off control (power-off). As this method, by obtaining the logical sum of the output I / F of the system interface circuit 3b of the first main microcomputer 3 and the output I / F of the system interface circuit 6d, the power supply energization and the validity / invalidity of the motor drive signal are determined. There is a way to switch.

またその他の方法としては、第1メインマイコン3のシステムインタフェース回路3bの通信I/Fとサブマイコン6のシステムインタフェース回路6dの通信I/Fとの間で通信処理を行い、第1メインマイコン3のシステムインタフェース回路3bに搭載される選択機能付き出力I/Fの選択指令をサブマイコン6から行い、当該サブマイコン6が電子スロットルSを直接制御する方法がある。   As another method, communication processing is performed between the communication I / F of the system interface circuit 3b of the first main microcomputer 3 and the communication I / F of the system interface circuit 6d of the sub-microcomputer 6, and the first main microcomputer 3 There is a method in which an instruction for selecting an output I / F with a selection function mounted in the system interface circuit 3b is issued from the sub-microcomputer 6 and the sub-microcomputer 6 directly controls the electronic throttle S.

図3は、サブマイコン6のロックステップによる監視処理の流れを示している。図3に示すように、サブマイコン6は、第1命令実行部6aおよび第2命令実行部6bを用いた仮想CPU(A)(VCPU処理1)によって第1メインマイコン3を互いに同一の動作クロックにより監視処理する。この場合、サブマイコン6は、コンパレータからなる比較ユニット6cを用いて、第1命令実行部6aおよび第2命令実行部6bの監視演算結果を比較し、同一の演算結果であるか否かを判定する。そして、サブマイコン6は監視処理の比較結果が同一であるときには監視演算結果が正常であると判定する。   FIG. 3 shows the flow of monitoring processing by the lock step of the sub-microcomputer 6. As shown in FIG. 3, the sub-microcomputer 6 causes the first main microcomputer 3 to have the same operation clock by the virtual CPU (A) (VCPU processing 1) using the first instruction execution unit 6a and the second instruction execution unit 6b. Monitor processing by. In this case, the sub-microcomputer 6 compares the monitoring calculation results of the first instruction execution unit 6a and the second instruction execution unit 6b using the comparison unit 6c formed of a comparator, and determines whether or not they are the same calculation result. To do. The sub-microcomputer 6 determines that the monitoring calculation result is normal when the comparison results of the monitoring processing are the same.

続いて、サブマイコン6は、第1命令実行部6aおよび第2命令実行部6bを用いた仮想CPU(B)(VCPU処理2)によって第2メインマイコン4を互いに同一の動作クロックにより監視処理する。この場合、サブマイコン6は、コンパレータによる比較ユニット6cを用いて、第1命令実行部6aおよび第2命令実行部6bの監視演算結果を比較し、これらの監視演算結果が同一の演算結果であるか否かを判定する。   Subsequently, the sub-microcomputer 6 monitors the second main microcomputer 4 with the same operation clock by the virtual CPU (B) (VCPU processing 2) using the first instruction execution unit 6a and the second instruction execution unit 6b. . In this case, the sub-microcomputer 6 uses the comparator comparison unit 6c to compare the monitoring operation results of the first instruction execution unit 6a and the second instruction execution unit 6b, and these monitoring operation results are the same operation result. It is determined whether or not.

そして、サブマイコン6は監視処理の比較結果が同一であると判定したときには監視演算結果が正常であると判定する。続いて、サブマイコン6は、VCPU処理3の処理によってその他の処理(例えばメータ制御など)を行う。このようにしてサブマイコン6は監視処理を続ける。以下、監視方法の態様例を挙げる。
<サブマイコン6による第1〜第3メインマイコン3〜5の監視方法の態様>
以下、監視マイコンとなるサブマイコン6が制御マイコンとなる第1、第2メインマイコン3、4を監視する監視態様例を挙げる。尚、例としては、第1メインマイコン3の監視について示すが、第2メインマイコン4に関しても同様である。
<例1>
第1メインマイコン3は、ウォッチドックカウンタ信号(H/Lのパルス信号)を出力し、サブマイコン6がこのウォッチドック信号を監視する。ウォッチドック信号がなくなれば第1メインマイコン3が異常動作していることを検出できる。
<例2>
サブマイコン6が第1メインマイコン3に宿題情報を通信出力し、第1メインマイコン3が当該宿題情報を処理して監視側となるサブマイコン6に送信する。監視側のサブマイコン6は、その回答の正誤に応じて第1メインマイコン3が正常に動作しているか否かをチェックし、回答に誤りがあれば第1メインマイコン3が異常動作していることを検出できる。
<例3>
監視側のサブマイコン6は、第1メインマイコン3の入力データと出力データを取得し、監視側のサブマイコン6は、入力データを用いて第1メインマイコン3で実施する処理とは異なる簡易計算処理を行い、第1メインマイコン3の出力データとの差をチェックし、所定範囲から大きく異なる場合には第1メインマイコン3が異常動作していると判断する。 The sub-microcomputer 6 determines that the monitoring calculation result is normal when it is determined that the comparison results of the monitoring processing are the same. Subsequently, the sub-microcomputer 6 performs other processing (for example, meter control) by the processing of the VCPU processing 3. In this way, the sub-microcomputer 6 continues the monitoring process. Hereinafter, the example of the aspect of the monitoring method is given.
<Aspects of the monitoring method of the first to third main microcomputers 3 to 5 by the sub-microcomputer 6>
Hereinafter, a monitoring mode example in which the sub-microcomputer 6 serving as the monitoring microcomputer monitors the first and second main microcomputers 3 and 4 serving as the control microcomputer will be described. As an example, the monitoring of the first main microcomputer 3 is shown, but the same applies to the second main microcomputer 4.
<Example 1>
The first main microcomputer 3 outputs a watchdog counter signal (H / L pulse signal), and the sub-microcomputer 6 monitors the watchdog signal. If the watchdog signal disappears, it can be detected that the first main microcomputer 3 is operating abnormally.
<Example 2>
The sub-microcomputer 6 communicates and outputs homework information to the first main microcomputer 3, and the first main microcomputer 3 processes the homework information and transmits it to the sub-microcomputer 6 on the monitoring side. The monitoring side sub-microcomputer 6 checks whether or not the first main microcomputer 3 is operating normally according to whether the answer is correct. If the answer is incorrect, the first main microcomputer 3 is operating abnormally. Can be detected.
<Example 3>
The monitoring side sub-microcomputer 6 acquires the input data and output data of the first main microcomputer 3, and the monitoring side sub-microcomputer 6 uses a simple calculation that is different from the processing performed by the first main microcomputer 3 using the input data. A process is performed to check the difference from the output data of the first main microcomputer 3. If the difference is greatly different from the predetermined range, it is determined that the first main microcomputer 3 is operating abnormally.

サブマイコン6は、このような監視態様によって第1メインマイコン3を監視し、監視結果が異常な場合には、電源遮断制御したり、モータ駆動を停止し、第1メインマイコン3をリセットする。また、サブマイコン6は監視結果が異常と判断した場合には、前述したように各システムインタフェース回路3bおよび6dの通信I/Fを通じて第1メインマイコン3の出力を制御し、その後、第1メインマイコン3をリセットするようにしても良い。   The sub-microcomputer 6 monitors the first main microcomputer 3 according to such a monitoring mode. If the monitoring result is abnormal, the sub-microcomputer 6 performs power-off control, stops the motor drive, and resets the first main microcomputer 3. When the sub-microcomputer 6 determines that the monitoring result is abnormal, the sub-microcomputer 6 controls the output of the first main microcomputer 3 through the communication I / F of the system interface circuits 3b and 6d as described above, and then the first main microcomputer 3 The microcomputer 3 may be reset.

従来、第1、第2メインマイコン3、4に監視機能をそれぞれ付加すると、第1、第2メインマイコン3、4はそれぞれ32ビット(実動作)+32ビット(監視処理)で動作させる必要が生じてしまい全体の動作ビット数が増加してしまい全体の消費電力が増加する。本実施形態によれば、例えば、第1、第2メインマイコン3、4の各CPU3a、4aを32ビットで動作させると共に、サブマイコン6の第1命令実行部6a、第2命令実行部6bをそれぞれ32ビットで動作させることで、監視機能を第1、第2メインマイコン3、4にそれぞれ付加しつつ合計の実動作ビット数を低減できるため消費電力を低減できる。これにより、消費電流を抑制しつつロックステップ処理を用いて高い安全性を実現でき所望の車両制御を実現できる。   Conventionally, when a monitoring function is added to each of the first and second main microcomputers 3 and 4, the first and second main microcomputers 3 and 4 need to operate at 32 bits (actual operation) +32 bits (monitoring process). As a result, the total number of operating bits increases and the overall power consumption increases. According to the present embodiment, for example, the CPUs 3a and 4a of the first and second main microcomputers 3 and 4 are operated with 32 bits, and the first instruction execution unit 6a and the second instruction execution unit 6b of the sub-microcomputer 6 are operated. By operating each with 32 bits, the total number of actual operation bits can be reduced while adding a monitoring function to the first and second main microcomputers 3 and 4, respectively, thereby reducing power consumption. As a result, high safety can be realized using lockstep processing while suppressing current consumption, and desired vehicle control can be realized.

本実施形態によれば、次のような特徴を有する。サブマイコン6はロックステップ処理によって第1命令実行部6aおよび第2命令実行部6bの演算結果を互いに比較する。サブマイコン6は、仮想CPUによるロックステップ処理によって第1メインマイコン3の制御状態を監視し、第1メインマイコン3の制御状態が正常でないと判断した場合、第1メインマイコン3をリセットするため、このリセット後には、第1メインマイコン3が正常な車両制御を行うことができる。   According to this embodiment, it has the following features. The sub-microcomputer 6 compares the operation results of the first instruction execution unit 6a and the second instruction execution unit 6b with each other by lock step processing. The sub-microcomputer 6 monitors the control state of the first main microcomputer 3 by lockstep processing by the virtual CPU, and resets the first main microcomputer 3 when determining that the control state of the first main microcomputer 3 is not normal. After the reset, the first main microcomputer 3 can perform normal vehicle control.

したがって、サブマイコン6は、その内部に仮想的に構築された仮想CPU(A)によってロックステップ処理して第1メインマイコン3を監視できるため、消費電流を抑制しつつロックステップ処理を用いて高い安全性を実現でき所望の車両制御を実現できる。つまり、電子スロットル制御やその他のエンジン制御など複雑な制御を行う第1メインマイコン3でなく、電子スロットルの監視など比較的処理の軽いサブマイコン6によってロックステップ処理することで、消費電流を抑制できる。   Accordingly, the sub-microcomputer 6 can monitor the first main microcomputer 3 by performing the lock step process by the virtual CPU (A) virtually built therein, so that it is high using the lock step process while suppressing the current consumption. Safety can be realized and desired vehicle control can be realized. In other words, the current consumption can be suppressed by performing the lock step process not by the first main microcomputer 3 that performs complicated control such as electronic throttle control or other engine control but by the sub-microcomputer 6 that is relatively light processing such as monitoring the electronic throttle. .

また、第1メインマイコン3、第2メインマイコン4は互いに異なる種類の車両制御を行うが、この場合、第1メインマイコン3の監視処理を行う仮想CPU(A)(VCPU処理1)とは異なる仮想CPU(B)(VCPU処理2)によって第2メインマイコン4の監視処理が行われるため、新たに監視用のマイコンを追加することなく監視処理を行うことができ、更なる消費電流の抑制を図ることができる。   The first main microcomputer 3 and the second main microcomputer 4 perform different types of vehicle control. In this case, the first main microcomputer 3 and the second main microcomputer 4 are different from the virtual CPU (A) (VCPU process 1) that performs the monitoring process of the first main microcomputer 3. Since the monitoring process of the second main microcomputer 4 is performed by the virtual CPU (B) (VCPU process 2), it is possible to perform the monitoring process without newly adding a monitoring microcomputer, and further suppress current consumption. Can be planned.

また、サブマイコン6の処理負荷に余裕がある場合、仮想CPU(C)を構築し、その他の処理を実施させてもよい。
(第1実施形態の変形例)
第1実施形態では、サブマイコン6が第1メインマイコン3の制御状態を個別に監視処理した形態を示したが、本変形例では、サブマイコン6が、仮想CPU(A)により、第1メインマイコン3の制御状態と、第2メインマイコン4の制御状態との双方の制御情報を用いて第1メインマイコン3の監視処理を実施する。これは、関連した制御情報を考慮に入れてある一つの第1メインマイコン3の監視処理を実施することがより望ましいためであり、例えば、以下のような場合が挙げられる。 Further, when there is a margin in the processing load of the sub-microcomputer 6, a virtual CPU (C) may be constructed to perform other processing.
(Modification of the first embodiment)
In the first embodiment, the sub-microcomputer 6 individually monitors and controls the control state of the first main microcomputer 3, but in this modification, the sub-microcomputer 6 is controlled by the virtual CPU (A) by the first main microcomputer 3. The monitoring process of the first main microcomputer 3 is performed using the control information of both the control state of the microcomputer 3 and the control state of the second main microcomputer 4. This is because it is more desirable to perform the monitoring process of one first main microcomputer 3 taking into account the related control information. For example, the following cases may be mentioned.

例えば、サブマイコン6が、
(1)第1メインマイコン3、第2メインマイコン4からウォッチドッグカウンタ信号情報を共に正常に受信
(2)ブレーキ制御用の第2メインマイコン4からブレーキ制御による減速制御情報を取得
(3)第1メインマイコン3が電子スロットルSのスロットル開度を増加、または、一定以上の高い開度を所定時間以上維持
という、(1)〜(3)の全条件を満たすような制御信号を受信している場合、第1メインマイコン3が異常動作していると判断し、サブマイコン6は第1メインマイコン3をリセット指示してリセットする。このように関連した制御情報を組み合わせて第1メインマイコン3の動作を監視処理することで制御システムの安全性をさらに向上させることができる。 For example, the sub-microcomputer 6 is
(1) Normal reception of watchdog counter signal information from both the first main microcomputer 3 and the second main microcomputer 4 (2) Acquisition of deceleration control information by brake control from the second main microcomputer 4 for brake control (3) No. 1 When the main microcomputer 3 receives a control signal that satisfies all the conditions (1) to (3), such as increasing the throttle opening of the electronic throttle S, or maintaining a high opening above a certain level for a predetermined time or more. If there is, the sub-microcomputer 6 determines that the first main microcomputer 3 is operating abnormally, and resets the first main microcomputer 3 by instructing the reset. The safety of the control system can be further improved by combining the related control information and monitoring the operation of the first main microcomputer 3.

(第2実施形態)
図4は、本発明の第2実施形態を示すもので、統合ECUではなく機能の異なるECUを別基板に搭載して構成したところを特徴としている。前述実施形態では、統合ECU1について説明したが、1枚または、2枚以上の基板を用いて構成しても良い。 (Second Embodiment)
FIG. 4 shows a second embodiment of the present invention, which is characterized in that an ECU having a different function instead of an integrated ECU is mounted on a separate board. In the above-described embodiment, the integrated ECU 1 has been described. However, the integrated ECU 1 may be configured using one or two or more substrates.

例えば、図4に示すように、エンジン制御ECU7、ブレーキ制御ECU8、ボディ制御ECU9、監視制御用のECU10をそれぞれ別基板に構成し、例えばエンジン制御ECU7、ブレーキ制御ECU8、ボディ制御ECU9、および、監視制御用のECU10間で相互通信することで車両制御を実現するようにしても良い。   For example, as shown in FIG. 4, the engine control ECU 7, the brake control ECU 8, the body control ECU 9, and the monitoring control ECU 10 are configured on separate boards, for example, the engine control ECU 7, the brake control ECU 8, the body control ECU 9, You may make it implement | achieve vehicle control by mutually communicating between ECU10 for control.

(他の実施形態)
本発明は、前述実施形態に限定されるものではなく、例えば、以下に示す変形または拡張が可能である。 (Other embodiments)
The present invention is not limited to the above-described embodiment, and can be modified or expanded as follows, for example.

前述の実施形態では、エンジン制御、ブレーキ制御、ボディ制御の機能を統合した統合ECU1、または、これらの制御機能をそれぞれエンジン制御ECU7、ブレーキ制御ECU8、ボディ制御ECU9として別基板に搭載した形態について説明している。   In the above-described embodiment, an integrated ECU 1 that integrates the functions of engine control, brake control, and body control, or a mode in which these control functions are mounted on separate boards as an engine control ECU 7, a brake control ECU 8, and a body control ECU 9, respectively. doing.

この中で、ロックステップの必要な重要度の比較的高い処理と、ロックステップ処理の不要な重要度の比較的低い処理を分けて監視処理を行っても良い。ロックステップを用いて監視すると良い制御は、例えば、電子スロットル制御、ブレーキ制御、電動パワーステアリング制御、エアバック制御などである。これらの制御処理は、安全性能に関わるため重要度が高くなり、ロックステップ機能を設けることで安全性を向上できる。   Among these, the monitoring process may be performed separately for a process with a relatively high importance level that requires a lock step and a process with a relatively low importance level that does not require a lock step process. Controls that should be monitored using the lock step include, for example, electronic throttle control, brake control, electric power steering control, and air bag control. Since these control processes are related to safety performance, they are highly important, and safety can be improved by providing a lockstep function.

ロックステップ機能を用いても良いが省いても良い制御は、例えば、メータ、エアコン、タイヤ空気圧モニタ、車両周辺のソナーによる感知処理である。ロックステップ機能を設けることなく監視すれば余分な機能を省くことができる。このような場合、これらのロックステップ機能の要不要を分けて制御状態を監視することで、必要な制御のみロックステップを設けて制御状態を監視することができ、所望の車両制御を実現できる。   The control which may use the lock step function but may omit it is, for example, a sensing process by a meter, an air conditioner, a tire pressure monitor, and a sonar around the vehicle. If monitoring is performed without providing a lockstep function, an extra function can be omitted. In such a case, by monitoring the control state separately whether the lock step function is necessary or not, the control state can be monitored by providing the lock step only for the necessary control, and desired vehicle control can be realized.

サブマイコン6が第1〜第3メインマイコン3〜5の動作を監視する実施形態を示したが、逆に、第1メインマイコン3が、サブマイコン6を監視する機能を設けても良い。以下、監視マイコンとなるサブマイコン6が制御マイコンとなる第1メインマイコン3を監視する監視方法の具体例を挙げる。
<第1メインマイコン3によるサブマイコン6の監視方法の具体例>
<例4>
第1メインマイコン3が、サブマイコン6による仮想CPU(A)のウォッチドックカウンタ信号をチェックし、第1メインマイコン3によりサブマイコン6が異常動作していると判断された場合、サブマイコン6の仮想CPU(A)をリセットすると共に第1メインマイコン3を自身でリセットする。
<例5>
前述実施例の<例3>で説明した、サブマイコン6の仮想CPU(A)によるロックステップで取得された簡易計算処理について第1メインマイコン3側でもチェックし、大きく異なる場合にはサブマイコン6の仮想CPU(A)をリセットすると共に第1メインマイコン3を自身でリセットする。 Although the embodiment in which the sub-microcomputer 6 monitors the operations of the first to third main microcomputers 3 to 5 has been shown, conversely, the first main microcomputer 3 may have a function of monitoring the sub-microcomputer 6. Hereinafter, a specific example of a monitoring method in which the sub-microcomputer 6 serving as the monitoring microcomputer monitors the first main microcomputer 3 serving as the control microcomputer will be described.
<Specific example of monitoring method of sub-microcomputer 6 by first main microcomputer 3>
<Example 4>
The first main microcomputer 3 checks the watchdog counter signal of the virtual CPU (A) by the sub-microcomputer 6, and if the first main microcomputer 3 determines that the sub-microcomputer 6 is operating abnormally, The virtual CPU (A) is reset and the first main microcomputer 3 is reset by itself.
<Example 5>
The simple calculation processing acquired in the lock step by the virtual CPU (A) of the sub-microcomputer 6 described in <Example 3> of the above-described embodiment is also checked on the first main microcomputer 3 side. The virtual CPU (A) is reset and the first main microcomputer 3 is reset by itself.

このような場合、第1メインマイコン3は仮想CPU(A)が正常動作していないと判断したときには、この旨を他の第2メインマイコン4、第3メインマイコン5に通知する。すると、第2メインマイコン4、第3メインマイコン5は仮想CPU(A)が正常動作していないことを認識できるため、第2メインマイコン4、第3メインマイコン5による制御システムへの悪影響を軽減できる。   In such a case, when the first main microcomputer 3 determines that the virtual CPU (A) is not operating normally, it notifies the other second main microcomputer 4 and the third main microcomputer 5 of this fact. Then, since the second main microcomputer 4 and the third main microcomputer 5 can recognize that the virtual CPU (A) is not operating normally, the adverse effect of the second main microcomputer 4 and the third main microcomputer 5 on the control system is reduced. it can.

このとき、第1メインマイコン3は、システムI/F3bを介してサブマイコン6の仮想CPU(A)、仮想CPU(B)をリセット指示し、仮想CPU(A)、仮想CPU(B)を共にリセットすると良い。すると、リセット後には、仮想CPU(A)および仮想CPU(B)による第2メインマイコン4、第3メインマイコン5の制御状態の監視処理について正常に実施できる。   At this time, the first main microcomputer 3 instructs the virtual CPU (A) and virtual CPU (B) of the sub-microcomputer 6 to be reset via the system I / F 3b, and both the virtual CPU (A) and virtual CPU (B) are instructed. It is good to reset. Then, after the reset, the monitoring process of the control state of the second main microcomputer 4 and the third main microcomputer 5 by the virtual CPU (A) and the virtual CPU (B) can be normally performed.

前述の<例4>、<例5>では、第1メインマイコン3によるサブマイコン6の監視例を挙げたが、第2メインマイコン4または第3メインマイコン5がサブマイコン6を監視する場合も同様である。   In the above <Example 4> and <Example 5>, the monitoring example of the sub-microcomputer 6 by the first main microcomputer 3 is given. However, the second main microcomputer 4 or the third main microcomputer 5 may monitor the sub-microcomputer 6. It is the same.

また、比較ユニット6cが第1命令実行部6aおよび第2命令実行部6bの演算結果の不一致を検出した場合、第1命令実行部6aおよび第2命令実行部6bがリセットされる構成にしてもよい。その場合、第1メインマイコン3、第2メインマイコン4へ事前通知しても良い。   Further, when the comparison unit 6c detects a mismatch between the operation results of the first instruction execution unit 6a and the second instruction execution unit 6b, the first instruction execution unit 6a and the second instruction execution unit 6b are reset. Good. In that case, the first main microcomputer 3 and the second main microcomputer 4 may be notified in advance.

サブマイコン6が搭載する第1命令実行部6a、第2命令実行部6bはこれら2つに限られない。また、第1命令実行部6a、第2命令実行部6bで行われる仮想CPUの数も前述実施例で示された数に限られない。第1〜第3メインマイコン3〜5とサブマイコン6は、通信接続されても、1つの基板内に混在で構成され配線で接続されていても良い。また、第1〜第3メインマイコン3〜5にも、ロックステップ技術を適用してもよい。   The first instruction execution unit 6a and the second instruction execution unit 6b installed in the sub-microcomputer 6 are not limited to these two. Further, the number of virtual CPUs executed by the first instruction execution unit 6a and the second instruction execution unit 6b is not limited to the number shown in the above-described embodiment. The first to third main microcomputers 3 to 5 and the sub-microcomputer 6 may be communicably connected or may be mixed in one board and connected by wiring. Further, the lock step technique may be applied to the first to third main microcomputers 3 to 5.

図面中、1は統合ECU(電子制御ユニット)、2は共通電源回路、3は第1メインマイコン(請求項でいう第1マイコン)、4は第2メインマイコン(請求項でいう第3マイコン)、5は第3メインマイコン、6はサブマイコン(請求項でいう第2マイコン)、6aは第1命令実行部、6bは第2命令実行部、6cは比較ユニット(比較部)、6dはシステムインタフェース回路、7はエンジン制御ECU、8はブレーキ制御ECU、9はボディ制御ECU、10は監視用のECUを示す。   In the drawings, 1 is an integrated ECU (electronic control unit), 2 is a common power supply circuit, 3 is a first main microcomputer (first microcomputer in the claims), and 4 is a second main microcomputer (third microcomputer in the claims). 5 is a third main microcomputer, 6 is a sub-microcomputer (second microcomputer in the claims), 6a is a first instruction execution unit, 6b is a second instruction execution unit, 6c is a comparison unit (comparison unit), and 6d is a system. An interface circuit, 7 is an engine control ECU, 8 is a brake control ECU, 9 is a body control ECU, and 10 is a monitoring ECU.

Claims (7)

車両制御を行う第1マイコンと、
少なくとも2つ以上の命令実行部および比較部を用いてロックステップ処理により前記命令実行部の演算結果を互いに比較する第2マイコンと、を備え、
前記第2マイコンは、仮想的なCPUを構築する仮想CPU構築手段と、当該仮想CPU構築手段により構築された少なくとも第1仮想CPU、第2仮想CPUとを備え、
前記第2マイコンの前記第1仮想CPUは、前記ロックステップ処理により少なくとも前記第1マイコンによる制御状態を監視し、前記第1マイコンの制御状態が正常でないと判断した場合、前記第1マイコンをリセットすることを特徴とする電子制御ユニット。 A first microcomputer for controlling the vehicle;
A second microcomputer that compares the operation results of the instruction execution unit with each other by lockstep processing using at least two or more instruction execution units and a comparison unit;
The second microcomputer includes virtual CPU construction means for constructing a virtual CPU, and at least a first virtual CPU and a second virtual CPU constructed by the virtual CPU construction means,
The first virtual CPU of the second microcomputer monitors at least the control state of the first microcomputer by the lock step process, and resets the first microcomputer when determining that the control state of the first microcomputer is not normal. An electronic control unit. 前記第1マイコンが行う車両制御とは異なる種類の車両制御を行う第3マイコンとを備え、
前記第2仮想CPUは、前記第3マイコンによる制御状態を監視することを特徴とする請求項1記載の電子制御ユニット。 A third microcomputer for performing vehicle control of a type different from the vehicle control performed by the first microcomputer;
The electronic control unit according to claim 1, wherein the second virtual CPU monitors a control state by the third microcomputer. 前記第1マイコンは、前記第1仮想CPUの制御状態を監視し、前記第1仮想CPUが正常ではないと判断した場合、前記第1仮想CPUのみをリセットすることを特徴とする請求項1または2記載の電子制御ユニット。   The first microcomputer monitors a control state of the first virtual CPU and resets only the first virtual CPU when it is determined that the first virtual CPU is not normal. 3. The electronic control unit according to 2. 前記第1マイコンは、前記第1仮想CPUの制御状態を監視し、前記第1仮想CPUが正常でないと判断した場合、当該第1仮想CPUが正常でない旨を前記第3マイコンに通知し、前記第1仮想CPUおよび前記第2仮想CPUをリセットすることを特徴とする請求項2記載の電子制御ユニット。   The first microcomputer monitors the control state of the first virtual CPU, and if it is determined that the first virtual CPU is not normal, notifies the third microcomputer that the first virtual CPU is not normal, The electronic control unit according to claim 2, wherein the first virtual CPU and the second virtual CPU are reset. 前記第1仮想CPUは、前記第1マイコンの制御状態と前記第3マイコンの制御状態との双方の制御情報を用いることによって前記第1マイコンの監視処理を実施することを特徴とする請求項2または4記載の電子制御ユニット。   The first virtual CPU performs monitoring processing of the first microcomputer by using control information of both the control state of the first microcomputer and the control state of the third microcomputer. Or the electronic control unit of 4. 前記第2マイコンは、前記第1仮想CPUで前記第1マイコンの制御状態を監視するとともに、前記第1仮想CPUとは異なる仮想CPUで前記第1マイコンとは異なるシステムの処理を実行することを特徴とする請求項1〜5の何れかに記載の電子制御ユニット。   The second microcomputer monitors the control state of the first microcomputer by the first virtual CPU, and executes processing of a system different from the first microcomputer by a virtual CPU different from the first virtual CPU. 6. The electronic control unit according to claim 1, wherein the electronic control unit is characterized in that: 車両制御を行う第1マイコンと、
前記第1マイコンが行う車両制御とは異なる種類の車両制御を行う第3マイコンと、
少なくとも2つ以上の命令実行部および比較部を用いてロックステップ処理により前記命令実行部の演算結果を互いに比較する第2マイコンと、を備え、
前記第2マイコンは、前記ロックステップ処理により前記第1マイコンの制御状態を監視し前記第1マイコンの制御状態が正常でないと判断した場合に前記第1マイコンをリセットするとともに、前記第3マイコンの制御状態を監視し前記第3マイコンの制御状態が正常でないと判断した場合に前記第3マイコンをリセットすることを特徴とする電子制御ユニット。 A first microcomputer for controlling the vehicle;
A third microcomputer for performing vehicle control of a type different from the vehicle control performed by the first microcomputer;
A second microcomputer that compares the operation results of the instruction execution unit with each other by lockstep processing using at least two or more instruction execution units and a comparison unit;
The second microcomputer monitors the control state of the first microcomputer by the lock step process and resets the first microcomputer when it is determined that the control state of the first microcomputer is not normal. An electronic control unit characterized in that when the control state is monitored and it is determined that the control state of the third microcomputer is not normal, the third microcomputer is reset.
JP2011159875A 2011-07-21 2011-07-21 Electronic control unit Active JP5541246B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011159875A JP5541246B2 (en) 2011-07-21 2011-07-21 Electronic control unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011159875A JP5541246B2 (en) 2011-07-21 2011-07-21 Electronic control unit

Publications (2)

Publication Number Publication Date
JP2013025570A true JP2013025570A (en) 2013-02-04
JP5541246B2 JP5541246B2 (en) 2014-07-09

Family

ID=47783844

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011159875A Active JP5541246B2 (en) 2011-07-21 2011-07-21 Electronic control unit

Country Status (1)

Country Link
JP (1) JP5541246B2 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016159672A (en) * 2015-02-27 2016-09-05 日立オートモティブシステムズ株式会社 Mutual monitoring module for vehicle
KR20170134710A (en) * 2015-04-20 2017-12-06 아우토리브 디벨롭먼트 아베 Vehicle safety electronic control system
CN108139959A (en) * 2015-10-02 2018-06-08 奥托立夫开发公司 Vehicle safety electronic control system
US10007570B2 (en) 2013-12-04 2018-06-26 Mitsubishi Electric Corporation Monitoring unit, control system, and computer readable medium
WO2018225352A1 (en) * 2017-06-05 2018-12-13 日立オートモティブシステムズ株式会社 Vehicle control apparatus and vehicle control system
WO2019159615A1 (en) * 2018-02-14 2019-08-22 日立オートモティブシステムズ株式会社 Vehicle monitoring system
WO2023277159A1 (en) * 2021-07-02 2023-01-05 株式会社デンソー On-board device and start-up method

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6139138A (en) * 1984-07-31 1986-02-25 Nec Corp Multiplexing system
JPS63268042A (en) * 1987-04-27 1988-11-04 Fujitsu Ltd Mutual monitor system for microcomputer
JPH0237433A (en) * 1988-07-27 1990-02-07 Meidensha Corp Monitor method for multiprocessor system
JP2009505186A (en) * 2005-08-08 2009-02-05 ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツング Function monitoring method and function monitoring apparatus for computer system
JP2011022934A (en) * 2009-07-17 2011-02-03 Toyota Motor Corp Electronic control unit and method for detecting failure

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6139138A (en) * 1984-07-31 1986-02-25 Nec Corp Multiplexing system
JPS63268042A (en) * 1987-04-27 1988-11-04 Fujitsu Ltd Mutual monitor system for microcomputer
JPH0237433A (en) * 1988-07-27 1990-02-07 Meidensha Corp Monitor method for multiprocessor system
JP2009505186A (en) * 2005-08-08 2009-02-05 ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツング Function monitoring method and function monitoring apparatus for computer system
JP2011022934A (en) * 2009-07-17 2011-02-03 Toyota Motor Corp Electronic control unit and method for detecting failure

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10007570B2 (en) 2013-12-04 2018-06-26 Mitsubishi Electric Corporation Monitoring unit, control system, and computer readable medium
JP2016159672A (en) * 2015-02-27 2016-09-05 日立オートモティブシステムズ株式会社 Mutual monitoring module for vehicle
KR102033387B1 (en) * 2015-04-20 2019-11-08 비오니어 스웨덴 에이비 Vehicle safety electronic control system
KR20170134710A (en) * 2015-04-20 2017-12-06 아우토리브 디벨롭먼트 아베 Vehicle safety electronic control system
CN107531250A (en) * 2015-04-20 2018-01-02 奥托立夫开发公司 Vehicle safety electronic control system
US11360864B2 (en) 2015-04-20 2022-06-14 Veoneer Sweden Ab Vehicle safety electronic control system
JP2018528111A (en) * 2015-04-20 2018-09-27 オートリブ ディベロップメント エービー Vehicle safety electronic control system
JP2018531451A (en) * 2015-10-02 2018-10-25 オートリブ ディベロップメント エービー Vehicle safety electronic control system
US10417153B2 (en) 2015-10-02 2019-09-17 Veoneer Sweden Ab Vehicle safety electronic control system
CN108139959A (en) * 2015-10-02 2018-06-08 奥托立夫开发公司 Vehicle safety electronic control system
WO2018225352A1 (en) * 2017-06-05 2018-12-13 日立オートモティブシステムズ株式会社 Vehicle control apparatus and vehicle control system
JPWO2018225352A1 (en) * 2017-06-05 2020-03-19 日立オートモティブシステムズ株式会社 Vehicle control device and vehicle control system
US11173922B2 (en) 2017-06-05 2021-11-16 Hitachi Astemo, Ltd. Vehicle control device and vehicle control system
WO2019159615A1 (en) * 2018-02-14 2019-08-22 日立オートモティブシステムズ株式会社 Vehicle monitoring system
WO2023277159A1 (en) * 2021-07-02 2023-01-05 株式会社デンソー On-board device and start-up method

Also Published As

Publication number Publication date
JP5541246B2 (en) 2014-07-09

Similar Documents

Publication Publication Date Title
JP5541246B2 (en) Electronic control unit
JP6714611B2 (en) Method and apparatus for providing redundancy in a vehicle electronic control system
EP2573636B1 (en) Multi-channel control switchover logic
US9372774B2 (en) Redundant computing architecture
JP6525906B2 (en) Method and apparatus for handling safety critical errors
US10525915B2 (en) Redundant vehicle power supply control systems and methods
US8996927B2 (en) Electronic control device with watchdog timer and processing unit to diagnose malfunction of watchdog timer
US10254733B2 (en) Motor control device
JP2009166549A (en) Electronic control device for vehicle
KR20140132390A (en) Method for improving the functional security and increasing the availability of an electronic control system, and electronic control system
EP2975724A1 (en) Abnormality diagnosis device
US20210146939A1 (en) Device and method for controlling a vehicle module
CN109677418B (en) Functional module, control unit for operating an auxiliary system and operating device
US9221492B2 (en) Method for operating an electrical power steering mechanism
CN108146250B (en) Automobile torque safety control method based on multi-core CPU
JP2016128308A (en) Electric power unit
KR102119766B1 (en) Controller for vehicle and operating method thereof
KR102224076B1 (en) Apparatus for diagnosing reserving charging function of battery and method thereof
JP2018131030A (en) Electronic controller
JP2011126327A (en) On-vehicle controller
JP2013193721A (en) Common power supply device
JP2005208939A (en) System for monitoring power supply voltage of microcomputer
US20130338846A1 (en) Secure device for converting digital controls into analog power signals for aircraft
CN112987896A (en) Power supply device, power supply method and electronic control system
JP2015072569A (en) Control device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130828

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140312

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140408

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140421

R151 Written notification of patent or utility model registration

Ref document number: 5541246

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250