JP2015108969A - 情報処理装置 - Google Patents

情報処理装置 Download PDF

Info

Publication number
JP2015108969A
JP2015108969A JP2013251492A JP2013251492A JP2015108969A JP 2015108969 A JP2015108969 A JP 2015108969A JP 2013251492 A JP2013251492 A JP 2013251492A JP 2013251492 A JP2013251492 A JP 2013251492A JP 2015108969 A JP2015108969 A JP 2015108969A
Authority
JP
Japan
Prior art keywords
microcomputer
monitoring
sub
main microcomputer
main
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013251492A
Other languages
English (en)
Inventor
航介 渡邉
Kosuke Watanabe
航介 渡邉
真人 久米
Masato Kume
真人 久米
吉則 長谷部
Yoshinori Hasebe
吉則 長谷部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2013251492A priority Critical patent/JP2015108969A/ja
Publication of JP2015108969A publication Critical patent/JP2015108969A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

【課題】機能診断の対象となる監視装置の数が増加した場合であっても、各監視装置の機能診断を含むチェックすべき全ての項目の機能診断を漏れなく実施しつつ、プライマリチェックにおける機能診断時間を所定のデッドラインまでに収めることが可能な情報処理装置を提供すること。
【解決手段】車両に搭載され、マイコンが正常に動作しているか否かを監視する第1の監視装置、及び第2の監視装置を備えた情報処理装置であって、前記マイコンは、イグニッションスイッチがオフにされた場合に、所定の信号の出力を停止し、前記第1の監視装置は、前記所定の信号の出力が停止されている継続時間が閾値を超えた場合に、前記マイコンをリセットし、前記第2の監視装置は、イグニッションスイッチがオフにされた場合に、前記マイコンがリセットされたか否かを判定することにより、前記第1の監視装置による前記マイコンの監視機能の異常を検知することを特徴とする。
【選択図】図7

Description

本発明は、複数の監視装置でマイコンを監視する情報処理装置に関する。
車載された電子制御装置(ECU)のマイコンが動作可能であることを確認するため、例えば、イグニッションオン(IG−ON)を契機にしてマイコンの機能診断が行われている。このような機能診断をプライマリチェックという場合がある。
ここで、IG−ON後、マイコンが起動処理を完了させるまでの時間にはデッドラインが設けられる場合があるため、デッドライン内にプライマリチェックを終了させる技術が提案されている(例えば、特許文献1)。特許文献1には、デッドラインまでの間にプライマリチェックが終了するようにタスクをスケジューリングする電子制御装置が開示されている。
特開2012−103802号公報
ところで、プライマリチェックにおいて、マイコンが正常か異常かを監視する装置(監視装置)の監視機能が機能診断される場合がある。また、1つの監視装置の監視機能が正常でなくてもマイコンを監視できるようにするため、電子制御装置に複数の監視装置を配置する場合がある。
しかしながら、電子制御装置が、複数の監視装置の機能診断を時間的に連続して行おうとすると、特許文献1のようにスケジューリングしてもデッドラインを守れない場合がある。例えば、メインマイコンの監視をサブマイコンだけでなく他の監視装置でも行う場合、サブマイコンの監視機能及び他の監視装置の監視機能の機能診断に要する合計処理時間がそもそもデッドラインを超える場合がある。
また、特許文献1のようにスケジューリングすることで、複数の監視装置の機能診断をデッドラインまでに実施可能な場合であっても、タスクのスケジューリングにより毎回実施されないプライマリチェック項目が発生する場合がある。
また、これらを解決するため、デッドラインを延長すると、電子制御装置の通常処理への移行に更なる時間を要することになるため、車両性能が低下したり、他の電子制御装置(ECU)との調整が必要になるという別の不都合が生じる場合がある。
そこで、上記課題に鑑み、機能診断の対象となる監視装置の数が増加した場合であっても、各監視装置の機能診断を含むチェックすべき全ての項目の機能診断を漏れなく実施しつつ、プライマリチェックにおける機能診断時間を所定のデッドラインまでに収めることが可能な情報処理装置を提供することを目的とする。
上記目的を達成するため、一実施形態において、情報処理装置は、
車両に搭載され、マイコンが正常に動作しているか否かを監視する第1の監視装置、及び第2の監視装置を備えた情報処理装置であって、
前記マイコンは、
イグニッションスイッチがオフにされた場合に、所定の信号の出力を停止し、
前記第1の監視装置は、
前記所定の信号の出力が停止されている継続時間が閾値を超えた場合に、前記マイコンをリセットし、
前記第2の監視装置は、
イグニッションスイッチがオフにされた場合に、前記マイコンがリセットされたか否かを判定することにより、前記第1の監視装置による前記マイコンの監視機能の異常を検知することを特徴とする。
本実施の形態によれば、機能診断の対象となる監視装置の数が増加した場合であっても、各監視装置の機能診断を含むチェックすべき全ての項目の機能診断を漏れなく実施しつつ、プライマリチェックにおける機能診断時間を所定のデッドラインまでに収めることが可能な情報処理装置を提供することができる。
電子制御装置の構成の一例を示す概略構成図である。 メインマイコンが電源をOFFする(スリープ状態になる)処理手順の一例を示すフローチャートである。 監視ICがメインマイコンを監視する処理手順の一例を示すフローチャートである。 サブマイコンが、監視ICによるメインマイコンの監視機能を診断する処理手順の一例を示すフローチャートである。 監視ICが、サブマイコンによるメインマイコンの監視機能を診断する処理手順の一例を示すフローチャートである。 メインマイコンの監視機能の状態判定手法の一例を説明する図である。 メインマイコンの監視機能が正常な場合における電子制御装置の処理動作の一例を示すタイミングチャートである。 メインマイコンの監視機能が異常な場合における電子制御装置の処理動作の一例を示すタイミングチャートの一例である。
以下、図面を参照して発明を実施するための形態について説明する。
図1は、電子制御装置100の構成の一例を示す概略構成図である。以下、電子制御装置100の構成について説明をする。
電子制御装置100は、メインマイコン10、サブマイコン20、及び、監視IC30を含む。メインマイコン10とサブマイコン20は、一般的な情報処理装置のハードウェア構成であってよい。例えば、バスに接続されたCPU、ROM、RAM、I/O、等を有する。
メインマイコン10は、イグニッションオン(IG−ON)状態において、電子制御装置100の主たる機能を提供するマイコンである。メインマイコン10の機能は、電子制御装置100の種類によって様々であり、限定されない。例えば、電子制御装置100がブレーキECUの場合、各輪のホイルシリンダ圧を制御する処理等を行う。なお、IG−ON/OFFは、電気モータを動力源とする車両やハイブリッド車におけるメインシステムのON/OFF(Ready−ON/OFF)も含む概念として使用する。
メインマイコン10は、監視IC30に対して、電源供給を要求する電源保持信号を出力し、該電源保持信号がONの場合、監視IC30を経由して出力される所定電圧(例えば、5V)の電力がメインマイコン10に入力(供給)される。また、メインマイコン10は、スリープ状態に移行する際、サブマイコン20に対しスリープ状態移行信号を出力する。
また、メインマイコン10は、サブマイコン20及び監視IC30により正常に動作しているか否かが監視される。具体的には、WDパルス生成部11を有し、WD(Watchdog)パルス(周期的にHiとLoを繰り返す信号)をサブマイコン20と監視IC30に出力する。そして、該WDパルスに基づいて、マイコン20と監視IC30によるメインマイコン10の監視が行われる。また、メインマイコン10は、自身をリセットするリセット処理部12を有し、サブマイコン20又は監視IC30からリセット信号が入力された場合、自身をリセットする。具体的には、サブマイコン20又は監視IC30によりメインマイコン10の異常が検知された場合、サブマイコン20又は監視IC30からメインマイコン10にリセット信号が出力され、メインマイコン10は、当該リセット信号に応じて、自身をリセットする。
なお、メインマイコン10は、サブマイコン20から出力されるWDパルスが周期的にHiとLoとが出力されているか否かに基づき、サブマイコン20が正常に動作しているか否かを監視することができる。但し、当該監視を行うか否かは任意である。
サブマイコン20は、メインマイコン10から受信したWDパルスに基づいて、メインマイコン10が正常に動作しているか否かを監視する。該WDパルスは周期的にHiとLoを繰り返す信号なので、サブマイコン20は、メインマイコン10から出力されるWDパルスとして周期的にHiとLoが出力されているか否かに基づきメインマイコン10が正常に動作しているか否かを監視することができる。サブマイコン20は、メインマイコン10をリセットする機能を有し、メインマイコン10から受信したWDパルスが(HiからLo又はLoからHiへ)反転しない等の異常を検知すると、メインマイコン10にリセット信号を出力する。なお、プライマリチェックにおいて、サブマイコン20が、サブマイコン20自身によるメインマイコン10の監視機能を機能診断する際には、当該リセット機能が正常か否かの診断が含まれる。
また、サブマイコン20は、監視IC30により正常に動作しているか否かが監視される。具体的には、WDパルス生成部21を有し、WDパルスを(メインマイコン10と)監視IC30に出力する。そして、該WDパルスに基づいて、監視IC30によるサブマイコン20の監視が行われる。また、サブマイコン20は自身をリセットするリセット処理部22を有し、監視IC30からリセット信号が入力された場合、自身をリセットする。具体的には、監視IC30によりサブマイコン20の異常が検知された場合、監視IC30からサブマイコン20にリセット信号が出力され、サブマイコン20は、当該リセット信号に応じて、自身をリセットする。
なお、サブマイコン20からメインマイコン10に出力されるリセット機能確認信号は、プライマリチェックにおいて、メインマイコン10のリセット機能が正常に動作しているか否かを診断するための信号である。
監視IC30は、メインマイコン監視部31、サブマイコン監視部32、電源回路33等を含む。
メインマイコン監視部31は、メインマイコン10から受信したWDパルスに応じて、メインマイコン10の動作の監視を行う。具体的には、メインマイコン10から受信したWDパルスに基づき、メインマイコン10の異常を検知すると、メインマイコン10にリセット信号を出力することにより、メインマイコン10をリセットする。なお、後述するように、IG−OFF時にサブマイコン20により機能診断されるのは、メインマイコン監視部31である。
サブマイコン監視部32は、サブマイコン20から受信したWDパルスに応じて、サブマイコン20の動作の監視を行う。具体的には、サブマイコン20から受信したWDパルスに基づき、サブマイコン20の異常を検知すると、サブマイコン20にリセット信号を出力することにより、サブマイコン20をリセットする。
電源回路33はイグニッション(IG)信号又は電源保持信号の少なくとも一方がONの場合、メインマイコン10に電源を出力する。
次いで、メインマイコン10、サブマイコン20、及び監視IC30の動作について説明をする。
まず、メインマイコン10による自身の電源OFF処理について説明をする。
図2は、メインマイコン10が電源OFFする(スリープ状態になる)処理手順の一例を示すフローチャートである。なお、当該処理は、例えば、IG−OFF時に実行されてよい。
図2を参照するに、メインマイコン10は、スリープ状態移行信号をサブマイコン20へ出力する(ステップS10)。例えば、メインマイコン10は、IG−OFF状態になり、終了処理が終了するとスリープ状態に移行するため、スリープ状態移行信号によりサブマイコン20にスリープ状態に移行することを通知する。なお、終了処理には、アクチュエータを安全に停止させる処理、電子制御装置100のハードウェアへのアクセスを適切に終了させる処理、電子制御装置100の設定を記憶する処理等が含まれてよい。
続いて、メインマイコン10は、WDパルスの生成を停止する(ステップS20)。以降、監視IC30及びサブマイコン20に入力されるWDパルスは、Lo状態(またはHi状態)が継続する信号になる。
続いて、メインマイコン10は、監視IC30からリセット信号を受信するまで待機する(ステップS30)。後述するように、サブマイコン20と監視IC30において、メインマイコン10から受信したWDパルスの未反転時間(Hi状態又はLo状態のままの時間)に基づき、メインマイコン10が正常であるか否かを判断される。その際、サブマイコン20と監視IC30で、当該判断のための閾値が異なっており、メインマイコン10はサブマイコン20からのリセット信号を先に受信する。なお、サブマイコン20に異常が生じている場合や後述するサブマイコン20が、監視IC30によるメインマイコン10の監視機能の診断を行う場合は、監視IC30からのリセット信号を受信する。
メインマイコン10は、リセット信号を受信した場合(ステップS30のY)、リセットされ、再起動する。そのため、メインマイコン10が出力していた電源保持信号はOFFになる(ステップS40)。
すると、IG−OFF状態、かつ、電源保持信号OFFとなるため、電源回路33からの電力供給が停止(電源OFF)され、メインマイコン10が停止する(ステップS50)。なお、メインマイコン10とサブマイコン20は定期的な通信を行っているが、該電源OFFによりこのデータ通信も停止される。
次に、監視IC30によるメインマイコン10の監視処理について説明をする。
図3は、監視IC30がメインマイコン10を監視する処理手順の一例を示すフローチャートである。なお、IG−ON以降、当該処理によるメインマイコン10の常時監視が行われてよい。
監視IC30のメインマイコン監視部31は、メインマイコン10から受信したWDパルスの未反転時間を計測する(ステップS110)。メインマイコン10に異常が発生した場合、HiとLoとを繰り返すWDパルスが正常に出力されないため、未反転時間を計測することで、メインマイコン10の異常を検知することができる。具体的には、未反転時間が閾値T1より大きいか否かを繰り返し判定する(ステップS120)ことで、メインマイコン10における異常の発生を監視する。そして、未反転時間が閾値T1より大きい場合(ステップS120のY)、メインマイコン10に異常が発生したと判断して、メインマイコン監視部31はメインマイコン10にリセット信号を出力する(ステップS130)。
なお、サブマイコン20も図3と同様の処理手順で、メインマイコン10の監視処理を行ってよい。その際、サブマイコン20は、メインマイコン10から受信したWDパルスの未反転時間に対する閾値T2(<T1)に基づき、リセット信号を出力する。
次に、サブマイコン20の動作、即ち、監視IC30によるメインマイコン10の監視機能を診断する処理について説明をする。具体的には、サブマイコン20は、上述した図3のステップS130に対応する監視IC30によるリセットが正常に行われているか否かに基づき、監視IC30によるメインマイコン10の監視機能が正常であるか否かの機能診断を行うことができる。
図4は、サブマイコン20が、監視IC30によるメインマイコン10の監視機能を診断する処理手順の一例を示すフローチャートである。
当該処理手順は、IG−OFF後、スタートする(ステップS210)。
サブマイコン20は、メインマイコン10からスリープ状態への移行を通知するスリープ状態移行信号を受信すると(ステップS220)、メインマイコン10から受信したWDパルスの未反転時間と比較するための閾値T2を閾値T3に変更する(ステップS230)。以下、変更後の閾値T3を監視機能診断用閾値と呼ぶことする。ここで、監視機能診断用閾値T3は、閾値T1よりも大きい値に設定される(T2<T1<T3)。これは、閾値T2が監視IC30の閾値T1よりも短く設定されているので、図3の処理手順に沿って、監視IC30がメインマイコン10をリセットする前にサブマイコン20がメインマイコン10をリセットすることを防ぐためである。
そして、サブマイコン20は、監視機能診断用閾値T3よりもメインマイコン10から受信したWDパルスの未反転時間の方が長いか否かを判定する(ステップS240)。IG−OFF時において、メインマイコン10がスリープ状態移行信号をサブマイコン20に出力した場合、メインマイコン10によるWDパルスの生成が停止されているので、該WDパルスの未反転時間は徐々に長くなる。その過程で、未反転時間が閾値T1を超えることにより、監視IC30がメインマイコン10をリセットするので、通常、未反転時間が監視機能診断用閾値T3を超えるまでにメインマイコン10からサブマイコン20へのデータ通信が途絶する。
そこで、未反転時間が監視機能診断用閾値T3以下の場合(ステップS240のN)、サブマイコン20はさらにメインマイコン10からの通信データを確認する(ステップS250)。
メインマイコン10からの通信データがある場合(ステップS260のN)、未反転時間が監視機能診断用閾値T3を超えるまで該通信データの確認を繰り返す。
メインマイコン10からの通信データがない場合(ステップS260のY)、メインマイコン10は規定時間内に停止したと判断できるので、サブマイコン20は監視IC30によるメインマイコン10の監視機能が正常であると判定(診断)する(ステップS270)。
一方、未反転時間が監視機能診断用閾値T3を超えた場合(ステップS240のY)、メインマイコン10はリセットされていないので、サブマイコン20は監視IC30によるメインマイコン10の監視機能が異常であると判定(診断)する(ステップS280)。
そして、サブマイコン20はメインマイコン10にリセット信号を出力する(S290)。これにより、監視IC30によるリセット処理が実行されていないメインマイコン10をリセットすることができる。
なお、サブマイコン20は、異常の有無を問わず、監視IC30によるメインマイコン10の監視機能診断結果をサブマイコン20内の不揮発メモリに記憶する。
次に、電子制御装置100におけるサブマイコン20によるメインマイコン10の監視機能の診断を含むサブマイコン20及び監視IC30によるメインマイコン10の監視機能全体を診断する処理を説明する。
図5は、サブマイコン20及び監視IC30によるメインマイコン10の監視機能全体を診断する処理手順の一例を示すフローチャートである。
まず、車両は、例えば、運転者のイグニッションスイッチの操作によりIG−ON状態になる(ステップS310)。
すると、サブマイコン20は、プライマリチェックにおいて、サブマイコン20自身によるメインマイコン10の監視機能を診断する(ステップS320)。具体的には、プライマリチェックにより、サブマイコン20によるメインマイコン10をリセットする機能が正常か否か、サブマイコン20とメインマイコン10との通信が正常か否かを等に基づき、サブマイコン20による監視機能が正常であるか否かが判断(診断)される。当該監視機能診断結果は、サブマイコン20内の不揮発メモリに記憶する。
続いて、メインマイコン10は、CPU間通信等を介して、ステップS320にてサブマイコン20の不揮発性メモリに記憶された、サブマイコン20によるメインマイコン10の監視機能診断結果を取得する(ステップS330)。また、メインマイコン10は、図4にて説明した監視IC30によるメインマイコン10の監視機能診断結果をサブマイコン20内の不揮発メモリから同様に取得する(ステップS340)。そして、メインマイコン10は、メインマイコン10の監視機能の状態判定を行う(ステップS350)。即ち、サブマイコン20によるメインマイコン10の監視機能診断結果(正常/異常)、監視IC30によるメインマイコンの監視機能診断結果(正常/異常)の組み合わせから、メインマイコン10の監視機能の状態判定を行う。
ここで、メインマイコン10の監視機能の状態判定手法の一例として、メインマイコン10の監視機能の状態判定表を図6に示す。図6を参照するに、メインマイコン10の監視機能の状態が良好なほど高い数値が割り当てられている。具体的には、監視IC30によるメインマイコン10の監視機能とサブマイコン20によるメインマイコン10の監視機能の両方が正常である場合に、最も高い数値「4」が割り当てられる。また、両方が異常である場合に最も低い数値「0」が割り当てられる。また、監視IC30による監視機能のみが正常な場合、「2」が割り当てられ、サブマイコン20による監視機能のみが正常な場合、「1」が割り当てられる。
次いで、電子制御装置100における、監視IC30及びサブマイコン20によるメインマイコン10の監視機能診断処理の全体動作について、図7、図8のタイミングチャートを用いて、具体的に説明をする。
図7は、監視IC30によるメインマイコン10の監視機能が正常な場合における電子制御装置100の処理動作の一例を示すタイミングチャートであり、図8は監視IC30によるメインマイコン10の監視機能が異常な場合における電子制御装置100の処理動作の一例を示すタイミングチャートである。図7、図8において、図示した信号は上から順番に、a)IG信号、b)スリープ状態移行信号、c)WDパルス(メインマイコン10)、d)リセット信号(監視IC30)、e)リセット信号(サブマイコン20)、f)通信データ有無(メインマイコン10→サブマイコン20)、g)閾値(サブマイコン20)、h)未反転時間(メインマイコン10)、i)監視機能診断結果(監視IC30)、j)監視機能診断結果(サブマイコン20)、k)メインマイコン10の監視機能状態、である。
まず、図7(監視IC30によるメインマイコン10の監視機能が正常な場合)について、時刻t0から時刻t5にかけての時間経過に沿って、タイミングチャートの説明を行う。
時刻t0:運転者によるイグニッションスイッチのオフ操作によりIG信号がOFF(IG−OFF)になる。
時刻t1:メインマイコン10から出力されたスリープ状態移行信号により、サブマイコン20が閾値T2を監視機能診断用閾値T3に変更する(図中A)。なお、上述のとおり、T2<T1<T3である。
時刻t2:メインマイコン10のWDパルスの未反転時間が閾値T1を超えるので、監視IC30によるメインマイコン10の監視機能によりメインマイコン10にリセット信号が出力される(図中B)。また、メインマイコン10がリセットされることにより、メインマイコン10からサブマイコン20への通信データが途絶する(図中C)。また、WDパルスの未反転時間が監視機能診断用閾値T3以下なので、サブマイコン20は、メインマイコン10が監視機能診断用閾値T3以内にリセットされたと判断し、監視IC30によるメインマイコン10の監視機能は「正常」であると判定する。即ち、監視IC30による監視機能診断結果は、正常であることを示すHi信号を示す(図中D)。
時刻t3:運転者によるイグニッションスイッチのオン操作によりIG信号がON(IG−ON)になる。これにより、サブマイコン20は、プライマリチェックを開始する。具体的には、メインマイコン10からのリセット要求に応じて、サブマイコン20がメインマイコン10にリセット信号を出力するか否かにより、サブマイコン20によるメインマイコン10の監視機能が正常に動作しているか否かを判断する。
時刻t4:サブマイコン20は、メインマイコン10からのリセット要求に応じて、リセット信号を出力する。これにより、メインマイコン10は一時的にWDパルスの生成を停止する。
時刻t5:サブマイコン20は、プライマリチェックにおいて、サブマイコン20による監視機能は「正常」であると判定する(図中E)。監視IC30による監視機能診断結果とサブマイコン20による監視機能診断結果が共に正常なので、両診断結果を取得したメインマイコン10は、メインマイコン10の監視機能の状態は「4(2重監視状態)」であると判定する(図中F)。
次に、図8(監視IC30によるメインマイコン10の監視機能が異常な場合)について、時刻t0から時刻t6にかけての時間経過に沿って、タイミングチャートの説明を行う。
時刻t0:運転者によるイグニッションスイッチのオフ操作によりIG信号がOFF(IG−OFF)になる。
時刻t1:図7における時刻t1と同様である。
時刻t2:メインマイコン10のWDパルスの未反転時間が閾値T1を超えるので、監視IC30によるメインマイコン10の監視機能によりメインマイコン10にリセット信号が出力される(図中A)。しかし、リセット線の断線等により、メインマイコン10にリセット信号が入力されない。なお、監視IC30の異常として、WDパルスの信号線の断線、未反転時間の計測タイマの異常等によりそもそもリセット信号が出力されない場合もある。
時刻t3:メインマイコン10のWDパルスの未反転時間が増加し、監視機能診断用閾値T3に到達する(図中B)。しかし、メインマイコン10はリセットされていないので、通信データは途絶しておらず、メインマイコン10は監視機能診断用閾値T3以内にリセットされていないと判断することができる。そのため、サブマイコン20は、監視IC30によるメインマイコン10の監視機能は「異常」であると判定し、内部のRAM等に記憶する。即ち、監視IC30による監視機能診断結果は、異常であることを示すLo信号のままである(図中C)。また、サブマイコン20は、メインマイコン10にリセット信号を出力する(図中D)
時刻t4:図7における時刻t3と同様である。
時刻t5:図7における時刻t4と同様である。
時刻t6:サブマイコン20は、プライマリチェックでサブマイコン20自身による監視機能は「正常」であると判定する(図中E)。また、サブマイコン20による監視機能診断結果のみ正常なので、監視IC30は、メインマイコン10の監視機能の状態は「1」であると判定する(図中F)。
以上、本実施形態における電子制御装置100では、IG−OFF時、メインマイコン10が出力するWDパルスの未反転時間が閾値T1を超えた場合に、監視IC30がメインマイコン10にリセット信号を出力する。これに対して、サブマイコン20はメインマイコン10がリセットされているか否かを確認することで、監視IC30によるメインマイコン10に対する監視機能を診断することができる。また、IG−ON時には、サブマイコン20が通常のプライマリチェックを行い、サブマイコン20によるメインマイコン10に対する監視機能が診断される。
このように、IG−OFF時に、サブマイコン20が、監視IC30によるメインマイコン10の監視機能が正常か否かを判定することにより、プライマリチェック時のデッドラインを超えることなく、複数の監視装置(サブマイコン20及び監視IC30)それぞれによるメインマイコン10に対する監視機能を診断することができる。また、IG−OFF時において、追加されたメインマイコン10の監視装置(監視IC30)の機能診断を実施することにより、プライマリチェックにおけるチェック項目に影響を与えることがなく、例えば、タスク調整等によりチェックされない項目が生じることもない。
また、メインマイコン10に対する監視機能が二重化されるので、サブマイコン20と監視IC30のうち一方の監視機能が異常になったとしても、車両は走行することができる。そのため、例えば、メインマイコン10の監視機能の一方が異常になった場合、ワーニングランプ等により運転者に異常であることを通知することで、運転者はディーラー等に自走して車両を持ち込み、該車両を修理することができる。
また、プライマリチェックのデッドラインを延長する必要もないので、運転者によるイグニッションスイッチのオン操作からエンジン始動やメインシステムの起動までの時間が延長することによる運転者への違和感を抑制することができる。また、同様に、電子制御装置100にCAN(Controller Area Network)通信のゲートウェイ機能が統合されている場合において、デッドラインが延長されることによるCAN通信開始の遅延を防止することができる。
また、IG−OFFを契機に診断するので、IG−ON前には処理ができない電子制御装置であっても、監視IC30によるメインマイコン10の監視機能を診断することができる。
以上、本発明を実施するための形態について詳述したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
例えば、監視IC30は、3つ目のマイコンにより置き換えてもよい。また、3つ以上の監視装置(例えば、サブマイコンと2つの監視IC)を有していてもよい。この場合、メインマイコン10の監視機能を三重以上にすることができる。
また、上述した実施形態では、1つの電子制御装置100内にメインマイコン10の監視装置であるサブマイコン20と監視IC30が配置されていたが、サブマイコン20と監視IC30の少なくとも一方が電子制御装置100の外部に配置されていてもよい。
10 メインマイコン(マイコン)
20 サブマイコン(第2の監視装置)
30 監視IC(第1の監視装置)
100 電子制御装置(情報処理装置)

Claims (1)

  1. 車両に搭載され、マイコンが正常に動作しているか否かを監視する第1の監視装置、及び第2の監視装置を備えた情報処理装置であって、
    前記マイコンは、
    イグニッションスイッチがオフにされた場合に、所定の信号の出力を停止し、
    前記第1の監視装置は、
    前記所定の信号の出力が停止されている継続時間が閾値を超えた場合に、前記マイコンをリセットし、
    前記第2の監視装置は、
    イグニッションスイッチがオフにされた場合に、前記マイコンがリセットされたか否かを判定することにより、前記第1の監視装置による前記マイコンの監視機能の異常を検知することを特徴とする、
    情報処理装置。
JP2013251492A 2013-12-04 2013-12-04 情報処理装置 Pending JP2015108969A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013251492A JP2015108969A (ja) 2013-12-04 2013-12-04 情報処理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013251492A JP2015108969A (ja) 2013-12-04 2013-12-04 情報処理装置

Publications (1)

Publication Number Publication Date
JP2015108969A true JP2015108969A (ja) 2015-06-11

Family

ID=53439273

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013251492A Pending JP2015108969A (ja) 2013-12-04 2013-12-04 情報処理装置

Country Status (1)

Country Link
JP (1) JP2015108969A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018079737A (ja) * 2016-11-14 2018-05-24 日立オートモティブシステムズ株式会社 電子制御装置及びその診断方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018079737A (ja) * 2016-11-14 2018-05-24 日立オートモティブシステムズ株式会社 電子制御装置及びその診断方法

Similar Documents

Publication Publication Date Title
JP5739290B2 (ja) 電子制御装置
US9323595B2 (en) Microcontroller, control device and determination method
JP5818938B1 (ja) 制御装置切替システム
JP6462870B2 (ja) 半導体装置及び診断テスト方法
US20120158240A1 (en) Controller area network message transmission disable testing systems and methods
JP2009081948A (ja) 電源制御システム
JP2016141160A (ja) 電子制御装置及び電子制御システム
JP2007118701A (ja) 異常検出処理装置および異常検出処理方法
JP5831523B2 (ja) 電子制御装置
JP2011093389A (ja) 制御システム、電子装置、制御装置及び装置起動方法
JP5582748B2 (ja) 車両用電子制御装置
JP2015108969A (ja) 情報処理装置
JP2019084942A (ja) 電子制御装置
JP2014146131A (ja) 情報処理装置、監視装置、制御装置
JP2018163498A (ja) 監視回路
US7869172B2 (en) Digital controller
JP2015112962A (ja) 情報処理装置
JP2010113419A (ja) マルチコア制御装置
JP4820679B2 (ja) 車両用電子制御装置
JP6182329B2 (ja) 半導体装置
WO2014203501A1 (ja) 電子制御装置
JP6302852B2 (ja) 車両用電子制御装置
JP2012174198A (ja) 異常検出装置、および異常検出プログラム
JP6094387B2 (ja) 制御装置
JP5034972B2 (ja) 電子機器およびプログラム