JP2017102545A - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP2017102545A
JP2017102545A JP2015233316A JP2015233316A JP2017102545A JP 2017102545 A JP2017102545 A JP 2017102545A JP 2015233316 A JP2015233316 A JP 2015233316A JP 2015233316 A JP2015233316 A JP 2015233316A JP 2017102545 A JP2017102545 A JP 2017102545A
Authority
JP
Japan
Prior art keywords
function
control
unit
inspection
failure determination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015233316A
Other languages
English (en)
Other versions
JP6465003B2 (ja
Inventor
宏紀 岡田
Hiroki Okada
宏紀 岡田
恵一 加藤
Keiichi Kato
恵一 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2015233316A priority Critical patent/JP6465003B2/ja
Priority to DE102016223670.9A priority patent/DE102016223670B4/de
Publication of JP2017102545A publication Critical patent/JP2017102545A/ja
Application granted granted Critical
Publication of JP6465003B2 publication Critical patent/JP6465003B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)
  • Safety Devices In Control Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Abstract

【課題】制御機能部の追加に対し、監視部のコスト上昇を回避しつつ、フレキシブルに対応する。
【解決手段】電子制御装置1は、第1〜第3のプロセッサ19〜21に、複数の制御機能部19a、20a、21aと、複数の制御モニタ機能部19b、20b、21bと、複数の制御モニタの検査機能部19c、20c、21cとが配置され、第4のプロセッサ22に、複数の検査機能の故障判定機能部22a、22b、22cと、故障判定機能の検査機能部22dと、フェールセーフ調停部22eとが配置される。複数の検査機能の故障判定機能部22a、22b、22cと、故障判定機能の検査機能部22dと、フェールセーフ調停部22eとをソフトウェアにより実現する。
【選択図】図1

Description

本発明は、電子制御装置に関する。
例えばトルク制御やアイドリングストップ制御等を行う複数の制御機能部がマイコン内の別々のプロセッサに配置されている電子制御装置が供されている。この種の電子制御装置では、各々の制御と、それらの各々の制御の監視とを別々のプロセッサで行う。そして、電子制御装置では、監視対象となる制御の識別情報を付加した監視結果を監視部に出力し、各々の制御のフェールセーフ処理を行う。このような構成により、安全性と可用性とを両立している(例えば特許文献1参照)。
特開2014−85761号公報
上記した構成において、例えばトランスミッション制御等の制御機能部を新たに追加する場合には、故障判定機能部を監視部に設けることで対応可能である。しかしながら、故障判定機能部をハードウェアにより実現するので、故障判定機能用及びフェールセーフ用の端子数が増え、監視部のコストが上昇するという問題がある。又、フレキシブルな対応が困難であるという問題もある。
本発明は、上記した事情に鑑みてなされたものであり、その目的は、制御機能部の追加に対し、監視部のコスト上昇を回避しつつ、フレキシブルに対応することができる電子制御装置を提供することにある。
請求項1に記載した発明によれば、複数の検査機能の故障判定機能部(22a、22b、22c)と、故障判定機能の検査機能部(22d)と、フェールセーフ調停部(22e)とが配置されるプロセッサ(22)と、複数の制御機能部(19a、20a、21a)と、複数の制御モニタ機能部(19b、20b、21b)と、複数の制御モニタの検査機能部(19c、20c、21c)とが配置されるプロセッサ(19〜21)とが異なるように構成した。これにより、複数の検査機能の故障判定機能部と、故障判定機能の検査機能部と、フェールセーフ調停部とをソフトウェアにより実現することができる。即ち、それらをソフトウェアにより実現することで、それらをハードウェアにより実現する従来とは異なり、制御機能部の追加に対し、故障判定機能用及びフェールセーフ用の端子数が増えることがなく、監視部のコスト上昇を回避しつつ、フレキシブルに対応することができる。
本発明の第1の実施形態を示す機能ブロック図 ソフトウェアの重要度を示す図 リードアクセス権限及びライト/リードアクセス権限を示す図 本発明の第2の実施形態を示す機能ブロック図 本発明の第3の実施形態を示す機能ブロック図
(第1の実施形態)
以下、本発明を、車両のトランスミッション(T/M)制御、アイドリングストップ(ISS)制御及びトルク制御を行う電子制御装置に適用した第1の実施形態について図1から図3を参照して説明する。電子制御装置(ECU:Electronic Control Unit)1は、マイコン2(演算処理装置に相当)と、入力回路3と、監視IC4(監視部に相当)と、トランスミッション駆動回路5(制御対象に相当)と、スタータリレー駆動回路6(制御対象に相当)と、スロットルモータ駆動回路7(制御対象に相当)と、OR回路8〜10とを有する。トランスミッション駆動回路5、スタータリレー駆動回路6及びスロットルモータ駆動回路7は、アクチュエータ駆動回路として機能する。
マイコン2は、自動車向けの機能安全に関する国際規格であるISO26262が適用されている構成である。尚、図1では、アクチュエータ駆動回路5〜7へのカット信号の信号線を破線の矢印により示しており、カット信号を除く各種信号の信号線を実線の矢印により示している。更に、後述する各々の機能部における監視対象の関係を二点鎖線の矢印により示している。
入力回路3は、ECU1の外部から入力した各種信号をマイコン2に出力する。ECU1の外部から入力回路3に入力される信号は、トランスミッション制御、アイドリングストップ制御及びトルク制御に用いられる信号であり、例えばシフト位置を示すシフト位置信号、ブレーキペダルの操作状態を示すブレーキ信号、アクセルペダルの操作状態を示すアクセル信号、車速を示す車速信号、運転者による始動用操作の有無を示す始動用操作信号及びエンジンの回転数を示す回転数信号等である。
監視IC4は、マイコン2の動作を監視する。トランスミッション駆動回路5は、マイコン2から入力する制御信号にしたがってギア11の駆動を制御する。スタータリレー駆動回路6は、マイコン2から入力する制御信号にしたがってスタータリレー12のオンオフを制御し、スタータ13の駆動を制御する。スタータ13が駆動することで、スタータ13の回転力がギア11を介してエンジン14に伝達される。スロットルモータ駆動回路7は、マイコン2から入力する制御信号にしたがってスロットルモータ15の駆動を制御する。スロットルモータ15が駆動することで、スロットル16の開度が調節され、エンジン14への吸入空気量が調節される。
マイコン2は、第1の入出力ポート17と、第2の入出力ポート18と、第1〜第4のプロセッサ19〜22と、ROM(Read Only Memory)23と、RAM(Random Access Memory)24と、メモリプロテクションユニット25と、通信回路26とを有する。第1の入出力ポート17、第2の入出力ポート18、第1〜第4のプロセッサ19〜22、ROM23、RAM24及びメモリプロテクションユニット25は、内部バス27を介して相互接続されている。
第1の入出力ポート17は、マイコン2の入力側のインタフェースとして機能し、入力回路3から各種信号を入力する。第2の入出力ポート18は、マイコン2の出力側のインタフェースとして機能し、各種信号をアクチュエータ駆動回路5〜7に出力すると共に、カット信号をOR回路8〜10に出力する。ROM23は、後述する第1〜第4のプロセッサ19〜22に配置されている各々の機能部等が実行する各種プログラムを記憶している。第1〜第4のプロセッサ19〜22に配置されている各々の機能部等はソフトウェアにより実現されている。
第1のプロセッサ19は、トランスミッション制御機能部19aと、トルク制御モニタ機能部19bと、トルク制御モニタの検査機能部19cとを有する。第2のプロセッサ20は、アイドリングストップ制御機能部20aと、トランスミッション制御モニタ機能部20bと、トランスミッション制御モニタの検査機能部20cとを有する。第3のプロセッサ21は、トルク制御機能部21aと、アイドリングストップ制御モニタ機能部21bと、アイドリングストップ制御モニタの検査機能部21cとを有する。
トランスミッション制御機能部19aは、ROM23に記憶されている該当するプログラムを実行し、トランスミッションの制御を行う。トランスミッション制御モニタ機能部20bは、ROM23に記憶されている該当するプログラムを実行し、第1のプロセッサ19によるトランスミッション制御機能部19aを監視する。トランスミッション制御モニタ機能部20bは、トランスミッション制御機能部19aが異常であると判定すると、トランスミッション制御のフェールセーフ処理を行う。トランスミッション制御モニタの検査機能部20cは、ROM23に記憶されている該当するプログラムを実行し、トランスミッション制御モニタ機能部20bを監視し、その監視結果を示す監視結果情報を作成して出力する。トランスミッション制御モニタの検査機能部20cにより作成された監視結果情報は、その監視結果情報がトランスミッション制御モニタに関する情報であることを示す識別情報が付加され、第2のプロセッサ20から内部バス27を介して第4のプロセッサ22に出力される。
アイドリングストップ制御機能部20aは、ROM23に記憶されている該当するプログラムを実行し、アイドリングストップ制御を行う。アイドルストップ制御モニタ機能部21bは、ROM23に記憶されている該当するプログラムを実行し、第2のプロセッサ20によるアイドルストップ制御機能部20aを監視する。アイドルストップ制御モニタ機能部21bは、アイドルストップ制御機能部20aが異常であると判定すると、アイドルストップ制御のフェールセーフ処理を行う。アイドルストップ制御モニタの検査機能部21cは、ROM23に記憶されている該当するプログラムを実行し、アイドルストップ制御モニタ機能部21bを監視し、その監視結果を示す監視結果情報を作成して出力する。アイドルストップ制御モニタの検査機能部21cにより作成された監視結果情報は、その監視結果情報がアイドルストップ制御モニタに関する情報であることを示す識別情報が付加され、第3のプロセッサ21から内部バス27を介して第4のプロセッサ22に出力される。
トルク制御機能部21aは、ROM23に記憶されている該当するプログラムを実行し、トルク制御を行う。トルク制御モニタ機能部19bは、ROM23に記憶されている該当するプログラムを実行し、第3のプロセッサ21によるトルク制御機能部21aを監視する。トルク制御モニタ機能部19bは、トルク制御機能部21aが異常であると判定すると、トルク制御のフェールセーフ処理を行う。トルク制御モニタの検査機能部19cは、ROM23に記憶されている該当するプログラムを実行し、トルク制御モニタ機能部19bを監視し、その監視結果を示す監視結果情報を作成して出力する。トルク制御モニタの検査機能部19cにより作成された監視結果情報は、その監視結果情報がトルク制御モニタに関する情報であることを示す識別情報が付加され、第1のプロセッサ19から内部バス27を介して第4のプロセッサ22に出力される。
このようにマイコン2は、トランスミッション制御、アイドリングストップ制御及びトルク制御について、各々の制御と、それらの各々の制御の監視とを第1〜第3のプロセッサ19〜21により別々のプロセッサで行うことで、安全性と可用性とを両立している。
第4のプロセッサ22は、トランスミッション制御の検査機能の故障判定機能部22aと、アイドリングストップ制御の検査機能の故障判定機能部22bと、トルク制御の検査機能の故障判定機能部22cと、故障判定機能の検査機能部22dと、フェールセーフ調停部22eとを有する。トランスミッション制御の検査機能の故障判定機能部22aは、ROM23に記憶されている該当するプログラムを実行し、第2のプロセッサ20から内部バス27を介して入力したトランスミッション制御モニタに関する監視結果情報によりトランスミッション制御モニタの検査機能を故障判定する。アイドリングストップ制御の検査機能の故障判定機能部22bは、ROM23に記憶されている該当するプログラムを実行し、第3のプロセッサ21から内部バス27を介して入力したアイドリングストップ制御モニタに関する監視結果情報によりアイドリングストップ制御モニタの検査機能を故障判定する。トルク制御の検査機能の故障判定機能部22cは、ROM23に記憶されている該当するプログラムを実行し、第1のプロセッサ19から内部バス27を介して入力したトルク制御モニタに関する監視結果情報によりトルク制御モニタの検査機能を故障判定する。
故障判定機能の検査機能部22dは、トランスミッション制御の検査機能の故障判定機能部22a、アイドリングストップ制御の検査機能の故障判定機能部22b及びトルク制御の検査機能の故障判定機能部22cを監視し、その監視結果を示す監視結果情報を作成して出力する。フェールセーフ調停部22eは、マイコン2からのアクチュエータ駆動回路5〜7へのカット信号の出力(即ち制御対象への駆動停止指示)を調停する。即ち、フェールセーフ調停部22eは、トランスミッション制御、アイドリングストップ制御及びトルク制御のうち何れかについてフェールセーフ処理を行う必要があると判定すると、カット信号を第2の入出力ポート18から該当するOR回路8〜10に出力させることで、該当する制御のフェールセーフ処理を行う。
RAM24は、第1〜第4のプロセッサ19〜22の演算結果を記憶する。通信回路26は、監視IC4との間でシリアル通信線を介してデータ通信を行う。即ち、通信回路26は、第4のプロセッサ22から監視結果情報を入力すると、その入力した監視結果情報をシリアル通信線を介して監視IC4に出力する。監視IC4は、通信回路28と、マイコン監視機能部29とを有する。通信回路28は、マイコン2との間でシリアル通信線を介してデータ通信を行う。マイコン監視機能部29は、監視IC4からのアクチュエータ駆動回路5〜7へのカット信号の出力を制御する。マイコン監視機能部29は、マイコン2が異常であると判定すると、トランスミッション制御、アイドリングストップ制御及びトルク制御の全てについてフェールセーフ処理を行う必要があると判定し、カット信号を第2の入出力ポート18からOR回路8〜10の全てに出力させることで、トランスミッション制御、アイドリングストップ制御及びトルク制御の全てについてフェールセーフ処理を行う。
次に、フェールセーフ調停部22eについて説明する。ISO26262が適用されているマイコン2では、ソフトウェアの重要度がQM(Quality Management)とASIL(Automotive Safety Integrity Level)−A〜Dとの5段階に区分されており、ASIL−Dの重要度が最も高く設定されている。重要度が高いほどソフトウェアに対して厳格なプロセスや多くのテスト評価項目が課せられる。又、同一のマイコンに重要度が異なる複数のソフトウェアが混在する場合には互いのソフトウェアが干渉しない条件を満たす必要があり、その条件を満たさい場合には最も高い重要度に準じて他の重要度のソフトウェアを開発する必要があると規定されている。このような事情から、図2に示すように、メモリプロテクションユニット25は、メモリプロテクションの機能により、ソフトウェアの重要度に応じてアクセスを許可するメモリやレジスタ領域を区分してソフトウェアの干渉を防止し、重要度の低いソフトウェアから重要度の高いソフトウェアへの異常の伝播をブロックする。
具体的には、図3に示すように、本実施形態では、トランスミッション制御機能部19aと、アイドリングストップ制御機能部20aと、トルク制御機能部21aとはQMに区分されている。又、アイドリングストップ制御モニタの検査機能部21cと、アイドリングストップ制御の検査機能の故障判定機能部22bと、トルク制御モニタの検査機能部19cと、トルク制御の検査機能の故障判定機能部22cとはASIL−Aに区分されている。又、アイドリングストップ制御モニタ機能部21bと、トランスミッション制御モニタの検査機能部20cと、トランスミッション制御の検査機能の故障判定機能部22aとはASIL−Bに区分されている。又、トルク制御モニタ機能部19bはASIL−Cに区分されている。又、トランスミッション制御モニタ機能部20bはASIL−Dに区分されている。そして、フェールセーフ調停部22eもASIL−Dに区分されている。
フェールセーフ調停部22eは、各々の制御モニタ機能及び各々の検査機能から要求されるアクチュエータ駆動回路5〜7へのカット指示要求が格納されるRAM値に対し、自身よりも低い重要度のソフトウェアについてはリードアクセス権限を有し、自身と同じ重要度のソフトウェアについてはライト/リードアクセス権限を有し、マイコン2からのアクチュエータ駆動回路5〜7へのカット信号の出力を調停する。図3では、リードアクセス権限を片方向の矢印により示し、ライト/リードアクセス権限を両方向の矢印により示している。
このように制御モニタ機能部19b、20b、21bから要求されるアクチュエータ駆動回路5〜7へのカット信号の出力と、制御モニタの検査機能部19c、20c、21cから要求されるアクチュエータ駆動回路5〜7へのカット信号の出力とを調停する。フェールセーフ調停部22eを実現するソフトウェアに対してのみ第2の入出力ポート18のレジスタ値に対するアクセス権限を設定することで、機能毎の個別に第2の入出力ポート18のレジスタ値に対するアクセス権限を設定する必要がなくなる。その結果、第2の入出力ポート18のポート数やアクセス権限を設定するメモリプロテクションのリソースを削減することができ、ハードウェアのリソースの使用を削減することができる。即ち、フェールセーフ調停部22eを最も高い重要度であるASIL−Dに区分することで、アクチュエータ駆動回路5〜7へのカット信号の出力を制御する第2の入出力ポート18のレジスタ値を一括して制御することができ、ハードウェアのリソースの使用を節約することができる。
以上説明したように第1の実施形態によれば、次に示す効果を得ることができる。
電子制御装置1において、第1〜第3のプロセッサ19〜21に、複数の制御機能部19a、20a、21aと、複数の制御モニタ機能部19b、20b、21bと、複数の制御モニタの検査機能部19c、20c、21cとが配置され、第4のプロセッサ22に、複数の検査機能の故障判定機能部22a、22b、22cと、故障判定機能の検査機能部22dと、フェールセーフ調停部22eとが配置されるように構成した。これにより、複数の検査機能の故障判定機能部22a、22b、22cと、故障判定機能の検査機能部22dと、フェールセーフ調停部22eとをソフトウェアにより実現することができる。即ち、それらをソフトウェアにより実現することで、それらをハードウェアにより実現する従来とは異なり、制御機能部の追加に対し、故障判定機能用及びフェールセーフ用の端子数が増えることがなく、監視IC4のコスト上昇を回避しつつ、フレキシブルに対応することができる。
又、フェールセーフ調停部22eが、制御モニタ機能部19b、20b、21bから要求されるアクチュエータ駆動回路5〜7へのカット信号の出力と、制御モニタの検査機能部19c、20c、21cから要求されるアクチュエータ駆動回路5〜7へのカット信号の出力とを調停するようにした。これにより、ハードウェアのリソースの使用を節約することができる。又、監視IC4が、故障判定機能の検査機能部22dから出力される監視結果情報によりマイコン2が異常であると判定すると、カット信号をアクチュエータ駆動回路5〜7に出力するようにした。これにより、トランスミッション制御、アイドリングストップ制御及びトルク制御の全てについてフェールセーフ処理を行うことができる。
(第2の実施形態)
次に、本発明の第2の実施形態について図4を参照して説明する。尚、前述した第1の実施形態と同一部分については説明を省略し、異なる部分について説明する。第2の実施形態では、電子制御装置31は、前述した第1の実施形態で説明した電子制御装置1から警告灯駆動回路32が追加されている。第2の実施形態では、前述した第1の実施形態に対し、第1〜第3のプロセッサ19〜21に配置されている制御モニタの検査機能部19c、20c、21cが第4のプロセッサ22に配置されている検査機能の故障判定機能部22a、22b、22c、故障判定機能の検査機能部22d及びフェールセーフ調停部22eのうち少なくとも何れかに対して機能テストを実施する。制御モニタの検査機能部19c、20c、21cは、機能テストを実施したテスト結果により、検査機能の故障判定機能部22a、22b、22c、故障判定機能の検査機能部22d及びフェールセーフ調停部22eのうち少なくとも何れかが異常であると判定すると、制御信号を第2の入出力ポート18から警告灯駆動回路32に出力させる。警告灯駆動回路32は、第2の入出力ポート18から制御信号を入力すると、駆動信号を警告灯ランプ33に出力させ、警告灯ランプ33を点灯させることで、その異常を例えば運転者等のユーザに報知する。
即ち、第4のプロセッサ22においてソフトウェアの異常を判定した場合には、第1〜第3のプロセッサ19〜21においてソフトウェアの異常が発生した場合とは異なり、直ちに走行危険な状況に陥ることはない。このような事情から、制御モニタの検査機能部19c、20c、21cは、第4のプロセッサ22においてソフトウェアの異常を判定すると、カット信号をアクチュエータ駆動回路5〜7に出力させずに退避走行モードには移行せず、制御信号を警告灯駆動回路32に出力させることで、第4のプロセッサ22におけるソフトウェアの異常を例えば運転者等のユーザに報知する。以上説明したように第2の実施形態によれば、前述した第1の実施形態と同様の作用効果が得られることに加え、第4のプロセッサ22におけるソフトウェアの異常を例えば運転者等のユーザに報知することができる。
(第3の実施形態)
次に、本発明の第3の実施形態について図5を参照して説明する。尚、前述した第2の実施形態と同一部分については説明を省略し、異なる部分について説明する。第3の実施形態では、前述した第2の実施形態に対し、第1〜第3のプロセッサ19〜21に配置されている制御モニタの検査機能部19c、20c、21cが第4のプロセッサ22に配置されている検査機能の故障判定機能部22a、22b、22c、故障判定機能の検査機能部22d及びフェールセーフ調停部22eのうち少なくとも何れかに対して実施した機能テストのテスト結果を監視IC4に出力する構成が追加されている。
制御モニタの検査機能部19c、20c、21cは、テスト結果をプロセッサ毎に監視IC4に出力する。監視IC4は、マイコン2から入力するテスト結果を解析することで、トランスミッション制御、アイドリングストップ制御及びトルク制御のうちフェールセーフ処理を行う必要がある制御を特定する。そして、監視IC4は、カット信号を該当するアクチュエータ駆動回路5〜7に出力すると共に、制御信号を警告灯駆動回路32に出力し、警告灯ランプ33を点灯させることで、その異常を例えば運転者等のユーザに報知する。以上説明したように第3の実施形態によれば、前述した第1の実施形態と同様の作用効果が得られることに加え、トランスミッション制御、アイドリングストップ制御及びトルク制御のフェールセーフ処理を過剰に行うことを回避することができる。
(その他の実施形態)
本発明は、上記した実施形態で例示したものに限定されることなく、その範囲を逸脱しない範囲で任意に変形又は拡張することができる。
本実施形態では、トランスミッション制御、アイドリングストップ制御及びトルク制御を行う構成を例示したが、他の制御を行う構成でも良い。即ち、制御機能部や制御モニタ機能部等を有するプロセッサは、3個に限らず2個でも良いし4個以上でも良い。
図面中、1、31は電子制御装置、2はマイコン(演算処理装置)、4は監視IC(監視部)、5〜7は駆動回路(制御対象)、19a、20a、21aは制御機能部、19b、20b、21bは制御モニタ機能部、19c、20c、21cは制御モニタの検査機能部、22a、22b、22cは検査機能の故障判定機能部、22dは故障判定機能の検査機能部、22eはフェールセーフ調停部である。

Claims (5)

  1. 複数の制御対象(5〜7)を駆動する複数の制御機能部(19a、20a、21a)と、
    前記複数の制御機能部を監視し、異常時に該当する制御対象の駆動を停止する複数の制御モニタ機能部(19b、20b、21b)と、
    前記複数の制御モニタ機能部を監視し、監視結果を外部に出力する複数の制御モニタの検査機能部(19c、20c、21c)と、
    前記複数の制御モニタの検査機能部の監視結果により当該制御モニタの検査機能を故障判定する複数の検査機能の故障判定機能部(22a、22b、22c)と、
    前記複数の検査機能の故障判定機能部を監視し、監視結果を外部に出力する故障判定機能の検査機能部(22d)と、
    演算処置装置(2)からの制御対象への駆動停止指示を調停するフェールセーフ調停部(22e)と、
    前記演算処置装置から出力されるデータにより当該演算処置装置を監視する監視部(4)と、を備え、
    前記複数の検査機能の故障判定機能部と、前記故障判定機能の検査機能部と、前記フェールセーフ調停部とが配置されるプロセッサ(22)は、前記複数の制御機能部と、前記複数の制御モニタ機能部と、前記複数の制御モニタの検査機能部とが配置されるプロセッサ(19〜21)とは異なる電子制御装置(1、31)。
  2. 請求項1に記載した電子制御装置において、
    前記フェールセーフ調停部は、各々の前記制御モニタ機能部から要求される制御対象への駆動停止指示と、各々の制御モニタの検査機能部から要求される制御対象への駆動停止指示とを調停し、該当する制御対象の駆動を停止する電子制御装置。
  3. 請求項1又は2に記載した電子制御装置において、
    前記監視部は、前記故障判定機能の検査機能部から出力される監視結果情報により前記演算処置装置が異常であると判定した場合に、全ての制御対象の駆動を停止する電子制御装置。
  4. 請求項1から3の何れか一項に記載した電子制御装置において、
    前記制御モニタの検査機能部は、前記検査機能の故障判定機能部、前記故障判定機能の検査機能部及び前記フェールセーフ調停部のうち少なくとも何れかに対して機能テストを実施し、前記検査機能の故障判定機能部、前記故障判定機能の検査機能部及び前記フェールセーフ調停部のうち少なくとも何れかが異常であると判定すると、異常を報知する電子制御装置。
  5. 請求項4に記載した電子制御装置において、
    前記制御モニタの検査機能部は、前記検査機能の故障判定機能部、前記故障判定機能の検査機能部及び前記フェールセーフ調停部のうち少なくとも何れかに対して実施した機能テストのテスト結果を前記監視部に出力する電子制御装置。
JP2015233316A 2015-11-30 2015-11-30 電子制御装置 Active JP6465003B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015233316A JP6465003B2 (ja) 2015-11-30 2015-11-30 電子制御装置
DE102016223670.9A DE102016223670B4 (de) 2015-11-30 2016-11-29 Elektronische Steuereinheit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015233316A JP6465003B2 (ja) 2015-11-30 2015-11-30 電子制御装置

Publications (2)

Publication Number Publication Date
JP2017102545A true JP2017102545A (ja) 2017-06-08
JP6465003B2 JP6465003B2 (ja) 2019-02-06

Family

ID=58693429

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015233316A Active JP6465003B2 (ja) 2015-11-30 2015-11-30 電子制御装置

Country Status (2)

Country Link
JP (1) JP6465003B2 (ja)
DE (1) DE102016223670B4 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019200812A1 (de) * 2019-01-23 2020-07-23 Audi Ag Verfahren zum Schützen einer Hauptfunktion eines Steuergeräts vor einer Behinderung ihres Betriebs durch einen Laufzeitfehler einer Nebenfunktion des Steuergeräts sowie Steuergerät, Kraftfahrzeug und Fahrzeugbatterie
KR20210010761A (ko) 2019-07-19 2021-01-28 삼성전자주식회사 시스템 온 칩 및 그 동작 방법
DE102022212287A1 (de) 2022-11-18 2024-05-23 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und System zum Ermitteln von Freigaben von Steuergerätefunktionen in einem Steuergerät einer technischen Einrichtung

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014085761A (ja) * 2012-10-22 2014-05-12 Denso Corp 制御装置及び車両制御システム
JP2015108944A (ja) * 2013-12-04 2015-06-11 株式会社デンソー 車両用電子制御装置
JP2015118662A (ja) * 2013-12-20 2015-06-25 株式会社デンソー 電子制御装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007045398A1 (de) * 2007-09-21 2009-04-02 Continental Teves Ag & Co. Ohg Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen
DE102014201682A1 (de) * 2014-01-30 2015-07-30 Robert Bosch Gmbh Verfahren zur Koexistenz von Software mit verschiedenen Sicherheitsstufen in einem Multicore-Prozessorsystem

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014085761A (ja) * 2012-10-22 2014-05-12 Denso Corp 制御装置及び車両制御システム
JP2015108944A (ja) * 2013-12-04 2015-06-11 株式会社デンソー 車両用電子制御装置
JP2015118662A (ja) * 2013-12-20 2015-06-25 株式会社デンソー 電子制御装置

Also Published As

Publication number Publication date
JP6465003B2 (ja) 2019-02-06
DE102016223670A1 (de) 2017-06-01
DE102016223670B4 (de) 2021-04-29

Similar Documents

Publication Publication Date Title
JP3358412B2 (ja) 車両用電子制御装置
CN103309344B (zh) 验证安全关键的交通工具控制系统的完整性的系统和方法
JP6465003B2 (ja) 電子制御装置
JP5867495B2 (ja) 電子制御装置
JP5853691B2 (ja) 車両用制御装置および方法
JP2013514497A5 (ja)
US7248932B2 (en) Electronic control unit
JP3953542B2 (ja) 電子制御装置
JP2022108108A (ja) 車両用電子制御装置
JP5741550B2 (ja) 制御装置及び車両制御システム
JP3827615B2 (ja) マイコンのロジック開発装置及び開発方法
JP4820679B2 (ja) 車両用電子制御装置
JP6306933B2 (ja) 車速センサ故障検出装置
JP7397655B2 (ja) 自動車用電子制御装置
US20240174259A1 (en) Vehicle controls supporting multiple ads ecus
JP2009215944A (ja) 電子制御装置及びその運転方法
KR20190133137A (ko) 차량 급발진 진단 장치
JP6016258B2 (ja) 車両用エンジン制御装置
JP6018536B2 (ja) 車両用電子制御装置
JPS62161038A (ja) 車載用の電子制御装置
JP2018077583A (ja) 電子制御装置
CN117469383A (zh) 发动机挡位信号监控方法、装置、设备及可读存储介质
JP2006335180A (ja) ハイブリッド電気自動車の制御システム
JP2016037862A (ja) 車両用制御装置
JP2020070730A (ja) 電子制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180216

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181211

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181224

R151 Written notification of patent or utility model registration

Ref document number: 6465003

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250