JP2019007412A - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP2019007412A
JP2019007412A JP2017123479A JP2017123479A JP2019007412A JP 2019007412 A JP2019007412 A JP 2019007412A JP 2017123479 A JP2017123479 A JP 2017123479A JP 2017123479 A JP2017123479 A JP 2017123479A JP 2019007412 A JP2019007412 A JP 2019007412A
Authority
JP
Japan
Prior art keywords
microcomputer
unit
core
monitoring
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017123479A
Other languages
English (en)
Other versions
JP6919359B2 (ja
Inventor
佐々木 恵司
Keiji Sasaki
恵司 佐々木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2017123479A priority Critical patent/JP6919359B2/ja
Priority to DE102018207264.7A priority patent/DE102018207264B4/de
Publication of JP2019007412A publication Critical patent/JP2019007412A/ja
Application granted granted Critical
Publication of JP6919359B2 publication Critical patent/JP6919359B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/28Supervision thereof, e.g. detecting power-supply failure by out of limits supervision
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0772Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3058Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3089Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Control Of Throttle Valves Provided In The Intake System Or In The Exhaust System (AREA)
  • Electrical Control Of Air Or Fuel Supplied To Internal-Combustion Engine (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Microcomputers (AREA)

Abstract

【課題】制御部に異常が発生した場合でも制御部による制御を継続させることができる電子制御装置を提供すること。【解決手段】ECU100は、メータ200や電子スロットル装置300などの外部装置に対して制御信号を出力することで、外部装置を制御するマイコン10を備えている。マイコン10は、制御信号を出力するための演算処理を行うマイコンコア11と、マイコンコア11の動作を監視するロックステップコア12と、マイコン10内の状態を管理するものであり、マイコン10内が異常状態であるか否かを判定する異常管理機構13と、を備えている。異常管理機構13は、マイコン10内が異常状態であると判定した場合、マイコンコア11の動作を継続させつつ、ロックステップコア12の動作を停止させる。【選択図】図1

Description

本開示は、電子制御装置に関する。
従来、特許文献1に開示されているように、マイコンと、マイコンの動作を監視するICとを備えたECUがある。
特開2016−71635号公報
ところで、制御部を備えた電子制御装置では、制御部に何らかの異常が発生した場合、制御部をリセットすることが考えられる。このように、電子制御装置は、制御部をリセットすることで、制御部の異常状態が継続されることを抑制できる。
また、電子制御装置は、制御部に異常が発生した場合であっても、制御部による制御が要求されることもある。しかしながら、電子制御装置は、制御部に何らかの異常が発生したことで制御部をリセットする場合、制御部による制御を中断してしまうという問題がある。
本開示は、上記問題点に鑑みなされたものであり、制御部に異常が発生した場合でも制御部による制御を継続させることができる電子制御装置を提供することを目的とする。
上記目的を達成するために本開示は、
外部装置に対して制御信号を出力することで、外部装置を制御する制御部(10)を備えた電子制御装置であって、
制御部は、
制御信号を出力するための演算処理を行う演算部(11)と、
演算部の動作を監視する監視用演算部(12)と、
制御部内の状態を管理するものであり、制御部内が異常状態であるか否かを判定する状態管理部(13)と、を備えており、
状態管理部は、制御部内が異常状態であると判定した場合、演算部の動作を継続させつつ、監視用演算部の動作を停止させることを特徴とする。
これによって、本開示は、制御部内に異常があると判定されたとしても、制御信号の出力を継続させることができ、外部装置を制御することができる。また、本開示は、制御部内に異常があると判定された場合に、監視用演算部の動作を停止させるため、制御部の処理負荷を低減できる。
なお、特許請求の範囲、およびこの項に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本開示の技術的範囲を限定するものではない。
第1実施形態におけるECUの概略構成を示すブロック図である。 第1実施形態におけるECUの処理動作を示すフローチャートである。 第2実施形態におけるECUの処理動作を示すフローチャートである。 第3実施形態におけるECUの処理動作を示すフローチャートである。 第4実施形態におけるECUの処理動作を示すフローチャートである。 第5実施形態におけるECUの処理動作を示すフローチャートである。 第5実施形態における監視ICの処理動作を示すフローチャートである。
以下において、図面を参照しながら、本開示を実施するための複数の形態を説明する。各形態において、先行する形態で説明した事項に対応する部分には同一の参照符号を付して重複する説明を省略する場合がある。各形態において、構成の一部のみを説明している場合は、構成の他の部分については先行して説明した他の形態を参照し適用することができる。
(第1実施形態)
本実施形態では、電子制御装置をECU(Electronic Control Unit)100に適用する。ECU100は、図1に示すように、主にマイコン10と監視IC20とを備えており、メータ200や電子スロットル装置300と電気的に接続されている。また、ECU100は、車両に搭載可能に構成されており、車載制御装置とも言える。
マイコン10は、特許請求の範囲における制御部に相当する。マイコン10は、ECU100の外部に設けられた外部装置に対して制御信号を出力することで、外部装置を制御する。本実施形態では、外部装置としてメータ200や電子スロットル装置300を採用している。マイコン10は、主にマイコンコア11、ロックステップコア12、異常管理機構13、記憶部14、温度センサ15、電源管理部16、I/O部17などを備えている。マイコン10は、I/O部17と、監視IC20のIC側ポート21とを介して監視IC20と電気的に接続されている。
マイコンコア11は、特許請求の範囲における演算部に相当する。マイコンコア11は、制御信号を出力するための演算処理を行う。つまり、マイコンコア11は、後程説明する記憶部14に記憶されているプログラムを実行することで各種演算を行い、演算結果を出力することで各種制御を行う。
また、マイコンコア11は、例えばマイコンI/OとECU入出力部を介して、メータ200と電気的に接続されている。マイコンコア11は、メータ200に対して、ランプ点灯指示を示す制御信号を出力することで、メータ200の表示制御を行う。言い換えると、マイコンコア11は、メータ200へランプ点灯要求を行う。また、マイコンコア11は、例えばマイコンI/Oと駆動ICを介して、電子スロットル装置300におけるスロットルモータと電気的に接続されている。なお、マイコンI/O、ECU入出力部、駆動ICは、図示を省略している。
ロックステップコア12は、特許請求の範囲における監視用演算部に相当する。ロックステップコア12は、後程説明する記憶部14に記憶されているプログラムを実行することで各種演算を行う。また、ロックステップコア12は、マイコンコア11の動作を監視する。例えば、ロックステップコア12は、マイコンコア11と同じ演算処理を行ない、ロックステップコア12の演算結果と、マイコンコア11の演算結果とを比較する。そして、ロックステップコア12は、両演算結果が予め決められた対応関係となっていない場合、例えば一致していない場合に異常と判定する。
このように、マイコン10は、マイコンコア11とロックステップコア12の二つのコアを備えており、両コア11、12が同じ演算処理を行う。しかしながら、制御信号を出力するのはマイコンコア11である。ロックステップコア12は、マイコンコア11の動作を監視するために設けられている。
異常管理機構13は、特許請求の範囲における状態管理部に相当する。異常管理機構13は、マイコン10内の状態を管理するものであり、マイコン10内が異常状態であるか否かを判定する。後程詳しく説明するが、異常管理機構13は、マイコン10内が異常状態であると判定した場合、マイコンコア11の動作を継続させつつ、ロックステップコア12の動作を停止させる。
異常管理機構13は、マイコン10の温度、マイコン10の消費電流、マイコン10の消費電力の少なくとも一つに基づいて、マイコン10が異常状態であるか否かを判定する。例えば、異常管理機構13は、マイコン10の温度に基づいて、マイコン10内が異常状態であるか否かを判定することで、マイコン10が高温異常を判定できる。また、異常管理機構13は、マイコン10の消費電流や消費電力に基づいて、マイコン10内が異常状態であるか否かを判定することで、マイコン10内の回路異常を判定できる。
例えば、異常管理機構13は、マイコン10の温度と温度異常閾値とを比較して、マイコン10の温度が温度異常閾値に達している場合は異常状態と判定し、達していない場合は異常状態と判定しない。異常管理機構13は、後程説明する温度センサ15からマイコン10の温度を取得可能に構成されている。
マイコン10の温度が温度異常閾値に達していた場合、マイコン10の消費電力が過剰とみなすことができる。よって、異常管理機構13は、マイコン10の温度に基づいて異常状態と判定した場合、ロックステップコア12の動作を停止させることでマイコン10の消費電力を低減させて、マイコン10の温度を下げる。なお、温度が温度異常閾値に達している異常状態は、高温異常や、高温状態と言い換えることもできる。
また、異常管理機構13は、マイコン10の消費電流と電流異常閾値とを比較して、マイコン10の消費電流が電流異常閾値に達している場合は異常状態と判定し、達していない場合は異常状態と判定しない。異常管理機構13は、電源管理部16からマイコン10の消費電流を取得可能に構成されている。
マイコン10の消費電流が電流異常閾値に達していた場合、マイコン10の温度が高温であるとみなすことができる。よって、異常管理機構13は、マイコン10の消費電流に基づいて異常状態と判定した場合、ロックステップコア12の動作を停止させて、マイコン10の温度を下げる。
また、異常管理機構13は、マイコン10の消費電力と電力異常閾値とを比較して、マイコン10の消費電力が電力異常閾値に達している場合は異常状態と判定し、達していない場合は異常状態と判定しない。異常管理機構13は、電源管理部16からマイコン10の消費電力を取得可能に構成されている。
マイコン10の消費電力が電流異常閾値に達していた場合、マイコン10の温度が高温であるとみなすことができる。よって、異常管理機構13は、マイコン10の消費電力に基づいて異常状態と判定した場合、ロックステップコア12の動作を停止させて、マイコン10の温度を下げる。なお、消費電流が電流異常閾値に達している異常状態や消費電力が電力異常閾値に達している異常状態は、回路異常や、高温異常や、高温状態と言い換えることもできる。
さらに、異常管理機構13は、例えば、マイコン10の温度と消費電流の二つの情報を用いて異常状態であるか否かを判定してもよい。この場合、異常管理機構13は、マイコン10の温度が温度異常閾値に達しており、且つ、マイコン10の消費電流が電流異常閾値に達している場合は異常状態と判定し、温度と消費電流のいずれか一方が異常閾値に達していない場合は異常状態と判定しない。これによって、異常管理機構13は、一つの情報に基づいて異常状態であるか否かを判定するよりも判定精度を向上できる。
本実施形態では、マイコン10の温度に基づいて、マイコン10内が異常状態であるか否かを判定する異常管理機構13を採用する。
異常管理機構13は、異常状態であると判定した場合、監視IC20に対して、異常状態であることを知らせてもよい。この場合、異常管理機構13は、I/O部17を介してIC側ポート21に、異常状態であることを示す信号を出力する。言い換えると、異常管理機構13は、異常であると判定した場合、監視IC20にエラー通知を行う。例えば、異常管理機構13は、異常であると判定した場合、I/O部17を介してIC側ポート21をオフからオンにする。
異常管理機構13は、マイコンコア11とは独立して動作する。これによって、異常管理機構13は、監視IC20に対して、確実にエラー通知を行うことができる。また、マイコン10は、異常管理機構13が行う処理をマイコンコア11に行なわせるよりも、マイコンコア11の処理負荷を低減できる。
異常管理機構13は、異常状態であると判定して、ロックステップコア12の動作を停止させた場合、マイコンコア11に知らせる。この場合、異常管理機構13は、マイコンコア11に対して、ロックステップコア12が動作停止状態であることを示す信号を出力する。
記憶部14は、マイコンコア11やロックステップコア12などによって読み取り可能なプログラムおよびデータを非一時的に格納する非遷移的実体的記憶媒体である。この記憶媒体は、半導体メモリまたは磁気ディスクなどによって実現される。記憶部14には、温度異常閾値などの異常閾値も記憶されている。なお、マイコン10は、データを一時的に格納する揮発性メモリを備えていてもよい。
プログラムは、マイコンコア11やロックステップコア12によって実行されることによって、マイコンコア11やロックステップコア12をこの明細書に記載される装置として機能させ、この明細書に記載される方法を実行するように制御装置を機能させる。マイコンコア11やロックステップコア12は、多様な要素を提供する。それらの要素の少なくとも一部は、機能を実行するための手段と呼ぶことができる。また、別の観点では、それらの要素の少なくとも一部を、構成的なブロック、またはモジュールと呼ぶことができる。
なお、ECU100が提供する手段および/または機能は、実体的なメモリ装置に記録されたソフトウェアおよびそれを実行するコンピュータ、ソフトウェアのみ、ハードウェアのみ、あるいはそれらの組み合わせによって提供することができる。例えば、ECU100がハードウェアである電子回路によって提供される場合、それは多数の論理回路を含むデジタル回路、またはアナログ回路によって提供することができる。
温度センサ15は、マイコン10内の温度を測定し、測定結果を異常管理機構13に出力する。つまり、温度センサ15は、マイコン10内の温度に応じた電気信号を測定結果として異常管理機構13に出力する。
電源管理部16は、マイコンコア11やロックステップコア12に電源を供給する。また、電源管理部16は、異常管理機構13からの指示に応じてロックステップコア12に対する電源供給を停止する。つまり、異常管理機構13は、異常状態であると判定した場合、電源管理部16に対して、電源供給の停止を示す停止信号を出力する。このように、異常管理機構13は、ロックステップコア12への電源供給を止めることで、ロックステップコア12の動作を停止させる。電源供給を止めることは、電源供給の遮断と言い換えることもできる。
ECU100は、ロックステップコア12への電源の供給を止めることでロックステップコア12の動作を停止させるために、ロックステップコア12を容易に動作停止状態とすることができる。なお、電源管理部16は、ロックステップコア12への電源供給を停止させた後、マイコン10がリセットされることで、ロックステップコア12への電源供給を再開する。
監視IC20は、例えば上記駆動ICを介して電子スロットル装置300におけるスロットルモータと電気的に接続されている。監視IC20は、マイコン10のリセットや、電子スロットル装置300への電源供給の停止などを行う。また、監視IC20は、駆動ICを停止することでスロットルモータを停止させる。
メータ200は、特許請求の範囲における表示装置に相当する。メータ200は、車室内に設けられており、ドライバなどの乗員が視認可能に構成されている。メータ200は、ECU100からの制御信号に応じて表示制御される。例えば、メータ200は、ECU100からランプ点灯指示を示す制御信号が入力されるとランプを点灯させる。ECU100は、ランプ点灯指示を示す制御信号だけでなく、メータ200の表示させる文字や画像を示す制御信号を出力してもよい。この場合、メータ200は、制御信号が示す文字や像の表示を行う。なお、本実施形態では、メータ200が電気的に接続されていないECU100であっても採用できる。
電子スロットル装置300は、アクチュエータとしてのスロットルモータ、スロットルバルブなどを含んでいる。電子スロットル装置300は、スロットルモータへ電源供給がなされている状態で、ECU100からの制御信号に応じてスロットルバルブの開度が制御される。電子スロットル装置300は、スロットルモータへの電源供給が停止されている場合、スロットルバルブが完全に閉状態(全閉位置)とならず、スロットルバルブが全閉位置から僅かに開放した極小開きの開度となる。このため、電子スロットル装置300は、スロットルモータへの電源供給が停止された状態でも微量の空気がエンジンに送り込まれるように構成されている。スロットルバルブは、スロットルモータへの電源供給が停止されている場合、リンプホーム走行を可能とする開度となると言える。なお、本実施形態では、電子スロットル装置300が電気的に接続されていないECU100であっても採用できる。
本実施形態では、外部装置の一例として、メータ200と電子スロットル装置300を採用している。しかしながら、本開示は、これに限定されず、メータ200や電子スロットル装置300とは異なる電子機器を外部装置として採用することもできる。
ここで、図2を用いて、ECU100の処理動作に関して説明する。詳述すると、図2のフローチャートは、マイコン10が実行する処理動作である。マイコン10は、電源が供給されると、図2のフローチャートの実行を開始する。
ステップS10では、温度測定を行う。マイコン10は、温度センサ15によって、マイコン10の温度を測定する。そして、異常管理機構13は、温度センサ15の測定結果を取得する。
ステップS11では、高温状態であるか否かを判定する。異常管理機構13は、温度センサ15の測定結果であるマイコン10の温度と温度異常閾値とを比較することで、マイコン10が高温状態であるか否かを判定する。異常管理機構13は、マイコン10の温度が温度異常閾値に達している場合は高温状態であると判定してステップS12へ進み、マイコン10の温度が温度異常閾値に達していない場合は高温状態であると判定せずにステップS10へ戻る。このように、マイコン10は、マイコン10の温度が高温状態でないと判定した場合、ステップS10、S11を繰り返し実行する。
ステップS12では、ロックステップコア12への電源供給を遮断する。異常管理機構13は、電源管理部16に対して停止信号を出力する。電源管理部16は、停止信号を取得すると、ロックステップコア12への電源供給を遮断する。このように、異常管理機構13は、ロックステップコア12の電源供給を遮断することで、ロックステップコア12の動作を停止させる。
このとき、電源管理部16は、マイコンコア11への電源供給を継続させつつ、ロックステップコア12への電源供給を遮断する。これによって、マイコン10は、マイコンコア11が動作可能な状態で、ロックステップコア12が動作不可能な状態となる。また、異常管理機構13は、マイコンコア11に対して、ロックステップコア12が動作停止状態であることを示す信号を出力する。
なお、異常管理機構13は、マイコンコア11に対して、マイコン10が高温状態であることを示す信号を出力してもよい。また、異常管理機構13は、マイコン10が高温異常の場合に、ロックステップコア12の動作を停止させる。このため、ロックステップコア12が動作停止状態であることを示す信号と、マイコン10が高温異常であることを示す信号とは、同意とみなすことができる。
ステップS13では、メータ200へランプ点灯要求を行う。マイコンコア11は、ランプ点灯指示を示す制御信号を出力することで、マイコン10が高温異常であることをメータ200に表示する。また、マイコンコア11は、ランプ点灯指示を示す制御信号を出力することで、ロックステップコア12が動作停止状態であることをメータ200に表示するとも言える。当然ながら、マイコンコア11は、ランプ点灯指示を示す制御信号を出力することで、マイコン10が高温異常であるため、ロックステップコア12を動作停止状態としていることをメータ200に表示してもよい。
メータ200は、マイコン10の外部であり、且つ、ECU100の外部に設けられている。つまり、メータ200は、ドライバなどの乗員が視認可能な位置に設けられている。よって、ECU100は、マイコン10が高温異常であることや、ロックステップコア12が動作停止状態であることをドライバなどの乗員に知らせることができる。
このように、ECU100は、マイコン10内に異常があると判定した場合、すなわちマイコン10が高温状態である判定した場合、マイコンコア11の動作を継続させつつ、ロックステップコア12の動作を停止させる。これによって、ECU100は、マイコン10内に異常があると判定されたとしても、マイコンコア11による制御信号の出力を継続させることができ、メータ200を表示制御することができる。さらに、ECU100は、マイコン10が高温状態と判定した場合に、ロックステップコア12の動作を停止させるため、マイコン10の温度を下げることができる。
さらに、ECU100は、マイコン10がエンジン制御を行う場合、マイコン10がリセットされることで、エンジンを停止させてしまう虞がある。しかしながら、ECU100は、マイコン10が高温状態の場合であっても、マイコンコア11の動作を継続させるため、ドライバの意図に反してエンジンを停止させてしまうことを抑制できる。
以上、本開示の好ましい実施形態について説明した。しかしながら、本開示は、上記実施形態に何ら制限されることはなく、本開示の趣旨を逸脱しない範囲において、種々の変形が可能である。以下に、本開示のその他の形態として、第2実施形態〜第5実施形態に関して説明する。上記実施形態および第2実施形態〜第5実施形態は、夫々単独で実施することも可能であるが、適宜組み合わせて実施することも可能である。本開示は、実施形態において示された組み合わせに限定されることなく、種々の組み合わせによって実施可能である。
(第2実施形態)
図3を用いて第2実施形態に関して説明する。第2実施形態のECUは、ECU100と同様の構成を有しており、ECU100と処理動作が異なる。このため、本実施形態では、便宜的に、ECU100と同じ符号を用いて説明する。なお、図3のフローチャートにおいては、図2のフローチャートと同じ処理に、同じステップ番号を付与する。よって、図2のフローチャートと同じステップ番号に関しては、上記実施形態を参照して適用できる。
マイコン10は、電源が供給されると、図3のフローチャートの実行を開始する。ステップS20では、異常を検出しているか否かを判定する。異常管理機構13は、ロックステップコア12がマイコンコア11の異常を検出しているか否か、すなわちロックステップコア12がマイコンコア11を異常であると判定しているか否かを判定する。異常管理機構13は、ロックステップコア12がマイコンコア11を異常と判定している場合はステップS21へ進み、異常と判定していない場合はステップS10へ進む。
なお、ロックステップコア12は、例えばフラグなどを用いて、マイコンコア11の監視結果を記憶してもよい。例えば、ロックステップコア12は、マイコンコア11が異常であると判定した場合にフラグをセットし、マイコンコア11が異常であると判定していない場合にフラグをセットされていない状態にする。異常管理機構13は、この記憶内容を確認することで、ロックステップコア12がマイコンコア11を異常であると判定しているか否かを判定することができる。
ステップS21では、マイコン10をリセットする。異常管理機構13は、マイコンコア11が異常であるとの判断結果を得た場合、監視IC20に、マイコン10のリセットを要求する。監視IC20は、異常管理機構13からリセット要求を受けると、マイコン10をリセットする。
一方、ロックステップコア12によってマイコンコア11の動作が異常であると判定されていない場合、異常管理機構13は、ステップS10に進んで、図2と同様に処理を行う。このため、異常管理機構13は、ステップS10でYES判定した場合、ロックステップコア12がマイコンコア11を異常と判定していないことを条件に、マイコンコア11の動作を継続させつつ、ロックステップコア12の動作を停止させる。
本実施形態のECU100は、第1実施形態で説明した効果を奏することができる。さらに、ECU100は、マイコン10内が異常状態であると判定した状況でマイコンコア11の動作を継続させる場合に、正常な状態のマイコンコア11によって動作を継続させることができる。また、ECU100は、マイコンコア11が正常に動作していることを条件として、ロックステップコア12の動作を停止させるので、信頼性を維持することができると言える。このように、ECU100は、信頼性を維持しつつ、マイコン10の温度を下げることができる。
(第3実施形態)
図4を用いて第3実施形態に関して説明する。第3実施形態のECUは、ECU100と同様の構成を有しており、ECU100と処理動作が異なる。このため、本実施形態では、便宜的に、ECU100と同じ符号を用いて説明する。なお、図4のフローチャートにおいては、図2および図3のフローチャートと同じ処理に、同じステップ番号を付与する。よって、図2および図3のフローチャートと同じステップ番号に関しては、上記実施形態を参照して適用できる。
第3実施形態は、図4に示すように、第1実施形態と第2実施形態とを組み合わせた実施形態である。よって、本実施形態のECU100は、第1実施形態および第2実施形態で説明した効果を奏することができる。
(第4実施形態)
図5を用いて第4実施形態に関して説明する。第4実施形態のECUは、ECU100と同様の構成を有しており、ECU100と処理動作が異なる。このため、本実施形態では、便宜的に、ECU100と同じ符号を用いて説明する。なお、図5のフローチャートにおいては、図3のフローチャートと同じ処理に、同じステップ番号を付与する。よって、図3のフローチャートと同じステップ番号に関しては、上記実施形態を参照して適用できる。
マイコン10は、ステップS12の後に、ステップS40へ進む。ステップS40では、マイコンコア11は、ロックステップコア12が動作停止状態であることを記憶部14に記憶する。つまり、マイコンコア11は、ロックステップコア12が動作停止状態となった履歴を記憶部14に記憶する。なお、記憶部14は、ディーラや修理工場などで作業者が、記憶内容を確認することができるものとする。
ECU100は、第2実施形態で説明した効果を奏することができる。さらに、ECU100は、ロックステップコア12が動作停止状態となったか否かを作業者に知らせることができる。なお、ECU100は、ステップS20、S21を行わなくてもよい。
(第5実施形態)
図6、図7を用いて第5実施形態に関して説明する。第5実施形態のECUは、ECU100と同様の構成を有しており、ECU100と処理動作が異なる。このため、本実施形態では、便宜的に、ECU100と同じ符号を用いて説明する。なお、図6のフローチャートにおいては、図3のフローチャートと同じ処理に、同じステップ番号を付与する。よって、図3のフローチャートと同じステップ番号に関しては、上記実施形態を参照して適用できる。ECU100は、走行駆動原としてエンジンを備えた車両に搭載され、電子スロットル装置300のスロットルバルブ開度を制御するものである。
マイコン10は、ステップS12の後に、ステップS50へ進む。ステップS50では、監視IC20へ出力する。つまり、異常管理機構13は、異常状態であると判定した場合、監視IC20に対して異常状態であることを知らせる。
一方、監視IC20は、電源が供給されると、図7のフローチャートに示す処理をスタートする。ステップS60では、IC側ポート21がオンであるか否かを判定する。
監視IC20は、IC側ポート21がオンであるか否かによって、マイコン10が異常状態であるか否かを判定する。監視IC20は、IC側ポート21がオンであると判定した場合、マイコン10が異常状態であるとみなしてステップS61へ進む。また、監視IC20は、IC側ポート21がオンであると判定しなかった場合、マイコン10が異常状態でないとみなしてステップS60へ戻る。
ステップS61では、電子スロットルをシャットオフする。監視IC20は、電子スロットル装置300に対して、スロットルモータへの電源供給の停止を示す制御信号を出力する。言い換えると、監視IC20は、スロットルモータへの電源供給を停止させる。例えば、監視IC20は、駆動ICを停止することでスロットルモータへの電源供給を停止させる。
電子スロットル装置300は、スロットルモータへの電源供給が停止されると、スロットルバルブが極小開きの開度となる。これによって、エンジンは、出力が制限される。
よって、スロットルモータへの電源供給の停止を示す制御信号は、エンジンの出力を制限するための制御信号と言うことができる。また、監視IC20は、特許請求の範囲における出力制限部に相当する。
ECU100は、第2実施形態で説明した効果を奏することができる。さらに、ECU100は、マイコン10が異常状態であると判定された場合に、エンジンの出力を制限できるため、車両が必要以上に加速することを抑制できる。よって、ECU100は、マイコン10が異常状態であると判定された場合であっても、リンプホーム走行などの退避走行を可能にすることができる。なお、ECU100は、ステップS20、S21を行わなくてもよい。
10…マイコン、11…マイコンコア、12…ロックステップコア、13…異常管理機構、14…記憶部、15…温度センサ、16…電源管理部、17…I/O部、20…監視IC、21…IC側ポート、100…ECU、200…メータ、300…電子スロットル装置

Claims (8)

  1. 外部装置に対して制御信号を出力することで、外部装置を制御する制御部(10)を備えた電子制御装置であって、
    前記制御部は、
    前記制御信号を出力するための演算処理を行う演算部(11)と、
    前記演算部の動作を監視する監視用演算部(12)と、
    前記制御部内の状態を管理するものであり、前記制御部内が異常状態であるか否かを判定する状態管理部(13)と、を備えており、
    前記状態管理部は、前記制御部内が異常状態であると判定した場合、前記演算部の動作を継続させつつ、前記監視用演算部の動作を停止させる電子制御装置。
  2. 前記状態管理部は、前記制御部内が異常状態であると判定した場合、前記監視用演算部によって前記演算部の動作が異常であると判定されていないことを条件に、前記演算部の動作を継続させつつ、前記監視用演算部の動作を停止させる請求項1に記載の電子制御装置。
  3. 前記状態管理部は、前記制御部の温度、前記演算部の消費電流、前記演算部の消費電力の少なくとも一つに基づいて、前記制御部内が異常状態であるか否かを判定する請求項1または2に記載の電子制御装置。
  4. 前記状態管理部は、前記監視用演算部の動作を停止させた場合、前記監視用演算部が動作停止状態であることを前記外部装置としての表示装置(200)に表示する請求項1乃至3のいずれか一項に記載の電子制御装置。
  5. 前記制御部は、前記監視用演算部が動作停止状態であることを記憶する記憶部を備えている請求項1乃至4のいずれか一項に記載の電子制御装置。
  6. 前記状態管理部は、前記演算部とは独立して動作する請求項4または5に記載の電子制御装置。
  7. 前記状態管理部は、前記監視用演算部への電源供給を止めることで、前記監視用演算部の動作を停止させる請求項4または5に記載の電子制御装置。
  8. 走行駆動原としてエンジンを備えた車両に搭載され、前記外部装置としての電子スロットルのスロットルバルブ開度を制御するものであって、
    前記状態管理部で前記制御部内が異常状態であると判定された場合、前記エンジンの出力を制限するための前記制御信号を前記電子スロットルに出力する出力制限部(20)を、さらに備えている請求項1乃至7のいずれか一項に記載の電子制御装置。
JP2017123479A 2017-06-23 2017-06-23 電子制御装置 Active JP6919359B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017123479A JP6919359B2 (ja) 2017-06-23 2017-06-23 電子制御装置
DE102018207264.7A DE102018207264B4 (de) 2017-06-23 2018-05-09 Elektronische steuervorrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017123479A JP6919359B2 (ja) 2017-06-23 2017-06-23 電子制御装置

Publications (2)

Publication Number Publication Date
JP2019007412A true JP2019007412A (ja) 2019-01-17
JP6919359B2 JP6919359B2 (ja) 2021-08-18

Family

ID=64568120

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017123479A Active JP6919359B2 (ja) 2017-06-23 2017-06-23 電子制御装置

Country Status (2)

Country Link
JP (1) JP6919359B2 (ja)
DE (1) DE102018207264B4 (ja)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10507805A (ja) * 1994-10-29 1998-07-28 ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング 車両駆動ユニットの制御方法および装置
JP2001067149A (ja) * 1999-08-30 2001-03-16 Casio Comput Co Ltd コンピュータ装置および記憶媒体
US20010042371A1 (en) * 2000-02-01 2001-11-22 Corinna Topfer-Hartung Programmable open and closed loop electronics for control of an internal combustion engine
JP2004116435A (ja) * 2002-09-27 2004-04-15 Hitachi Ltd 自動車用制御装置
CN202402149U (zh) * 2011-12-16 2012-08-29 中国第一汽车股份有限公司 天然气发动机ecu安全监控模块
WO2014054349A1 (ja) * 2012-10-02 2014-04-10 富士電機株式会社 冗長化演算処理システム

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016071635A (ja) 2014-09-30 2016-05-09 株式会社アドヴィックス Ecuの異常監視回路

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10507805A (ja) * 1994-10-29 1998-07-28 ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング 車両駆動ユニットの制御方法および装置
JP2001067149A (ja) * 1999-08-30 2001-03-16 Casio Comput Co Ltd コンピュータ装置および記憶媒体
US20010042371A1 (en) * 2000-02-01 2001-11-22 Corinna Topfer-Hartung Programmable open and closed loop electronics for control of an internal combustion engine
JP2004116435A (ja) * 2002-09-27 2004-04-15 Hitachi Ltd 自動車用制御装置
CN202402149U (zh) * 2011-12-16 2012-08-29 中国第一汽车股份有限公司 天然气发动机ecu安全监控模块
WO2014054349A1 (ja) * 2012-10-02 2014-04-10 富士電機株式会社 冗長化演算処理システム

Also Published As

Publication number Publication date
DE102018207264B4 (de) 2021-12-23
DE102018207264A1 (de) 2018-12-27
JP6919359B2 (ja) 2021-08-18

Similar Documents

Publication Publication Date Title
JP5126393B2 (ja) 車載電子制御装置
US9372774B2 (en) Redundant computing architecture
US11010229B2 (en) Abnormality determination apparatus, abnormality determination method, and computer readable medium
JP6046404B2 (ja) 表示装置
JP5967059B2 (ja) 車両用電子制御装置
US9221492B2 (en) Method for operating an electrical power steering mechanism
WO1997031254A1 (fr) Methode et dispositif de diagnostic des defaillances d'un controleur de bord
US20190361764A1 (en) Redundant processor architecture
SE1650116A1 (en) Fault Codes in a motor vehicle
WO2007096971A1 (ja) 保守ガイダンス表示装置、保守ガイダンス表示方法、保守ガイダンス表示プログラム
US20140316535A1 (en) Ecu monitoring system and monitoring method
JP2019007412A (ja) 電子制御装置
KR20050084077A (ko) 전자 회로 및 내장형 시스템
US20140025996A1 (en) Method for diagnosing a mechanism of untimely cut-offs of the power supply to a motor vehicle computer
WO2019207905A1 (ja) 車載制御装置
US20230177894A1 (en) Information processing apparatus and information processing method
WO2019142245A1 (ja) 信号制御装置および異常検出方法
JP2013012220A (ja) 車載電子制御装置
JP2006285734A (ja) 制御装置の診断方法
CN112224200A (zh) 车辆设备控制系统的控制器以及功能安全控制方法
Bernon-Enjalbert et al. Safety integrated hardware solutions to support ASIL D applications
JP6604661B2 (ja) 車両制御装置
JP2021160397A (ja) 車両における電源系の故障原因推定方法および装置
JP2020035621A (ja) 水素タンク制御装置
JP4639920B2 (ja) 電子制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200519

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210329

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210406

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210426

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210622

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210705

R151 Written notification of patent or utility model registration

Ref document number: 6919359

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250