JP2019093839A - Electronic control apparatus - Google Patents

Electronic control apparatus Download PDF

Info

Publication number
JP2019093839A
JP2019093839A JP2017223613A JP2017223613A JP2019093839A JP 2019093839 A JP2019093839 A JP 2019093839A JP 2017223613 A JP2017223613 A JP 2017223613A JP 2017223613 A JP2017223613 A JP 2017223613A JP 2019093839 A JP2019093839 A JP 2019093839A
Authority
JP
Japan
Prior art keywords
unit
cpu
diagnosis
electronic control
abnormality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017223613A
Other languages
Japanese (ja)
Other versions
JP7024345B2 (en
Inventor
隆雄 永冨
takao Nagatomi
隆雄 永冨
克之 安藤
Katsuyuki Ando
克之 安藤
秀一 ▲浅▼野
秀一 ▲浅▼野
Shuichi Asano
宏治 早川
Hiroharu Hayakawa
宏治 早川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2017223613A priority Critical patent/JP7024345B2/en
Priority to DE102018219795.4A priority patent/DE102018219795A1/en
Publication of JP2019093839A publication Critical patent/JP2019093839A/en
Application granted granted Critical
Publication of JP7024345B2 publication Critical patent/JP7024345B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element

Abstract

To provide an electronic control apparatus capable of cutting off communication when an abnormality occurs in a CPU by minimizing an increase in costs.SOLUTION: An SCU 2 constituting a shift-by-wire system includes, as an internal function of a CPU 5, a CAN communication section 13 to perform communication with an external apparatus, a CPU abnormality diagnostic logic section 16 for performing a diagnostic program that diagnoses whether the CPU 5 is abnormal or not, and a transmission processing function address generation section 17. These are intended to cut off communication by the CAN communication section 13 when a diagnostic result identifies the presence of abnormality.SELECTED DRAWING: Figure 1

Description

本発明は、CPUの内部機能として実現され、外部装置とCANにより通信を行うCAN通信部を備える電子制御装置に関する。   The present invention relates to an electronic control unit including a CAN communication unit which is realized as an internal function of a CPU and communicates with an external device by CAN.

従来、外部装置との間でCANにより通信を行うECU(Electronic Control Unit)において、当該ECUを構成するマイクロコンピュータのCPUに異常が発生した際に通信を停止する技術として、マイコンの外部にCPUの異常を監視する監視ユニットを設け、監視ユニットにより通信の停止を行うものがある(特許文献1参照)。   Conventionally, in an ECU (Electronic Control Unit) that communicates with an external device by CAN, as a technology for stopping communication when an abnormality occurs in the CPU of a microcomputer that constitutes the ECU, CPU external to the microcomputer is used. There is a system in which a monitoring unit for monitoring an abnormality is provided and communication is stopped by the monitoring unit (see Patent Document 1).

これは、監視ユニットがマイコンからCPUの異常診断に必要な情報を入力として受け取って診断を行い、CPUの異常を検知するとマイコンが使用するCANドライバの動作を停止させるか、又通信線を遮断するものである。通信が停止することで、通信先となる外部のECUは、通信元であるECUが異常状態になったことを検知できる。   This is because the monitoring unit receives information necessary for abnormality diagnosis of the CPU from the microcomputer as an input and performs diagnosis, and when abnormality in the CPU is detected, the operation of the CAN driver used by the microcomputer is stopped or the communication line is cut off. It is a thing. By stopping the communication, the external ECU that is the communication destination can detect that the ECU that is the communication source is in an abnormal state.

特許第4533270号公報Patent No. 4533270

特許文献1では、CPUの異常を検知した監視ユニットが通信の停止を行うので、監視ユニットと外部からの入力により通信を停止する機能を持つCANドライバとを接続する構成、又はCANドライバを強制的に停止させたり通信線を遮断する外部機構を備え、それを監視ユニットで制御する必要がある。このような機能を持つCANドライバや停止用の外部機構をシステムに追加すれば、システム全体のコストを増加させてしまう。   In Patent Document 1, since the monitoring unit that has detected an abnormality in the CPU stops communication, a configuration for connecting the monitoring unit and a CAN driver having a function of stopping communication by an external input, or a CAN driver is forced. It is necessary to have an external mechanism to stop the communication or shut off the communication line, and to control it by the monitoring unit. Adding a CAN driver with this function or an external mechanism for shutdown will increase the overall cost of the system.

本発明は上記事情に鑑みてなされたものであり、その目的は、コストを極力上昇させることなくCPUの異常発生時に通信を停止できる電子制御装置を提供することにある。   The present invention has been made in view of the above circumstances, and an object thereof is to provide an electronic control unit capable of stopping communication when an abnormality occurs in a CPU without raising the cost as much as possible.

請求項1記載の電子制御装置によれば、CPUの内部機能として、外部装置と通信を行う通信部と、CPUが異常か否かを診断する診断プログラムを実行する異常診断部とを備え、異常診断部は、診断結果が異常であれば通信部による通信を停止させる。このように構成すれば、CPUに外部機構を付加することなく内部機能によって自己診断を行い、その診断の結果が異常であれば通信を停止させるので、コストの上昇を抑制できる。   According to the electronic control unit of the first aspect, the internal function of the CPU includes a communication unit that communicates with an external device, and an abnormality diagnosis unit that executes a diagnostic program that diagnoses whether the CPU is abnormal or not. The diagnosis unit stops communication by the communication unit if the diagnosis result is abnormal. According to this structure, the self-diagnosis is performed by the internal function without adding an external mechanism to the CPU, and if the result of the diagnosis is abnormal, the communication is stopped, so that the cost increase can be suppressed.

請求項2記載の電子制御装置によれば、異常診断部は、診断結果が異常であれば通信部による特定のデータ送信のみを停止させる。このように構成すれば、データの受信や、異常値となった場合のリスクが低いデータの送信等は継続することが可能になる。   According to the electronic control unit of the second aspect, the abnormality diagnosis unit stops only specific data transmission by the communication unit if the diagnosis result is abnormal. With this configuration, it is possible to continue reception of data, transmission of data with low risk in the case of an abnormal value, and the like.

請求項3記載の電子制御装置によれば、診断プログラムは、CPUが実行する複数の命令を使用し、各命令毎に独立した演算を実行することで送信処理を行う関数のアドレスを生成する。そして、生成したアドレスが所期値を示さなければ異常と診断する処理をメインプログラムとする。このように構成すれば、CPUに異常があれば生成されたアドレスの値が所期と異なるため、送信処理を行う関数がコールされず送信は実行されない。したがって、異常が発生した際に送信を確実に中止できる。   According to the electronic control device of the third aspect, the diagnostic program uses a plurality of instructions executed by the CPU, and generates an address of a function that performs transmission processing by executing independent computation for each instruction. If the generated address does not indicate the desired value, processing for diagnosing an abnormality is used as a main program. According to this configuration, if there is an abnormality in the CPU, the value of the generated address is different from the expected value, the function for performing the transmission process is not called, and the transmission is not performed. Therefore, transmission can be reliably stopped when an abnormality occurs.

請求項4記載の電子制御装置によれば、メインプログラムは、通信部により特定のデータ送信を行う際にCPUが実行する複数の命令を使用し、各命令毎に独立した演算を実行することで送信処理を行う関数のアドレスを生成する。そして、生成されたアドレスが所期値を示さなければ異常と診断する。このように構成すれば、送信処理に使用される命令が正常に実行されるか否かにより、異常診断を効率的に行うことができる。   According to the electronic control device of the fourth aspect, the main program uses a plurality of instructions executed by the CPU when the specific data transmission is performed by the communication unit, and performs an independent operation for each instruction. Generates the address of the function that performs transmission processing. Then, if the generated address does not indicate the desired value, it is diagnosed as abnormal. According to this structure, the abnormality diagnosis can be efficiently performed depending on whether or not the instruction used for the transmission process is properly executed.

請求項5記載の電子制御装置によれば、メインプログラムは、各命令毎に独立した演算の実行結果の値を順次累積させ、最終的な累積値が前記アドレスの値に一致するか否かを判断する。このように構成すれば、異常診断を簡単に行うことができ、累積値を関数をコールするアドレスの即値にすることができる。   According to the electronic control unit according to claim 5, the main program causes the values of the execution results of the independent calculation to be sequentially accumulated for each instruction, and whether the final accumulated value matches the value of the address or not to decide. With this configuration, abnormality diagnosis can be easily performed, and the accumulated value can be made an immediate value of the address that calls the function.

一実施形態であり、シフトバイワイヤシステムの構成を示す機能ブロック図A functional block diagram showing the configuration of a shift-by-wire system, which is an embodiment SCUによる処理内容を示すフローチャートFlow chart showing contents of processing by SCU CPU診断の内容を示すフローチャートFlow chart showing contents of CPU diagnosis INST診断の内容を示すフローチャートFlow chart showing contents of INST diagnosis 送信関数アドレス生成処理の内容を示すフローチャートFlow chart showing contents of transmission function address generation processing 診断プログラムの一具体例を示す図Figure showing an example of a diagnostic program ダイアグサービスツールによるサービス要求が発生した場合の処理内容を示すフローチャートFlow chart showing the processing contents when a service request is generated by the diagnosis service tool 各構成部間の処理を示すシーケンス図(正常時)Sequence diagram showing processing between each component (normal) 各構成部間の処理を示すシーケンス図(異常発生時)Sequence diagram showing processing between each component (when an error occurs) ダイアグサービスツールによるサービス要求が発生した場合の処理を示すシーケンス図Sequence diagram showing processing when a service request is generated by the diagnostic service tool

以下、一実施形態について図面を参照して説明する。図1に示すシフトバイワイヤ(SBW)システムは、車両のシフタ1がドライバにより操作され、シフタ位置が例えば「P」から「D」に切り替えられたとする。SCU(Sift Control Unit)2は、そのシフタ位置を判定し、CAN通信によりTCU(Transmission Control Unit)3に送信する。TCU3が、受信した位置「D」に応じてSCU2に要求レンジを送信すると、SCU2はACT(Actuator)4に、車両をロック状態「P」とアンロック状態「notP」とに切り替えさせるための制御信号として駆動電流を出力する。TCU3は外部装置に相当する。また、ACT4は制御対象機器に相当する。   Hereinafter, an embodiment will be described with reference to the drawings. In the shift-by-wire (SBW) system shown in FIG. 1, it is assumed that the shifter 1 of the vehicle is operated by the driver and the shifter position is switched from, for example, "P" to "D". The SCU (Sift Control Unit) 2 determines the position of the shifter and transmits it to the TCU (Transmission Control Unit) 3 by CAN communication. When the TCU 3 transmits the required range to the SCU 2 according to the received position "D", the SCU 2 controls the ACT (Actuator) 4 to switch the vehicle between the lock state "P" and the unlock state "not P". The drive current is output as a signal. TCU 3 corresponds to an external device. Further, ACT 4 corresponds to a control target device.

ACT4が「P」から「notP」に切り替えを行うと、そのステータス「notP」の情報が、図示しないポジションセンサ及び信号線を介してTCU3に送信される。TCU3は、上記ステータスを確認した上で、前記シフタ位置に応じて車両のトランスミッションを「D」モードに変更し、現在のシフタ1のレンジが「D」であることをSCU2に伝達する。   When the ACT 4 switches from "P" to "not P", information on the status "not P" is transmitted to the TCU 3 via a position sensor and a signal line (not shown). After confirming the status, the TCU 3 changes the transmission of the vehicle to the “D” mode according to the shifter position, and transmits to the SCU 2 that the current range of the shifter 1 is “D”.

SCU2は、CPU5,CANドライバ6及び監視部7を備えている。シフタ1の操作が行われると、CPU5はシフタ位置送信判定部11においてシフタ位置を判定する。そのシフタ位置は、シフタ位置送信判定部12を介してCAN通信部13に出力される。シフタ位置送信判定部12は、正常判定部14及び関数コール部15を備えている。スイッチのシンボルで表されているこれらは、シフタ位置をCAN通信部13に出力する経路にシリアルに配置されており、CPU5が自己診断を行った結果として異常が検出されると、シフタ位置の送信を停止させる機能を有する。   The SCU 2 includes a CPU 5, a CAN driver 6, and a monitoring unit 7. When the operation of the shifter 1 is performed, the CPU 5 determines the shifter position in the shifter position transmission determination unit 11. The shifter position is output to the CAN communication unit 13 via the shifter position transmission determination unit 12. The shifter position transmission determination unit 12 includes a normalcy determination unit 14 and a function call unit 15. Those represented by switch symbols are serially arranged in a path for outputting the shifter position to the CAN communication unit 13, and when an abnormality is detected as a result of the self-diagnosis performed by the CPU 5, transmission of the shifter position is performed. Have a function to stop the

CPU5は、自己診断を行う機能部として、CPU異常診断ロジック部16及び送信処理関数アドレス生成部17を備えている。CPU異常診断ロジック部16は、RAM診断部18,ROM診断部19,FLOW診断部20,INST診断部21及び入出力部22を備えている。RAM診断部18は、RAMに対するデータの書込み及び読み出しが正常に行われるか否かを診断する。ROM診断部19は、例えばROMに記憶されている制御プログラムやデータを読み出して累積加算したSUM値が、所期の値に一致するか否かによりROMを診断する。   The CPU 5 includes a CPU abnormality diagnosis logic unit 16 and a transmission processing function address generation unit 17 as functional units that perform self-diagnosis. The CPU abnormality diagnosis logic unit 16 includes a RAM diagnosis unit 18, a ROM diagnosis unit 19, an FLOW diagnosis unit 20, an INST diagnosis unit 21, and an input / output unit 22. The RAM diagnosis unit 18 diagnoses whether writing and reading of data to and from the RAM are normally performed. For example, the ROM diagnostic unit 19 diagnoses the ROM based on whether or not the SUM value obtained by reading and accumulating the control program and data stored in the ROM matches the expected value.

FLOW診断部20は、CPU5が実行すべきプログラムが、所定の順序で実行されているか否かを診断する。INST診断部21は、詳細は後述するように、CPU5の命令セットとして用意されている複数の命令を使用し、所定の演算を行うことで異常診断を行う。入出力部22には、上記の各診断部17〜20の診断結果が入力され、それらの結果のうち1つでも「異常」があると、正常判定部14によりシフタ位置の送信経路を遮断する。   The FLOW diagnosis unit 20 diagnoses whether the programs to be executed by the CPU 5 are executed in a predetermined order. As described later in detail, the INST diagnosis unit 21 diagnoses an abnormality by performing predetermined operations using a plurality of instructions prepared as an instruction set of the CPU 5. The diagnosis results of each of the diagnosis units 17 to 20 are input to the input / output unit 22. If any one of the results is "abnormal", the normality determination unit 14 cuts off the transmission path of the shifter position. .

送信処理関数アドレス生成部17は、例えばINST診断部21と同様の演算を行うことで、シフタ位置をTCU3に送信する処理を実行する関数をコールするためのアドレスを生成する。演算が正常に実行されることで上記アドレスが正しく生成されると、関数コール部15において上記関数がコールされ、シフタ位置がCAN通信部13に転送される。上記アドレスが正しく生成されなければ関数はコールされず、シフタ位置は転送されない。   The transmission processing function address generation unit 17 performs, for example, the same operation as the INST diagnosis unit 21 to generate an address for calling a function that executes a process of transmitting the shifter position to the TCU 3. When the above address is correctly generated by the normal execution of the operation, the above function is called in the function call unit 15, and the shifter position is transferred to the CAN communication unit 13. If the address is not correctly generated, the function is not called and the shifter position is not transferred.

CAN通信部13は、送信処理部13S及び受信処理部13Rを備えている。送信処理部13Sは、判定部11を介して受信したシフタ位置データをCANドライバ6に入力する。CANドライバ6は、そのシフタ位置データをCANバス8を介してTCU3に送信する。また、CANドライバ6は、シフタ位置データに応じた要求レンジを受信処理部13Rを介してP/notP切替部23に出力する。P/notP切替部23は、ACT4に車両のロック,アンロックを切り替えさせるための駆動電流を、常閉型のリレー24を介して出力する。リレー24はスイッチに相当する。   The CAN communication unit 13 includes a transmission processing unit 13S and a reception processing unit 13R. The transmission processing unit 13S inputs the shifter position data received via the determination unit 11 to the CAN driver 6. The CAN driver 6 transmits the shifter position data to the TCU 3 via the CAN bus 8. Further, the CAN driver 6 outputs the required range corresponding to the shifter position data to the P / not P switching unit 23 via the reception processing unit 13R. The P / not P switching unit 23 outputs a drive current for switching the lock and unlock of the vehicle to the ACT 4 through the normally closed relay 24. The relay 24 corresponds to a switch.

CANバス8には、その他にダイアグサービスツール9が接続されている。ダイアグサービスツール9は、SCU2に対して故障情報を読み出すためのサービス要求を送信する。サービス要求は、CAN通信部13の受信処理部13Rを介してSCU2のダイアグサービス部25に入力される。ダイアグサービス部25は、そのサービス要求に応じた故障情報をサービス応答データとして、送信処理部13Sを介してダイアグサービスツール9に送信する。   In addition, a diagnostic service tool 9 is connected to the CAN bus 8. The diagnostic service tool 9 transmits a service request for reading out the fault information to the SCU 2. The service request is input to the diagnosis service unit 25 of the SCU 2 via the reception processing unit 13R of the CAN communication unit 13. The diagnosis service unit 25 transmits failure information corresponding to the service request as service response data to the diagnosis service tool 9 through the transmission processing unit 13S.

送信処理関数アドレス生成部17における診断結果も、CPU異常診断ロジック部16の入出力部22に入力される。入出力部22は、各診断部18〜21又は送信処理関数アドレス生成部17の診断結果を、シリアル通信部26を介して監視部7に送信する。監視部7は、リレー24の開閉を制御するもので、受信した診断結果に「異常」があれば、リレー24を「開」にしてACT4の駆動を禁止する。送信処理関数アドレス生成部17及びINST診断部21は、異常診断部に相当する。   The diagnosis result in the transmission processing function address generation unit 17 is also input to the input / output unit 22 of the CPU abnormality diagnosis logic unit 16. The input / output unit 22 transmits the diagnosis result of each of the diagnosis units 18 to 21 or the transmission processing function address generation unit 17 to the monitoring unit 7 via the serial communication unit 26. The monitoring unit 7 controls the opening and closing of the relay 24. If there is an "abnormality" in the received diagnosis result, the monitoring unit 7 opens the relay 24 and prohibits the drive of the ACT 4. The transmission processing function address generation unit 17 and the INST diagnosis unit 21 correspond to an abnormality diagnosis unit.

次に、本実施形態の作用について説明する。図2に示すように、SCU2のシフタ位置判定部11は、シフタ位置を判定すると(S1)CPU異常診断ロジック部16においてCPU診断を実施する(S2)。すなわち、図3に示すように、各診断部18〜21がそれぞれの対象について診断を行い(S11〜S14)、全ての診断結果が正常であれば(S15;YES)CPU診断の結果は「正常」と判定し(S16)、何れか1つの診断結果が異常であれば(S15;NO)CPU診断の結果は「異常」と判定する(S17)。   Next, the operation of the present embodiment will be described. As shown in FIG. 2, when the shifter position determination unit 11 of the SCU 2 determines the shifter position (S1), the CPU abnormality diagnosis logic unit 16 performs CPU diagnosis (S2). That is, as shown in FIG. 3, each diagnosis unit 18 to 21 diagnoses each subject (S11 to S14), and if all the diagnosis results are normal (S15; YES), the result of CPU diagnosis is “normal If it is determined that any one diagnosis result is abnormal (S15; NO), the result of CPU diagnosis is determined as "abnormal" (S17).

再び図2を参照する。ステップS2に続いて、送信処理関数アドレス生成部17において送信処理関数をコールするアドレスを算出する(S3)。そして、ステップS2におけるCPU診断の結果が「正常」であれば(S4;YES)、ステップS3で算出されたアドレスによって送信処理関数をコールする(S5)。前記アドレスが正常に算出されていれば(S6;YES)、送信処理関数がコールされてシフタ位置データがCAN通信により送信される(S7)。すなわちこの場合、シフタ位置送信判定部12における正常判定部14及び関数コール部15は何れも、シフタ位置データを通過させてCAN通信部13に入力する。   Refer again to FIG. Following step S2, the transmission processing function address generation unit 17 calculates an address for calling the transmission processing function (S3). Then, if the result of the CPU diagnosis in step S2 is "normal" (S4; YES), the transmission processing function is called by the address calculated in step S3 (S5). If the address is normally calculated (S6; YES), the transmission processing function is called and shifter position data is transmitted by CAN communication (S7). That is, in this case, both the normality determination unit 14 and the function call unit 15 in the shifter position transmission determination unit 12 pass shifter position data and input the data to the CAN communication unit 13.

またこの場合、図8に示すように、SCU2からTCU3にシフタ位置,例えば「D」が送信される。するとTCU3は、車両をアンロック状態にするため、SCU2に対し要求レンジ「notP」を送信する。それを受けてSCU2は、ACT4に制御信号「notP」を送信する。するとACT4が駆動されて、レンジが「P」から「notP」に切り替わる。ACT4は、車両がアンロック状態となり、ステータスが「notP」であることをTCU4に伝達する。TCU4は、ステータスが「notP」であることを認識すると、車両のトランスミッションを「D」モードに変更し、SCU2に現在のレンジが「D」であることを伝達する。   In this case, as shown in FIG. 8, the shifter position, for example, “D”, is transmitted from the SCU 2 to the TCU 3. Then, the TCU 3 transmits a required range “not P” to the SCU 2 in order to unlock the vehicle. In response to that, the SCU 2 transmits a control signal "notP" to the ACT 4. Then, the ACT 4 is driven to switch the range from "P" to "not P". The ACT 4 transmits to the TCU 4 that the vehicle is unlocked and the status is "not P". When the TCU 4 recognizes that the status is "not P", the TCU 4 changes the transmission of the vehicle to "D" mode, and informs the SCU 2 that the current range is "D".

一方、CPU診断の結果が「異常」であるか(S4;NO)、又は前記アドレスが正常に算出されていなければ(S6;NO)ステップS7をスキップして送信を行わない。すなわち、正常判定部14又は関数コール部1の何れかが、シフタ位置データの通過を阻止する。続いて、診断結果を監視部7に送信する(S8)。監視部7は、診断結果が「異常」であれば(S9;NO)、リレー24を開いてACT4への通電経路を遮断する(S10)。この場合、図9に示すように、シフタ位置がTCU4に伝達されなくなり、TCU4は異常を検知する。そして、SCU2に現在のレンジが「P」であることを伝達する。   On the other hand, if the result of the CPU diagnosis is "abnormal" (S4; NO), or if the address is not properly calculated (S6; NO), step S7 is skipped and transmission is not performed. That is, either the normality determination unit 14 or the function call unit 1 blocks passage of shifter position data. Subsequently, the diagnosis result is transmitted to the monitoring unit 7 (S8). If the diagnosis result is "abnormal" (S9; NO), the monitoring unit 7 opens the relay 24 to shut off the current path to the ACT 4 (S10). In this case, as shown in FIG. 9, the shifter position is not transmitted to the TCU 4, and the TCU 4 detects an abnormality. Then, it is transmitted to the SCU 2 that the current range is "P".

次に、ステップS14で実行する「INST診断」について説明する。図4に示すように、ここでは、シフタ位置の送信処理に使用する全ての命令を使用する(S21〜S25)。そして、それぞれの命令を使用した演算を実施すると(S22)その演算結果をSUM値としてアキュムレータ等に格納し加算する(S23)。そして、全ての命令を使用して演算を実行し終えると、最終的なSUM値が所期値に一致しており正常であれば(S26;YES)、INST診断の結果は「正常」と判定する(S27)。一方、最終的なSUM値が所期値に一致していなければ(S26;NO)、INST診断の結果は「異常」と判定する(S28)。このINST診断を行うためのプログラムは、診断プログラム及びサブプログラムに相当する。   Next, the "INST diagnosis" executed in step S14 will be described. As shown in FIG. 4, here, all the instructions used for the transmission processing of the shifter position are used (S21 to S25). Then, when an operation using each instruction is performed (S22), the operation result is stored as a SUM value in an accumulator or the like and added (S23). Then, when the calculation is performed using all the instructions, if the final SUM value matches the desired value and is normal (S26; YES), the result of the INST diagnosis is determined to be “normal”. To do (S27). On the other hand, if the final SUM value does not match the expected value (S26; NO), it is determined that the result of the INST diagnosis is "abnormal" (S28). Programs for performing this INST diagnosis correspond to diagnostic programs and subprograms.

次に、ステップS3で実行する関数アドレスの算出について説明する。図5に示すように、「INST診断」と同様に、シフタ位置の送信処理に使用する全ての命令を使用し(S31〜S35)、それぞれの命令を使用した演算を実施すると(S32)その演算結果をSUM値として累積加算する(S33)。そして、全ての命令を使用して演算を実行し終えると、最終的なSUM値を送信処理関数アドレスとしてレジスタ等に格納する(S36)。この関数アドレスを算出するためのプログラムは、診断プログラム及びメインプログラムに相当する。   Next, the calculation of the function address to be executed in step S3 will be described. As shown in FIG. 5, as in the case of "INST diagnosis", all the instructions used for the transmission process of the shifter position are used (S31 to S35), and the operation using each instruction is performed (S32) The result is accumulated and added as a SUM value (S33). Then, when the operation is completed using all the instructions, the final SUM value is stored as a transmission processing function address in a register or the like (S36). Programs for calculating this function address correspond to a diagnostic program and a main program.

次に、INST診断及び関数アドレス算出処理において行う演算の具体例について説明する。例えば図6に示すように、MOV(データ転送命令),ADD(加算命令),CMP(比較命令)等を用いて以下のように演算を行う。
(1)レジスタAに0x55を転送する。
(2)レジスタAの値を0x55と比較する。
(3)その結果が一致していれば(4)レジスタCの値をインクリメントし、一致していなければ当該処理を実行せずにスキップする。
(5)レジスタAに0x55を転送する。
(6)レジスタAの値を0xAAと比較する。
(7)その結果が一致していれば(8)レジスタCの値をインクリメントし、一致していなければ当該処理を実行せずにスキップする。
(9)レジスタAに0x55を転送する。
(10)レジスタBに0x56を転送する。
(11)レジスタA,Bの値を比較する。
(12)その結果が不一致であれば(13)レジスタCの値をインクリメントし、一致していれば当該処理を実行せずにスキップする。 Next, specific examples of operations performed in INST diagnosis and function address calculation processing will be described. For example, as shown in FIG. 6, the following calculation is performed using MOV (data transfer instruction), ADD (addition instruction), CMP (comparison instruction) or the like.
(1) Transfer 0x55 to register A.
(2) Compare the value of register A with 0x55.
(3) If the results match, (4) increment the value of register C; otherwise, skip the process without executing it.
(5) Transfer 0x55 to register A.
(6) Compare the value of register A with 0xAA.
(7) If the results match, (8) increment the value of the register C; otherwise, skip the process without executing it.
(9) Transfer 0x55 to the register A.
(10) Transfer 0x56 to register B.
(11) Compare the values of the registers A and B.
(12) If the results do not match (13) The value of register C is incremented, and if they match, the processing is skipped without being executed.

ステップ(13)まで各命令が正常に実行されれば、SUM値であるレジスタCの値は初期値が「0」であれば「3」になり、MOV,ADD,CMPの何れかの命令が正常に実行されなければレジスタCの値は「2」以下となる。したがって、ステップS26においてSUM値を「3」と比較することでINST診断の結果を判定できる。   If each instruction is normally executed up to step (13), the value of register C, which is a SUM value, becomes “3” if the initial value is “0”, and one of MOV, ADD, and CMP is an instruction. If normal execution is not performed, the value of the register C becomes "2" or less. Therefore, the result of the INST diagnosis can be determined by comparing the SUM value with "3" in step S26.

また、関数アドレスの算出については、仮に関数アドレスの算出結果の期待値を
0xFFFFとすると、レジスタCの初期値を
0xFFFF−0x0003=0xFFFC
のように期待値から「3」減じた値にすることで、演算に使用した全命令が正常のときに期待値の結果:0xFFFFが得られ、関数コール部15において送信処理関数がコールされて送信処理が実行される。一方、何れかの命令が異常のときはそれ以外の結果:0xFFFC〜0xFFFEが得られるので送信処理関数がコールされず、送信処理は実行されない。 Further, for calculation of the function address, assuming that the expected value of the calculation result of the function address is 0xFFFF, the initial value of the register C is 0xFFFF-0x0003 = 0xFFFC.
By setting it to the value obtained by subtracting "3" from the expected value like this, the expected value result: 0xFFFF is obtained when all the instructions used in the operation are normal, and the transmission processing function is called in the function call unit 15 Transmission processing is performed. On the other hand, when one of the instructions is abnormal, the other result: 0xFFFC to 0xFFFE is obtained, so the transmission processing function is not called and transmission processing is not performed.

上記の演算はINST診断を行うため、又は関数アドレスの算出をするための一例である。演算を命令毎に細かく分割し、SUM値を算出するような処理は目的の達成のためには必須ではない。重要な点は、各命令を使用して演算を行い、1命令でも演算を誤ると正しい結果が得られないような処理を行うことである。   The above operation is an example for performing INST diagnosis or calculating function address. A process of finely dividing an operation into instructions and calculating a SUM value is not essential for achieving the purpose. The important point is that each instruction is used to perform an operation, and even one instruction is processed so that a correct result can not be obtained.

また、演算では必ずしも全ての命令を使用する必要はない。本実施形態のCPU5の異常時にCAN送信を停止する処理は、誤ったシフタ位置信号を送信しないことで、意図しない車両動作を防止するために必要である。したがって、シフタ位置を判定してからCAN送信が行われるまでの間で使用される命令を演算の対象とすれば、要求は十分に満たされる。   Also, it is not necessary to use all the instructions in the operation. The process of stopping CAN transmission when the CPU 5 of the present embodiment is abnormal is necessary to prevent unintended vehicle operation by not transmitting an incorrect shifter position signal. Therefore, if the instruction used from the determination of the shifter position until the CAN transmission is performed is the target of the operation, the request is sufficiently satisfied.

次に、ダイアグサービス処理について説明する。図7及び図10に示すように、ダイアグサービスツール9がSCU2に対してサービス要求を送信すると(S41)CAN通信部13の受信処理部13Rが、その供給を受信しダイアグサービス部25に転送する(S42)。ダイアグサービス部25は、サービス要求に対する応答メッセージを生成する(S43)。この時、「異常」が検知されていれば故障情報を応答メッセージに含めるようにする。そして、ダイアグサービス部25は、CAN通信部13内の送信処理を行う関数をコールして(S44)応答メッセージをダイアグサービスツール9に送信する(S45)。すると、ダイアグサービスツール9は、送信された応答メッセージを受信する(S46)。   Next, the diagnosis service process will be described. As shown in FIGS. 7 and 10, when the diagnostic service tool 9 transmits a service request to the SCU 2 (S41), the reception processing unit 13R of the CAN communication unit 13 receives the supply and transfers it to the diagnostic service unit 25. (S42). The diagnostic service unit 25 generates a response message to the service request (S43). At this time, if "abnormal" is detected, failure information is included in the response message. Then, the diagnosis service unit 25 calls a function for performing transmission processing in the CAN communication unit 13 (S44), and transmits a response message to the diagnosis service tool 9 (S45). Then, the diagnostic service tool 9 receives the transmitted response message (S46).

ここで従来技術では、CAN通信を停止する際にはCANドライバ自体を停止させたり又はCANバスを遮断するため、全てのCAN送信が完全に遮断される。これにより、ダイアグサービスのようなECU外部から故障情報を取得する機能等、CAN通信を利用した機能が全て使用できなくなる。これに対して、本実施形態では、異常発生時にはシフタ位置のCAN送信のみを制限し、外部のツール9によるダイアグサービス要求に対するCAN受信,及びそれに対する応答のCAN送信については制限しない。   Here, in the prior art, when stopping CAN communication, all CAN transmissions are completely cut off in order to stop the CAN driver itself or to shut off the CAN bus. As a result, all functions using CAN communication, such as a function for acquiring failure information from outside the ECU such as a diagnostic service, can not be used. On the other hand, in the present embodiment, only the CAN transmission of the shifter position is limited when an abnormality occurs, and the CAN reception for the diagnostic service request by the external tool 9 and the CAN transmission for the response thereto are not limited.

以上のように本実施形態によれば、シフトバイワイヤシステムを構成するSCU2は、CPU5の内部機能として、外部装置と通信を行うCAN通信部13と、CPU5が異常か否かを診断する診断プログラムを実行するCPU異常診断ロジック部16及び送信処理関数アドレス生成部17を備え、これらは、診断結果が異常であればCAN通信部13による通信を停止させる。このように構成すれば、CPU5に外部機構を付加することなく内部機能DE自己診断を行い、その診断の結果が異常であれば通信を停止させるので、SCU2を構成する際にコストの上昇を抑制できる。   As described above, according to the present embodiment, the SCU 2 configuring the shift-by-wire system has, as an internal function of the CPU 5, a CAN communication unit 13 that communicates with an external device and a diagnostic program that diagnoses whether the CPU 5 is abnormal. The CPU abnormality diagnosis logic unit 16 to be executed and the transmission processing function address generation unit 17 are provided, and when the diagnosis result is abnormal, the communication by the CAN communication unit 13 is stopped. According to this configuration, the internal function DE self-diagnosis is performed without adding an external mechanism to the CPU 5, and if the result of the diagnosis is abnormal, the communication is stopped. Therefore, the cost increase is suppressed when configuring the SCU 2. it can.

そして、CPU異常診断ロジック部16及び送信処理関数アドレス生成部17は、診断結果が異常であればCAN通信部13によるシフタ位置のデータ送信のみを停止させるので、外部のツール9によるダイアグサービス要求に対するCAN受信,及びそれに対する応答のCAN送信については継続することが可能になる。   Then, since the CPU abnormality diagnosis logic unit 16 and the transmission processing function address generation unit 17 only stop the data transmission of the shifter position by the CAN communication unit 13 if the diagnosis result is abnormal, the diagnosis service request by the external tool 9 is requested. It is possible to continue CAN reception of the response to it and CAN reception.

また、送信処理関数アドレス生成部17は、CPU5が実行する複数の命令を使用し、各命令毎に独立した演算を実行し、その実行結果の値を順次累積させ、最終的な累積値、送信処理を行う関数のアドレスとして生成する。そして、生成したアドレスが所期値を示さなければ異常と診断する。このように構成すれば、CPU5に異常があれば生成されたアドレスの値が所期と異なるため、送信処理を行う関数がコールされず送信は実行されない。したがって、異常が発生した際に送信を確実に中止できる。この場合、前記複数の命令として、CAN通信部13によりシフタ位置のデータを送信する際にCPU5が実行する複数の命令を使用するので、送信処理に使用される命令が正常に実行されるか否かにより、異常診断を効率的に行うことができる。   In addition, the transmission processing function address generation unit 17 uses a plurality of instructions executed by the CPU 5 to execute independent operations for each instruction, sequentially accumulate the values of the execution results, and transmit the final accumulated value, transmission Generate as the address of the function to be processed. If the generated address does not indicate the desired value, it is diagnosed as abnormal. According to this configuration, if there is an abnormality in the CPU 5, the value of the generated address is different from the expected value, so that the function that performs the transmission process is not called and the transmission is not performed. Therefore, transmission can be reliably stopped when an abnormality occurs. In this case, since the plurality of instructions executed by the CPU 5 when transmitting data at the shifter position by the CAN communication unit 13 are used as the plurality of instructions, whether or not the instruction used for the transmission process is properly executed An abnormality diagnosis can be performed efficiently.

また、INST診断部21は、送信処理関数アドレス生成部17と同様の診断プログラムを用いてCPU5の異常診断を行うようにした。これにより、CPU5が正常であるか否かをダブルチェックして、異常の有無をより確実に診断できる。   Further, the INST diagnosis unit 21 diagnoses the abnormality of the CPU 5 using a diagnosis program similar to that of the transmission processing function address generation unit 17. Thus, whether or not the CPU 5 is normal can be double-checked, and the presence or absence of an abnormality can be diagnosed more reliably.

更に、外部のACT4に通電を行う経路に配置されるリレー24と、リレー24のオンオフを制御する監視部7とを備え、CPU異常診断ロジック部16は、診断結果を監視部7に出力し、監視部7は、診断結果が異常であればリレー24を開いてオフにする。これにより、ACT4に駆動電流を流すことを阻止して、車両のロック,アンロックが切替わらないようにできる。   Furthermore, a relay 24 disposed in a path for energizing the external ACT 4 and a monitoring unit 7 controlling on / off of the relay 24 are provided, and the CPU abnormality diagnosis logic unit 16 outputs a diagnosis result to the monitoring unit 7; The monitoring unit 7 opens and turns off the relay 24 if the diagnosis result is abnormal. As a result, it is possible to prevent the drive current from flowing to the ACT 4 and prevent the lock and unlock of the vehicle from being switched.

(その他の実施形態)
INST診断は、必要に応じて実行すれば良い。
診断プログラムは、必ずしも各演算の結果の累積値を求める必要は無い。
診断プログラムにおけるメインプログラムとサブプログラムとは、必ずしも同じプログラムにする必要は無い。
通信プロトコルはCANに限ることなく、どのようなプロトコルでも良い。
シフトバイワイヤシステム以外のシステムに適用しても良い。
本開示は、実施例に準拠して記述されたが、本開示は当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、さらには、それらに一要素のみ、それ以上、あるいはそれ以下、を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。 (Other embodiments)
The INST diagnosis may be performed as needed.
The diagnostic program does not necessarily have to calculate the cumulative value of the result of each operation.
The main program and the sub program in the diagnostic program do not necessarily have to be the same program.
The communication protocol is not limited to CAN, and any protocol may be used.
The present invention may be applied to systems other than shift-by-wire systems.
Although the present disclosure has been described based on the examples, it is understood that the present disclosure is not limited to the examples and structures. The present disclosure also includes various modifications and variations within the equivalent range. In addition, various combinations and forms, and further, other combinations and forms including only one element, or more or less than these elements are also within the scope and the scope of the present disclosure.

図面中、1はシフタ、2はSCU、3はTCU、4はACT、5はCPU、7は監視部、13はCAN通信部、16はCPU異常診断ロジック部、17は送信処理関数アドレス生成部、21はINST診断部を示す。   In the figure, 1 is a shifter, 2 is an SCU, 3 is a TCU, 4 is an ACT, 5 is a CPU, 7 is a monitoring unit, 13 is a CAN communication unit, 16 is a CPU abnormality diagnosis logic unit, and 17 is a transmission processing function address generation unit , 21 indicates an INST diagnostic unit.

Claims (10)

CPU(5)の内部機能として実現されるもので、
外部装置と通信を行う通信部(13)と、
前記CPUが異常か否かを診断する診断プログラムを実行する異常診断部(16,17)とを備え、
前記異常診断部は、前記診断結果が異常であれば、前記通信部による通信を停止させる電子制御装置。 It is realized as an internal function of CPU (5),
A communication unit (13) that communicates with an external device;
And an abnormality diagnosis unit (16, 17) that executes a diagnosis program that diagnoses whether the CPU is abnormal or not.
The electronic control unit according to claim 1, wherein the abnormality diagnosis unit stops communication by the communication unit if the diagnosis result is abnormal. 前記異常診断部は、前記診断結果が異常であれば、前記通信部による特定のデータ送信のみを停止させる請求項1記載の電子制御装置。   The electronic control unit according to claim 1, wherein the abnormality diagnosis unit stops only specific data transmission by the communication unit if the diagnosis result is abnormal. 前記診断プログラムは、前記CPUが実行する複数の命令を使用し、各命令毎に独立した演算を実行することで送信処理を行う関数のアドレス生成し、前記アドレスが所期値を示さなければ異常と診断する処理をメインプログラムとする請求項1又は2記載の電子制御装置。   The diagnostic program uses a plurality of instructions executed by the CPU, and executes an independent operation for each instruction to generate an address of a function that performs transmission processing. If the address does not indicate a desired value, an error occurs. The electronic control device according to claim 1 or 2, wherein the process of diagnosing the main body is a main program. 前記メインプログラムは、前記通信部により特定のデータ送信を行う際に前記CPUが実行する複数の命令を使用し、各命令毎に独立した演算を実行することで送信処理を行う関数のアドレス生成し、前記アドレスが所期値を示さなければ異常と診断する請求項3記載の電子制御装置。   The main program uses a plurality of instructions executed by the CPU when performing specific data transmission by the communication unit, and generates an address of a function that performs transmission processing by executing an independent operation for each instruction. 4. The electronic control unit according to claim 3, wherein the electronic control unit diagnoses an abnormality if the address does not indicate a desired value. 前記メインプログラムは、各命令毎に独立した演算の実行結果の値を順次累積させ、最終的な累積値が前記アドレスの値に一致するか否かを判断する請求項3又は4記載の電子制御装置。   5. The electronic control according to claim 3, wherein the main program sequentially accumulates values of execution results of independent operations for each instruction, and determines whether a final accumulated value matches the value of the address. apparatus. 前記診断プログラムは、前記CPUが実行する複数の命令を使用し、各命令毎に独立した演算を実行することで得られた値が所期値に一致しなければ異常と診断する処理をサブプログラムとする請求項3から5の何れか一項に記載の電子制御装置。   The diagnostic program is a sub-program that uses a plurality of instructions executed by the CPU, and performs a process of diagnosing an abnormality if the value obtained by executing independent operations for each instruction does not match the expected value. The electronic control device according to any one of claims 3 to 5, wherein 前記診断プログラムは、前記通信部により特定のデータ送信を行う際に前記CPUが実行する複数の命令を使用し、各命令毎に独立した演算を実行することで得られた値が所期値に一致しなければ異常と診断する処理をサブプログラムとする請求項6記載の電子制御装置。   The diagnostic program uses a plurality of instructions executed by the CPU when transmitting specific data by the communication unit, and a value obtained by executing independent calculation for each instruction is a desired value. 7. The electronic control device according to claim 6, wherein the processing for diagnosing an abnormality if they do not match is a subprogram. 前記サブプログラムは、各命令毎に独立した演算の実行結果の値を順次累積させ、最終的な累積値が所期値に一致するか否かを判断する請求項6又は7記載の電子制御装置。   8. The electronic control device according to claim 6, wherein the subprogram sequentially accumulates values of execution results of independent operations for each instruction, and determines whether or not the final accumulated value matches an expected value. . 外部の制御対象機器に通電を行う経路に配置されるスイッチ(24)と、
このスイッチのオンオフを制御する監視部(7)とを備え、
前記異常診断部は、前記診断結果を前記監視部に出力し、
前記監視部は、前記診断結果が異常であれば前記スイッチをオフにする請求項1から8の何れか一項に記載の電子制御装置。 A switch (24) disposed in a path for energizing the external control target device;
A monitoring unit (7) for controlling the on / off of the switch;
The abnormality diagnosis unit outputs the diagnosis result to the monitoring unit.
The electronic control unit according to any one of claims 1 to 8, wherein the monitoring unit turns off the switch if the diagnosis result is abnormal. シフトバイワイヤシステムに適用され、ドライバにより操作された車両のシフタ(1)の位置を前記外部装置(3)に送信する請求項1から9の何れか一項に記載の電子制御装置。   The electronic control unit according to any one of claims 1 to 9, which is applied to a shift-by-wire system and transmits the position of a shifter (1) of a vehicle operated by a driver to the external device (3).
JP2017223613A 2017-11-21 2017-11-21 Electronic control device Active JP7024345B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017223613A JP7024345B2 (en) 2017-11-21 2017-11-21 Electronic control device
DE102018219795.4A DE102018219795A1 (en) 2017-11-21 2018-11-19 Electronic control unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017223613A JP7024345B2 (en) 2017-11-21 2017-11-21 Electronic control device

Publications (2)

Publication Number Publication Date
JP2019093839A true JP2019093839A (en) 2019-06-20
JP7024345B2 JP7024345B2 (en) 2022-02-24

Family

ID=66336645

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017223613A Active JP7024345B2 (en) 2017-11-21 2017-11-21 Electronic control device

Country Status (2)

Country Link
JP (1) JP7024345B2 (en)
DE (1) DE102018219795A1 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10312310A (en) * 1997-05-12 1998-11-24 Nec Corp Self-diagnostic method for central processing unit and central processing unit equipped with self-diagnostic function
JP2009122831A (en) * 2007-11-13 2009-06-04 Mitsubishi Electric Corp Electronic control device
WO2013001716A1 (en) * 2011-06-29 2013-01-03 日本精工株式会社 In-vehicle electronic control device
JP2015033863A (en) * 2013-08-07 2015-02-19 日立オートモティブシステムズ株式会社 Vehicle electronic controller
WO2015194407A1 (en) * 2014-06-18 2015-12-23 日立オートモティブシステムズ株式会社 Vehicle-mounted control device or vehicle-mounted control system
JP2016089978A (en) * 2014-11-06 2016-05-23 本田技研工業株式会社 Parking lock mechanism

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4533270B2 (en) 2005-07-19 2010-09-01 日立オートモティブシステムズ株式会社 Control device for automobile and abnormality monitoring method thereof

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10312310A (en) * 1997-05-12 1998-11-24 Nec Corp Self-diagnostic method for central processing unit and central processing unit equipped with self-diagnostic function
JP2009122831A (en) * 2007-11-13 2009-06-04 Mitsubishi Electric Corp Electronic control device
WO2013001716A1 (en) * 2011-06-29 2013-01-03 日本精工株式会社 In-vehicle electronic control device
JP2015033863A (en) * 2013-08-07 2015-02-19 日立オートモティブシステムズ株式会社 Vehicle electronic controller
WO2015194407A1 (en) * 2014-06-18 2015-12-23 日立オートモティブシステムズ株式会社 Vehicle-mounted control device or vehicle-mounted control system
JP2016089978A (en) * 2014-11-06 2016-05-23 本田技研工業株式会社 Parking lock mechanism

Also Published As

Publication number Publication date
JP7024345B2 (en) 2022-02-24
DE102018219795A1 (en) 2019-05-23

Similar Documents

Publication Publication Date Title
EP3012156B1 (en) Abnormality information control device for construction machine
CN101779193B (en) System for providing fault tolerance for at least one micro controller unit
US9563523B2 (en) Architecture for scalable fault tolerance in integrated fail-silent and fail-operational systems
JP2018158591A (en) Control device for vehicle
JP2008199253A (en) Abnormality diagnosis system and diagnostic information management device
JP5944243B2 (en) Plant safety device and operation method thereof
CN105988365A (en) Safety architecture for failsafe systems
JP2011032903A (en) Control device of vehicle
JP7024345B2 (en) Electronic control device
JP7014140B2 (en) Electromagnetic brake control device and control device
JP6742192B2 (en) Electronic control unit
JP4477739B2 (en) Redundant information processing system
JP5577285B2 (en) Positioner
JP6681304B2 (en) Vehicle control device and vehicle internal combustion engine control device
US9952578B2 (en) Method and system for actuating at least one actuator
JP2007083887A (en) Motor driving circuit
WO2018116400A1 (en) Control device, and processing method in event of failure in control device
JP2019168835A (en) Electronic control device
US7231548B2 (en) Diagnosis of fault conditions in embedded systems
JP4296888B2 (en) Electronic control unit
KR101006680B1 (en) Apparatus for mornitoring transmission controll unit
JP5319499B2 (en) Multiplexing controller
JP7362261B2 (en) Surveillance systems and how to operate them
US20230398955A1 (en) In-vehicle use control system
KR20140070020A (en) Control device safety system for construction equipment having dual control system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201015

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210803

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210921

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220111

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220124

R151 Written notification of patent or utility model registration

Ref document number: 7024345

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151