JP2020135738A - 制御装置およびそのリセット方法 - Google Patents

制御装置およびそのリセット方法 Download PDF

Info

Publication number
JP2020135738A
JP2020135738A JP2019031814A JP2019031814A JP2020135738A JP 2020135738 A JP2020135738 A JP 2020135738A JP 2019031814 A JP2019031814 A JP 2019031814A JP 2019031814 A JP2019031814 A JP 2019031814A JP 2020135738 A JP2020135738 A JP 2020135738A
Authority
JP
Japan
Prior art keywords
reset
signal
unit
control
microcomputer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019031814A
Other languages
English (en)
Other versions
JP7131431B2 (ja
Inventor
真 大石
Makoto Oishi
真 大石
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2019031814A priority Critical patent/JP7131431B2/ja
Priority to CN201911391827.9A priority patent/CN111611102B/zh
Priority to US16/748,102 priority patent/US11481226B2/en
Publication of JP2020135738A publication Critical patent/JP2020135738A/ja
Application granted granted Critical
Publication of JP7131431B2 publication Critical patent/JP7131431B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4405Initialisation of multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1438Restarting or rejuvenating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • G06F11/3082Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting the data filtering being achieved by aggregating or compressing the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3089Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents
    • G06F11/3096Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents wherein the means or processing minimize the use of computing system or of computing system component resources, e.g. non-intrusive monitoring which minimizes the probe effect: sniffing, intercepting, indirectly deriving the monitored data from other directly available data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4406Loading of operating system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Debugging And Monitoring (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

【課題】第1および第2制御部を含む制御装置において、第1および第2制御部の一方が正常に作動している間に他方に異常が発生した際に、正常な一方をリセットさせない制御装置を提供する。
【解決手段】車両1の第1および第2MCU(制御部)51、52は、相互に相手側の状態を監視して相手側をリセットすべき場合に監視部53にリセット要求信号を送信する。リセット処理部59は、第1および第2MCUの一方をリセットすべき旨のリセット要求信号を第1および第2MCUの他方から受信し、かつ、第1および第2MCUの他方にリセット信号を送信していない場合、第1および第2MCUの一方にリセット信号を送信する。また、第1および第2MCUの一方をリセットすべき旨のリセット要求信号を第1および第2MCUの他方から受信し、かつ第1および第2MCUの他方にリセット信号を送信している場合、第1および第2MCUの一方のリセットを禁止する。
【選択図】図1

Description

本開示は、第1機器を制御する第1制御部と、第2機器を制御する第2制御部と、第1および第2制御部を監視する監視部と含む制御装置およびそのリセット方法に関する。
従来、トリガ信号を出力する機能をもったサブマイコンと、当該トリガ信号をトリガとして特定の演算処理を実施し、演算結果をサブマイコンに送信するメインマイコンと、上記トリガ信号が入力されるウォッチドッグタイマ(コンピュータ監視手段)とを含む制御装置が知られている(例えば、特許文献1参照)。この制御装置において、サブマイコンは、メインマイコンからの演算結果に基づいて当該メインマイコンの状態を監視し、演算結果が異常である場合、リセット信号を出力してメインマイコンをリセットさせる。また、ウォッチドッグタイマは、サブマイコンからのトリガ信号の周期が正常範囲内にない場合、サブマイコンおよびメインマイコンの双方をリセットさせる。更に、メインマイコンは、サブマイコンからのトリガ信号の周期が正常範囲内にない場合に自身の作動を停止させる。
また、従来、それぞれ同一のプログラムを格納してほぼ同じクロック速度の別個のクロックソースに従って共通の制御対象を制御する第1および第2マイコン(CPU)と、第1ウォッチドッグパルス遮断回路と、第1ウォッチドッグタイマ回路と、第2ウォッチドッグパルス遮断回路と、第2ウォッチドッグタイマ回路とを含むダブルマイコンシステムが知られている(例えば、特許文献2参照)。このダブルマイコンシステムの第1ウォッチドッグタイマ回路は、第1マイコンからのウォッチドッグパルスを監視し、第2ウォッチドッグタイマ回路は、第2マイコンからのウォッチドッグパルスを監視する。また、第1ウォッチドッグパルス遮断回路は、第2マイコンからのウォッチドッグテスト信号に応動して第1マイコンから第1ウォッチドッグタイマ回路へのウォッチドッグパルスの供給を遮断する。また、第2ウォッチドッグパルス遮断回路は、第1マイコンからのウォッチドッグテスト信号に応動して第2マイコンから第2ウォッチドッグタイマ回路へのウォッチドッグパルスの供給を遮断する。そして、第1および第2ウォッチドッグタイマ回路は、第1または第2マイコンからのウォッチドッグパルスの供給が遮断されると第1または第2マイコンにリセット信号を出力する。
特許6081239号公報 特許2593915号公報
しかしながら、特許文献1に記載された制御装置では、サブマイコンに異常が発生した場合、当該サブマイコンの誤作動により、正常に作動しているメインマイコンをリセットさせてしまうおそれがある。また、特許文献2に記載されたダブルマイコンシステムでは、第1および第2マイコンの一方が正常に作動している間に他方に異常が発生した場合、第1および第2マイコンの他方からウォッチドッグテスト信号が誤って出力されてしまうと、正常な第1および第2マイコンの一方がリセットされてしまう。
そこで、本開示は、第1および第2制御部を含む制御装置において、第1および第2制御部の一方が正常に作動している間に他方に異常が発生した際に、正常な一方をリセットさせないようすることを主目的とする。
本開示の制御装置は、第1機器を制御する第1制御部と、前記第1機器と同一または異なる第2機器を制御する第2制御部と、前記第1および第2制御部を監視すると共に前記第1および第2制御部に対して個別にリセット信号を送信可能な監視部と含み、前記第1および第2制御部が相互に相手側の状態を監視して前記相手側をリセットすべき場合に前記監視部にリセット要求信号を送信する制御装置であって、前記監視部が、前記第1および第2制御部の一方をリセットすべき旨の前記リセット要求信号を前記第1および第2制御部の他方から受信し、かつ前記第1および第2制御部の前記他方にリセット信号を送信していない場合、前記第1および第2制御部の前記一方にリセット信号を送信し、前記第1および第2制御部の一方をリセットすべき旨の前記リセット要求信号を前記第1および第2制御部の他方から受信し、かつ前記第1および第2制御部の前記他方にリセット信号を送信している場合、前記第1および第2制御部の前記一方のリセットを禁止するものである。
本開示の制御装置の監視部は、第1および第2制御部の一方をリセットすべき旨のリセット要求信号を第1および第2制御部の他方から受信した際、第1および第2制御部の他方にリセット信号を送信していないことを条件として、第1および第2制御部の一方にリセット信号を送信する。すなわち、第1および第2制御部の一方をリセットすべき旨のリセット要求信号が第1および第2制御部の他方から監視部に送信されても、監視部から第1および第2制御部の他方にリセット信号が送信されている場合、第1および第2制御部の一方のリセットが禁止される。これにより、第1および第2制御部の一方が正常に作動している間に他方に異常が発生した際に、正常な一方をリセットさせないようすることが可能となる。
また、前記監視部は、前記第1制御部からの信号に基づいて前記第1制御部に異常が発生しているか否かを判定する第1異常判定部と、前記第2制御部からの信号に基づいて前記第2制御部に異常が発生しているか否かを判定する第2異常判定部と、前記第1異常判定部により前記第1制御部に異常が発生していると判定された場合、および前記第2制御部から前記第1制御部をリセットすべき旨の前記リセット要求信号が前記監視部に送信され、かつ前記第2制御部に前記リセット信号が送信されていない場合、前記第1制御部に前記リセット信号を送信する第1リセット処理部と、前記第2異常判定部により前記第2制御部に異常が発生していると判定された場合、および前記第1制御部から前記第2制御部をリセットすべき旨の前記リセット要求信号が前記監視部に送信され、かつ前記第1制御部に前記リセット信号が送信されていない場合、前記第2制御部に前記リセット信号を送信する第2リセット処理部とを含むものであってもよい。これにより、第1および第2異常判定部により第1および第2制御部を独立して監視することができるので、第1および第2制御部の何れか一方に異常が発生した際に第1および第2制御部の双方をリセットさせてしまうのを良好に抑制することが可能となる。
更に、前記監視部は、前記第1制御部から前記第2制御部をリセットすべき旨の前記リセット要求信号が前記監視部に送信されたか否かを判定する第1リセット要求判定部と、前記第2制御部から前記第1制御部をリセットすべき旨の前記リセット要求信号が前記監視部に送信されたか否かを判定する第2リセット要求判定部とを含むものであってもよい。
また、前記第1制御部から前記第1異常判定部に送信される前記信号、および前記第2制御部から前記第2異常判定部に送信される前記信号は、ウォッチドッグパルス信号であってもよい。
更に、前記第1異常判定部は、前記第1制御部から第1通信線を介して前記監視部に定期的に送信される信号に基づいて前記第1制御部に異常が発生しているか否かを判定するものであってもよく、前記第2異常判定部は、前記第2制御部から第2通信線を介して前記監視部に定期的に送信される信号に基づいて前記第2制御部に異常が発生しているか否かを判定するものであってもよく、前記第1制御部は、前記第2制御部をリセットすべき旨の前記リセット要求信号を前記第1通信線を介して前記監視部に送信するものであってもよく、前記第2制御部は、前記第1制御部をリセットすべき旨の前記リセット要求信号を前記第2通信線を介して前記監視部に送信するものであってもよい。これにより、第1制御部から監視部にリセット要求信号を送信するための通信線と、第2制御部から監視部にリセット要求信号を送信するための通信線とを省略することができるので、通信線の異常の発生リスクを低減して制御装置の信頼性をより向上させることが可能となる。
また、前記監視部は、ASICにより構成されてもよい。これにより、監視部を含む制御装置のコストを低減することができる。
更に、前記監視部は、単一のマイクロコンピュータであってもよい。すなわち、ソフトウェアを用いて監視部の機能の少なくとも一部を実行することで、監視部を含む制御装置の開発リードタイムすなわち開発コストを低減することが可能となる。
また、前記制御装置は、前記第1制御部のプロセッサ、前記第2制御部のプロセッサ、および前記監視部のプロセッサとして機能するマルチコアプロセッサを含むものであってもよい。
本開示の制御装置のリセット方法は、第1機器を制御する第1制御部と、前記第1機器と同一または異なる第2機器を制御する第2制御部とを含み、前記第1および第2制御部が相互に相手側の状態を監視して前記相手側をリセットすべき場合にリセット要求信号を出力する制御装置のリセット方法であって、前記第1および第2制御部の一方をリセットすべき旨の前記リセット要求信号が前記第1および第2制御部の他方から出力され、かつ前記第1および第2制御部の前記他方にリセット信号が送信されていない場合、前記第1および第2制御部の前記一方にリセット信号を送信し、前記第1および第2制御部の一方をリセットすべき旨の前記リセット要求信号が前記第1および第2制御部の他方から出力され、かつ前記第1および第2制御部の前記他方にリセット信号が送信されている場合、前記第1および第2制御部の前記一方のリセットを禁止するものである。
かかる方法によれば、第1および第2制御部の一方が正常に作動している間に他方に異常が発生した際に、正常な一方をリセットさせないようすることが可能となる。
本開示の制御装置を含む車両の概略構成図である。 本開示の制御装置により実行される第1リセット許否ルーチンの一例を示すフローチャートである。 本開示の制御装置により実行される第2リセット許否ルーチンの一例を示すフローチャートである。 本開示の他の制御装置を示すブロック構成図である。 本開示の制御装置に適用可能な他の監視部を示すブロック構成図である。 図5に示す監視部の第1リセット処理部を構成する論理回路の真理値表である。 図5に示す監視部の第2リセット処理部を構成する論理回路の真理値表である。
次に、図面を参照しながら本開示の発明を実施するための形態について説明する。
図1は、本開示の制御装置であるモータ電子制御装置(以下、「MGECU」という。)50を含む車両1の概略構成図である。同図に示す車両1は、MGECU50に加えて、エンジン2と、主に発電機として作動するモータジェネレータMG1と、主に走行用の動力や回生制動力を出力するモータジェネレータMG2と、シングルピニオン式のプラネタリギヤ3と、蓄電装置(バッテリ)4と、当該蓄電装置4に接続されると共にモータジェネレータMG1およびMG2を駆動する電力制御装置(PCU)5と、車両全体を制御するハイブリッド電子制御ユニット(以下、「HVECU」という)10とを含むハイブリッド車両である。
エンジン2は、炭化水素系の燃料と空気との混合気の爆発燃焼により動力を発生する内燃機関であり、エンジン電子制御装置(以下、「エンジンECU」という)20により制御される。モータジェネレータMG1,MG2は、何れも同期発電電動機(三相交流電動機)である。プラネタリギヤ3は、モータジェネレータMG1(ロータ)に連結されるサンギヤと、出力軸に接続されると共にモータジェネレータMG2(ロータ)に連結されるリングギヤと、複数のピニオンギヤを回転自在に支持すると共にエンジン2のクランクシャフトに連結されるプラネタリキャリヤとを含む。出力軸は、デファレンシャルギヤDFやドライブシャフトDSを介して左右の駆動輪DWに連結される。蓄電装置4は、例えばリチウムイオン二次電池あるいはニッケル水素二次電池等である。電力制御装置5は、モータジェネレータMG1を駆動する第1インバータ5aやモータジェネレータMG2を駆動する第2インバータ5b、図示しない昇圧コンバータ等を含み、MGECU50により制御される。
HVECU10、エンジンECU20、MGECU50の各々は、図示するように、LoおよびHiの2本の通信線(ワイヤーハーネス)を含むCANバスである共用通信線(多重通信バス)BMに接続されており、当該共用通信線BMを介してCAN通信により相互に情報(通信フレーム)をやり取りする。また、MGECU50(エンジンECU20も同様)は、LoおよびHiの2本の通信線(ワイヤーハーネス)を含むCANバスである専用通信線(ローカル通信バス)BLを介してHVECU10に個別に接続されており、当該専用通信線BLを介してHVECU10との間でCAN通信により情報(通信フレーム)をやり取りする。
MGECU50は、HVECU10やエンジンECU20と協働して電力制御装置5を制御するように構成されている。図1に示すように、MGECU50は、モータジェネレータMG1(第1機器)に対応した第1インバータ5aを制御する第1制御部としての第1マイクロコンピュータ51と、モータジェネレータMG2(第2機器)に対応した第2インバータ5bや図示しない昇圧コンバータ等を制御する第2制御部としての第2マイクロコンピュータ52(以下、「マイクロコンピュータ」を「マイコン」という。)と、第1および第2マイコン51,52を監視する監視ユニット(監視部)53とを含む。
MGECU50の第1マイコン51は、何れも図示しない第1CPU、ROM、RAM、入出力インターフェース、各種駆動回路、各種ロジックIC等を含む。また、第2マイコン52は、何れも図示しない第2CPU、ROM、RAM、入出力インターフェース、各種駆動回路、各種ロジックIC等を含む。第1マイコン51(第1CPU)と、第2マイコン52(第2CPU)とは、それぞれ上記共用通信線BMおよび専用通信線BLに接続されると共に、第1マイコン51から第2マイコン52に信号を送信するための第1信号線と、第2マイコン52から第1マイコン51に信号を送信するための第2信号線とを介して互いに接続されている。第1および第2マイコン51,52は、第1および第2信号線を介して互いに情報をやり取りする。更に、第1マイコン51は、第1パルス信号線および第1リセット要求信号線を介して監視ユニット53に接続されており、第2マイコン52は、第2パルス信号線および第2リセット要求信号線を介して監視ユニット53に接続されている。第1マイコン51は、第1パルス信号線を介して監視ユニット53にウォッチドッグパルス信号(ランパルス信号)を送信し、第2マイコン52は、第2パルス信号線を介して監視ユニット53にウォッチドッグパルス信号(ランパルス信号)を送信する。
また、第1マイコン51は、第2信号線を介して第2マイコン52から送信された情報の一部(例えば演算結果等)に基づいて当該第2マイコン52に異常が発生しているか否かを判定する。第2マイコン52に異常が発生していると判定した場合、第1マイコン51は、第2マイコン52をリセットすべき旨のリセット要求信号を第1リセット要求信号線を介して監視ユニット53に送信する。更に、第2マイコン52は、第1信号線を介して第1マイコン51から送信された情報の一部(例えば演算結果等)に基づいて当該第1マイコン51に異常が発生しているか否かを判定する。第1マイコン51に異常が発生していると判定した場合、第2マイコン52は、第1マイコン51をリセットすべき旨のリセット要求信号を第2リセット要求信号線を介して監視ユニット53に送信する。すなわち、第1および第2マイコン51,52は、相互に相手側の状態を監視して相手側をリセットすべき場合にリセット要求信号を監視ユニット53に送信する。
監視ユニット53は、本実施形態において、何れも図示しない第3CPU、ROM、RAM、入出力インターフェース、各種ロジックIC等を含む単一のマイクロコンピュータ(第3マイコン)である。監視ユニット53には、図1に示すように、第3CPUやROM、RAM、ロジックICといったハードウエアと、ROMにインストールされた各種プログラムといったソフトウェアとの協働により、第1異常判定部55と、第2異常判定部56と、第1リセット要求判定部57と、第2リセット要求判定部58と、リセット処理部59とが機能ブロック(モジュール)として構築される。
第1異常判定部55は、上記第1パルス信号線を介して第1マイコン51に接続されるウォッチドッグカウンタであり、第1マイコン51からのウォッチドッグパルス信号に基づいて当該第1マイコン51に異常が発生しているか否かを判定する。すなわち、第1異常判定部55は、第1マイコン51からのウォッチドッグパルス信号を監視し、当該ウォッチドッグパルス信号が所定時間以上途絶しておらず、第1マイコン51に異常が発生していないと判定した場合、第1ウォッチドッグ監視フラグFw1をHi(ハイ)レベルに設定する。また、第1異常判定部55は、第1マイコン51からのウォッチドッグパルス信号が所定時間以上途絶しており、第1マイコン51に異常が発生していると判定した場合、第1ウォッチドッグ監視フラグFw1をLo(ロー)レベルに設定する。
第2異常判定部56は、上記第2パルス信号線を介して第2マイコン52に接続されるウォッチドッグカウンタであり、第2マイコン52からのウォッチドッグパルス信号に基づいて当該第2マイコン52に異常が発生しているか否かを判定する。すなわち、第2異常判定部56は、第2マイコン52からのウォッチドッグパルス信号を監視し、当該ウォッチドッグパルス信号が上記所定時間以上途絶しておらず、第2マイコン52に異常が発生していないと判定した場合、第2ウォッチドッグ監視フラグFw2をHiレベルに設定する。また、第2異常判定部56は、第2マイコン52からのウォッチドッグパルス信号が所定時間以上途絶しており、第2マイコン52に異常が発生していると判定した場合、第2ウォッチドッグ監視フラグFw2をLo(ロー)レベルに設定する。なお、第1および第2異常判定部55,56は、上述のようなタイムアウトタイプのウォッチドッグカウンタに限られるものではなく、ウィンドウタイプあるいは周期監視タイプのウォッチドッグカウンタであってもよい。
第1リセット要求判定部57は、上記第2リセット要求信号線を介して第2マイコン52に接続され、第2マイコン52から第1マイコン51をリセットすべき旨のリセット要求信号が監視ユニット53に送信されたか否かを判定する。第1リセット要求判定部57は、第2マイコン52から第2リセット要求信号線を介して送信される信号のフォーマットが予め定められたリセット要求フォーマットに一致しておらず、第2マイコン52からリセット要求信号が送信されていないと判定した場合、第1リセット要求フラグFrq1をLoレベルに設定する。また、第1リセット要求判定部57は、第2マイコン52から送信される信号のフォーマットが当該リセット要求フォーマットに一致すると、第2マイコン52からリセット要求信号が送信されたと判定し、フォーマットの一致が認められなくなるまで第1リセット要求フラグFrq1をHiレベルに設定する。
第2リセット要求判定部58は、上記第1リセット要求信号線を介して第1マイコン51に接続され、第1マイコン51から第2マイコン52をリセットすべき旨のリセット要求信号が監視ユニット53に送信されたか否かを判定する。第2リセット要求判定部58は、第1マイコン51から第1リセット要求信号線を介して送信される信号のフォーマットが予め定められたリセット要求フォーマットに一致しておらず、第1マイコン51からリセット要求信号が送信されていないと判定した場合、第2リセット要求フラグFrq2をLoレベルに設定する。また、第2リセット要求判定部58は、第1マイコン51から送信される信号のフォーマットが当該リセット要求フォーマットに一致すると、第1マイコン51からリセット要求信号が送信されたと判定し、フォーマットの一致が認められなくなるまで第2リセット要求フラグFrq2をHiレベルに設定する。なお、リセット要求信号のフォーマットは、任意に定めることができる。
リセット処理部59は、第1および第2マイコン51,52の状態に応じて当該第1および第2マイコン51,52に対して個別にリセット信号またはリセット禁止信号を送信可能なものである。図1に示すように、リセット処理部59は、第1マイコン51に対応した第1リセット禁止フラグFrp1を設定する第1リセット処理部59aと、第2マイコン52に対応した第2リセット禁止フラグFrp2を設定する第2リセット処理部59bとを含む。本実施形態において、リセット処理部59、すなわち第1および第2リセット処理部59a,59bは、ROMに格納されたプログラムを実行する監視ユニット53の第3CPUにより構成される。
第1リセット処理部59aは、第1異常判定部55により設定される第1ウォッチドッグ監視フラグFw1、第1リセット要求判定部57により設定される第1リセット要求フラグFrq1および第2リセット処理部59bにより設定される第2リセット禁止フラグFrp2を取得し、これらのフラグのレベルに応じて第1リセット禁止フラグFrp1をHiレベルまたはLoレベルに設定する。第1リセット禁止フラグFrp1がHiレベルに設定されている際、第1マイコン51のリセットを禁止すべく、第1リセット処理部59a(監視ユニット53)から第1マイコン51にHiレベルのリセット禁止信号が送信される。リセット禁止信号を受信した第1マイコン51は、自らをリセットすることなく継続して作動する。これに対して、第1リセット禁止フラグFrp1がLoレベルに設定されると、第1リセット処理部59a(監視ユニット53)から第1マイコン51にLoレベルのリセット信号が送信され、リセット信号を受信した第1マイコン51は、自らをリセットして作動停止する。
第2リセット処理部59bは、第2異常判定部56により設定される第2ウォッチドッグ監視フラグFw2、第2リセット要求判定部58により設定される第2リセット要求フラグFrq2および第1リセット処理部59aにより設定される第1リセット禁止フラグFrp1を取得し、これらのフラグのレベルに応じて第2リセット禁止フラグFrp2をHiレベルまたはLoレベルに設定する。第2リセット禁止フラグFrp2がHiレベルに設定されている際、第2マイコン52のリセットを禁止すべく、第2リセット処理部59b(監視ユニット53)から第2マイコン52にHiレベルのリセット禁止信号が送信さる。リセット禁止信号を受信した第2マイコン52は、自らをリセットすることなく継続して作動する。これに対して、第2リセット禁止フラグFrp2がLoレベルに設定されると、第2リセット処理部59b(監視ユニット53)から第2マイコン52にLoレベルのリセット信号が送信され、リセット信号を受信した第2マイコン52は、自らをリセットして作動停止する。
次に、図2および図3を参照しながら、MGECU50の監視ユニット53による第1および第2マイコン51,52のリセット手順について説明する。図2は、監視ユニット53の第1リセット処理部59aにより実行される第1リセット許否ルーチンの一例を示すフローチャートであり、図3は、監視ユニット53の第2リセット処理部59bにより実行される第2リセット許否ルーチンの一例を示すフローチャートである。第1および第2リセット許否ルーチンは、車両1がシステム起動されている間、第1または第2リセット処理部59a,59bにより所定時間おきに繰り返し実行される。
図2に示す第1リセット許否ルーチンの開始に際して、第1リセット処理部59aは、第1ウォッチドッグ監視フラグFw1、第2リセット禁止フラグFrp2、および第1リセット要求フラグFrq1を取得する(ステップS100)。次いで、第1リセット処理部59aは、第1ウォッチドッグ監視フラグFw1がHiレベルであるか否かを判定する(ステップS110)。ステップS110にて、第1ウォッチドッグ監視フラグFw1がHiレベルである(第1マイコン51に異常が発生していない)と判定した場合(ステップS110:YES)、第1リセット処理部59aは、第2リセット処理部59bにより設定されている第2リセット禁止フラグFrp2がHiレベルであるか否かを判定する(ステップS120)。ステップS120にて、第2リセット禁止フラグFrp2がHiレベルであって第2マイコン52がリセットされていないと判定した場合(ステップS120:YES)、第1リセット処理部59aは、第1リセット要求フラグFrq1がHiレベルであるか否かを判定する(ステップS130)。
ステップS130にて、第1リセット要求フラグFrq1がHiレベルであると判定した場合(ステップS130:YES)、第1リセット処理部59aは、第1リセット禁止フラグFrp1をLoレベルに設定すると共に、第1マイコン51にLoレベルのリセット信号を送信し(ステップS140)、第1リセット許否ルーチンを一旦終了させる。第1リセット処理部59a(監視ユニット53)からリセット信号を受信した第1マイコン51は、上述のように自らをリセットして作動停止する。すなわち、第1マイコン51からのウォッチドッグパルス信号は正常であるが、リセットされておらず正常に作動している(とみなされる)第2マイコン52により第1マイコン51のリセット要求がなされた場合、第2マイコン52からの要求に応じて第1マイコン51がリセットされる。
一方、ステップS110にて、第1ウォッチドッグ監視フラグFw1がLoレベルである(第1マイコン51に異常が発生している)と判定した場合(ステップS110:NO)、第1リセット処理部59aは、第2リセット禁止フラグFrp2および第1リセット要求フラグFrq1のレベルに拘わらず、第1リセット禁止フラグFrp1をLoレベルに設定すると共に、第1マイコン51にLoレベルのリセット信号を送信し(ステップS140)、第1リセット許否ルーチンを一旦終了させる。すなわち、第1マイコン51からのウォッチドッグパルス信号に基づいて当該第1マイコン51に異常が発生したと判定された場合、第2マイコン52の状態に拘わらず、第1マイコン51がリセットされる。
これに対して、ステップS120にて第2リセット禁止フラグFrp2がLoレベルであって第2マイコン52に第2リセット処理部59bからリセット信号が送信されていると判定した場合(ステップS120:NO)、第1リセット処理部59aは、第1マイコン51のリセットを禁止すべく、第1リセット禁止フラグFrp1をHiレベルに設定すると共に、第1マイコン51にHiレベルのリセット禁止信号を送信し(ステップS150)、第1リセット許否ルーチンを一旦終了させる。すなわち、第1マイコン51からのウォッチドッグパルス信号は正常であるが、第2リセット処理部59bからリセット信号が送信されている間に第2マイコン52により第1マイコン51のリセット要求がなされた場合には、当該第2マイコン52からの要求に拘わらず、第1マイコン51のリセットが禁止され、当該第1マイコン51は継続して作動する。これにより、異常の発生からリセットが完了するまでの間に第2マイコン52から第1マイコン51をリセットすべき旨のリセット要求信号が監視ユニット53に誤送信されても、正常な第1マイコン51をリセットさせてしまうのを抑制することが可能となる。
また、ステップS130にて第1リセット要求フラグFrq1がLoレベルであると判定した場合も(ステップS130:NO)、第1リセット処理部59aは、第1マイコン51のリセットを禁止すべく、第1リセット禁止フラグFrp1をHiレベルに設定すると共に、第1マイコン51にHiレベルのリセット禁止信号を送信し(ステップS150)、第1リセット許否ルーチンを一旦終了させる。すなわち、第1マイコン51からのウォッチドッグパルス信号は正常であり、かつ第2マイコン52により第1マイコン51のリセット要求がなされていない場合、第1マイコン51のリセットが禁止され、当該第1マイコン51は継続して作動する。
続いて、図3に示す第2リセット許否ルーチンについて説明する。第2リセット許否ルーチンの開始に際して、第2リセット処理部59bは、第2ウォッチドッグ監視フラグFw2、第1リセット禁止フラグFrp1、および第2リセット要求フラグFrq2を取得する(ステップS200)。次いで、第2リセット処理部59bは、第2ウォッチドッグ監視フラグFw2がHiレベルであるか否かを判定する(ステップS210)。ステップS210にて、第2ウォッチドッグ監視フラグFw2がHiレベルである(第2マイコン52に異常が発生していない)と判定した場合(ステップS210:YES)、第2リセット処理部59bは、第1リセット処理部59aにより設定されている第1リセット禁止フラグFrp1がHiレベルであるか否かを判定する(ステップS220)。ステップS220にて、第1リセット禁止フラグFrp1がHiレベルであって第1マイコン51がリセットされていないと判定した場合(ステップS220:YES)、第2リセット処理部59bは、第2リセット要求フラグFrq2がHiレベルであるか否かを判定する(ステップS230)。
ステップS230にて、第2リセット要求フラグFrq2がHiレベルであると判定した場合(ステップS230:YES)、第2リセット処理部59bは、第2リセット禁止フラグFrp2をLoレベルに設定すると共に、第2マイコン52にLoレベルのリセット信号を送信し(ステップS240)、第2リセット許否ルーチンを一旦終了させる。第2リセット処理部59b(監視ユニット53)からリセット信号を受信した第2マイコン52は、上述のように自らをリセットして作動停止する。すなわち、第2マイコン52からのウォッチドッグパルス信号は正常であるが、リセットされておらず正常に作動している(とみなされる)第1マイコン51により第2マイコン52のリセット要求がなされた場合、第1マイコン51からの要求に応じて第2マイコン52がリセットされる。
一方、ステップS210にて、第2ウォッチドッグ監視フラグFw2がLoレベルである(第2マイコン52に異常が発生している)と判定した場合(ステップS210:NO)、第2リセット処理部59bは、第1リセット禁止フラグFrp1および第2リセット要求フラグFrq2のレベルに拘わらず、第2リセット禁止フラグFrp2をLoレベルに設定すると共に、第2マイコン52にLoレベルのリセット信号を送信し(ステップS240)、第2リセット許否ルーチンを一旦終了させる。すなわち、第2マイコン52からのウォッチドッグパルス信号に基づいて当該第2マイコン52に異常が発生したと判定された場合、第1マイコン51の状態に拘わらず、第2マイコン52がリセットされる。
これに対して、ステップS220にて第1リセット禁止フラグFrp1がLoレベルであって第1マイコン51に第1リセット処理部59aからリセット信号が送信されていると判定した場合(ステップS220:NO)、第2リセット処理部59bは、第2マイコン52のリセットを禁止すべく、第2リセット禁止フラグFrp2をHiレベルに設定すると共に、第2マイコン52にHiレベルのリセット禁止信号を送信し(ステップS250)、第2リセット許否ルーチンを一旦終了させる。すなわち、第2マイコン52からのウォッチドッグパルス信号は正常であるが、第1リセット処理部59aからリセット信号が送信されている間に第1マイコン51により第2マイコン52のリセット要求がなされた場合には、当該第1マイコン51からの要求に拘わらず、第2マイコン52のリセットが禁止され、当該第2マイコン52は継続して作動する。これにより、異常の発生からリセットが完了するまでの間に第1マイコン51から第2マイコン52をリセットすべき旨のリセット要求信号が監視ユニット53に誤送信されても、正常な第2マイコン52をリセットさせてしまうのを抑制することが可能となる。
また、ステップS230にて第2リセット要求フラグFrq2がLoレベルであると判定した場合も(ステップS230:NO)、第2リセット処理部59bは、第2マイコン52のリセットを禁止すべく、第2リセット禁止フラグFrp2をHiレベルに設定すると共に、第2マイコン52にHiレベルのリセット禁止信号を送信し(ステップS250)、第2リセット許否ルーチンを一旦終了させる。すなわち、第2マイコン52からのウォッチドッグパルス信号は正常であり、かつ第1マイコン51により第2マイコン52のリセット要求がなされていない場合、第2マイコン52のリセットが禁止され、当該第2マイコン52は継続して作動する。
以上説明したように、MGECU50の監視ユニット53は、第1および第2マイコン51,52の一方をリセットすべき旨のリセット要求信号を第1および第2マイコン51,52の他方から受信した際、当該第1および第2マイコン51,52の他方にリセット信号を送信していないことを条件として、第1および第2マイコン51,52の一方にリセット信号を送信する(図2のステップS120−S140、図3のステップS220−S240)。すなわち、第1および第2マイコン51,52の一方をリセットすべき旨のリセット要求信号が第1および第2マイコン51,52の他方から監視ユニット53に送信されても、当該監視ユニット53から第1および第2マイコン51,52の他方にリセット信号が送信されている場合、第1および第2マイコン51,52の一方のリセットが禁止される(図2のステップS150,図3のステップS250)。これにより、第1および第2マイコン51,52の一方が正常に作動している間に他方に異常が発生した際に、正常な一方をリセットさせないようすることが可能となる。
また、監視ユニット53は、第1マイコン51からのウォッチドッグパルス信号に基づいて第1マイコン51に異常が発生しているか否かを判定する第1異常判定部55と、第2マイコン52からのウォッチドッグパルス信号に基づいて第2マイコン52に異常が発生しているか否かを判定する第2異常判定部56と、リセット処理部59とを含み、リセット処理部59は、第1マイコン51に対応した第1リセット処理部59aと、第2マイコン52に対応した第2リセット処理部59bとを含む。更に、第1リセット処理部59aは、第1異常判定部55により第1マイコン51に異常が発生していると判定された場合、および第2マイコン52から第1マイコン51をリセットすべき旨のリセット要求信号が監視ユニット53に送信され、かつ第2マイコン52にリセット信号が送信されていない場合、第1マイコン51にリセット信号を送信する。また、第2リセット処理部59bは、第2異常判定部56により第2マイコン52に異常が発生していると判定された場合、および第1マイコン51から第2マイコン52をリセットすべき旨のリセット要求信号が監視ユニット53に送信され、かつ第1マイコン51にリセット信号が送信されていない場合、第2マイコン52にリセット信号を送信する。これにより、第1および第2異常判定部55,56により第1および第2マイコン51,52を独立して監視することができるので、第1および第2マイコン51,52の何れか一方に異常が発生した際に第1および第2マイコン51,52の双方をリセットさせてしまうのを良好に抑制することが可能となる。
更に、上記実施形態において、監視ユニット53は、単一のマイコンであり、当該監視ユニット53の機能の少なくとも一部、すなわちリセット処理部59の機能がソフトウェアを用いて実行される。これにより、監視ユニット53を含むMGECU50の開発リードタイムすなわち開発コストを低減することが可能となる。ただし、上述のように3つのマイコンによりMGECU50を構成する代わりに、MGECU50に単一のマルチコアプロセッサが設けられてもよい。すなわち、MGECU50は、第1マイコン51のプロセッサ、第2マイコン52のプロセッサ、および監視ユニット53のプロセッサとして機能するマルチコアプロセッサを含むものであってもよい。
図4は、本開示の他の制御装置であるMGECU50Bを示すブロック構成図である。なお、なお、MGECU50Bの構成要素のうち、上述のMGECU50と同一の要素については同一の符号を付し、重複する説明を省略する。
図4に示すMGECU50Bでは、第1マイコン51から監視ユニット53Bにウォッチドッグパルス信号の代わりに所定の信号が第1通信線L1を介して定期的に送信され、第2マイコン52から監視ユニット53Bにウォッチドッグパルス信号の代わりに所定の信号が第2通信線L2を介して定期的に送信される。また、監視ユニット53Bは、第1マイコン51から第1通信線L1を介して監視ユニット53Bに定期的に送信される信号に基づいて第1マイコン51に異常が発生しているか否かを判定する第1異常判定部55Bと、第2マイコン52から第2通信線L2を介して監視ユニット53Bに定期的に送信される信号に基づいて第2マイコン52に異常が発生しているか否かを判定する第2異常判定部56Bとを含む。
第1および第2異常判定部55B,56Bは、それぞれ第1または第2マイコン51,52から定期的に送信される信号の通信周期を監視し、当該通信周期が予め定められた基準周期に一致しており、第1または第2マイコン51,52に異常が発生していないと判定した場合、第1ウォッチドッグ監視フラグFw1をHi(ハイ)レベルに設定する。また、第1および第2異常判定部55B,56Bは、上記通信周期が上記基準周期に一致しておらず、第1または第2マイコン51,52に異常が発生していると判定した場合、第1ウォッチドッグ監視フラグFw1をLo(ロー)レベルに設定する。
更に、MGECU50Bにおいて、第1マイコン51は、第1通信線L1を介して第2マイコン52をリセットすべき旨のリセット要求信号を監視ユニット53Bに送信し、第2マイコン52は、第2通信線L2を介して第1マイコン51をリセットすべき旨のリセット要求信号を監視ユニット53Bに送信する。また、監視ユニット53Bの第1および第2リセット要求判定部57B,58Bは、第1または第2通信線L1,L2を介して監視ユニット53Bに送信されたリセット要求信号を監視ユニット53B内の通信線を介して受信し、上述の第1および第2リセット要求判定部57,58と同様の処理を実行する。かかるMGECU50Bでは、第1マイコン51から監視ユニット53Bにリセット要求信号を送信するための通信線と、第2マイコン52から監視ユニット53Bにリセット要求信号を送信するための通信線とを省略することができる。これにより、通信線の異常の発生リスクを低減してMGECU50Bの信頼性をより向上させることが可能となる。
図5は、本開示の制御装置に適用可能な他の監視ユニット53Cを示すブロック構成図である。
図5に示す監視ユニット53Cにおいて、第1および第2異常判定部55C,56Cは、第1または第2マイコン51,52からのウォッチドッグパルス信号が所定時間以上途絶しておらず、第1または第2マイコン51,52に異常が発生していないと判定した場合、Hiレベルの信号を出力する。また、第1および第2異常判定部55C,56Cは、第1または第2マイコン51,52からのウォッチドッグパルス信号が所定時間以上途絶しており、第1または第2マイコン51,52に異常が発生していると判定した場合、Loレベルの信号を出力する。更に、監視ユニット53Cにおいて、第1および第2リセット要求判定部57C,58Cは、第1または第2マイコン51,52から送信される信号のフォーマットが予め定められたリセット要求フォーマットに一致しておらず、第1または第2マイコン51,52からリセット要求信号が送信されていないと判定した場合、Loレベルの信号を出力する。また、第1および第2リセット要求判定部57C,58Cは、第1または第2マイコン51,52から送信される信号のフォーマットが当該リセット要求フォーマットに一致すると、第1または第2マイコン51,52からリセット要求信号が送信されたと判定し、フォーマットの一致が認められなくなるまでHiレベルの信号を出力する。
そして、監視ユニット53Cでは、リセット処理部59Cの第1リセット処理部59aがNANDゲートG1およびANDゲートG2を含む論理回路により構成され、第2リセット処理部59bがNANDゲートG3およびANDゲートG4を含む論理回路により構成される。第1リセット処理部59aのNANDゲートG1は、第1リセット要求判定部57Cからの信号と、第2リセット処理部59b(ANDゲートG4)の出力信号、すなわちHiレベルのリセット禁止信号またはLoレベルのリセット信号とを入力する。NANDゲートG1は、第1リセット要求判定部57Cからの信号および第2リセット処理部59b(ANDゲートG4)の出力信号のレベルが共にHiレベルである場合にのみ、Loレベルの信号を出力し、それ以外の場合、Hiレベルの信号を出力する。第1リセット処理部59aのANDゲートG2は、第1異常判定部55Cからの信号と、NANDゲートG1の出力信号とを入力する。ANDゲートG2は、第1異常判定部55Cからの信号およびNANDゲートG1の出力信号のレベルが共にHiレベルである場合にのみ、Hiレベルのリセット禁止信号を出力し、それ以外の場合、Loレベルのリセット信号を出力する。
第2リセット処理部59bのNANDゲートG3は、第2リセット要求判定部58Cからの信号と、第1リセット処理部59a(ANDゲートG2)の出力信号、すなわちHiレベルのリセット禁止信号またはLoレベルのリセット信号とを入力する。NANDゲートG3は、第2リセット要求判定部58Cからの信号および第1リセット処理部59a(ANDゲートG2)の出力信号のレベルが共にHiレベルである場合にのみ、Loレベルの信号を出力し、それ以外の場合、Hiレベルの信号を出力する。第2リセット処理部59bのANDゲートG4は、第2異常判定部56Cからの信号と、NANDゲートG3の出力信号とを入力する。ANDゲートG4は、第2異常判定部56Cからの信号およびNANDゲートG3の出力信号のレベルが共にHiレベルである場合にのみ、Hiレベルのリセット禁止信号を出力し、それ以外の場合、Loレベルのリセット信号を出力する。
図6に、監視ユニット53Cの第1リセット処理部59aを構成する論理回路の真理値表を示し、図7に、監視ユニット53Cの第2リセット処理部59bを構成する論理回路の真理値表を示す。これらの図面からわかるように、監視ユニット53Cを含むMGECU50Cによっても、上述のMGECU50を採用した場合と同様の作用効果を得ることが可能となる。そして、何れも論理回路により構成される第1および第2リセット処理部59a,59bを含む監視ユニット53Bは、ASICにより構成することができる。これにより、監視ユニット53Cを含むMGECU50Cのコスト(価格)を低減することが可能となる。ただし、第1および第2リセット処理部59a,59bを構成する論理回路は、上述のものには限られない。また、監視ユニット53Cは、MGECU50Bに適用されてもよい。
なお、上記MGECU50,50Bの第1マイコン51、第2マイコン52および監視ユニット(第3マイコン)53,53Bは、同一ECUに含まれているが、これに限られるものではない、すなわち、第1マイコン51、第2マイコン52および監視ユニット(第3マイコン)53,53Bは、異なる3つのECUに分散して設けられてもよい。従って、本開示の発明は、第1機器を制御するECUと、第2機器を制御するECUと、監視ユニットを含むECUとに対して適用されてもよい。また、上記MGECU50,50B,50Cは、モータジェネレータMG1を制御する第1マイコン51と、モータジェネレータMG1とは異なる機器であるモータジェネレータMG2を制御する第2マイコン52とを含むものであるが、第1および第2マイコン51,52は、同一機器を制御するものであってもよい。更に、本開示の制御装置を含む車両は、1モータ式のハイブリッド車両であってもよく、シリーズ式のハイブリッド車両であってもよく、プラグイン式のハイブリッド車両であってもよく、電気自動車であってもよく、走行用動力の発生源としてエンジン(内燃機関)のみを含む車両であってもよい。
そして、本開示の発明は上記実施形態に何ら限定されるものではなく、本開示の外延の範囲内において様々な変更をなし得ることはいうまでもない。更に、上記発明を実施するための形態は、あくまで課題を解決するための手段の欄に記載された発明の具体的な一形態に過ぎず、課題を解決するための手段の欄に記載された発明の要素を限定するものではない。
本開示の発明は、制御装置の製造産業等において利用可能である。
1 車両、2 エンジン、3 プラネタリギヤ、4 蓄電装置、5 電力制御装置(PCU)、5a 第1インバータ、5b 第2インバータ、10 ハイブリッド電子制御装置(HVECU)、20 エンジン電子制御装置(エンジンECU)、50,50B,50C モータ電子制御装置(MGECU)、51 第1マイコン、52 第2マイコン、53,53B,53C 監視ユニット、55,55B,55C 第1異常判定部、56,56B,56C 第2異常判定部、57,57B,57C 第1リセット要求判定部、58,58B,58C 第2リセット要求判定部、59,59C リセット処理部、59a 第1リセット処理部、59b 第2リセット処理部、BL 専用通信線、BM 共用通信線、DF デファレンシャルギヤ、DS ドライブシャフト、DW 駆動輪、G1,G3 NANDゲート、G2、G4 ANDゲート、L1 第1通信線、L2 第2通信線、MG1,MG2 モータジェネレータ。

Claims (9)

  1. 第1機器を制御する第1制御部と、前記第1機器と同一または異なる第2機器を制御する第2制御部と、前記第1および第2制御部を監視すると共に前記第1および第2制御部に対して個別にリセット信号を送信可能な監視部と含み、前記第1および第2制御部が相互に相手側の状態を監視して前記相手側をリセットすべき場合に前記監視部にリセット要求信号を送信する制御装置であって、
    前記監視部は、前記第1および第2制御部の一方をリセットすべき旨の前記リセット要求信号を前記第1および第2制御部の他方から受信し、かつ前記第1および第2制御部の前記他方に前記リセット信号を送信していない場合、前記第1および第2制御部の前記一方に前記リセット信号を送信し、前記第1および第2制御部の一方をリセットすべき旨の前記リセット要求信号を前記第1および第2制御部の他方から受信し、かつ前記第1および第2制御部の前記他方に前記リセット信号を送信している場合、前記第1および第2制御部の前記一方のリセットを禁止する制御装置。
  2. 請求項1に記載の制御装置において、
    前記監視部は、
    前記第1制御部からの信号に基づいて前記第1制御部に異常が発生しているか否かを判定する第1異常判定部と、
    前記第2制御部からの信号に基づいて前記第2制御部に異常が発生しているか否かを判定する第2異常判定部と、
    前記第1異常判定部により前記第1制御部に異常が発生していると判定された場合、および前記第2制御部から前記第1制御部をリセットすべき旨の前記リセット要求信号が前記監視部に送信され、かつ前記第2制御部に前記リセット信号が送信されていない場合、前記第1制御部に前記リセット信号を送信する第1リセット処理部と、
    前記第2異常判定部により前記第2制御部に異常が発生していると判定された場合、および前記第1制御部から前記第2制御部をリセットすべき旨の前記リセット要求信号が前記監視部に送信され、かつ前記第1制御部に前記リセット信号が送信されていない場合、前記第2制御部に前記リセット信号を送信する第2リセット処理部とを含む制御装置。
  3. 請求項2に記載の制御装置において、
    前記監視部は、
    前記第1制御部から前記第2制御部をリセットすべき旨の前記リセット要求信号が前記監視部に送信されたか否かを判定する第1リセット要求判定部と、
    前記第2制御部から前記第1制御部をリセットすべき旨の前記リセット要求信号が前記監視部に送信されたか否かを判定する第2リセット要求判定部とを含む制御装置。
  4. 請求項2または3に記載の制御装置において、
    前記第1制御部から前記第1異常判定部に送信される前記信号、および前記第2制御部から前記第2異常判定部に送信される前記信号は、ウォッチドッグパルス信号である制御装置。
  5. 請求項3に記載の制御装置において、
    前記第1異常判定部は、前記第1制御部から第1通信線を介して前記監視部に定期的に送信される信号に基づいて前記第1制御部に異常が発生しているか否かを判定し、
    前記第2異常判定部は、前記第2制御部から第2通信線を介して前記監視部に定期的に送信される信号に基づいて前記第2制御部に異常が発生しているか否かを判定し、
    前記第1制御部は、前記第2制御部をリセットすべき旨の前記リセット要求信号を前記第1通信線を介して前記監視部に送信し、
    前記第2制御部は、前記第1制御部をリセットすべき旨の前記リセット要求信号を前記第2通信線を介して前記監視部に送信する制御装置。
  6. 請求項2から5の何れか一項に記載の制御装置において、前記監視部は、ASICにより構成される制御装置。
  7. 請求項1から5の何れか一項に記載の制御装置において、前記監視部は、単一のマイクロコンピュータである制御装置。
  8. 請求項1から5の何れか一項に記載の制御装置において、
    前記第1制御部のプロセッサ、前記第2制御部のプロセッサ、および前記監視部のプロセッサとして機能するマルチコアプロセッサを含む制御装置。
  9. 第1機器を制御する第1制御部と、前記第1機器と同一または異なる第2機器を制御する第2制御部とを含み、前記第1および第2制御部が相互に相手側の状態を監視して前記相手側をリセットすべき場合にリセット要求信号を出力する制御装置のリセット方法であって、
    前記第1および第2制御部の一方をリセットすべき旨の前記リセット要求信号が前記第1および第2制御部の他方から出力され、かつ前記第1および第2制御部の前記他方に前記リセット信号が送信されていない場合、前記第1および第2制御部の前記一方に前記リセット信号を送信し、前記第1および第2制御部の一方をリセットすべき旨の前記リセット要求信号が前記第1および第2制御部の他方から出力され、かつ前記第1および第2制御部の前記他方に前記リセット信号が送信されている場合、前記第1および第2制御部の前記一方のリセットを禁止する制御装置のリセット方法。
JP2019031814A 2019-02-25 2019-02-25 制御装置およびそのリセット方法 Active JP7131431B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2019031814A JP7131431B2 (ja) 2019-02-25 2019-02-25 制御装置およびそのリセット方法
CN201911391827.9A CN111611102B (zh) 2019-02-25 2019-12-30 控制装置及其重置方法
US16/748,102 US11481226B2 (en) 2019-02-25 2020-01-21 Control apparatus and reset method of control apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019031814A JP7131431B2 (ja) 2019-02-25 2019-02-25 制御装置およびそのリセット方法

Publications (2)

Publication Number Publication Date
JP2020135738A true JP2020135738A (ja) 2020-08-31
JP7131431B2 JP7131431B2 (ja) 2022-09-06

Family

ID=72142415

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019031814A Active JP7131431B2 (ja) 2019-02-25 2019-02-25 制御装置およびそのリセット方法

Country Status (3)

Country Link
US (1) US11481226B2 (ja)
JP (1) JP7131431B2 (ja)
CN (1) CN111611102B (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114932805A (zh) * 2022-04-29 2022-08-23 华为数字能源技术有限公司 一种驱动装置和电动汽车

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0816490A (ja) * 1994-06-28 1996-01-19 Mitsubishi Denki Semiconductor Software Kk 計算機装置
US20010027537A1 (en) * 2000-04-03 2001-10-04 Toyota Jidosha Kabushiki Kaisha Technique of monitoring abnormality in plurality of cpus or controllers
JP2001282302A (ja) * 2000-04-03 2001-10-12 Toyota Motor Corp 原動機を用いた移動体の制御装置におけるcpuの異常監視
JP2011227786A (ja) * 2010-04-22 2011-11-10 Panasonic Corp マイクロコンピュータ制御システム、並びにそれを用いた充電装置および太陽光電源システム
JP2012006535A (ja) * 2010-06-28 2012-01-12 Autonetworks Technologies Ltd 車載電子制御装置
JP2015112962A (ja) * 2013-12-10 2015-06-22 トヨタ自動車株式会社 情報処理装置
JP2018116473A (ja) * 2017-01-18 2018-07-26 トヨタ自動車株式会社 監視システム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2593915B2 (ja) 1988-05-27 1997-03-26 住友電気工業株式会社 ダブルマイコンシステム暴走防止回路
JP3939961B2 (ja) * 2001-10-31 2007-07-04 株式会社デンソー 車両用電子制御装置
JP4254577B2 (ja) * 2004-03-04 2009-04-15 株式会社デンソー 制御装置
JP4337884B2 (ja) * 2007-01-31 2009-09-30 株式会社日立製作所 インバータ制御装置
JP4859803B2 (ja) * 2007-10-01 2012-01-25 日立オートモティブシステムズ株式会社 電動アクチュエータの制御装置
JP4525762B2 (ja) * 2008-02-04 2010-08-18 株式会社デンソー 車両用電子制御装置
KR101617486B1 (ko) * 2009-03-27 2016-05-02 르네사스 일렉트로닉스 가부시키가이샤 반도체 집적 회로 장치
US8228009B2 (en) * 2009-07-27 2012-07-24 Parker-Hannifin Corporation Twin motor actuator
JP5595335B2 (ja) * 2011-06-10 2014-09-24 日立建機株式会社 建設機械
US10040447B2 (en) * 2012-10-05 2018-08-07 Ford Global Technologies, Llc Control strategy for an electric machine in a vehicle
JP6081239B2 (ja) 2013-03-13 2017-02-15 日立オートモティブシステムズ株式会社 制御装置の異常監視装置および異常監視方法
CN105469738B (zh) * 2016-01-19 2017-12-12 京东方科技集团股份有限公司 一种移位寄存器、栅极驱动电路及显示装置
JP6161849B1 (ja) * 2016-06-01 2017-07-12 三菱電機株式会社 監視装置および監視方法
US11628865B2 (en) * 2020-08-21 2023-04-18 Toyota Research Institute, Inc. Method and system for behavioral cloning of autonomous driving policies for safe autonomous agents

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0816490A (ja) * 1994-06-28 1996-01-19 Mitsubishi Denki Semiconductor Software Kk 計算機装置
US20010027537A1 (en) * 2000-04-03 2001-10-04 Toyota Jidosha Kabushiki Kaisha Technique of monitoring abnormality in plurality of cpus or controllers
JP2001282302A (ja) * 2000-04-03 2001-10-12 Toyota Motor Corp 原動機を用いた移動体の制御装置におけるcpuの異常監視
JP2011227786A (ja) * 2010-04-22 2011-11-10 Panasonic Corp マイクロコンピュータ制御システム、並びにそれを用いた充電装置および太陽光電源システム
JP2012006535A (ja) * 2010-06-28 2012-01-12 Autonetworks Technologies Ltd 車載電子制御装置
JP2015112962A (ja) * 2013-12-10 2015-06-22 トヨタ自動車株式会社 情報処理装置
JP2018116473A (ja) * 2017-01-18 2018-07-26 トヨタ自動車株式会社 監視システム
US20180224843A1 (en) * 2017-01-18 2018-08-09 Toyota Jidosha Kabushiki Kaisha Monitoring system

Also Published As

Publication number Publication date
US20200272481A1 (en) 2020-08-27
CN111611102B (zh) 2023-08-01
CN111611102A (zh) 2020-09-01
US11481226B2 (en) 2022-10-25
JP7131431B2 (ja) 2022-09-06

Similar Documents

Publication Publication Date Title
EP1143314B1 (en) Technique of monitoring abnormality in plurality of CPUs or controllers
CN100591561C (zh) 一种混合动力汽车扭矩监控系统
EP2413484A2 (en) Safety control system
CN103072576A (zh) 基于并行结构的驾驶员请求扭矩安全架构
JP2001282302A (ja) 原動機を用いた移動体の制御装置におけるcpuの異常監視
JP5999024B2 (ja) ハイブリッド車制御システム
JP7131431B2 (ja) 制御装置およびそのリセット方法
EP3141445B1 (en) Control system for hybrid vehicle
CN108146250B (zh) 一种基于多核cpu的汽车扭矩安全控制方法
JP6107565B2 (ja) ハイブリッド車制御装置
JP2016031631A (ja) 車両の制御装置
DE112015000067B4 (de) Motordrehmomentkorrekturvorrichtung eines Hybridfahrzeugs
JP2001312314A (ja) 制御装置における誤り検出および制御システム
JP2019073204A (ja) ハイブリッド自動車
US12005911B2 (en) Robust techniques for managing primary and secondary controllers on CAN-FD networks
JP6702145B2 (ja) 処理装置
JP6413776B2 (ja) 車両の駆動制御装置
US20200262443A1 (en) Monitoring apparatus and driving force control system
JP7210995B2 (ja) ハイブリッド車
JP2023059691A (ja) ハイブリッド車両の電子制御装置
JP2019192957A (ja) 情報処理システム
JP2007099155A (ja) 動力出力装置およびこれを搭載する自動車並びに駆動装置、動力出力装置の制御方法
JP2021115968A (ja) ハイブリッド車両の制御装置
JP2006335180A (ja) ハイブリッド電気自動車の制御システム
JP2020059425A (ja) 車両

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210624

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220608

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220726

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220808

R151 Written notification of patent or utility model registration

Ref document number: 7131431

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151