JP2022108108A - 車両用電子制御装置 - Google Patents

車両用電子制御装置 Download PDF

Info

Publication number
JP2022108108A
JP2022108108A JP2021002961A JP2021002961A JP2022108108A JP 2022108108 A JP2022108108 A JP 2022108108A JP 2021002961 A JP2021002961 A JP 2021002961A JP 2021002961 A JP2021002961 A JP 2021002961A JP 2022108108 A JP2022108108 A JP 2022108108A
Authority
JP
Japan
Prior art keywords
processor
cpu
failure
vehicle
electronic control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021002961A
Other languages
English (en)
Inventor
貴仁 藤生
Takahito Fujio
恭平 大島
Kyohei Oshima
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Priority to JP2021002961A priority Critical patent/JP2022108108A/ja
Publication of JP2022108108A publication Critical patent/JP2022108108A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

【課題】車両用電子制御装置が備えるマイコンのプロセッサにおいて故障が発生した場合に、機能安全要求を満たすべく、故障情報を正常に記録するとともに、より確実に車両を安全状態へ移行させることを可能にする。【解決手段】複数のプロセッサ並びに電気的にデータを書き換え可能な不揮発性メモリを含んで構成されたマイクロコンピュータを備えた車両用電子制御装置において、前記複数のプロセッサが、車載機器に対する制御処理を行う第1プロセッサと、前記第1プロセッサの動作を監視する第2プロセッサと、を含む。そして、前記第2プロセッサは、前記第1プロセッサにおける故障を検出したときに、前記第1プロセッサの故障内容を示す故障情報を前記不揮発性メモリに書き込むとともに、前記第1プロセッサに対して停止要求を送信する。【選択図】図1

Description

本発明は、車両に搭載される電子制御装置に関する。
自動車などの車両に搭載される電子制御装置(ECU:Electric Control Unit)には、より高度な安全性が求められており、車両の機能安全に関して国際規格(ISO26262)も導入されている。このような機能安全要求を満たすことを目的とした技術の一例として、例えば、次のような技術が提案されている。当該技術では、複数のコアを有するマイクロコンピュータ(以下、マイコンという)を搭載した電子制御装置において、車両の原動機を通常走行モードで制御するための演算を行う第1コアと、当該第1コアと同一の演算を行う第2コアと、第1コア及び第2コアと異なる演算を行う第3コアとを有する。そして、第1コアによる演算結果と第2コアによる演算結果とが不一致である場合は、監視ICからのリセット信号によってマイコンのリセット処理を実行した後、通常走行モードよりも原動機の出力を抑制する退避走行モードで原動機を制御するための演算を第3コアによって行い、対象機器への制御信号の出力制御を監視ICによって行う。
特開2016-143304号公報
しかし、外部からのリセット信号によってマイコンをリセットした場合、リセットを解除した後に故障したプロセッサが自動的に処理を再開してしまうことが考え得る。この場合、故障したプロセッサによる処理に起因する不具合が生じる可能性がある。
そこで、本発明の1つの態様では、車両用電子制御装置が備えるマイコンのプロセッサにおいて故障が発生した場合に、機能安全要求を満たすべく、故障情報を正常に記録するとともに、より確実に車両を安全状態へ移行させることを可能にすることを目的とする。
本発明の1つの態様では、複数のプロセッサ並びに電気的にデータを書き換え可能な不揮発性メモリを含んで構成されたマイクロコンピュータを備えた車両用電子制御装置において、前記複数のプロセッサが、車載機器に対する制御処理を行う第1プロセッサと、前記第1プロセッサの動作を監視する第2プロセッサと、を含む。そして、前記第2プロセッサは、前記第1プロセッサにおける故障を検出したときに、前記第1プロセッサの故障内容を示す故障情報を前記不揮発性メモリに書き込むとともに、前記第1プロセッサに対して停止要求を送信する。
本発明の1つの態様によれば、車両用電子制御装置が備えるマイコンのプロセッサにおいて故障が発生した場合に、故障情報が正常に記録されるともに、より確実に車両を安全状態へ移行させることが可能となる。
本発明の一実施形態における電子制御装置の一例を示すブロック図である。 本発明の一実施形態におけるROMの記憶領域の一例を示す説明図である。 本発明の一実施形態における第2プロセッサによる処理の一例を示すフローチャートである。 本発明の一実施形態における第1プロセッサによる処理の一例を示すフローチャートである。 本発明の一実施形態における第2プロセッサによる処理の一例を示すフローチャートである。
以下、添付された図面を参照し、本発明を実施するための実施形態の具体例について詳述する。なお、図面の一部においては、構成要素の符号のみを付し、名称の記載を省略している。
[第1実施形態]
図1は、自動車などの車両に搭載される電子制御装置1並びに当該電子制御装置1による制御対象である車載装置及びその関連装置の構成例を示す。
電子制御装置1は、TCU(Transmission Control Unit)であり、車両に搭載された変速機構であるトランスミッション2及びクラッチ3を電子制御する機能を有する。電子制御装置1は、クラッチ3を接続することにより、動力源の一例であるエンジン4からエンジン出力軸5を介して伝達されたトルクをトランスミッション入力軸6を介してトランスミッション2に伝達させる。より具体的には、クラッチ3は例えば摩擦式クラッチであり、電子制御装置1は、ソレノイドバルブ等の制御によってエンジン4側に接続されたディスク及びトランスミッション2側に接続されたディスクを接触させてクラッチ3を接続し、エンジン4からトランスミッション2に動力を伝達させる一方、両ディスクを離間させてクラッチ3を解放し、動力の伝達を遮断させる。そして、電子制御装置1は、車速やトルクに応じた変速比となるようトランスミッション2を制御し、トランスミッション出力軸7を介して出力されたトルクが、車輪駆動軸8を介して駆動輪9に伝達される。
電子制御装置1は、マイコン10、P-RUN(プログラムラン)信号監視回路20及びカットオフ回路30を含んで構成され、トランスミッション2及びクラッチ3と接続されている。マイコン10は、図1に示すように、第1CPU11、第2CPU12、RAM13、ROM14、リセット回路15、ポート101~105及び内部バス111及び112を含む。
第1CPU11及び第2CPU12は、プログラムに記述された命令セット(データの転送、演算、加工、制御、管理など)を実行するハードウェアであって、演算装置、命令や情報を格納するレジスタ、周辺回路などから構成されている。第1CPU11及び第2CPU12は、ROM14に格納されたプログラムをRAM13にロードして実行する。本実施形態において、マイコン10が正常に稼働しているときには、第1CPU11がトランスミッション2及びクラッチ3の電子制御処理を行い、第2CPU12は原則として、第1CPU11の監視及び第1CPU11に故障が発生した場合における故障対応処理を行う。
また、本実施形態における第1CPU11及び第2CPU12は、例えば、ロックステップ方式等による診断や、アセンブラ命令の網羅実行等によって異常を検出するプロセッサ診断モジュールの実行や、各モジュールからのエラー信号に基づいてプロセッサの故障を検出し外部に通知することが可能なECM(Error Control Module)等によって、動作状態を自己診断して故障を検出することが可能である。なお、第1CPU11及び第2CPU12の故障は、後述するP-RUN信号監視回路20によっても検出可能である。
RAM13は、電源供給遮断によってデータが消失する揮発性メモリであり、第1CPU11及び第2CPU12が動作中に使用する一時的な記憶領域を提供する。
ROM14は、電気的にデータを書き換え可能な不揮発性メモリであり、例えば、フラッシュROMやEEPROMを含む。ROM14には、電子制御装置1を起動する際に動作する起動プログラムや車載機器を制御する制御プログラム、及び当該プログラムの処理において用いるパラメータ等のデータが格納される。また、ROM14には、後述する第2CPU12による故障対応処理により、第1CPU11の故障内容を示す故障情報が記憶される。
リセット回路15は、P-RUN信号監視回路20から受信するリセット信号に応じて、マイコン10のリセット(ハードウェアリセット)を行う。
ポート101~105は、マイコン10と周辺機器との間の情報の入出力に用いるインタフェースの端子である。電子制御装置1の通常の動作状態において、ポート101は、P-RUN監視回路20に対してP-RUN信号を送信する出力ポートとして機能する。ポート102は、P-RUN信号監視回路20からリセット信号を受信する入力ポートとして機能する。ポート103は、トランスミッション2に対する制御信号を送信する出力ポートとして機能する。ポート104は、クラッチ3に対して接続又は解放を行う制御信号を送信する出力ポートとして機能する。ポート105は、マイコン10からカットオフ回路30への信号を送信する出力ポートとして機能する。
なお、本実施形態ではポート101~105のみについて図示及び説明しているが、マイコン10は、ポート101~105以外にも図示を省略した入出力(通信)インタフェースを備え、CAN(Controller Area Network)等で構成された車載ネットワークに接続して、各種センサや他の電子制御装置等の車載機器との通信を行っている。
内部バス111及び112は、各デバイス間でデータを通信するための経路であって、アドレスを転送するためのアドレスバス、データを転送するためのデータバス、アドレスバスやデータバスで実際に入出力を行うタイミングや制御情報を伝送するコントロールバスを含んでいる。なお、内部バス112は、カットオフ回路30に接続するポート105に接続されたバスであり、第2CPU12とは通信可能に接続される一方、第1CPU11とは接続されていない。
P-RUN信号監視回路20は、マイコン10から受信するP-RUN信号に基づいて、マイコン10における動作異常を検出する。具体的には、P-RUN信号監視回路20は、内部にタイマを備え、第1CPU11及び第2CPU12からP-RUN信号を受信するごとにタイマを初期化する。そして、P-RUN信号が途絶えてタイマがオーバーフローすることにより、第1CPU11及び第2CPU12の故障を検出する。
カットオフ回路30は、第1CPU11との通信経路を有さない電子回路であって、クラッチ3に対するマイコン10からの制御信号を遮断する(カットオフを実行する)ことによってクラッチ3を解放するように構成された電子回路である。これにより、エンジン4からの動力が駆動輪9に伝達しない状態となる。当該カットオフ回路40は、ハイレベルの入力信号を受信したときには、カットオフを実行することによりクラッチ3を解放させる一方、ローレベルの入力信号を受信したときには、カットオフを解除して、クラッチ3への制御信号の遮断を停止する。また、当該カットオフ回路40は、例えばプルアップ抵抗を内蔵した回路構成を有しており、カットオフ回路30への入力信号がないときには、プルアップによってハイレベルで駆動し、カットオフを実行する。なお、第1CPU11との通信経路を有さない構成とは、物理的に内部バスによる接続がなされていない構成のみならず、内部バス自体は接続されていても論理的に通信することができないように設定された構成も含む。
図2は、ROM14の記憶領域を示す図である。ROM14の記憶領域は、第1CPU11による制御処理に用いる記憶領域である制御処理領域141と、第2CPU12による故障対応処理に用いる記憶領域である故障対応処理領域142とに区分けされている。このように制御処理領域141と故障対応処理領域142とを分けることは必須ではないが、このような構成により、例えば、制御処理領域141において何らかの不具合が発生した場合においても、第2CPU12による故障対応処理を確実に行うことが可能である。なお、図示を省略するが、RAM13においても同様に、第1CPU11による制御処理に用いる記憶領域と第2CPU12による故障対応処理に用いる記憶領域とを区分けする構成としてもよい。
次に、第1CPU11及び第2CPU12において実行される処理について、第2CPU12、第1CPU11の順に説明する。
図3は、第2CPU12で実行される処理を示すフローチャートである。
ステップ1001(図ではS1001と表記している)で、第2CPU12は、リセット実行回数のカウンタが所定閾値よりも小さいか否かを判定し、小さい場合にはステップ1002に進み(Yes)、そうでない場合にはステップ1009に進む(No)。
ステップ1002で、第2CPU12は、カットオフ回路30に接続するポート105のコントロールレジスタに、当該ポート105を出力ポートにするように値を設定し、ポート105を出力ポートにする。そして、第2CPU12は、ローレベルの信号をカットオフ回路30に対して送信する。その結果、カットオフ回路30において当該ローレベルの信号が入力され、カットオフ回路30はカットオフを解除する。これにより、クラッチ3への制御信号が遮断されている場合には、制御信号の遮断が停止される。
ステップ1003で、第2CPU12は、第1CPU11の動作状態を監視し、前述した診断方法により、第1CPU11の動作状態の診断結果を取得する。
ステップ1004で、第2CPU12は、ステップ1003で取得した第1CPU11の動作状態の診断結果に基づき、第1CPU11において故障が発生しているか否かを判定する。故障が発生している場合にはステップ1005に進み(Yes)、そうでない場合にはステップ1003に戻る(No)。なお、ステップ1002の処理は、当該ステップ1004の判定において、第1CPU11において故障が発生していない場合にのみ行うようにしてもよい。
ステップ1005で、第2CPU12は、第1CPU11の故障情報をROM14の故障対応処理領域142に書き込む。なお、このとき、車両に搭載された警告灯を点灯させたり当該故障情報を車載モニタ等に表示したりすることにより、第1CPU11において故障が発生していることを外部に通知するようにしてもよい。
ステップ1006で、第2CPU12は、リセット実行回数のカウンタをインクリメントする。
ステップ1007で、第2CPU12は、マイコン10のソフトウェアリセットを実行する。ソフトウェアリセットによって、マイコン10において、RAM13のスタックや変数、各ポートのコントロールレジスタ等が初期化される。
ステップ1008で、第2CPU12は、カットオフ回路30においてカットオフを実行させる。具体的には、ステップ1007においてソフトウェアリセットを行ったことにより、カットオフ回路30に接続するポート105のコントロールレジスタが初期化され、ポート105が入力ポートとなる。その結果、カットオフ回路30への信号が出力されなくなり、カットオフ回路30はプルアップによってハイレベルで駆動し、カットオフを実行する。これにより、クラッチ3が解放され、エンジン4からの動力の伝達が遮断される。
ステップ1009で、第2CPU12は、第1CPU11に対して停止要求を送信する。
ステップ1010で、第2CPU12は、GST(General Scan Tool)等の外部の診断装置からの動作情報の出力要求に対して応答処理を実行する。より具体的には、第2CPU12は、例えば、ROM14に書き込んだ第1CPU11の故障情報を読み出して、GSTに対して出力する。なお、第2CPU12は、P-RUN信号監視回路20に対するP-RUN信号の送信も継続して行う。
図4は、第1CPU11で実行される処理を示すフローチャートである。
ステップ1101で、第1CPU11は、電子制御装置1が正常時に実現する機能である変速機構の制御処理を実行する。第1CPU11は、当該制御処理を実行するとともに、前述した方法により故障の自己診断等も行う。第1CPU11は、当該制御処理の実行中にGSTからの動作情報の出力要求を受信したときには、当該要求に応答し、動作情報を出力する。また、第1CPU11は、P-RUN信号監視回路20に対するP-RUN信号の送信も継続して行う。
ステップ1102で、第1CPU11は、第2CPU12から停止要求を受信したか否かを判定する。当該停止要求は、前述した第2CPU12による処理のステップ1009において送信されるものである。停止要求を受信した場合には、ステップ1103に進み(Yes)、そうでない場合には、ステップ1101に戻る(No)。
ステップ1103で、第1CPU11は、制御処理の実行を停止する。第1CPU11は、例えば停止(HALT)命令を実行することによって、停止状態(HALT状態)に移行することが可能である。
このような第1実施形態によれば、電子制御装置1のマイコン10において制御処理を実行している第1CPU11において故障が検出されたときに、正常に動作している第2CPU12が第1CPU11の故障情報をROM14に記録する。これにより、故障が発生している第1CPU11自体によって故障情報を記録する場合と比較して、第1CPU11の故障情報を確実に記録することができる。その結果、GSTの端末等による正確な故障情報の読み出しが可能となる。また、異常が発生していない第2CPU12から第1CPU11に対して停止要求を送信することで、第1CPU11において停止命令が実行され、第1CPU11の動作を停止させることができる。
また、本実施形態によれば、第2CPU12からカットオフ回路30においてカットオフが実行させる方法の一例として、ソフトウェアリセットをかけることで、カットオフ回路30がハイレベルで駆動してカットオフが実行され、クラッチ3が解放されて、エンジン4からの動力の伝達が遮断される。これにより、急加速や急減速のリスクを低減し、車両を安全状態へ移行させることが可能となる。
なお、本実施形態では、万が一第1CPU11の故障状況により第1CPU11において停止命令を実行しても正常に停止状態にならなかったとしても、第1CPU11からカットオフ回路30へ信号を送信することが不可能な構成であるため、カットオフ回路30に対してカットオフを解除させるなどの誤作動により安全状態への移行を阻害することはない。すなわち、本実施形態によれば、故障が発生した第1CPU11の停止に失敗したとしても、車両を安全状態に移行させることが可能である。
また、第1CPU11が停止しなかった場合には、GSTに対する応答処理が、第1CPU11及び第2CPU12で重複してしまう場合がある。この場合、第1CPU11用の応答CANID及び第2CPU12用の応答CANIDを別々に割り振ることで、同一のCANIDで情報が重複して送信されることを防ぐ。このとき、GST側においては、第1CPU11及び第2CPU12の双方のCANIDを受信した場合、第2CPU12側のCANIDを優先して参照するように制御すればよい。
さらに、本実施形態によれば、第2CPU12によるソフトウェアリセットを繰り返し実行し、リセット回数が所定の閾値以上になった場合にのみ、第1CPU11に停止要求を送信する。すなわち、本実施形態によれば、第1CPU11の動作異常が一時的でありリセットにより復旧可能である場合には、クラッチ3を再度接続して通常の制御を継続して行うことができる。その一方で、リセットを所定回数行っても故障状態から復旧できない場合には、クラッチ3の解放を維持して安全状態へ移行し、第1CPU11を停止させる。このとき、リセット回数の閾値を、機能安全要求における時間制限を考慮して設定しておくことで、当該時間制限内に車両の走行を安全状態に移行させることが可能となる。
なお、第2CPU12によるソフトウェアリセットの代わりに、P-RUN監視回路20によって第1CPU11の異常を検出し、P-RUN監視回路20からリセット回路15に対してリセット命令を送信して、リセット回路15によってマイコン10のハードウェアリセットを行ってもよい。このようにハードウェアリセットを行った場合においても、カットオフ回路30に接続するポート105のコントロールレジスタが初期化され、ポート105が入力ポートとなる。その結果、カットオフ回路30への信号が出力されなくなり、カットオフ回路40はプルアップによってハイレベルで駆動し、カットオフを実行する。これにより、ソフトウェアリセットを行った場合と同様に、クラッチ3が解放され、エンジン4からの動力の伝達が遮断される。
ここで、例えば、CPUの動作を監視する機能を、監視用のサブマイコンによって行う構成も考え得る。しかし、本実施形態では、前述したような構成を有することにより、サブマイコンを設けなくても、監視やリセットを行うことが可能であり、電子制御装置の構成をより簡略化することができる。なお、サブマイコンを設ける構成では、サブマイコンにおいてCPUのクロックを診断するためのパルス信号を供給する構成が一般的に用いられるが、本実施形態のようにサブマイコンを含まない構成でも、マイコン10においてパルス発信子やASIC(Application Specific Integrated Circuit)等を設けることによって当該機能を実現することができる。
ここで、機能安全要求の観点から、本実施形態の電子制御装置1の構成において、第1CPU11以外の箇所において故障が生じた場合の安全性について説明する。
まず、内部バス111においてアドレスバスやデータバスにおいて断線等が発生した場合、結果として第1CPU11及び第2CPU12の両方が正常に動作することが困難となり得る。しかし、この場合、第1CPU11及び第2CPU12のいずれからもP-RUN信号が正常に送信されなくなり、P-RUN信号監視回路20においてCPU異常を検出することが可能である。その結果、前述したように、リセット回路15によってマイコン10のリセットが行われ、カットオフ回路30によってカットオフが実行されてクラッチ3が解放されることとなり、車両を安全状態に移行させることができる。このため、SPFM値(Single Point Fault Metric)は基準を満たすものと考えられる。なお、内部バス112において断線等が発生しても、第1CPU11による通常の制御処理に支障は生じない。
また、電子制御装置1の電源供給が遮断された場合においても、そもそも電子制御装置1の動作自体が停止されてクラッチ3が解放されるため、安全状態への移行に問題はない。
さらに、RAM13やROM14において異常が発生した場合においても、前述の図2で示したように、第1CPU11によって通常の制御処理に用いる制御処理領域141と、第2CPU12によって故障対応処理に用いる故障対応処理領域142とを分けることにより、SPFM値の低下を抑制することが可能である。具体的には、制御処理領域141において異常が発生したとしても、第2CPU12による故障対応処理に影響はないため、故障対応処理を実行することが可能である。また、故障対応処理領域142において異常が発生した場合にも、少なくとも第1CPU11が正常に動作していれば、安全性に影響はない。この場合、故障対応処理領域142の異常については、当該異常が発生したことを外部に通知したり、ROM14の正常な領域や外部の記憶装置に記憶したりするようにすればよい。
なお、第2CPU12において故障が発生した場合にも、少なくとも第1CPU11が正常に動作していれば、安全性に影響はない。このため、クラッチ3の解放を行う必要はなく、車両に搭載された警告灯を点灯させたり故障情報を車載モニタ等に表示したりすることにより、第2CPU12において故障が発生していることを外部に通知したり、故障情報をROM14の正常な領域や外部の記憶装置に記憶したりするようにすればよい。
このように、本実施形態の電子制御装置1の構成によれば、第1CPU11以外の箇所において故障が生じた場合においても、SPFM値の基準を満たすことは可能であり、機能安全要求は担保されている。
なお、本実施形態におけるマイコン10では2つのCPUを備えた構成としているが、CPUの数はこれに限定されるものではない。例えば、マイコン10において3つ以上のCPUを備えた場合において、1つのCPUの故障が発生した場合には、他のCPUのうちの1つが故障対応処理を行うようにすればよい。
また、本実施形態における第1CPU11及び第2CPU12は、プロセッサの一態様に過ぎない。本実施形態では、第1CPU11において故障が発生した場合に第2CPU12が故障対応処理を行っているが、例えば、1つのCPU内において複数のCPUコアを備えた構成において、1つのCPUコアの故障が検出された際には、他のCPUコアが故障対応処理を実行するようにしてもよい。
また、本実施形態の電子制御措置1の制御対象とする車載機器は変速機構であるが、これに限定されるものではない。少なくとも、制御処理を行うCPUにおいて故障が検出されたときに、正常に動作している他の監視側のCPUが、制御処理を行うCPUの故障情報をROMに書き込んだり、監視側のCPUから制御処理を行うCPUに対して停止命令を送信する構成については、他の制御対象装置(例えば、エンジンの燃料噴射弁や点火プラグ等や、ブレーキ機構など)を制御する電子制御装置においても適用可能である。
[第2実施形態]
次に、第2実施形態について説明する。第2実施形態の説明では、第1実施形態と同様の内容については原則として説明を省略する。
まず、第2実施形態における電子制御装置1の物理的構成については図1で示した第1実施形態の構成と同様であるため、図示及び説明を省略する。
次に、第1CPU11及び第2CPU12において実行される処理について説明する。
図4は、第2実施形態において第2CPU12で実行される処理を示すフローチャートである。
ステップ1201で、第2CPU12は、カットオフ回路30に接続するポート105のコントロールレジスタに、当該ポート105を出力ポートにするように値を設定し、ポート105を出力ポートにする。そして、第2CPU12は、ローレベルの信号をカットオフ回路40に対して送信する。その結果、カットオフ回路30において当該ローレベルの信号が入力され、カットオフ回路30はカットオフを解除する。これにより、クラッチ3への制御信号が遮断されている場合には、制御信号の遮断が停止される。
ステップ1202で、第2CPU12は、第1CPU11の動作状態を監視し、前述した診断方法により、第1CPU11の動作状態の診断結果を取得する。
ステップ1203で、第2CPU12は、ステップ1202で取得した第1CPU11の動作状態の診断結果に基づき、第1CPU11において故障が発生しているか否かを判定する。故障が発生している場合にはステップ1204に進み(Yes)、そうでない場合にはステップ1202に戻る(No)。
ステップ1204で、第2CPU12は、第1CPU11の故障情報をROM14の故障対応処理領域142に書き込む。
ステップ1205で、第2CPU12は、ハイレベルの信号をカットオフ回路30に対して送信する。その結果、カットオフ回路30において当該ハイレベルの信号が入力され、カットオフ回路30はカットオフを実行する。これにより、クラッチ3が解放され、エンジン4からの動力の伝達が遮断される。
ステップ1206で、第2CPU12は、第1CPU11に対して停止要求を送信する。
ステップ1207で、第2CPU12は、GST等の外部の診断装置からの動作情報の出力要求に対して応答処理を実行する。より具体的には、第2CPU12は、例えば、ROM14に書き込んだ第1CPU11の故障情報を読み出して、GSTに対して出力する。なお、第2CPU12は、P-RUN信号監視回路20に対するP-RUN信号の送信も継続して行う。
第2実施形態において第1CPU11で実行される処理については、第1実施形態と同様であるため、図示及び説明を省略する。なお、第2実施形態では、第1CPU11は、ステップ1102の判定において、前述の第2CPU12による処理のステップ1206において送信された停止要求を受信したか否かについて判定を行う。
このような第2実施形態では、第1実施形態と異なり、第1CPU11において故障が検出されたときに、マイコン10に対してソフトウェアリセットをかけるのではなく、第2CPU12がハイレベルの信号をカットオフ回路30に対して送信することで、カットオフ回路30においてカットオフが実行されてクラッチ3が解放され、エンジン4からの動力の伝達が遮断される。これにより、第1実施形態と同様に、急加速や急減速のリスクを低減し、車両を安全状態へ移行させることが可能となる。
その他の第2実施形態における効果や変形例については、第1実施形態と同様であるため、説明を省略する。
[その他]
以上説明した本発明の実施形態は、本発明の技術的範囲で考え得る実施態様の一部に過ぎず、本発明の例示として開示されるものであって、本発明の技術的範囲を制限するものではない。また、各実施形態における機能的構成及び物理的構成は、前述の態様に限定されるものではなく、例えば、各機能や物理的資源を統合して実装したり、逆に、さらに分散して実装したり、さらには、構成の一部について他の構成の追加、削除、置換等をすることも可能である。
1…電子制御装置、2…トランスミッション、3…クラッチ、10…マイコン、11…第1CPU、12…第2CPU、13…RAM、14…ROM、15…リセット回路、101~105…ポート、20…P-RUN監視回路、30…カットオフ回路

Claims (7)

  1. 複数のプロセッサ並びに電気的にデータを書き換え可能な不揮発性メモリを含んで構成されたマイクロコンピュータを備えた車両用電子制御装置であって、
    前記複数のプロセッサは、
    車載機器に対する制御処理を行う第1プロセッサと、
    前記第1プロセッサの動作を監視する第2プロセッサと、を含み、
    前記第2プロセッサは、前記第1プロセッサにおける故障を検出したときに、前記第1プロセッサの故障内容を示す故障情報を前記不揮発性メモリに書き込むとともに、前記第1プロセッサに対して停止要求を送信する、
    車両用電子制御装置。
  2. 前記車載機器が変速機構であり、
    前記第1プロセッサとの通信経路を有さない電子回路であって、前記変速機構のクラッチに対する前記マイクロコンピュータからの制御信号を遮断することによって前記クラッチを解放するように構成されたカットオフ回路をさらに備え、
    前記第2プロセッサは、前記第1プロセッサにおける故障を検出したときに、前記カットオフ回路を駆動させて前記クラッチを解放させる、請求項1記載の車両用電子制御装置。
  3. 前記カットオフ回路は、入力信号がないときにプルアップによってハイレベルで駆動して前記クラッチを解放するように構成され、
    前記第2プロセッサは、前記第1プロセッサにおける故障を検出したときに、前記マイクロコンピュータのソフトウェアリセットを実行し、前記マイクロコンピュータから前記電子回路へ接続するポートを入力ポートにして前記カットオフ回路に対する入力信号を遮断することで、前記カットオフ回路をハイレベルで駆動させて前記クラッチを解放させる、請求項2記載の車両用電子制御装置。
  4. 前記第2プロセッサは、ソフトウェアリセットを所定回数実行しても前記第1プロセッサが正常に動作しないときにのみ、前記第1プロセッサに対して停止要求を送信する、請求項3記載の車両用電子制御装置。
  5. 前記カットオフ回路は、ハイレベルの入力信号があるときに前記クラッチを解放するように構成され、
    前記第2プロセッサは、前記第1プロセッサにおける故障を検出したときに、前記カットオフ回路に対してハイレベルの信号を送信することで、前記カットオフ回路を駆動させて前記クラッチを解放させる、請求項2~4のいずれか1項に記載の車両用電子制御装置。
  6. 前記不揮発性メモリの記憶領域が、前記第1プロセッサによる処理に用いる領域と、前記第2プロセッサによる処理に用いる領域とに区分けされている、請求項1~5のいずれか1項に記載の車両用電子制御装置。
  7. 前記第2プロセッサは、外部の診断装置からの要求に応じ、前記不揮発性メモリから前記故障情報を読み出して出力する、請求項1~6のいずれか1項に記載の車両用電子制御装置。
JP2021002961A 2021-01-12 2021-01-12 車両用電子制御装置 Pending JP2022108108A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021002961A JP2022108108A (ja) 2021-01-12 2021-01-12 車両用電子制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021002961A JP2022108108A (ja) 2021-01-12 2021-01-12 車両用電子制御装置

Publications (1)

Publication Number Publication Date
JP2022108108A true JP2022108108A (ja) 2022-07-25

Family

ID=82556199

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021002961A Pending JP2022108108A (ja) 2021-01-12 2021-01-12 車両用電子制御装置

Country Status (1)

Country Link
JP (1) JP2022108108A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022125172A (ja) * 2017-01-13 2022-08-26 株式会社三洋物産 遊技機
JP2022125174A (ja) * 2017-01-13 2022-08-26 株式会社三洋物産 遊技機

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022125172A (ja) * 2017-01-13 2022-08-26 株式会社三洋物産 遊技機
JP2022125174A (ja) * 2017-01-13 2022-08-26 株式会社三洋物産 遊技機

Similar Documents

Publication Publication Date Title
JP6714611B2 (ja) 車両の電子制御システムに冗長性を付与する方法及び装置
US10808836B2 (en) Monitoring system and vehicle control device
US7251551B2 (en) On-vehicle electronic control device
JP6220232B2 (ja) 車両の制御装置
JP5985516B2 (ja) 車両内で使用するための安全コンセプト用の半導体回路と方法
JP2022108108A (ja) 車両用電子制御装置
US20110072313A1 (en) System for providing fault tolerance for at least one micro controller unit
CN113014150B (zh) 马达控制系统、操作马达控制系统的方法和飞行器
JP5094777B2 (ja) 車載用電子制御装置
KR100711850B1 (ko) 마이크로컴퓨터 감시 금지 기능을 갖는 전자 제어 시스템및 방법
JP2011032903A (ja) 車両の制御装置
CN105313880B (zh) 具有至少两个驱动执行器和提高的失效安全性的机动车
JP2002213331A (ja) ドライブトレインの作動方法および該ドライブトレインの調整装置
JP2019111866A (ja) 自動運転システム
JP6465003B2 (ja) 電子制御装置
JP2016147585A (ja) 電子制御装置
JP2021013135A (ja) 車両用電子制御装置
JP6681304B2 (ja) 自動車用制御装置及び自動車用内燃機関制御装置
JP4007038B2 (ja) 車両用電子制御装置
JP2019121043A (ja) 車両制御システムおよび車両制御装置
JP3830837B2 (ja) センサ自己診断信号適正処理機能付き車載電子制御回路
JP6685187B2 (ja) 電子制御装置
JP6716429B2 (ja) 電子制御装置及びその診断方法
JPH04240997A (ja) 車載電子装置の制御方法
JP7504222B2 (ja) 車載用制御システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230705

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240430

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240507

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240704

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20241001