JP2023089680A - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP2023089680A
JP2023089680A JP2021204330A JP2021204330A JP2023089680A JP 2023089680 A JP2023089680 A JP 2023089680A JP 2021204330 A JP2021204330 A JP 2021204330A JP 2021204330 A JP2021204330 A JP 2021204330A JP 2023089680 A JP2023089680 A JP 2023089680A
Authority
JP
Japan
Prior art keywords
switching
unit
software
storage unit
control software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021204330A
Other languages
English (en)
Inventor
宏太郎 渡邊
Kotaro Watanabe
信昭 成田
Nobuaki Narita
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2021204330A priority Critical patent/JP2023089680A/ja
Priority to DE102022132651.9A priority patent/DE102022132651A1/de
Publication of JP2023089680A publication Critical patent/JP2023089680A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Stored Programmes (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

【課題】使用する制御ソフトを切替える切替処理中においてシステムの安全を適切に保障する。【解決手段】 電子制御装置1は、制御ソフトを記憶可能な第1記憶部3aと、制御ソフトを記憶可能な第2記憶部3bと、使用する制御ソフトを、前記第1記憶部及び前記第2記憶部のうち何れか一方に記憶されている制御ソフトから他方に記憶されている制御ソフトに切替える切替処理を実施するソフト切替部2bと、システムの安全を保障する安全保障動作を実施する安全保障部4と、前記切替処理の開始を検知すると、前記安全保障動作を開始させるソフト切替検知部2eと、を備える。【選択図】図1

Description

本発明は、電子制御装置に関する。
例えば車載用の電子制御装置においては、機能の向上や不具合の解消等を目的として制御ソフトウェア(以下、制御ソフトと称する)を更新可能に構成されている。制御ソフトを更新する際にはシステムの安全を保障することが求められている。例えば特許文献1には、制御ソフトの更新状況を検知し、制御ソフトの状態に基づいて稼働機能を制限する構成が開示されている。
国際公開第2021/024589号
制御ソフトを記憶する記憶領域として第1記憶部と第2記憶部とを有する2面構成では、第1記憶部及び第2記憶部のうち何れか一方に記憶されている制御ソフトを使用中に、新しい制御ソフトの更新データを他方に書き込むことで、他方に記憶されている制御ソフトを更新する。その後、切替条件が成立すると、使用する制御ソフトを、一方に記憶されている制御ソフトから他方に記憶されている制御ソフトに切替える切替処理を実施する。この場合、切替処理中でもシステムの安全を保障することが求められるが、上記した特許文献1の構成では、切替処理中におけるシステムの安全を保障することができない。
本発明は、上記した事情に鑑みてなされたものであり、その目的は、使用する制御ソフトを切替える切替処理中においてシステムの安全を適切に保障することができる電子制御装置を提供することにある。
請求項1に記載した発明によれば、第1記憶部(3a)は、制御ソフトを記憶可能である。第2記憶部(3b)は、制御ソフトを記憶可能である。ソフト切替部(2b)は、使用する制御ソフトを、第1記憶部及び第2記憶部のうち何れか一方に記憶されている制御ソフトから他方に記憶されている制御ソフトに切替える切替処理を実施する。安全保障部(4)は、システムの安全を保障する安全保障動作を実施する。ソフト切替検知部(2e)は、切替処理の開始を検知すると、安全保障動作を開始させる。
使用する制御ソフトを、第1記憶部及び第2記憶部のうち何れか一方に記憶されている制御ソフトから他方に記憶されている制御ソフトに切替える切替処理の開始をソフト切替検知部により検知すると、安全保障部による安全保障動作を開始させるようにした。使用する制御ソフトの切替中においてシステムの安全を適切に保障することができる。
第1実施形態を示す機能ブロック図 ブローチャート 状態遷移図 第2実施形態を示す機能ブロック図
以下、複数の実施形態について図面を参照して説明する。後続する実施形態において、先行する実施形態と重複する部分については説明を省略する場合がある。
(第1実施形態)
第1実施形態について図1から図3を参照して説明する。電子制御装置(ECU:Electronic Control Unit)1は、例えば車両に搭載される車載用の電子制御装置であり、例えば駆動系の制御を行う装置、ADAS(Advanced Driving Assistant System)系の制御を行う装置、マルチメディア系の制御を行う装置等である。
電子制御装置1は、制御部2と、記憶部3と、安全保障部4とを備える。制御部2は、CPU、ROM、RAM及びI/O等を有するマイクロコンピュータ(以下、マイコンと称する)を主体として構成され、非遷移的実体的記憶媒体に格納されているコンピュータプログラムを実行することでコンピュータプログラムに対応する処理を実行し、電子制御装置1の動作を制御する。
記憶部3は、第1記憶部3aと、第2記憶部3bと、第3記憶部3cとを備える。第1記憶部3a及び第2記憶部3bは、それぞれ制御ソフトを記憶可能である。第3記憶部3cは、切替検知ソフトを記憶可能である。各記憶部3a~3cは独立しており、第1記憶部3aに記憶されている制御ソフト、第2記憶部3bに記憶されている制御ソフト、第3記憶部3cに記憶されている切替検知ソフトは、それぞれ他のソフトからの影響を受けることがないと共に他のソフトに影響を与えることなく起動可能である。
制御部2は、通常制御処理部2aと、ソフト切替部2bと、マイコン監視部2cと、マイコン監視送信部2dと、ソフト切替検知部2eとを備える。通常制御処理部2aは、第1記憶部3a及び第2記憶部3bのうち何れか一方に記憶されている制御ソフトを択一的に使用する。第1記憶部3a及び第2記憶部3bのうち一方に記憶されている制御ソフトを通常制御処理部2aが使用中では、新しい制御ソフトの更新データを他方に書き込み可能となり、新しい制御ソフトの更新データを他方に書き込むことで、他方に記憶される制御ソフトを更新可能となる。この場合、制御ソフトの更新データは、例えば電子制御装置1が通信ネットワーク側のセンター装置と無線接続することで、センター装置から無線通信により取得されても良いし、電子制御装置1がダイアグツールと有線接続することで、ダイアグツールから有線通信により取得されても良い。
ソフト切替部2bは、切替条件の成立を監視している。ソフト切替部2bは、第1記憶部3a及び第2記憶部3bのうち何れか一方に記憶されている制御ソフトを使用中のときに切替条件が成立すると、使用する制御ソフトを、一方に記憶されている制御ソフトから他方に記憶されている制御ソフトに切替える切替処理を実施する。切替条件は、例えばユーザがソフト切替えの承諾操作を行ったこと、書き込まれた更新データが改ざんされていない正常なデータであること、電子制御装置1へ動作電源を供給するバッテリの残量が所定容量以上であること等である。
マイコン監視部2cは、制御部2の動作状態を監視しており、制御部2の動作状態が正常であることを検知中は正常通知をマイコン監視送信部2dへ出力し、制御部2の動作状態が異常であることを検知すると、異常通知をマイコン監視送信部2dへ出力する。マイコン監視送信部2dは、マイコン監視部2cから正常通知の入力を検知中は正常通知を安全保障部4へ出力し、マイコン監視部2cから異常通知の入力を検知すると、正常通知の出力を停止する。
安全保障部4は、電子制御装置1を一つのノードとして含むシステムの安全を保障する安全保障動作としてフェイルセーフを実施可能である。フェイルセーフは、システムにおいて例えば誤作動による障害が発生した場合に、システムの安全を保障する動作である。電子制御装置1が駆動系の制御を行う装置であれば、例えばアクチュエータカットを実施してシステムの安全を保障する。電子制御装置1がマルチメディア系の制御を行う装置であれば、例えばドライバに向けて表示する情報量を減らす等の機能制限を実施してシステムの安全を保障する。安全保障部4は、マイコン監視送信部2dから正常通知の入力を検知中はフェイルセーフを開始せずに待機しており、マイコン監視送信部2dから正常通知の入力を検知しなくなると、フェイルセーフを開始する。安全保障部4は、フェイルセーフを開始した後に、マイコン監視送信部2dから正常通知の入力の検知を再開すると、フェイルセーフを終了する。
本実施形態では、上記したシステムにおいて例えば誤作動による障害が発生した場合だけでなく、使用する制御ソフトを切替える切替処理を実施中にもフェイルセーフを実施するように構成されている。
ソフト切替検知部2eは、第3記憶部3cに記憶されている切替検知ソフトを起動してソフト切替部2bを監視し、切替処理の開始、切替処理の正常終了、切替処理中の異常発生を検知する。ソフト切替検知部2eは、切替処理の開始を検知すると、切替開始通知を安全保障部4へ出力する。安全保障部4は、ソフト切替検知部2eから切替開始通知の入力を検知すると、上記したマイコン監視送信部2dから正常通知の入力を検知しなくなったときと同様に、フェイルセーフを開始する。
ソフト切替検知部2eは、切替処理の正常終了を検知すると、切替正常終了通知を安全保障部4へ出力する。安全保障部4は、ソフト切替検知部2eから切替正常終了通知の入力を検知すると、フェイルセーフを終了する。ソフト切替検知部2eは、切替処理中の異常発生を検知すると、切替処理が開始される前の状態への復帰を待機し、切替処理が開始される前の状態への正常復帰を検知すると、切替正常復帰通知を安全保障部4へ出力する。安全保障部4は、ソフト切替検知部2eから切替正常復帰通知の入力を検知すると、フェイルセーフを終了する。
次に、上記した構成の作用について図2から図3を参照して説明する。
制御部2は、切替処理の開始を判定する開始判定処理を開始すると、切替処理を開始したか否かを判定する(S1)。制御部2は、切替条件が成立しておらず、切替処理を開始していないと判定すると(S1:NO)、開始判定処理を終了し、次の開始判定処理の開始を待機する。
制御部2は、切替条件が成立し、切替処理を開始したと判定すると(S1:YES)、切替開始通知を安全保障部4へ出力し(S2)、安全保障部4によるフェイルセーフを開始させる(S3)。制御部2は、安全保障部4によるフェイルセーフを開始させると、切替処理を正常終了したか否かを判定すると共に、切替処理中に異常発生したか否かを判定する(S4,S5)。
制御部2は、切替処理中に異常発生することなく切替処理を正常終了したと判定すると(S4:YES)、切替正常終了通知を安全保障部4へ出力し(S6)、安全保障部4によるフェイルセーフを終了させ(S7)、開始判定処理を終了する。一方、制御部2は、切替処理を正常終了することなく切替処理中に異常発生したと判定すると(S5:YES)、切替処理が開始される前の状態への復帰を実施する(S8)。制御部2は、切替処理を開始する前の状態に正常復帰すると、切替正常復帰通知を安全保障部4へ出力し(S9)、安全保障部4によるフェイルセーフを終了させ(S7)、開始判定処理を終了する。
制御部2は、上記した処理を行うことで、図3に示すように、使用する制御ソフトの切替中においてシステムの安全を適切に保障する。図3では、制御ソフトの更新データを第2記憶部2bに書き込み、使用する制御ソフトを、第1記憶部2aに記憶されている制御ソフトから第2記憶部2bに記憶されている制御ソフトに切替える切替処理中にフェイルセーフを実施する場合を例示しているが、制御ソフトの更新データを第1記憶部2aに書き込み、使用する制御ソフトを、第2記憶部2bに記憶されている制御ソフトから第1記憶部2aに記憶されている制御ソフトに切替える場合も同様である。
以上に説明したように第1実施形態によれば、次に示す作用効果を得ることができる。
電子制御装置1において、使用する制御ソフトを切替える切替処理の開始を検知すると、安全保障部4によるフェイルセーフを開始するようにした。使用する制御ソフトの切替中においてシステムの安全を適切に保障することができる。
切替処理の正常終了を検知すると、安全保障部4によるフェイルセーフを終了するようにした。使用する制御ソフトの切替えを正常終了すると、フェイルセーフを速やかに解除することができる。
切替処理中の異常発生を検知すると、切替処理を開始する前の状態への復帰を待機し、切替処理を開始する前の状態への正常復帰を検知すると、安全保障部4によるフェイルセーフを終了するようにした。切替処理中に異常発生した場合でも、切替処理を開始する前の状態に正常復帰すると、フェイルセーフを速やかに解除することができる。
第3記憶部3cに記憶されている切替検知ソフトを起動し、切替処理の開始を検知するようにした。制御ソフトからの影響を受けることがないと共に制御ソフトに影響を与えることなく切替検知ソフトを起動することができ、切替処理の開始を適切に検知することができる。
(第2実施形態)
第2実施形態について図4を参照して説明する。
第1実施形態は、ソフト切替検知部2eが切替開始通知、切替正常終了通知及び切替正常復帰通知を安全保障部4へ出力する構成であるが、第2実施形態は、ソフト切替検知部2eが切替開始通知、切替正常終了通知及び切替正常復帰通知をマイコン監視送信部2dへ出力する構成である。
マイコン監視送信部2dは、ソフト切替検知部2eから切替開始通知の入力を検知すると、正常通知の出力を停止する。安全保障部4は、マイコン監視送信部2dから正常通知の入力を検知しなくなると、フェイルセーフを開始する。マイコン監視送信部2dは、ソフト切替検知部2eから切替正常終了通知又は切替正常復帰通知の入力を検知すると、正常通知の出力を再開する。安全保障部4は、マイコン監視送信部2dから正常通知の入力を検知すると、フェイルセーフを終了する。
第2実施形態においても、電子制御装置1は、使用する制御ソフトを切替える切替処理の開始を検知すると、安全保障部4によるフェイルセーフを開始するようにした。使用する制御ソフトの切替中においてシステムの安全を適切に保障することができる。尚、マイコン監視送信部2dは、ソフト切替検知部2eから切替開始通知の入力を検知すると、正常通知の出力を停止することに代えて、異常通知を安全保障部4へ出力しても良く、安全保障部4は、マイコン監視送信部2dから異常通知の入力を検知すると、フェイルセーフを開始しても良い。
(その他の実施形態)
本開示は、実施例に準拠して記述されたが、当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、更には、それらに一要素のみ、それ以上、或いはそれ以下を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。
第1実施形態と第2実施形態とを組み合わせても良い。即ち、ソフト切替検知部2eが切替開始通知、切替正常終了通知及び切替正常復帰通知を安全保障部4とマイコン監視送信部2dの両方へ出力する構成としても良い。冗長な構成とすることで、例えばソフト切替検知部2eから安全保障部4へのデータ伝送及びソフト切替検知部2eからマイコン監視送信部2dへのデータ伝送のうち何れか一方に異常が発生した場合でも、使用する制御ソフトを切替える切替処理中におけるフェイルセーフを適切に実施することができる。
本開示に記載の制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することにより提供された専用コンピュータにより実現されても良い。或いは、本開示に記載の制御部及びその手法は、一つ以上の専用ハードウェア論理回路によりプロセッサを構成することにより提供された専用コンピュータにより実現されても良い。若しくは、本開示に記載の制御部及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウェア論理回路により構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより実現されても良い。又、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていても良い。
図面中、1は電子制御装置、2は制御部、2bはソフト切替部、2eはソフト切替検知部、3aは第1記憶部、3bは第2記憶部、3cは第3記憶部、4は安全保障部である。

Claims (4)

  1. 制御ソフトを記憶可能な第1記憶部(3a)と、
    制御ソフトを記憶可能な第2記憶部(3b)と
    使用する制御ソフトを、前記第1記憶部及び前記第2記憶部のうち何れか一方に記憶されている制御ソフトから他方に記憶されている制御ソフトに切替える切替処理を実施するソフト切替部(2b)と、
    システムの安全を保障する安全保障動作を実施する安全保障部(4)と、
    前記切替処理の開始を検知すると、前記安全保障動作を開始させるソフト切替検知部(2e)と、を備える電子制御装置。
  2. 前記ソフト切替検知部は、前記切替処理の正常終了を検知すると、前記安全保障動作を終了させる請求項1に記載した電子制御装置。
  3. 前記ソフト切替検知部は、前記切替処理中の異常発生を検知すると、前記切替処理が開始される前の状態への復帰を待機し、前記切替処理が開始される前の状態への正常復帰を検知すると、前記安全保障動作を終了させる請求項1又は2に記載した電子制御装置。
  4. 前記第1記憶部及び前記第2記憶部の何れとも異なる第3記憶部(3c)を備え、
    前記ソフト切替検知部は、前記第3記憶部に記憶されている切替検知ソフトを起動し、前記切替処理の開始を検知する請求項1から3の何れか一項に記載した電子制御装置。
JP2021204330A 2021-12-16 2021-12-16 電子制御装置 Pending JP2023089680A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021204330A JP2023089680A (ja) 2021-12-16 2021-12-16 電子制御装置
DE102022132651.9A DE102022132651A1 (de) 2021-12-16 2022-12-08 Elektronische Steuervorrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021204330A JP2023089680A (ja) 2021-12-16 2021-12-16 電子制御装置

Publications (1)

Publication Number Publication Date
JP2023089680A true JP2023089680A (ja) 2023-06-28

Family

ID=86606379

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021204330A Pending JP2023089680A (ja) 2021-12-16 2021-12-16 電子制御装置

Country Status (2)

Country Link
JP (1) JP2023089680A (ja)
DE (1) DE102022132651A1 (ja)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7310891B2 (ja) 2019-08-06 2023-07-19 日本電気株式会社 モビリティ制御システム、方法、および、プログラム

Also Published As

Publication number Publication date
DE102022132651A1 (de) 2023-06-22

Similar Documents

Publication Publication Date Title
JP6220232B2 (ja) 車両の制御装置
JP2010285001A (ja) 電子制御システム、機能代行方法
JP5141367B2 (ja) 車両制御装置
EP3608775B1 (en) Electronic control system
JP2012060841A (ja) 車両用電子制御装置
JP2009184423A (ja) 車両用電子制御装置
US20090217090A1 (en) Method, operating system and computing hardware for running a computer program
WO2016117402A1 (ja) 車両制御装置
JP2016055832A (ja) 駆動装置の制御装置
JP2023089680A (ja) 電子制御装置
JP5582748B2 (ja) 車両用電子制御装置
JP3968876B2 (ja) 電子制御装置
JP2007038816A (ja) ネットワークシステム及びその管理方法
JP5459370B2 (ja) 車載電子制御装置
JP7312268B2 (ja) 冗長系システム及び負荷駆動制御装置
JP5533777B2 (ja) プログラム群
JP6624005B2 (ja) 相互監視システム
JP4793589B2 (ja) 安全リモートi/oターミナル
JP4820679B2 (ja) 車両用電子制御装置
JP7007223B2 (ja) 制御装置および異常検出方法
JP5236376B2 (ja) ネットワークシステムの書き換え装置
WO2011122677A1 (ja) 主記憶装置における情報を復元するための装置及び方法
JP6075262B2 (ja) 制御装置
JP6887277B2 (ja) 自動車用電子制御装置
JP2012174198A (ja) 異常検出装置、および異常検出プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240409