JP5126393B2 - 車載電子制御装置 - Google Patents

車載電子制御装置 Download PDF

Info

Publication number
JP5126393B2
JP5126393B2 JP2011144690A JP2011144690A JP5126393B2 JP 5126393 B2 JP5126393 B2 JP 5126393B2 JP 2011144690 A JP2011144690 A JP 2011144690A JP 2011144690 A JP2011144690 A JP 2011144690A JP 5126393 B2 JP5126393 B2 JP 5126393B2
Authority
JP
Japan
Prior art keywords
monitoring
abnormality
software
hardware
microcomputer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011144690A
Other languages
English (en)
Other versions
JP2013012069A (ja
Inventor
友保 青木
修司 遠藤
謙一 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NSK Ltd
Original Assignee
NSK Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to JP2011144690A priority Critical patent/JP5126393B2/ja
Application filed by NSK Ltd filed Critical NSK Ltd
Priority to CN201280000436.XA priority patent/CN102959520B/zh
Priority to EP12729331.4A priority patent/EP2557502A4/en
Priority to US13/520,870 priority patent/US9087077B2/en
Priority to PCT/JP2012/003546 priority patent/WO2013001716A1/ja
Publication of JP2013012069A publication Critical patent/JP2013012069A/ja
Application granted granted Critical
Publication of JP5126393B2 publication Critical patent/JP5126393B2/ja
Priority to US14/737,138 priority patent/US9348684B2/en
Priority to US14/737,107 priority patent/US9348683B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3024Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a central processing unit [CPU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring

Description

本発明は、マイクロコンピュータの故障/異常を監視する機能を有する車載電子制御装置に関するものである。
従来のCPU監視機能を有する車載電子制御装置としては、例えば特許文献1及び2に記載の技術がある。この技術は、上記監視機能としてロックステップ方式を採用したものであり、同一構成を有するA系とB系の2つの情報処理部における処理結果を照合する照合回路を備える。そして、照合回路による照合結果が不一致である場合に、A系又はB系が故障していると判定する。
また、上記監視機能として、制御CPUを監視CPUで監視する、所謂2CPU方式を採用したものもある(例えば、特許文献3参照)。
特開2010−262432号公報 特開2010−160649号公報 特開2006−344086号公報
しかしながら、上記のようなロックステップ方式を採用した監視機能では、制御部と監視部とが同一コアを使用していると、コアの演算器に演算ミスが生じるような不具合があった場合に、異常として検出することができない。また、上記のような2CPU方式を採用した監視機能では、制御CPUの演算をきめ細かく診断することができない。
このように、異常の詳細を診断することができないため、異常発生時には、異常の詳細によらず一律に制御を停止していた。ところが、車両の大型化による制御停止時のドライバ負担や車両安全制御の規格化などの観点から、異常の詳細によっては異常発生時にも制御を続行することが望まれる。
そこで、本発明は、マイクロコンピュータの異常の詳細を適切に診断することができる車載電子制御装置を提供することを課題としている。
上記課題を解決するために、本発明に係る車載電子制御装置は、車両に搭載されたセンサからの検出信号に基づいて、アクチュエータの駆動信号を生成するマイクロコンピュータを備える車載電子制御装置であって、前記マイクロコンピュータは、ハードウェア部とソフトウェア部とを含んで構成されており、前記マイクロコンピュータの内部に設けられ、前記ハードウェア部の各要素の異常を監視するハードウェア要素監視手段と、前記マイクロコンピュータの内部に設けられ、前記ソフトウェア部の各要素の異常を監視するソフトウェア要素監視手段と、前記マイクロコンピュータの外部に設けられ、前記マイクロコンピュータの異常を監視する外部監視手段と、を備え、前記ハードウェア要素監視手段は、監視対象のハードウェア要素とは異なる構造で、且つ当該監視対象のハードウェア要素と入出力特性が等しい監視用ハードウェア要素を備え、前記監視対象のハードウェア要素と前記監視用ハードウェア要素とに同一信号を入力したときの出力信号を比較することで、前記監視対象のハードウェア要素の異常を監視することを特徴としている。
このように、マイクロコンピュータをハードウェア監視、ソフトウェア監視、外部監視の3つで総合監視するので、マイクロコンピュータの異常の詳細を診断することができる。そのため、マイクロコンピュータの異常発生時には、異常の詳細に応じた適切な処置が可能となる。
また、監視対象のハードウェア要素の入出力を監視するので、当該監視対象のハードウェア要素の故障を適切に検出することができる。さらに、監視用ハードウェア要素を監視対象のハードウェア要素とは異なる構造で実装するので、例えば、両者で処理完了までの遅延時間を異ならせることができる。その結果、両者が共通して影響を受ける故障要因に対しても、適切に故障として検出することができる。
また、上記において、前記ハードウェア要素監視手段は、上記異常を検出すると、前記アクチュエータを停止するための停止処置を行うことを特徴としている。
このように、マイクロコンピュータの異常の詳細に応じて適切な処置を行うことができる。
さらに、上記において、前記ハードウェア要素監視手段は、上記異常を検出すると、前記外部監視手段にこれを通知し、前記外部監視手段は、前記ハードウェア要素監視手段からの前記通知を受けて、前記アクチュエータを停止するための停止処置を行うことを特徴としている。
このように、異常を検出した際に、直接アクチュエータの停止処置を実施する手段と、外部監視手段を介してアクチュエータの停止処置を実施する手段とを併用することで、当該停止処置の実施手段を冗長化することができる。これにより、異常発生時には、より確実にアクチュエータを停止することができる。
また、上記において、前記ソフトウェア要素監視手段は、監視対象のソフトウェア要素とは異なる構造で、且つ当該監視対象のソフトウェア要素と同等の演算処理を行う監視用ソフトウェア要素を備え、前記監視対象のソフトウェア要素と前記監視用ソフトウェア要素とに同一信号を入力し、両者の演算結果の差が許容範囲内であるか否かにより、前記監視対象のソフトウェア要素の異常を監視することを特徴としている。
このように、監視対象のソフトウェア要素の演算結果を監視するので、当該監視対象のソフトウェア要素の異常を適切に検出することができる。さらに、監視用ソフトウェア要素を監視対象のソフトウェア要素とは異なる構造で実装するので、例えば、両者で演算に使用されるインストラクションを異ならせることができる。その結果、両者に共通して影響を受ける異常要因に対しても、適切に異常として検出することができる。また、演算結果の比較に際し、所定の許容範囲を設定するので、異なる実装を実現したことにより生じる演算誤差を考慮した異常診断を行うことができる。
さらにまた、上記において、前記許容範囲は、前記監視対象のソフトウェア要素の演算結果と前記監視用ソフトウェア要素の演算結果とが同符号であり、且つ前記監視対象のソフトウェア要素の演算結果の絶対値が前記監視用ソフトウェア要素の演算結果の絶対値よりも小さい範囲に設定することを特徴としている。
このように、監視対象のソフトウェア要素の演算結果の絶対値が小さいほど、アクチュエータの実際の制御動作は小さく、不具合を発生する動作に繋がりにくいことを考慮して、異常を非検出とする許容範囲を設定することができる。そのため、むやみに異常診断するのを抑制することができる。
また、上記において、前記ソフトウェア要素監視手段は、上記異常を検出すると、前記監視対象のソフトウェア要素の演算結果を前記許容範囲内に制限する制限手段を備えることを特徴としている。
これにより、マイクロコンピュータに異常が発生している場合であっても、その異常がソフトウェア要素の異常である場合には、アクチュエータの駆動制御を続行させることができる。このように、マイクロコンピュータの異常の詳細に応じて適切な処置を行うことができる。
本発明の車載電子制御装置では、マイクロコンピュータのハードウェア部及びソフトウェア部の内部監視と、マイクロコンピュータの外部監視との総合監視が可能であるため、マイクロコンピュータの異常の詳細を適切に診断することができる。その結果、異常の詳細に応じた適切な処置が可能となる。
本実施形態における車載電子制御装置の機能を示す図である。 ハードウェア部の監視機能を示すブロック図である。 MCU内部要素の診断例を示すブロック図である。 S/W要素の診断例を示すブロック図である。 異常診断領域の例を示す図である。 異常診断領域の例を示す図である。 故障処理回路の構成を示すブロック図である。
以下、本発明の実施の形態を図面に基づいて説明する。
図1は、本実施形態における車載電子制御装置の機能を示す図である。
図中、符号1は車両の制御を行う車載電子制御装置であり、この車載電子制御装置は、マイクロコンピュータ(MCU)2を備える。MCU2は、ハードウェア部21とソフトウェア部22とを含んで構成されている。
ハードウェア部21は、複数のMCU内部要素と、これらMCU内部要素のうちの主機能22の故障を監視する監視機能23とを備える。ここで、MCU内部要素とは、中央演算処理回路(CPU)やバス、ROM、RAM、周辺回路(タイマ、シリアル通信、CAN通信、外部出力ポート)などである。また、ソフトウェア部24は、ソフトウェア要素(S/W要素)と、S/W要素のうちの主機能25で実行する演算処理の異常を監視する監視機能26とを備える。
すなわち、MCU2内部において、ハードウェア要素の監視とソフトウェア要素の監視とを行うようになっている。
MCU2には、車両に搭載されている各種センサ11で検出した検出信号が、入力I/F回路3を介して入力される。そして、MCU2は、入力された検出信号に基づいて、車両に搭載されたアクチュエータ(ブレーキアクチュエータ、アクティブサスペンション等)12を駆動制御するための指令信号を演算し、これをアクチュエータ駆動回路4に出力する。
アクチュエータ駆動回路4は、ブリッジ回路(FET)、FET駆動回路、リレー、リレー駆動回路などを含んで構成されており、MCU2で演算した指令信号をもとにアクチュエータ12を駆動制御する。
また、車載電子制御装置1は、MCU2の外部でMCU2の故障を監視する故障処理回路5を備える。
なお、図1において、監視機能23がハードウェア要素監視手段に対応し、監視機能26がソフトウェア要素監視手段に対応し、故障処理回路5が外部監視手段に対応している。
次に、MCU2のハードウェア部21の監視機能23について詳細に説明する。
図2は、ハードウェア部21の監視機能23を説明するためのブロック図である。この図2に示すように、複数のMCU内部要素(主機能)31に、それぞれ監視機能23として故障処理要素32が配置されている。ここで、MCU内部要素31と故障処理要素32とは、異なる構造で実装する。
故障処理要素32は、監視対象のMCU内部要素31の入出力を監視し、当該MCU内部要素31が故障しているか否かを診断する。ここでは、図3に示すように、故障処理要素32は、演算処理回路32aと比較回路32bとを備える。演算処理回路32aは、監視対象のMCU内部要素31を構成する演算処理回路31aとは異なる実装で、且つ演算処理回路31aと入出力特性が等しい。
すなわち、演算処理回路32aは、その機能が正常である場合に演算処理回路31aと同一の信号を入力したとき、演算処理回路31aと同一の信号を出力するものであり、演算処理回路31aとは異なるトランジスタ数で実装する。故障処理用の演算処理は、診断のための演算値が求められればよいため、主機能の演算処理よりも簡素化できる。そのため、ここでは、トランジスタ数を異ならせて、演算処理回路32aを演算処理回路31aに対して簡素化した構造とする。
そして、この演算処理回路32aに演算処理回路31aの入力信号を入力し、その出力信号を比較回路32bに入力する。すると、比較回路32bは、演算処理回路31aの出力信号と演算処理回路32aの出力とを比較する。このとき、同一結果となっていない場合には、MCU内部要素31が故障していると判断し、故障処理要素32は、図2に示すMCU内部要素(外部出力機能)33及び故障後処置要素34に故障を検出したことを示す診断結果を通知する。
MCU内部要素33は、故障処理要素32の診断結果を受けて、アクチュエータ駆動回路4へ故障後処置の実施指令を出力する。
故障後処置の実施指令の例としては、例えば、アクチュエータ駆動回路4を構成するブリッジ回路のFET駆動回路への停止信号がある。この場合、当該停止信号が出力されることで、全FETがOFFし、アクチュエータ12を停止させることができる。また、故障後処置の実施指令の別の例としては、例えば、アクチュエータ駆動回路4のリレー駆動回路への停止信号がある。この場合、当該停止信号が出力されることで、リレーがOFFし、アクチュエータ12への電力供給を停止することができる。このように、本実施形態では、故障後処置としてアクチュエータ12の停止処置を適用する。
また、故障後処置要素34は、故障処理要素32の診断結果を受けて、故障処理回路5へMCU内部要素31の故障を通知する。故障処理回路5は、故障後処置要素34から当該故障通知を受け取ると、アクチュエータ駆動回路4へ故障後処置の実施指令を出力する。
このように、通知手段を冗長化することにより、MCU内部要素33及び故障後処置要素34の何れかの通知機能が失われた状態でも、確実にアクチュエータ駆動回路4へ故障後処置の実施指令を出力することができる。
次に、MCU2のソフトウェア部24の監視機能26について詳細に説明する。
図4は、S/W要素の診断例を示すブロック図である。この図4に示すように、S/W要素(主機能)41には、監視機能26として異常処理S/W42が配置されている。ここで、S/W要素41と異常処理S/W42とは、異なる構造で実装する。
異常処理S/W42は、監視対象のS/W要素41の演算結果を監視し、当該S/W要素に異常が発生しているか否かを診断する。ここでは、異常処理S/W42は、演算処理42aと、比較処理42bと、制限処理42cとを備える。演算処理42aは、監視対象のS/W要素41の演算処理41aとは異なる実装で、且つ演算処理41aと同等の演算を行う。
すなわち、演算処理42aは、演算処理41aとは異なるインストラクション数で、演算処理41aと数式上同一となる演算を行うものである。故障処理用の演算処理は、診断のための演算値が求められればよいため、主機能の演算処理よりも簡素化できる。そのため、ここでは、インストラクション数を異ならせて、演算処理42aを演算処理41aに対して簡素化したものとする。
そして、この演算処理42aに演算処理41aの入力信号を入力し、その演算結果を比較処理42bに入力する。すると、比較処理42bは、演算処理41aの演算結果と演算処理42aの演算結果とを比較する。このとき、両者の誤差が所定の許容範囲内にない場合には、S/W要素41に異常が発生していると判断する。
すなわち、図5に示すように、主機能側の値(演算処理41aの演算結果)が監視側の値(演算処理42aの演算結果)に対して±所定範囲となる領域を許容領域とし、それ以外の斜線で示す領域を異常診断領域とする。そして、主機能側の値と監視側の値とによって決まる点が異常診断領域内にあるとき、上記誤差が許容範囲内にないと判断する。なお、図5の破線で示す直線は、主機能側の値と監視側の値とが等しい領域である。
このように、所定の許容範囲を設定するため、演算処理42aを簡素化したことにより生じる演算誤差分を考慮した異常判定を行うことができる。
また、異常診断領域は、例えば図6に示すように設定することもできる。この例は、主機能側の値と監視側の値とが同符号で、且つ主機能側の値の絶対値が監視側の値の絶対値よりも小さい領域±所定範囲を許容範囲としたものである。すなわち、主機能側の値と監視側の値とによって決まる点が、図6の斜線に示す異常診断領域内にあるとき、上記誤差が許容範囲内にないと判断する。これにより、実際の動作の値が小さいものは、不具合発生に繋がる可能性が低いと判断して許容することができるので、むやみに異常判定されるのを抑制することができる。
そして、比較処理42bは、S/W要素41に異常が発生していることを検出すると、その診断結果を図4の制限処理(制限手段)42cに出力する。
制限処理42cには、演算処理41aの演算結果が入力される。比較処理42bから異常を検出したことを示す診断結果が入力された場合には、制限処理42cは、演算処理41aの演算結果を許容できる制限値まで制限して出力する。ここで、上記制限値は、車両で許容できる範囲を実験的に検証して決定することが望ましい。一方、比較処理42bから異常を検出したことを示す診断結果が入力されていない場合には、制限処理42cは、演算処理41aの演算結果をそのまま出力する。
次に、故障処理回路5の構成について具体的に説明する。
図7は、故障処理回路5の機能を示すブロック図である。故障処理回路5は、MCU2の故障をMCU2の外部から監視するものである。MCU2の監視方法としては、MCU2のクロック27を監視する方法と、MCU2の監視機能23及び26が動作していることを監視する方法とを採用する。
すなわち、故障処理回路5は、MCU2のクロック27を監視するために、MCU2とは独立したクロック51と、クロック監視処理52とを備える。クロック監視処理52は、クロック27のクロックパルスとクロック51のクロックパルスとを比較することで、クロック27の故障を検出する。クロック27は、MCU2の一連の作業の基準となるものであり、例えばRC発振回路やセラミック振動子、水晶振動子、水晶振動子内蔵オシレータ、水晶振動子・分周器内蔵オシレータなどからなる。
なお、図7では、クロック監視処理52を故障処理回路5内部のS/Wで実装する場合について示しているが、MCU2内部のH/WやS/Wで実装することもできる。
また、故障処理回路5は、MCU2の監視機能23の動作を監視するために、故障処理要素32のウォッチドッグタイマの出力パルスを監視するパルス監視処理53を備える。パルス監視処理53は、上記出力パルスが所定時間停止したことをもって、監視機能23の異常を検出する。
なお、図7では監視機能23の異常検出についてのみ示しているが、監視機能26(異常処理S/W42)についても同様の方法で異常を検出するものとする。
すなわち、監視機能26(異常処理S/W42)が正しく実行されたときにウォッチドッグタイマからパルスを出力することによって、監視機能26が実行されない状態(監視されていない状態)をMCU2の外部の故障処理回路5で診断することができる。
そして、故障処理回路5は、クロック監視処理52及びパルス監視処理53の少なくとも一方でMCU2の故障を検出すると、アクチュエータ12を停止させるべく、アクチュエータ駆動回路4に対して故障後処置の実施指令を出力する。
このように、本実施形態では、MCUをハードウェア監視、ソフトウェア監視、外部監視の3つで総合監視するので、MCUの異常を詳細に監視することができる。
すなわち、ハードウェア監視においては、MCU内部要素ごとに故障処理要素を配置してMCU内部要素の入出力信号を監視するので、MCU内部要素の故障をきめ細かく診断することができる。
また、このとき、故障処理要素を監視対象のMCU内部要素とは異なる構造で実装するので、例えば、両者で処理完了までの遅延時間を異ならせることができる。その結果、両者に共通して影響を受ける故障要因に対しても、適切に故障として検出することができる。さらに、トランジスタ数を少なくするなどにより、故障処理要素を監視対象のMCU内部要素よりも簡素化した構造で実装するので、比較的簡易且つ安価に故障処理要素を設けることができる。
さらに、上記ハードウェア監視の他に、MCU内部でソフトウェア監視を行うので、ハードウェア監視の故障処理要素で検出しきれない演算不具合を検出することができる。
このとき、ソフトウェア監視においては、S/W要素に異常処理S/Wを配置してS/W要素の演算結果を監視するので、S/W要素の異常を適切に診断することができる。さらに、異常処理S/Wを監視対象のS/W要素とは異なる構造で実装するので、例えば、両者で演算に使用されるインストラクションを異ならせることができる。その結果、両者に共通して影響を受ける異常要因に対しても、適切に異常として検出することができる。
また、演算結果の比較に際し、所定の許容範囲を設定するので、異常処理S/Wを簡素化した構造としたことにより生じる演算誤差を考慮した異常診断を行うことができる。例えば、監視対象のS/W要素の演算結果と異常処理S/Wの演算結果とが同符号であり、且つ監視対象のS/W要素の演算結果の絶対値が異常処理S/Wの演算結果の絶対値よりも小さい範囲を、上記許容範囲とする。これにより、監視対象のS/W要素の演算結果が、アクチュエータの実際の制御動作が小さく不具合を発生する動作に繋がりにくいような値の場合には、監視対象のS/W要素の演算結果と異常処理S/Wの演算結果とに比較的大きな誤差が生じている場合でも許容することができる。そのため、むやみに異常診断するのを抑制することができる。
そして、ハードウェア監視においてMCU内部要素の故障を検出した場合には、アクチュエータを停止する処置を行い、ソフトウェア監視においてS/W要素の異常を検出した場合には、S/W要素の演算結果を許容範囲内に制限する補正を行って、アクチュエータの駆動制御を続行する処置を行う。
車両に搭載される電子制御用MCUは、異常発生時には異常の詳細によらず制御を停止させるのが一般的であった。ところが、車両の大型化による制御停止時のドライバ負担や車両安全制御の規格化などの観点から、異常発生時にも異常の詳細によっては制御を続行させる必要がある。本実施形態では、MCUの異常をきめ細かく診断することができるので、異常の詳細に応じて制御を停止したり制御を続行したりすることができるなど、適切な処置を行うことができる。
さらに、MCU外部でMCUの故障を監視する外部監視を行うので、MCU内部の監視機能であるハードウェア監視とソフトウェア監視とが共通して影響を受ける要因に対して診断を実施することができる。
例えば、MCUの外部にMCUとは独立したクロックを配置し、MCUのクロックを監視することで、MCU内部の各監視機能が共通して影響を受けるクロック異常が発生し、MCU内部で故障/異常の診断が行えない場合には、これを異常として検出することができる。また、MCU内部の各監視機能のウォッチドッグタイマの出力パルスを監視することで、MCU内部の各監視機能が動作していない場合には、これを異常として検出することができる。このように、MCUの機能不全をMCUの外部で検出し、処置することができる。
そして、この外部監視においては、自身の監視機能でMCUの故障を検出した場合や、異常処理要素からMCU内部要素の故障を検出したことを示す情報を取得した場合に、アクチュエータを停止する処置を行う。すなわち、ハードウェア監視でMCU内部要素の故障を検出した場合には、ハードウェア監視によって直接アクチュエータを停止する処置を行う手段と、外部監視を介してアクチュエータを停止する処置を行う手段とを併用することができる。その結果、MCU内部要素の故障が発生した場合には、確実にアクチュエータを停止することができる。
1…車載電子制御装置、2…マイクロコンピュータ(MCU)、3…入力I/F回路、4…アクチュエータ駆動回路、5…故障処理回路、11…センサ、12…アクチュエータ、21…ハードウェア部、22…H/W主機能、23…H/W監視機能、24…ソフトウェア部、25…S/W主機能、26…S/W監視機能、27…クロック、31…MCU内部要素(主機能)、31a…演算処理回路、32…故障処理要素、32a…演算処理回路、32b…比較回路、33…MCU内部要素(外部出力機能)、34…故障後処置要素、41…S/W要素、41a…演算処理、42…異常処理S/W、42a…演算処理、42b…比較処理、42c…制限処理、51…クロック、52…クロック監視処理、53…パルス監視処理

Claims (7)

  1. 車両に搭載されたセンサからの検出信号に基づいて、アクチュエータの駆動信号を生成するマイクロコンピュータを備える車載電子制御装置であって、
    前記マイクロコンピュータは、ハードウェア部とソフトウェア部とを含んで構成されており、
    前記マイクロコンピュータの内部に設けられ、前記ハードウェア部の各要素の異常を監視するハードウェア要素監視手段と、
    前記マイクロコンピュータの内部に設けられ、前記ソフトウェア部の各要素の異常を監視するソフトウェア要素監視手段と、
    前記マイクロコンピュータの外部に設けられ、前記マイクロコンピュータの異常を監視する外部監視手段と、を備え
    前記ハードウェア要素監視手段は、監視対象のハードウェア要素とは異なる構造で、且つ当該監視対象のハードウェア要素と入出力特性が等しい監視用ハードウェア要素を備え、前記監視対象のハードウェア要素と前記監視用ハードウェア要素とに同一信号を入力したときの出力信号を比較することで、前記監視対象のハードウェア要素の異常を監視することを特徴とする車載電子制御装置。
  2. 前記ハードウェア要素監視手段は、上記異常を検出すると、前記アクチュエータを停止するための停止処置を行うことを特徴とする請求項に記載の車載電子制御装置。
  3. 前記ハードウェア要素監視手段は、上記異常を検出すると、前記外部監視手段にこれを通知し、
    前記外部監視手段は、前記ハードウェア要素監視手段からの前記通知を受けて、前記アクチュエータを停止するための停止処置を行うことを特徴とする請求項1又は2に記載の車載電子制御装置。
  4. 前記ソフトウェア要素監視手段は、監視対象のソフトウェア要素とは異なる構造で、且つ当該監視対象のソフトウェア要素と同等の演算処理を行う監視用ソフトウェア要素を備え、前記監視対象のソフトウェア要素と前記監視用ソフトウェア要素とに同一信号を入力し、両者の演算結果の差が許容範囲内であるか否かにより、前記監視対象のソフトウェア要素の異常を監視することを特徴とする請求項1〜の何れか1項に記載の車載電子制御装置。
  5. 車両に搭載されたセンサからの検出信号に基づいて、アクチュエータの駆動信号を生成するマイクロコンピュータを備える車載電子制御装置であって、
    前記マイクロコンピュータは、ハードウェア部とソフトウェア部とを含んで構成されており、
    前記マイクロコンピュータの内部に設けられ、前記ハードウェア部の各要素の異常を監視するハードウェア要素監視手段と、
    前記マイクロコンピュータの内部に設けられ、前記ソフトウェア部の各要素の異常を監視するソフトウェア要素監視手段と、
    前記マイクロコンピュータの外部に設けられ、前記マイクロコンピュータの異常を監視する外部監視手段と、を備え、
    前記ソフトウェア要素監視手段は、監視対象のソフトウェア要素とは異なる構造で、且つ当該監視対象のソフトウェア要素と同等の演算処理を行う監視用ソフトウェア要素を備え、前記監視対象のソフトウェア要素と前記監視用ソフトウェア要素とに同一信号を入力し、両者の演算結果の差が許容範囲内であるか否かにより、前記監視対象のソフトウェア要素の異常を監視することを特徴とする車載電子制御装置。
  6. 前記許容範囲は、前記監視対象のソフトウェア要素の演算結果と前記監視用ソフトウェア要素の演算結果とが同符号であり、且つ前記監視対象のソフトウェア要素の演算結果の絶対値が前記監視用ソフトウェア要素の演算結果の絶対値よりも小さい範囲に設定することを特徴とする請求項4又は5に記載の車載電子制御装置。
  7. 前記ソフトウェア要素監視手段は、上記異常を検出すると、前記監視対象のソフトウェア要素の演算結果を前記許容範囲内に制限する制限手段を備えることを特徴とする請求項4〜6の何れか1項に記載の車載電子制御装置。
JP2011144690A 2011-06-29 2011-06-29 車載電子制御装置 Expired - Fee Related JP5126393B2 (ja)

Priority Applications (7)

Application Number Priority Date Filing Date Title
JP2011144690A JP5126393B2 (ja) 2011-06-29 2011-06-29 車載電子制御装置
EP12729331.4A EP2557502A4 (en) 2011-06-29 2012-05-30 ON-BOARD ELECTRONIC CONTROL DEVICE
US13/520,870 US9087077B2 (en) 2011-06-29 2012-05-30 In-vehicle electronic control device
PCT/JP2012/003546 WO2013001716A1 (ja) 2011-06-29 2012-05-30 車載電子制御装置
CN201280000436.XA CN102959520B (zh) 2011-06-29 2012-05-30 车载电子控制装置
US14/737,138 US9348684B2 (en) 2011-06-29 2015-06-11 In-vehicle electronic control device
US14/737,107 US9348683B2 (en) 2011-06-29 2015-06-11 In-vehicle electronic control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011144690A JP5126393B2 (ja) 2011-06-29 2011-06-29 車載電子制御装置

Related Child Applications (2)

Application Number Title Priority Date Filing Date
JP2012186546A Division JP5561329B2 (ja) 2012-08-27 2012-08-27 車載電子制御装置
JP2012186547A Division JP5459370B2 (ja) 2012-08-27 2012-08-27 車載電子制御装置

Publications (2)

Publication Number Publication Date
JP2013012069A JP2013012069A (ja) 2013-01-17
JP5126393B2 true JP5126393B2 (ja) 2013-01-23

Family

ID=47423648

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011144690A Expired - Fee Related JP5126393B2 (ja) 2011-06-29 2011-06-29 車載電子制御装置

Country Status (5)

Country Link
US (3) US9087077B2 (ja)
EP (1) EP2557502A4 (ja)
JP (1) JP5126393B2 (ja)
CN (1) CN102959520B (ja)
WO (1) WO2013001716A1 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5892012B2 (ja) * 2012-09-11 2016-03-23 日本精工株式会社 車載電子制御装置
KR102080453B1 (ko) * 2013-10-02 2020-02-24 현대모비스 주식회사 와치독 장치 및 와치독 제어방법
US9747184B2 (en) * 2013-12-16 2017-08-29 Artesyn Embedded Computing, Inc. Operation of I/O in a safe system
US10254733B2 (en) * 2014-06-20 2019-04-09 Hitachi Automotive Systems, Ltd. Motor control device
WO2016047575A1 (ja) * 2014-09-25 2016-03-31 日本精工株式会社 車載用電子機器の制御装置及び制御方法
US9866542B2 (en) * 2015-01-28 2018-01-09 Gm Global Technology Operations Responding to electronic in-vehicle intrusions
US10089164B2 (en) * 2015-02-27 2018-10-02 Microchip Technology Incorporated Watchdog timer
JP6265158B2 (ja) * 2015-03-27 2018-01-24 横河電機株式会社 電子機器
CN108025687B (zh) * 2015-09-29 2021-12-21 日立安斯泰莫株式会社 监视系统及车辆用控制装置
JP6812737B2 (ja) 2016-10-07 2021-01-13 オムロン株式会社 演算装置および制御装置
US10279816B2 (en) * 2017-03-07 2019-05-07 GM Global Technology Operations LLC Method and apparatus for monitoring an on-vehicle controller
KR102355424B1 (ko) * 2017-09-13 2022-01-26 현대자동차주식회사 차량용 중앙 처리 장치를 제어하는 워치독 회로의 신뢰성을 향상시키는 장치 및 방법
JP7024345B2 (ja) * 2017-11-21 2022-02-24 株式会社デンソー 電子制御装置
CN108681318A (zh) * 2018-03-23 2018-10-19 浙江吉利汽车研究院有限公司 一种电机控制器的功能安全监控系统及其方法
CN111061243B (zh) * 2018-10-17 2023-05-26 联合汽车电子有限公司 电子控制器程序流监控系统及方法
DE102018220788A1 (de) * 2018-12-03 2020-06-04 Zf Friedrichshafen Ag Vorrichtung und Verfahren zum Steuern einer Signalverbindung eines Fahrzeugs
CN114865114A (zh) * 2022-04-20 2022-08-05 广东汇天航空航天科技有限公司 一种电池管理系统及其控制方法

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0244436A (ja) * 1988-08-05 1990-02-14 Nec Corp 情報処理監視システム
JPH0274361A (ja) * 1988-09-09 1990-03-14 Seiko Epson Corp 画像形成装置
JPH04326410A (ja) 1991-04-26 1992-11-16 Mitsubishi Electric Corp クロック監視装置
DE4136338A1 (de) * 1991-11-05 1993-05-06 Robert Bosch Gmbh, 7000 Stuttgart, De Verfahren und vorrichtung zur fehlerbehandlung in elektronischen steuergeraeten
JPH05233344A (ja) 1992-02-20 1993-09-10 Hitachi Ltd 情報処理装置
JPH05324409A (ja) 1992-05-27 1993-12-07 Meidensha Corp ソフトウェアの暴走監視方式
JPH06161798A (ja) 1992-11-24 1994-06-10 Hitachi Ltd 情報処理装置
JPH06274361A (ja) * 1993-03-23 1994-09-30 Fujitsu Ten Ltd 車両制御用コンピュータシステム
JPH08171507A (ja) * 1994-12-16 1996-07-02 Mitsubishi Electric Corp 異常監視方法
JP2001063492A (ja) 1999-08-27 2001-03-13 Nec Corp 車両安全制御装置の電子制御装置
DE10056408C1 (de) 2000-11-14 2002-03-07 Bosch Gmbh Robert Vorrichtung zur Überwachung eines Prozessors
FR2857111B1 (fr) * 2003-07-02 2005-10-07 St Microelectronics Sa Microcontroleur a protection logique contre les decharges electrostatiques
JP2005084896A (ja) * 2003-09-08 2005-03-31 Mitsubishi Electric Corp 車載電子制御装置
JP4296888B2 (ja) * 2003-09-18 2009-07-15 アイシン精機株式会社 電子制御装置
JP4300129B2 (ja) * 2004-02-10 2009-07-22 ファナック株式会社 プログラマブル・シーケンス制御装置
US7310751B2 (en) * 2004-02-20 2007-12-18 Hewlett-Packard Development Company, L.P. Timeout event trigger generation
JP2006344086A (ja) 2005-06-10 2006-12-21 Hitachi Ltd データ照合装置,データ照合方法,データ制御装置及びデータ制御方法
US7496796B2 (en) * 2006-01-23 2009-02-24 International Business Machines Corporation Apparatus, system, and method for predicting storage device failure
JP4653838B2 (ja) * 2006-02-28 2011-03-16 富士通株式会社 演算処理装置、演算処理装置の制御方法及び制御プログラム
JP4616862B2 (ja) * 2007-06-04 2011-01-19 株式会社日立製作所 診断装置
US7721181B2 (en) * 2007-07-11 2010-05-18 Macronix International Co., Ltd. Memory and 1-bit error checking method thereof
US8041996B2 (en) * 2008-01-11 2011-10-18 Alcatel Lucent Method and apparatus for time-based event correlation
DE102008004205A1 (de) * 2008-01-14 2009-07-16 Robert Bosch Gmbh Schaltungsanordnung und Verfahren zur Fehlerbehandlung in Echtzeitsystemen
JP2009252104A (ja) * 2008-04-09 2009-10-29 Denso Corp 監視装置、電子制御装置
JP5344936B2 (ja) 2009-01-07 2013-11-20 株式会社日立製作所 制御装置
GB2468291B (en) * 2009-03-03 2011-04-27 1E Ltd Monitoring a computer
JP2010262432A (ja) 2009-05-01 2010-11-18 Mitsubishi Electric Corp 安全制御装置
EP2407896A1 (en) * 2010-07-16 2012-01-18 Research In Motion Limited Systems and methods of user interface for image display
JP5617615B2 (ja) * 2010-12-27 2014-11-05 株式会社デンソー 車載制御装置
JP5609637B2 (ja) * 2010-12-28 2014-10-22 富士通株式会社 プログラム、情報処理装置、及び情報処理方法
US8689049B2 (en) * 2011-11-03 2014-04-01 Hewlett-Packard Development Company, L.P. Corrective actions based on probabilities

Also Published As

Publication number Publication date
US9348684B2 (en) 2016-05-24
CN102959520B (zh) 2015-03-25
US20150278067A1 (en) 2015-10-01
US9087077B2 (en) 2015-07-21
WO2013001716A1 (ja) 2013-01-03
CN102959520A (zh) 2013-03-06
EP2557502A1 (en) 2013-02-13
JP2013012069A (ja) 2013-01-17
US9348683B2 (en) 2016-05-24
EP2557502A4 (en) 2016-05-11
US20140164826A1 (en) 2014-06-12
US20150278002A1 (en) 2015-10-01

Similar Documents

Publication Publication Date Title
JP5126393B2 (ja) 車載電子制御装置
JP6311828B2 (ja) 車載用電子機器の制御装置及び制御方法
EP3330857B1 (en) Vehicle control device
JP2001063492A (ja) 車両安全制御装置の電子制御装置
WO2016170840A1 (ja) 駆動制御装置
KR101773314B1 (ko) 전원 전압 감시 기능을 갖는 전자 제어 장치 및 그것을 구비한 차량 스티어링 제어 장치
US20170131698A1 (en) Motor control device
US9221492B2 (en) Method for operating an electrical power steering mechanism
US11281547B2 (en) Redundant processor architecture
JPH05294207A (ja) エアバッグ装置及び作動方法
JP5459370B2 (ja) 車載電子制御装置
JP5561329B2 (ja) 車載電子制御装置
JP6081239B2 (ja) 制御装置の異常監視装置および異常監視方法
JP6302852B2 (ja) 車両用電子制御装置
US10633018B2 (en) External watchdog with integrated backward regeneration support
JP6702175B2 (ja) 負荷駆動装置
WO2021111896A1 (ja) 車載電子制御装置
JP6457149B2 (ja) 電子制御装置
JP4613019B2 (ja) コンピュータシステム
JP2022156616A (ja) 制御装置及びリセット機能の診断方法
JP2006293649A (ja) 電子制御装置
JP2005352545A (ja) マイクロコンピュータ及びコンピュータシステム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

R150 Certificate of patent or registration of utility model

Ref document number: 5126393

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151109

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees