JP5295251B2 - 給電電圧監視されるマイクロコントローラを有する車両制御ユニット、および関連の方法 - Google Patents
給電電圧監視されるマイクロコントローラを有する車両制御ユニット、および関連の方法 Download PDFInfo
- Publication number
- JP5295251B2 JP5295251B2 JP2010526232A JP2010526232A JP5295251B2 JP 5295251 B2 JP5295251 B2 JP 5295251B2 JP 2010526232 A JP2010526232 A JP 2010526232A JP 2010526232 A JP2010526232 A JP 2010526232A JP 5295251 B2 JP5295251 B2 JP 5295251B2
- Authority
- JP
- Japan
- Prior art keywords
- converter
- microcontroller
- monitoring
- power supply
- adc1
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 10
- 238000012544 monitoring process Methods 0.000 claims description 82
- 238000005516 engineering process Methods 0.000 claims description 24
- 238000004364 calculation method Methods 0.000 claims description 22
- 102100039435 C-X-C motif chemokine 17 Human genes 0.000 claims description 13
- 101000889048 Homo sapiens C-X-C motif chemokine 17 Proteins 0.000 claims description 13
- 101100434411 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) ADH1 gene Proteins 0.000 description 28
- 101150102866 adc1 gene Proteins 0.000 description 28
- 238000012360 testing method Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 11
- 230000007547 defect Effects 0.000 description 7
- 239000008186 active pharmaceutical agent Substances 0.000 description 5
- 230000006854 communication Effects 0.000 description 5
- 238000005259 measurement Methods 0.000 description 5
- 238000012806 monitoring device Methods 0.000 description 5
- 101150042711 adc2 gene Proteins 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000002485 combustion reaction Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009118 appropriate response Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/26—Power supply means, e.g. regulation thereof
- G06F1/28—Supervision thereof, e.g. detecting power-supply failure by out of limits supervision
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01R—MEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
- G01R31/00—Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
- G01R31/005—Testing of electric installations on transport means
- G01R31/006—Testing of electric installations on transport means on road vehicles, e.g. automobiles or trucks
- G01R31/007—Testing of electric installations on transport means on road vehicles, e.g. automobiles or trucks using microprocessors or computers
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01R—MEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
- G01R31/00—Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
- G01R31/28—Testing of electronic circuits, e.g. by signal tracer
- G01R31/3167—Testing of combined analog and digital circuits
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computer Hardware Design (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Analogue/Digital Conversion (AREA)
- Control By Computers (AREA)
- Safety Devices In Control Systems (AREA)
- Control Of Transmission Device (AREA)
- Power Sources (AREA)
Description
本発明は、複数のアナログ給電電圧が印加されるマイクロコントローラと該マイクロコントローラの動作を監視するための監視ユニットとを有する車両制御ユニットに関する。
たとえば機関制御装置、トランスミッション制御装置、自動車のシャーシ領域内のコントロールユニット等の車両電子制御装置において使用される比較的新しいマイクロコントローラ(μC)はそれぞれ、同時に複数の給電電圧によって、たとえば1.5Vおよび3.3Vで給電される。これらの給電電圧が十分に安定的である場合、すなわち該給電電圧の定義された公差帯域内に留まる場合に、各マイクロコントローラが欠陥無しで適正に動作すること、とりわけ各マイクロコントローラ上で動作するアプリケーションないしは計算プロシージャが欠陥無しで適正に動作および実行していることが保証される。このことは、電圧監視によって連続的に検査される。従来は、この電圧監視を行うための専用のハードウェア電圧監視装置を使用するのが典型的であった。このようなハードウェア電圧監視装置は実用的にはいわゆる「ウォッチドッグ」と称され、十分な精度で動作するハードウェア電圧監視装置の場合には、これは比較的高コストになり、このような電圧監視装置はハードウェア実装されるので、実用化する際には電圧監視装置のパラメータ化およびフレキシビリティは過度に制限されてしまうことが多い。
本発明の基礎となる課題は、専用に配属されハードウェアのみで実装された「ウォッチドッグ」を使用して監視するよりも簡単に複数のアナログ給電電圧を監視でき、かつ十分な動作確実性を実現できる、マイクロコントローラを備えた車両制御ユニットを提供することである。前記課題は、冒頭に述べた形式の車両制御ユニットでは次のような構成によって、すなわち、マイクロコントローラが該マイクロコントローラの複数のアナログ給電電圧をデジタル給電電圧に変換するためのA/D変換器を有し、該マイクロコントローラのこのデジタル給電電圧を監視するために、コンピュータ技術で保護される計算領域が該マイクロコントローラ内に設けられており、該計算領域において、複数の該デジタル給電電圧が所定の公差領域内にあるか否かが監視される構成によって解決される。
前記マイクロコントローラのコンピュータ技術で保護されたコンピュータ技術保護領域において1つまたは複数の閾値比較演算ないしは閾値演算プロシージャによって、該マイクロコントローラの複数のアナログ/デジタル変換された給電電圧が所定の固有の公差領域内にあるか否かが監視されることにより、ハードウェアモニタリングユニットを削減して十分な監視確実性で、該複数の給電電圧の所望される所定の電圧値を個別に、すなわち固有にコントロールないしは「モニタリング」することができる。マイクロコントローラの複数のアナログ給電電圧を電圧監視するための専用のハードウェアモニタユニットが無いにもかかわらず、アナログ給電電圧をA/D変換すなわちデジタル変換した後に「ソフトウェアによって監視」することにより、該マイクロコントローラのアナログ給電電圧が実際にどの程度安定的ないしはロバストに維持されているかの確実な情報を得ることができる。このような確実な情報を得るためにはとりわけ、このデジタル給電電圧をマイクロコントローラのコンピュータ技術保護領域において監視する。このことにより、デジタル変換された給電電圧測定値の評価誤差が十分に回避される。このような診断確実性はとりわけ、高いアベイラビリティが必要とされる車両制御ユニットにおいて、すなわち走行運転中にフェールが発生するのを許容できない車両制御ユニットにおいて有利であり、たとえばエンジン制御部、トランスミッション制御部、または、たとえばシャーシ領域等の他のセーフティ関連の制御装置等において有利である。純粋なハードウェア「ウォッチドッグ」による手法と比較して、マイクロコントローラの保護された計算領域においてデジタル給電電圧のこのような「ソフトウェア監視」によって、監視確実性と車両制御ユニットのシステム全体のアベイラビリティとの適切なバランスないしは均衡を十分に保証できるようにするために、たとえば監視対象の給電電圧の遵守すべき公差領域ないしは公差帯域に関して、より高いフレキシビリティを実現することができる。
本発明はまた、車両制御ユニットのマイクロコントローラに印加される複数のアナログ給電電圧の監視方法にも関する。当該監視方法では、マイクロコントローラの動作を所属の監視ユニットによって監視し、該マイクロコントローラのA/D変換器によって、監視対象である前記複数のアナログ給電電圧をデジタル給電電圧に変換し、該マイクロコントローラのコンピュータ技術で保護された計算領域において、該デジタル給電電圧が所定の公差領域内にあるか否かを監視することを特徴とする。
従属請求項に本発明の他の実施形態が記載されている。
以下で、本発明とその有利な実施形態とを図面に基づき詳細に説明する。
図1および2において、同じ機能および効果を有する要素にはそれぞれ同一の参照記号が付されている。
図1に、マイクロコントローラMCを備えた一例の車両制御ユニットCDの構成および動作を概略的に示す。本発明の監視コンセプトでは、このマイクロコントローラMCの複数のアナログ給電電圧VCC1〜VCCnの安定性を「モニタリング」ないしは監視する。すなわち、これらのアナログ給電電圧が許容範囲内の公差帯域すなわち事前定義された公差帯域内の個別に設定された電圧値を遵守しているか否かを検査する。前記車両制御ユニットはとりわけ、内燃機関を制御するための機関制御部によって構成される。動作監視を行うために、マイクロコントローラMCはバスシステムBUを介して、1つのハードウェア監視ユニットMUに結合されている。マイクロコントローラMCは入力側にアナログ/デジタル(略してA/D)変換器ADC1を有する。これによって、評価すべき少なくとも1つのアナログの測定信号MS1のレベル経過を、対応するデジタル値DSに変換することができる。測定信号MS1は有利には少なくとも1つの車両部品によって生成され、たとえば自動車のアクセルペダルによって生成され、マイクロコントローラMCのアナログ/デジタル変換器ADC1へ供給される。このアナログ/デジタル変換器ADC1から、生成されたデジタル値DSが、後置されたレジスタREへ出力されて一時記憶される。レジスタないしは一時メモリREから、ここに一時バッファされたデジタル値が入出力インタフェース(I/Oインタフェース)IFへ伝送される。このデジタル値は、図1ではDS*によって示されている。I/Oインタフェースは、周辺コンポーネントと、マイクロコントローラMCのオペレーティングソフトウェアや処理ソフトウェアが実装された該マイクロコントローラMCの機能コンピュータSTとの間のインタフェースとして機能する。機能コンピュータSTは、コンピュータ監視のためにいわゆるL3レベルないしはL3層LL3を有する。コンピュータ監視とは本願では、マイクロコントローラMCのソフトウェア構造およびハードウェア構造の適正な共働に関し、このソフトウェア構造およびハードウェア構造のトポロジは、機能コンピュータ(コンピュータカーネル、RAM/ROM内の該当する領域)の誤動作を識別するために設けられている。機能コンピュータ内では一般的に、メモリモジュールRAM/ROMの監視を少なくとも走行サイクルごとに1回、エンジン始動(初期化または先行のNachlauf)前に行うのが好適である。とりわけエラーが発見された場合には、エンジン始動を初期化時に必ず再度行う。(ソフトウェア制御される場合)エンジン始動ないしはエンジンの各シリンダにおける燃焼は有利には、検査終了後に初めて、エラー無しの状態の場合に行われる。L3層LL3はとりわけ2つの基本的要素を有する。第1の基本的要素は、機能コンピュータST内の監視ソフトウェアE3によって構成される。この監視ソフトウェアE3はインタフェースSE3を介して、マイクロコントローラMCに物理的に依存しない第2の基本的要素である監視ユニットMUと通信する。監視ユニットないしは監視モジュールMUは有利には別個のハードウェアユニットによって構成される。この監視ユニットは、マイクロコントローラMCの機能コンピュータSTの動作監視に使用される。とりわけ、監視モジュールMUは監視コンピュータとして構成されている。監視モジュールMUは、マイクロコントローラMCの機能コンピュータST内の監視ソフトウェアE3に対し、有利には周期的に複数の異なる問い合わせの中から1つの問い合わせを行い、該機能コンピュータSTがそのつど伝送された問い合わせに基づいて計算した周期的なチェック結果の受信を監視し、該チェック結果を評価して、エラー時には該機能コンピュータSTのエラー応答を開始させる。監視モジュールMUは有利には、ASICまたはコンピュータとして構成することができる。監視モジュールMUは、前記機能コンピュータSTのコンピュータ技術的な実行を動作コントロールないしはモニタリングするためにいわゆる「ウォッチドッグ」として機能する。機能コンピュータSTの計算動作のこのようなモニタリングを実施する監視モジュールMUの計算/論理ユニットは、図1ではブロックCFUによって示されている。詳細には、この計算/論理ユニットCFUから機能コンピュータST内のL3層LL3までSPI通信すなわち「シリアルペリフェラルインタフェース(Serial Peripheral Interface)通信」が行われ、インタフェースSE3を介してデータ伝送を行う際にチェックサム("CKS")検査、いわゆるヘッダコントロール、タイマアウトコントロール、「プログラムフローモニタリング」すなわちプログラム実行コントロール、論理監視、機能固有の命令セットテスト("FS‐IST"="function specific instruction set test")が実行される。つまり一般的に言うと、監視モジュールMUの論理ユニットCFUを使用して、機能コンピュータSTの計算プロセスを時限方式かつ内容的に監視する。独立した監視モジュールMUと機能コンピュータSTのL3レベルLL3内の監視ソフトウェアE3との共働を、いわゆる問い合わせ応答通信と称する。このような問い合わせ応答通信ではとりわけ、機能コンピュータ内の複数のテストパスが処理される。各テストパスが、問い合わせに依存し正確に定義された部分結果の数値を出力する。この部分結果を結合することにより全結果数値(検査結果)が得られ、通信インタフェースないしはインタフェースSE3を介して監視モジュールMUへ伝送される。機能コンピュータST内の監視ソフトウェアE3は監視モジュールMU内の論理ユニットCFUに対し、適正な応答によって、動作にコンピュータ技術的にエラーが無いことをシグナリングする。
機能コンピュータSTのL3層LL3内のこのような監視ソフトウェアE3によって、ここで、コンピュータ技術で保護された計算領域LL2を設けることができる。機能コンピュータSTのこのコンピュータ技術保護領域LL2内で、とりわけセーフティ関連の機能性を計算することができる。
このコンピュータ技術保護計算領域LL2およびコンピュータ監視レベルLL3は有利には、ガソリンエンジンおよびディーゼルエンジンの標準化されたエミッションガス監視構想に拠るいわゆるL2層およびL3層によって構成される。
別のハードウェア監視モジュールないしは「ウォッチドッグ」を使用せずに、すなわち、機能コンピュータSTをコンピュータ技術的に動作コントロールするためにいずれにせよ既存の監視ユニットMUを使用することによって、マイクロコントローラMCの複数のアナログ給電電圧VCC1〜VCCnが遵守すべき電圧値に関して該アナログ給電電圧VCC1〜VCCnの安定性を監視できるようにするためには、該アナログ給電電圧VCC1〜VCCnをマイクロコントローラMCのアナログ/デジタル変換器ADC1の少なくとも1つの入力ポートに印加してデジタル給電電圧に変換する。その後、このデジタル給電電圧を機能コンピュータSTの保護された計算領域LL2において評価し、該デジタル給電電圧が、定義された公差帯域内の所定のデジタル電圧値に相応するか否かを監視する。マイクロコントローラの機能コンピュータのコンピュータ技術的に保護された領域内で1つまたは複数の閾値比較プロシージャを使用して、該マイクロコントローラの複数のアナログ/デジタル変換された給電電圧が許容範囲外の偏差を生じることなく所望のデジタル電圧値を遵守しているか否かを監視することにより、複数のアナログ給電電圧のコントロールないしはモニタリングを付加的なハードウェア監視ユニット無しで、十分な診断確実性で個別に、すなわち固有に行うことができる。マイクロコントローラの複数のアナログ給電電圧を電圧監視するための専用のハードウェアモニタユニットが無いにもかかわらず、アナログ給電電圧をA/D変換すなわちデジタル変換した後にソフトウェア監視することにより、該マイクロコントローラのアナログ給電電圧が実際にどの程度安定的ないしはロバストに維持されているかの確実な情報を得ることができる。とりわけ、このデジタル給電電圧を機能コンピュータSTのコンピュータ技術保護領域LL2において監視することにより、デジタル変換された給電電圧測定値の評価誤差が十分に回避される。このような診断確実性はとりわけ、高いアベイラビリティが必要とされる車両制御ユニットにおいて、すなわち走行運転中にフェールが発生するのを許容できない車両制御ユニットにおいて有利であり、たとえばエンジン制御部、トランスミッション制御部、または、たとえばシャーシ領域等の他のセーフティ関連の制御装置等において有利である。純粋なハードウェアないしは「ウォッチドッグ」による手法と比較して、マイクロコントローラの保護された計算領域においてデジタル給電電圧のこのような「ソフトウェア」監視によって、監視確実性と車両制御ユニットのシステム全体のアベイラビリティとの適切なバランスないしは均衡を十分に保証できるようにするために、たとえば監視対象の給電電圧の遵守すべき公差領域ないしは公差帯域に関して、より高いフレキシビリティを実現することができる。
ここで図1の実施例では、3つの給電電圧VCCiがマイクロコントローラMCのアナログ/デジタル変換器ADC1の少なくとも1つの入力端に印加される。ここでは、i=1,2,3である。詳細には、給電電圧VCC1=3.3Vであり、給電電圧VCC2=1.5Vであり、給電電圧VCC3=1.5Vである。
マイクロコントローラMCのアナログ/デジタル変換器ADC1には基準電圧RV1が印加され、この基準電圧RV1によって、出力される2つのデジタル値間の間隔が決定される。したがって、基準電圧がたとえば2.5Vである場合、8ビットA/D変換器では、2つの連続するデジタル符号語間の間隔は2.5V/256=0.01Vになる。アナログ/デジタル変換器の基準電圧によって、アナログ/デジタル変換器の表現できる符号語(=デジタル値)のレベル幅ひいては値領域のスケーリングが決定される。この実施例では、アナログ/デジタル変換器ADC1の基準を基準電圧RV1=2.5Vでとることも、基準電圧RV1*=3.3Vでとることもできる。一般的に表現すると、マイクロコントローラMCのアナログ/デジタル変換器ADC1を少なくとも2つの異なる基準電圧RV1によって動作させることができる。すなわち、A/D変換器ADC1のアナログ/デジタル変換の基準を、少なくとも2つの異なる基準電圧値とすることができる。ここではたとえばRV1=2.5VであるA/D変換器ADC1の第1の基準電圧値は有利には、専用に配属されたハードウェアモニタユニットによって直接または間接的にハードウェア監視される。このハードウェアモニタユニットは図1の実施例では、ハードウェア監視ユニットMUの給電電圧VCMの電圧監視に使用されるコントロールユニットMOVによって構成される。この詳細を図2において、概略的に拡大表示する。固有のハードウェアモニタユニットMOVによってハードウェア監視される監視ユニットMUの給電電圧VCMは少なくとも1つの分圧器VDを介して、マイクロコントローラのA/D変換器ADC1に所望の第1の基準電圧値を供給する。この第1の基準電圧値は、ここではRV1=2.5Vである。このようにして、このA/D変換器ADC1の第1の基準電圧値は間接的に、ハードウェアによって電圧監視され、A/D変換器ADC1に印加された基準電圧値RV1がこの2.5Vの電圧値を、予め定義された公差領域内で確実に維持することを保証することができる。このハードウェアで保護された基準電圧値を基準として、機能コンピュータSTのコンピュータ技術的に保護された領域LL2において次のことを、すなわち、A/D変換器ADC1がこの保護された基準電圧RV1=2.5Vに対して、安定性コントロールのために入力側に印加されたアナログ給電電圧VCC1〜VCCnで出力したデジタル値DSが所定の公差領域TB1,TB2内にあるか否か、たとえばここではVCC1=3.3VおよびVCC2=1.5Vで出力したデジタル値が所定の公差領域TB1,TB2内にあるか否かを、高信頼性で検査することもできる。図1では、それぞれ印加されたアナログ給電電圧VCCiとそれぞれA/D変換器ADC1に印加された基準電圧RV1との組合せを@記号で示す。機能コンピュータSTのコンピュータ技術的に保護された層LL2において、多数の給電電圧VCCiのデジタル値DSが、監視すべき2つの給電電圧VCC1,VCC2の所定の公差領域内にあるか否か、ここではたとえばVCC1,VCC2がTB1,TB2内にあるか否かを監視する。このことは図1において、ブロックBL内の∈記号によって示されている。
A/D変換器ADC1の基準を第2の基準電圧値RV1*=3.3Vとすると、別のハードウェア保護を行うことなく、第1の基準電圧値RV1=2.5Vならびに第2の基準電圧値RV1*=3.3Vを基準としてA/D変換器ADC1にたとえばVCC2=1.5V等の同一のアナログ給電電圧を印加して、得られたデジタル値を機能コンピュータSTのコンピュータ技術で保護された領域LL2において相互に比較することにより、すなわち相互に関連づけることにより、この基準電圧値RV1*=3.3Vの安定性を検査することができる。たとえばVCC2=1.5V等である同一の給電電圧で2つの異なる基準電圧値RV1=2.5VおよびRV1*=3.3Vに対して得られた両デジタル値間の比が、これら2つの異なる基準電圧値RV1=2.5VおよびRV1*=3.3V間の比と等しい場合、機能コンピュータSTのLL2層の検査の結果は、A/D変換器ADC1はこの保護されていない第2の基準電圧RV1*=3.3Vに対しても適正に、すなわち正確に動作しているということになる。すなわちLL2層において、ここではたとえばVCC2=1.5V等である同一の給電電圧が印加された場合にA/D変換器ADC1が異なる2つの基準電圧RV1=2.5VおよびRV1=3.3Vで生成したデジタル値間の関係が、印加される基準電圧RV1=2.5VとRV1*=3.3Vとの間の比と等しいか否かがチェックないしは妥当性検査される。このようにして、A/D変換器ADC1の保護されていない第2の基準電圧RV1=3.3Vを機能コンピュータSTのLL2層内の比較演算によって、簡単に高信頼性で精度検査することができる。LL2層において実施される電圧検査の全体は図1において、この実施例ではブロックBLにおいて示されている。
マイクロコントローラMCのA/D変換器ADC1の値領域全体の動作検査をするためには、機能コンピュータSTのLL2層において別の比較演算が行われるのが好適である。こうするためには、動的に変化する基準信号RSがマイクロコントローラMCの第1のA/D変換器ADC1の入力端に印加され、該第1のA/D変換器ADC1に、ハードウェア保護されている基準電圧RV1=2.5Vが印加され、なおかつ、第1のA/D変換器ADC1に対して冗長的に設けられた第2のアナログ/デジタル変換器に、動的に変化する同じ基準信号RSが印加される。この第2のアナログ/デジタル変換器はとりわけ、監視ユニットMUのアナログ/デジタル変換器ADC2によって構成される。この冗長的なA/D変換器ADC2に、保護されていない基準電圧RV2=3.3Vが印加される。これによって、機能コンピュータSTの保護された計算領域LL2へ基準信号ないしは試験信号RSのデジタル値が、保護された基準電圧RV1で動作するマイクロコントローラMCのA/D変換器ADC1から供給され、基準信号RSのデジタル値が機能コンピュータSTの保護された計算領域LL2へ、保護されていない基準電圧RV2で動作する監視ユニットMUのA/D変換器ADC2から供給されて、相互比較される。保護された基準電圧RV1を基準にとるA/D変換器ADC1によって基準信号ないしは試験信号RSに対して生成されるデジタル値と、保護されていない基準電圧RV2を基準にとる第2のA/D変換器ADC2とによって同じ基準信号ないしは試験信号RSに対して生成されるデジタル値とが所定の公差限界内にあり、これら2つのデジタル値の相互間の比が基準電圧値RV1,RV2間の比と等しい場合、機能コンピュータSTのLL2層の検査結果は、マイクロコントローラMCのA/D変換器ADC1が個々の点で欠陥無しで動作するだけでなく、ダイナミクス領域全体にわたって欠陥無しで動作していることになる。したがって、このような検査を行うためには、上記の相互比較による簡単な妥当性テストで十分である。そうでない場合には、マイクロコントローラMCのA/D変換器ADC1が誤動作していることになる。
まとめて考察すると、マイクロコントローラに印加される複数の給電電圧の安定性を監視するために、該マイクロコントローラの機能コンピュータのコンピュータ技術で保護される動作領域を設け、この動作領域を使用して、アナログ給電電圧のアナログ/デジタル変換によって生成されたデジタル値が、固有に割り当てられた許容可能な公差帯域内にあるか否かを監視する。マイクロコントローラにおいてこのようなコンピュータ技術で保護された動作領域を生成するためには、とりわけ以下の構成要素が好適である:
・安定性を監視すべきアナログ給電電圧を、マイクロコントローラの機能コンピュータ内の順序論理回路によって処理できるデジタル値に変換するために構成され、「モニタリング」ないしは基準電圧監視されるA/D変換器。とりわけ、この順序論理回路をソフトウェアによって実装することができる。
・安定性を監視すべきアナログ給電電圧を、マイクロコントローラの機能コンピュータ内の順序論理回路によって処理できるデジタル値に変換するために構成され、「モニタリング」ないしは基準電圧監視されるA/D変換器。とりわけ、この順序論理回路をソフトウェアによって実装することができる。
・エラーを有する基準量によって外部からA/D変換部にエラー入力が行われるのを回避するために構成された、A/D変換器およびマイクロコントローラのA/D変換に使用される「モニタリング」すなわちハードウェア電圧監視される基準電圧。
マイクロコントローラの機能コンピュータ内のコンピュータ技術で保護される計算。このコンピュータ技術による保護はとりわけ、機能固有の命令セット、順序監視および/または周期的なRAM/ROMテストを含むことができる。
・マイクロコントローラの「リセット」を行うための少なくとも1つのトリガユニット。マイクロコントローラのアナログ給電電圧が該アナログ給電電圧に固有に割り当てられた所定の公差領域ないしは公差帯域外になり、たとえばTB1,TB2から外れ、マイクロコントローラが欠陥無しで動作できなくなった場合、このトリガユニットによって、マイクロコントローラを安全な状態にしてエラーから回復させることができる。
機能コンピュータSTのコンピュータ技術で保護された環境では、有利には次のシーケンスが実装される:
・デジタル給電電圧を読み出すシーケンス
・そのつど監視すべき給電電圧のデジタル値が、各給電電圧が十分に安定的であると見なされる所定の公差領域内または計算された公差領域内にあるか否かを検査するために閾値比較を実施するシーケンス
・電圧デバウンス(「potential debouncing」)後に、そのつど監視すべき給電電圧が所定の公差領域から偏差しているのが発見ないしは確認された場合、すなわち固有に割り当てられた上側閾値または下側閾値を上方向または下方向に超えた場合、場合によっては適切なエラー解消手段をトリガするシーケンス。
・1つより多くの給電電圧を監視する場合には、マイクロコントローラのアナログ/デジタル変換器の基準を複数の異なる基準電圧でとるのが好適である。このことによって改善されたA/D変換器の値領域のスケーラビリティにより、A/D変換器の検出能力すなわちA/D変換器の精度を上昇させることができる。
・デジタル給電電圧を読み出すシーケンス
・そのつど監視すべき給電電圧のデジタル値が、各給電電圧が十分に安定的であると見なされる所定の公差領域内または計算された公差領域内にあるか否かを検査するために閾値比較を実施するシーケンス
・電圧デバウンス(「potential debouncing」)後に、そのつど監視すべき給電電圧が所定の公差領域から偏差しているのが発見ないしは確認された場合、すなわち固有に割り当てられた上側閾値または下側閾値を上方向または下方向に超えた場合、場合によっては適切なエラー解消手段をトリガするシーケンス。
・1つより多くの給電電圧を監視する場合には、マイクロコントローラのアナログ/デジタル変換器の基準を複数の異なる基準電圧でとるのが好適である。このことによって改善されたA/D変換器の値領域のスケーラビリティにより、A/D変換器の検出能力すなわちA/D変換器の精度を上昇させることができる。
このようにして、マイクロコントローラの複数の給電電圧の安定性を、1つのハードウェアだけで保護された基準電圧によって監視することができ、その際には、マイクロコントローラの監視すべき各給電電圧ごとに固有のハードウェアモニタリングユニットを設ける必要はない。監視すべきアナログ給電電圧に対応するデジタル値をマイクロコントローラの機能コンピュータのコンピュータ技術で保護された動作領域において評価し、デジタル値が所定の固有に割り当てられた公差領域内にあるか否かを検査することにより、アナログ給電電圧の偏差を検出することができる。
長時間安定性を監視すべき給電電圧のデジタル値に閾値比較を施す際、マイクロコントローラの誤計算が、発見されないエラーを生じさせる原因となる可能性があり、このような誤計算はL3層LL3のコンポーネントによって検出される。ROMエラーまたはRAMエラーは、有利には周期的に検出される。比較機能が「生きている」こと、すなわち起動していることと周期的に繰り返されていることとは、プログラムシーケンスをモニタリングすることによって検査される。機能コンピュータ内の命令処理は、1つまたは複数の機能固有の命令セットによって検査される。たとえばコードコピーをテスト計算として使用するか、または実際の計算をアセンブラレベルで実行することができる。A/D変換器によって行われる信号処理のエラーは、A/D変換器を監視することによって検出することができる。
マイクロコントローラの複数の給電電圧を監視するためのこのようなコンセプトは、とりわけ以下の利点を有する:
・前記コンセプトを、たとえばガソリンエンジンおよびディーゼルエンジンの標準化されたエミッションガス監視コンセプト等の既存のモニタリングコンセプトに組み込むことができる。
・前記コンセプトを、たとえばガソリンエンジンおよびディーゼルエンジンの標準化されたエミッションガス監視コンセプト等の既存のモニタリングコンセプトに組み込むことができる。
・マイクロコントローラの監視すべき各アナログ給電電圧ごとに専用のハードウェアモニタリングユニットを設けてハードウェア上の手間を増大する必要はない。このことにより、開発作業および生産コストが削減される。
・マイクロコントローラの複数のアナログ給電電圧を電圧監視するための専用の外部のハードウェアモニタユニットが無いにもかかわらず、機能コンピュータのコンピュータ技術で保護される領域においてアナログ給電電圧をA/D変換した後に「ソフトウェアによって監視」することにより、該マイクロコントローラのアナログ給電電圧が実際にどの程度安定的ないしはロバストに維持されているかの確実な情報を得ることができる。このような確実な情報を得るためにはとりわけ、このデジタル給電電圧をマイクロコントローラのコンピュータ技術保護領域において監視する。このことにより、デジタル変換された給電電圧測定値の評価誤差が十分に回避される。このような診断確実性はとりわけ、高いアベイラビリティが必要とされる車両制御ユニットにおいて、すなわち走行運転中にフェールが発生するのを許容できない車両制御ユニットにおいて有利であり、たとえばエンジン制御部、トランスミッション制御部、または、たとえばシャーシ領域等の他のセーフティ関連の制御装置等において有利である。すなわち一般的に言うと、多くの実用化ケースにおいて車両制御ユニット全体の十分な信頼性が十分に保証される。
・純粋なハードウェア「ウォッチドッグ」による手法と比較して、マイクロコントローラの保護された計算領域においてデジタル給電電圧のこのような「ソフトウェア監視」によって、監視確実性と車両制御ユニットのシステム全体のアベイラビリティとの適切なバランスないしは均衡を十分に保証できるようにするために、たとえば監視対象の給電電圧の遵守すべき公差領域ないしは公差帯域に関して、より高いフレキシビリティを実現することができる。
・とりわけ、付加的なハードウェアの手間を必要とすることなく、上記の監視コンセプトをVDA推奨の3レベルETCモニタリングコンセプト内で実現することができる。
マイクロコントローラMCが複数のアナログ/デジタル変換器を有する場合、好適には、監視すべきすべての入力信号を、基準電圧がハードウェアで電圧監視されるアナログ/デジタル変換器に供給する。このことに対して択一的に、同一の試験信号で複数の異なるアナログ/デジタル変換器から出力されたデジタル値のうち、電圧が保護された1つのA/D変換器を基準として使用して、該デジタル値の相互比較を実施する。これらの異なるアナログ/デジタル変換器が欠陥無しで機能している場合、1つの同じ試験信号でこれらの異なるアナログ/デジタル変換器によって出力されたデジタル値の比は、基準電圧の相互間の比に等しくなる。そうでない場合にはこのことは、A/D変換器のうち1つが機能していないか、または欠陥無しで動作していないことを示唆する。
Claims (6)
- 複数のアナログ給電電圧(VCC1〜VCCn)が印加されるマイクロコントローラ(MC)と、該マイクロコントローラ(MC)の動作を監視するための監視ユニット(MU)とを備えた車両制御ユニット(CD)であって、
前記マイクロコントローラ(MC)は、前記複数のアナログ給電電圧(VCC1〜VCCn)をデジタル給電電圧に変換するためのA/D変換器(ADC1)を有し、
前記デジタル給電電圧を監視するために、前記マイクロコントローラ(MC)内にコンピュータ技術で保護される計算領域(LL2)が設けられ、
前記コンピュータ技術で保護される計算領域(LL2)において、前記デジタル給電電圧が所定の公差領域(TB1,TB2)内にあるか否かが監視される車両制御ユニットにおいて、
前記マイクロコントローラ(MC)の前記A/D変換器(ADC1)の値領域全体の動作を監視するために、前記監視ユニット(MU)は冗長的なA/D変換器(ADC2)を有し、
前記冗長的なA/D変換器(ADC2)の入力端に、前記A/D変換器(ADC1)の入力端に印加される基準信号と同じ、車両コンポーネントの動的に変化する基準信号(RS)が印加され、
前記コンピュータ技術で保護された計算領域(LL2)に、ハードウェア保護される基準電圧(RV1)で動作するA/D変換器(ADC1)から前記基準信号(RS)のデジタル値が供給され、かつ、ハードウェア保護されない基準電圧(RV2)で動作する前記監視ユニット(MU)の前記冗長的なA/D変換器(ADC2)から前記基準信号(RS)のデジタル値が相互比較のために供給され、
前記同じ基準信号(RS)に対する前記A/D変換器(ADC1)のデジタル値と前記冗長的なA/D変換器(ADC2)からのデジタル値との比が、前記基準電圧(RV1,RV2)間の比と比較して所定の公差限界外にある場合、当該マイクロコントローラが安全な状態にされる、ことを特徴とする車両制御ユニット。 - 前記コンピュータ技術で保護された計算領域(LL2)は、ガソリンエンジンおよびディーゼルエンジンの標準化されたエミッションガス監視コンセプトに拠るL2層(L2)である、請求項1記載の車両制御ユニット。
- 前記監視ユニット(MU)の給電電圧(VCM)に対してのみ専用に、電圧監視のための固有のハードウェアモニタユニット(MOV)が設けられている、請求項1または2記載の車両制御ユニット。
- 前記固有のハードウェアモニタユニット(MOV)によってハードウェア監視される前記監視ユニット(MU)の給電電圧(VCM)は、少なくとも1つの分圧器(VD)を介して前記A/D変換器(ADC1)に、所望の基準電圧(RV1)を供給する、請求項3記載の車両制御ユニット。
- 前記マイクロコントローラ(MC)のA/D変換器(ADC1)は、複数の基準電圧(RV1)で動作できる、請求項1から4までのいずれか1項記載の車両制御ユニット。
- 請求項1から5までのいずれか1項記載の車両制御ユニット(CD)のマイクロコントローラ(MC)に印加される複数のアナログ給電電圧(VCC1〜VCCn)の監視方法であって、
前記マイクロコントローラ(MC)の動作を所属の監視ユニット(MU)によって監視し、
前記マイクロコントローラ(MC)のA/D変換器(ADC1)によって、監視対象である前記複数のアナログ給電電圧(VCC1〜VCCn)をデジタル給電電圧に変換し、
前記マイクロコントローラのコンピュータ技術で保護された計算領域(LL2)において、前記デジタル給電電圧が所定の公差領域(TB1,TB2)内にあるか否かを監視する監視方法において、
前記マイクロコントローラ(MC)の前記A/D変換器(ADC1)の値領域全体の動作が、前記監視ユニット(MU)の冗長的なA/D変換器(ADC2)によって監視され、
前記冗長的なA/D変換器(ADC2)の入力端に、前記A/D変換器(ADC1)の入力端に印加される基準信号と同じ、車両コンポーネントの動的に変化する基準信号(RS)が印加され、
前記コンピュータ技術で保護された計算領域(LL2)に、前記ハードウェア保護される基準電圧(RV1)で動作するA/D変換器(ADC1)から前記基準信号(RS)のデジタル値が供給され、かつ、前記ハードウェア保護されない基準電圧(RV2)で動作する前記監視ユニット(MU)の前記冗長的なA/D変換器(ADC2)から前記基準信号(RS)のデジタル値が相互比較のために供給され、
前記同じ基準信号(RS)に対する前記A/D変換器(ADC1)のデジタル値と前記冗長的なA/D変換器(ADC2)からのデジタル値との比が、前記基準電圧(RV1,RV2)間の比と比較して所定の公差限界外にある場合、当該マイクロコントローラが安全な状態にされる、
ことを特徴とする監視方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102007045509.9 | 2007-09-24 | ||
| DE102007045509A DE102007045509B4 (de) | 2007-09-24 | 2007-09-24 | Fahrzeug-Steuereinheit mit einem Versorgungspannungsüberwachten Mikrocontroller sowie zugehöriges Verfahren |
| PCT/EP2008/061475 WO2009040216A2 (de) | 2007-09-24 | 2008-09-01 | Fahrzeug-steuereinheit mit einem versorgungspannungsüberwachten mikrocontroller sowie zugehöriges verfahren |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010541056A JP2010541056A (ja) | 2010-12-24 |
| JP5295251B2 true JP5295251B2 (ja) | 2013-09-18 |
Family
ID=40458603
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010526232A Active JP5295251B2 (ja) | 2007-09-24 | 2008-09-01 | 給電電圧監視されるマイクロコントローラを有する車両制御ユニット、および関連の方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20100287398A1 (ja) |
| EP (1) | EP2203795B1 (ja) |
| JP (1) | JP5295251B2 (ja) |
| DE (1) | DE102007045509B4 (ja) |
| WO (1) | WO2009040216A2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102011011224A1 (de) * | 2010-03-15 | 2011-09-15 | Schaeffler Technologies Gmbh & Co. Kg | Steuergeräteanordnung |
| DE102011081147A1 (de) | 2011-08-17 | 2013-02-21 | Robert Bosch Gmbh | Sensormodul zur Erfassung eines Betriebsparameters, Verfahren zur Überwachung eines Sensormoduls und Kombinationssignal |
| DE102015117977A1 (de) * | 2015-10-22 | 2017-04-27 | Knorr-Bremse Systeme für Nutzfahrzeuge GmbH | Schaltungsanordnung und Verfahren zur Überwachung eines Mikrocontrollers auf der Grundlage einer Wächterspannung |
| DE102017218336A1 (de) * | 2017-10-13 | 2019-04-18 | Continental Automotive Gmbh | Schaltungsanordnung mit einem Mikroprozessor und einem Spannungserzeugungs-Schaltkreis |
| DE102018210097A1 (de) * | 2018-06-21 | 2019-12-24 | Continental Automotive Gmbh | Schaltungsanordnung zur Bereitstellung einer Mehrzahl von Versorgungsspannungen |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4241523A1 (de) * | 1992-12-10 | 1994-06-16 | Edag Eng & Design Ag | Batterie-Überwachungsschaltung |
| DE4422992C1 (de) * | 1994-06-30 | 1995-06-29 | Siemens Ag | Verfahren zum Prüfen eines batteriebetriebenen, elektronischen Gerätes auf ausreichende Versorgungsspannung |
| US20020154016A1 (en) * | 2001-04-23 | 2002-10-24 | Ken Wang | Computer system and method for preventing CPU burn-out |
| JP2003023346A (ja) * | 2001-07-10 | 2003-01-24 | Nec Yamagata Ltd | ノイズ対策方法及びこれを用いた半導体装置 |
| DE10215405A1 (de) * | 2002-04-08 | 2003-10-16 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Funktionsprüfung eines Analog-Digital-Wandlers sowie Analog-Digital-Wandler |
| EP1639464A2 (de) * | 2003-06-24 | 2006-03-29 | Robert Bosch Gmbh | Verfahren zur überprüfung der sicherheit und zuverlässigkeit softwarebasierter elektronischer systeme |
| US7046180B2 (en) * | 2004-04-21 | 2006-05-16 | Rosemount Inc. | Analog-to-digital converter with range error detection |
| JP2006031408A (ja) * | 2004-07-16 | 2006-02-02 | Renesas Technology Corp | エミュレータおよび半導体集積回路装置 |
| JP2007230452A (ja) * | 2006-03-02 | 2007-09-13 | Denso Corp | 車両用制御システム |
-
2007
- 2007-09-24 DE DE102007045509A patent/DE102007045509B4/de not_active Expired - Fee Related
-
2008
- 2008-09-01 EP EP08803458.2A patent/EP2203795B1/de active Active
- 2008-09-01 JP JP2010526232A patent/JP5295251B2/ja active Active
- 2008-09-01 WO PCT/EP2008/061475 patent/WO2009040216A2/de active Application Filing
- 2008-09-01 US US12/679,701 patent/US20100287398A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| DE102007045509A1 (de) | 2009-04-23 |
| WO2009040216A2 (de) | 2009-04-02 |
| JP2010541056A (ja) | 2010-12-24 |
| DE102007045509B4 (de) | 2011-06-22 |
| WO2009040216A3 (de) | 2009-08-20 |
| EP2203795A2 (de) | 2010-07-07 |
| US20100287398A1 (en) | 2010-11-11 |
| EP2203795B1 (de) | 2017-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10576990B2 (en) | Method and device for handling safety critical errors | |
| JP5295251B2 (ja) | 給電電圧監視されるマイクロコントローラを有する車両制御ユニット、および関連の方法 | |
| CN101779193B (zh) | 为至少一个微控制器单元提供容错的系统 | |
| US10620260B2 (en) | Apparatus having signal chain lock step for high integrity functional safety applications | |
| KR20130119452A (ko) | 오류 허용 아키텍쳐를 갖는 마이크로프로세서 시스템 | |
| WO2010113538A1 (ja) | 車載電子制御装置,制御ソフトウェアおよび制御ソフトウェアの開発ツール | |
| US8375256B2 (en) | System with configurable functional units and method | |
| US20180180672A1 (en) | Semiconductor device and diagnostic test method | |
| EP2482149B1 (en) | Electronic control unit | |
| CN101048737A (zh) | 执行计算机程序的方法、操作系统以及计算设备 | |
| JP2008518302A (ja) | 外部で発生される少なくとも1つの信号によりマルチプロセッサシステムの動作モードを切替える方法及び装置 | |
| US20150012781A1 (en) | Power supply diagnostic strategy | |
| US20090265581A1 (en) | Data system having a variable clock pulse rate | |
| Großmann et al. | Efficient application of multi-core processors as substitute of the E-Gas (Etc) monitoring concept | |
| Aidemark et al. | A framework for node-level fault tolerance in distributed real-time systems | |
| US20040199824A1 (en) | Device for safety-critical applications and secure electronic architecture | |
| CN110088735B (zh) | 控制装置以及控制装置的故障时处理方法 | |
| KR101151638B1 (ko) | 차량용 실시간 시스템 및 이를 이용한 최악 응답시간 측정 방법 | |
| US20100295571A1 (en) | Device and Method for Configuring a Semiconductor Circuit | |
| Schneider et al. | Basic single-microcontroller monitoring concept for safety critical systems | |
| JP2009205528A (ja) | 電子制御装置 | |
| JP2011039667A (ja) | 数値制御装置 | |
| JP5559100B2 (ja) | 電子制御システム | |
| Brewerton et al. | Practical use of autosar in safety critical automotive systems | |
| Baumeister | Using Decoupled Parallel Mode for Safety Applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20101228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120412 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120711 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121102 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130131 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130513 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130611 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5295251 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
| R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
| R371 | Transfer withdrawn |
Free format text: JAPANESE INTERMEDIATE CODE: R371 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |