JP5392058B2 - 処理装置及び制御方法 - Google Patents

処理装置及び制御方法 Download PDF

Info

Publication number
JP5392058B2
JP5392058B2 JP2009291585A JP2009291585A JP5392058B2 JP 5392058 B2 JP5392058 B2 JP 5392058B2 JP 2009291585 A JP2009291585 A JP 2009291585A JP 2009291585 A JP2009291585 A JP 2009291585A JP 5392058 B2 JP5392058 B2 JP 5392058B2
Authority
JP
Japan
Prior art keywords
signal
processing
output
processing unit
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009291585A
Other languages
English (en)
Other versions
JP2011134025A (ja
Inventor
哲也 田口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Sumitomo Wiring Systems Ltd
Priority to JP2009291585A priority Critical patent/JP5392058B2/ja
Publication of JP2011134025A publication Critical patent/JP2011134025A/ja
Application granted granted Critical
Publication of JP5392058B2 publication Critical patent/JP5392058B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Testing And Monitoring For Control Systems (AREA)
  • Safety Devices In Control Systems (AREA)

Description

本発明は、CPU(Central Processing Unit)を用いる処理装置に関し、特に、CPUの動作状態に異常が発生した場合に外部へ出力する信号を制御することができる処理装置及び制御方法に関する。
内蔵する記憶部に記憶されたプログラムを実行させて多様な動作を実現させることができるマイクロコンピュータ(以下、マイコンという)を用いて、機器を制御する制御装置が多用されている。特に車両の分野では、マイコンを用いるECU(Electronic Control Unit)が複数接続される制御システムを利用し、相互に連携してアクチュエータを電気的に制御する構成へ移行しつつある。例えば、パワーウインドの開閉制御、盗難防止のためのハンドルロックの制御などは、モータ及びリレーを組み合わせ、モータの回転制御にて行なわれており、CPUがモータ及びリレーの制御を行なっている。
マイコンを用いた処理では、処理が予期していない状況となった場合、又は異常な信号がマイコンに入力された場合などに、マイコンが正常な動作を維持することができなくなる場合がある。車両の分野では、異常な動作が継続することは安全のためにもできるだけ回避できなければならない。このため、マイコンから周期的にウォッチドッグパルス(以下、WD(Watch Dog)パルス)が出力されるようにし、マイコンの動作を監視する監視装置にて当該ウォッチドッグパルスを監視し、WDパルスの出力状態に基づいてマイコンの動作が正常であるか否かを判断するようにした構成が一般的となりつつある。
また、特許文献1には、メインマイコン及びサブマイコンを用い、サブマイコンがメインマイコンからのWDパルスにてメインマイコンの動作を監視し、メインマイコンの動作に異常が生じた場合に、サブマイコンによる制御に切り替える技術が提案されている。
特許第3817855号公報
しかしながら、特許文献1に開示されている技術では、メインマイコンの動作に異常が生じ、メインマイコンによる制御からサブマイコンによる制御に切り替わる際に、サブマイコンは予め設定されたフェイルセーフ値を制御対象に出力する構成である。即ち、サブマイコンは、メインマイコンの動作に異常が生じる直前におけるメインマイコンの動作状態を考慮せずに予め設定されたフェイルセーフ値を出力するので、メインマイコンに異常が生じた状況に応じた出力値を出力させることはできない。従って、メインマイコンに異常が生じる直前のメインマイコンからの出力値とフェイルセーフ値とが相異する場合、メインマイコンによる制御からサブマイコンによる制御への切り替えをシームレスに行なえない状況が生じる。また、フェイルセーフ値を出力しておくことが必ずしも好ましいとは限らない。できれば異常が発生した時点の直前での制御状態が維持されることが望ましい場合がある。しかしながら、特許文献1に開示されている技術では、サブマイコンがフェイルセーフ値に基づいて制御対象を制御するので、適切な制御を行なえない可能性がある。
本発明は斯かる事情に鑑みてなされたものであり、その目的とするところは、メインで動作する処理部の動作に異常が発生した場合に、安全性を確保しつつ、異なる処理部による制御対象の制御への切り替えをシームレスに行なうことができる処理装置及び制御方法を提供することにある。
本発明に係る処理装置は、信号処理を実行する複数の処理部と、一の処理部から周期的に出力される信号に基づいて前記一の処理部の動作の異常を検出する異常検出部とを備える処理装置において、前記一の処理部が信号処理を実行することによって出力する信号を保持する保持部と、前記異常検出部が前記一の処理部の動作の異常を検出した場合に、前記一の処理部が信号処理を実行することによる信号の出力を停止させる出力停止部とを備え、他の処理部は、前記出力停止部が前記一の処理部からの信号の出力を停止させた場合に、前記異常検出部が前記一の処理部の動作の異常を検出する前に前記保持部が保持していた信号を外部へ出力するようにしてあることを特徴とする。
本発明に係る処理装置は、前記保持部は、前記一の処理部から出力される信号を所定時間に亘って蓄積するようにしてあり、前記他の処理部は、前記異常検出部が前記一の処理部の動作の異常を検出する前の所定時間に亘って前記保持部が蓄積した信号に基づく信号を外部へ出力するようにしてあることを特徴とする。
本発明に係る処理装置は、複数の制御状態のそれぞれに応じた信号処理を実行する複数の処理部と、一の処理部から周期的に出力される信号に基づいて前記一の処理部の動作の異常を検出する異常検出部とを備える処理装置において、前記一の処理部が実行中の信号処理の制御状態を保持する保持部と、前記異常検出部が前記一の処理部の動作の異常を検出した場合に、前記一の処理部が信号処理を実行することによる信号の出力を停止させる出力停止部とを備え、他の処理部は、前記出力停止部が前記一の処理部からの信号の出力を停止させた場合に、前記異常検出部が前記一の処理部の動作の異常を検出する前に前記保持部が保持していた制御状態に応じた信号処理を実行するようにしてあることを特徴とする。
本発明に係る処理装置は、前記保持部は、前記一の処理部が実行中の信号処理の制御状態を所定時間に亘って蓄積するようにしてあり、前記他の処理部は、前記異常検出部が前記一の処理部の動作の異常を検出する前の所定時間に亘って前記保持部が蓄積した制御状態に基づく制御状態に応じた信号処理を実行するようにしてあることを特徴とする。
本発明に係る制御方法は、信号処理を実行する複数の処理部と、一の処理部から周期的に出力される信号に基づいて前記一の処理部の動作の異常を検出する異常検出部とを備える処理装置で、前記一の処理部が信号処理を実行することによって出力される信号を外部へ出力する際の制御方法において、前記一の処理部が信号処理を実行することによって出力される信号を保持するステップと、前記異常検出部が前記一の処理部の動作の異常を検出した場合に、前記一の処理部が信号処理を実行することによる信号の出力を停止させるステップと、他の処理部が、前記一の処理部からの信号の出力が停止された場合に、前記異常検出部が前記一の処理部の動作の異常を検出する前に保持していた信号を外部へ出力するステップとを含むことを特徴とする。
本発明に係る制御方法は、複数の制御状態のそれぞれに応じた信号処理を実行する複数の処理部と、一の処理部から周期的に出力される信号に基づいて前記一の処理部の動作の異常を検出する異常検出部とを備える処理装置で、前記一の処理部が信号処理を実行することによって出力される信号を外部へ出力する際の制御方法において、前記一の処理部が実行中の信号処理の制御状態を保持するステップと、前記異常検出部が前記一の処理部の動作の異常を検出した場合に、前記一の処理部が信号処理を実行することによる信号の出力を停止させるステップと、他の処理部が、前記一の処理部からの信号の出力を停止された場合に、前記異常検出部が前記一の処理部の動作の異常を検出する前に保持していた制御状態に応じた信号処理を実行するステップとを含むことを特徴とする。
本発明によれば、信号処理を実行する処理部を複数備え、メインで動作する一の処理部が信号処理を実行することによって出力される信号を保持部が保持しておく。そして、一の処理部の動作に異常が生じた場合に、一の処理部からの信号の出力を停止させ、他の処理部が、一の処理部の動作に異常が生じる前に保持部が保持していた信号を出力する。よって、メインで動作する一の処理部の動作に異常が発生した場合に、異常が発生する前の指令状態(一の処理部からの出力信号)が維持されたまま、異なる処理部による制御にシームレスに移行できる。
本発明によれば、保持部が、メインで動作する一の処理部から出力される信号を所定時間に亘って蓄積し、一の処理部の動作に異常が発生した場合に、異常が発生する前の所定時間に亘って保持部が蓄積した信号に基づく信号を外部へ出力する。よって、メインで動作する一の処理部の動作に異常が発生した場合に、異常が発生する前に所定時間継続していた指令状態(一の処理部からの出力信号)に基づいて制御対象が制御されるので、安全性を確保しつつ制御対象を制御できる。
本発明によれば、複数の制御状態のそれぞれに応じた信号処理を実行する処理部を複数備え、メインで動作する一の処理部が実行中の信号処理の制御状態を保持部が保持しておく。そして、一の処理部の動作に異常が生じた場合に、一の処理部からの信号の出力を停止させ、他の処理部が、一の処理部の動作に異常が生じる前に保持部が保持していた制御状態に応じた信号処理を実行する。よって、メインで動作する一の処理部の動作に異常が発生した場合に、異常が発生する前の一の処理部の制御状態が保持され、同一の制御状態に基づいて信号処理が行なわれるので、異なる処理部による制御をシームレスに移行できる。
本発明によれば、保持部が、メインで動作する一の処理部が実行中の信号処理の制御状態を所定時間に亘って蓄積し、一の処理部の動作に異常が発生した場合に、異常が発生する前の所定時間に亘って保持部が蓄積した制御状態に基づく制御状態に応じた信号処理を実行する。よって、メインで動作する一の処理部の動作に異常が発生した場合に、異常が発生する前に所定時間継続していた制御状態に応じた信号処理によって制御対象が制御されるので、安全性を確保しつつ制御対象を制御できる。
本発明では、メインで動作する一の処理部の動作に異常が発生した場合に、異常が発生する前の指令状態(一の処理部からの出力信号)によって制御対象が制御されるので、安全性を確保しつつ、異なる処理部による制御をシームレスに移行できる。
実施の形態1におけるECUの構成を示す構成図である。 ECUの動作を説明するためのタイムチャートである。 実施の形態1におけるECUのサブマイコンが行なう処理の手順を示すフローチャートである。 実施の形態2におけるECUの構成を示す構成図である。 制御仕様テーブルの格納内容を示す模式図である。 実施の形態2のECUの動作を説明するためのタイムチャートである。 実施の形態2におけるECUのサブマイコンが行なう処理の手順を示すフローチャートである。
以下、本発明をその実施の形態を示す図面に基づいて具体的に説明する。以下に示す実施の形態では、本発明に係る処理装置を車両に搭載されるECUに適用する場合を例に説明する。
(実施の形態1)
図1は、実施の形態1におけるECUの構成を示す構成図である。ECU1は、例えば車両に搭載される車載機器への電源分配、又はバッテリ及びオルタネータにおける充放電の制御処理などを含む信号処理を行なう電源マネージメントECUである。ECU1は、自身に接続されるセンサ、又は各種スイッチなどの機器から取得される測定値、又は計算値、制御値などの各種物理量に基づき、オルタネータなどの制御対象へ制御信号を出力する処理装置である。
ECU1は、メインマイコン2、サブマイコン3、駆動回路4などを含む。ECU1のメインマイコン2は、ECU1全体の制御処理を行なうCPU(コア)20、電源マネージメントECUとしての動作を実現するためのプログラムが記憶されるメモリ21などを備える。メインマイコン2のCPU20は、メモリ21に記憶されているプログラムを読み出して実行することにより、電源マネージメントECUとしての動作を実現する。CPU20は、メモリ21に記憶されているプログラムを実行した場合、例えば外部のオルタネータ(制御対象)などに出力すべき信号を駆動回路4を介して出力する。
また、CPU20は、リセット(RESET)信号が入力される端子を備え、リセット信号が入力された場合、電源マネージメントECUとして動作している際に信号を出力する出力端子を入力ポートに設定する。即ち、CPU20は、リセット信号が入力された場合、出力端子からの信号の出力を禁止する。更に、CPU20は、予め設定されたウォッチドッグ(WD)パルス出力周期を計測するウォッチドッグ(WD)タイマを内蔵し、自身の動作が正常であることを示すためのWDパルスをWDタイマが計測するWDパルス出力周期毎に生成してサブマイコン3へ出力するようにしてある。
メモリ21は、EEPROM(Electronically Erasable Programmable Read Only Memory)、フラッシュメモリなどであり、電源マネージメントECUとしての動作を実現するためのプログラムと共に、制御用の情報を記憶している。
サブマイコン3は、メインマイコン2と同様に、ECU1全体の制御処理を行なうCPU(コア)30、電源マネージメントECUとしての動作を実現するためのプログラムが記憶されるメモリ31を備え、更に、メインマイコン2(CPU20)の動作を監視する監視回路32を備える。サブマイコン3のCPU30も、メモリ31に記憶されているプログラムを読み出して実行することにより、電源マネージメントECUとしての動作を実現し、例えば外部のオルタネータ(制御対象)に出力すべき信号を駆動回路4を介して出力する。なお、サブマイコン3のCPU30は、後述するように監視回路32がメインマイコン2の動作の異常を検出した場合に動作を開始する。サブマイコン3のCPU30は、動作を開始した場合、自身の出力端子を入力ポートの設定から出力ポートの設定に切り替える。
監視回路32は、メインマイコン2のCPU20から周期的に出力されるWDパルスを監視する。具体的には、監視回路32は、CPU20からのWDパルスの信号を受け付ける端子を有する回路を含み、当該回路にてWDパルスのエッジの立ち上がりを検出した場合に、WDパルスとして検出する。監視回路32は、CPU20から周期的に出力されるべきWDパルスを監視し、WDパルスを直近で検出してからの経過時間を測定し、所定の周期(予め設定されているWDパルス出力周期)でWDパルスを受信している場合には、CPU20は正常と判断する。一方、監視回路32は、WDパルスを直近で検出してからの経過時間が、WDパルス出力周期よりも長い経過時間となった場合には、CPU20は異常と判断する。
詳細には、監視回路32は、WDパルスを直近で検出してから、WDパルス出力周期を経過してもWDパルスを受信できない場合に、CPU20にて異常が発生していると判断する。監視回路32は、CPU20に異常が発生していると判断した場合、CPU30に動作を開始するように指示し、リセット信号をCPU20へ出力する。このとき監視回路32は、異常と判断する根拠の現象(例えばWD監視時間が経過してもWDパルスを検出できないなど)を所定の複数回検出した場合に初めてCPU20の動作を異常であると判断してもよい。また、WDパルスを直近で検出してからの経過時間が、WDパルス出力周期よりも短い経過時間となった場合にも、CPU20が異常であると判断してもよい。
サブマイコン3のメモリ31も、EEPROM、フラッシュメモリなどであり、電源マネージメントECUとしての動作を実現するためのプログラムと共に、制御用の情報を記憶している。また、サブマイコン3のメモリ31は、メインマイコン2のCPU20から出力されて駆動回路4に入力された信号を、駆動回路4から出力される際に記憶する。
駆動回路4には、メインマイコン2(CPU20)又はサブマイコン3(CPU30)から出力された信号が入力され、所定のタイミングで外部の制御対象へ出力する。なお、駆動回路4には、メインマイコン2(CPU20)が正常に動作している場合にはメインマイコン2のCPU20からの信号が、メインマイコン2(CPU20)に異常が発生している場合にはサブマイコン3のCPU30からの信号が入力される。
本実施の形態1のECU1では、サブマイコン3の監視回路32が、メインマイコン2のCPU20からのWDパルスに基づいてCPU20が正常に動作しているか否かを判断する。そして、CPU20に異常が発生していると判断した場合、監視回路32は、CPU30に電源マネージメントECUの動作を開始させるように指示すると共に、リセット信号をCPU20へ出力する。電源マネージメントECUの動作の開始を指示されたCPU30は、メモリ31に記憶してあるプログラムを実行して電源マネージメントECUとしての動作を開始する。
このときサブマイコン3のCPU30は、電源マネージメントECUとして動作している際に信号を出力する出力端子を出力ポートに設定し、メインマイコン2のCPU20は、サブマイコン3の監視回路32からリセット信号を受信した場合、自身の出力端子を入力ポートに設定する。これにより、駆動回路4に入力される信号が、メインマイコン2からの信号から、サブマイコン3からの信号に切り替えられる。
サブマイコン3のCPU30は、監視回路32がCPU20の異常を検出する直前に、メモリ31が駆動回路4から取得して格納したCPU20からの出力値を読み出し、自身の出力信号として駆動回路4へ出力する。これにより、メインマイコン2に異常が発生した場合に、異常が発生する直前のメインマイコン2からの出力信号が、サブマイコン3から駆動回路4を介して制御対象へ出力される。従って、メインマイコン2に異常が発生する前の指令状態が維持されるので、安全性を確保しつつ、メインマイコン2による制御からサブマイコン3による制御へシームレスに移行できる。
図2はECU2の動作を説明するためのタイムチャートである。図2には、横軸を時間軸として上から順に、メインマイコン2から出力される出力1,出力2、サブマイコン3から出力される出力1,出力2を示している。なお、図2に示したタイムチャートは、メインマイコン2及びサブマイコン3からそれぞれ2つの出力値が出力される例を示す。
本実施の形態1のECU1において、メインマイコン2のCPU20は、メインマイコン2に異常が発生するまでの間は、メモリ21に記憶されたプログラムを実行した結果の出力信号を適宜出力する。そして、メインマイコン2に異常が発生した後は、メインマイコン2のCPU20の出力端子は入力ポートに設定されるので、CPU20は出力信号を出力しない。
一方、サブマイコン3のCPU30の出力端子は、メインマイコン2に異常が発生するまでの間は入力ポートに設定されているので、CPU30は出力信号を出力しない。そして、メインマイコン2に異常が発生した後は、サブマイコン3のCPU30は、メインマイコン2に異常が発生する直前のCPU20の出力信号を出力する。具体的には、メインマイコン2に異常が発生する直前において、メインマイコン2は、出力1としてOFF(0)の値の信号を出力し、出力2としてON(1)の値の信号を出力していた。従って、メインマイコン2に異常が発生した以降において、サブマイコン3は、出力1としてOFF(0)の値の信号を出力し、出力2としてON(1)の値の信号を出力する。
上述したように、メインマイコン2に異常が発生した場合に、その直前にメインマイコン2から駆動回路4へ出力されていた信号が、サブマイコン3から駆動回路4へ出力されるので、メインマイコン2に異常が発生する前の制御対象の制御状態を維持できる。よって、安全性を確保しつつ、メインマイコン2による制御からサブマイコン3による制御へシームレスに移行できる。
上述したように構成されるECU1において、監視回路3が行なう動作についてフローチャートを参照して説明する。図3は、実施の形態1におけるECU1のサブマイコン3が行なう処理の手順を示すフローチャートである。
サブマイコン3のCPU30は、メインマイコン2のCPU20からの出力信号を駆動回路4を介して取得する都度、メモリ31に格納する(S1)。一方、サブマイコン3の監視回路32は、メインマイコン2のCPU20から受信するWDパルス出力周期のデータ(WDパルス)を受信する都度、WDパルスの受信状態を監視する(S2)。ここでは、監視回路32は、CPU20からWDパルスを受信する間隔を監視する。
監視回路32は、CPU20からのWDパルスの受信間隔に基づいて、メインマイコン2(CPU20)が異常であるか否かを判断する(S3)。なお、監視回路32は、CPU20からのWDパルスの受信間隔が、予め設定されたWDパルス出力周期よりも所定時間以上短い場合又は所定時間以上長い場合に、CPU20(メインマイコン2)が異常であると判断する。
監視回路32によってメインマイコン2が正常であると判断された場合(S3:NO)、サブマイコン3は、ステップS1に処理を戻し、メインマイコン2のCPU20からの出力信号のメモリ31への格納と、メインマイコン2のCPU20からのWDパルスの受信状態の監視とを継続する。監視回路32によってメインマイコン2が異常であると判断された場合(S3:YES)、監視回路32は、リセット信号をCPU20へ出力する(S4)。
また、監視回路32は、CPU30に、電源マネージメントECUの動作を開始するように指示し、CPU30は、自身の出力端子を出力ポートに設定する(S5)。なお、メインマイコン2のCPU20は、サブマイコン3の監視回路32からリセット信号を取得した場合、出力端子を入力ポートに設定する。CPU30は、メモリ31に格納してある出力値、即ち、監視回路23がメインマイコン2の異常を検出する直前にCPU20から出力された出力値を読み出し、駆動回路4へ出力し(S6)、処理を終了する。
これにより、ECU1は、メインマイコン2に異常が発生した場合であっても、その直前にメインマイコン2が制御対象へ出力していた出力値を、サブマイコン3によって出力できる。従って、メインマイコン2に異常が発生した場合であっても、メインマイコン2による制御からサブマイコン3による制御へシームレスに処理を移行できると共に、制御対象を安全に制御できる。
本実施の形態1のECU1では、メインマイコン2に異常が生じ、メインマイコン2による制御対象の制御からサブマイコン3による制御対象の制御に切り替わった後は、異常が発生する直前のメインマイコン2からの出力値に固定される。従って、上述した構成に更に、メインマイコン2に異常が発生した後にサブマイコン3から出力される出力値を、サブマイコン3のメモリ31に格納してある出力値とするのか、例えば、ドライバによる入力操作によって入力された値とするのかを切り替える構成を備えてもよい。
本実施の形態1のECU1では、メインマイコン2に異常が生じた場合に、サブマイコン3のCPU30が、サブマイコン3のメモリ31に格納してある、異常が発生する直前のメインマイコン2からの出力値のみに基づいて制御対象を制御していた。このほかに、例えば、サブマイコン3のメモリ31に、メインマイコン2(CPU20)からの出力信号を所定時間に亘って蓄積しておき、メインマイコン2に異常が生じた場合に、メモリ31に蓄積された信号に基づいて、サブマイコン3のCPU30が制御対象へ出力する信号を決定してもよい。
例えば、メインマイコン2に異常が生じる直前の10分間において、CPU20が、出力1としてOFF(0)の値の信号を出力し、出力2としてON(1)の値の信号を出力していたとする。この場合、サブマイコン3のCPU30は、出力1としてOFF(0)の値の信号を出力し、出力2としてON(1)の値の信号を出力すればよい。このように、メインマイコン2に異常が生じる直前のCPU20からの出力値だけでなく、長期的(所定期間)にCPU20から出力されていた出力値に基づいて、サブマイコン3が制御対象へ出力する信号を決定することにより、より安全性を確保して制御対象を制御できる。
(実施の形態2)
図4は、実施の形態2におけるECUの構成を示す構成図である。本実施の形態2のECU1は、上述した実施の形態1のECU1と同様の構成を有するので、同様の構成については同一の符号を付して説明を省略する。
本実施の形態2のECU1は、図1に示した構成のほかに、サブマイコン3のメモリ31に、図5に示すような制御仕様テーブル33を予め記憶している。図5は制御仕様テーブル33の格納内容を示す模式図である。制御仕様テーブル33には、ECU1が所定の制御対象を制御する際の制御状態(制御モード)毎に、出力値(ON=1、OFF=0)が格納されている。
なお、図5に示した制御仕様テーブル33では、制御状態として、通常状態、電源カット状態1、電源カット状態2の3つの制御状態が登録されている。しかし、このような構成に限らず、ECU1が行なうべき処理内容に応じた数の制御状態毎に出力値が格納されればよい。また、図5に示した制御仕様テーブル33では、出力値として2つの出力値(出力1、出力2)が格納されているが、ECU1が行なうべき処理内容に応じた数の出力値が格納されることになる。
本実施の形態2のECU1において、メインマイコン2のCPU20は、車両の動作状態及び他のECUの動作状態に基づいて現在の制御状態を把握している。そして、CPU20は、現在の制御状態に対応するプログラムをメモリ21から読み出して実行することにより、外部のオルタネータ(制御対象)に対して現在の制御状態に応じた制御処理を行なう。また、CPU20は、現在の制御状態が変更される都度、現在の制御状態をサブマイコン3に通知し、サブマイコン3のメモリ31に格納させる。即ち、上述した実施の形態1では、サブマイコン3のメモリ31には、メインマイコン2のCPU20からの出力信号が逐次格納されていたが、本実施の形態2では、ECU1における現在の制御状態が逐次格納される。
また、本実施の形態2のECU1において、サブマイコン3のCPU30は、監視回路32がCPU20の異常を検出した場合、監視回路32がCPU20の異常を検出する直前に、メモリ31がメインマイコン2から取得して格納した制御状態を読み出す。そして、CPU30は、メモリ31から読み出した制御状態に対応する出力値を制御仕様テーブル33から読み出し、自身の出力信号として駆動回路4へ出力する。
これにより、メインマイコン2に異常が発生した場合に、異常が発生する直前のメインマイコン2における制御状態が保持され、この制御状態に応じた出力値によってサブマイコン3が制御対象を制御する。従って、メインマイコン2に異常が発生する前の指令状態が維持されるので、安全性を確保しつつ、メインマイコン2による制御からサブマイコン3による制御へシームレスに移行できる。
図6は実施の形態2のECU2の動作を説明するためのタイムチャートである。図6には、横軸を時間軸として上から順に、メインマイコン2の状態(制御状態)、メインマイコン2から出力される出力1,出力2、サブマイコン3の状態(制御状態)、サブマイコン3から出力される出力1,出力2を示している。なお、図6に示したタイムチャートは、メインマイコン2及びサブマイコン3からそれぞれ2つの出力値が出力される例を示す。
本実施の形態2のECU1において、メインマイコン2のCPU20は、メインマイコン2に異常が発生するまでの間は、適宜変更される制御状態に応じて、メモリ21に記憶されたプログラムを実行し、その結果の出力信号を適宜出力する。図6に示した例では、通常状態から電源カット状態1に制御状態が切り替えられており、CPU20は、そのときどきの制御状態に応じた処理を行なって出力1,2としての出力信号を出力する。なお、メインマイコン2に異常が発生するまでの間、サブマイコン3はメインマイコン2からのWDパルスに基づくメインマイコン2の監視状態となっており、サブマイコン3のCPU30の出力端子は入力ポートに設定されている。
一方、メインマイコン2に異常が発生した後は、メインマイコン2のCPU20の出力端子は入力ポートに設定され、サブマイコン3における制御状態として、メインマイコン2に異常が発生する直前のメインマイコン2における制御状態(図6では電源カット状態1)が引き継がれる。そして、サブマイコン3のCPU30は、電源カット状態1に対応する出力値を制御仕様テーブル33から読み出し、出力1としてOFF(0)の値の信号を出力し、出力2としてON(1)の値の信号を出力する。
上述したように、メインマイコン2に異常が発生した場合に、その直前のメインマイコン2による制御対象の制御状態を維持できる。よって、安全性を確保しつつ、メインマイコン2による制御からサブマイコン3による制御へシームレスに移行できる。
上述したように構成されるECU1において、監視回路3が行なう動作についてフローチャートを参照して説明する。図7は、実施の形態2におけるECU1のサブマイコン3が行なう処理の手順を示すフローチャートである。
サブマイコン3のCPU30は、メインマイコン2のCPU20から、メインマイコン2における現在の制御状態を取得する都度、メモリ31に格納する(S11)。一方、サブマイコン3の監視回路32は、メインマイコン2のCPU20から受信するWDパルス出力周期のデータ(WDパルス)を受信する都度、WDパルスの受信状態を監視する(S12)。ここでは、監視回路32は、CPU20からWDパルスを受信する間隔を監視する。
監視回路32は、CPU20からのWDパルスの受信間隔に基づいて、メインマイコン2(CPU20)が異常であるか否かを判断する(S13)。なお、監視回路32は、CPU20からのWDパルスの受信間隔が、予め設定されたWDパルス出力周期よりも所定時間以上短い場合又は所定時間以上長い場合に、CPU20(メインマイコン2)が異常であると判断する。
監視回路32によってメインマイコン2が正常であると判断された場合(S13:NO)、サブマイコン3は、ステップS11に処理を戻し、メインマイコン2における現在の制御状態のメモリ31への格納と、メインマイコン2のCPU20からのWDパルスの受信状態の監視とを継続する。監視回路32によってメインマイコン2が異常であると判断された場合(S13:YES)、監視回路32は、リセット信号をメインマイコン2のCPU20へ出力する。(S14)
また、監視回路32は、CPU30に、電源マネージメントECUの動作の開始を指示し、CPU30は、自身の出力端子を出力ポートに設定する(S15)。なお、メインマイコン2のCPU20は、サブマイコン3の監視回路32からリセット信号を取得した場合、出力端子を入力ポートに設定する。CPU30は、メモリ31に格納してある制御状態、即ち、監視回路23がメインマイコン2の異常を検出する直前の制御状態を読み出し(S16)、読み出した制御状態に対応する出力値を制御仕様テーブル33から読み出して駆動回路4へ出力し(S17)、処理を終了する。
これにより、ECU1は、メインマイコン2に異常が発生した場合であっても、サブマイコン3により、その直前のメインマイコン2における制御状態に基づく処理によって制御対象を制御できる。従って、メインマイコン2に異常が発生した場合であっても、メインマイコン2による制御からサブマイコン3による制御へシームレスに処理を移行できると共に、制御対象を安全に制御できる。
本実施の形態2のECU1では、メインマイコン2に異常が生じ、メインマイコン2による制御対象の制御からサブマイコン3による制御対象の制御に切り替わった後は、異常が発生する直前のメインマイコン2の制御状態に対応する出力値に固定される。従って、上述した構成に更に、メインマイコン2に異常が発生した後にサブマイコン3から出力される出力値を、制御仕様テーブル33で規定された出力値とするのか、例えば、ドライバによる入力操作によって入力された値とするのかを切り替える構成を備えてもよい。
本実施の形態2のECU1では、メインマイコン2に異常が生じた場合に、サブマイコン3のCPU30が、サブマイコン3のメモリ31に格納してある、異常が発生する直前のメインマイコン2の制御状態のみに基づいて制御対象を制御していた。このほかに、例えば、サブマイコン3のメモリ31に、メインマイコン2(CPU20)における制御状態を所定時間に亘って蓄積しておき、メインマイコン2に異常が生じた場合に、メモリ31に蓄積された制御状態に基づいて、サブマイコン3のCPU30が制御対象を制御する際の制御状態を決定してもよい。
例えば、メインマイコン2に異常が生じる直前の10分間において、メインマイコン2における制御状態が通常状態であった場合、メインマイコン2に異常が生じた後も通常状態に基づく処理によって制御対象を制御することが好ましい場合が多い。従って、この場合、サブマイコン3のCPU30は、通常状態に対応する出力値を出力すればよい。このように、メインマイコン2に異常が生じる直前のメインマイコン2における制御状態だけでなく、長期的(所定期間)に継続した制御状態に基づいて、サブマイコン3が制御対象を制御することにより、より安全性を確保して制御対象を制御できる。
上述した実施の形態1,2では、CPU20からの出力信号又はメインマイコン2における制御状態をサブマイコン3のメモリ31に格納させる構成であった。このほかに、例えば、サブマイコン3とは別途にEEPROMなどのメモリを設け、CPU20からの出力信号又はメインマイコン2における制御状態をこのメモリに格納させる構成としてもよい。この場合、サブマイコン3のCPU30は、監視回路32によってメインマイコン2の異常が検出された場合に、外部のメモリからCPU20からの出力信号又はメインマイコン2における制御状態を読み取ればよい。
上述した実施の形態1,2では、ECU1が2つのマイコン2,3を備える構成であった。しかし、本願の処理装置は、このような構成に限定されず、ECU1に3つ以上のマイコンを搭載することによって、より安定した処理が可能となる。
なお、開示された実施の形態は、全ての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上述の説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
1 ECU(処理装置)
2 メインマイコン
20 CPU(処理部)
3 サブマイコン
30 CPU(処理部)
31 メモリ(保持部)
32 監視回路(異常検出部、出力停止部)

Claims (6)

  1. 信号処理を実行する複数の処理部と、一の処理部から周期的に出力される信号に基づいて前記一の処理部の動作の異常を検出する異常検出部とを備える処理装置において、
    前記一の処理部が信号処理を実行することによって出力する信号を保持する保持部と、
    前記異常検出部が前記一の処理部の動作の異常を検出した場合に、前記一の処理部が信号処理を実行することによる信号の出力を停止させる出力停止部とを備え、
    他の処理部は、前記出力停止部が前記一の処理部からの信号の出力を停止させた場合に、前記異常検出部が前記一の処理部の動作の異常を検出する前に前記保持部が保持していた信号を外部へ出力するようにしてあることを特徴とする処理装置。
  2. 前記保持部は、前記一の処理部から出力される信号を所定時間に亘って蓄積するようにしてあり、
    前記他の処理部は、前記異常検出部が前記一の処理部の動作の異常を検出する前の所定時間に亘って前記保持部が蓄積した信号に基づく信号を外部へ出力するようにしてあることを特徴とする請求項1に記載の処理装置。
  3. 複数の制御状態のそれぞれに応じた信号処理を実行する複数の処理部と、一の処理部から周期的に出力される信号に基づいて前記一の処理部の動作の異常を検出する異常検出部とを備える処理装置において、
    前記一の処理部が実行中の信号処理の制御状態を保持する保持部と、
    前記異常検出部が前記一の処理部の動作の異常を検出した場合に、前記一の処理部が信号処理を実行することによる信号の出力を停止させる出力停止部とを備え、
    他の処理部は、前記出力停止部が前記一の処理部からの信号の出力を停止させた場合に、前記異常検出部が前記一の処理部の動作の異常を検出する前に前記保持部が保持していた制御状態に応じた信号処理を実行するようにしてあることを特徴とする処理装置。
  4. 前記保持部は、前記一の処理部が実行中の信号処理の制御状態を所定時間に亘って蓄積するようにしてあり、
    前記他の処理部は、前記異常検出部が前記一の処理部の動作の異常を検出する前の所定時間に亘って前記保持部が蓄積した制御状態に基づく制御状態に応じた信号処理を実行するようにしてあることを特徴とする請求項3に記載の処理装置。
  5. 信号処理を実行する複数の処理部と、一の処理部から周期的に出力される信号に基づいて前記一の処理部の動作の異常を検出する異常検出部とを備える処理装置で、前記一の処理部が信号処理を実行することによって出力される信号を外部へ出力する際の制御方法において、
    前記一の処理部が信号処理を実行することによって出力される信号を保持するステップと、
    前記異常検出部が前記一の処理部の動作の異常を検出した場合に、前記一の処理部が信号処理を実行することによる信号の出力を停止させるステップと、
    他の処理部が、前記一の処理部からの信号の出力が停止された場合に、前記異常検出部が前記一の処理部の動作の異常を検出する前に保持していた信号を外部へ出力するステップと
    を含むことを特徴とする制御方法。
  6. 複数の制御状態のそれぞれに応じた信号処理を実行する複数の処理部と、一の処理部から周期的に出力される信号に基づいて前記一の処理部の動作の異常を検出する異常検出部とを備える処理装置で、前記一の処理部が信号処理を実行することによって出力される信号を外部へ出力する際の制御方法において、
    前記一の処理部が実行中の信号処理の制御状態を保持するステップと、
    前記異常検出部が前記一の処理部の動作の異常を検出した場合に、前記一の処理部が信号処理を実行することによる信号の出力を停止させるステップと、
    他の処理部が、前記一の処理部からの信号の出力を停止された場合に、前記異常検出部が前記一の処理部の動作の異常を検出する前に保持していた制御状態に応じた信号処理を実行するステップと
    を含むことを特徴とする制御方法。
JP2009291585A 2009-12-23 2009-12-23 処理装置及び制御方法 Expired - Fee Related JP5392058B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009291585A JP5392058B2 (ja) 2009-12-23 2009-12-23 処理装置及び制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009291585A JP5392058B2 (ja) 2009-12-23 2009-12-23 処理装置及び制御方法

Publications (2)

Publication Number Publication Date
JP2011134025A JP2011134025A (ja) 2011-07-07
JP5392058B2 true JP5392058B2 (ja) 2014-01-22

Family

ID=44346701

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009291585A Expired - Fee Related JP5392058B2 (ja) 2009-12-23 2009-12-23 処理装置及び制御方法

Country Status (1)

Country Link
JP (1) JP5392058B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6895373B2 (ja) * 2017-12-19 2021-06-30 日立Astemo株式会社 自動車用電子制御装置

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05163998A (ja) * 1991-12-17 1993-06-29 Nippondenso Co Ltd プロセッサのバックアップ制御装置
JP3314458B2 (ja) * 1993-06-25 2002-08-12 株式会社デンソー マイクロコンピュータシステム
JPH09330106A (ja) * 1996-06-10 1997-12-22 Toshiba Corp バックアップ機能付制御システム
JPH1063530A (ja) * 1996-08-22 1998-03-06 Toshiba Corp 冗長型システム
JP3817855B2 (ja) * 1997-08-29 2006-09-06 株式会社デンソー 電子制御装置
JP2000259201A (ja) * 1999-03-05 2000-09-22 Toshiba Corp アナログ出力装置及びそれを用いた制御システム
JP2001175494A (ja) * 1999-12-14 2001-06-29 Nec Corp マイクロプロセッサの演算処理の正常性を二重に診断する方式及びその方法
JP3968972B2 (ja) * 2000-08-14 2007-08-29 日本精工株式会社 電動パワーステアリング装置の制御装置
JP3923810B2 (ja) * 2002-01-30 2007-06-06 株式会社デンソー 車両用電子制御装置
JP3967599B2 (ja) * 2002-01-28 2007-08-29 株式会社デンソー 車両用電子制御装置
JP4725539B2 (ja) * 2007-03-14 2011-07-13 株式会社デンソー 電子制御装置

Also Published As

Publication number Publication date
JP2011134025A (ja) 2011-07-07

Similar Documents

Publication Publication Date Title
JP6311828B2 (ja) 車載用電子機器の制御装置及び制御方法
JP6754743B2 (ja) 車載電子制御装置およびその異常時処理方法
JP5846342B1 (ja) 車載用電子機器の制御装置及び制御方法
JP5743932B2 (ja) Ecuの異常監視回路
JP4665846B2 (ja) マイクロコンピュータ及び電子制御装置
JP2013061863A (ja) 電子制御装置
WO2013089210A1 (ja) 制御装置及び処理監視方法
US10710521B2 (en) Abnormality monitoring device and electric power steering device using same
KR100711850B1 (ko) 마이크로컴퓨터 감시 금지 기능을 갖는 전자 제어 시스템및 방법
JP5555472B2 (ja) 車両用電子制御システム
JP5392058B2 (ja) 処理装置及び制御方法
JP5960632B2 (ja) 車両用電子制御装置
JP6311693B2 (ja) 車載用電子機器の制御装置及び制御方法
JP2011065402A (ja) 車両用電子制御装置
JP4812699B2 (ja) 電源制御装置
JP2020050319A (ja) 電源監視装置、電源制御システム、および電源監視方法
JP7143797B2 (ja) 車載カメラモジュールの電源制御装置
JP5625349B2 (ja) 処理装置及び制御方法
JP2015112962A (ja) 情報処理装置
JP7230756B2 (ja) 車両用電子制御装置
US20230398955A1 (en) In-vehicle use control system
JP2004034854A (ja) 電子制御装置
JP2012069063A (ja) P−run信号出力装置、組込制御装置
JP2007226527A (ja) 制御装置及びウォッチドッグタイマ
JP2023170679A (ja) 車載装置、プログラム及び情報処理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121015

TRDD Decision of grant or rejection written
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130911

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130917

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130930

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees