JP5541246B2 - 電子制御ユニット - Google Patents
電子制御ユニット Download PDFInfo
- Publication number
- JP5541246B2 JP5541246B2 JP2011159875A JP2011159875A JP5541246B2 JP 5541246 B2 JP5541246 B2 JP 5541246B2 JP 2011159875 A JP2011159875 A JP 2011159875A JP 2011159875 A JP2011159875 A JP 2011159875A JP 5541246 B2 JP5541246 B2 JP 5541246B2
- Authority
- JP
- Japan
- Prior art keywords
- microcomputer
- virtual cpu
- control
- main
- sub
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、車両制御を行うマイコンを備えた電子制御ユニットに関する。
各種の制御を実現するため本願関連技術が提供されている(例えば、特許文献1、2参照)。特許文献1は、仮想CPUの構築技術を提供している。特に、車載装置に演算結果を提供する電子制御ユニットにおいて、実在するCPUと、実在するCPUから仮想的なCPUを構築する仮想CPU構築手段と、仮想的に構築された第1の仮想CPU及び第2の仮想CPUと、を有し、演算結果を提供する第1の仮想CPUを第2の仮想CPUが監視する技術を提供している。また、特許文献2は、少なくとも2つの命令実行部と1つの比較ユニットを備え命令実行部の演算結果を比較ユニットで比較するロックステップ技術を提供している。
通常、車両制御用のECUには、制御マイコンと、その制御マイコンを監視する監視マイコンとが搭載されている。制御マイコンが制御する複数の制御システムのうち、電子スロットル制御など、より高い安全性が求められる制御に関しては、監視マイコンを用いて対象制御システムの監視を行っている。近年、車両制御技術分野において、更なる安全性向上のため、特許文献2記載のロックステップ処理を付加することが提案されている。
しかしながら、制御マイコンに対してロックステップ処理を追加した場合、制御電流が増大する懸念点がある。つまり、制御マイコンに対してロックステップ技術を適用した場合、監視を必要としない制御システムまでロックステップ処理を適用することとなるためである。
本発明は、上記事情に鑑みてなされたもので、消費電流を抑制しつつ、ロックステップ処理を用いて高い安全性を実現でき所望の車両制御を実現できるといった格別の効果を有する電子制御ユニットを提供することにある。
請求項1記載の発明によれば、第1マイコンは車両制御を行うが、第2マイコンはロックステップ処理によって命令実行部の演算結果を互いに比較する。第2マイコンは、仮想的なCPUを構築する仮想CPU構築手段と、仮想CPU構築手段により構築された少なくとも第1仮想CPU、第2仮想CPUとを備える。そして、第2マイコンの第1仮想CPUは、ロックステップ処理により少なくとも第1マイコンによる制御状態を監視し、第1マイコンの制御状態が正常でないと判断した場合、第1マイコンをリセットするため、当該リセット後には、第1マイコンが正常な車両制御を行うことができる。
したがって、監視マイコンとしての第2マイコンは、その内部に仮想的に構築された第1仮想CPUによってロックステップ処理し、制御マイコンとしての第1マイコンを監視するため、消費電流を抑制しつつロックステップ処理を用いて高い安全性を実現でき所望の車両制御を実現できるという格別の効果を有する。
請求項2記載の発明によれば、第3マイコンが第1マイコンによって行われる車両制御とは異なる種類の車両制御を行い、第2仮想CPUが第3マイコンによる制御状態を監視するように構成することで、新たに監視用のマイコンを追加することなく監視処理を行うことができ、更なる消費電流の抑制が図れるといった格別の効果を有する。
請求項3記載の発明によれば、第1マイコンは、第1仮想CPUの制御状態を監視し、第1仮想CPUが正常ではないと判断した場合、第1仮想CPUのみをリセットするため、第1マイコンおよび第1仮想CPUを相互に監視することができ、更なる安全性の向上を図ることができる。
請求項4記載の発明によれば、第1マイコンは第1仮想CPUの制御状態を監視し、当該第1仮想CPUが正常でないと判断した場合、第1仮想CPUが正常でない旨を第3マイコンに通知するため、第3マイコンは第1仮想CPUが正常動作していない旨を認識することができ第3マイコンによる制御システムへの悪影響を軽減できる。しかも、第1仮想CPUおよび第2仮想CPUをリセットするため、リセット後には、第1仮想CPUおよび第2仮想CPUによる第3マイコンの制御状態の監視処理を正常に実施できる。
請求項5記載の発明によれば、第1仮想CPUが第1マイコンの制御状態と第3マイコンの制御状態との双方の制御情報を用いて第1マイコンの監視処理を実施することで、制御システムの安全性を更に向上させることができる。
請求項6記載の発明によれば、第2マイコンは、第1仮想CPUで第1マイコンの制御状態を監視するとともに、第1仮想CPUとは異なる仮想CPUで第1マイコンとは異なるシステムの処理を実行することができる。
請求項7記載の発明によれば、第1マイコンは車両制御を行うが、第3マイコンは第1マイコンが行う車両制御とは異なる種類の車両制御を行う。また、第2マイコンは、少なくとも2つ以上の命令実行部および比較部を用いてロックステップ処理により命令実行部の演算結果を互いに比較する。第2マイコンは、ロックステップ処理により第1マイコンの制御状態を監視し第1マイコンの制御状態が正常でないと判断した場合に第1マイコンをリセットするとともに、第3マイコンの制御状態を監視し第3マイコンの制御状態が正常でないと判断した場合に第3マイコンをリセットするため、リセット後には、第1マイコン、第3マイコン共に正常な車両制御を行うことができる。
(第1実施形態)
以下、本発明の第1実施形態について図1ないし図3を参照しながら説明する。通常、車両には当該車両内の多数のアクチュエータの制御を行うため、エンジン制御ECU(Electronic Control Unit)、ブレーキ制御ECU、ボディ制御ECU、メータ制御ECUなど数十以上の電子制御ユニットが搭載されており、これらのECU間は所定の通信規格に応じて通信し、これにより車両全体の制御が行われている。近年、コスト抑制などを目的として、ECUの統合化が図られている。そこで本実施形態では、エンジン制御ECU、ボディ制御ECU、ブレーキ制御ECUの各機能が搭載された統合ECU1について説明を行う。
以下、本発明の第1実施形態について図1ないし図3を参照しながら説明する。通常、車両には当該車両内の多数のアクチュエータの制御を行うため、エンジン制御ECU(Electronic Control Unit)、ブレーキ制御ECU、ボディ制御ECU、メータ制御ECUなど数十以上の電子制御ユニットが搭載されており、これらのECU間は所定の通信規格に応じて通信し、これにより車両全体の制御が行われている。近年、コスト抑制などを目的として、ECUの統合化が図られている。そこで本実施形態では、エンジン制御ECU、ボディ制御ECU、ブレーキ制御ECUの各機能が搭載された統合ECU1について説明を行う。
図1は、本実施形態に係る統合ECU内の電気的ブロック構成を概略的に示している。
統合ECU1には、エンジン制御ECU、ボディ制御ECU、ブレーキ制御ECUの各機能が搭載されている。この統合ECU1は、共通電源回路2から供給される電源によって動作する。共通電源回路2はバッテリから供給される常時電源の電圧を統合ECU1内の各回路で使用する電圧に変換して供給する。
統合ECU1には、エンジン制御ECU、ボディ制御ECU、ブレーキ制御ECUの各機能が搭載されている。この統合ECU1は、共通電源回路2から供給される電源によって動作する。共通電源回路2はバッテリから供給される常時電源の電圧を統合ECU1内の各回路で使用する電圧に変換して供給する。
また、統合ECU1は、第1メインマイコン3、第2メインマイコン4、第3メインマイコン5を備える。第1メインマイコン3は、特に電子スロットル制御などエンジン制御ECUの機能を主に備える。第2メインマイコン4は、特にブレーキ制御ECUの機能を主に備える。第3メインマイコン5は、特にボディ制御ECUの機能を主に備える。これらの第1〜第3メインマイコン3〜5は、それぞれ、CPU3a〜5a、ROM(図示せず)、RAM(図示せず)、システムインタフェース(I/F)回路3b〜5bなどを備える。なお、図中、第1〜第3メインマイコン3〜5の搭載CPUにはそれぞれ符号aを追加して付し、システムインタフェース回路にはそれぞれ符号bを追加して付して示す。
また、統合ECU1内には、これらの第1〜第3メインマイコン3〜5とは別にサブマイコン6が搭載されている。サブマイコン6は、その内部に複数の命令実行部(第1命令実行部6a、第2命令実行部6b)、コンパレータからなる比較ユニット6c、および、システムインタフェース回路6dを備え、第1命令実行部6a、第2命令実行部6bのそれぞれに仮想的なCPU(後述の仮想CPU(A)(第1仮想CPUに相当)、仮想CPU(B)(第2仮想CPUに相当)など)を構築し、これらの第1命令実行部6a、第2命令実行部6bおよび比較ユニット6cによってロックステップを行う。このサブマイコン6によるロックステップ処理の概要は後述する。
システムインタフェース回路3b〜5b、6dは、アナログ入力信号をデジタル変換して自らのマイコンに出力するA/Dコンバータ(ADC)、および、デジタル入力信号を入力して自らのマイコンに出力する入力バッファなどを備えた入力I/F(インタフェース)、アクチュエータ駆動信号を出力する出力I/F(インタフェース)、他のマイコンとの間の通信処理を行う通信I/F(インタフェース)をそれぞれ備えている。図示しないが、この統合ECU1には、前述説明した共通電源回路2、第1〜第3メインマイコン3〜5、サブマイコン6と共に、EEPROMなどのメモリ等の各種周辺回路が搭載されている。
図2は、サブマイコン6による第1メインマイコン3の動作状態の監視態様の具体例を示している。
第1メインマイコン3は、システムインタフェース回路3bの入力I/F(ADC)を通じてアクセル開度信号を入力する。サブマイコン6も同様に、システムインタフェース回路6dの入力I/F(ADC)を通じてアクセル開度信号を入力する。第1メインマイコン3は、アクセル開度信号を入力するとスロットル開度の操作量を決定する。
第1メインマイコン3は、システムインタフェース回路3bの入力I/F(ADC)を通じてアクセル開度信号を入力する。サブマイコン6も同様に、システムインタフェース回路6dの入力I/F(ADC)を通じてアクセル開度信号を入力する。第1メインマイコン3は、アクセル開度信号を入力するとスロットル開度の操作量を決定する。
また、スロットルの開度信号はシステムインタフェース回路3bの入力I/Fを通じて第1メインマイコン3に入力される。このスロットル開度信号は、サブマイコン6にもシステムインタフェース回路6dの入力I/Fを通じて入力される。また、第1メインマイコン3で取得したアクセル開度信号やスロットル開度信号を監視用のサブマイコン6に送信しても良い。
第1メインマイコン3のCPU3aは、スロットル開度の操作量とスロットルの開度信号と比較して開度偏差を求め、電子スロットルSの制御用モータで必要となる制御量を求め、制御量をデューティ比に変換し当該信号に応じた電流をモータに通電することでスロットル弁Saの開度を制御する(スロットル開度制御)。
サブマイコン6は、システムインタフェース回路6dを介してスロットル開度制御の状態を監視するが、この監視結果が異常な場合には、モータ駆動を停止したり電源遮断制御(電源カット)したりする。この方法としては、第1メインマイコン3のシステムインタフェース回路3bの出力I/Fと、システムインタフェース回路6dの出力I/Fの論理和を求めることで、電源通電やモータ駆動信号の有効/無効を切換える方法がある。
またその他の方法としては、第1メインマイコン3のシステムインタフェース回路3bの通信I/Fとサブマイコン6のシステムインタフェース回路6dの通信I/Fとの間で通信処理を行い、第1メインマイコン3のシステムインタフェース回路3bに搭載される選択機能付き出力I/Fの選択指令をサブマイコン6から行い、当該サブマイコン6が電子スロットルSを直接制御する方法がある。
図3は、サブマイコン6のロックステップによる監視処理の流れを示している。図3に示すように、サブマイコン6は、第1命令実行部6aおよび第2命令実行部6bを用いた仮想CPU(A)(VCPU処理1)によって第1メインマイコン3を互いに同一の動作クロックにより監視処理する。この場合、サブマイコン6は、コンパレータからなる比較ユニット6cを用いて、第1命令実行部6aおよび第2命令実行部6bの監視演算結果を比較し、同一の演算結果であるか否かを判定する。そして、サブマイコン6は監視処理の比較結果が同一であるときには監視演算結果が正常であると判定する。
続いて、サブマイコン6は、第1命令実行部6aおよび第2命令実行部6bを用いた仮想CPU(B)(VCPU処理2)によって第2メインマイコン4を互いに同一の動作クロックにより監視処理する。この場合、サブマイコン6は、コンパレータによる比較ユニット6cを用いて、第1命令実行部6aおよび第2命令実行部6bの監視演算結果を比較し、これらの監視演算結果が同一の演算結果であるか否かを判定する。
そして、サブマイコン6は監視処理の比較結果が同一であると判定したときには監視演算結果が正常であると判定する。続いて、サブマイコン6は、VCPU処理3の処理によってその他の処理(例えばメータ制御など)を行う。このようにしてサブマイコン6は監視処理を続ける。以下、監視方法の態様例を挙げる。
<サブマイコン6による第1〜第3メインマイコン3〜5の監視方法の態様>
以下、監視マイコンとなるサブマイコン6が制御マイコンとなる第1、第2メインマイコン3、4を監視する監視態様例を挙げる。尚、例としては、第1メインマイコン3の監視について示すが、第2メインマイコン4に関しても同様である。
<例1>
第1メインマイコン3は、ウォッチドックカウンタ信号(H/Lのパルス信号)を出力し、サブマイコン6がこのウォッチドック信号を監視する。ウォッチドック信号がなくなれば第1メインマイコン3が異常動作していることを検出できる。
<例2>
サブマイコン6が第1メインマイコン3に宿題情報を通信出力し、第1メインマイコン3が当該宿題情報を処理して監視側となるサブマイコン6に送信する。監視側のサブマイコン6は、その回答の正誤に応じて第1メインマイコン3が正常に動作しているか否かをチェックし、回答に誤りがあれば第1メインマイコン3が異常動作していることを検出できる。
<例3>
監視側のサブマイコン6は、第1メインマイコン3の入力データと出力データを取得し、監視側のサブマイコン6は、入力データを用いて第1メインマイコン3で実施する処理とは異なる簡易計算処理を行い、第1メインマイコン3の出力データとの差をチェックし、所定範囲から大きく異なる場合には第1メインマイコン3が異常動作していると判断する。
<サブマイコン6による第1〜第3メインマイコン3〜5の監視方法の態様>
以下、監視マイコンとなるサブマイコン6が制御マイコンとなる第1、第2メインマイコン3、4を監視する監視態様例を挙げる。尚、例としては、第1メインマイコン3の監視について示すが、第2メインマイコン4に関しても同様である。
<例1>
第1メインマイコン3は、ウォッチドックカウンタ信号(H/Lのパルス信号)を出力し、サブマイコン6がこのウォッチドック信号を監視する。ウォッチドック信号がなくなれば第1メインマイコン3が異常動作していることを検出できる。
<例2>
サブマイコン6が第1メインマイコン3に宿題情報を通信出力し、第1メインマイコン3が当該宿題情報を処理して監視側となるサブマイコン6に送信する。監視側のサブマイコン6は、その回答の正誤に応じて第1メインマイコン3が正常に動作しているか否かをチェックし、回答に誤りがあれば第1メインマイコン3が異常動作していることを検出できる。
<例3>
監視側のサブマイコン6は、第1メインマイコン3の入力データと出力データを取得し、監視側のサブマイコン6は、入力データを用いて第1メインマイコン3で実施する処理とは異なる簡易計算処理を行い、第1メインマイコン3の出力データとの差をチェックし、所定範囲から大きく異なる場合には第1メインマイコン3が異常動作していると判断する。
サブマイコン6は、このような監視態様によって第1メインマイコン3を監視し、監視結果が異常な場合には、電源遮断制御したり、モータ駆動を停止し、第1メインマイコン3をリセットする。また、サブマイコン6は監視結果が異常と判断した場合には、前述したように各システムインタフェース回路3bおよび6dの通信I/Fを通じて第1メインマイコン3の出力を制御し、その後、第1メインマイコン3をリセットするようにしても良い。
従来、第1、第2メインマイコン3、4に監視機能をそれぞれ付加すると、第1、第2メインマイコン3、4はそれぞれ32ビット(実動作)+32ビット(監視処理)で動作させる必要が生じてしまい全体の動作ビット数が増加してしまい全体の消費電力が増加する。本実施形態によれば、例えば、第1、第2メインマイコン3、4の各CPU3a、4aを32ビットで動作させると共に、サブマイコン6の第1命令実行部6a、第2命令実行部6bをそれぞれ32ビットで動作させることで、監視機能を第1、第2メインマイコン3、4にそれぞれ付加しつつ合計の実動作ビット数を低減できるため消費電力を低減できる。これにより、消費電流を抑制しつつロックステップ処理を用いて高い安全性を実現でき所望の車両制御を実現できる。
本実施形態によれば、次のような特徴を有する。サブマイコン6はロックステップ処理によって第1命令実行部6aおよび第2命令実行部6bの演算結果を互いに比較する。サブマイコン6は、仮想CPUによるロックステップ処理によって第1メインマイコン3の制御状態を監視し、第1メインマイコン3の制御状態が正常でないと判断した場合、第1メインマイコン3をリセットするため、このリセット後には、第1メインマイコン3が正常な車両制御を行うことができる。
したがって、サブマイコン6は、その内部に仮想的に構築された仮想CPU(A)によってロックステップ処理して第1メインマイコン3を監視できるため、消費電流を抑制しつつロックステップ処理を用いて高い安全性を実現でき所望の車両制御を実現できる。つまり、電子スロットル制御やその他のエンジン制御など複雑な制御を行う第1メインマイコン3でなく、電子スロットルの監視など比較的処理の軽いサブマイコン6によってロックステップ処理することで、消費電流を抑制できる。
また、第1メインマイコン3、第2メインマイコン4は互いに異なる種類の車両制御を行うが、この場合、第1メインマイコン3の監視処理を行う仮想CPU(A)(VCPU処理1)とは異なる仮想CPU(B)(VCPU処理2)によって第2メインマイコン4の監視処理が行われるため、新たに監視用のマイコンを追加することなく監視処理を行うことができ、更なる消費電流の抑制を図ることができる。
また、サブマイコン6の処理負荷に余裕がある場合、仮想CPU(C)を構築し、その他の処理を実施させてもよい。
(第1実施形態の変形例)
第1実施形態では、サブマイコン6が第1メインマイコン3の制御状態を個別に監視処理した形態を示したが、本変形例では、サブマイコン6が、仮想CPU(A)により、第1メインマイコン3の制御状態と、第2メインマイコン4の制御状態との双方の制御情報を用いて第1メインマイコン3の監視処理を実施する。これは、関連した制御情報を考慮に入れてある一つの第1メインマイコン3の監視処理を実施することがより望ましいためであり、例えば、以下のような場合が挙げられる。
(第1実施形態の変形例)
第1実施形態では、サブマイコン6が第1メインマイコン3の制御状態を個別に監視処理した形態を示したが、本変形例では、サブマイコン6が、仮想CPU(A)により、第1メインマイコン3の制御状態と、第2メインマイコン4の制御状態との双方の制御情報を用いて第1メインマイコン3の監視処理を実施する。これは、関連した制御情報を考慮に入れてある一つの第1メインマイコン3の監視処理を実施することがより望ましいためであり、例えば、以下のような場合が挙げられる。
例えば、サブマイコン6が、
(1)第1メインマイコン3、第2メインマイコン4からウォッチドッグカウンタ信号情報を共に正常に受信
(2)ブレーキ制御用の第2メインマイコン4からブレーキ制御による減速制御情報を取得
(3)第1メインマイコン3が電子スロットルSのスロットル開度を増加、または、一定以上の高い開度を所定時間以上維持
という、(1)〜(3)の全条件を満たすような制御信号を受信している場合、第1メインマイコン3が異常動作していると判断し、サブマイコン6は第1メインマイコン3をリセット指示してリセットする。このように関連した制御情報を組み合わせて第1メインマイコン3の動作を監視処理することで制御システムの安全性をさらに向上させることができる。
(1)第1メインマイコン3、第2メインマイコン4からウォッチドッグカウンタ信号情報を共に正常に受信
(2)ブレーキ制御用の第2メインマイコン4からブレーキ制御による減速制御情報を取得
(3)第1メインマイコン3が電子スロットルSのスロットル開度を増加、または、一定以上の高い開度を所定時間以上維持
という、(1)〜(3)の全条件を満たすような制御信号を受信している場合、第1メインマイコン3が異常動作していると判断し、サブマイコン6は第1メインマイコン3をリセット指示してリセットする。このように関連した制御情報を組み合わせて第1メインマイコン3の動作を監視処理することで制御システムの安全性をさらに向上させることができる。
(第2実施形態)
図4は、本発明の第2実施形態を示すもので、統合ECUではなく機能の異なるECUを別基板に搭載して構成したところを特徴としている。前述実施形態では、統合ECU1について説明したが、1枚または、2枚以上の基板を用いて構成しても良い。
図4は、本発明の第2実施形態を示すもので、統合ECUではなく機能の異なるECUを別基板に搭載して構成したところを特徴としている。前述実施形態では、統合ECU1について説明したが、1枚または、2枚以上の基板を用いて構成しても良い。
例えば、図4に示すように、エンジン制御ECU7、ブレーキ制御ECU8、ボディ制御ECU9、監視制御用のECU10をそれぞれ別基板に構成し、例えばエンジン制御ECU7、ブレーキ制御ECU8、ボディ制御ECU9、および、監視制御用のECU10間で相互通信することで車両制御を実現するようにしても良い。
(他の実施形態)
本発明は、前述実施形態に限定されるものではなく、例えば、以下に示す変形または拡張が可能である。
本発明は、前述実施形態に限定されるものではなく、例えば、以下に示す変形または拡張が可能である。
前述の実施形態では、エンジン制御、ブレーキ制御、ボディ制御の機能を統合した統合ECU1、または、これらの制御機能をそれぞれエンジン制御ECU7、ブレーキ制御ECU8、ボディ制御ECU9として別基板に搭載した形態について説明している。
この中で、ロックステップの必要な重要度の比較的高い処理と、ロックステップ処理の不要な重要度の比較的低い処理を分けて監視処理を行っても良い。ロックステップを用いて監視すると良い制御は、例えば、電子スロットル制御、ブレーキ制御、電動パワーステアリング制御、エアバック制御などである。これらの制御処理は、安全性能に関わるため重要度が高くなり、ロックステップ機能を設けることで安全性を向上できる。
ロックステップ機能を用いても良いが省いても良い制御は、例えば、メータ、エアコン、タイヤ空気圧モニタ、車両周辺のソナーによる感知処理である。ロックステップ機能を設けることなく監視すれば余分な機能を省くことができる。このような場合、これらのロックステップ機能の要不要を分けて制御状態を監視することで、必要な制御のみロックステップを設けて制御状態を監視することができ、所望の車両制御を実現できる。
サブマイコン6が第1〜第3メインマイコン3〜5の動作を監視する実施形態を示したが、逆に、第1メインマイコン3が、サブマイコン6を監視する機能を設けても良い。以下、監視マイコンとなるサブマイコン6が制御マイコンとなる第1メインマイコン3を監視する監視方法の具体例を挙げる。
<第1メインマイコン3によるサブマイコン6の監視方法の具体例>
<例4>
第1メインマイコン3が、サブマイコン6による仮想CPU(A)のウォッチドックカウンタ信号をチェックし、第1メインマイコン3によりサブマイコン6が異常動作していると判断された場合、サブマイコン6の仮想CPU(A)をリセットすると共に第1メインマイコン3を自身でリセットする。
<例5>
前述実施例の<例3>で説明した、サブマイコン6の仮想CPU(A)によるロックステップで取得された簡易計算処理について第1メインマイコン3側でもチェックし、大きく異なる場合にはサブマイコン6の仮想CPU(A)をリセットすると共に第1メインマイコン3を自身でリセットする。
<第1メインマイコン3によるサブマイコン6の監視方法の具体例>
<例4>
第1メインマイコン3が、サブマイコン6による仮想CPU(A)のウォッチドックカウンタ信号をチェックし、第1メインマイコン3によりサブマイコン6が異常動作していると判断された場合、サブマイコン6の仮想CPU(A)をリセットすると共に第1メインマイコン3を自身でリセットする。
<例5>
前述実施例の<例3>で説明した、サブマイコン6の仮想CPU(A)によるロックステップで取得された簡易計算処理について第1メインマイコン3側でもチェックし、大きく異なる場合にはサブマイコン6の仮想CPU(A)をリセットすると共に第1メインマイコン3を自身でリセットする。
このような場合、第1メインマイコン3は仮想CPU(A)が正常動作していないと判断したときには、この旨を他の第2メインマイコン4、第3メインマイコン5に通知する。すると、第2メインマイコン4、第3メインマイコン5は仮想CPU(A)が正常動作していないことを認識できるため、第2メインマイコン4、第3メインマイコン5による制御システムへの悪影響を軽減できる。
このとき、第1メインマイコン3は、システムI/F3bを介してサブマイコン6の仮想CPU(A)、仮想CPU(B)をリセット指示し、仮想CPU(A)、仮想CPU(B)を共にリセットすると良い。すると、リセット後には、仮想CPU(A)および仮想CPU(B)による第2メインマイコン4、第3メインマイコン5の制御状態の監視処理について正常に実施できる。
前述の<例4>、<例5>では、第1メインマイコン3によるサブマイコン6の監視例を挙げたが、第2メインマイコン4または第3メインマイコン5がサブマイコン6を監視する場合も同様である。
また、比較ユニット6cが第1命令実行部6aおよび第2命令実行部6bの演算結果の不一致を検出した場合、第1命令実行部6aおよび第2命令実行部6bがリセットされる構成にしてもよい。その場合、第1メインマイコン3、第2メインマイコン4へ事前通知しても良い。
サブマイコン6が搭載する第1命令実行部6a、第2命令実行部6bはこれら2つに限られない。また、第1命令実行部6a、第2命令実行部6bで行われる仮想CPUの数も前述実施例で示された数に限られない。第1〜第3メインマイコン3〜5とサブマイコン6は、通信接続されても、1つの基板内に混在で構成され配線で接続されていても良い。また、第1〜第3メインマイコン3〜5にも、ロックステップ技術を適用してもよい。
図面中、1は統合ECU(電子制御ユニット)、2は共通電源回路、3は第1メインマイコン(請求項でいう第1マイコン)、4は第2メインマイコン(請求項でいう第3マイコン)、5は第3メインマイコン、6はサブマイコン(請求項でいう第2マイコン)、6aは第1命令実行部、6bは第2命令実行部、6cは比較ユニット(比較部)、6dはシステムインタフェース回路、7はエンジン制御ECU、8はブレーキ制御ECU、9はボディ制御ECU、10は監視用のECUを示す。
Claims (7)
- 車両制御を行う第1マイコンと、
少なくとも2つ以上の命令実行部および比較部を用いてロックステップ処理により前記命令実行部の演算結果を互いに比較する第2マイコンと、を備え、
前記第2マイコンは、仮想的なCPUを構築する仮想CPU構築手段と、当該仮想CPU構築手段により構築された少なくとも第1仮想CPU、第2仮想CPUとを備え、
前記第2マイコンの前記第1仮想CPUは、前記ロックステップ処理により少なくとも前記第1マイコンによる制御状態を監視し、前記第1マイコンの制御状態が正常でないと判断した場合、前記第1マイコンをリセットすることを特徴とする電子制御ユニット。 - 前記第1マイコンが行う車両制御とは異なる種類の車両制御を行う第3マイコンとを備え、
前記第2仮想CPUは、前記第3マイコンによる制御状態を監視することを特徴とする請求項1記載の電子制御ユニット。 - 前記第1マイコンは、前記第1仮想CPUの制御状態を監視し、前記第1仮想CPUが正常ではないと判断した場合、前記第1仮想CPUのみをリセットすることを特徴とする請求項1または2記載の電子制御ユニット。
- 前記第1マイコンは、前記第1仮想CPUの制御状態を監視し、前記第1仮想CPUが正常でないと判断した場合、当該第1仮想CPUが正常でない旨を前記第3マイコンに通知し、前記第1仮想CPUおよび前記第2仮想CPUをリセットすることを特徴とする請求項2記載の電子制御ユニット。
- 前記第1仮想CPUは、前記第1マイコンの制御状態と前記第3マイコンの制御状態との双方の制御情報を用いることによって前記第1マイコンの監視処理を実施することを特徴とする請求項2または4記載の電子制御ユニット。
- 前記第2マイコンは、前記第1仮想CPUで前記第1マイコンの制御状態を監視するとともに、前記第1仮想CPUとは異なる仮想CPUで前記第1マイコンとは異なるシステムの処理を実行することを特徴とする請求項1〜5の何れかに記載の電子制御ユニット。
- 車両制御を行う第1マイコンと、
前記第1マイコンが行う車両制御とは異なる種類の車両制御を行う第3マイコンと、
少なくとも2つ以上の命令実行部および比較部を用いてロックステップ処理により前記命令実行部の演算結果を互いに比較する第2マイコンと、を備え、
前記第2マイコンは、前記ロックステップ処理により前記第1マイコンの制御状態を監視し前記第1マイコンの制御状態が正常でないと判断した場合に前記第1マイコンをリセットするとともに、前記第3マイコンの制御状態を監視し前記第3マイコンの制御状態が正常でないと判断した場合に前記第3マイコンをリセットすることを特徴とする電子制御ユニット。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011159875A JP5541246B2 (ja) | 2011-07-21 | 2011-07-21 | 電子制御ユニット |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011159875A JP5541246B2 (ja) | 2011-07-21 | 2011-07-21 | 電子制御ユニット |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013025570A JP2013025570A (ja) | 2013-02-04 |
| JP5541246B2 true JP5541246B2 (ja) | 2014-07-09 |
Family
ID=47783844
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011159875A Active JP5541246B2 (ja) | 2011-07-21 | 2011-07-21 | 電子制御ユニット |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5541246B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6147356B2 (ja) | 2013-12-04 | 2017-06-14 | 三菱電機株式会社 | 監視装置、制御システム及び監視プログラム |
| JP6334436B2 (ja) * | 2015-02-27 | 2018-05-30 | 日立オートモティブシステムズ株式会社 | 車両用相互監視モジュール |
| EP3085596B1 (en) * | 2015-04-20 | 2017-11-29 | Autoliv Development AB | A vehicle safety electronic control system |
| EP3151123B1 (en) * | 2015-10-02 | 2018-04-11 | Autoliv Development AB | A vehicle safety electronic control system |
| JP6802374B2 (ja) * | 2017-06-05 | 2020-12-16 | 日立オートモティブシステムズ株式会社 | 車両制御装置および車両制御システム |
| JP2021067960A (ja) * | 2018-02-14 | 2021-04-30 | 日立Astemo株式会社 | 車両監視システム |
| WO2023277159A1 (ja) * | 2021-07-02 | 2023-01-05 | 株式会社デンソー | 車載装置、及び起動方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0630069B2 (ja) * | 1984-07-31 | 1994-04-20 | 日本電気株式会社 | 多重化システム |
| JPS63268042A (ja) * | 1987-04-27 | 1988-11-04 | Fujitsu Ltd | マイクロコンピユ−タの相互監視方式 |
| JPH0237433A (ja) * | 1988-07-27 | 1990-02-07 | Meidensha Corp | 多重プロセッサシステムの監視方法 |
| DE102005037230A1 (de) * | 2005-08-08 | 2007-02-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems |
| JP2011022934A (ja) * | 2009-07-17 | 2011-02-03 | Toyota Motor Corp | 電子制御ユニット、異常検出方法 |
-
2011
- 2011-07-21 JP JP2011159875A patent/JP5541246B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013025570A (ja) | 2013-02-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5541246B2 (ja) | 電子制御ユニット | |
| JP6714611B2 (ja) | 車両の電子制御システムに冗長性を付与する方法及び装置 | |
| EP2573636B1 (en) | Multi-channel control switchover logic | |
| JP6525906B2 (ja) | セーフティクリティカルなエラーを処理するための方法と装置 | |
| US9372774B2 (en) | Redundant computing architecture | |
| US8996927B2 (en) | Electronic control device with watchdog timer and processing unit to diagnose malfunction of watchdog timer | |
| JP2009166549A (ja) | 車両用電子制御装置 | |
| US10254733B2 (en) | Motor control device | |
| KR20140132390A (ko) | 전자 제어 시스템의 기능적 보안성을 향상시키고 이용 가능성을 증대시키는 방법, 및 전자 제어 시스템 | |
| EP2975724A1 (en) | Abnormality diagnosis device | |
| US20210146939A1 (en) | Device and method for controlling a vehicle module | |
| CN109677418B (zh) | 功能模块、用于运行辅助系统的控制单元和工作装置 | |
| US9221492B2 (en) | Method for operating an electrical power steering mechanism | |
| JP2016128308A (ja) | 電源装置 | |
| CN108146250B (zh) | 一种基于多核cpu的汽车扭矩安全控制方法 | |
| KR102119766B1 (ko) | 차량용 제어기 및 그것의 동작 방법 | |
| JP2009292330A (ja) | 車載システム及び制御方法 | |
| JP6075262B2 (ja) | 制御装置 | |
| JP2018131030A (ja) | 電子制御装置 | |
| JP4340966B2 (ja) | マイコン電源電圧監視システム | |
| JP2013193721A (ja) | 共用電源装置 | |
| JP2011126327A (ja) | 車載制御装置 | |
| KR20170054063A (ko) | 차량의 베터리 센서 리셋 시스템 및 그 제어방법 | |
| US20130338846A1 (en) | Secure device for converting digital controls into analog power signals for aircraft | |
| JP2007283788A (ja) | 車両用電子制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130828 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140312 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140408 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140421 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 5541246 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |