JP5575086B2 - Electronic control unit - Google Patents

Electronic control unit Download PDF

Info

Publication number
JP5575086B2
JP5575086B2 JP2011230421A JP2011230421A JP5575086B2 JP 5575086 B2 JP5575086 B2 JP 5575086B2 JP 2011230421 A JP2011230421 A JP 2011230421A JP 2011230421 A JP2011230421 A JP 2011230421A JP 5575086 B2 JP5575086 B2 JP 5575086B2
Authority
JP
Japan
Prior art keywords
microcomputer
electronic control
control device
data
cpu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011230421A
Other languages
Japanese (ja)
Other versions
JP2013089104A (en
Inventor
正樹 松下
英司 岩見
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2011230421A priority Critical patent/JP5575086B2/en
Publication of JP2013089104A publication Critical patent/JP2013089104A/en
Application granted granted Critical
Publication of JP5575086B2 publication Critical patent/JP5575086B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、マイクロコンピュータを複数備え、そのうちの一つのマイクロコンピュータにより他方のマイクロコンピュータの異常を監視するようにした電子制御装置に関するものである。   The present invention relates to an electronic control device that includes a plurality of microcomputers, and one of them monitors an abnormality of the other microcomputer.

従来、いわゆるフェールセーフ強化のために、第1のマイクロコンピュータと、第2のマイクロコンピュータを備え(以下、マイクロコンピュータをマイコンと称する)、第1のマイコンが主に制御対象の制御を司り、第2のマイコンが主に第1のマイコン及び周辺回路の異常を監視するように構成され、或いは、第1のマイコンと第2のマイコンをほぼ同一機能・機種で構成し、相互に制御と異常の監視を行うように構成された電子制御装置がある(例えば、特許文献1参照)。この従来の電子制御装置に於いて、前述の監視は、両マイコンの通信機能を介して、チェックサム、若しくは所定の処理を行い、その答えをチェック、比較することにより行なわれている。   Conventionally, in order to enhance so-called fail-safe, a first microcomputer and a second microcomputer are provided (hereinafter, the microcomputer is referred to as a microcomputer), and the first microcomputer mainly controls the control target. The two microcomputers are mainly configured to monitor the abnormality of the first microcomputer and peripheral circuits, or the first microcomputer and the second microcomputer are configured with almost the same functions and models, and control and abnormality are mutually controlled. There is an electronic control device configured to perform monitoring (see, for example, Patent Document 1). In this conventional electronic control device, the above-described monitoring is performed by performing a checksum or predetermined processing via the communication functions of both microcomputers, and checking and comparing the answers.

特許第3835312号公報Japanese Patent No. 3835312

特許文献1に記載されている従来の装置は、第2のマイコンが第1のマイコンの動作(演算)を監視する構成であり、その監視の方法は、第1のマイコンの所定のRAM値とその反転値を第2のマイコンに送信し、チェックサムにより第1のマイコンの異常を監視し、又、第1のマイコンが所定の演算を行なったデータを第2のマイコンへ送信し、第2のマイコンがそのデータの正常、異常を判別するものである。しかし、特許文献1には、第1のマイコンから第2のマイコンへのデータ送信方法については全く言及されておらず、第1のマイコンの異常によって第1のマイコンから第2のマイコンに送信されるデータが正常と判別されるデータに固着されてしまうと、第2のマイコンによって第1のマイコンの異常を検出することが出来ないという問題があった。   The conventional apparatus described in Patent Document 1 is configured such that the second microcomputer monitors the operation (calculation) of the first microcomputer, and the monitoring method is based on the predetermined RAM value of the first microcomputer. The inverted value is transmitted to the second microcomputer, the abnormality of the first microcomputer is monitored by the checksum, and the data that the first microcomputer has performed a predetermined calculation is transmitted to the second microcomputer. The microcomputer determines whether the data is normal or abnormal. However, Patent Document 1 does not mention any data transmission method from the first microcomputer to the second microcomputer, and is transmitted from the first microcomputer to the second microcomputer due to the abnormality of the first microcomputer. If the detected data is fixed to the data determined to be normal, the second microcomputer cannot detect the abnormality of the first microcomputer.

この発明は、従来の装置に於ける前述のような課題を解決するためになされたもので、第1のマイコンに異常が生じた場合でも、第1のマイコンから第2のマイコンに送信されるデータが正常と判断されるデータに固着されてしまうことのないマイコン間通信を実現し、第2のマイコンが第1のマイコンの異常を的確に監視することができる電子制御装置を提供することを目的とする。   The present invention has been made to solve the above-described problems in the conventional apparatus, and is transmitted from the first microcomputer to the second microcomputer even when an abnormality occurs in the first microcomputer. To provide an electronic control device that realizes communication between microcomputers in which data is not fixed to data judged to be normal, and the second microcomputer can accurately monitor the abnormality of the first microcomputer. Objective.

この発明による電子制御装置は、
制御対象に対する制御量の演算を主体とする第1のマイクロコンピュータと、前記第1のマイクロコンピュータに対する動作の監視を主体とする第2のマイクロコンピュータとを備え、前記演算に基づいて前記制御対象を制御するようにした電子制御装置であって、
前記第1のマイクロコンピュータは、前記第2のマイクロコンピュータをマスターとし前記第1のマイクロコンピュータをスレーブとして動作する通信手段と、自身が前記制御量の演算に用いるデータの少なくとも一部を記憶するメモリを有し、
前記通信手段は、前記第2のマイクロコンピュータからの指示に基づいて、前記第1のマイクロコンピュータの演算リソースを用いずに、前記メモリに記憶された前記データの少なくとも一部を読み出して前記第2のマイクロコンピュータに送信するように構成され、
前記第2のマイクロコンピュータは、前記送信されたデータに基づいて前記第1のマイクロコンピュータの異常の有無を判断するように構成されている、
ことを特徴とするものである。 An electronic control device according to the present invention includes:
A first microcomputer mainly for calculating a control amount for a control target; and a second microcomputer mainly for monitoring an operation for the first microcomputer, and the control target is determined based on the calculation. An electronic control device for controlling,
The first microcomputer includes a communication unit that operates using the second microcomputer as a master and the first microcomputer as a slave, and a memory that stores at least a part of data used for calculation of the control amount. Have
Said communication means, based on an instruction from said second microcomputer, without using the computational resources of the first microcomputer, the prior SL reads at least a portion of said data stored in said memory Configured to transmit to two microcomputers,
The second microcomputer is configured to determine whether there is an abnormality in the first microcomputer based on the transmitted data.
It is characterized by this.

この発明による電子制御装置によれば、第1のマイクロコンピュータは、自身が制御量の演算に用いるデータの少なくとも一部を自身の演算リソースを用いずに第2のマイクロコンピュータに送信するように構成され、第2のマイクロコンピュータは、送信されたデータに基づいて第1のマイクロコンピュータの異常の有無を判断するように構成されているので、第1のマイクロコンピュータに異常が発生した場合でも、第2のマイクロコンピュータにより第1のマイクロコンピュータの異常を確実に検出することが可能となる。   According to the electronic control device of the present invention, the first microcomputer is configured to transmit at least a part of data used for calculating the control amount to the second microcomputer without using its own calculation resource. The second microcomputer is configured to determine whether there is an abnormality in the first microcomputer based on the transmitted data. Therefore, even if an abnormality occurs in the first microcomputer, the second microcomputer The abnormality of the first microcomputer can be reliably detected by the two microcomputers.

この発明の実施の形態1による電子制御装置の全体構成を示すブロック図である。1 is a block diagram showing an overall configuration of an electronic control device according to Embodiment 1 of the present invention. FIG. この発明の実施の形態1による電子制御装置の動作を説明するフローチャートである。It is a flowchart explaining operation | movement of the electronic control apparatus by Embodiment 1 of this invention.

実施の形態1.
以下、この発明の実施の形態1による電子制御装置を図に基づいて説明する。この発明の実施の形態1による電子制御装置の全体構成を示すブロック図である。図1に於いて、この発明の実施の形態1による電子制御装置は、例えば車両の電子制御スロットルの制御装置として提供されたものであり、コントロールユニット(以下、ECUと称する)1と、アクチュエータ2と、センサ10とにより構成されている。 Embodiment 1 FIG.
Hereinafter, an electronic control unit according to Embodiment 1 of the present invention will be described with reference to the drawings. 1 is a block diagram showing an overall configuration of an electronic control device according to Embodiment 1 of the present invention. FIG. In FIG. 1, an electronic control apparatus according to Embodiment 1 of the present invention is provided as a control apparatus for an electronic control throttle of a vehicle, for example, and includes a control unit (hereinafter referred to as ECU) 1 and an actuator 2. And the sensor 10.

アクチュエータ2は、例えば制御対象としてのスロットルを駆動してその開度を制御するように構成されている。ECU1は、電子制御装置による制御の中心をなすものであり、センサ10からの検出データ等の情報に基づき制御対象の制御量を算出し、その算出した制御量に基づいてアクチュエータ2を駆動する。   The actuator 2 is configured to control the opening degree by driving a throttle as a control target, for example. The ECU 1 is the center of control by the electronic control device, calculates a control amount of a control target based on information such as detection data from the sensor 10, and drives the actuator 2 based on the calculated control amount.

センサ10は、例えばスロットルの開度を検出するセンサであり、スロットルの開度に応じたデータを制御対象の情報として出力する。ECU1は、主として、電源5と、センサ10からの情報を入力する入力インターフェース(以下、I/Fと称する)6と、第1のマイコン3と、第2のマイコン4と、制御対象であるアクチュエータ2を駆動するドライバ7とにより構成されている。   The sensor 10 is a sensor that detects, for example, a throttle opening, and outputs data corresponding to the throttle opening as information to be controlled. The ECU 1 mainly includes a power source 5, an input interface (hereinafter referred to as I / F) 6 for inputting information from the sensor 10, a first microcomputer 3, a second microcomputer 4, and an actuator to be controlled. 2 and a driver 7 for driving 2.

前述のように構成されたECU1に於いて、第1のマイコン3と第2のマイコン4とを更に機能的に分解すると、夫々、以下のように複数の機能ブロックにより構成されている。即ち、第1のマイコン3は、演算の中心をなす第1の演算手段(以下、第1のCPUと称する)31と、第1の入力ポート32と、第1の出力ポート33と、不揮発性メモリとしての第1のROM34と、書き込み及び読み出し可能なメモリとしての第1のRAM35と、第1の通信ポート37と、通信コントローラ36とから構成されている。尚、第1のマイコン3を構成する前述の各機能ブロックは、アドレスバス若しくはデータバスとしての第1の接続バス38により相互に接続されている。   In the ECU 1 configured as described above, when the first microcomputer 3 and the second microcomputer 4 are further functionally disassembled, each of them is configured by a plurality of functional blocks as follows. That is, the first microcomputer 3 includes a first computing means (hereinafter referred to as a first CPU) 31, a first input port 32, a first output port 33, and a non-volatile memory that form the center of computation. A first ROM 34 as a memory, a first RAM 35 as a writable and readable memory, a first communication port 37, and a communication controller 36 are included. The above-described functional blocks constituting the first microcomputer 3 are connected to each other by a first connection bus 38 as an address bus or a data bus.

一方、第2のマイコン4は、第1のマイコン3の構成に類似しており、第2の演算手段(以下、第2のCPUと称する)41と、第2の入力ポート42と、第2の出力ポート43と、不揮発性メモリとしての第2のROM44と、書き込み及び読み出し可能なメモリとしての第2のRAM45と、第2の通信ポート47と、これ等の機能ブロックを相互に接続するアドレスバス若しくはデータバスとしての第2の接続バス48とから構成されている。又、第1のマイコン3の異常を検出した場合に異常信号を出力する出力ライン9が設けられている。出力ライン9は、ドライバ7、及び第1のマイコン3に接続されている。   On the other hand, the second microcomputer 4 has a configuration similar to that of the first microcomputer 3, and includes a second calculation means (hereinafter referred to as a second CPU) 41, a second input port 42, Output port 43, a second ROM 44 as a nonvolatile memory, a second RAM 45 as a writable and readable memory, a second communication port 47, and an address for interconnecting these functional blocks It comprises a second connection bus 48 as a bus or a data bus. An output line 9 is provided for outputting an abnormality signal when an abnormality of the first microcomputer 3 is detected. The output line 9 is connected to the driver 7 and the first microcomputer 3.

次に第1のマイコン3の動作について説明する。センサ10からの情報を入力すると、第1のROM34に内蔵されたソフトウエアに従ってアクチュエータ2を駆動する制御量を第1のCPU31が演算する。その際、第1のRAM35からアクチュエータ2を駆動する制御量の演算に用いる所定のデータを読み出すと共に、演算の入力値と中間値と出力値とを第1のRAM35に記憶させる。制御量が決定されると第1の出力ポート33からその制御量が出力され、ドライバ7を制御し、アクチュエータ2を駆動する。第2のマイコン4との間で自己の監視のためではない通信をする必要がある場合、例えば、第2のマイコン4へ制御のための情報提供他を行う場合、第1の通信ポート37を使用するが、図示していない通信ポートを利用して、別途、データの授受を行うことがある。   Next, the operation of the first microcomputer 3 will be described. When information from the sensor 10 is input, the first CPU 31 calculates a control amount for driving the actuator 2 in accordance with software built in the first ROM 34. At this time, predetermined data used for calculation of the control amount for driving the actuator 2 is read from the first RAM 35, and the input value, intermediate value, and output value of the calculation are stored in the first RAM 35. When the control amount is determined, the control amount is output from the first output port 33, the driver 7 is controlled, and the actuator 2 is driven. When it is necessary to communicate with the second microcomputer 4 not for self-monitoring, for example, when providing information for control to the second microcomputer 4, etc., the first communication port 37 is set. Although used, data may be exchanged separately using a communication port (not shown).

次に、第2のマイコン4の動作について説明する。センサ10からの情報を入力すると、第2のROM44に内蔵されたソフトウエアに従ってアクチュエータ2を駆動する制御量を第2のCPU41が演算する。その際、第2のRAM45から所定のデータの読み出すと共に、演算の入力値と中間値と出力値とを第2のRAM45に記憶させる。第2のCPU41の演算結果は、出力ライン9を介して第1のマイコン31に送信すると共に、ドライバ7に駆動の継続、停止の信号を出力する。この動作は、後述する第1のマイコン3の監視とは別に行われる。   Next, the operation of the second microcomputer 4 will be described. When the information from the sensor 10 is input, the second CPU 41 calculates a control amount for driving the actuator 2 in accordance with software built in the second ROM 44. At this time, predetermined data is read from the second RAM 45, and the input value, intermediate value, and output value of the calculation are stored in the second RAM 45. The calculation result of the second CPU 41 is transmitted to the first microcomputer 31 via the output line 9, and outputs a drive continuation / stop signal to the driver 7. This operation is performed separately from the monitoring of the first microcomputer 3 described later.

第2のマイコン4による第1のマイコン3の異常の監視に関しては、先ず、第2のマイコン4がマスターとなり、第1のマイコン3がスレーブとなって、第1のマイコン3の監視を行なうためのデータ通信を行う。第2のマイコン4の独自タイミングで、通信指示を第2の通信ポート47を介して第1のマイコン3へ送信する。この送信は第1のマイコン3の制御周期とは無関係に第2のマイコン4の独自の任意のタイミングで実行され、その通信指示は、第1のマイコン3の第1のRAM35に格納されている所定のアドレスのデータを引き出すためのものである。   Regarding the monitoring of the abnormality of the first microcomputer 3 by the second microcomputer 4, first, the second microcomputer 4 serves as a master and the first microcomputer 3 serves as a slave to monitor the first microcomputer 3. Data communication. A communication instruction is transmitted to the first microcomputer 3 via the second communication port 47 at the unique timing of the second microcomputer 4. This transmission is executed at an arbitrary timing unique to the second microcomputer 4 regardless of the control cycle of the first microcomputer 3, and the communication instruction is stored in the first RAM 35 of the first microcomputer 3. This is for extracting data at a predetermined address.

第2のマイコン4からの通信指示が第1のマイコン3の第1の通信ポート37に入力されると、通信コントローラ36が起動する。この通信コントローラ36は、第1のCPU31とは独立に処理できるコントローラであって、第2のマイコン4をマスターとし第1のマイコン3をスレーブとして動作する。例えば、通信コントローラ36は、DMAC(Direct Memory Access controller)のように、第1のCPU31とは独立して、データ
の読み出し、伝達ができる手段である。通信コントローラ36は、第2のマイコン4の通信指示を受けて起動され、第1のRAM35の所定のアドレスからデータを読み出し、そのデータを第1の通信ポート37から第2のマイコン4の第2の通信ポート47へ送信する。この通信は通信ライン8を介して行われる。通信ポート削減のためシリアル通信、例えばSPI(Serial Peripheral Interface)、SCI(Serial Communication Interface)を利用する。 When a communication instruction from the second microcomputer 4 is input to the first communication port 37 of the first microcomputer 3, the communication controller 36 is activated. The communication controller 36 is a controller that can perform processing independently of the first CPU 31 and operates with the second microcomputer 4 as a master and the first microcomputer 3 as a slave. For example, the communication controller 36 is a unit that can read and transmit data independently of the first CPU 31, such as a DMAC (Direct Memory Access controller). The communication controller 36 is activated upon receiving a communication instruction from the second microcomputer 4, reads data from a predetermined address in the first RAM 35, and reads the data from the first communication port 37 to the second of the second microcomputer 4. To the communication port 47. This communication is performed via the communication line 8. For communication port reduction, serial communication such as SPI (Serial Peripheral Interface) or SCI (Serial Communication Interface) is used.

ここで、第1のマイコン3は、通信コントローラ36がデータを読み出す第1のRAM35の領域を、制御に用いる値を格納するRAMとして使用する。即ち、少なくとも、
第1のマイコン3の監視を行なうために第2のマイコン4に送信する値を格納するRAMとして第1のRAM35を使用する。例えば、DMACを用いて通信を行なう場合、DMACは第1のRAM35の予め定めたアドレス範囲のデータを第1のCPU31とは独立に送信する。このため、第1のマイコンは、例えば第1のマイコン31で行なう演算の入力値と中間値と出力値とを、DMACが読み出す第1のRAM35の予め定めたアドレス範囲に直接格納し、そのRAM値を読み出して制御に用いるように構成されている。 Here, the first microcomputer 3 uses the area of the first RAM 35 from which the communication controller 36 reads data as a RAM for storing values used for control. That is, at least
In order to monitor the first microcomputer 3, the first RAM 35 is used as a RAM for storing a value to be transmitted to the second microcomputer 4. For example, when communication is performed using the DMAC, the DMAC transmits data in a predetermined address range of the first RAM 35 independently of the first CPU 31. For this reason, the first microcomputer directly stores, for example, the input value, the intermediate value, and the output value of the operation performed by the first microcomputer 31 in a predetermined address range of the first RAM 35 read by the DMAC. A value is read and used for control.

このように構成することで、第1のマイコン3は、自身のCPUリソースを用いずに、制御に用いている値そのものを第1のマイコン3の監視を行なうためのデータとして第2
のマイコン4に送信することができる。このため、第1のマイコン3の演算に異常、即ち、CPUリソースの故障が生じた場合でも、第2のマイコン4は制御に用いている値に基づいて確実に第1のマイコン3の故障監視を行なうことができる。 By configuring in this way, the first microcomputer 3 does not use its own CPU resource, but instead uses the value itself used for control as data for monitoring the first microcomputer 3.
Can be sent to the microcomputer 4. For this reason, even when the calculation of the first microcomputer 3 is abnormal, that is, when a failure of the CPU resource occurs, the second microcomputer 4 reliably monitors the failure of the first microcomputer 3 based on the value used for control. Can be performed.

第2のマイコン4は、第1のマイコン3から送信されたデータを自己の保有しているデータと比較して、所定範囲内に入っているかを検証し、又は、第2のマイコン4が第2のCPU41で演算した結果と比較検証することで、第1のマイコン3の正常、異常を判断する。第2のマイコン4は、第2のCPU41とは独立して動作する通信コントローラを備えていなくてもよく、第2のCPU41から直接指示して通信してもよい。勿論、第2のマイコン4にも通信コントローラが内蔵していてもよく、この場合はその通信コントローラを利用してもよい。   The second microcomputer 4 compares the data transmitted from the first microcomputer 3 with the data held by the second microcomputer 4 to verify whether it is within a predetermined range, or the second microcomputer 4 Whether the first microcomputer 3 is normal or abnormal is determined by comparing and verifying the result calculated by the CPU 41 of No. 2. The second microcomputer 4 may not include a communication controller that operates independently of the second CPU 41, and may directly communicate with the second CPU 41. Of course, the second microcomputer 4 may also include a communication controller. In this case, the communication controller may be used.

第2のマイコン4による前述の比較検証により第1のマイコン3が異常であると判断した場合、第2のマイコン4は、異常信号を出力する。この異常信号は出力ライン9を介して、ドライバ7を停止したり、第1のマイコン3に送信したり、又は警報を行う。第1のマイコン3の異常の状況によっては、一過性のものであったり、故障の箇所が一部であったり、軽症であった等により、更には後の点検に使用できるため、異常判断を第2のマイコン4のみならず第1のマイコン3も第2のマイコン4からの異常信号を記憶しておくとよい。   If the first microcomputer 3 determines that the first microcomputer 3 is abnormal by the above-described comparison and verification by the second microcomputer 4, the second microcomputer 4 outputs an abnormal signal. This abnormal signal stops the driver 7 via the output line 9, transmits it to the first microcomputer 3, or gives an alarm. Depending on the abnormal condition of the first microcomputer 3, it can be used for later inspections because it is transient, part of the failure or minor, etc. The first microcomputer 3 as well as the second microcomputer 4 may store the abnormal signal from the second microcomputer 4.

次に、第1のCPU31、第2のCPU41のソフトウエアによる動作の一例を図2のフローチャートに沿って説明する。図2は、この発明の実施の形態1による電子制御装置の動作を説明するフローチャートであり、(A)は第1のマイコン3に於ける第1のCPU31のフローチャートであり、(B)は第2のマイコン4に於ける第2のCPU41のフローチャートである。   Next, an example of the operation of the first CPU 31 and the second CPU 41 by software will be described with reference to the flowchart of FIG. FIG. 2 is a flowchart for explaining the operation of the electronic control apparatus according to Embodiment 1 of the present invention. FIG. 2A is a flowchart of the first CPU 31 in the first microcomputer 3, and FIG. 6 is a flowchart of the second CPU 41 in the second microcomputer 4.

先ず、第1のCPU31の動作について説明する。図2の(A)に於いて、第1のCPU31に電源が投入されると、ステップS10に於いて第1の入力ポート32、第1の出力ポート33、及び第1のRAM35等を初期化する。このとき、通信コントローラ36(例えばDMAC)を、第2のCPU41からの通信指示で第1のRAM35の所定のアドレス範囲のデータを第2のCPU41に送信するように設定する。   First, the operation of the first CPU 31 will be described. In FIG. 2A, when the first CPU 31 is powered on, the first input port 32, the first output port 33, the first RAM 35, etc. are initialized in step S10. To do. At this time, the communication controller 36 (for example, DMAC) is set to transmit data in a predetermined address range of the first RAM 35 to the second CPU 41 in response to a communication instruction from the second CPU 41.

次にステップS11に進み、センサ10からの情報を入力I/F6、第1の入力ポート32を介して入力する。ステップS12では、その入力した情報に基づき制御対象に対する制御量を演算する。次に、ステップS13では、いわゆるフェールセーフを実行し、特に第1のCPU31以外の異常の有無をチェックする。次に、ステップS14に於いてフェールセーフの結果の反映、及び制御量を第1の出力ポート33を介してドライバ7へ出力する。   In step S 11, information from the sensor 10 is input via the input I / F 6 and the first input port 32. In step S12, a control amount for the controlled object is calculated based on the input information. Next, in step S13, so-called fail-safe is executed, and in particular, the presence or absence of an abnormality other than the first CPU 31 is checked. Next, in step S14, the reflection of the fail-safe result and the control amount are output to the driver 7 via the first output port 33.

次に、ステップS15では、例えばDMACにより構成されている通信コントローラ36が読み出す第1のRAM35の所定のアドレス範囲のRAMに第2のマイコン4に送信するデータを格納する。このデータとしては、例えば第1のマイコン3が制御対象に対する制御量の演算に用いているデータの少なくとも一部である。ここで、第1のCPU31は、第1のRAM35の前述の所定のアドレス範囲のRAMに格納した値を用いて制御量の演算を行なう。尚、前述のデータを格納するステップS15での処理は、図2の(A)のフローチャートに示すステップS15の位置でなくても、例えば制御量演算過程のものであれば、ステップS12の中で格納してもよいし、或いは、次のステップS17の処理に時間的に余裕のあるときに格納してもよい。 Next, in step S15, data to be transmitted to the second microcomputer 4 is stored in a RAM in a predetermined address range of the first RAM 35 read by the communication controller 36 configured by, for example, DMAC. This data is, for example, at least a part of data used by the first microcomputer 3 to calculate the control amount for the controlled object. Here, the first CPU 31 calculates the control amount using the value stored in the RAM in the predetermined address range of the first RAM 35. Note that the processing in step S15 for storing the above-described data is not in the position of step S15 shown in the flowchart of FIG. It may be stored, or it may be stored when there is time in the process of the next step S17.

ステップS15で第1のRAM35に格納したデータは、第1のCPU31の一連の処
理とは別に第2のマイコン4からの通信指示に基づいて通信コントローラ36を介して第2のマイコン4に送信される。この送信をステップS16の破線で示している。最後にステップS17に於いて、第1のCPU31が所定の制御周期になるようにT1時間待機する。待機時間T1が経過すればステップS11へ戻り、前述と同様の処理を繰り返す。 The data stored in the first RAM 35 in step S15 is transmitted to the second microcomputer 4 via the communication controller 36 based on a communication instruction from the second microcomputer 4 separately from the series of processes of the first CPU 31. The This transmission is indicated by a broken line in step S16. Finally, in step S17, the first CPU 31 waits for a time T1 so that a predetermined control cycle is reached. If the standby time T1 has elapsed, the process returns to step S11, and the same processing as described above is repeated.

次に第2のCPU41の動作について説明する。図2の(B)に於いて、第2のCPU41に電源が投入されると、ステップS20に於いて第2の入力ポート42、第2の出力ポート43、及び第2のRAM45等を初期化する。ステップS21では、センサ10からの情報を入力I/F6、第2の入力ポート42を介して入力する。次に、ステップS22に進み、第2のマイコン4として受け持っている出力、処理等のために演算処理を行なう。ステップS23では、その演算結果に基づき出力する。ここまでは通常の処理フローであるが、次の動作からは監視フローとなる。   Next, the operation of the second CPU 41 will be described. In FIG. 2B, when the second CPU 41 is powered on, the second input port 42, the second output port 43, the second RAM 45, etc. are initialized in step S20. To do. In step S <b> 21, information from the sensor 10 is input via the input I / F 6 and the second input port 42. Next, the process proceeds to step S22, and arithmetic processing is performed for the output, processing, etc. that are handled as the second microcomputer 4. In step S23, the output is based on the calculation result. The processing flow so far is a normal processing flow, but the monitoring flow starts from the next operation.

ステップS24に於いて、第2の通信ポート47から第2のCPU41のクロック(図示せず)に従って第1のマイコン3へ通信指示を出力する。この通信指示の出力が破線で示すステップS25である。第1のマイコン3は、第2のマイコン4からの通信指示に基づいて、前述のステップS16によりデータを第2のマイコン4へ返信する。   In step S24, a communication instruction is output from the second communication port 47 to the first microcomputer 3 in accordance with the clock (not shown) of the second CPU 41. The output of this communication instruction is step S25 indicated by a broken line. Based on the communication instruction from the second microcomputer 4, the first microcomputer 3 returns data to the second microcomputer 4 in the above-described step S <b> 16.

次に、ステップS26に於いて、第2のマイコン4は、第1のマイコン3から返信されたデータを自己の保有しているデータと比較して、その返信されたデータが所定範囲内に入っているか否かを検証し、又は、第2のマイコン4が第2のCPU41にて演算した結果と前述の返信されたデータとを比較検証することで、返信されたデータが異常であるか否かを判断し、これにより第1のマイコン3が正常であるか異常であるかを判断する。   Next, in step S26, the second microcomputer 4 compares the data returned from the first microcomputer 3 with the data held by itself, and the returned data falls within a predetermined range. Whether or not the returned data is abnormal by comparing and verifying the result calculated by the second CPU 41 and the above-described returned data. Thus, it is determined whether the first microcomputer 3 is normal or abnormal.

ステップS26に於いてデータ異常と判断された場合(Y)、ステップS27に進んで異常処理を行う。この異常処理は、例えば、図1に示す出力ライン9に異常信号を出力すると共に、第2のCPU41が異常を記憶する。   If it is determined in step S26 that the data is abnormal (Y), the process proceeds to step S27 to perform abnormality processing. In this abnormality processing, for example, an abnormality signal is output to the output line 9 shown in FIG. 1, and the second CPU 41 stores the abnormality.

以上のように、第2のマイコン4がマスター、第1のマイコン3がスレーブとなって通信を行ない、かつ、 通信コントローラ36によって第1のマイコン3自身のCPUリソ
ースを用いずに、第1のマイコン3が制御に用いているRAMのデータを第2のマイコン4に送信する。このため、第1のマイコン3の異常(CPUリソースの異常)が生じた場合でも、第2のマイコン4によって第1のマイコン3の故障を確実に検出することが出来る。 As described above, communication is performed with the second microcomputer 4 serving as the master and the first microcomputer 3 serving as the slave, and without using the CPU resources of the first microcomputer 3 itself by the communication controller 36, The RAM 3 used for control by the microcomputer 3 is transmitted to the second microcomputer 4. For this reason, even when the abnormality of the first microcomputer 3 (abnormality of the CPU resource) occurs, the failure of the first microcomputer 3 can be reliably detected by the second microcomputer 4.

以上、2個のマイコンが存在する構成について説明したが、第1のマイコンは複数あってもよい。この場合、第2のマイコンが複数の第1のマイコンに夫々、又は、同一の通信指示を行うことで同様な機能を有することができる。更に、第1のマイコン、第2のマイコンともに複数存在することも可能で、各第2のマイコンが各第1のマイコンを夫々担当して前述と同様の処理を行なうことで第1のマイコンの異常の有無を判断することができる。   Although the configuration in which two microcomputers exist has been described above, there may be a plurality of first microcomputers. In this case, the second microcomputer can have a similar function by giving the same communication instruction to each of the plurality of first microcomputers. Furthermore, there can be a plurality of both the first microcomputer and the second microcomputer, and each second microcomputer takes charge of each first microcomputer and performs the same processing as described above, so that The presence or absence of abnormality can be determined.

実施の形態2.
次に、この発明の実施の形態2による電子制御装置について説明する。実施の形態1では第1のマイコンの動作を第2のマイコンが監視する構成について説明したが、第1のマイコンと第2のマイコンが相互に相手の動作を監視することも可能である。電子制御装置の制御対象物に応じては、2つのマイコンを用い、各マイコンに制御機能を有するもの、或いは、冗長系を構成し、一方のマイコンが故障の場合、他方のマイコンで駆動を継続するようなシステムも多い。このようなシステムでは、2つのマイコンで相互に相手の動作を監視する構成が好適である。 Embodiment 2. FIG.
Next, an electronic control unit according to Embodiment 2 of the present invention will be described. In the first embodiment, the configuration in which the second microcomputer monitors the operation of the first microcomputer has been described. However, the first microcomputer and the second microcomputer can also monitor each other's operations. Depending on the control target of the electronic control unit, two microcomputers are used, each microcomputer has a control function, or a redundant system is configured. If one microcomputer fails, drive continues with the other microcomputer. Many systems do this. In such a system, a configuration in which two microcomputers monitor each other's operations is preferable.

このような構成では、例えば第1のマイコンがマスター、第2のマイコンがスレーブとして動作する第1の通信手段を備え、第2のマイコンが実施の形態1と同様に自身のCPUリソースを用いずに第1のマイコンと通信を行い、また、第2のマイコンがマスター、第1のマイコンがスレーブとして動作する第2の通信手段を備え、第1のマイコンが実施の形態1と同様に自身のCPUリソースを用いずに第2のマイコンと通信を行うことで実現可能である。但し、この場合は、通信コントローラを第1のマイコンと第2のマイコンのそれぞれに保有している必要がある。   In such a configuration, for example, the first microcomputer includes a first communication unit that operates as a master and the second microcomputer operates as a slave, and the second microcomputer does not use its own CPU resource as in the first embodiment. The second microcomputer has a second communication means that operates as a master and the first microcomputer as a slave, and the first microcomputer is the same as in the first embodiment. This can be realized by communicating with the second microcomputer without using CPU resources. However, in this case, it is necessary to have a communication controller in each of the first microcomputer and the second microcomputer.

尚、この発明は、その発明の範囲内に於いて、各実施の形態を自由に組み合わせたり、各実施の形態を適宜、変形、省略することが可能である。   It should be noted that within the scope of the present invention, the embodiments can be freely combined, or the embodiments can be appropriately modified or omitted.

1 コントロールユニット(以下、ECUと称する)
2 アクチュエータ 3 1のマイクロコンピュータ
4 第2のマイクロコンピュータ 5 電源
6 入力インターフェース(I/F) 7 ドライバ
9 出力ライン 10 センサ
31 第1の演算手段(CPU) 32 第1の入力ポート
33 第1の出力ポート 34 第1のROM
35 第1のRAM 36 通信コントローラ
37 第1の通信ポート 38 第1の接続バス
41 第2の演算手段(CPU) 43 第2の出力ポート
44 第2のROM 45 第2のRAM47
47 第2の通信ポート 48 第2の接続バス
1 Control unit (hereinafter referred to as ECU)
2 actuator 3 first microcomputer 4 second microcomputer 5 Power 6 input interface (I / F) 7 Driver 9 output line 10 sensor 31 first calculating means (CPU) 32 a first input port 33 first Output port 34 1st ROM
35 First RAM 36 Communication Controller 37 First Communication Port 38 First Connection Bus 41 Second Computing Unit (CPU) 43 Second Output Port 44 Second ROM 45 Second RAM 47
47 Second communication port 48 Second connection bus

Claims (6)

制御対象に対する制御量の演算を主体とする第1のマイクロコンピュータと、前記第1のマイクロコンピュータに対する動作の監視を主体とする第2のマイクロコンピュータとを備え、前記演算に基づいて前記制御対象を制御するようにした電子制御装置であって、
前記第1のマイクロコンピュータは、前記第2のマイクロコンピュータをマスターとし前記第1のマイクロコンピュータをスレーブとして動作する通信手段と、自身が前記制御量の演算に用いるデータの少なくとも一部を記憶するメモリを有し、
前記通信手段は、前記第2のマイクロコンピュータからの指示に基づいて、前記第1のマイクロコンピュータの演算リソースを用いずに、前記メモリに記憶された前記データの少なくとも一部を読み出して前記第2のマイクロコンピュータに送信するように構成され、
前記第2のマイクロコンピュータは、前記送信されたデータに基づいて前記第1のマイクロコンピュータの異常の有無を判断するように構成されている、
ことを特徴とする電子制御装置。 A first microcomputer mainly for calculating a control amount for a control target; and a second microcomputer mainly for monitoring an operation for the first microcomputer, and the control target is determined based on the calculation. An electronic control device for controlling,
The first microcomputer includes a communication unit that operates using the second microcomputer as a master and the first microcomputer as a slave, and a memory that stores at least a part of data used for calculation of the control amount. Have
Said communication means, based on an instruction from said second microcomputer, without using the computational resources of the first microcomputer, the prior SL reads at least a portion of said data stored in said memory Configured to transmit to two microcomputers,
The second microcomputer is configured to determine whether there is an abnormality in the first microcomputer based on the transmitted data.
An electronic control device characterized by that. 前記通信手段は、ダイレクト・メモリ・アクセス・コントローラにより構成されている、
ことを特徴とする請求項1に記載の電子制御装置。 The communication means is constituted by a direct memory access controller.
The electronic control device according to claim 1. 前記第2のマイクロコンピュータは、前記第1のマイクロコンピュータが異常であると判断したときは、異常信号を出力する、
ことを特徴とする請求項1又は2に記載の電子制御装置。 The second microcomputer outputs an abnormal signal when it is determined that the first microcomputer is abnormal.
The electronic control device according to claim 1, wherein the electronic control device is an electronic control device. 前記第2のマイクロコンピュータは、前記第1のマイクロコンピュータが異常であると判断したときは、前記制御対象の駆動を停止させるととともに、異常信号を前記第1のマイクロコンピュータへ送信することを特徴とする請求項1から3のうちの何れか一項に記載の電子制御装置。   When the second microcomputer determines that the first microcomputer is abnormal, the second microcomputer stops driving the control target and transmits an abnormal signal to the first microcomputer. The electronic control device according to any one of claims 1 to 3. 前記第2のマイクロコンピュータは、前記第1のマイクロコンピュータに比較して機能的に下位の機種により構成されている、
ことを特徴とする請求項1から4のうちの何れか一項に記載の電子制御装置。 The second microcomputer is configured by a lower functional model than the first microcomputer.
The electronic control device according to any one of claims 1 to 4, wherein 前記第1のマイクロコンピュータは、前記第2のマイクロコンピュータの動作を監視するように構成されている、
ことを特徴とする請求項1から5のうちの何れか一項に記載の電子制御装置。 The first microcomputer is configured to monitor the operation of the second microcomputer;
The electronic control device according to claim 1, wherein the electronic control device is an electronic control device.
JP2011230421A 2011-10-20 2011-10-20 Electronic control unit Expired - Fee Related JP5575086B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011230421A JP5575086B2 (en) 2011-10-20 2011-10-20 Electronic control unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011230421A JP5575086B2 (en) 2011-10-20 2011-10-20 Electronic control unit

Publications (2)

Publication Number Publication Date
JP2013089104A JP2013089104A (en) 2013-05-13
JP5575086B2 true JP5575086B2 (en) 2014-08-20

Family

ID=48532933

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011230421A Expired - Fee Related JP5575086B2 (en) 2011-10-20 2011-10-20 Electronic control unit

Country Status (1)

Country Link
JP (1) JP5575086B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10167012B2 (en) 2014-10-22 2019-01-01 Mitsubishi Electric Corporation Electric power steering device
JP6802374B2 (en) * 2017-06-05 2020-12-16 日立オートモティブシステムズ株式会社 Vehicle control device and vehicle control system

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3284636B2 (en) * 1993-02-04 2002-05-20 株式会社デンソー Abnormality detection device for CPU system
JPH06274361A (en) * 1993-03-23 1994-09-30 Fujitsu Ten Ltd Computer system for vehicle control
JP3370387B2 (en) * 1993-06-29 2003-01-27 富士通テン株式会社 Abnormality countermeasure method in a multi-CPU vehicle control computer system
JP2000181736A (en) * 1998-12-16 2000-06-30 Nippon Signal Co Ltd:The Fail safe collation device
JP3835312B2 (en) * 2002-03-07 2006-10-18 株式会社デンソー Electronic control device for vehicle
JP2006178550A (en) * 2004-12-21 2006-07-06 Nec Corp Duplex synchronization system and method for operating duplex synchronization system
JP5556086B2 (en) * 2009-08-25 2014-07-23 日本電気株式会社 Redundant system and duplexing method

Also Published As

Publication number Publication date
JP2013089104A (en) 2013-05-13

Similar Documents

Publication Publication Date Title
JP7089588B2 (en) Devices and methods for controlling vehicle modules in response to status signals
JP6714611B2 (en) Method and apparatus for providing redundancy in a vehicle electronic control system
US11609567B2 (en) Apparatus and method for controlling vehicle based on redundant architecture
CN103309344B (en) The system and method for the integrity of the vehicle control system of checking safety-critical
CN107003915B (en) Drive control device
CN110116752B (en) Apparatus and method for controlling vehicle based on redundant structure
US9087077B2 (en) In-vehicle electronic control device
KR20200038478A (en) Systems and methods for redundant wheel speed detection
US9604585B2 (en) Failure management in a vehicle
CN107526290B (en) Method for operating a controller
US9221492B2 (en) Method for operating an electrical power steering mechanism
JP5265548B2 (en) Drive system and method for monitoring hydraulic drive
CN101779193A (en) System for providing fault tolerance for at least one micro controller unit
US10983519B2 (en) Functional module, control unit for an operation assistance system, and device
JP5575086B2 (en) Electronic control unit
JP5041290B2 (en) PROGRAMMABLE CONTROLLER AND ITS ERROR RECOVERY METHOD
CN106970550B (en) Vehicle subsystem communication arbitration
JP6681304B2 (en) Vehicle control device and vehicle internal combustion engine control device
JP2009054041A (en) Simulated microcomputer device
JP2006222800A (en) Multiplex communication system
KR101826779B1 (en) An apparatus and method for testing control logic of application specific integrated circuit
JP4747683B2 (en) On-vehicle electronic control system, fault diagnosis method thereof, and on-vehicle electronic control device
JP5713432B2 (en) Drive unit control apparatus and control method
JP6018536B2 (en) Electronic control device for vehicle
JP4172461B2 (en) Node diagnostic system

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130802

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130806

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130913

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131112

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140108

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140331

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20140407

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140617

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140701

R151 Written notification of patent or utility model registration

Ref document number: 5575086

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees