JP5867495B2 - 電子制御装置 - Google Patents
電子制御装置 Download PDFInfo
- Publication number
- JP5867495B2 JP5867495B2 JP2013263348A JP2013263348A JP5867495B2 JP 5867495 B2 JP5867495 B2 JP 5867495B2 JP 2013263348 A JP2013263348 A JP 2013263348A JP 2013263348 A JP2013263348 A JP 2013263348A JP 5867495 B2 JP5867495 B2 JP 5867495B2
- Authority
- JP
- Japan
- Prior art keywords
- cpu
- monitoring
- function
- area
- monitoring function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006870 function Effects 0.000 claims description 224
- 238000012544 monitoring process Methods 0.000 claims description 177
- 230000015654 memory Effects 0.000 claims description 34
- 230000007246 mechanism Effects 0.000 claims description 24
- 230000002265 prevention Effects 0.000 claims description 3
- 238000000354 decomposition reaction Methods 0.000 description 8
- 238000012986 modification Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 230000005856 abnormality Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000000034 method Methods 0.000 description 5
- 239000000446 fuel Substances 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000002485 combustion reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 102000004169 proteins and genes Human genes 0.000 description 1
- 108090000623 proteins and genes Proteins 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/023—Avoiding failures by using redundant parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0002—Automatic control, details of type of controller or control system architecture
- B60W2050/0004—In digital systems, e.g. discrete-time systems involving sampling
- B60W2050/0006—Digital architecture hierarchy
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Human Computer Interaction (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Safety Devices In Control Systems (AREA)
Description
本発明は、電子制御装置に関する。
自動車においては、ブレーキ、ステアリング、エンジンなど、多数の車載装置が、電子制御装置によって電子制御されるようになっている。さらに、今後、電気自動車やハイブリッド自動車の普及に伴い、モーター制御やバッテリー制御など、自動車における電子制御の対象が拡大されることが予想される。そのため、自動車を電子制御する際の安全性の確保を図るべく、自動車向けの機能安全性規格であるISO26262が制定された。
このISO26262では、電子制御されるシステムの機能が故障した時の危険な事象(ハザード)から、各システムを、危険レベル、発生頻度、制御可能性(回避の難易度)の3つのパラメータにより、ASIL(Automotive Safety Integrity Level)と呼ばれる指標を用いてランク付けする。ASILには、危険度の低い方から順に、QM(Quality Management)、A、B、C、Dの5つのランクが定められている。システムの設計者は、システムがどのランクに相当するかを決定し、その決定したランクに応じた安全対策を施す必要がある。
例えば、あるシステムが、ASILが「C」にランク付された場合、特許文献1に示されるように、そのシステムを電子制御する電子制御装置を3つのレベルに分け、上位のレベルの動作を下位のレベルでモニタリングする構成を採用することが考えられる。この特許文献1の電子制御装置においては、第1のレベルが、システムの制御機能を担う。具体的には、例えば、この第1のレベルにおいて、内燃機関の燃料供給や点火時期調節を決定する。第2のレベルでは、第1のレベルの制御機能の正しい動作が、選択された入出力信号に基づいて検査される。第3のレベルでは、第2のレベルにおいて実行されたモニタリングの検査が行われる。具体的には、例えば、RAMテスト、ROMテスト、動作検査などが行われる。この第3のレベルでの動作検査のため、ウオッチドッグが設けられている。
特許第3957749号公報
上述したように、システムがASILのあるランクにランク付けされた場合、電子制御装置において、そのランクに応じた安全対策を施すためのハードウエア及びソフトウエアの設計がなされる。従って、既存のシステムよりも上位のASILランクを持つシステムを新たに統合しようとした場合や、システムを搭載する車両の違いなどから、そのシステムのASILランクが上位ランクに変更される場合などは、電子制御装置のハードウエア及びソフトウエアを、その上位のASILランクによる安全要求を満足するように再設計する必要が生じ、開発コストが増大する虞がある。
本発明は、上述した点に鑑みてなされたものであり、大幅な設計変更を行わずとも、より上位のASILのランクによる安全要求を満足することが可能な電子制御装置を提供することを目的とする。
上記目的を達成するために、本発明による電子制御装置(10)は、当該電子制御装置により電子制御されるシステムが、機能安全性規格ISO26262に規定された高次の安全度水準(ASIL)による機能安全が求められる場合に、その高次の安全度水準を、デコンポジションにより複数の低次の安全度水準に分解し、それら分解された低次の安全度水準による安全機構を実現するためのものであって、
当該電子制御装置は、第1CPU(11)と第2CPU(21)とを含む複数のCPUを有するとともに、それら複数のCPUによって共通使用されるメモリ(26、27)を有し、
第1CPU及び第2CPUは、それぞれ、分解された低次の安全度水準による安全機構として、システムの制御機能(13)が正しく実行されているかを監視する第1監視機能(15、22)、及び第1監視機能が正しく動作しているかを監視する第2監視機能(16、23)を実行し、
メモリ(26、27)は、第1CPUが各監視機能を実行するために使用する第1領域と、第2CPUが各監視機能を実行するために使用する、第1領域とは異なる第2領域とを有し、
第1CPUによる各監視機能の実行に伴うメモリの第2領域への干渉、及び第2CPUによる各監視機能の実行に伴うメモリの第1領域への干渉について、その防止と、干渉発生時の履歴の記録とのいずれか一方を行う干渉対策手段(25)と、を備えることを特徴とする。
当該電子制御装置は、第1CPU(11)と第2CPU(21)とを含む複数のCPUを有するとともに、それら複数のCPUによって共通使用されるメモリ(26、27)を有し、
第1CPU及び第2CPUは、それぞれ、分解された低次の安全度水準による安全機構として、システムの制御機能(13)が正しく実行されているかを監視する第1監視機能(15、22)、及び第1監視機能が正しく動作しているかを監視する第2監視機能(16、23)を実行し、
メモリ(26、27)は、第1CPUが各監視機能を実行するために使用する第1領域と、第2CPUが各監視機能を実行するために使用する、第1領域とは異なる第2領域とを有し、
第1CPUによる各監視機能の実行に伴うメモリの第2領域への干渉、及び第2CPUによる各監視機能の実行に伴うメモリの第1領域への干渉について、その防止と、干渉発生時の履歴の記録とのいずれか一方を行う干渉対策手段(25)と、を備えることを特徴とする。
上述したように、本発明では、まず、ISO26262におけるデコンポジションの概念を利用して、高次の安全度水準を、複数の低次の安全度水準に分解する。例えば、ASIL‐Dは、ASIL‐CとASIL‐Aとに分解することができ、ASIL‐Cは、ASIL‐BとASIL‐Aとに分解することができる。このように、デコンポジションを利用することにより、安全度水準のランクを下げることができる。そのため、高次の安全度水準による機能安全が求められるシステムに対する安全機構を構築する際に、それよりも低次の安全度水準による安全要求を満足するように設計されたハードウエアやソフトウエアの再利用可能性を高めることができる。
ただし、デコンポジションを行う場合、分解後のエレメントの独立性を確保することが求められる。この場合、例えば、分解後の低次の安全度水準による安全機構を、それぞれ独立した別個の電子制御装置において構築することが考えられる。しかしながら、このように別個の電子制御装置を用いるとすると、コストや体格の増加を招くという問題がある。
そこで、本発明では、第1CPUと第2CPUとを含む複数のCPUを有する電子制御装置を用いることとした。第1CPU及び第2CPUは、それぞれ、分解された複数の低次の安全度水準による安全機構として、システムの制御機能が正しく実行されているかを監視する第1監視機能、及び第1監視機能が正しく動作しているかを監視する第2監視機能を実行するように構成される。これにより、分解された複数の低次の安全度水準による安全機構として、一応の独立性を確保することができる。
しかし、1個の電子制御装置の場合、複数のCPUを備えていても、メモリは、それらの複数のCPUにより共通使用されることになる。従って、万一、一方の安全機構による監視機能の実行により、他方の安全機構による監視機能の実行に必要なデータが読み出されたり、書き換えられたりすると、監視機能が正常に働かなくなる虞がある。そこで、本発明では、第1CPUによる各監視機能の実行に伴うメモリの第2領域への干渉、及び第2CPUによる各監視機能の実行に伴うメモリの第1領域への干渉について、その防止と、干渉発生時の履歴の記録とのいずれか一方を行う干渉対策手段を設けた。これにより、上述したような事態の発生を防止して、確実に各監視機能を正しく働かせることが可能となる。もしくは、干渉が発生した場合に、その履歴を残すことができるので、例えばシステムの停止等の安全対策を施すことが可能になる。
上記括弧内の参照番号は、本発明の理解を容易にすべく、後述する実施形態における具体的な構成との対応関係の一例を示すものにすぎず、なんら本発明の範囲を制限することを意図したものではない。
また、上述した特徴以外の、特許請求の範囲の各請求項に記載した技術的特徴に関しては、後述する実施形態の説明及び添付図面から明らかになる。
以下、本発明の実施形態による電子制御装置に関して、図面を参照しつつ説明する。なお、以下の説明において、共通する構成には、同じ参照番号を付与することにより、説明を省略する場合がある。
図1は、電子制御装置(マイコン)10の各CPU11、21が奏する機能をブロックにより表したブロック図である。また、図2は、マイコン10の主要な構成を示した構成図である。
本実施形態に係るマイコン10は、ブレーキ、ステアリング、あるいはエンジンなどの車載装置を電子制御するためのものである。例えば、マイコン10がブレーキ装置を電子制御する場合には、制動時のロックや加速時のスリップが発生しないように、ブレーキ装置により各車輪に印加されるブレーキ圧力を制御する。マイコン10がパワーステアリング装置を電子制御する場合には、適切な補助操舵トルクがステアリング軸に作用するようにパワーステアリング装置を制御する。また、マイコン10がエンジンを電子制御する場合には、車両の運転状態に基づいて、適切に燃料噴射や点火が行われるように、燃料噴射弁や点火コイルを制御する。なお、電子制御装置は、その他の車載装置を電子制御するものであっても良い。
このような、車載装置を電子的に制御するシステムは、ISO26262として制定された機能安全性規格を満たすことが求められる。この際、例えば、既存のシステムのASILランクがASIL−Cであり、新たにその既存システムに統合されるシステムのASILランクが、それよりも上位のASIL‐Dである場合、電子制御装置のハードウエア及びソフトウエアを、その上位のASILランクによる安全要求を満足するように再設計する必要が生じる。また、既存システムのASILランクがASIL−Cであったが、適用される車種の相違などにより、ASILランクがASIL−Dに変更されるような場合も同様に、電子制御装置のハードウエア及びソフトウエアを再設計しなければならない。しかしながら、電子制御装置のハードウエア及びソフトウエアを全面的に再設計した場合、多大な労力が必要となり、開発コストが増大してしまう。
そこで、本実施形態は、電子制御装置のハードウエア及びソフトウエアに関して全面的な再設計を行わずとも、より上位のASILのランクによる安全要求を満足することを可能としたものである。
そのために、本実施形態では、電子制御装置として、図1に示すように、第1CPU11及び第2CPU21を含む複数のCPUを含む電子制御装置を用いる。なお、図1には、2個のCPUしか図示していないが、CPUの数は3個以上であっても良い。
そして、ISO26262におけるデコンポジションの概念を利用して、高次の安全度水準を、複数の低次の安全度水準に分解し、その分解された複数の低次の安全度水準による安全機構を第1CPU11及び第2CPU21にそれぞれ実装する。図1には、ASIL‐Dを、ASIL‐C(D)とASIL‐A(D)とに分解し、第1CPU11にASIL‐C(D)の安全機構を実装し、第2CPU21にASIL‐A(D)の安全機構を実装した例を示している。
このように、デコンポジションを利用することにより、安全度水準のランクを下げることができる。そのため、高次の安全度水準による機能安全が求められるシステムに対する安全機構を構築する際に、それよりも低次の安全度水準による安全要求を満足するように設計されたハードウエアやソフトウエアの再利用可能性を高めることができる。
以下、図1に示す例について詳細に説明することにより、本実施形態に係る電子制御装置のさらなる技術的特徴について明らかにする。
図1に示すように、第1CPU11は、3レベル構造を有している。第1CPU11の第1のレベルには、第1機能12及び第2機能13が配置されている。例えば、第1機能12は、既存システムを制御するための制御機能であり、第2機能13は、その既存システムに統合される新たなシステムを制御するための制御機能である。そして、第1機能12に対するASILランクはASIL‐Cであり、第2機能に対するASILランクはASIL‐Dである。
これら第1機能12及び第2機能13を実行するためのプログラムが、図2に示すROM27の所定領域に格納されている。第1CPU11が、そのプログラムを読み出して処理することにより、第1機能12及び第2機能13の各機能が実行される。その際、第1CPU11は、図2に示すRAM26の所定領域をワークメモリとして、データの書き込みや読み出しを行う。
第1CPU11の第2のレベルには、図1に示すように、第1監視機能14と第2監視機能15とが配置されている。第1監視機能14は、ASIL‐Cの安全度水準を求められる第1機能12が、正しく動作しているかを監視するためのものである。また、第2監視機能15は、第2機能13に対して要求される安全度水準であるASIL‐DがASIL‐C(D)とASIL‐A(D)とに分解された際の一方の安全度水準であるASIL‐C(D)に従い、第2機能13が正しく動作しているかを監視するためのものである。これら第1監視機能14及び第2監視機能15も、第1機能12及び第2機能13と同様に、第1CPU11にて実行可能なプログラムにより構成される。第1監視機能14及び第2監視機能15を実行するためのプログラムは、ROM27における、上記第1機能12及び第2機能13のプログラムの格納領域とは別の領域に格納されている。第1CPU11が、第1監視機能14及び第2監視機能15のプログラムを実行する際には、図2に示すRAM26の、第1機能12及び第2機能13を実行するための領域とは異なる所定領域をワークメモリとして、データの書き込みや読み出しを行う。
第1監視機能14及び第2監視機能15を実行するためのプログラムの具体的な処理内容としては、例えば、第1機能12及び第2機能13と同じセンサ信号を入力して、第1機能12及び第2機能13と同様の演算処理を行って監視用制御目標値を算出する。そして、算出した監視用制御目標値を、第1機能12及び第2機能13が算出した制御目標値とそれぞれ比較する。この比較において、第1監視機能14及び第2監視機能15は、監視用制御目標値と、第1機能12及び第2機能13が算出した制御目標値とが一致しているかそれとも相違しているかにより、第1機能12及び第2機能13が正常に動作しているか否かを判定する。すなわち、監視用制御目標値と制御目標値とが一致していれば、第1機能12及び第2機能13は、正しく動作していると判定し、相違していれば、正しく動作していいないと判定する。第1監視機能14及び第2監視機能15は、第1機能12及び第2機能13が正しく動作していないと判定した場合、例えば、図示しない駆動回路に停止信号を出力して、その制御目標値に基づく制御対象装置への駆動信号の出力を停止させる。
第1CPU11の第3のレベルには、図1に示すように、第3監視機能16が配置されている。第3監視機能16は、第1監視機能14及び第2監視機能15が、それぞれ、正しく動作しているか否かを監視するためのものである。この第3監視機能16も、第1機能12及び第2機能13や第1監視機能14及び第2監視機能15と同様に、第1CPU11にて実行可能なプログラムにより構成される。第3監視機能16をなすプログラムは、ROM27における、第1機能12及び第2機能13や第1監視機能14及び第2監視機能15のプログラムの格納領域とは別の領域に格納されている。第1CPU11が、第3監視機能16のプログラムを実行する際には、RAM26の、第1機能12、第2機能13、第1監視機能14、及び第2監視機能15を実行するための領域とは異なる所定領域をワークメモリとして、データの書き込みや読み出しを行う。
例えば、第3監視機能16は、第1監視機能14及び第2監視機能15をなすプログラムが、第1CPU11において正しい手順で実行されているかを、第1監視機能14及び第2監視機能15からチェックポイントごとに出力される信号に基づいて判定する。あるいは、第3監視機能16は、良く知られているウオッチドックタイマと同様に、第1監視機能14及び第2監視機能15から定期的に信号が出力されているか否かにより、第1監視機能14及び第2監視機能15をなすプログラムが正常に実行されているか否かを判定するようにしても良い。さらに、第1監視機能14及び第2監視機能15によって使用される領域のROM値やRAM値に基づいて、第1監視機能14及び第2監視機能15が、それぞれ、正しく動作しているか否かを判定しても良い。
第3監視機能16が、第1監視機能14及び第2監視機能15の異常を検出した場合には、例えば、第1監視機能14及び第2監視機能15をリセットしたり、上述した駆動回路に停止信号を出力したりする。
監視IC17は、第3監視機能16の監視を通じて、第1CPU11が正しく動作しているか、異常が生じているかを判別し、異常が生じている場合には、第1CPU11をリセットするものである。第1CPU11をリセットする際には、監視IC17が、同時に、上述した駆動回路に停止信号を出力することが好ましい。
例えば、第1CPU11が第3監視機能16のプログラムを正しく実行している場合に、第1CPU11から監視IC17に、所定の順序で変化する信号が出力されるように構成する。このように構成すれば、監視IC17は、第1CPU11から出力される信号が所定の順序で変化している場合、第1CPU11が、第3監視機能16のプログラムを正しく実行していると判定することができる。一方、第1CPU11から出力される信号が所定の順序で変化していない場合、監視IC17は、第1CPU11が第3監視機能16のプログラムを正しく実行しておらず、第1CPU11に異常が生じた旨を判定することができる。
次に、第2CPU21について説明する。第2CPU21には、分解された安全度水準の内、ASIL‐A(D)による安全機構が実装される。この第2CPU21は、2レベル構造を有している。第2CPU21の第1のレベルには、図1に示すように、第4監視機能22が配置されている。第4監視機能22は、分解された際の一方の安全度水準であるASIL‐A(D)に従い、第2機能13が正しく動作しているかを監視するためのものである。この第4監視機能22も、第1監視機能14及び第2監視機能15と同様に、第2CPU21にて実行可能なプログラムにより構成される。第4監視機能22を実行するためのプログラムは、ROM27における、他の制御機能や監視機能のプログラムの格納領域とは別の領域に格納されている。さらに、第2CPU21が、第4監視機能22のプログラムを実行する際には、RAM26の、他の制御機能や監視機能を実行するための領域とは異なる所定領域をワークメモリとして、データの書き込みや読み出しを行う。
第4監視機能22の具体例としては、第1監視機能14及び第2監視機能15と同様に、第2機能13と同じセンサ信号を入力して監視用制御目標値を算出し、第2機能13が算出した制御目標値と比較するように構成することができる。ただし、第4監視機能22には、第2監視機能15ほどの安全度水準は求められないので、第4監視機能22は、例えば、第2監視機能15よりも簡略化した演算処理により監視用制御目標値を算出しても良い。なお、このように演算処理を簡略化した場合には、制御目標値と監視用制御目標値とを比較する際に、その簡略化による誤差分を考慮することが必要となる。すなわち、制御目標値と監視用制御目標値とが相違していても、その差異が誤差範囲内に収まっていれば、第4監視機能22は、第2機能13が正常に動作していると判定する。
第2CPU21の第2のレベルには、図1に示すように、第5監視機能23が配置されている。第5監視機能23は、第4監視機能22が、正しく動作しているか否かを監視するためのものである。この第5監視機能23も、第4監視機能22と同様に、第2CPU21にて実行可能なプログラムにより構成される。第5監視機能23をなすプログラムは、ROM27における、他の制御機能や監視機能のプログラムの格納領域とは別の領域に格納されている。第2CPU21が、第5監視機能23のプログラムを実行する際には、RAM26の、他の制御機能や監視機能を実行するための領域とは異なる所定領域をワークメモリとして、データの書き込みや読み出しを行う。なお、第5監視機能23において第4監視機能22が正しく動作しているかを判定する手法は、前述した第3監視機能16と同様であるため、説明を省略する。
ウオッチドッグタイマ(WDT)24は、第5監視機能23の監視を通じて、第2CPU21が正しく動作しているか、異常が生じているかを判別し、異常が生じている場合には、第2CPU21をリセットするものである。つまり、第2CPU21が第5監視機能23のプログラムを正しく実行している場合には、第2CPU21からWDT24に、所定の時間間隔で、ウオッチドッグパルスが出力される。従って、WDT24は、第2CPU21から所定の時間間隔でウオッチドッグパルスが出力されていれば、第2CPU21が、第5監視機能23のプログラムを正しく実行していると判定することができる。一方、第2CPU21から所定の時間間隔でウオッチドッグパルスが出力されない場合、WDT24は、第2CPU21が第5監視機能23のプログラムを正しく実行しておらず、第2CPU21に異常が生じた旨を判定することができる。
ここで、デコンポジションの概念を利用して、高次の安全度水準を、複数の低次の安全度水準に分解する場合、分解後のエレメントの独立性を確保することが求められる。この点、本実施形態では、分解後の低次の安全度水準による安全機構を、それぞれ独立した別個の第1CPU11と第2CPU21とにそれぞれ実装しているので、一応の独立性を確保することができる。
しかしながら、1つのマイコン10に、第1CPU11、第2CPU21のように複数のCPUが設けられる場合、これら複数のCPU(第1CPU11と第2CPU21)は、図2に示すように、メモリとしてのRAM26、ROM27を共通使用することになる。従って、万一、一方の安全機構による監視機能の実行時に、他方の安全機構による監視機能の実行に必要なデータが読み出されたり書き換えられたりして干渉が発生すると、監視機能が正常に働かなくなる虞がある。そこで、本実施形態では、図2に示すように、各CPU11、21とRAM26、ROM27との間にメモリプロテクションユニット25を設け、各監視機能のメモリ領域を干渉から保護することとした。
例えば、MPU25は、図1に一点鎖線で示す範囲を、干渉から保護する範囲として設定する。つまり、MPU25は、第1監視機能14以外の制御機能や監視機能が、第1監視機能14のプログラムを格納しているROM領域からの読み出し、及び第1監視機能14のワークエリアとして定められているRAM領域におけるデータの書き込みや読み出しを禁止する。同様に、MPU25は、第2監視機能15〜第5監視機能23に関しても、それぞれの監視機能の実行のために確保されているRAM26及びROM27のメモリ領域への、他の制御機能や監視機能の実行に伴うアクセスを禁止する。これにより、干渉の発生を防止して、確実に各監視機能を正しく働かせることが可能となる。
この結果、第1CPU11による第2監視機能15や第3監視機能16の実行に伴って、第4監視機能22及び第5監視機能23の実行のために確保されているメモリ領域への干渉が防止できる。また、第2CPU21による第4監視機能22や第5監視機能23の実行に伴って、第2監視機能15及び第3監視機能16の実行のために確保されているメモリ領域への干渉も防止できる。従って、分解後の低次の安全度水準による安全機構としての監視機能の相互干渉を確実に防止することができ、互いの独立性を確保することが可能になる。
以上、本発明の好ましい実施形態について説明したが、本発明は、上記の実施形態になんら制限されるものではなく、本発明の主旨を逸脱しない範囲において、種々変形して実施することが可能である。
(変形例1)
例えば、上述した実施形態では、MPU25を用いて、各監視機能に関し、それぞれの監視機能の実行のために確保されているRAM26及びROM27のメモリ領域への、他の制御機能や監視機能の実行に伴うアクセスを禁止した。しかしながら、MPU25を用いることなく、干渉に対する対策を取ることも可能である。例えば、各監視機能のプログラムに、設定されたRAM領域にデータを書き込むときには、複数箇所に同じデータを書き込む機能を織り込む(同一データ書込手段)。さらに、そのプログラムの一部に、その複数箇所のデータの同一性を判定する機能(判定手段)、データの同一性が失われたと判定された場合に、該当するデータの書き換えを禁止して、干渉の履歴を残す機能、及び干渉の履歴に応じて、上位機能のリセットや、駆動回路への停止信号の出力などを行うフェールセーフ機能を織り込む。このようにしても、各監視機能に関する干渉に対する対策を取ることができる。
例えば、上述した実施形態では、MPU25を用いて、各監視機能に関し、それぞれの監視機能の実行のために確保されているRAM26及びROM27のメモリ領域への、他の制御機能や監視機能の実行に伴うアクセスを禁止した。しかしながら、MPU25を用いることなく、干渉に対する対策を取ることも可能である。例えば、各監視機能のプログラムに、設定されたRAM領域にデータを書き込むときには、複数箇所に同じデータを書き込む機能を織り込む(同一データ書込手段)。さらに、そのプログラムの一部に、その複数箇所のデータの同一性を判定する機能(判定手段)、データの同一性が失われたと判定された場合に、該当するデータの書き換えを禁止して、干渉の履歴を残す機能、及び干渉の履歴に応じて、上位機能のリセットや、駆動回路への停止信号の出力などを行うフェールセーフ機能を織り込む。このようにしても、各監視機能に関する干渉に対する対策を取ることができる。
(変形例2)
上述した実施形態は、マイコン10が内蔵するWDT24を利用して、第2CPU21が正常に動作しているか否かを検出するものであった。共通原因にて、第2CPU21とWDT24とが同時に故障する可能性が非常に低い場合には、上述した実施形態のように、マイコン10が内蔵するWDT24を用いることも可能である。ただし、共通原因故障の発生をより確実に回避することを考えた場合には、図3に示すように、マイコン10の外部にWDT24を別途設置することが好ましい。
上述した実施形態は、マイコン10が内蔵するWDT24を利用して、第2CPU21が正常に動作しているか否かを検出するものであった。共通原因にて、第2CPU21とWDT24とが同時に故障する可能性が非常に低い場合には、上述した実施形態のように、マイコン10が内蔵するWDT24を用いることも可能である。ただし、共通原因故障の発生をより確実に回避することを考えた場合には、図3に示すように、マイコン10の外部にWDT24を別途設置することが好ましい。
(変形例3)
上述した実施形態では、第1CPU11が、既存システムを制御するための制御機能である第1機能12、及びその既存システムに統合される新たなシステムを制御するための制御機能である第2機能13を実行するとともに、それらの安全機構としての各監視機能を実行するものであった。
上述した実施形態では、第1CPU11が、既存システムを制御するための制御機能である第1機能12、及びその既存システムに統合される新たなシステムを制御するための制御機能である第2機能13を実行するとともに、それらの安全機構としての各監視機能を実行するものであった。
しかしながら、図4に示すように、第1CPU11には、高次の安全度水準(例えば、ASIL‐D)による安全対策が求められる第2機能13と、分解された安全度水準の内の一方(例えば、ASIL‐C(D))による安全機構としての各監視機能とだけが実装されても良い。さらに、図5に示すように、図4の構成を前提として、マイコン10の外部にWDT24を別途設置するようにしても良い。
さらに、第2機能13は、第1CPU11及び第2CPU21とは別のCPUにて実行するように構成し、第1CPU11及び第2CPU21には、安全機構としての各監視機能だけを実装するようにしても良い。
(変形例4)
また、上述した実施形態では、高次の安全度水準として、ASIL‐Dを、ASIL‐C(D)とASIL‐A(D)とに分解した場合の例を示したが、例えばASIL‐Cを、ASIL‐B(C)とASIL‐A(C)とに分解する場合などにも本発明を適用することができる。
また、上述した実施形態では、高次の安全度水準として、ASIL‐Dを、ASIL‐C(D)とASIL‐A(D)とに分解した場合の例を示したが、例えばASIL‐Cを、ASIL‐B(C)とASIL‐A(C)とに分解する場合などにも本発明を適用することができる。
10 マイコン
11 第1CPU
17 監視IC
21 第2CPU
24 ウオッチドッグタイマ(WDT)
11 第1CPU
17 監視IC
21 第2CPU
24 ウオッチドッグタイマ(WDT)
Claims (7)
- 電子制御装置により電子制御されるシステムが、機能安全性規格ISO26262に規定された高次の安全度水準(ASIL)による機能安全が求められる場合に、その高次の安全度水準を、デコンポジションにより複数の低次の安全度水準に分解し、それら分解された低次の安全度水準による安全機構を実現するための電子制御装置(10)であって、
当該電子制御装置は、第1CPU(11)と第2CPU(21)とを含む複数のCPUを有するとともに、それら複数のCPUによって共通使用されるメモリ(26、27)を有し、
前記第1CPU及び第2CPUは、それぞれ、分解された低次の安全度水準による安全機構として、前記システムの制御機能(13)が正しく実行されているかを監視する第1監視機能(15、22)、及び前記第1監視機能が正しく動作しているかを監視する第2監視機能(16、23)を実行し、
前記メモリ(26、27)は、前記第1CPUが各監視機能を実行するために使用する第1領域と、前記第2CPUが各監視機能を実行するために使用する、前記第1領域とは異なる第2領域とを有し、
前記第1CPUによる前記各監視機能の実行に伴う前記メモリの前記第2領域への干渉、及び前記第2CPUによる前記各監視機能の実行に伴う前記メモリの前記第1領域への干渉について、その防止と、干渉発生時の履歴の記録とのいずれか一方を行う干渉対策手段(25)と、を備えることを特徴とする電子制御装置。 - 前記干渉対策手段(25)は、メモリプロテクションユニットを備え、当該メモリプロテクションユニットが、前記第1CPUによる前記各監視機能の実行に伴う前記メモリの第2領域へのアクセス、及び前記第2CPUによる前記各監視機能の実行に伴う前記メモリの第1領域へのアクセスを禁止することを特徴とする請求項1に記載の電子制御装置。
- 前記メモリ(26、27)は、前記第1CPU及び第2CPUが各監視機能を実行するためのソフトウエアを格納するROM(27)と、各監視機能の実行時のワークメモリとしてのRAM(26)を含み、当該ROM及びRAMに、それぞれ前記第1領域と第2領域とが設定され、
前記メモリプロテクションユニットは、前記第1CPUによる前記各監視機能の実行時には、前記ROM及びRAMの第2領域へのアクセスを禁止し、前記第2CPUによる前記各監視機能の実行時には、前記ROM及びRAMの第1領域へのアクセスを禁止することを特徴とする請求項2に記載の電子制御装置。 - 前記システムの制御機能は、前記複数のCPUのうちの少なくとも1つのCPUによって実行され、当該CPUによる前記制御機能の実行時には、前記メモリプロテクションユニットが、前記メモリの第1領域及び第2領域へのアクセスを禁止することを特徴とする請求項2に記載の電子制御装置。
- 前記メモリ(26、27)は、前記第1CPU及び第2CPUが各監視機能を実行する際のワークメモリとしてのRAM(26)を含み、当該RAMに、それぞれ前記第1領域と第2領域とが設定され、
前記干渉対策手段は、
前記第1CPUによる前記各監視機能の実行に伴い前記RAMの第1領域にデータが書き込まれるとき、及び前記第2CPUによる前記各監視機能の実行に伴い前記RAMの第2領域にデータが書き込まれるときに、複数箇所に同じデータを書き込む同一データ書込手段と、
前記複数箇所に書き込まれたデータの同一性を判定する判定手段と、を備え、
前記複数箇所に書き込まれたデータの同一性が失われた場合に、その同一性が失われたデータを、干渉の履歴として残すことを特徴とする請求項1に記載の電子制御装置。 - さらに、前記安全機構として、前記第1CPUの動作を監視する第1監視手段(17)を備えることを特徴とする請求項1乃至5のいずれか1項に記載の電子制御装置。
- さらに、前記安全機構として、前記第2CPUの動作を監視する第2監視手段(24)を備えることを特徴とする請求項1乃至6のいずれか1項に記載の電子制御装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013263348A JP5867495B2 (ja) | 2013-12-20 | 2013-12-20 | 電子制御装置 |
| US14/520,482 US20150175170A1 (en) | 2013-12-20 | 2014-10-22 | Electronic control unit |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013263348A JP5867495B2 (ja) | 2013-12-20 | 2013-12-20 | 電子制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015118662A JP2015118662A (ja) | 2015-06-25 |
| JP5867495B2 true JP5867495B2 (ja) | 2016-02-24 |
Family
ID=53399193
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013263348A Active JP5867495B2 (ja) | 2013-12-20 | 2013-12-20 | 電子制御装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20150175170A1 (ja) |
| JP (1) | JP5867495B2 (ja) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10063370B2 (en) | 2014-09-11 | 2018-08-28 | Infineon Technologies Ag | Method and device for checking an identifier |
| US9699184B2 (en) * | 2014-09-11 | 2017-07-04 | Infineon Technologies Ag | Method and device for processing data |
| FR3031406B1 (fr) * | 2015-01-05 | 2017-07-28 | Valeo Schalter & Sensoren Gmbh | Architecture pour systeme d'aide a la conduite a automatisation conditionnelle |
| WO2017056725A1 (ja) * | 2015-09-30 | 2017-04-06 | 日立オートモティブシステムズ株式会社 | 車載制御装置 |
| JP6465003B2 (ja) * | 2015-11-30 | 2019-02-06 | 株式会社デンソー | 電子制御装置 |
| CN108287931B (zh) * | 2017-01-10 | 2021-11-05 | 大陆泰密克汽车系统(上海)有限公司 | 用于优化车辆电子控制系统安全参数的方法 |
| DE102017210156B4 (de) * | 2017-06-19 | 2021-07-22 | Zf Friedrichshafen Ag | Vorrichtung und Verfahren zum Ansteuern eines Fahrzeugmoduls |
| CN109130885B (zh) * | 2018-09-11 | 2023-06-09 | 深圳市大地和电气股份有限公司 | 一种降低电动汽车电机控制器asil等级的系统与方法 |
| JP7092071B2 (ja) * | 2019-03-05 | 2022-06-28 | トヨタ自動車株式会社 | 車両用制御装置、車両用制御装置の起動方法及び車両用制御プログラム |
| IT201900007398A1 (it) * | 2019-05-28 | 2020-11-28 | St Microelectronics Srl | Procedimento di sicurezza funzionale, system-on-chip, dispositivo e veicolo corrispondenti |
| JP7226291B2 (ja) * | 2019-12-16 | 2023-02-21 | 株式会社デンソー | 電子制御装置 |
| CN115461723A (zh) * | 2020-04-27 | 2022-12-09 | 三菱电机株式会社 | 信息处理装置以及信息处理方法 |
| GB2594530B (en) * | 2020-06-09 | 2022-06-22 | Ineos Automotive Ltd | An automobile control system |
| CN114537156A (zh) * | 2020-11-27 | 2022-05-27 | 北京新能源汽车股份有限公司 | 控制器架构及电动汽车 |
| CN114243895B (zh) * | 2022-01-26 | 2023-10-10 | 悠跑科技(合肥)有限公司 | 车辆及其供电系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7406711B2 (en) * | 2005-09-02 | 2008-07-29 | Motorola, Inc. | Method and apparatus for enforcing independence of processors on a single IC |
| DE102007045398A1 (de) * | 2007-09-21 | 2009-04-02 | Continental Teves Ag & Co. Ohg | Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen |
| JP2009251967A (ja) * | 2008-04-07 | 2009-10-29 | Toyota Motor Corp | マルチコアシステム |
| JP2012006535A (ja) * | 2010-06-28 | 2012-01-12 | Autonetworks Technologies Ltd | 車載電子制御装置 |
| DE102010041492A1 (de) * | 2010-09-28 | 2012-03-29 | Robert Bosch Gmbh | Verfahren und Anordnung zur Überwachung mindestens einer Batterie, Batterie mit einer solchen Anordnung sowie ein Kraftfahrzeug mit einer entsprechenden Batterie |
| JP2013171467A (ja) * | 2012-02-21 | 2013-09-02 | Toyota Motor Corp | 情報処理装置、車両用電子制御装置、データ読み書き方法 |
| JP5813547B2 (ja) * | 2012-03-23 | 2015-11-17 | 株式会社デンソー | 車両挙動制御システム |
-
2013
- 2013-12-20 JP JP2013263348A patent/JP5867495B2/ja active Active
-
2014
- 2014-10-22 US US14/520,482 patent/US20150175170A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| US20150175170A1 (en) | 2015-06-25 |
| JP2015118662A (ja) | 2015-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5867495B2 (ja) | 電子制御装置 | |
| JP5968501B1 (ja) | 車載電子制御装置 | |
| EP2045721B1 (en) | Multicore abnormality monitoring device | |
| JP5967059B2 (ja) | 車両用電子制御装置 | |
| JP6145345B2 (ja) | 自動車用電子制御装置 | |
| US20180259577A1 (en) | Electronic control apparatus and method | |
| JP6306530B2 (ja) | 自動車用電子制御装置 | |
| JP2013143095A (ja) | 電子制御装置、メモリ検査方法 | |
| JP5842783B2 (ja) | 車両用制御装置 | |
| KR20150107636A (ko) | 컴퓨터 유닛 모니터링 방법 | |
| JP2013171467A (ja) | 情報処理装置、車両用電子制御装置、データ読み書き方法 | |
| WO2015136844A1 (ja) | 電子制御装置 | |
| JP2012068788A (ja) | 情報処理装置、異常検出方法 | |
| JP6524989B2 (ja) | 演算器の動作保証方法 | |
| JP6466269B2 (ja) | 電子制御装置及びスタック領域の使用監視方法 | |
| Baumeister | Using Decoupled Parallel Mode for Safety Applications | |
| WO2017002939A1 (ja) | 電子制御装置及びスタック使用方法 | |
| JP7414667B2 (ja) | 電子制御装置 | |
| JP6016258B2 (ja) | 車両用エンジン制御装置 | |
| JP2019094889A (ja) | 車載制御装置 | |
| US9043084B2 (en) | Method for configuring a control apparatus for a motor vehicle, computer program and control apparatus | |
| JP2021076021A (ja) | 電子制御装置 | |
| JP2023009818A (ja) | 車両用電子制御装置及び車両用電子制御装置による制御方法 | |
| Ruggeri et al. | A High Functional Safety Performance Level Machine Controller for a Medium Size Agricultural Tractor | |
| JPS61175825A (ja) | 自動車用コンピュータの誤動作防止方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150724 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151125 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151208 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151221 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 5867495 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |