JP5867495B2 - 電子制御装置 - Google Patents
電子制御装置 Download PDFInfo
- Publication number
- JP5867495B2 JP5867495B2 JP2013263348A JP2013263348A JP5867495B2 JP 5867495 B2 JP5867495 B2 JP 5867495B2 JP 2013263348 A JP2013263348 A JP 2013263348A JP 2013263348 A JP2013263348 A JP 2013263348A JP 5867495 B2 JP5867495 B2 JP 5867495B2
- Authority
- JP
- Japan
- Prior art keywords
- cpu
- monitoring
- function
- area
- monitoring function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006870 function Effects 0.000 claims description 224
- 238000012544 monitoring process Methods 0.000 claims description 177
- 230000015654 memory Effects 0.000 claims description 34
- 230000007246 mechanism Effects 0.000 claims description 24
- 230000002265 prevention Effects 0.000 claims description 3
- 238000000354 decomposition reaction Methods 0.000 description 8
- 238000012986 modification Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 230000005856 abnormality Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000000034 method Methods 0.000 description 5
- 239000000446 fuel Substances 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000002485 combustion reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 102000004169 proteins and genes Human genes 0.000 description 1
- 108090000623 proteins and genes Proteins 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/023—Avoiding failures by using redundant parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0002—Automatic control, details of type of controller or control system architecture
- B60W2050/0004—In digital systems, e.g. discrete-time systems involving sampling
- B60W2050/0006—Digital architecture hierarchy
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Human Computer Interaction (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Safety Devices In Control Systems (AREA)
Description
当該電子制御装置は、第1CPU(11)と第2CPU(21)とを含む複数のCPUを有するとともに、それら複数のCPUによって共通使用されるメモリ(26、27)を有し、
第1CPU及び第2CPUは、それぞれ、分解された低次の安全度水準による安全機構として、システムの制御機能(13)が正しく実行されているかを監視する第1監視機能(15、22)、及び第1監視機能が正しく動作しているかを監視する第2監視機能(16、23)を実行し、
メモリ(26、27)は、第1CPUが各監視機能を実行するために使用する第1領域と、第2CPUが各監視機能を実行するために使用する、第1領域とは異なる第2領域とを有し、
第1CPUによる各監視機能の実行に伴うメモリの第2領域への干渉、及び第2CPUによる各監視機能の実行に伴うメモリの第1領域への干渉について、その防止と、干渉発生時の履歴の記録とのいずれか一方を行う干渉対策手段(25)と、を備えることを特徴とする。
例えば、上述した実施形態では、MPU25を用いて、各監視機能に関し、それぞれの監視機能の実行のために確保されているRAM26及びROM27のメモリ領域への、他の制御機能や監視機能の実行に伴うアクセスを禁止した。しかしながら、MPU25を用いることなく、干渉に対する対策を取ることも可能である。例えば、各監視機能のプログラムに、設定されたRAM領域にデータを書き込むときには、複数箇所に同じデータを書き込む機能を織り込む(同一データ書込手段)。さらに、そのプログラムの一部に、その複数箇所のデータの同一性を判定する機能(判定手段)、データの同一性が失われたと判定された場合に、該当するデータの書き換えを禁止して、干渉の履歴を残す機能、及び干渉の履歴に応じて、上位機能のリセットや、駆動回路への停止信号の出力などを行うフェールセーフ機能を織り込む。このようにしても、各監視機能に関する干渉に対する対策を取ることができる。
上述した実施形態は、マイコン10が内蔵するWDT24を利用して、第2CPU21が正常に動作しているか否かを検出するものであった。共通原因にて、第2CPU21とWDT24とが同時に故障する可能性が非常に低い場合には、上述した実施形態のように、マイコン10が内蔵するWDT24を用いることも可能である。ただし、共通原因故障の発生をより確実に回避することを考えた場合には、図3に示すように、マイコン10の外部にWDT24を別途設置することが好ましい。
上述した実施形態では、第1CPU11が、既存システムを制御するための制御機能である第1機能12、及びその既存システムに統合される新たなシステムを制御するための制御機能である第2機能13を実行するとともに、それらの安全機構としての各監視機能を実行するものであった。
また、上述した実施形態では、高次の安全度水準として、ASIL‐Dを、ASIL‐C(D)とASIL‐A(D)とに分解した場合の例を示したが、例えばASIL‐Cを、ASIL‐B(C)とASIL‐A(C)とに分解する場合などにも本発明を適用することができる。
11 第1CPU
17 監視IC
21 第2CPU
24 ウオッチドッグタイマ(WDT)
Claims (7)
- 電子制御装置により電子制御されるシステムが、機能安全性規格ISO26262に規定された高次の安全度水準(ASIL)による機能安全が求められる場合に、その高次の安全度水準を、デコンポジションにより複数の低次の安全度水準に分解し、それら分解された低次の安全度水準による安全機構を実現するための電子制御装置(10)であって、
当該電子制御装置は、第1CPU(11)と第2CPU(21)とを含む複数のCPUを有するとともに、それら複数のCPUによって共通使用されるメモリ(26、27)を有し、
前記第1CPU及び第2CPUは、それぞれ、分解された低次の安全度水準による安全機構として、前記システムの制御機能(13)が正しく実行されているかを監視する第1監視機能(15、22)、及び前記第1監視機能が正しく動作しているかを監視する第2監視機能(16、23)を実行し、
前記メモリ(26、27)は、前記第1CPUが各監視機能を実行するために使用する第1領域と、前記第2CPUが各監視機能を実行するために使用する、前記第1領域とは異なる第2領域とを有し、
前記第1CPUによる前記各監視機能の実行に伴う前記メモリの前記第2領域への干渉、及び前記第2CPUによる前記各監視機能の実行に伴う前記メモリの前記第1領域への干渉について、その防止と、干渉発生時の履歴の記録とのいずれか一方を行う干渉対策手段(25)と、を備えることを特徴とする電子制御装置。 - 前記干渉対策手段(25)は、メモリプロテクションユニットを備え、当該メモリプロテクションユニットが、前記第1CPUによる前記各監視機能の実行に伴う前記メモリの第2領域へのアクセス、及び前記第2CPUによる前記各監視機能の実行に伴う前記メモリの第1領域へのアクセスを禁止することを特徴とする請求項1に記載の電子制御装置。
- 前記メモリ(26、27)は、前記第1CPU及び第2CPUが各監視機能を実行するためのソフトウエアを格納するROM(27)と、各監視機能の実行時のワークメモリとしてのRAM(26)を含み、当該ROM及びRAMに、それぞれ前記第1領域と第2領域とが設定され、
前記メモリプロテクションユニットは、前記第1CPUによる前記各監視機能の実行時には、前記ROM及びRAMの第2領域へのアクセスを禁止し、前記第2CPUによる前記各監視機能の実行時には、前記ROM及びRAMの第1領域へのアクセスを禁止することを特徴とする請求項2に記載の電子制御装置。 - 前記システムの制御機能は、前記複数のCPUのうちの少なくとも1つのCPUによって実行され、当該CPUによる前記制御機能の実行時には、前記メモリプロテクションユニットが、前記メモリの第1領域及び第2領域へのアクセスを禁止することを特徴とする請求項2に記載の電子制御装置。
- 前記メモリ(26、27)は、前記第1CPU及び第2CPUが各監視機能を実行する際のワークメモリとしてのRAM(26)を含み、当該RAMに、それぞれ前記第1領域と第2領域とが設定され、
前記干渉対策手段は、
前記第1CPUによる前記各監視機能の実行に伴い前記RAMの第1領域にデータが書き込まれるとき、及び前記第2CPUによる前記各監視機能の実行に伴い前記RAMの第2領域にデータが書き込まれるときに、複数箇所に同じデータを書き込む同一データ書込手段と、
前記複数箇所に書き込まれたデータの同一性を判定する判定手段と、を備え、
前記複数箇所に書き込まれたデータの同一性が失われた場合に、その同一性が失われたデータを、干渉の履歴として残すことを特徴とする請求項1に記載の電子制御装置。 - さらに、前記安全機構として、前記第1CPUの動作を監視する第1監視手段(17)を備えることを特徴とする請求項1乃至5のいずれか1項に記載の電子制御装置。
- さらに、前記安全機構として、前記第2CPUの動作を監視する第2監視手段(24)を備えることを特徴とする請求項1乃至6のいずれか1項に記載の電子制御装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013263348A JP5867495B2 (ja) | 2013-12-20 | 2013-12-20 | 電子制御装置 |
US14/520,482 US20150175170A1 (en) | 2013-12-20 | 2014-10-22 | Electronic control unit |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013263348A JP5867495B2 (ja) | 2013-12-20 | 2013-12-20 | 電子制御装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015118662A JP2015118662A (ja) | 2015-06-25 |
JP5867495B2 true JP5867495B2 (ja) | 2016-02-24 |
Family
ID=53399193
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013263348A Active JP5867495B2 (ja) | 2013-12-20 | 2013-12-20 | 電子制御装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20150175170A1 (ja) |
JP (1) | JP5867495B2 (ja) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10063370B2 (en) | 2014-09-11 | 2018-08-28 | Infineon Technologies Ag | Method and device for checking an identifier |
US9699184B2 (en) * | 2014-09-11 | 2017-07-04 | Infineon Technologies Ag | Method and device for processing data |
FR3031406B1 (fr) * | 2015-01-05 | 2017-07-28 | Valeo Schalter & Sensoren Gmbh | Architecture pour systeme d'aide a la conduite a automatisation conditionnelle |
WO2017056725A1 (ja) * | 2015-09-30 | 2017-04-06 | 日立オートモティブシステムズ株式会社 | 車載制御装置 |
JP6465003B2 (ja) * | 2015-11-30 | 2019-02-06 | 株式会社デンソー | 電子制御装置 |
CN108287931B (zh) * | 2017-01-10 | 2021-11-05 | 大陆泰密克汽车系统(上海)有限公司 | 用于优化车辆电子控制系统安全参数的方法 |
DE102017210156B4 (de) * | 2017-06-19 | 2021-07-22 | Zf Friedrichshafen Ag | Vorrichtung und Verfahren zum Ansteuern eines Fahrzeugmoduls |
CN109130885B (zh) * | 2018-09-11 | 2023-06-09 | 深圳市大地和电气股份有限公司 | 一种降低电动汽车电机控制器asil等级的系统与方法 |
JP7092071B2 (ja) * | 2019-03-05 | 2022-06-28 | トヨタ自動車株式会社 | 車両用制御装置、車両用制御装置の起動方法及び車両用制御プログラム |
IT201900007398A1 (it) * | 2019-05-28 | 2020-11-28 | St Microelectronics Srl | Procedimento di sicurezza funzionale, system-on-chip, dispositivo e veicolo corrispondenti |
JP7226291B2 (ja) * | 2019-12-16 | 2023-02-21 | 株式会社デンソー | 電子制御装置 |
CN115461723A (zh) * | 2020-04-27 | 2022-12-09 | 三菱电机株式会社 | 信息处理装置以及信息处理方法 |
GB2594530B (en) * | 2020-06-09 | 2022-06-22 | Ineos Automotive Ltd | An automobile control system |
CN114537156A (zh) * | 2020-11-27 | 2022-05-27 | 北京新能源汽车股份有限公司 | 控制器架构及电动汽车 |
CN114243895B (zh) * | 2022-01-26 | 2023-10-10 | 悠跑科技(合肥)有限公司 | 车辆及其供电系统 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7406711B2 (en) * | 2005-09-02 | 2008-07-29 | Motorola, Inc. | Method and apparatus for enforcing independence of processors on a single IC |
DE102007045398A1 (de) * | 2007-09-21 | 2009-04-02 | Continental Teves Ag & Co. Ohg | Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen |
JP2009251967A (ja) * | 2008-04-07 | 2009-10-29 | Toyota Motor Corp | マルチコアシステム |
JP2012006535A (ja) * | 2010-06-28 | 2012-01-12 | Autonetworks Technologies Ltd | 車載電子制御装置 |
DE102010041492A1 (de) * | 2010-09-28 | 2012-03-29 | Robert Bosch Gmbh | Verfahren und Anordnung zur Überwachung mindestens einer Batterie, Batterie mit einer solchen Anordnung sowie ein Kraftfahrzeug mit einer entsprechenden Batterie |
JP2013171467A (ja) * | 2012-02-21 | 2013-09-02 | Toyota Motor Corp | 情報処理装置、車両用電子制御装置、データ読み書き方法 |
JP5813547B2 (ja) * | 2012-03-23 | 2015-11-17 | 株式会社デンソー | 車両挙動制御システム |
-
2013
- 2013-12-20 JP JP2013263348A patent/JP5867495B2/ja active Active
-
2014
- 2014-10-22 US US14/520,482 patent/US20150175170A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
US20150175170A1 (en) | 2015-06-25 |
JP2015118662A (ja) | 2015-06-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5867495B2 (ja) | 電子制御装置 | |
JP5968501B1 (ja) | 車載電子制御装置 | |
EP2045721B1 (en) | Multicore abnormality monitoring device | |
JP5967059B2 (ja) | 車両用電子制御装置 | |
JP6145345B2 (ja) | 自動車用電子制御装置 | |
US20180259577A1 (en) | Electronic control apparatus and method | |
JP6306530B2 (ja) | 自動車用電子制御装置 | |
JP2013143095A (ja) | 電子制御装置、メモリ検査方法 | |
JP5842783B2 (ja) | 車両用制御装置 | |
KR20150107636A (ko) | 컴퓨터 유닛 모니터링 방법 | |
JP2013171467A (ja) | 情報処理装置、車両用電子制御装置、データ読み書き方法 | |
WO2015136844A1 (ja) | 電子制御装置 | |
JP2012068788A (ja) | 情報処理装置、異常検出方法 | |
JP6524989B2 (ja) | 演算器の動作保証方法 | |
JP6466269B2 (ja) | 電子制御装置及びスタック領域の使用監視方法 | |
Baumeister | Using Decoupled Parallel Mode for Safety Applications | |
WO2017002939A1 (ja) | 電子制御装置及びスタック使用方法 | |
JP7414667B2 (ja) | 電子制御装置 | |
JP6016258B2 (ja) | 車両用エンジン制御装置 | |
JP2019094889A (ja) | 車載制御装置 | |
US9043084B2 (en) | Method for configuring a control apparatus for a motor vehicle, computer program and control apparatus | |
JP2021076021A (ja) | 電子制御装置 | |
JP2023009818A (ja) | 車両用電子制御装置及び車両用電子制御装置による制御方法 | |
Ruggeri et al. | A High Functional Safety Performance Level Machine Controller for a Medium Size Agricultural Tractor | |
JPS61175825A (ja) | 自動車用コンピュータの誤動作防止方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150724 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151125 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151208 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151221 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5867495 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |