JP6140448B2 - 制御装置内の監視構想 - Google Patents
制御装置内の監視構想 Download PDFInfo
- Publication number
- JP6140448B2 JP6140448B2 JP2012546359A JP2012546359A JP6140448B2 JP 6140448 B2 JP6140448 B2 JP 6140448B2 JP 2012546359 A JP2012546359 A JP 2012546359A JP 2012546359 A JP2012546359 A JP 2012546359A JP 6140448 B2 JP6140448 B2 JP 6140448B2
- Authority
- JP
- Japan
- Prior art keywords
- monitoring
- module
- computer
- functional
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims description 160
- 238000012806 monitoring device Methods 0.000 claims description 47
- 238000012360 testing method Methods 0.000 claims description 43
- 230000006870 function Effects 0.000 claims description 34
- 238000000034 method Methods 0.000 claims description 28
- 230000004044 response Effects 0.000 claims description 27
- 230000006399 behavior Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims description 4
- 230000007704 transition Effects 0.000 claims description 4
- 230000001960 triggered effect Effects 0.000 claims 1
- ATHVAWFAEPLPPQ-VRDBWYNSSA-N 1-stearoyl-2-oleoyl-sn-glycero-3-phosphocholine Chemical compound CCCCCCCCCCCCCCCCCC(=O)OC[C@H](COP([O-])(=O)OCC[N+](C)(C)C)OC(=O)CCCCCCC\C=C/CCCCCCCC ATHVAWFAEPLPPQ-VRDBWYNSSA-N 0.000 description 8
- 230000000903 blocking effect Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000003745 diagnosis Methods 0.000 description 2
- 235000001674 Agaricus brunnescens Nutrition 0.000 description 1
- 101100391172 Dictyostelium discoideum forA gene Proteins 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- VYMDGNCVAMGZFE-UHFFFAOYSA-N phenylbutazonum Chemical compound O=C1C(CCCC)C(=O)N(C=2C=CC=CC=2)N1C1=CC=CC=C1 VYMDGNCVAMGZFE-UHFFFAOYSA-N 0.000 description 1
- 238000005316 response function Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
Images
Classifications
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
- F02D41/266—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/22—Safety or indicating devices for abnormal conditions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/076—Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0793—Remedial or corrective actions
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/02—Circuit arrangements for generating control signals
- F02D41/14—Introducing closed-loop corrections
- F02D41/1401—Introducing closed-loop corrections characterised by the control or regulation method
- F02D2041/1411—Introducing closed-loop corrections characterised by the control or regulation method using a finite or infinite state machine, automaton or state graph for controlling or modelling
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D2400/00—Control systems adapted for specific engine types; Special features of engine control systems not otherwise provided for; Power supply, connectors or cabling for engine control systems
- F02D2400/08—Redundant elements, e.g. two sensors for measuring the same parameter
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Computer Hardware Design (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Debugging And Monitoring (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
Description
【技術分野】
【0001】
本発明は、独立請求項の上位概念に記載の、演算器を監視するための方法に関し、当該方法を実行するための計算要素、プロセッサ及び監視要素に関する。
【0002】
演算器を有する制御装置を単体でなくて又はフェイルセーフに自動車内で使用するための様々な技術思想が存在する。制御装置の当該フェイルセーフは、3つの層から成る技術思想(3−Ebenen Konzept)によって達成可能である。
【背景技術】
【0003】
車両の駆動装置を制御するための装置が、ドイツ連邦共和国特許出願公開第4438714号明細書から公知である。この場合出力を制御する制御装置はただ1つの演算器だけを有する。この演算器は遮断バスの制御及び監視を実行する。当該制御及び監視を実行するため、互いに独立した2つの層がただ1つの演算器内に設けられている。第1の層内で出力制御機能が求められ、第2の層内で特に監視モジュールとの共同動作でこれらの機能にしたがって演算器自体の動作能力が監視されることによって、作動の確実性及び利用可能性が保証される。
【0004】
更にドイツ連邦共和国特許出願公開第4438714号明細書には、第2の層の経過監視を実行する第3の層が記載されている。第3の層によるこの監視は、制御装置の信頼性及び利用可能性を著しく高める。特に、当該経過監視は、問い合わせ−応答通信として監視モジュール内で実行される。
【0005】
当該3つの層の監視構想(EGAS構想)は、好ましくは自動車のエンジン制御装置で電子式のエンジン制御システムを監視するために使用される。この場合、当該機関制御装置は、いわゆる機能計算機と監視計算機とから構成される。機能計算機と監視計算機とが、問い合わせ−応答方法によって通信する。更に、当該機能計算機と監視計算機とは、別個の遮断バスを有する。
【0006】
層1は、自動車の駆動装置の機能を制御するための固有の機能モジュールを有する。したがって、この層1は機能層とも称される。この層1は、特に、要求されたエンジントルクに変換するためのエンジン制御機能、構成要素の監視、入力変数及び出力変数の診断を有し、欠陥の認識時のシステム応答の制御を有する。この層1は、機能計算機上に構成される。
【0007】
機能監視層とも称される層2は、安全モジュールを有し、同様に機能計算機上に構成される。この層2は、層1の機能モジュールの監視に関連する周囲のエラーのあるシーケンスを、特に、計算されたエンジントルク又は自動車の加速度を監視することによって検出する。エラーの発生時に、例えば安全性に関連する出力段の遮断のような、システム応答の起動が実行される。
【0008】
層2は、機能計算機の、層3によって保護されたハードウェア領域内で実行される。計算機監視層とも称される当該層3は、指令セットテストとプログラムフロー監視とA/D変換器テストと層2の周期的で且つ完全なメモリテストとを有する独立した機能計算機上に監視モジュールを備える。この監視モジュールは機能計算機上に構成される。この機能計算機から独立した監視計算機が、問い合わせ−応答方法によって、この機能計算機の、プログラム命令の規則通りの処理をテストする。エラーの発生時に、システム応答の起動が、この機能計算機とは無関係に実行される。
【0009】
現在の電子式のエンジン制御システムでは、機能ソフトウェアと監視ソフトウェアとの全体が、制御装置内に組み込まれている。当該監視思想は、その他の車両制御装置、特に変速機制御装置で実現されてもよい。
【0010】
幾つかの監視思想が、従来の技術から公知である。当該監視思想では、1つの監視計算機が、ただ1つの監視装置(モニタリング装置)によって機能計算機内で1つより多いプログラムフロー監視を実行する。この場合、この1つの監視装置が、個々のプログラムフロー監視からの個々の応答を同期し、当該個々の応答を1つの全応答に合成する必要がある。したがって、これらの応答の、当該同期時と当該合成時との双方で、エラーが発生し得る。
【先行技術文献】
【特許文献】
【特許文献1】ドイツ連邦共和国特許出願公開第4438714号明細書
【発明の概要】
【発明が解決しようとする課題】
【0011】
したがって、本発明の課題は、自動車の制御装置内の演算器を監視するための公知の方法を改良することにある。
【課題を解決するための手段】
【0012】
本発明によれば、この課題は独立請求項1に記載の:
自動車の制御装置内の演算器を監視するための方法であって、
前記演算器は、主に3つのプログラムモジュール、すなわち機能モジュール(E1)、安全モジュール(E2)及び監視モジュール(E3)を有し、前記自動車の走行挙動が、これらのプログラムモジュールによって影響され、
前記演算器が、これらのプログラムモジュールを使用することで、少なくとも1つの入力変数に応じて、前記自動車の少なくとも1つの機能を制御するための少なくとも1つの変数を生成し、
第1の前記プログラムモジュールが、前記自動車の機能を制御するための前記機能モジュール(E1)であり、
第2の前記プログラムモジュールが、前記機能モジュール(E1)を検査するための前記安全モジュール(E2)であり、
第3の前記プログラムモジュールが、少なくとも前記安全モジュール(E2)を検査するための前記監視モジュール(E3)である当該方法において、
対応する1つのモニタリング要素(ME1,ME2)が、前記安全モジュール(E2)の監視(K1)又は前記監視モジュール(E3)の監視(K2)のために2つのモニタリング装置(MU1,MU2)の各々で実行され、それぞれ1つの状態機械(SM1,SM2)が、ハードウェアとして構成された付随する前記モニタリング装置(MU1,MU2)を、前記機能モジュール(E1)によって環境設定するために前記制御装置の起動によって前記演算器内で実行され、
1つの状態機械(SM1,SM2)が、各モニタリング要素(ME1,ME2)内に存在し、当該2つの状態機械(SM1,SM2)が、正常に実行されたときに、これらのモニタリング装置(MU1,MU2)が、当該それぞれのモニタリング要素(ME1,ME2)によってこれらのモニタリング装置(MU1,MU2)の前記監視(K1,K2)を開始することによって解決される。
【0013】
上記の自動車の制御装置内の本発明による演算器は、実質的に3つのソフトウェアプログラムモジュールを有する、すなわち自動車の機能を制御する機能モジュールと、この機能モジュールを検査するための安全モジュールと、少なくともこの安全モジュールを監視するための監視モジュールとを有する。
【0014】
本発明の要旨は、監視モジュールがソフトウェアとして構成された互いに独立した2つのモニタリング要素を有し、各モニタリング要素がハードウェアとして構成されたそれぞれ1つのモニタリング装置に割り当てられている点にある。
【0015】
したがって、時間的に全く異なる複数のソフトウェアタスクが監視され得る。2つの正確な応答が、正しい時間窓内で転送されるときだけ、安全性に重要なバスが使用可能になる。
【0016】
付随する1つのモニタリング装置を環境設定するため、それぞれ1つのいわゆる状態機械が、特に制御装置を起動することによって演算器内で実行される。1つの状態機械は、複数の状態から成る、いわゆるステートとしての状態遷移と動作とから成る行動モデルである。1つの状態が、過去に関する情報を記憶する。この状態は、システムの開始から現在の時点までの入力の変化を反映する。1つの状態遷移が、当該状態機械の状態の変化を示し、その遷移を可能にするために満たす必要がある論理条件によって記述される。1つの動作が、特定の状況で実行される当該状態機械の出力である。
【0017】
2つの状態機械が正常に実行されたときに、好ましくは、2つのモニタリング装置が、そのそれぞれのモニタリング要素によって演算器の監視を開始する。
【0018】
第1のモニタリング装置が、第1のモニタリング要素によって、特にメモリテストとプログラムフロー監視とを安全モジュール内で第1の監視として実行する。更に、第2のモニタリング装置が、第2のモニタリング要素によって、特に命令セットテストとA/D変換器テストとを監視モジュール内で第2の監視として実行する。好ましくは、当該それぞれの監視が、いわゆるテストバスを経由して実行される。
【0019】
特に、エラーが発生したときに、機能計算機又は監視計算機が、例えば安全性に関連する出力段を正確に遮断できることを、遮断バステストが保証する。
【0020】
当該2つの監視のうちの1つの監視におけるエラーの発生時に、それぞれ1つのエラーカウンタが操作され、自由にプログラミング可能なエラー反応閾値を超えると、機能モジュールとは無関係に、システム反応が、監視計算機によって起動されることを特に強調する必要がある。
【0021】
当該システム応答は、自動車を制限された非常モードに移行させる。当該非常モードは、例えば、車道の停車帯上になんとか停止させることを可能にする。
【0022】
この場合、当該エラーカウントが、安全性を向上させるために好ましくは非対称に実行される。すなわち、問い合わせ−応答方法で間違った応答時に、当該エラーカウントが、2回カウントアップされ、これに対して正しい応答時には、1回だけカウントダウンされる。
【0023】
好ましくは、演算器内の制御装置の初期化時に、対応するモニタリング装置が環境設定される。この工程では、様々なパラメータの中でも、例えば、応答時間、問い合わせ−応答方法の応答時間窓、安全性に関連する出力段のための遮断閾値、及びリセット許可を伴うリセット閾値がセットされる。この場合、当該パラメータは、モニタリング装置ごとに互いに全く異なってもよい。しかし、双方のモニタリング装置が、同一に環境設定されることも考えられる。
【0024】
対応する1つのモニタリング装置の当該環境設定が、対応する1つのINIT状態だけで可能であること、及び、特定の状態遷移だけが、1つの状態機械で許可されることが顕著な利点である。さらに、特に、当該INIT状態へのリターンが、状態RESETだけによって実行される。したがって、当該パラメータが、故意に又は故意でなく事後的に変更され得ることが阻止される。
【0025】
本発明の別の課題は、上記の従来技術に比べて改善されたプロセッサを、自動車の制御装置内の上記の演算器によって提供することにある。
【0026】
本発明によれば、この課題は、独立請求項8に記載の特徴を有するプロセッサによって解決される。
【0027】
詳しく上述したように、制御装置の演算器が、主に3つのプログラムモジュールとして機能モジュール、安全モジュール及び監視モジュールを有し、当該演算器が、プロセッサ上に構成される。このプロセッサは、特に、機能計算機と監視計算機とに分割されている。この場合、この機能モジュール、この安全モジュール及びこの監視モジュールは、この機能計算機上に構成される。この監視計算機は、通常はインタフェースを通じて問い合わせ−応答方法によってこの機能計算機と通信する。
【0028】
本発明の要旨は、機能計算機と監視計算機とが、物理的に独立して互いに離れていて、この監視計算機が、互いに機能的に独立した2つのモニタリング装置をさらに有することである。この機能計算機のプログラム命令の規則通りの処理を監視するため、それぞれ1つの監視が、この機能計算機内で好ましくは各モニタリング装置によって実行可能である。これにより、監視方法が、有益に促進され且つより確実に実行され得る。
【0029】
以下に、本発明の利点及び詳細を、添付図面に関連させて、実施の形態に基づいて詳しく説明する。この場合、個々のバリエーションで説明されている特徴及び関係は、基本的に全ての実施の形態に適用可能である。
【図面の簡単な説明】
【0030】
【図1】 複数のモジュール(ソフトウェア)と複数の計算機(ハードウェア)-とに分割された3つの層から成る技術思想を示す。
【図2】 複数の状態と複数の遷移と複数の条件とを有する1つの状態機械を示す。
【発明を実施するための形態】
【0031】
図1中の、一点鎖線又は破線の枠を成す複数の四角形がそれぞれ、1つのハードウェア要素を示し、実線の枠を成す複数の四角形がそれぞれ、ソフトウェア要素を示す。これらの四角形間の複数の直線の矢印がそれぞれ、1つのデータ交換を示す。
【0032】
図1は、例えば、自動車内のエンジン制御装置又は変速機制御装置で使用されるような、主にEGASの技術思想から公知の3層監視モデル(3−Ebenen−Ueberwachungsmodell)を示す。
【0033】
第1の一点鎖線の四角形は、プロセッサの機能計算機(FR)を示す。第2の一点鎖線の四角形は、このプロセッサの監視計算機(UR)を示す。機能計算機FRと監視計算機URは、物理的に互いに離れて分離されるようにこのプロセッサ上に配置されている。この監視計算機(UR)は、例えばASICとして構成され得る。3つのプログラムモジュールが、機能モジュール(E1)、安全モジュール(E2)及び監視モジュール(E3)として機能計算機(FR)上に構成される。
【0034】
当該機能モジュール(E1)は、機能層とも称されるEGASの技術思想の層1を示す。この層1は、特に、自動車の駆動装置の機能制御に使用され、上述したように、特に、要求されたエンジントルクに変換するためのエンジン制御機能、構成要素の監視、入力変数及び出力変数の診断を有し、欠陥の認識時のシステム応答の制御を有する。
【0035】
当該安全モジュール(E2)は、機能監視層とも称されるEGASの技術思想の層2を示す。この層2は、層1の機能モジュール(E1)の、監視に関連する範囲のエラーのあるシーケンスを検出する。したがって、特に、計算されたエンジントルク又は例えば自動車の加速度が監視される。エラーが発生すると、特にシステム応答の起動が実行される。当該安全モジュール(E2)は、基本的には、機能計算機(FR)の、監視モジュールE3によって保護されたハードウェア領域内で実行される。
【0036】
当該監視モジュール(E3)は、計算機監視層とも称されるEGASの技術思想の層3を示す。この監視モジュール(E3)は、特に、この監視計算機(UR)から独立した機能計算機(FR)上に構成される。この監視計算機(UR)は、例えば少なくとも1つの問い合わせ−応答方法によってこの機能計算機(FR)のプログラム命令の規則通りの処理をテストする。エラーが発生すると、特に、システム応答の起動が、この機能計算機(FR)に関係なく実行される。
【0037】
当該監視計算機(UR)は、互いに独立した主に2つのモニタリング装置(MU1,MU2)を有する。対応する1つのモニタリング要素(ME1,ME2)が、安全モジュール(E2)の監視(K1)又は監視モジュール(E3)の監視(K2)のために各モニタリング装置(MU1,MU2)上に構成される。
【0038】
すなわち、例えば、第1のモニタリング装置(MU1)が、第1のモニタリング要素(ME1)によって第1の監視(K1)として第1のテストバス(TP1)経由で安全モジュール(E2)内でメモリテストとプログラムフロー監視を実行する。
【0039】
当該第1の監視(K1)と並行して且つ当該監視(K1)と独立して、第2のモニタリング装置(MU2)が、第2のモニタリング要素(ME2)によって第2の監視(K2)として第2のテストバス(TP2)経由で監視モジュール(E3)内で、特に命令セットテストとA/D変換器テストとを実行する。また、第2の監視(K2)が、第1のモニタリング装置(MU1)上で第1のモニタリング要素(ME1)によって第1のテストバス(TP1)経由で実行され、第1の監視(K1)が、第2のモニタリング装置(MU2)上で第2のモニタリング要素(ME2)によって第2のテストバス(TP2)経由で実行されてもよい。
【0040】
特に、上記のプログラムフロー監視は、問い合わせ−応答方法としてモニタリング装置(MU1,MU2)と機能計算機(FR)との間で実行される。対応する問い合わせが、例えば、1つのモニタリング要素(ME1,ME2)に割り当てられた問い合わせ発生器(FG)内で生成される。これらの問い合わせ発生器(FG)は、同一に構成されているが、1つの問い合わせは、ランダムに実行される。したがって、モニタリング装置(MU1)からの問い合わせとモニタリング装置(MU2)からの問い合わせとは、事実上常に異なる。
【0041】
エラーが、監視(K1,K2)で発生すると、好ましくは、それぞれ1つのエラーカウンタが、Hレベルにセットされる。自由にプログラミング可能な対応するエラー応答閾値を超えると、特に監視モジュール(E3)によって、システム応答が、機能モジュール(E1)とは無関係に起動される。当該自由にプログラミング可能なエラー応答閾値は、例えば、安全性に関連する出力段の遮断又は機能計算機(FR)のリセットのような、様々なシステム応答に対して異なり得る。当該複数のモニタリング装置(MU1,MU2)のうちの1つのモニタリング装置が、リセットを生成するときに、状態機械(SM1,SM2)と機能計算機(FR)とを含むシステムの全体がリセットされる。しかし、例えば、専らモニタリング装置(MU1)のエラー時に、リセットが起動されるように、当該環境設定が実行されてもよく、また、モニタリング装置(MU2)のエラー時に、安全性に関連する出力段だけが遮断されるように、当該環境設定が実行されてもよい。
【0042】
さらに、リセット命令の生成が、エラー応答として選択的に許可され得るか又は許可され得ないようにしてもよい。
【0043】
好ましくは、監視計算機(UR)の複数の出力部が、相補的に構成されている。例えば、チップの破壊又はいわゆるラッチアップによる、例えばASICとして構成された監視計算機(UR)の完全な故障時に、すなわち半導体素子の、低抵抗状態への移行時に、監視計算機(UR)の全ての出力端が、同時にHレベル又はLレベルにあることが推測される。この場合には、当該相補的な複数の出力部が、図示されなかった外部回路と一緒にシステムの安全バス、すなわちシステムの安全性に関連する出力段を遮断する。当該外部回路は、例えば抵抗とトランジスタとから構成され、当該相補的な複数の出力部の組み合わせだけが安全性に関連する出力段を使用可能にするように動作する。
【0044】
図2は、1つの状態機械を示す。この状態機械は、好ましくは僅かなハードウェア費用で実現可能である。この場合、当該状態機械のこの実施の形態は、ソフトウェアとして構成された状態機械より速く、より確実で且つより故障しにくい。さらに、この実施の形態は、改竄不可能である。既に冒頭で説明したように、1つの状態機械は、複数の状態から成る、いわゆるステートとしての状態遷移と動作とから成る行動モデルである。1つの状態が、過去に関する情報を記憶する。この状態は、システムの開始から現在の時点までの入力の変化を反映する。1つの状態遷移が、当該状態機械の状態の変化を示し、その遷移を可能にするために満たす必要がある論理条件によって記述される。1つの動作が、特定の状況で実行される当該状態機械の出力である。この状態機械は、ディジタル回路内で主にメモリにプログラミング可能な制御装置、論理ゲート、フリップフロップ又はリレーによって実現可能である。当該ハードウェアを稼働させるためには、一般には、状態変数を記憶するためのレジスタ、状態遷移を選択する論理装置、及び出力に対して権限を有する別の論理装置が使用される。固有の1つの状態機械(SM1、SM2)が、各モニタリング要素(ME1,ME2)に割り当てられている。
【0045】
制御装置の初期化時又はリセット後に、(INIT)状態が使用される。この(INIT)状態では、モニタリング装置(MU1,MU2)が、監視計算機(UR)と機能計算機(FR)との間の通信インタフェースを通じて機能モジュール(E1)によって環境設定される。この場合、特に、応答時間、応答時間窓、エラー応答閾値、特に遮断閾値(thresh)、及びリセット閾値(reset thresh)がセットされる。
【0046】
当該状態機械(SM1,SM2)の実行時の当該応答時間は、ほぼ自由に環境設定可能であり、通常は1ms〜255msの範囲内にある。
【0047】
特に、応答時間窓も、当該状態機械内にセットされ、主に1ms〜255msの範囲にある。応答時間と応答時間窓との間の比は、特に自由に変更可能である。
【0048】
さらに、エラーカウンタをINIT状態で遮断されたままにさせることを保証するため、エラーカウンタの初期値が、遮断閾値(thresh)より上に自動的にセットされる。モニタリング要素(ME1,ME2)の環境設定が、動作(EOI)(INITの終了)によって完了されていて、もはや変更不可能でもある。したがって、状態(SOPCDIS)(=遮断バステスト使用不可能)への状態遷移が実行される。この場合、(SOPC)は、遮断バステストである。この場合、1つの遮断バステストは、エラーが発生したときに、機能計算機又は監視計算機が、例えば安全性に関連する出力段を正しく遮断できることを保証できる。この状態では、この出力段はまだ使用可能でない。
【0049】
当該遮断バステストでは、状態(SOPCDIS)及び状態(SOPCENA)が使用される。出力段が、当該前者の状態では遮断されていて、当該後者の状態では使用可能である。この解決策の利点は、応答が当該遮断バステスト中に応答時間窓を考慮することなしに可能な限り速く送信され得ることにある。したがって、システムの立ち上がり時間が、短く保持され得る。
【0050】
特にSOPCタイマが、状態(SOPCDIS)の到達によって始動される。このSOPCタイマは、命令(EOSOPC)(=SOPCの終了)まで時間を測定する。当該テストが、非常に長く持続するときに、このテストは中断され、状態(SOPCDIS)が、動作(SOPC timeout)を経由して状態(RESET)に遷移される。
【0051】
当該テストの可能な限り速い経過を保証するため、状態(SOPCDIS)では、監視計算機(UR)と機能計算機(FR)との間の問い合わせ−応答方法が、特に時間制限なしに開始する。すなわち、応答時間窓が開いている。間違った応答時に、エラーカウンタが、カウントアップされる。このエラーカウンタが、1つの遮断閾値(thresh)より下にあるときに、状態SOPCENA(遮断バステスト使用可能)への遷移が、条件(EC<disable thresh)によって特に即座に実行される。すなわち、出力段が使用可能になる。
【0052】
上記の状態(SOPCDIS)から状態DISABLEへの遷移は、条件(EOSOPC)(=遮断バステストの終了)によって実行される。当該条件は、機能計算機(FR)と監視計算機(UR)との間の通信インタフェースを通じて起動される。当該出力段が、状態(SOPCDIS)で規定されているように、使用不可能か又は遮断されたままである。ただ1つの条件は、条件(SOPC timeout)の経過前の正しい命令である。
【0053】
特に状態(SOPCDIS)から状態(SOPCENA)に到達すると、SOPCタイマが、有益に作動し続ける。監視計算機(UR)と機能計算機(FR)との間の問い合わせ−応答方法が、同様に時間的制限なしに実行され続ける。エラーカウンタが、1つの遮断閾値(thresh)に到達したか又はこの遮断閾値を超えたときに、当該状態SOPCDISに戻る遷移が、特に条件(EC≧disable thresh)によって実行される。
【0054】
遮断バステストが、非常に長く持続するときに、この遮断バステストは中断され、状態(SOPCENA)が、条件(SOPC timeout)を経由して状態(RESET)に遷移される。この状態(RESET)から状態(INIT)への当該引き続く遷移は、自動的に実行される。
【0055】
状態(SOPCENA)から状態(NORMAL)への遷移は、主に条件EOSOPCを経由して実行される。この条件EOSOPCは、同様に通信インタフェースを通じて実行される。
【0056】
当該状態(NORMAL)では、出力段が、先行する1つの状態で既に使用可能でなかった場合に、この出力段は使用可能になる。当該状態(NORMAL)では、監視計算機(UR)と機能計算機(FR)との間の問い合わせ−応答方法が続行される。この場合、特に、エラーカウンタのカウンタ値の読み出しが、当該先の状態から引き継がれる。上記遮断バステストの状態(SOPCENA)及び(SOPCDIS)とは違って、当該状態では、特に、応答時間と応答時間窓とに対する時間制限が存在する。機能計算機の作動システムの経過時間の監視を保証するためには、応答は、早すぎても遅すぎてもいけない。当該応答時間は、応答の送信に対して可能な限り遅い時点である。次いで、いわゆる「クローズトウインドウ」が環境設定される。この範囲内では、応答が送信されてはならない。応答時間と「クローズトウインドウ」との差が、「オープンウインドウ」又は応答時間窓を示す。
【0057】
応答時間及び応答時間窓は、状態(INIT)で予めプログラミングされてある。エラーカウンタが、間違った応答時と、応答時間又は応答時間窓を超えた時との双方で有益にカウントアップされる。1つの遮断閾値(thresh)に到達したか又はこの閾値を超えたときに、条件(EC≧disable thresh)による状態(DISABLE)への遷移が実行される。
【0058】
状態(DISABLE)では、出力段が遮断される。この状態では、監視計算機(UR)と機能計算機(FR)との間の問い合わせ−応答方法が、エラーカウンタのカウンタ値を変更しないで続行される。この場合も、応答時間と応答時間窓とに対する時間制限が存在する。当該エラーカウンタが、同様に、間違った応答時と、応答時間又は応答時間窓を超えた時との双方でカウントアップされる。閾値(thresh)を超えたときに、条件(EC<disable thresh)によって、状態(NORMAL)に戻る遷移が実行される。この状態(NORMAL)では、出力段が、再び使用可能にされる。
【0059】
状態DISABLEでは、エラーカウンタが、1つのリセット閾値(reset thresh)に到達し、リセット許可用のレジスタが、予め設定された値1を有すると、条件(EC≧reset thresh AND i_req_rst_en=1)によって、状態(RESET)への遷移が実行される。状態(RESET)から状態(INIT)への遷移が、同様に自動的に実行される。
【0060】
当該状態機械内の実行の全体をさらに速く実現するため、状態(SOPCENA)が、当該状態機械内で省略され得る。この状態(SOPCENA)では、より速い遮断バステストが実行されない。
【0061】
2つの当該状態機械が、正常に実行されたときに、当該2つのモニタリング装置が、(NORMAL)状態で、好ましくは当該それぞれのモニタリング要素によって、演算器の監視を開始する。
【0062】
要約すると、自動車の制御装置内の演算器を監視するための本発明による監視の技術思想が、公知の監視の技術思想と比べて、速さ、プログラミング費用及び安全性に関して改良されている。
【0001】
本発明は、独立請求項の上位概念に記載の、演算器を監視するための方法に関し、当該方法を実行するための計算要素、プロセッサ及び監視要素に関する。
【0002】
演算器を有する制御装置を単体でなくて又はフェイルセーフに自動車内で使用するための様々な技術思想が存在する。制御装置の当該フェイルセーフは、3つの層から成る技術思想(3−Ebenen Konzept)によって達成可能である。
【背景技術】
【0003】
車両の駆動装置を制御するための装置が、ドイツ連邦共和国特許出願公開第4438714号明細書から公知である。この場合出力を制御する制御装置はただ1つの演算器だけを有する。この演算器は遮断バスの制御及び監視を実行する。当該制御及び監視を実行するため、互いに独立した2つの層がただ1つの演算器内に設けられている。第1の層内で出力制御機能が求められ、第2の層内で特に監視モジュールとの共同動作でこれらの機能にしたがって演算器自体の動作能力が監視されることによって、作動の確実性及び利用可能性が保証される。
【0004】
更にドイツ連邦共和国特許出願公開第4438714号明細書には、第2の層の経過監視を実行する第3の層が記載されている。第3の層によるこの監視は、制御装置の信頼性及び利用可能性を著しく高める。特に、当該経過監視は、問い合わせ−応答通信として監視モジュール内で実行される。
【0005】
当該3つの層の監視構想(EGAS構想)は、好ましくは自動車のエンジン制御装置で電子式のエンジン制御システムを監視するために使用される。この場合、当該機関制御装置は、いわゆる機能計算機と監視計算機とから構成される。機能計算機と監視計算機とが、問い合わせ−応答方法によって通信する。更に、当該機能計算機と監視計算機とは、別個の遮断バスを有する。
【0006】
層1は、自動車の駆動装置の機能を制御するための固有の機能モジュールを有する。したがって、この層1は機能層とも称される。この層1は、特に、要求されたエンジントルクに変換するためのエンジン制御機能、構成要素の監視、入力変数及び出力変数の診断を有し、欠陥の認識時のシステム応答の制御を有する。この層1は、機能計算機上に構成される。
【0007】
機能監視層とも称される層2は、安全モジュールを有し、同様に機能計算機上に構成される。この層2は、層1の機能モジュールの監視に関連する周囲のエラーのあるシーケンスを、特に、計算されたエンジントルク又は自動車の加速度を監視することによって検出する。エラーの発生時に、例えば安全性に関連する出力段の遮断のような、システム応答の起動が実行される。
【0008】
層2は、機能計算機の、層3によって保護されたハードウェア領域内で実行される。計算機監視層とも称される当該層3は、指令セットテストとプログラムフロー監視とA/D変換器テストと層2の周期的で且つ完全なメモリテストとを有する独立した機能計算機上に監視モジュールを備える。この監視モジュールは機能計算機上に構成される。この機能計算機から独立した監視計算機が、問い合わせ−応答方法によって、この機能計算機の、プログラム命令の規則通りの処理をテストする。エラーの発生時に、システム応答の起動が、この機能計算機とは無関係に実行される。
【0009】
現在の電子式のエンジン制御システムでは、機能ソフトウェアと監視ソフトウェアとの全体が、制御装置内に組み込まれている。当該監視思想は、その他の車両制御装置、特に変速機制御装置で実現されてもよい。
【0010】
幾つかの監視思想が、従来の技術から公知である。当該監視思想では、1つの監視計算機が、ただ1つの監視装置(モニタリング装置)によって機能計算機内で1つより多いプログラムフロー監視を実行する。この場合、この1つの監視装置が、個々のプログラムフロー監視からの個々の応答を同期し、当該個々の応答を1つの全応答に合成する必要がある。したがって、これらの応答の、当該同期時と当該合成時との双方で、エラーが発生し得る。
【先行技術文献】
【特許文献】
【特許文献1】ドイツ連邦共和国特許出願公開第4438714号明細書
【発明の概要】
【発明が解決しようとする課題】
【0011】
したがって、本発明の課題は、自動車の制御装置内の演算器を監視するための公知の方法を改良することにある。
【課題を解決するための手段】
【0012】
本発明によれば、この課題は独立請求項1に記載の:
自動車の制御装置内の演算器を監視するための方法であって、
前記演算器は、主に3つのプログラムモジュール、すなわち機能モジュール(E1)、安全モジュール(E2)及び監視モジュール(E3)を有し、前記自動車の走行挙動が、これらのプログラムモジュールによって影響され、
前記演算器が、これらのプログラムモジュールを使用することで、少なくとも1つの入力変数に応じて、前記自動車の少なくとも1つの機能を制御するための少なくとも1つの変数を生成し、
第1の前記プログラムモジュールが、前記自動車の機能を制御するための前記機能モジュール(E1)であり、
第2の前記プログラムモジュールが、前記機能モジュール(E1)を検査するための前記安全モジュール(E2)であり、
第3の前記プログラムモジュールが、少なくとも前記安全モジュール(E2)を検査するための前記監視モジュール(E3)である当該方法において、
対応する1つのモニタリング要素(ME1,ME2)が、前記安全モジュール(E2)の監視(K1)又は前記監視モジュール(E3)の監視(K2)のために2つのモニタリング装置(MU1,MU2)の各々で実行され、それぞれ1つの状態機械(SM1,SM2)が、ハードウェアとして構成された付随する前記モニタリング装置(MU1,MU2)を、前記機能モジュール(E1)によって環境設定するために前記制御装置の起動によって前記演算器内で実行され、
1つの状態機械(SM1,SM2)が、各モニタリング要素(ME1,ME2)内に存在し、当該2つの状態機械(SM1,SM2)が、正常に実行されたときに、これらのモニタリング装置(MU1,MU2)が、当該それぞれのモニタリング要素(ME1,ME2)によってこれらのモニタリング装置(MU1,MU2)の前記監視(K1,K2)を開始することによって解決される。
【0013】
上記の自動車の制御装置内の本発明による演算器は、実質的に3つのソフトウェアプログラムモジュールを有する、すなわち自動車の機能を制御する機能モジュールと、この機能モジュールを検査するための安全モジュールと、少なくともこの安全モジュールを監視するための監視モジュールとを有する。
【0014】
本発明の要旨は、監視モジュールがソフトウェアとして構成された互いに独立した2つのモニタリング要素を有し、各モニタリング要素がハードウェアとして構成されたそれぞれ1つのモニタリング装置に割り当てられている点にある。
【0015】
したがって、時間的に全く異なる複数のソフトウェアタスクが監視され得る。2つの正確な応答が、正しい時間窓内で転送されるときだけ、安全性に重要なバスが使用可能になる。
【0016】
付随する1つのモニタリング装置を環境設定するため、それぞれ1つのいわゆる状態機械が、特に制御装置を起動することによって演算器内で実行される。1つの状態機械は、複数の状態から成る、いわゆるステートとしての状態遷移と動作とから成る行動モデルである。1つの状態が、過去に関する情報を記憶する。この状態は、システムの開始から現在の時点までの入力の変化を反映する。1つの状態遷移が、当該状態機械の状態の変化を示し、その遷移を可能にするために満たす必要がある論理条件によって記述される。1つの動作が、特定の状況で実行される当該状態機械の出力である。
【0017】
2つの状態機械が正常に実行されたときに、好ましくは、2つのモニタリング装置が、そのそれぞれのモニタリング要素によって演算器の監視を開始する。
【0018】
第1のモニタリング装置が、第1のモニタリング要素によって、特にメモリテストとプログラムフロー監視とを安全モジュール内で第1の監視として実行する。更に、第2のモニタリング装置が、第2のモニタリング要素によって、特に命令セットテストとA/D変換器テストとを監視モジュール内で第2の監視として実行する。好ましくは、当該それぞれの監視が、いわゆるテストバスを経由して実行される。
【0019】
特に、エラーが発生したときに、機能計算機又は監視計算機が、例えば安全性に関連する出力段を正確に遮断できることを、遮断バステストが保証する。
【0020】
当該2つの監視のうちの1つの監視におけるエラーの発生時に、それぞれ1つのエラーカウンタが操作され、自由にプログラミング可能なエラー反応閾値を超えると、機能モジュールとは無関係に、システム反応が、監視計算機によって起動されることを特に強調する必要がある。
【0021】
当該システム応答は、自動車を制限された非常モードに移行させる。当該非常モードは、例えば、車道の停車帯上になんとか停止させることを可能にする。
【0022】
この場合、当該エラーカウントが、安全性を向上させるために好ましくは非対称に実行される。すなわち、問い合わせ−応答方法で間違った応答時に、当該エラーカウントが、2回カウントアップされ、これに対して正しい応答時には、1回だけカウントダウンされる。
【0023】
好ましくは、演算器内の制御装置の初期化時に、対応するモニタリング装置が環境設定される。この工程では、様々なパラメータの中でも、例えば、応答時間、問い合わせ−応答方法の応答時間窓、安全性に関連する出力段のための遮断閾値、及びリセット許可を伴うリセット閾値がセットされる。この場合、当該パラメータは、モニタリング装置ごとに互いに全く異なってもよい。しかし、双方のモニタリング装置が、同一に環境設定されることも考えられる。
【0024】
対応する1つのモニタリング装置の当該環境設定が、対応する1つのINIT状態だけで可能であること、及び、特定の状態遷移だけが、1つの状態機械で許可されることが顕著な利点である。さらに、特に、当該INIT状態へのリターンが、状態RESETだけによって実行される。したがって、当該パラメータが、故意に又は故意でなく事後的に変更され得ることが阻止される。
【0025】
本発明の別の課題は、上記の従来技術に比べて改善されたプロセッサを、自動車の制御装置内の上記の演算器によって提供することにある。
【0026】
本発明によれば、この課題は、独立請求項8に記載の特徴を有するプロセッサによって解決される。
【0027】
詳しく上述したように、制御装置の演算器が、主に3つのプログラムモジュールとして機能モジュール、安全モジュール及び監視モジュールを有し、当該演算器が、プロセッサ上に構成される。このプロセッサは、特に、機能計算機と監視計算機とに分割されている。この場合、この機能モジュール、この安全モジュール及びこの監視モジュールは、この機能計算機上に構成される。この監視計算機は、通常はインタフェースを通じて問い合わせ−応答方法によってこの機能計算機と通信する。
【0028】
本発明の要旨は、機能計算機と監視計算機とが、物理的に独立して互いに離れていて、この監視計算機が、互いに機能的に独立した2つのモニタリング装置をさらに有することである。この機能計算機のプログラム命令の規則通りの処理を監視するため、それぞれ1つの監視が、この機能計算機内で好ましくは各モニタリング装置によって実行可能である。これにより、監視方法が、有益に促進され且つより確実に実行され得る。
【0029】
以下に、本発明の利点及び詳細を、添付図面に関連させて、実施の形態に基づいて詳しく説明する。この場合、個々のバリエーションで説明されている特徴及び関係は、基本的に全ての実施の形態に適用可能である。
【図面の簡単な説明】
【0030】
【図1】 複数のモジュール(ソフトウェア)と複数の計算機(ハードウェア)-とに分割された3つの層から成る技術思想を示す。
【図2】 複数の状態と複数の遷移と複数の条件とを有する1つの状態機械を示す。
【発明を実施するための形態】
【0031】
図1中の、一点鎖線又は破線の枠を成す複数の四角形がそれぞれ、1つのハードウェア要素を示し、実線の枠を成す複数の四角形がそれぞれ、ソフトウェア要素を示す。これらの四角形間の複数の直線の矢印がそれぞれ、1つのデータ交換を示す。
【0032】
図1は、例えば、自動車内のエンジン制御装置又は変速機制御装置で使用されるような、主にEGASの技術思想から公知の3層監視モデル(3−Ebenen−Ueberwachungsmodell)を示す。
【0033】
第1の一点鎖線の四角形は、プロセッサの機能計算機(FR)を示す。第2の一点鎖線の四角形は、このプロセッサの監視計算機(UR)を示す。機能計算機FRと監視計算機URは、物理的に互いに離れて分離されるようにこのプロセッサ上に配置されている。この監視計算機(UR)は、例えばASICとして構成され得る。3つのプログラムモジュールが、機能モジュール(E1)、安全モジュール(E2)及び監視モジュール(E3)として機能計算機(FR)上に構成される。
【0034】
当該機能モジュール(E1)は、機能層とも称されるEGASの技術思想の層1を示す。この層1は、特に、自動車の駆動装置の機能制御に使用され、上述したように、特に、要求されたエンジントルクに変換するためのエンジン制御機能、構成要素の監視、入力変数及び出力変数の診断を有し、欠陥の認識時のシステム応答の制御を有する。
【0035】
当該安全モジュール(E2)は、機能監視層とも称されるEGASの技術思想の層2を示す。この層2は、層1の機能モジュール(E1)の、監視に関連する範囲のエラーのあるシーケンスを検出する。したがって、特に、計算されたエンジントルク又は例えば自動車の加速度が監視される。エラーが発生すると、特にシステム応答の起動が実行される。当該安全モジュール(E2)は、基本的には、機能計算機(FR)の、監視モジュールE3によって保護されたハードウェア領域内で実行される。
【0036】
当該監視モジュール(E3)は、計算機監視層とも称されるEGASの技術思想の層3を示す。この監視モジュール(E3)は、特に、この監視計算機(UR)から独立した機能計算機(FR)上に構成される。この監視計算機(UR)は、例えば少なくとも1つの問い合わせ−応答方法によってこの機能計算機(FR)のプログラム命令の規則通りの処理をテストする。エラーが発生すると、特に、システム応答の起動が、この機能計算機(FR)に関係なく実行される。
【0037】
当該監視計算機(UR)は、互いに独立した主に2つのモニタリング装置(MU1,MU2)を有する。対応する1つのモニタリング要素(ME1,ME2)が、安全モジュール(E2)の監視(K1)又は監視モジュール(E3)の監視(K2)のために各モニタリング装置(MU1,MU2)上に構成される。
【0038】
すなわち、例えば、第1のモニタリング装置(MU1)が、第1のモニタリング要素(ME1)によって第1の監視(K1)として第1のテストバス(TP1)経由で安全モジュール(E2)内でメモリテストとプログラムフロー監視を実行する。
【0039】
当該第1の監視(K1)と並行して且つ当該監視(K1)と独立して、第2のモニタリング装置(MU2)が、第2のモニタリング要素(ME2)によって第2の監視(K2)として第2のテストバス(TP2)経由で監視モジュール(E3)内で、特に命令セットテストとA/D変換器テストとを実行する。また、第2の監視(K2)が、第1のモニタリング装置(MU1)上で第1のモニタリング要素(ME1)によって第1のテストバス(TP1)経由で実行され、第1の監視(K1)が、第2のモニタリング装置(MU2)上で第2のモニタリング要素(ME2)によって第2のテストバス(TP2)経由で実行されてもよい。
【0040】
特に、上記のプログラムフロー監視は、問い合わせ−応答方法としてモニタリング装置(MU1,MU2)と機能計算機(FR)との間で実行される。対応する問い合わせが、例えば、1つのモニタリング要素(ME1,ME2)に割り当てられた問い合わせ発生器(FG)内で生成される。これらの問い合わせ発生器(FG)は、同一に構成されているが、1つの問い合わせは、ランダムに実行される。したがって、モニタリング装置(MU1)からの問い合わせとモニタリング装置(MU2)からの問い合わせとは、事実上常に異なる。
【0041】
エラーが、監視(K1,K2)で発生すると、好ましくは、それぞれ1つのエラーカウンタが、Hレベルにセットされる。自由にプログラミング可能な対応するエラー応答閾値を超えると、特に監視モジュール(E3)によって、システム応答が、機能モジュール(E1)とは無関係に起動される。当該自由にプログラミング可能なエラー応答閾値は、例えば、安全性に関連する出力段の遮断又は機能計算機(FR)のリセットのような、様々なシステム応答に対して異なり得る。当該複数のモニタリング装置(MU1,MU2)のうちの1つのモニタリング装置が、リセットを生成するときに、状態機械(SM1,SM2)と機能計算機(FR)とを含むシステムの全体がリセットされる。しかし、例えば、専らモニタリング装置(MU1)のエラー時に、リセットが起動されるように、当該環境設定が実行されてもよく、また、モニタリング装置(MU2)のエラー時に、安全性に関連する出力段だけが遮断されるように、当該環境設定が実行されてもよい。
【0042】
さらに、リセット命令の生成が、エラー応答として選択的に許可され得るか又は許可され得ないようにしてもよい。
【0043】
好ましくは、監視計算機(UR)の複数の出力部が、相補的に構成されている。例えば、チップの破壊又はいわゆるラッチアップによる、例えばASICとして構成された監視計算機(UR)の完全な故障時に、すなわち半導体素子の、低抵抗状態への移行時に、監視計算機(UR)の全ての出力端が、同時にHレベル又はLレベルにあることが推測される。この場合には、当該相補的な複数の出力部が、図示されなかった外部回路と一緒にシステムの安全バス、すなわちシステムの安全性に関連する出力段を遮断する。当該外部回路は、例えば抵抗とトランジスタとから構成され、当該相補的な複数の出力部の組み合わせだけが安全性に関連する出力段を使用可能にするように動作する。
【0044】
図2は、1つの状態機械を示す。この状態機械は、好ましくは僅かなハードウェア費用で実現可能である。この場合、当該状態機械のこの実施の形態は、ソフトウェアとして構成された状態機械より速く、より確実で且つより故障しにくい。さらに、この実施の形態は、改竄不可能である。既に冒頭で説明したように、1つの状態機械は、複数の状態から成る、いわゆるステートとしての状態遷移と動作とから成る行動モデルである。1つの状態が、過去に関する情報を記憶する。この状態は、システムの開始から現在の時点までの入力の変化を反映する。1つの状態遷移が、当該状態機械の状態の変化を示し、その遷移を可能にするために満たす必要がある論理条件によって記述される。1つの動作が、特定の状況で実行される当該状態機械の出力である。この状態機械は、ディジタル回路内で主にメモリにプログラミング可能な制御装置、論理ゲート、フリップフロップ又はリレーによって実現可能である。当該ハードウェアを稼働させるためには、一般には、状態変数を記憶するためのレジスタ、状態遷移を選択する論理装置、及び出力に対して権限を有する別の論理装置が使用される。固有の1つの状態機械(SM1、SM2)が、各モニタリング要素(ME1,ME2)に割り当てられている。
【0045】
制御装置の初期化時又はリセット後に、(INIT)状態が使用される。この(INIT)状態では、モニタリング装置(MU1,MU2)が、監視計算機(UR)と機能計算機(FR)との間の通信インタフェースを通じて機能モジュール(E1)によって環境設定される。この場合、特に、応答時間、応答時間窓、エラー応答閾値、特に遮断閾値(thresh)、及びリセット閾値(reset thresh)がセットされる。
【0046】
当該状態機械(SM1,SM2)の実行時の当該応答時間は、ほぼ自由に環境設定可能であり、通常は1ms〜255msの範囲内にある。
【0047】
特に、応答時間窓も、当該状態機械内にセットされ、主に1ms〜255msの範囲にある。応答時間と応答時間窓との間の比は、特に自由に変更可能である。
【0048】
さらに、エラーカウンタをINIT状態で遮断されたままにさせることを保証するため、エラーカウンタの初期値が、遮断閾値(thresh)より上に自動的にセットされる。モニタリング要素(ME1,ME2)の環境設定が、動作(EOI)(INITの終了)によって完了されていて、もはや変更不可能でもある。したがって、状態(SOPCDIS)(=遮断バステスト使用不可能)への状態遷移が実行される。この場合、(SOPC)は、遮断バステストである。この場合、1つの遮断バステストは、エラーが発生したときに、機能計算機又は監視計算機が、例えば安全性に関連する出力段を正しく遮断できることを保証できる。この状態では、この出力段はまだ使用可能でない。
【0049】
当該遮断バステストでは、状態(SOPCDIS)及び状態(SOPCENA)が使用される。出力段が、当該前者の状態では遮断されていて、当該後者の状態では使用可能である。この解決策の利点は、応答が当該遮断バステスト中に応答時間窓を考慮することなしに可能な限り速く送信され得ることにある。したがって、システムの立ち上がり時間が、短く保持され得る。
【0050】
特にSOPCタイマが、状態(SOPCDIS)の到達によって始動される。このSOPCタイマは、命令(EOSOPC)(=SOPCの終了)まで時間を測定する。当該テストが、非常に長く持続するときに、このテストは中断され、状態(SOPCDIS)が、動作(SOPC timeout)を経由して状態(RESET)に遷移される。
【0051】
当該テストの可能な限り速い経過を保証するため、状態(SOPCDIS)では、監視計算機(UR)と機能計算機(FR)との間の問い合わせ−応答方法が、特に時間制限なしに開始する。すなわち、応答時間窓が開いている。間違った応答時に、エラーカウンタが、カウントアップされる。このエラーカウンタが、1つの遮断閾値(thresh)より下にあるときに、状態SOPCENA(遮断バステスト使用可能)への遷移が、条件(EC<disable thresh)によって特に即座に実行される。すなわち、出力段が使用可能になる。
【0052】
上記の状態(SOPCDIS)から状態DISABLEへの遷移は、条件(EOSOPC)(=遮断バステストの終了)によって実行される。当該条件は、機能計算機(FR)と監視計算機(UR)との間の通信インタフェースを通じて起動される。当該出力段が、状態(SOPCDIS)で規定されているように、使用不可能か又は遮断されたままである。ただ1つの条件は、条件(SOPC timeout)の経過前の正しい命令である。
【0053】
特に状態(SOPCDIS)から状態(SOPCENA)に到達すると、SOPCタイマが、有益に作動し続ける。監視計算機(UR)と機能計算機(FR)との間の問い合わせ−応答方法が、同様に時間的制限なしに実行され続ける。エラーカウンタが、1つの遮断閾値(thresh)に到達したか又はこの遮断閾値を超えたときに、当該状態SOPCDISに戻る遷移が、特に条件(EC≧disable thresh)によって実行される。
【0054】
遮断バステストが、非常に長く持続するときに、この遮断バステストは中断され、状態(SOPCENA)が、条件(SOPC timeout)を経由して状態(RESET)に遷移される。この状態(RESET)から状態(INIT)への当該引き続く遷移は、自動的に実行される。
【0055】
状態(SOPCENA)から状態(NORMAL)への遷移は、主に条件EOSOPCを経由して実行される。この条件EOSOPCは、同様に通信インタフェースを通じて実行される。
【0056】
当該状態(NORMAL)では、出力段が、先行する1つの状態で既に使用可能でなかった場合に、この出力段は使用可能になる。当該状態(NORMAL)では、監視計算機(UR)と機能計算機(FR)との間の問い合わせ−応答方法が続行される。この場合、特に、エラーカウンタのカウンタ値の読み出しが、当該先の状態から引き継がれる。上記遮断バステストの状態(SOPCENA)及び(SOPCDIS)とは違って、当該状態では、特に、応答時間と応答時間窓とに対する時間制限が存在する。機能計算機の作動システムの経過時間の監視を保証するためには、応答は、早すぎても遅すぎてもいけない。当該応答時間は、応答の送信に対して可能な限り遅い時点である。次いで、いわゆる「クローズトウインドウ」が環境設定される。この範囲内では、応答が送信されてはならない。応答時間と「クローズトウインドウ」との差が、「オープンウインドウ」又は応答時間窓を示す。
【0057】
応答時間及び応答時間窓は、状態(INIT)で予めプログラミングされてある。エラーカウンタが、間違った応答時と、応答時間又は応答時間窓を超えた時との双方で有益にカウントアップされる。1つの遮断閾値(thresh)に到達したか又はこの閾値を超えたときに、条件(EC≧disable thresh)による状態(DISABLE)への遷移が実行される。
【0058】
状態(DISABLE)では、出力段が遮断される。この状態では、監視計算機(UR)と機能計算機(FR)との間の問い合わせ−応答方法が、エラーカウンタのカウンタ値を変更しないで続行される。この場合も、応答時間と応答時間窓とに対する時間制限が存在する。当該エラーカウンタが、同様に、間違った応答時と、応答時間又は応答時間窓を超えた時との双方でカウントアップされる。閾値(thresh)を超えたときに、条件(EC<disable thresh)によって、状態(NORMAL)に戻る遷移が実行される。この状態(NORMAL)では、出力段が、再び使用可能にされる。
【0059】
状態DISABLEでは、エラーカウンタが、1つのリセット閾値(reset thresh)に到達し、リセット許可用のレジスタが、予め設定された値1を有すると、条件(EC≧reset thresh AND i_req_rst_en=1)によって、状態(RESET)への遷移が実行される。状態(RESET)から状態(INIT)への遷移が、同様に自動的に実行される。
【0060】
当該状態機械内の実行の全体をさらに速く実現するため、状態(SOPCENA)が、当該状態機械内で省略され得る。この状態(SOPCENA)では、より速い遮断バステストが実行されない。
【0061】
2つの当該状態機械が、正常に実行されたときに、当該2つのモニタリング装置が、(NORMAL)状態で、好ましくは当該それぞれのモニタリング要素によって、演算器の監視を開始する。
【0062】
要約すると、自動車の制御装置内の演算器を監視するための本発明による監視の技術思想が、公知の監視の技術思想と比べて、速さ、プログラミング費用及び安全性に関して改良されている。
Claims (9)
- 自動車の制御装置内の演算器を監視するための方法であって、
前記演算器は、主に3つのプログラムモジュール、すなわち機能モジュール(E1)、安全モジュール(E2)及び監視モジュール(E3)を有し、前記自動車の走行挙動が、これらのプログラムモジュールによって影響され、
前記演算器が、これらのプログラムモジュールを使用することで、少なくとも1つの入力変数に応じて、前記自動車の少なくとも1つの機能を制御するための少なくとも1つの変数を生成し、
第1の前記プログラムモジュールが、前記自動車の機能を制御するための前記機能モジュール(E1)であり、
第2の前記プログラムモジュールが、前記機能モジュール(E1)を検査するための前記安全モジュール(E2)であり、
第3の前記プログラムモジュールが、少なくとも前記安全モジュール(E2)を検査するための前記監視モジュール(E3)であり、
前記機能モジュール(E1)と、前記安全モジュール(E2)と、前記監視モジュール(E3)とは、機能計算機(FR)上で実行され、当該機能計算機(FR)から独立した監視計算機(UR)が、前記機能計算機(FR)のプログラム命令の処理をテストする方法において、
ソフトウェアとして構成されている対応する第1のモニタリング要素(ME1)が、前記安全モジュール(E2)の第1の監視(K1)のために、ハードウェアとして構成されている2つのモニタリング装置(MU1,MU2)のうちの第1のモニタリング装置(MU1)上で実行され、ソフトウェアとして構成されている第2のモニタリング要素(ME2)が、前記監視モジュール(E3)の第2の監視(K2)のために、ハードウェアとして構成されている第2のモニタリング装置(MU2)上で実行され、
複数の状態機械(SM1、SM2)がそれぞれ、複数の状態と、状態遷移と、動作とから成る行動モデルとして、前記第1のモニタリング要素(ME1)と前記第2のモニタリング要素(ME2)とに固有に割り当てられていて、前記第1のモニタリング装置(MU1)と前記第2のモニタリング装置(MU2)とのそれぞれに、1つの固有の前記状態機械(SM1、SM2)が割り当てられていて、
前記複数の状態機械(SM1、SM2)の前記複数の状態のうちの、前記制御装置の初期化時又はリセット後における前記状態機械(SM1、SM2)のINIT状態においてのみ、それぞれの前記状態機械(SM1、SM2)に対応する前記第1のモニタリング装置(MU1)及び前記第2のモニタリング装置(MU2)の環境設定が、前記機能モジュール(E1)によって可能とされ、
2つの前記状態機械(SM1、SM2)は、前記機能計算機又は前記監視計算機が安全性に関連する出力段を正確に遮断できることを保証する遮断バステストによって1つのNORMAL状態に遷移し、
2つの前記状態機械(SM1、SM2)が、前記NORMAL状態のときに、前記第1のモニタリング装置(MU1)が、前記第1のモニタリング要素(ME1)によって、前記安全モジュール(E2)の前記第1の監視(K1)を開始し、前記第2のモニタリング装置(MU2)が、前記第2のモニタリング要素(ME2)によって、前記監視モジュール(E3)の前記第2の監視(K2)を開始することを特徴とする方法。 - 第1の前記モニタリング装置(MU1)が、第1の前記モニタリング要素(ME1)によって前記安全モジュール(E2)内の前記第1の監視(K1)を1つのテストバス(TP1)経由で実行し、第2の前記モニタリング装置(MU2)が、第2の前記モニタリング要素(ME2)によって前記監視モジュール(E3)内の前記第2の監視(K2)を1つのテストバス(TP2)経由で実行することを特徴とする請求項1に記載の方法。
- 前記第1のモニタリング装置(MU1)は、前記安全モジュール(E2)内の前記第1の監視(K1)としてメモリテストとプログラムフロー監視とを実行することを特徴とする請求項2に記載の方法。
- 前記第2のモニタリング装置(MU2)は、前記監視モジュール(E3)内の前記第2の監視(K2)として命令セットテストとAD変換器テストとを実行することを特徴とする請求項2に記載の方法。
- 前記監視(K1,K2)におけるエラーの発生時に、エラーカウンタが操作され、自由にプログラミング可能なエラー応答閾値(thresh,reset thresh)を超えたときに、前記監視モジュール(E3)によって、安全性に関連するシステム応答が、前記機能モジュール(E1)とは無関係に起動されることを特徴とする請求項2に記載の方法。
- 当該2つのモニタリング装置(MU1,MU2)が、同一に環境設定されることを特徴とする請求項1〜5のいずれか1項に記載の方法。
- 請求項1に記載の方法を実行するための演算器であって、
この演算器が、主に3つのプログラムモジュール、すなわち機能モジュール(E1)、安全モジュール(E2)及び監視モジュール(E3)を有し、前記自動車の走行挙動が、これらのプログラムモジュールによって影響され、
前記演算器が、これらのプログラムモジュールを使用することで、少なくとも1つの入力変数に応じて、前記自動車の少なくとも1つの機能を制御するための少なくとも1つの変数を生成し、
第1の前記プログラムモジュールが、前記自動車の機能を制御するための前記機能モジュール(E1)であり、
第2の前記プログラムモジュールが、前記機能モジュール(E1)を検査するための前記安全モジュール(E2)であり、
第3の前記プログラムモジュールが、少なくとも前記安全モジュール(E2)を検査するための前記監視モジュール(E3)である当該演算器において、
対応する1つのモニタリング要素(ME1,ME2)が、前記安全モジュール(E2)の監視(K1)又は前記監視モジュール(E3)の監視(K2)のために2つのモニタリング装置(MU1,MU2)の各々で実行され、これらのモニタリング要素(ME1,ME2)が、ハードウェアとして構成された付随する前記モニタリング装置(MU1,MU2)を、前記機能モジュール(E1)によって環境設定することを特徴とする演算器。 - 請求項7に記載の演算器を有するプロセッサであって、
このプロセッサが、主に機能計算機(FR)と監視計算機(UR)とを有し、
機能モジュール(E1)、安全モジュール(E2)及び監視モジュール(E3)が、前記機能計算機(FR)で実行され、監視計算機(UR)が、インタフェースを通じて問い合せ−応答方法によって前記機能計算機(FR)と通信する当該プロセッサにおいて、 前記機能計算機(FR)と前記監視計算機(UR)とが、互いに物理的に独立していて、前記監視計算機(UR)が、互いに独立した2つのモニタリング装置(MU1,MU2)を有し、
前記機能計算機(FR)のプログラム命令の規則通りの処理を監視するため、それぞれ1つの監視(K1,K2)が、前記機能計算機(FR)内で各モニタリング装置(MU1,MU2)によって実行可能であることを特徴とするプロセッサ。 - 請求項8に記載の監視計算機(UR)において、
前記監視計算機(UR)は、互いに独立した2つのモニタリング装置(MU1,MU2)を有し、
前記機能計算機(FR)のプログラム命令の規則通りの処理を監視するため、それぞれ1つの監視(K1,K2)が、前記監視計算機(UR)の外部の機能計算機(FR)内で各モニタリング装置(MU1,MU2)によって実行可能であることを特徴とする監視計算機。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102009059088 | 2009-12-18 | ||
| DE102009059088.9 | 2009-12-18 | ||
| PCT/DE2010/001490 WO2011072661A1 (de) | 2009-12-18 | 2010-12-20 | Überwachungskonzept in einem steuergerät |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2013514497A JP2013514497A (ja) | 2013-04-25 |
| JP2013514497A5 JP2013514497A5 (ja) | 2015-01-22 |
| JP6140448B2 true JP6140448B2 (ja) | 2017-06-07 |
Family
ID=43927343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012546359A Active JP6140448B2 (ja) | 2009-12-18 | 2010-12-20 | 制御装置内の監視構想 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8509989B2 (ja) |
| EP (1) | EP2513455B1 (ja) |
| JP (1) | JP6140448B2 (ja) |
| DE (1) | DE112010004233A5 (ja) |
| WO (1) | WO2011072661A1 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5843786B2 (ja) * | 2009-12-18 | 2016-01-13 | コンティ テミック マイクロエレクトロニック ゲゼルシャフト ミットベシュレンクテル ハフツングConti Temic microelectronic GmbH | 制御装置にある監視計算機 |
| CN103389934B (zh) * | 2012-05-08 | 2016-01-13 | 上海富欣智能交通控制有限公司 | 基于硬件双通道实现运行监控的系统 |
| JP6044316B2 (ja) * | 2012-12-12 | 2016-12-14 | 株式会社デンソー | 車載電子制御装置 |
| US9156357B2 (en) * | 2013-09-11 | 2015-10-13 | GM Global Technology Operations LLC | Controller for an electric motor, and a method thereof |
| DE102015215546A1 (de) | 2015-08-14 | 2017-02-16 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Feststellen, ob in einem Kraftfahrzeug ein Fehlerzustand vorliegt oder nicht |
| DE102017220406A1 (de) | 2017-11-15 | 2019-05-16 | Robert Bosch Gmbh | Verfahren zur Funktionsprüfung für ein Steuergerät, das Steuergerät und ein Fahrzeug mit diesem Steuergerät |
| US10712736B2 (en) * | 2018-08-23 | 2020-07-14 | Hamilton Sunstrand Corporation | Controlling an aircraft comprising a plurality of loadable configuration sever data based on detecting one or more diagnostic test interfaces |
| DE102018123410A1 (de) * | 2018-09-24 | 2020-03-26 | Minebea Mitsumi Inc. | Verfahren und Vorrichtung zur Überwachung einer Motorsteuerung |
| JP7226291B2 (ja) * | 2019-12-16 | 2023-02-21 | 株式会社デンソー | 電子制御装置 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4438714A1 (de) * | 1994-10-29 | 1996-05-02 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs |
| DE19609242A1 (de) * | 1996-03-09 | 1997-09-11 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung einer Antriebseinheit eines Fahrzeugs |
| JP3726434B2 (ja) * | 1997-07-31 | 2005-12-14 | トヨタ自動車株式会社 | 内燃機関のプレイグニッション検出装置 |
| JPH11294252A (ja) * | 1998-04-13 | 1999-10-26 | Denso Corp | 電子制御装置 |
| JPH11332284A (ja) * | 1998-05-15 | 1999-11-30 | Mikuni Corp | 過電流検出方法 |
| JP3633401B2 (ja) * | 1999-10-26 | 2005-03-30 | トヨタ自動車株式会社 | 内燃機関の排気昇温装置 |
| DE10056408C1 (de) * | 2000-11-14 | 2002-03-07 | Bosch Gmbh Robert | Vorrichtung zur Überwachung eines Prozessors |
| JP4391724B2 (ja) * | 2001-06-08 | 2009-12-24 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | 車両の駆動シーケンス制御の監視方法及びその装置 |
| DE10163655A1 (de) * | 2001-12-21 | 2003-07-03 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung einer Funktionseinheit eines Kraftfahrzeugs |
| JP2006338605A (ja) * | 2005-06-06 | 2006-12-14 | Denso Corp | プログラム異常監視方法及びプログラム異常監視装置 |
| JP4396588B2 (ja) * | 2005-06-23 | 2010-01-13 | 株式会社デンソー | 電子制御装置 |
| JP4483720B2 (ja) * | 2005-06-23 | 2010-06-16 | 株式会社デンソー | 電子制御装置 |
| EP2090952A3 (de) | 2008-02-14 | 2012-03-28 | Robert Bosch Gmbh | Hydraulikkomponenten-Steuergerät und Verfahren zum Ansteuern von hydraulischen Komponenten |
| US7984341B2 (en) * | 2008-02-25 | 2011-07-19 | International Business Machines Corporation | Method, system and computer program product involving error thresholds |
| JP5065222B2 (ja) * | 2008-10-17 | 2012-10-31 | トヨタ自動車株式会社 | 車両制御システム |
-
2010
- 2010-12-20 US US13/514,408 patent/US8509989B2/en active Active
- 2010-12-20 EP EP10805585.6A patent/EP2513455B1/de active Active
- 2010-12-20 DE DE112010004233T patent/DE112010004233A5/de not_active Withdrawn
- 2010-12-20 JP JP2012546359A patent/JP6140448B2/ja active Active
- 2010-12-20 WO PCT/DE2010/001490 patent/WO2011072661A1/de active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| EP2513455A1 (de) | 2012-10-24 |
| DE112010004233A5 (de) | 2012-09-27 |
| JP2013514497A (ja) | 2013-04-25 |
| WO2011072661A1 (de) | 2011-06-23 |
| US8509989B2 (en) | 2013-08-13 |
| US20120316728A1 (en) | 2012-12-13 |
| EP2513455B1 (de) | 2017-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6140448B2 (ja) | 制御装置内の監視構想 | |
| JP2013514497A5 (ja) | ||
| JP5843786B2 (ja) | 制御装置にある監視計算機 | |
| JP6723955B2 (ja) | 情報処理装置及び異常対処方法 | |
| CN107003915A (zh) | 驱动控制装置 | |
| JP2010128627A (ja) | 車載用電子制御装置 | |
| JP6899699B2 (ja) | 異常検知装置および異常検知方法 | |
| KR100711850B1 (ko) | 마이크로컴퓨터 감시 금지 기능을 갖는 전자 제어 시스템및 방법 | |
| JP2021067960A (ja) | 車両監視システム | |
| JP6502211B2 (ja) | 車両制御装置 | |
| JP7177272B2 (ja) | セキュリティ処理装置 | |
| CN113993752B (zh) | 电子控制单元和计算机可读取的记录介质 | |
| US8726099B2 (en) | Data processing system | |
| JP2016066139A (ja) | 車両制御装置 | |
| JP6081239B2 (ja) | 制御装置の異常監視装置および異常監視方法 | |
| JP2017047760A (ja) | 電子制御装置及びコンピュータプログラム | |
| JP6302852B2 (ja) | 車両用電子制御装置 | |
| JP6205202B2 (ja) | 車両用電子制御装置 | |
| JP7504222B2 (ja) | 車載用制御システム | |
| WO2014188764A1 (ja) | 機能安全制御装置 | |
| JP6660902B2 (ja) | 自動車用電子制御装置 | |
| US20190332506A1 (en) | Controller and function testing method | |
| JP2007283788A (ja) | 車両用電子制御装置 | |
| US20230398955A1 (en) | In-vehicle use control system | |
| JP6274947B2 (ja) | 車載制御装置のマイクロプロセッサの異常診断方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131119 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20140307 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140827 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140828 |
|
| A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20141125 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150415 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150713 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20151021 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160208 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20160215 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20160401 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170215 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170501 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6140448 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |