JP6740812B2 - Electronic control unit - Google Patents

Electronic control unit Download PDF

Info

Publication number
JP6740812B2
JP6740812B2 JP2016165959A JP2016165959A JP6740812B2 JP 6740812 B2 JP6740812 B2 JP 6740812B2 JP 2016165959 A JP2016165959 A JP 2016165959A JP 2016165959 A JP2016165959 A JP 2016165959A JP 6740812 B2 JP6740812 B2 JP 6740812B2
Authority
JP
Japan
Prior art keywords
output
microcomputer
unit
signal
electronic control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016165959A
Other languages
Japanese (ja)
Other versions
JP2018032328A (en
Inventor
酒井 直人
直人 酒井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2016165959A priority Critical patent/JP6740812B2/en
Priority to DE102017213690.1A priority patent/DE102017213690A1/en
Publication of JP2018032328A publication Critical patent/JP2018032328A/en
Application granted granted Critical
Publication of JP6740812B2 publication Critical patent/JP6740812B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1637Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1654Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3024Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a central processing unit [CPU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Safety Devices In Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Description

本開示は、車両制御を実行するマイクロコンピュータが正常であるか異常であるかを監視する技術に関する。 The present disclosure relates to a technique of monitoring whether a microcomputer that executes vehicle control is normal or abnormal.

車両制御を実行するマイクロコンピュータが正常であるか異常であるかを監視する技術が知られている。例えば、特許文献1に記載の技術では、マイクロコンピュータが第1のプログラムを実行することにより車両の駆動ユニットの出力を制御し、マイクロコンピュータが第2のプログラムを実行することにより第1のプログラムによる出力制御をモニタして監視する。 A technique for monitoring whether a microcomputer that executes vehicle control is normal or abnormal is known. For example, in the technique described in Patent Document 1, the microcomputer executes the first program to control the output of the drive unit of the vehicle, and the microcomputer executes the second program to execute the first program. Monitor and monitor output control.

第2のプログラムは、第1のプログラムと同じ演算対象のデータを入力して演算することにより、第1のプログラムが駆動ユニットの出力制御のために演算する演算結果が正常であるか異常であるかを監視する。 The second program inputs the same data to be operated as the first program and performs an operation, so that the operation result calculated by the first program for the output control of the drive unit is normal or abnormal. To monitor.

特表平11−505587号公報Japanese Patent Publication No. 11-505587

特許文献1に記載の技術では、一つのマイクロコンピュータが第1のプログラムと第2のプログラムとの両方を実行するので、両方のプログラムが参照する演算対象のデータが同じメモリに格納されている可能性がある。 In the technique described in Patent Document 1, since one microcomputer executes both the first program and the second program, it is possible that the data to be operated by both programs is stored in the same memory. There is a nature.

この場合、例えばメモリに格納されている演算対象のデータがメモリの異常のためにビットの反転等により異常値になり、第1のプログラムが異常なデータに基づいて演算する演算結果が異常値になると、第2のプログラムの演算結果も異常値になる。 In this case, for example, the operation target data stored in the memory becomes an abnormal value due to bit inversion or the like due to an abnormality in the memory, and the operation result calculated by the first program based on the abnormal data becomes an abnormal value. Then, the calculation result of the second program also becomes an abnormal value.

このように、一つのマイクロコンピュータが第1のプログラムと第2のプログラムとの両方を実行する構成では、マイクロコンピュータのハードウェア資源に異常が発生すると、第2のプログラムは第1のプログラムの演算結果が正常であるか異常であるかを適切に監視できない。 As described above, in the configuration in which one microcomputer executes both the first program and the second program, when an abnormality occurs in the hardware resources of the microcomputer, the second program operates the first program. It is not possible to properly monitor whether the result is normal or abnormal.

本開示の一側面は、車両制御を実行するマイクロコンピュータが正常であるか異常であるかを適切に監視する技術を提供することにある。 One aspect of the present disclosure is to provide a technique for appropriately monitoring whether the microcomputer that executes vehicle control is normal or abnormal.

本開示の一態様は、少なくとも一つの第1のマイクロコンピュータ(20)と、一つの第2のマイクロコンピュータ(30)と、を備えている。
第1のマイクロコンピュータは、車両制御を実行するための演算を行う。第2のマイクロコンピュータは、第1のマイクロコンピュータの演算結果に基づいて、第1のマイクロコンピュータが正常であるか異常であるかを監視する。 One aspect of the present disclosure includes at least one first microcomputer (20) and one second microcomputer (30).
The first microcomputer performs a calculation for executing vehicle control. The second microcomputer monitors whether the first microcomputer is normal or abnormal based on the calculation result of the first microcomputer.

この構成によれば、車両制御を実行する第1のマイクロコンピュータと、第1のマイクロコンピュータが正常であるか異常であるかを監視する第2のマイクロコンピュータとは異なるマイクロコンピュータである。 According to this configuration, the first microcomputer that executes vehicle control and the second microcomputer that monitors whether the first microcomputer is normal or abnormal are different microcomputers.

つまり、第1のマイクロコンピュータと、第2のマイクロコンピュータとは、演算を実行する演算部と、演算対象のデータを格納するメモリと、演算部がメモリのデータをアクセスするデータ線、などのハードウェア資源をマイクロコンピュータ毎に備えており、共有していない。 That is, the first microcomputer and the second microcomputer are composed of hardware such as an arithmetic unit that executes arithmetic operations, a memory that stores data to be arithmetically operated, and a data line that the arithmetic operation unit accesses data in the memory. Hardware resources are provided for each microcomputer and are not shared.

したがって、第1のマイクロコンピュータのハードウェア資源に異常が発生して第1のマイクロコンピュータの演算結果が異常になっても、第2のマイクロコンピュータのハードウェア資源が正常であれば、第1のマイクロコンピュータの演算結果に基づいて、第1のマイクロコンピュータが正常であるか異常であるかを適切に監視できる。 Therefore, even if an abnormality occurs in the hardware resources of the first microcomputer and the operation result of the first microcomputer becomes abnormal, if the hardware resources of the second microcomputer are normal, the first microcomputer It is possible to appropriately monitor whether the first microcomputer is normal or abnormal based on the calculation result of the microcomputer.

尚、この欄および特許請求の範囲に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本発明の技術的範囲を限定するものではない。 In addition, the reference numerals in parentheses described in this column and the claims indicate the correspondence with the specific means described in the embodiments described later as one aspect, and the technical scope of the present invention. It is not limited.

本実施形態の電子制御装置を示すブロック図。The block diagram which shows the electronic controller of this embodiment. 電子制御装置が実行する車両制御処理を示すシーケンス図。The sequence diagram which shows the vehicle control process which an electronic control unit performs.

以下、本開示を実施するための形態を図に基づいて説明する。
[1.構成]
図1に示す電子制御装置10は、少なくともモータを駆動源とする車両に搭載されており、高圧電池210からモータ用インバータ、エアコン等の車載装置に供給する高電圧をスイッチングするリレー212、214のオン、オフを制御する。 Hereinafter, modes for carrying out the present disclosure will be described based on the drawings.
[1. Constitution]
The electronic control unit 10 shown in FIG. 1 is mounted on at least a vehicle that uses a motor as a drive source, and includes relays 212 and 214 that switch a high voltage supplied from a high-voltage battery 210 to a vehicle inverter such as a motor inverter or an air conditioner. Controls on and off.

電子制御装置10は、メインマイクロコンピュータ20と、サブマイクロコンピュータ30と、ASIC40と、選択部50、52、54と、出力部60、62と、を備えている。以下、マイクロコンピュータをマイコンとも言う。ASICは、Application Specific Integrated Circuitの略である。 The electronic control unit 10 includes a main microcomputer 20, a sub-microcomputer 30, an ASIC 40, selection units 50, 52 and 54, and output units 60 and 62. Hereinafter, the microcomputer is also referred to as a microcomputer. ASIC is an abbreviation for Application Specific Integrated Circuit.

メインマイコン20は、CPU22と、RAM、ROM、フラッシュメモリ等の半導体メモリ24とを備えている。サブマイコン30も、CPU32と、RAM、ROM、フラッシュメモリ等の半導体メモリ34とを備えている。以下、半導体メモリを単にメモリとも言う。 The main microcomputer 20 includes a CPU 22 and a semiconductor memory 24 such as RAM, ROM, flash memory or the like. The sub-microcomputer 30 also includes a CPU 32 and a semiconductor memory 34 such as a RAM, a ROM, and a flash memory. Hereinafter, the semiconductor memory is also simply referred to as a memory.

メインマイコン20とサブマイコン30との各機能は、CPU22、32が非遷移的実体的記録媒体に記憶されているプログラムを実行することにより実現される。この例では、メモリ24、34が、プログラムを格納した非遷移的実体的記録媒体に該当する。また、このプログラムが実行されることで、プログラムに対応する方法が実行される。 The functions of the main microcomputer 20 and the sub-microcomputer 30 are realized by the CPUs 22 and 32 executing the programs stored in the non-transitional physical recording medium. In this example, the memories 24 and 34 correspond to the non-transitional tangible recording medium storing the program. By executing this program, the method corresponding to the program is executed.

メインマイコン20とサブマイコン30とは、それぞれ入力線100、102からアクセル開度、シフトポジション、電池充電深度等のデータを入力する。
メインマイコン20は、入力線100から入力したアクセル開度、シフトポジション、電池充電深度等のデータを演算し、高圧電池210のプラス側のリレー212をオンにするかオフにするかを制御する制御信号を制御線104に出力する。また、メインマイコン20は、通常、出力線120にオン信号を出力する。 The main microcomputer 20 and the sub-microcomputer 30 input data such as an accelerator opening degree, a shift position, and a battery charge depth from input lines 100 and 102, respectively.
The main microcomputer 20 calculates data such as the accelerator opening, the shift position, and the battery charge depth input from the input line 100, and controls whether the positive side relay 212 of the high voltage battery 210 is turned on or off. The signal is output to the control line 104. In addition, the main microcomputer 20 normally outputs an ON signal to the output line 120.

尚、図1では、高圧電池210のプラス側のリレー212をオンにするかオフにするかを制御する回路だけを図示しているが、メインマイコン20は、制御線104とは異なる制御線により、高圧電池210のマイナス側のリレー214オンにするかオフにするかを制御する。メインマイコン20がリレー212用の制御線104に出力する制御信号と、リレー214用の図示しない制御線に出力する制御信号とは同じである。 Although FIG. 1 illustrates only a circuit for controlling whether the positive side relay 212 of the high-voltage battery 210 is turned on or off, the main microcomputer 20 uses a control line different from the control line 104. , Controls whether the negative side relay 214 of the high voltage battery 210 is turned on or off. The control signal output from the main microcomputer 20 to the control line 104 for the relay 212 and the control signal output to the control line (not shown) for the relay 214 are the same.

そして、後述する選択部50と出力部60とサブマイコン30の出力線106と同様の回路がリレー214にも設置されている。さらに、後述する出力部62によるリレー212用の出力部60への電力供給の制御が、リレー214用の出力部に対しても行われる。 A circuit similar to the selecting unit 50, the output unit 60, and the output line 106 of the sub-microcomputer 30 described later is also installed in the relay 214. Further, control of power supply to the output unit 60 for the relay 212 by the output unit 62 described below is also performed for the output unit for the relay 214.

リレー212、214に対するオン、オフ制御は実質的に同じであるから、この後、リレー214に対するオン、オフ制御の説明は省略し、リレー212に対するオン、オフ制御について説明する。 Since the on/off control for the relays 212 and 214 is substantially the same, the description of the on/off control for the relay 214 will be omitted, and the on/off control for the relay 212 will be described.

メインマイコン20は、リレー212のオン、オフ制御以外にも、例えばCAN通信により他の電子制御装置に、車両の駆動源であるモータの出力トルクの設定、高圧電池210の充電量の設定等を指令する。CANはController Area Networkの略であり、登録商標である。 In addition to the ON/OFF control of the relay 212, the main microcomputer 20 sets the output torque of the motor, which is the drive source of the vehicle, and the charge amount of the high-voltage battery 210 to another electronic control unit by CAN communication, for example. Order. CAN is an abbreviation for Controller Area Network and is a registered trademark.

サブマイコン30は、入力線102から入力したアクセル開度、シフトポジション、電池充電深度等のメインマイコン20と同じ演算対象のデータを、メインマイコン20と同じ演算プログラムで演算する。 The sub-microcomputer 30 calculates the data of the same operation target as the main microcomputer 20, such as the accelerator opening, the shift position, and the battery charge depth, which are input from the input line 102, by the same calculation program as the main microcomputer 20.

サブマイコン30は、通信線140を介したマイコン間通信によりメインマイコン20の演算結果を受信する。そして、メインマイコン20から受信した演算結果と、サブマイコン30の演算結果とを比較し、一致しているか否かによって、メインマイコン20が制御線104に出力する制御信号を電子制御装置10から出力することを許可するか禁止するかを決定する出力信号を出力線106に出力する。 The sub-microcomputer 30 receives the calculation result of the main microcomputer 20 through inter-microcomputer communication via the communication line 140. Then, the calculation result received from the main microcomputer 20 is compared with the calculation result of the sub-microcomputer 30, and depending on whether they match, the control signal output from the main microcomputer 20 to the control line 104 is output from the electronic control unit 10. An output signal for deciding whether to permit or prohibit is output to the output line 106.

サブマイコン30は、メインマイコン20の演算結果とサブマイコン30の演算結果とが一致する場合、メインマイコン20は正常であると判断し、出力信号として許可を表すオン信号を出力線106に出力する。サブマイコン30は、メインマイコン20の演算結果とサブマイコン30の演算結果とが一致しない場合、メインマイコン20は異常であると判断し、出力信号として禁止を表すオフ信号を出力線106に出力する。 When the calculation result of the main microcomputer 20 and the calculation result of the sub microcomputer 30 match, the sub-microcomputer 30 determines that the main microcomputer 20 is normal, and outputs an ON signal indicating permission as an output signal to the output line 106. .. When the calculation result of the main microcomputer 20 and the calculation result of the sub microcomputer 30 do not match, the sub-microcomputer 30 determines that the main microcomputer 20 is abnormal, and outputs an OFF signal indicating inhibition as an output signal to the output line 106. ..

サブマイコン30は、通常、オン信号を出力線106に出力しており、メインマイコン20の演算結果とサブマイコン30の演算結果とが一致しない場合、出力線106にオフ信号を出力する。 The sub-microcomputer 30 normally outputs an ON signal to the output line 106, and outputs an OFF signal to the output line 106 when the calculation result of the main microcomputer 20 does not match the calculation result of the sub-microcomputer 30.

また、サブマイコン30は、サブマイコン30が搭載する図示しないウォッチドッグカウンタをクリアするパルスを通信線142を介してメインマイコン20から受信する。所定時間内にメインマイコン20からウォッチドッグカウンタをクリアするパルスを受信しない場合、サブマイコン30は、メインマイコン20は異常であると判断する。 The sub-microcomputer 30 also receives a pulse for clearing a watchdog counter (not shown) mounted on the sub-microcomputer 30 from the main microcomputer 20 via the communication line 142. When the pulse for clearing the watchdog counter is not received from the main microcomputer 20 within the predetermined time, the sub-microcomputer 30 determines that the main microcomputer 20 is abnormal.

この場合、サブマイコン30は、メインマイコン20が制御線104に出力する制御信号を電子制御装置10から出力することを禁止するオフ信号を出力線106に出力する。
選択部50は、サブマイコン30が出力線106に出力する出力信号が許可を表すオン信号の場合、メインマイコン20が制御線104に出力する制御信号をそのまま出力線108に出力する。選択部50は、サブマイコン30が出力線106に出力する出力信号が禁止を表すオフ信号の場合、メインマイコン20が制御線104に出力する制御信号を遮断する。この場合、出力線108にはリレー212をオフにする制御信号が出力される。 In this case, the sub-microcomputer 30 outputs an OFF signal, which prohibits the main microcomputer 20 from outputting the control signal output to the control line 104 from the electronic control unit 10, to the output line 106.
When the output signal output from the sub-microcomputer 30 to the output line 106 is an ON signal indicating permission, the selection unit 50 outputs the control signal output from the main microcomputer 20 to the control line 104 to the output line 108 as it is. When the output signal output from the sub-microcomputer 30 to the output line 106 is an OFF signal indicating prohibition, the selection unit 50 shuts off the control signal output from the main microcomputer 20 to the control line 104. In this case, a control signal for turning off the relay 212 is output to the output line 108.

出力部60は、出力線108の信号を出力線110により電子制御装置10からリレー212に出力する。出力部60には、リレー202がオンの場合、12V等の低圧電源200から電力線150を介して電力が供給される。リレー202は、出力部62が出力線130に出力する制御信号によりオン、オフされる。 The output unit 60 outputs the signal on the output line 108 from the electronic control unit 10 to the relay 212 via the output line 110. When the relay 202 is turned on, the output unit 60 is supplied with electric power from the low voltage power source 200 such as 12 V through the power line 150. The relay 202 is turned on/off by a control signal output from the output unit 62 to the output line 130.

サブマイコン30は、出力部60の出力をモニタ線160でモニタしている。出力線106に禁止を表すオフ信号を出力しているにも関わらず、出力部60の出力がオンであることをモニタ線160の信号から検出すると、サブマイコン30は通常はオン信号を出力している出力線122にオフ信号を出力する。 The sub-microcomputer 30 monitors the output of the output unit 60 with the monitor line 160. When the output of the output unit 60 is detected to be ON from the signal of the monitor line 160, the sub-microcomputer 30 normally outputs an ON signal, even though the OFF signal indicating prohibition is output to the output line 106. The OFF signal is output to the output line 122 that is connected.

出力部62の出力は、出力線120、122、124がすべてオンであり、その結果として選択部52の出力線126と選択部54の出力線128とがオンの場合にオンになる。出力線120、122、124の少なくとも一つがオフであれば、出力部62の出力はオフになり、リレー202はオフになる。その結果、低圧電源200から出力部60への電力供給は遮断される。 The output of the output unit 62 is turned on when the output lines 120, 122, and 124 are all on, and as a result, the output line 126 of the selection unit 52 and the output line 128 of the selection unit 54 are on. When at least one of the output lines 120, 122, and 124 is off, the output of the output unit 62 is off and the relay 202 is off. As a result, the power supply from the low voltage power supply 200 to the output unit 60 is cut off.

低圧電源200から出力部60への電力供給が遮断されると、出力部60から出力線110に出力される制御信号はオフになるので、リレー212はオフになる。これにより、高圧電池210から車載装置への高電圧の供給は遮断される。 When the power supply from the low-voltage power supply 200 to the output unit 60 is cut off, the control signal output from the output unit 60 to the output line 110 is turned off, so the relay 212 is turned off. As a result, the supply of high voltage from the high voltage battery 210 to the in-vehicle device is cut off.

上記以外にも、メインマイコン20、サブマイコン30は、リレー202の出力を電力線152、154を介して入力し、モニタしている。さらに、メインマイコン20、サブマイコン30は、高圧電池210から車載装置に高電圧が供給されているか否かを、高電圧センサ等のモニタ装置216が出力する電圧検出信号によりモニタ線162、164を介して入力し、モニタしている。 In addition to the above, the main microcomputer 20 and the sub-microcomputer 30 input the output of the relay 202 through the power lines 152 and 154 and monitor it. Further, the main microcomputer 20 and the sub-microcomputer 30 determine whether the high voltage is supplied from the high voltage battery 210 to the vehicle-mounted device by monitoring the monitor lines 162, 164 by the voltage detection signal output from the monitor device 216 such as a high voltage sensor. Input through and monitor.

メインマイコン20とサブマイコン30とは、自マイコンが出力する信号に対応しない出力を電力線152、154またはモニタ線162、164から検出すると、駆動源であるモータの出力トルクを低下させる等のフェール処理を実行する。 When the main microcomputer 20 and the sub-microcomputer 30 detect an output that does not correspond to the signal output from the own microcomputer from the power lines 152, 154 or the monitor lines 162, 164, the fail processing such as reducing the output torque of the motor that is the drive source To execute.

ASIC40は、サブマイコン30と同じアルゴリズムで定期的に演算し、サブマイコン30が同じアルゴリズムで定期的に演算する演算結果を通信線144を介して受信する。演算結果は0または1、あるいはTRUEまたはFALSE等の単純な結果でよい。ASIC40は、通信線144を介してサブマイコン30から受信する演算結果がASIC40の演算結果と一致しない場合、出力線124にオフ信号を出力する。 The ASIC 40 periodically calculates with the same algorithm as the sub-microcomputer 30, and receives the calculation result periodically calculated with the same algorithm by the sub-microcomputer 30 via the communication line 144. The calculation result may be 0 or 1, or a simple result such as TRUE or FALSE. When the calculation result received from the sub-microcomputer 30 via the communication line 144 does not match the calculation result of the ASIC 40, the ASIC 40 outputs an off signal to the output line 124.

また、ASIC40は、ASIC40が搭載する図示しないウォッチドッグカウンタをクリアするパルスを通信線146を介してサブマイコン30から受信する。ASIC40は、所定時間内にサブマイコン30からウォッチドッグカウンタをクリアするパルスを受信しない場合、制御線170、172を介してメインマイコン20とサブマイコン30とにリセット信号を同時に出力する。 Further, the ASIC 40 receives a pulse for clearing a watchdog counter (not shown) mounted on the ASIC 40 from the sub-microcomputer 30 via the communication line 146. When the ASIC 40 does not receive a pulse for clearing the watchdog counter from the sub-microcomputer 30 within a predetermined time, it outputs reset signals to the main microcomputer 20 and the sub-microcomputer 30 simultaneously via the control lines 170 and 172.

[2.処理]
電子制御装置10が実行する車両制御処理を図2のシーケンス図に基づいて説明する。図2において(処理1)〜(処理10)の10個の処理が一つの処理シーケンスを表している。一つの処理シーケンスは例えば10msecの周期で繰り返し実行される。 [2. processing]
The vehicle control process executed by the electronic control unit 10 will be described based on the sequence diagram of FIG. In FIG. 2, 10 processes (process 1) to (process 10) represent one process sequence. One processing sequence is repeatedly executed at a cycle of 10 msec, for example.

(処理1)メインマイコン20は、入力線100からアクセル開度、シフトポジション、電池充電深度等のデータを入力する。サブマイコン30は、前回の処理シーケンスにおいて、出力線106にオフ信号を出力しているにも関わらず出力部60の出力がオンになっている場合、出力線122にオフ信号を出力するフェール処理を実行する。 (Process 1) The main microcomputer 20 inputs data such as an accelerator opening degree, a shift position, and a battery charging depth from the input line 100. In the previous processing sequence, the sub-microcomputer 30 outputs a OFF signal to the output line 122 when the output of the output unit 60 is ON even though the OFF signal is output to the output line 106. To execute.

(処理2)メインマイコン20は、(処理1)で入力したデータに基づいて、リレー212をオンにするかオフにするかを制御するための制御演算を実行する。サブマイコン30は、入力線102から、メインマイコン20と同じアクセル開度、シフトポジション、電池充電深度等のデータを入力する。 (Process 2) The main microcomputer 20 executes a control calculation for controlling whether the relay 212 is turned on or off based on the data input in (Process 1). From the input line 102, the sub-microcomputer 30 inputs the same data as the accelerator opening degree, the shift position, the battery charging depth, etc., as in the main microcomputer 20.

(処理3)メインマイコンは、(処理2)に続いてリレー212をオンにするかオフにするかを決定するための制御演算を実行する。サブマイコン30は、(処理2)で入力したデータに基づいて、メインマイコン20と同様に、リレー212をオンにするかオフにするかを制御するための制御演算を実行する。 (Processing 3) Following (Processing 2), the main microcomputer executes a control calculation for determining whether to turn on or turn off the relay 212. Similar to the main microcomputer 20, the sub-microcomputer 30 executes a control calculation for controlling whether to turn on or off the relay 212 based on the data input in (Processing 2).

(処理4)メインマイコン20は、通信線140を介したマイコン間通信により、サブマイコン30に(処理2)、(処理3)の演算結果として、リレー212をオンにするかオフにするかを送信する。サブマイコン30は、(処理3)に続いてリレー212をオンにするかオフにするかを制御するための制御演算を実行する。 (Processing 4) The main microcomputer 20 determines whether the relay 212 should be turned on or off as the calculation result of (Processing 2) and (Processing 3) in the sub-microcomputer 30 through the communication between the microcomputers via the communication line 140. Send. Sub-microcomputer 30 executes a control operation for controlling whether relay 212 is turned on or off following (Processing 3).

(処理5)メインマイコン20は、車両の駆動源であるモータの出力トルクの設定、高圧電池210の充電量の設定等、サブマイコン30がメインマイコン20との演算結果が一致するか否かの判定対象とするリレー212をオンにするかオフにするか以外の制御演算を実行する。サブマイコン30は、通信線140を介したマイコン間通信により、リレー212をオンにするかオフにするかの演算結果をメインマイコン20から受信する。 (Process 5) The main microcomputer 20 determines whether or not the calculation results of the sub-microcomputer 30 and the main microcomputer 20 match, such as the setting of the output torque of the motor that is the drive source of the vehicle and the setting of the charge amount of the high-voltage battery 210. A control calculation other than turning on or off the relay 212 to be determined is executed. The sub-microcomputer 30 receives from the main microcomputer 20 a calculation result indicating whether the relay 212 should be turned on or off by inter-microcomputer communication via the communication line 140.

(処理6)メインマイコン20は、(処理5)に続いて、リレー212をオンにするかオフにするか以外の制御演算を実行する。サブマイコン30は、リレー212をオンにするかオフにするかについて、メインマイコン20から受信した演算結果と、サブマイコン30の演算結果とが一致するか否かを判定する。 (Process 6) After (Process 5), the main microcomputer 20 executes a control calculation other than turning on or off the relay 212. The sub-microcomputer 30 determines whether the calculation result received from the main microcomputer 20 and the calculation result of the sub-microcomputer 30 match whether the relay 212 is turned on or off.

(処理7)メインマイコン20とサブマイコン30とは、(処理6)と同じ処理を実行する。
(処理8)メインマイコン20は、(処理7)に続いて、リレー212をオンにするかオフにするか以外の制御演算を実行する。サブマイコン30は、(処理6)、(処理7)の判定結果に基づいて、リレー212をオフにして高圧電池210からの高電圧の供給を禁止するために、出力線106にオフ信号を出力して選択部50の出力をオフにするかを判定する。 (Process 7) The main microcomputer 20 and the sub-microcomputer 30 execute the same process as (Process 6).
(Process 8) Following (Process 7), the main microcomputer 20 executes a control calculation other than turning on or off the relay 212. The sub-microcomputer 30 outputs an OFF signal to the output line 106 in order to turn off the relay 212 and prohibit the supply of high voltage from the high-voltage battery 210 based on the determination results of (Process 6) and (Process 7). Then, it is determined whether to turn off the output of the selection unit 50.

(処理9)メインマイコン20は、(処理2)、(処理3)の制御演算については演算結果を制御線104に出力し、(処理5)〜(処理8)の制御演算についてはCAN通信により演算結果を他の電子制御装置に出力する。 (Processing 9) The main microcomputer 20 outputs the calculation result to the control line 104 for the control processing of (Processing 2) and (Processing 3), and the CAN communication for the control processing of (Processing 5) to (Processing 8). The calculation result is output to another electronic control device.

サブマイコン30は、(処理8)の判定結果に基づいて、メインマイコン20とサブマイコン30との演算結果が一致しない場合、選択部50からメインマイコン20の制御信号が出力されることを禁止するために、出力線106にオフ信号を出力する。これにより、リレー212をオフにするオフ信号が出力部60から出力される。 If the calculation results of the main microcomputer 20 and the sub-microcomputer 30 do not match based on the determination result of (Process 8), the sub-microcomputer 30 prohibits the selection unit 50 from outputting the control signal of the main microcomputer 20. Therefore, an off signal is output to the output line 106. As a result, an OFF signal that turns off the relay 212 is output from the output unit 60.

(処理10)メインマイコン20は、処理を実行せず待機する。サブマイコン30は、モニタ線160により出力部60の出力をモニタし、出力線106にオフ信号を出力しているにも関わらず、出力部60の出力がオンになっているか否かを判定する出力フィードバック判定を行う。 (Process 10) The main microcomputer 20 waits without executing the process. The sub-microcomputer 30 monitors the output of the output unit 60 through the monitor line 160, and determines whether the output of the output unit 60 is ON, although the OFF signal is output to the output line 106. Output feedback judgment is performed.

サブマイコン30は、出力線106にオフ信号を出力しているにも関わらず出力部60の出力がオンになっている場合、次の処理シーケンスの(処理1)で出力線122にオフ信号を出力するフェール処理を実行する。 When the output of the output unit 60 is turned on despite outputting the off signal to the output line 106, the sub-microcomputer 30 outputs the off signal to the output line 122 in (Process 1) of the next processing sequence. Execute the fail process to output.

これにより、出力部62の出力がオフになるのでリレー202がオフになり、低圧電源200から出力部60への電力供給が遮断される。すると、リレー212がオフになるので、高圧電池210から車載装置に高電圧が供給されることを遮断する。 As a result, the output of the output unit 62 is turned off, the relay 202 is turned off, and the power supply from the low voltage power source 200 to the output unit 60 is cut off. Then, the relay 212 is turned off, so that the high voltage is not supplied from the high-voltage battery 210 to the vehicle-mounted device.

[3.効果]
以上説明した上記実施形態によれば、以下の効果を得ることができる。
(1)高圧電池210から車載装置への高電圧の供給をオン、オフするリレー212を制御するメインマイコン20と、メインマイコン20が正常であるか異常であるかを監視するサブマイコン30とを異なるマイコンで構成した。 [3. effect]
According to the above-described embodiment, the following effects can be obtained.
(1) The main microcomputer 20 that controls the relay 212 that turns on and off the supply of high voltage from the high-voltage battery 210 to the vehicle-mounted device, and the sub-microcomputer 30 that monitors whether the main microcomputer 20 is normal or abnormal. It is composed of different microcomputers.

したがって、メインマイコン20とサブマイコン30とは、演算を実行するCPU22、32と、演算をするためのデータを格納するメモリ24、34とCPU22、32がメモリ24、34をアクセスするデータ線、などのハードウェア資源を共有せず、マイコン毎に備えている。 Therefore, the main microcomputer 20 and the sub-microcomputer 30 include CPUs 22 and 32 for executing calculations, memories 24 and 34 for storing data for the calculations, and data lines for the CPUs 22 and 32 to access the memories 24 and 34. It does not share the hardware resources of and is provided for each microcomputer.

この構成により、ハードウェア資源に異常が発生してメインマイコン20の演算結果が異常になっても、サブマイコン30のハードウェア資源が正常であれば、メインマイコン20の演算結果に基づいて、メインマイコン20が正常であるか異常であるかを適切に監視できる。 With this configuration, even if an abnormality occurs in the hardware resource and the operation result of the main microcomputer 20 becomes abnormal, if the hardware resource of the sub-microcomputer 30 is normal, the main microcomputer 20 is operated based on the operation result. It is possible to appropriately monitor whether the microcomputer 20 is normal or abnormal.

(2)サブマイコン30は、出力部60の出力を入力してモニタしているので、出力線106にオフ信号を出力しているにも関わらず出力部60の出力がオンになっている場合、出力線122にオフ信号を出力して出力部60への電力供給を遮断できる。 (2) Since the sub-microcomputer 30 inputs and monitors the output of the output unit 60, if the output of the output unit 60 is on even though the off signal is output to the output line 106. The OFF signal can be output to the output line 122 to shut off the power supply to the output unit 60.

これにより、メインマイコン20が異常になっている状態で出力部60の出力がオンに固着していても、出力部60への電力供給を遮断することにより、リレー212をオフにすることができる。 As a result, even if the output of the output unit 60 is stuck on in the abnormal state of the main microcomputer 20, the relay 212 can be turned off by cutting off the power supply to the output unit 60. ..

さらに、サブマイコン30は、出力部60の出力を入力してモニタしているので、出力部60の出力がオンに固着していても、出力部60への電力供給を遮断することにより、リレー212をオフにし、速やかに車載装置への高電圧の供給を遮断できる。 Further, since the sub-microcomputer 30 inputs and monitors the output of the output unit 60, even if the output of the output unit 60 is fixed to be on, the power supply to the output unit 60 is cut off to cause the relay By turning off 212, it is possible to quickly shut off the supply of the high voltage to the vehicle-mounted device.

(3)ASIC40がサブマイコン30が正常であるか否かを監視しているので、メインマイコン20を監視するサブマイコン30が異常になっても、ASIC40が出力線124にオフ信号を出力して出力部60への電力供給を遮断できる。 (3) Since the ASIC 40 monitors whether or not the sub-microcomputer 30 is normal, even if the sub-microcomputer 30 that monitors the main microcomputer 20 becomes abnormal, the ASIC 40 outputs an off signal to the output line 124. The power supply to the output unit 60 can be cut off.

上記実施形態では、メインマイコン20が第1のマイクロコンピュータに対応し、サブマイコン30が第2のマイクロコンピュータに対応し、ASIC40が監視部に対応し、選択部50が第1の選択部に対応し、選択部52、54が第2の選択部に対応し、出力部60が出力部に対応し、出力部62が出力制御部に対応し、リレー212がリレーに対応する。 In the above embodiment, the main microcomputer 20 corresponds to the first microcomputer, the sub-microcomputer 30 corresponds to the second microcomputer, the ASIC 40 corresponds to the monitoring unit, and the selection unit 50 corresponds to the first selection unit. The selection units 52 and 54 correspond to the second selection unit, the output unit 60 corresponds to the output unit, the output unit 62 corresponds to the output control unit, and the relay 212 corresponds to the relay.

また、メインマイコン20が制御線104に出力する制御信号が制御信号に対応し、サブマイコン30が出力線106に出力する出力信号が出力信号または第1の出力信号に対応し、サブマイコン30が出力線122に出力する出力信号が出力信号または第2の出力信号に対応し、サブマイコン30がモニタ線164から入力する信号が電圧検出信号に対応し、ASIC40が出力線124に出力する出力信号が第2の出力信号に対応する。 The control signal output from the main microcomputer 20 to the control line 104 corresponds to the control signal, the output signal output from the sub-microcomputer 30 to the output line 106 corresponds to the output signal or the first output signal, and the sub-microcomputer 30 outputs the control signal. The output signal output to the output line 122 corresponds to the output signal or the second output signal, the signal input from the monitor line 164 by the sub-microcomputer 30 corresponds to the voltage detection signal, and the output signal output from the ASIC 40 to the output line 124. Corresponds to the second output signal.

[4.他の実施形態]
(1)上記実施形態では、第1のマイコンに対応するメインマイコン20が車両制御としてリレー212をオンまたはオフし、第2のマイコンに対応するサブマイコン30は、メインマイコン20が正常であるか異常であるかを監視した。 [4. Other Embodiments]
(1) In the above embodiment, whether the main microcomputer 20 corresponding to the first microcomputer turns on or off the relay 212 for vehicle control, and the sub microcomputer 30 corresponding to the second microcomputer is the main microcomputer 20 normal? It was monitored for abnormalities.

これに対し、第1のマイコンが実行する車両制御はリレー212をオンまたはオフすることに限らず、どのような車両制御であってもよい。そして、第2のマイコンは、第1のマイコンが異常の場合、第1のマイコンが車両制御のために出力する制御信号が電子制御装置から出力されることを禁止する。 On the other hand, the vehicle control executed by the first microcomputer is not limited to turning on or off the relay 212, and may be any vehicle control. Then, when the first microcomputer is abnormal, the second microcomputer prohibits the control signal output by the first microcomputer for vehicle control from being output from the electronic control unit.

(2)上記実施形態では、サブマイコン30が正常であるか異常であるかを監視する監視部をASIC40で構成した。これに対し、サブマイコン30が正常であるか異常であるかを監視する監視部をマイコンで構成してもよい。 (2) In the above-described embodiment, the ASIC 40 constitutes the monitoring unit that monitors whether the sub-microcomputer 30 is normal or abnormal. On the other hand, a monitoring unit that monitors whether the sub-microcomputer 30 is normal or abnormal may be configured by a microcomputer.

(3)上記実施形態において、サブマイコン30とASIC40とが出力線122、124により出力部62の出力をオフにする回路構成を除いてもよい。この場合、メインマイコン20が異常であれば、メインマイコン20が制御線104に出力する制御信号は、サブマイコン30が出力線106に出力するオフ信号により電子制御装置10からの出力を禁止される。 (3) In the above embodiment, the circuit configuration in which the sub-microcomputer 30 and the ASIC 40 turn off the output of the output unit 62 by the output lines 122 and 124 may be omitted. In this case, if the main microcomputer 20 is abnormal, the control signal output from the main microcomputer 20 to the control line 104 is prohibited from being output from the electronic control unit 10 by the off signal output from the sub-microcomputer 30 to the output line 106. ..

(4)上記実施形態において、メインマイコン20が制御線104に出力する制御信号を選択部50を介さず直接、出力部60からリレー212に出力してもよい。
この場合、メインマイコン20が異常であれば、メインマイコン20が制御線104に出力する制御信号は、サブマイコン30が出力線122にオフ信号を出力して出力部60への電力供給を遮断することにより、電子制御装置10からの出力を禁止される。 (4) In the above embodiment, the control signal output from the main microcomputer 20 to the control line 104 may be directly output from the output unit 60 to the relay 212 without the selection unit 50.
In this case, if the main microcomputer 20 is abnormal, the control signal output from the main microcomputer 20 to the control line 104 is such that the sub-microcomputer 30 outputs an OFF signal to the output line 122 to cut off the power supply to the output unit 60. As a result, the output from the electronic control unit 10 is prohibited.

(5)上記実施形態では、一つのメインマイコン20が正常であるか異常であるかを一つのサブマイコン30が監視した。これに対し、二つ以上のメインマイコン20が正常であるか異常であるかを一つのサブマイコン30が監視してもよい。この場合、一つのサブマイコン30は、二つ以上のそれぞれのメインマイコン20の演算結果に基づいて、それぞれのメインマイコン20が正常であるか異常であるかを監視する。 (5) In the above embodiment, one sub-microcomputer 30 monitors whether one main microcomputer 20 is normal or abnormal. On the other hand, one sub-microcomputer 30 may monitor whether two or more main microcomputers 20 are normal or abnormal. In this case, one sub-microcomputer 30 monitors whether each main microcomputer 20 is normal or abnormal based on the calculation results of two or more main microcomputers 20.

(6)サブマイコン30が異常の場合、ASIC40はメインマイコン20が出力する制御信号を遮断する出力信号を選択部50に出力してもよい。
(7)上記実施形態における一つの構成要素が有する複数の機能を複数の構成要素によって実現したり、一つの構成要素が有する一つの機能を複数の構成要素によって実現したりしてもよい。また、複数の構成要素が有する複数の機能を一つの構成要素によって実現したり、複数の構成要素が有する一つの機能を一つの構成要素によって実現したりしてもよい。また、上記実施形態の構成の一部を省略してもよい。また、上記実施形態の構成の少なくとも一部を、他の上記実施形態の構成に対して付加または置換してもよい。尚、特許請求の範囲に記載した文言のみによって特定される技術思想に含まれるあらゆる態様が本開示の実施形態である。 (6) When the sub-microcomputer 30 is abnormal, the ASIC 40 may output an output signal that cuts off the control signal output from the main microcomputer 20 to the selection unit 50.
(7) A plurality of functions of one constituent element in the above-described embodiment may be realized by a plurality of constituent elements, or one function of one constituent element may be realized by a plurality of constituent elements. Further, a plurality of functions of a plurality of constituent elements may be realized by one constituent element, or one function of a plurality of constituent elements may be realized by one constituent element. Moreover, you may omit a part of structure of the said embodiment. Further, at least a part of the configuration of the above-described embodiment may be added or replaced with respect to the configuration of the other above-described embodiment. Note that all aspects included in the technical idea specified only by the wording recited in the claims are embodiments of the present disclosure.

(8)上述した電子制御装置の他、当該電子制御装置を構成要素とする車両制御システム、当該電子制御装置としてコンピュータを機能させるための車両制御プログラム、この車両制御プログラムを記録した記録媒体、車両制御方法など、種々の形態で本開示を実現することもできる。 (8) In addition to the electronic control device described above, a vehicle control system having the electronic control device as a component, a vehicle control program for causing a computer to function as the electronic control device, a recording medium recording the vehicle control program, and a vehicle. The present disclosure can be implemented in various forms such as a control method.

10:電子制御装置、20:メインマイコン(第1のマイコン)、30:サブマイコン(第2のマイコン)、40:ASIC(監視部)、50:選択部(第1の選択部)、52、54:選択部(第2の選択部)、60:出力部、62:出力部(出力制御部)、212、214:リレー 10: electronic control device, 20: main microcomputer (first microcomputer), 30: sub-microcomputer (second microcomputer), 40: ASIC (monitoring unit), 50: selection unit (first selection unit), 52, 54: selection unit (second selection unit), 60: output unit, 62: output unit (output control unit), 212, 214: relay

Claims (8)

車両制御を実行するための演算を行うように構成された少なくとも一つの第1のマイクロコンピュータ(20)と、
前記第1のマイクロコンピュータの演算結果に基づいて、前記第1のマイクロコンピュータが正常であるか異常であるかを監視するように構成された一つの第2のマイクロコンピュータ(30)と、
前記第2のマイクロコンピュータの演算結果に基づいて、前記第2のマイクロコンピュータが正常であるか異常であるかを監視するように構成された監視部(40)と、
を備え、
前記第2のマイクロコンピュータは、前記第1のマイクロコンピュータが演算対象のデータを演算した前記演算結果と、前記第2のマイクロコンピュータが同じ前記演算対象のデータを演算した演算結果とを比較して前記第1のマイクロコンピュータが正常であるか異常であるかを監視するように構成されており、
前記監視部は、ASICで構成されており、前記第2のマイクロコンピュータと同じアルゴリズムで演算した演算結果と、前記第2のマイクロコンピュータが前記アルゴリズムで演算した演算結果とを比較して前記第2のマイクロコンピュータが正常であるか異常であるかを監視し、前記第2のマイクロコンピュータが異常の場合、前記第1のマイクロコンピュータと前記第2のマイクロコンピュータとを同時にリセットするように構成されている、
電子制御装置(10)。 At least one first microcomputer (20) configured to perform an operation for performing vehicle control;
One second microcomputer (30) configured to monitor whether the first microcomputer is normal or abnormal based on the calculation result of the first microcomputer;
A monitoring unit (40) configured to monitor whether the second microcomputer is normal or abnormal based on the calculation result of the second microcomputer;
Equipped with
The second microcomputer compares the calculation result obtained by calculating the calculation target data by the first microcomputer with the calculation result obtained by calculating the same calculation target data by the second microcomputer. Is configured to monitor whether the first microcomputer is normal or abnormal,
The monitoring unit is composed of an ASIC and compares the calculation result calculated by the second microcomputer with the same algorithm as the second microcomputer by comparing the calculation result calculated by the second microcomputer with the algorithm. Is configured to monitor whether the first microcomputer and the second microcomputer are normal or abnormal, and when the second microcomputer is abnormal, the first microcomputer and the second microcomputer are simultaneously reset. Is
Electronic control unit (10). 請求項1に記載の電子制御装置において、
前記第1のマイクロコンピュータが前記車両制御を実行するために出力する制御信号と前記第2のマイクロコンピュータが出力する第1の出力信号とを入力とし、前記制御信号が前記電子制御装置から出力されることを許可するか禁止するかを前記第1の出力信号により選択するように構成された第1の選択部(50)と、
前記第1の選択部の出力を前記電子制御装置から出力するように構成された出力部(60)と、
前記出力部への電力供給をオンまたはオフにするように構成された出力制御部(62)と、
前記出力制御部が前記出力部への電力供給をオンまたはオフのいずれにするかを、前記第2のマイクロコンピュータが出力する第2の出力信号により選択するように構成された第2の選択部(52、54)と、
をさらに備え、
前記第2のマイクロコンピュータは、前記第1のマイクロコンピュータが正常の場合、前記制御信号が前記電子制御装置から出力されることを許可する前記第1の出力信号を前記第1の選択部に出力し、前記第1のマイクロコンピュータが異常の場合、前記制御信号が前記電子制御装置から出力されることを禁止する前記第1の出力信号を前記第1の選択部に出力するように構成されており、
さらに、前記第2のマイクロコンピュータは、前記出力部の出力を入力し、前記第1のマイクロコンピュータが異常の場合に前記出力部から前記制御信号が出力されていると、前記出力部への前記電力供給をオフにする前記第2の出力信号を前記第2の選択部に出力するように構成されている、
電子制御装置。 The electronic control unit according to claim 1,
The control signal output by the first microcomputer for executing the vehicle control and the first output signal output by the second microcomputer are input, and the control signal is output from the electronic control unit. A first selection unit (50) configured to select whether to permit or prohibit the operation according to the first output signal,
An output unit (60) configured to output the output of the first selection unit from the electronic control device;
An output control unit (62) configured to turn on or off power supply to the output unit;
A second selection unit configured to select whether the output control unit turns on or off the power supply to the output unit according to a second output signal output from the second microcomputer. (52, 54),
Further equipped with,
The second microcomputer outputs, when the first microcomputer is normal, the first output signal to the first selection unit, which permits the control signal to be output from the electronic control device. If the first microcomputer is abnormal, the first output signal for prohibiting the control signal from being output from the electronic control device is output to the first selection unit. Cage,
Further, the second microcomputer inputs the output of the output unit, and when the control signal is output from the output unit when the first microcomputer is abnormal, the second microcomputer outputs the control signal to the output unit. It is configured to output the second output signal for turning off the power supply to the second selection unit,
Electronic control unit. 請求項2に記載の電子制御装置において、
前記第2のマイクロコンピュータは、前記出力部への電力供給をオフにする前記第2の出力信号を前記第の2選択部に出力しても、前記出力部への電力供給がオフにならない場合、前記第1のマイクロコンピュータが実行する前記車両制御に対してフェール処理を実行するように構成されている、
電子制御装置。 The electronic control unit according to claim 2,
The second microcomputer outputs the second output signal, which turns off the power supply to the output unit, to the second selection unit, but does not turn off the power supply to the output unit. And configured to execute a fail process for the vehicle control executed by the first microcomputer,
Electronic control unit. 請求項2または3に記載の電子制御装置において、
前記第1の選択部は、前記第1の出力信号と前記監視部が出力する第3の出力信号とにより、前記制御信号を出力するか否かを選択するように構成されており、
前記監視部は、前記第2のマイクロコンピュータが正常の場合、前記制御信号が前記第1の選択部から出力されることを許可する前記第3の出力信号を出力し、前記第2のマイクロコンピュータが異常の場合、前記制御信号が前記第1の選択部から出力されることを禁止する前記第3の出力信号を出力するように構成されている、
電子制御装置。 The electronic control unit according to claim 2 or 3,
The first selection unit is configured to select whether to output the control signal based on the first output signal and a third output signal output by the monitoring unit,
When the second microcomputer is normal, the monitoring unit outputs the third output signal that permits the control signal to be output from the first selection unit, and the second microcomputer Is abnormal, it is configured to output the third output signal that prohibits the control signal from being output from the first selector.
Electronic control unit. 請求項2から4のいずれか一項に記載の電子制御装置において、
前記第2の選択部は、前記出力制御部が前記出力部への電力供給をオンまたはオフのいずれにするかを、前記第2の出力信号と前記監視部が出力する第4の出力信号とにより選択するように構成されており、
前記監視部は、前記第2のマイクロコンピュータが異常の場合、前記出力制御部が前記出力部への電力供給をオフにする前記第4の出力信号を前記第2の選択部に出力するように構成されている、
電子制御装置。 The electronic control device according to any one of claims 2 to 4,
The second selection unit determines whether the output control unit turns on or off the power supply to the output unit based on the second output signal and the fourth output signal output by the monitoring unit. Configured to select by
When the second microcomputer is abnormal, the monitoring unit outputs the fourth output signal, which causes the output control unit to turn off the power supply to the output unit, to the second selection unit. It is configured,
Electronic control unit. 請求項1から5のいずれか一項に記載の電子制御装置において、
前記制御信号は、高電圧により駆動される車載装置への高電圧の供給をオンまたはオフ
にするリレー(212、214)に対する制御信号である、
電子制御装置。 The electronic control device according to any one of claims 1 to 5 ,
The control signal is a control signal for a relay (212, 214) that turns on or off the supply of the high voltage to the in-vehicle device driven by the high voltage,
Electronic control unit. 請求項6に記載の電子制御装置において、
前記第2のマイクロコンピュータは、前記高電圧が前記車載装置に供給されているか否かを検出する電圧検出信号を入力するように構成されている、
電子制御装置。 The electronic control device according to claim 6 ,
The second microcomputer is configured to input a voltage detection signal for detecting whether or not the high voltage is supplied to the vehicle-mounted device.
Electronic control unit. 車両制御を実行するための演算を行うように構成された少なくとも一つの第1のマイクロコンピュータ(20)と、
前記第1のマイクロコンピュータの演算結果に基づいて、前記第1のマイクロコンピュータが正常であるか異常であるかを監視するように構成された一つの第2のマイクロコンピュータ(30)と、
前記第2のマイクロコンピュータの演算結果に基づいて、前記第2のマイクロコンピュータが正常であるか異常であるかを監視するように構成された監視部(40)と、
前記第1のマイクロコンピュータが高電圧により駆動される車載装置への高電圧の供給をオンまたはオフにするために出力する制御信号と前記第2のマイクロコンピュータが出力する第1の出力信号とを入力とし、前記制御信号が前記電子制御装置から出力されることを許可するか禁止するかを前記第1の出力信号により選択するように構成された第1の選択部(50)と、
前記第1の選択部の出力を前記電子制御装置から出力するように構成された出力部(60)と、
前記出力部への電力供給をオンまたはオフにするように構成された出力制御部(62)と、
前記出力制御部が前記出力部への電力供給をオンまたはオフのいずれにするかを、前記第2のマイクロコンピュータが出力する第2の出力信号により選択するように構成された第2の選択部(52、54)と、
を備え、
前記第2のマイクロコンピュータは、前記第1のマイクロコンピュータが演算対象のデータを演算した前記演算結果と、前記第2のマイクロコンピュータが同じ前記演算対象のデータを演算した演算結果とを比較して前記第1のマイクロコンピュータが正常であるか異常であるかを監視するように構成されており、
前記第2のマイクロコンピュータは、前記第1のマイクロコンピュータが正常の場合、前記制御信号が前記電子制御装置から出力されることを許可する前記第1の出力信号を前記第1の選択部に出力し、前記第1のマイクロコンピュータが異常の場合、前記制御信号が前記電子制御装置から出力されることを禁止する前記第1の出力信号を前記第1の選択部に出力するように構成されており、
さらに、前記第2のマイクロコンピュータは、前記出力部の出力を入力し、前記第1のマイクロコンピュータが異常の場合に前記出力部から前記制御信号が出力されていると、前記出力部への前記電力供給をオフにする前記第2の出力信号を前記第2の選択部に出力するように構成されており、
前記監視部は、ASICで構成されており、前記第2のマイクロコンピュータと同じアルゴリズムで演算した演算結果と、前記第2のマイクロコンピュータが前記アルゴリズムで演算した演算結果とを比較して前記第2のマイクロコンピュータが正常であるか異常であるかを監視し、前記第2のマイクロコンピュータが異常の場合、前記第1のマイクロコンピュータと前記第2のマイクロコンピュータとを同時にリセットするように構成されている、
電子制御装置と、
前記出力部の出力により前記車載装置への高電圧の供給をオンまたはオフにする第1のリレー(212、214)と、
前記出力制御部の出力により前記出力部への電力供給をオンまたはオフにする第2のリレー(202)と、
を備える車両制御システム。 At least one first microcomputer (20) configured to perform an operation for performing vehicle control;
One second microcomputer (30) configured to monitor whether the first microcomputer is normal or abnormal based on the calculation result of the first microcomputer;
A monitoring unit (40) configured to monitor whether the second microcomputer is normal or abnormal based on the calculation result of the second microcomputer;
A control signal output by the first microcomputer to turn on or off the supply of a high voltage to a vehicle-mounted device driven by a high voltage and a first output signal output from the second microcomputer. A first selection unit (50) configured to select whether to permit or prohibit the control signal from being output from the electronic control device by the first output signal as an input;
An output unit (60) configured to output the output of the first selection unit from the electronic control device;
An output control unit (62) configured to turn on or off power supply to the output unit;
A second selection unit configured to select whether the output control unit turns on or off the power supply to the output unit according to a second output signal output from the second microcomputer. (52, 54),
Equipped with
The second microcomputer compares the calculation result obtained by calculating the calculation target data by the first microcomputer with the calculation result obtained by calculating the same calculation target data by the second microcomputer. Is configured to monitor whether the first microcomputer is normal or abnormal,
The second microcomputer outputs, when the first microcomputer is normal, the first output signal to the first selection unit, which permits the control signal to be output from the electronic control device. If the first microcomputer is abnormal, the first output signal for prohibiting the control signal from being output from the electronic control device is output to the first selection unit. Cage,
Further, the second microcomputer inputs the output of the output unit, and when the control signal is output from the output unit when the first microcomputer is abnormal, the second microcomputer outputs the control signal to the output unit. It is configured to output the second output signal to turn off the power supply to the second selection unit ,
The monitoring unit is formed of an ASIC, and compares the calculation result calculated by the same algorithm as the second microcomputer with the calculation result calculated by the second microcomputer by the second microcomputer. Is configured to monitor whether the first microcomputer and the second microcomputer are normal or abnormal, and when the second microcomputer is abnormal, the first microcomputer and the second microcomputer are simultaneously reset. Is
An electronic control unit,
A first relay (212, 214) for turning on or off the supply of the high voltage to the vehicle-mounted device by the output of the output unit;
A second relay (202) for turning on or off the power supply to the output section according to the output of the output control section;
A vehicle control system comprising:
JP2016165959A 2016-08-26 2016-08-26 Electronic control unit Active JP6740812B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016165959A JP6740812B2 (en) 2016-08-26 2016-08-26 Electronic control unit
DE102017213690.1A DE102017213690A1 (en) 2016-08-26 2017-08-07 Electronic control unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016165959A JP6740812B2 (en) 2016-08-26 2016-08-26 Electronic control unit

Publications (2)

Publication Number Publication Date
JP2018032328A JP2018032328A (en) 2018-03-01
JP6740812B2 true JP6740812B2 (en) 2020-08-19

Family

ID=61166812

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016165959A Active JP6740812B2 (en) 2016-08-26 2016-08-26 Electronic control unit

Country Status (2)

Country Link
JP (1) JP6740812B2 (en)
DE (1) DE102017213690A1 (en)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19609242A1 (en) 1996-03-09 1997-09-11 Bosch Gmbh Robert Method and device for controlling a drive unit of a vehicle
JP3380115B2 (en) * 1996-06-28 2003-02-24 株式会社日立製作所 Electric vehicle motor control device
JPH11294252A (en) * 1998-04-13 1999-10-26 Denso Corp Electronic control device
JP2001063492A (en) * 1999-08-27 2001-03-13 Nec Corp Electronic control device for vehicle safety control device
JP4525762B2 (en) * 2008-02-04 2010-08-18 株式会社デンソー Electronic control device for vehicle
JP6205202B2 (en) * 2013-08-07 2017-09-27 日立オートモティブシステムズ株式会社 Electronic control device for vehicle
JP6380141B2 (en) * 2015-02-04 2018-08-29 株式会社デンソー Electronic control unit

Also Published As

Publication number Publication date
JP2018032328A (en) 2018-03-01
DE102017213690A1 (en) 2018-03-01

Similar Documents

Publication Publication Date Title
US20190243363A1 (en) Apparatus and method for controlling vehicle based on redundant architecture
JP4296186B2 (en) Electric power steering device
JP5772712B2 (en) Vehicle equipment
US20190179310A1 (en) Vehicle control apparatus
JP6723955B2 (en) Information processing apparatus and abnormality coping method
JP5526965B2 (en) Power supply control device and failure detection method
US20170254325A1 (en) Drive control apparatus
JP2010285001A (en) Electronic control system and functional agency method
JP2012095420A (en) Electric power steering device
US20140214277A1 (en) Method for operating an electrical power steering mechanism
JP5652622B2 (en) Vehicle abnormality diagnosis device
JP6740812B2 (en) Electronic control unit
JP2014534922A (en) Method for operating an electric power steering system
WO2011034052A1 (en) Vehicle electronic control device
JP2012218467A (en) Electronic control device
JP6950628B2 (en) In-vehicle power supply control device, in-vehicle power supply device, and vehicle control method
JP4947493B2 (en) Vehicle air conditioner control device with sensor identification function
JP2020100184A (en) Electronic control device, electronic control program and electronic control system
JP4820679B2 (en) Electronic control device for vehicle
KR102045227B1 (en) Motor-inverter driving system and its operating method
JP6920238B2 (en) Power supply controller
JP6673229B2 (en) Drive
JP5713432B2 (en) Drive unit control apparatus and control method
JP2003343342A (en) Vehicle electronic control unit
JP2015112962A (en) Information processing apparatus

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181026

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190827

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190828

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191028

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200114

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200316

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200623

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200706

R151 Written notification of patent or utility model registration

Ref document number: 6740812

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250