JP7299344B2 - 車載電子制御装置 - Google Patents

車載電子制御装置 Download PDF

Info

Publication number
JP7299344B2
JP7299344B2 JP2021562564A JP2021562564A JP7299344B2 JP 7299344 B2 JP7299344 B2 JP 7299344B2 JP 2021562564 A JP2021562564 A JP 2021562564A JP 2021562564 A JP2021562564 A JP 2021562564A JP 7299344 B2 JP7299344 B2 JP 7299344B2
Authority
JP
Japan
Prior art keywords
driver
arithmetic
confirmation signal
unit
electronic control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021562564A
Other languages
English (en)
Other versions
JPWO2021111896A1 (ja
JPWO2021111896A5 (ja
Inventor
徹 福田
吉孝 徳永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Publication of JPWO2021111896A1 publication Critical patent/JPWO2021111896A1/ja
Publication of JPWO2021111896A5 publication Critical patent/JPWO2021111896A5/ja
Application granted granted Critical
Publication of JP7299344B2 publication Critical patent/JP7299344B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0225Failure correction strategy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2028Failover techniques eliminating a faulty processor or activating a spare
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • B60R16/0232Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/006Identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2025Failover techniques using centralised failover control functionality
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0062Adapting control system settings
    • B60W2050/0075Automatic parameter input, automatic initialising or calibrating means
    • B60W2050/0083Setting, resetting, calibration
    • B60W2050/0085Setting or resetting initial positions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2710/00Output or target parameters relating to a particular sub-units
    • B60W2710/06Combustion engines, Gas turbines
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2710/00Output or target parameters relating to a particular sub-units
    • B60W2710/24Energy storage means
    • B60W2710/242Energy storage means for electrical energy
    • B60W2710/244Charge state
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2710/00Output or target parameters relating to a particular sub-units
    • B60W2710/30Auxiliary equipments

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Safety Devices In Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、車両に搭載する車載電子制御装置に関する。
車両が搭載する電子制御装置(Electronical Control Unit)は一般に、ECU内のマイコンが正常に動作しているか否かを監視する監視部を備える。1つのマイコンに対して1つの監視部を配置するのが一般的である。監視部は例えばWDT(Watch Dog Timer)によって構成することができる。監視部による監視結果が異常であれば、マイコンをリセットすることにより、マイコンを異常状態から回復させることを試みる。
下記特許文献1は、『マルチコアCPUの故障監視を、監視用CPUを増やさずに低コストで可能とする車載用電子制御装置を提供する。』ことを課題として、『制御IC2内のCPUコア10をメインCPUコアとし、他のCPUコア20,30,40をサブCPUコアとし、CPUコア20,30,40は、CPUコア10が送信した例題データに対する回答データを算出してCPUコア10へ送信し、CPUコア10は、監視IC3の送信した例題データに対する回答データを算出すると共に、CPUコア20,30,40へ例題データを送信し、自身の回答データとCPUコア20,30,40が返信した回答データとに基づいて最終回答データを生成して監視IC3へ送信し、監視IC3は、CPUコア10から受信した最終回答データと予め用意した回答データ期待値との照合結果で制御IC2の故障診断を行う。』という技術を記載している(要約参照)。
下記特許文献2は、『2つ以上のアプリケーションの一方に異常が検出されても、他方のアプリケーションを継続して実行可能な情報処理装置を提供すること。』を課題として、『複数のアプリケーションと、第一のカウント期間におけるアプリケーション毎の動作中通知の回数をカウントするアプリ監視手段60と、アプリケーションの動作を制御するアプリ制御手段32と、を有し、アプリ監視手段がアプリケーションの過去の動作中通知の回数に基づき、アプリケーションの異常兆候を検出した場合、前記アプリ制御手段は、最も優先度が低いアプリケーションの動作中通知の送信を停止し、異常兆候が検出されていないアプリケーションは、異常兆候が検出される前のタイミングと、異常兆候が検出されたアプリケーションが動作中通知を送信するタイミング又はその前後のタイミングで、動作中通知を送信する、ことを特徴とする。』という技術を記載している(要約参照)。
特開2015-103052号公報 特開2013-143093号公報
近年の車載電子制御装置は、複数のプロセッサコアを備えるマルチコアマイコンを用いるようになってきている。マルチコアマイコンは、コアごとにそれぞれ異なる機能を実行させることができる。コアごとに監視部を配置するとコスト高になるので、1つの監視部によって各コアをまとめて監視することが望ましいと考えられる。
複数機能を実行するマルチコアマイコンにおいて、いずれかの機能が監視部によって異常であると判定されたとき、マイコン全体がリセットされることになる。そうすると、正常動作している機能もリセットされることになるので、動作継続性が阻害されてしまう。
特に車載電子制御装置においては、動作継続することが求められる場合があるので、かかる構成は望ましくない。
特許文献1は、監視IC3が送信する例題データをCPUコア10~40が中継することにより、複数のCPUコア10~40を1つの監視IC3によって監視する。この構成は監視IC3のコストを抑制する点においては有用であると考えられる。しかしいずれかのCPUコアが異常であるときCPU全体がリセットされると、動作継続性が阻害されてしまう可能性がある。
特許文献2は、2つ以上のアプリケーションのうちいずれかが異常であるとき、最も優先度が低いアプリケーションの動作中通知を停止し、その他のアプリケーションを継続することを図っている。しかし同文献によれば、異常時は優先度が低いアプリケーションの動作中通知が停止するので、そのアプリケーションに対する監視能力が低下することになる。すなわち同文献においては、異常が発生するとマイコンが正常時とは異なる状態になる。車載電子制御装置においては、マイコンのみならずECUが制御する制御対象機器(車両が備えるアクチュエータなど)も含めて動作継続性を考慮する必要がある。特許文献2のようにマイコンそのものを正常時とは異なる状態にセットすることは、動作継続性の観点から必ずしも最適ではない可能性もある。マイコンを正常状態に復帰させる処理が必要になるからである。
本発明は、上記のような課題に鑑みてなされたものであり、複数機能を制御する電子制御装置において異常が検出された場合、他方の機能に影響を与えることなく動作を継続するとともに、異常が検出された機能に対応する制御対象機器の安全性を確保することを目的とする。
本発明に係る車載電子制御装置において、第1演算部と第2演算部はそれぞれ動作確認信号を出力し、ドライバ制御部は、前記第1演算部と前記第2演算部のうち前記動作確認信号が異常を示しているほうに対応するドライバを縮退状態にセットする。
本発明に係る車載電子制御装置によれば、異常が発生していない機能に影響を与えることなく動作を継続するとともに、異常が検出された機能に対応する制御対象機器の安全性を確保することができる。
実施形態1に係る車載電子制御装置100の構成図である。 判定部4が各ドライバを制御する手順を説明するタイムチャートである。 判定部4がマイコン6をリセットする手順を説明するタイムチャートである。 車載電子制御装置100が制御する機器の例を示す図である。
<実施の形態1>
図1は、本発明の実施形態1に係る車載電子制御装置100の構成図である。車載電子制御装置100は、車両に搭載される電子制御装置である。車載電子制御装置100は、車両が備える機器(例えばアクチュエータなど、具体例は後述)を制御する装置である。
車載電子制御装置100は、監視部1、マイコン6(演算装置)、第1ドライバ18、第2ドライバ19を備える。
マイコン6は、車両が備える機器を制御するための制御演算を実装したプログラムを実行するCPU(Central Processing Unit)を備える。マイコン6は、複数のCPUを備えるマルチプロセッサマイコンである。図1においてはCPU11(第1演算部)とCPU13(第2演算部)を備える例を示した。CPU11は第1機能7(第1処理)を実現するための制御演算を実行し、CPU13は第2機能8(第2処理)を実現するための制御演算を実行する。車載電子制御装置が準拠する規格上における機能安全要求レベルについて、第1機能7の機能安全要求レベルは、第2機能8の機能安全要求レベルよりも高いものとする。
CPU11は、制御演算結果にしたがって、I/O回路17を経由して、第1ドライバ18を制御するための第1駆動信号を出力する。第1ドライバ18は、第1駆動信号にしたがって、第1機器を駆動する。CPU13は、制御演算結果にしたがって、I/O回路17を経由して、第2ドライバ19を制御するための第2駆動信号を出力する。第2ドライバ19は、第2駆動信号にしたがって、第2機器を駆動する。
CPU11は、自身がプログラムを実行中であることを示す第1動作確認信号を、I/O回路17経由で監視部1に対して出力する。CPU13は、自身がプログラムを実行中であることを示す第2動作確認信号を、I/O回路17経由で監視部1に対して出力する。
ロックステップ9は、CPU11と同じ演算を実行する。ロックステップ10は、CPU13と同じ演算を実行する。マイコン6が備えるMPU監視部15(演算装置監視部)は、CPUとロックステップそれぞれの演算結果を比較し、両者が一致しなければマイコン6が異常である旨を示す信号(エラー出力)を、監視部1に対して出力する。
マイコン6はさらに、メモリ12と14、周辺回路16、などを備える。メモリ12と14はそれぞれCPU11と13が使用するデータなどを保存する記憶デバイスである。
周辺回路16は、例えばタイマ、AD変換器、通信インターフェースなど、マイコン6が一般的に備えるその他回路である。MPU監視部15は、各CPUに加えて、メモリ12と14、周辺回路16、I/O回路17が正常であるか否かを監視し、いずれかが異常であればエラー出力を監視部1に対して出力する。したがってMPU監視部15は、マイコン6内部における不具合を監視する役割を有する。
監視部1は、リセット制御部2、応答監視部3、判定部4、ドライバ制御部5を備える。リセット制御部2は、判定部4からの指示にしたがって、マイコン6に対してリセット信号を出力する。応答監視部3は、CPU11の動作を監視する。応答監視部3は例えばWDTによって構成することができる。判定部4は、後述する手順にしたがって、マイコン6が正常であるか否かを判定する。ドライバ制御部5は、判定部4からの指示にしたがって、第1ドライバ18を制御する信号(機能1出力許可信号)と第2ドライバ19を制御する信号(機能2出力許可信号)を出力する。
図2は、判定部4が各ドライバを制御する手順を説明するタイムチャートである。判定部4は、異常を示している動作確認信号に対応するドライバに対して、出力停止を指示する。図2においては、第2動作確認信号が異常を示しているので、判定部4は第2ドライバ19に対して出力停止を指示する。第2ドライバ19はそれ以後、第2機器に対して第2駆動信号を出力しない。複数の動作確認信号が異常を示している場合は、それぞれの動作確認信号に対応するドライバに対して、出力停止を指示してもよい。動作確認信号が正常を示している場合は、対応するドライバに対して、出力許可する旨を指示する。
図3は、判定部4がマイコン6をリセットする手順を説明するタイムチャートである。
判定部4は図2で説明したように、各動作確認信号が異常を示すごとに、対応するドライバに対して、出力停止を指示する。全ての動作確認信号(本実施形態1においては第1動作確認信号と第2動作確認信号)が異常を示しており、かつMPU監視部15からエラー出力が発生した場合、各CPUは正常にプログラムを実行しておらず、かつマイコン6内部においても不具合が発生していることになる。この場合はこれ以上マイコン6の動作を継続できないと考えられる。そこで判定部4は、リセット信号を出力するようにリセット制御部2に対して指示する。図3においては、第2動作確認信号が異常を示した後、第1動作確認信号が異常を示し、さらにその後にエラー出力が発生した例を示した。
<実施の形態1:まとめ>
本実施形態1に係る車載電子制御装置100は、車両に搭載する車載電子制御装置(100)であって、前記車両が備える第1機器を駆動する第1駆動信号を出力する第1ドライバ(18)、前記車両が備える第2機器を駆動する第2駆動信号を出力する第2ドライバ(19)、前記第1ドライバ(18)と前記第2ドライバ(19)それぞれの動作状態を制御するドライバ制御部(5)、前記車両を制御するための制御処理を実行する演算ユニットを複数有する演算装置(6)、を備え、前記演算装置(6)は、前記演算ユニットとして、前記第1機器を制御するための第1処理を実行するとともにその結果にしたがって前記第1ドライバ(18)を制御する第1演算部(11)、前記第2機器を制御するための第2処理を実行するとともにその結果にしたがって前記第2ドライバ(19)を制御する第2演算部(13)、を備え、前記演算装置は、前記制御処理を正常に実行しているか否かを示す確認信号を出力し、前記第1演算部(11)は、前記確認信号として、前記第1処理を正常に実行しているか否かを示す第1動作確認信号を出力し、前記第2演算部(13)は、前記確認信号として、前記第2処理を正常に実行しているか否かを示す第2動作確認信号を出力し、前記ドライバ制御部(5)は、前記第1処理を正常に実行していることを前記第1動作確認信号が示しているとともに、前記第2処理を正常に実行していないことを前記第2動作確認信号が示している場合は、前記第1ドライバ(18)を通常動作させるとともに、前記第2ドライバ(19)を通常動作よりも縮退した状態にセットし、前記ドライバ制御部(5)は、前記第1処理を正常に実行していないことを前記第1動作確認信号が示しているとともに、前記第2処理を正常に実行していることを前記第2動作確認信号が示している場合は、前記第1ドライバ(18)を通常動作よりも縮退した状態にセットするとともに、前記第2ドライバ(19)を通常動作させる。ドライバを縮退状態にすることにより、CPUを動作継続させたままで、車両の動作をフェールセーフモードに移行させることができる。またマイコン6(演算装置)をリセットする必要がないので、正常動作している機能に対して影響を与えないようにすることができる。
前記車載電子制御装置(100)はさらに、前記演算装置(6)の内部における不具合を監視する演算装置監視部(15)を備え、前記車載電子制御装置(100)はさらに、前記演算装置(6)をリセットするリセット信号を出力するリセット制御部(2)を備え、前記リセット制御部(2)は、前記演算装置(6)が備える全ての前記演算ユニットが異常であることを前記確認信号が示しており、かつ前記演算装置(6)の内部における不具合が発生したことを前記演算装置監視部(15)が検出した場合は、前記リセット信号を前記演算装置(6)に対して出力することにより、前記演算装置をリセットする。これにより、マイコン6(演算装置)の異常レベルが高いと想定される場合は、リセットによって正常状態へ復帰させるように試みることができる。
前記演算装置(6)は、前記第1処理を正常に実行していないことを前記第1動作確認信号が示している場合であっても、前記第1演算部(11)による前記第1処理を継続し、前記演算装置(6)は、前記第2処理を正常に実行していないことを前記第2動作確認信号が示している場合であっても、前記第2演算部(13)による前記第2処理を継続する。これにより、マイコン6(演算装置)をリセットすることなく、車両の動作をフェールセーフモードに移行させることができる。
前記演算装置(6)は、前記第1処理を正常に実行していないことを前記第1動作確認信号が示している場合であっても、前記第2演算部(13)による前記第2処理を継続し、前記演算装置(6)は、前記第2処理を正常に実行していないことを前記第2動作確認信号が示している場合であっても、前記第1演算部(11)による前記第1処理を継続する。これにより、マイコン6(演算装置)をリセットすることなく、車両の動作をフェールセーフモードに移行させることができる。
<実施の形態2>
実施形態1においては、動作確認信号にしたがって、ドライバを縮退状態にセットすることを説明した。しかし例えばI/O回路17や配線などの一時的な状態に起因して、本来は動作確認信号が異常を示すべきであるのに、誤って正常を示す場合がある。そこで本発明の実施形態2においては、動作確認信号/MPU監視部15/応答監視部3を併用して、マイコン6が正常であるか否かを判断する手順について説明する。車載電子制御装置100の構成は実施形態1と同様である。
(手順その1)判定部4は、第1動作確認信号と第2動作確認信号がともに正常を示しているとき、さらに、MPU監視部15による監視結果と応答監視部3による監視結果を取得する。マイコン6内部において不具合が発生していることをMPU監視部15が検出し、CPU11が正常動作していることを応答監視部3が検出した場合、CPU13またはこれに関連する何らかの部分において、異常が発生している可能性がある。マイコン6内部が異常であるのにCPU11が正常動作しているからである。判定部4はこの場合、第2動作確認信号が正常であっても、第2ドライバ19の出力を停止するように指示する。
第1ドライバ18は通常動作を継続する。これにより、第2動作確認信号が何らかの原因によって誤って正常を示している場合であっても、第2ドライバ19のフェールセーフを確保することができる。
(手順その2)判定部4は、第1動作確認信号と第2動作確認信号がともに正常を示しているとき、さらに、MPU監視部15による監視結果と応答監視部3による監視結果を取得する。マイコン6内部において不具合が発生していることをMPU監視部15が検出し、CPU11が正常動作していないことを応答監視部3が検出した場合、CPU11またはこれに関連する何らかの部分において、異常が発生している可能性がある。判定部4はこの場合、第1動作確認信号が正常であっても、第1ドライバ18の出力を一時的に停止するように指示する。第2ドライバ19は通常動作を継続する。これにより、第1動作確認信号が何らかの原因によって誤って正常を示している場合であっても、第1ドライバ18のフェールセーフを確保することができる。
(手順その3)手順その2において、マイコン6内部で不具合が発生していることをMPU監視部15が検出し、CPU11が正常動作していないことを応答監視部3が検出した状態が継続する場合、CPU11を速やかに正常状態に復帰させることが望ましい。CPU11は機能安全要求レベルが高い処理を実行しているからである。そこで判定部4はこの場合、リセット制御部2を介してマイコン6をリセットする。これにより、第1動作確認信号が何らかの原因によって誤って正常を示している状態が継続している場合であっても、第1ドライバ18を速やかに正常状態に復帰させることができる。
<実施の形態2:まとめ>
本実施形態2に係る車載電子制御装置(100)において、前記第1処理に対して要求される機能安全レベルは、前記第2処理に対して要求される機能安全レベルよりも高く、前記車載電子制御装置(100)はさらに、前記演算装置(6)の内部における不具合を監視する演算装置監視部(15)を備え、前記車載電子制御装置(100)はさらに、前記第1演算部(11)が正常動作しているか否かを監視する応答監視部(3)を備え、前記ドライバ制御部(5)は、前記第1処理を正常に実行していることを前記第1動作確認信号が示しているとともに、前記第2処理を正常に実行していることを前記第2動作確認信号が示しており、かつ、前記前記演算装置(6)の内部における不具合が発生したことを前記演算装置監視部(15)が検出し、かつ、前記第1演算部(11)が正常動作していることを前記応答監視部(3)が検出した場合は、前記第1ドライバ(18)を通常動作させるとともに、前記第2ドライバ(19)を通常動作よりも縮退した状態にセットする。これにより、第2動作確認信号が何らかの原因によって誤って正常を示している場合であっても、第2ドライバ19のフェールセーフを確保することができる。
本実施形態2に係る車載電子制御装置(100)において、前記第1処理に対して要求される機能安全レベルは、前記第2処理に対して要求される機能安全レベルよりも高く、前記車載電子制御装置(100)はさらに、前記演算装置(6)の内部における不具合を監視する演算装置監視部(15)を備え、前記車載電子制御装置(100)はさらに、前記第1演算部(11)が正常動作しているか否かを監視する応答監視部(3)を備え、前記ドライバ制御部(5)は、前記第1処理を正常に実行していることを前記第1動作確認信号が示しているとともに、前記第2処理を正常に実行していることを前記第2動作確認信号が示しており、かつ、前記演算装置(6)の内部における不具合が発生したことを前記演算装置監視部(15)が検出し、かつ、前記第1演算部(11)が正常動作していないことを前記応答監視部(3)が検出した場合は、前記第1ドライバ(18)を通常動作よりも縮退した状態に一時的にセットするとともに、前記第2ドライバ(19)を通常動作させる。これにより、第1動作確認信号が何らかの原因によって誤って正常を示している場合であっても、第1ドライバ18のフェールセーフを確保することができる。
本実施形態2に係る車載電子制御装置(100)はさらに、前記演算装置(6)をリセットするリセット信号を出力するリセット制御部(2)を備え、前記リセット制御部(2)は、前記第1処理を正常に実行していることを前記第1動作確認信号が示しているとともに、前記第2処理を正常に実行していることを前記第2動作確認信号が示しており、かつ、前記演算装置(6)の内部における不具合が発生したことを前記演算装置監視部(15)が検出し、かつ、前記第1演算部(11)が正常動作していないことを前記応答監視部(15)が検出した状態が所定時間以上連続して成立した場合は、前記リセット信号を前記演算装置(6)に対して出力することにより、前記演算装置(6)をリセットする。
これにより、第1動作確認信号が何らかの原因によって誤って正常を示している状態が継続している場合であっても、第1ドライバ18を速やかに正常状態に復帰させることができる。
<実施の形態3>
実施形態1~2においては、ドライバが駆動信号を出力停止することにより、通常動作よりも縮退した状態にセットすることを説明した。これは例えばドライバがスイッチング素子によって構成されている場合は、スイッチング素子の駆動端子(ゲート端子など)の信号レベルをOFF状態に固定することによって実施できる。ただしドライバの縮退状態はこれに限るものではなく、その他形態の縮退状態も考えられる。
例えばドライバがマイコン6からの指示に依拠することなく動作継続するようにセットすることにより、動作の柔軟性は損なわれるものの、動作継続性を確保することができると考えられる。例えば規定動作を実装した回路をドライバに接続するとともに、ドライバとマイコン6との間の接続を切り離すことにより、マイコン6に依拠することなくその規定動作を継続するようにドライバを構成することができる。これはドライバの動作継続性を確保する点において、ドライバをフェールセーフモードに移行させることと等価であるから、縮退状態の1形態であるといえる。第1ドライバ18と第2ドライバ19いずれにおいても同様である。
<実施の形態3:まとめ>
車載電子制御装置(100)において、前記ドライバ制御部(5)は、前記第1駆動信号を出力しないように前記第1ドライバ(18)を制御することにより、前記第1ドライバ(18)を通常動作よりも縮退した状態にセットし、前記ドライバ制御部(5)は、前記第2駆動信号を出力しないように前記第2ドライバ(19)を制御することにより、前記第2ドライバ(19)を通常動作よりも縮退した状態にセットする。
これに代えて前記ドライバ制御部(5)は、前記第1駆動信号に依拠することなく動作を継続する状態に前記第1ドライバ(18)をセットすることにより、前記第1ドライバ(18)を通常動作よりも縮退した状態にセットし、前記ドライバ制御部(5)は、前記第2駆動信号に依拠することなく動作を継続する状態に前記第2ドライバ(19)をセットすることにより、前記第2ドライバ(19)を通常動作よりも縮退した状態にセットしてもよい。
<本発明の変形例について>
本発明は上記実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、上記実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
図4は、本発明に係る車載電子制御装置100が制御する機器の例を示す図である。車載電子制御装置100は、実施形態1~3いずれかで説明したものである。車載電子制御装置100は、第1機能7として、例えば以下のような危機を制御することができる。(a)車両が搭載するエンジンが備えるアクチュエータ、例えば燃料噴射ノズルやスロットルなど、(b)車両が搭載するバッテリに対して充電電流を供給する充電回路、(c)車両の熱を制御する熱処理システム、例えば水冷システムなどのように流体を用いて熱制御するシステムにおいて、流体を車内で循環させるシステム。これらのシステムは動作継続することが求められるので、第1ドライバ18によって制御することが望ましい。図4においては1つの第1ドライバ18が3つの機器を制御するように記載しているが、これは説明のための例示であり、第1ドライバ18と等価なドライバを機器ごとに設けてもよい。
すなわち車載電子制御装置(100)において、前記第1ドライバ(18)と前記第2ドライバ(19)のうち少なくともいずれかは、前記車両が備えるエンジンが有しているアクチュエータ、前記車両が備えるバッテリを充電するための充電電流を供給する回路、前記車両の熱を制御するための熱処理システム、のうち少なくともいずれかを駆動するための駆動信号を出力することができる。
以上の実施形態において、第1動作確認信号または第2動作確認信号が異常を示した後、マイコン6をリセットする前までの間において、各動作確認信号が正常状態に復帰した場合、判定部4は各ドライバを正常状態に復帰させてもよい。動作確認信号が正常状態に復帰する前にマイコン6をリセットする場合は、異常の実施形態と同様の処理を改めて実施すればよい。
すなわち車載電子制御装置(100)において、前記ドライバ制御部(5)は、前記第1処理または前記第2処理のうちいずれかが正常ではないことを前記確認信号が示した後、前記演算装置(6)がリセットされる前において、前記第1処理と前記第2処理いずれも正常であることを前記確認信号が示すに至った場合は、前記第1ドライバ(18)と前記第2ドライバ(19)をともに通常動作させてもよい。
以上の実施形態においては、マイコン6がマルチプロセッサマイコンであることを説明したが、マルチコアマイコンである場合であっても、本発明を適用することができる。この場合はコアごとに異なる機能を実行することになる。
以上の実施形態においては、マイコン6が2つのCPUを備えることを説明したが、3つ以上のCPU(またはプロセッサコア)を備えている場合においても、本発明を適用することができる。この場合は各プロセッサがそれぞれ異なる機能を実行する。全てのプロセッサが異常であることを動作確認信号が示しておりかつMPU監視部15が内部異常を示している場合の動作については、実施形態1で説明したものと同様である。
1:監視部
2:リセット制御部
3:応答監視部
4:判定部
5:ドライバ制御部
6:マイコン
11:CPU
13:CPU
15:MPU監視部
18:第1ドライバ
19:第2ドライバ
100:車載電子制御装置

Claims (11)

  1. 車両に搭載する車載電子制御装置であって、
    前記車両が備える第1機器を駆動する第1駆動信号を出力する第1ドライバ、
    前記車両が備える第2機器を駆動する第2駆動信号を出力する第2ドライバ、
    前記第1ドライバと前記第2ドライバそれぞれの動作状態を制御するドライバ制御部、
    前記車両を制御するための制御処理を実行する演算ユニットを複数有する演算装置、
    を備え、
    前記演算装置は、前記演算ユニットとして、
    前記第1機器を制御するための第1処理を実行するとともにその結果にしたがって前記第1ドライバを制御する第1演算部、
    前記第2機器を制御するための第2処理を実行するとともにその結果にしたがって前記第2ドライバを制御する第2演算部、
    を備え、
    前記演算装置は、前記制御処理を正常に実行しているか否かを示す確認信号を出力し、
    前記第1演算部は、前記確認信号として、前記第1処理を正常に実行しているか否かを示す第1動作確認信号を出力し、
    前記第2演算部は、前記確認信号として、前記第2処理を正常に実行しているか否かを示す第2動作確認信号を出力し、
    前記ドライバ制御部は、前記第1処理を正常に実行していることを前記第1動作確認信号が示しているとともに、前記第2処理を正常に実行していないことを前記第2動作確認信号が示している場合は、前記第1ドライバを通常動作させるとともに、前記第2ドライバを通常動作よりも縮退した状態にセットし、
    前記ドライバ制御部は、前記第1処理を正常に実行していないことを前記第1動作確認信号が示しているとともに、前記第2処理を正常に実行していることを前記第2動作確認信号が示している場合は、前記第1ドライバを通常動作よりも縮退した状態にセットするとともに、前記第2ドライバを通常動作させる
    ことを特徴とする車載電子制御装置。
  2. 前記車載電子制御装置はさらに、前記演算装置の内部における不具合を監視する演算装置監視部を備え、
    前記車載電子制御装置はさらに、前記演算装置をリセットするリセット信号を出力するリセット制御部を備え、
    前記リセット制御部は、前記演算装置が備える全ての前記演算ユニットが異常であることを前記確認信号が示しており、かつ前記演算装置の内部における不具合が発生したことを前記演算装置監視部が検出した場合は、前記リセット信号を前記演算装置に対して出力することにより、前記演算装置をリセットする
    ことを特徴とする請求項1記載の車載電子制御装置。
  3. 前記演算装置は、前記第1処理を正常に実行していないことを前記第1動作確認信号が示している場合であっても、前記第1演算部による前記第1処理を継続し、
    前記演算装置は、前記第2処理を正常に実行していないことを前記第2動作確認信号が示している場合であっても、前記第2演算部による前記第2処理を継続する
    ことを特徴とする請求項1記載の車載電子制御装置。
  4. 前記演算装置は、前記第1処理を正常に実行していないことを前記第1動作確認信号が示している場合であっても、前記第2演算部による前記第2処理を継続し、
    前記演算装置は、前記第2処理を正常に実行していないことを前記第2動作確認信号が示している場合であっても、前記第1演算部による前記第1処理を継続する
    ことを特徴とする請求項1記載の車載電子制御装置。
  5. 前記第1処理に対して要求される機能安全レベルは、前記第2処理に対して要求される機能安全レベルよりも高く、
    前記車載電子制御装置はさらに、前記演算装置の内部における不具合を監視する演算装置監視部を備え、
    前記車載電子制御装置はさらに、前記第1演算部が正常動作しているか否かを監視する応答監視部を備え、
    前記ドライバ制御部は、
    前記第1処理を正常に実行していることを前記第1動作確認信号が示しているとともに、前記第2処理を正常に実行していることを前記第2動作確認信号が示しており、
    かつ、
    前記演算装置の内部における不具合が発生したことを前記演算装置監視部が検出し、
    かつ、
    前記第1演算部が正常動作していることを前記応答監視部が検出した
    場合は、前記第1ドライバを通常動作させるとともに、前記第2ドライバを通常動作よりも縮退した状態にセットする
    ことを特徴とする請求項1記載の車載電子制御装置。
  6. 前記第1処理に対して要求される機能安全レベルは、前記第2処理に対して要求される機能安全レベルよりも高く、
    前記車載電子制御装置はさらに、前記演算装置の内部における不具合を監視する演算装置監視部を備え、
    前記車載電子制御装置はさらに、前記第1演算部が正常動作しているか否かを監視する応答監視部を備え、
    前記ドライバ制御部は、
    前記第1処理を正常に実行していることを前記第1動作確認信号が示しているとともに、前記第2処理を正常に実行していることを前記第2動作確認信号が示しており、
    かつ、
    前記演算装置の内部における不具合が発生したことを前記演算装置監視部が検出し、
    かつ、
    前記第1演算部が正常動作していないことを前記応答監視部が検出した
    場合は、前記第1ドライバを通常動作よりも縮退した状態に一時的にセットするとともに、前記第2ドライバを通常動作させる
    ことを特徴とする請求項1記載の車載電子制御装置。
  7. 前記車載電子制御装置はさらに、前記演算装置をリセットするリセット信号を出力するリセット制御部を備え、
    前記リセット制御部は、
    前記第1処理を正常に実行していることを前記第1動作確認信号が示しているとともに、前記第2処理を正常に実行していることを前記第2動作確認信号が示しており、
    かつ、
    前記演算装置の内部における不具合が発生したことを前記演算装置監視部が検出し、
    かつ、
    前記第1演算部が正常動作していないことを前記応答監視部が検出した
    状態が所定時間以上連続して成立した場合は、前記リセット信号を前記演算装置に対して出力することにより、前記演算装置をリセットする
    ことを特徴とする請求項6記載の車載電子制御装置。
  8. 前記ドライバ制御部は、前記第1駆動信号を出力しないように前記第1ドライバを制御することにより、前記第1ドライバを通常動作よりも縮退した状態にセットし、
    前記ドライバ制御部は、前記第2駆動信号を出力しないように前記第2ドライバを制御することにより、前記第2ドライバを通常動作よりも縮退した状態にセットする
    ことを特徴とする請求項1記載の車載電子制御装置。
  9. 前記ドライバ制御部は、前記第1駆動信号に依拠することなく動作を継続する状態に前記第1ドライバをセットすることにより、前記第1ドライバを通常動作よりも縮退した状態にセットし、
    前記ドライバ制御部は、前記第2駆動信号に依拠することなく動作を継続する状態に前記第2ドライバをセットすることにより、前記第2ドライバを通常動作よりも縮退した状態にセットする
    ことを特徴とする請求項1記載の車載電子制御装置。
  10. 前記ドライバ制御部は、前記第1処理または前記第2処理のうちいずれかが正常ではないことを前記確認信号が示した後、前記演算装置がリセットされる前において、前記第1処理と前記第2処理いずれも正常であることを前記確認信号が示すに至った場合は、前記第1ドライバと前記第2ドライバをともに通常動作させる
    ことを特徴とする請求項2記載の車載電子制御装置。
  11. 前記第1ドライバと前記第2ドライバのうち少なくともいずれかは、
    前記車両が備えるエンジンが有しているアクチュエータ、
    前記車両が備えるバッテリを充電するための充電電流を供給する回路、
    前記車両の熱を制御するための熱処理システム、
    のうち少なくともいずれかを駆動するための駆動信号を出力する
    ことを特徴とする請求項1記載の車載電子制御装置。
JP2021562564A 2019-12-05 2020-11-20 車載電子制御装置 Active JP7299344B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2019220135 2019-12-05
JP2019220135 2019-12-05
PCT/JP2020/043336 WO2021111896A1 (ja) 2019-12-05 2020-11-20 車載電子制御装置

Publications (3)

Publication Number Publication Date
JPWO2021111896A1 JPWO2021111896A1 (ja) 2021-06-10
JPWO2021111896A5 JPWO2021111896A5 (ja) 2022-07-04
JP7299344B2 true JP7299344B2 (ja) 2023-06-27

Family

ID=76222176

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021562564A Active JP7299344B2 (ja) 2019-12-05 2020-11-20 車載電子制御装置

Country Status (5)

Country Link
US (1) US20230001939A1 (ja)
JP (1) JP7299344B2 (ja)
CN (1) CN114761929A (ja)
DE (1) DE112020005251T5 (ja)
WO (1) WO2021111896A1 (ja)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011213210A (ja) 2010-03-31 2011-10-27 Denso Corp 電子制御装置及び制御システム

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6380141U (ja) * 1986-11-15 1988-05-27
JPH0648646A (ja) * 1992-07-27 1994-02-22 Toshiba Corp 停止制御装置
JP4266357B2 (ja) * 2004-03-29 2009-05-20 三菱電機株式会社 車載電子制御装置
DE102006028695B4 (de) * 2005-06-23 2017-11-30 Denso Corporation Elektronisches Steuersystem mit Fehlfunktionsüberwachung
CN102782655B (zh) * 2010-03-18 2015-03-04 丰田自动车株式会社 微机相互监视系统及微机相互监视方法
JP2013143093A (ja) 2012-01-12 2013-07-22 Toyota Motor Corp 情報処理装置、情報処理システム
US9751534B2 (en) * 2013-03-15 2017-09-05 Honda Motor Co., Ltd. System and method for responding to driver state
US20150175010A1 (en) * 2013-07-23 2015-06-25 Atieva, Inc. All-wheel drive electric vehicle motor torque safety monitor
JP6207987B2 (ja) 2013-11-26 2017-10-04 日立オートモティブシステムズ株式会社 車載用電子制御装置
JP2016090756A (ja) * 2014-10-31 2016-05-23 株式会社リコー 検出装置、検出方法、加熱装置および画像形成装置
JP6380141B2 (ja) * 2015-02-04 2018-08-29 株式会社デンソー 電子制御装置
US10467824B2 (en) * 2016-04-26 2019-11-05 Walter Steven Rosenbaum Method for determining driving characteristics of a vehicle and vehicle analyzing system
KR20190045677A (ko) * 2017-10-24 2019-05-03 엘에스오토모티브테크놀로지스 주식회사 복수의 mcu를 가진 시스템의 페일 세이프 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011213210A (ja) 2010-03-31 2011-10-27 Denso Corp 電子制御装置及び制御システム

Also Published As

Publication number Publication date
JPWO2021111896A1 (ja) 2021-06-10
WO2021111896A1 (ja) 2021-06-10
CN114761929A (zh) 2022-07-15
US20230001939A1 (en) 2023-01-05
DE112020005251T5 (de) 2022-08-11

Similar Documents

Publication Publication Date Title
JP6525906B2 (ja) セーフティクリティカルなエラーを処理するための方法と装置
US8495433B2 (en) Microcomputer mutual monitoring system and a microcomputer mutual monitoring method
JP4458119B2 (ja) マルチプロセッサシステム及びその制御方法
JP5126393B2 (ja) 車載電子制御装置
JP2008009795A (ja) 診断装置,回線診断方法及び回線診断プログラム
JP6464263B2 (ja) フィールドプログラマブルゲートアレイ
KR20190058310A (ko) 반도체 장치
CN117785614A (zh) 双余度计算机的故障监控及切换方法
JP7299344B2 (ja) 車載電子制御装置
CN114690618A (zh) 飞控计算机备份切换方法、装置、设备及存储介质
JP6736980B2 (ja) システムおよび半導体装置
JP2016147585A (ja) 電子制御装置
JP6380141B2 (ja) 電子制御装置
JP2001060160A (ja) 制御装置のcpu二重化システム
JP5459370B2 (ja) 車載電子制御装置
JP6681304B2 (ja) 自動車用制御装置及び自動車用内燃機関制御装置
JP2998804B2 (ja) マルチマイクロプロセッサシステム
JP2007283788A (ja) 車両用電子制御装置
JP2005215981A (ja) マイクロコンピュータ
EP3594780B1 (en) Intelligent load shedding for multi-channel processing systems
US20240106677A1 (en) Control device and control method
JP4613019B2 (ja) コンピュータシステム
JP6457149B2 (ja) 電子制御装置
JP2000194402A (ja) Cpu異常監視方法及び装置
JP2015135599A (ja) バス制御回路、情報処理装置および共通バス衝突回避方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220428

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220428

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230606

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230615

R150 Certificate of patent or registration of utility model

Ref document number: 7299344

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150