[go: up one dir, main page]

JP5459370B2 - In-vehicle electronic control unit - Google Patents

In-vehicle electronic control unit Download PDF

Info

Publication number
JP5459370B2
JP5459370B2 JP2012186547A JP2012186547A JP5459370B2 JP 5459370 B2 JP5459370 B2 JP 5459370B2 JP 2012186547 A JP2012186547 A JP 2012186547A JP 2012186547 A JP2012186547 A JP 2012186547A JP 5459370 B2 JP5459370 B2 JP 5459370B2
Authority
JP
Japan
Prior art keywords
monitoring
arithmetic processing
hardware
software
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012186547A
Other languages
Japanese (ja)
Other versions
JP2013012220A (en
Inventor
友保 青木
修司 遠藤
謙一 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NSK Ltd
Original Assignee
NSK Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSK Ltd filed Critical NSK Ltd
Priority to JP2012186547A priority Critical patent/JP5459370B2/en
Publication of JP2013012220A publication Critical patent/JP2013012220A/en
Application granted granted Critical
Publication of JP5459370B2 publication Critical patent/JP5459370B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、マイクロコンピュータの故障/異常を監視する機能を有する車載電子制御装置に関するものである。   The present invention relates to an in-vehicle electronic control device having a function of monitoring failure / abnormality of a microcomputer.

従来のCPU監視機能を有する車載電子制御装置としては、例えば特許文献1及び2に記載の技術がある。この技術は、上記監視機能としてロックステップ方式を採用したものであり、同一構成を有するA系とB系の2つの情報処理部における処理結果を照合する照合回路を備える。そして、照合回路による照合結果が不一致である場合に、A系又はB系が故障していると判定する。
また、上記監視機能として、制御CPUを監視CPUで監視する、所謂2CPU方式を採用したものもある(例えば、特許文献3参照)。 As a vehicle-mounted electronic control apparatus having a conventional CPU monitoring function, for example, there are technologies described in Patent Documents 1 and 2. This technique employs a lockstep method as the monitoring function, and includes a collation circuit that collates processing results in the two information processing units A and B having the same configuration. And when the collation result by a collation circuit is inconsistent, it determines with A system or B system having failed.
In addition, as the monitoring function, there is a function that employs a so-called 2CPU system in which the control CPU is monitored by the monitoring CPU (see, for example, Patent Document 3).

特開2010−262432号公報JP 2010-262432 A 特開2010−160649号公報JP 2010-160649 A 特開2006−344086号公報JP 2006-344086 A

しかしながら、上記のようなロックステップ方式を採用した監視機能では、制御部と監視部とが同一コアを使用していると、コアの演算器に演算ミスが生じるような不具合があった場合に、異常として検出することができない。また、上記のような2CPU方式を採用した監視機能では、制御CPUの演算をきめ細かく診断することができない。
このように、異常の詳細を診断することができないため、異常発生時には、異常の詳細によらず一律に制御を停止していた。ところが、車両の大型化による制御停止時のドライバ負担や車両安全制御の規格化などの観点から、異常の詳細によっては異常発生時にも制御を続行することが望まれる。
そこで、本発明は、マイクロコンピュータの異常の詳細を適切に診断することができる車載電子制御装置を提供することを課題としている。 However, in the monitoring function employing the lock step method as described above, if the control unit and the monitoring unit use the same core, there is a problem that causes a calculation error in the arithmetic unit of the core, It cannot be detected as an abnormality. In addition, the monitoring function employing the 2CPU method as described above cannot make a detailed diagnosis of the calculation of the control CPU.
As described above, since the details of the abnormality cannot be diagnosed, the control is uniformly stopped regardless of the details of the abnormality when the abnormality occurs. However, depending on the details of the abnormality, it is desirable to continue the control even when an abnormality occurs, from the viewpoint of driver burden at the time of stopping the control due to an increase in the size of the vehicle and standardization of vehicle safety control.
Therefore, an object of the present invention is to provide an in-vehicle electronic control device that can appropriately diagnose details of abnormality of a microcomputer.

上記課題を解決するために、本発明に係る車載電子制御装置の第一形態は、車両に搭載されたセンサからの検出信号に基づいて、アクチュエータの駆動信号を生成するマイクロコンピュータを備える車載電子制御装置であって、前記マイクロコンピュータは、ハードウェア部とソフトウェア部とを含んで構成されており、前記マイクロコンピュータの内部に設けられ、前記ハードウェア部の各要素とは演算処理の特性が等しく、且つ前記ハードウェア部の各要素の演算処理回路とは異なる実装で、前記ハードウェア部の各要素の異常を監視するハードウェア要素監視手段と、前記マイクロコンピュータの内部に設けられ、前記ソフトウェア部の各要素とは演算処理の特性が等しく、且つ前記ソフトウェア部の各要素の演算処理部とは異なる実装で、前記ソフトウェア部の各要素の異常を監視するソフトウェア要素監視手段と、を備えることを特徴としている。   In order to solve the above problems, a first embodiment of an on-vehicle electronic control device according to the present invention is an on-vehicle electronic control including a microcomputer that generates a drive signal for an actuator based on a detection signal from a sensor mounted on a vehicle. An apparatus, wherein the microcomputer includes a hardware part and a software part, and is provided inside the microcomputer, and each element of the hardware part has the same processing characteristics, In addition, hardware element monitoring means for monitoring an abnormality of each element of the hardware unit, which is implemented differently from the arithmetic processing circuit of each element of the hardware unit, and provided inside the microcomputer, the software unit Each element has the same processing characteristics and is different from the arithmetic processing section of each element of the software section. In, it is characterized by and a software element monitoring means for monitoring the abnormality of each element of the software section.

このように、マイクロコンピュータをハードウェア監視とソフトウェア監視とで総合監視するので、マイクロコンピュータの異常の詳細を診断することができる。そのため、マイクロコンピュータの異常発生時には、異常の詳細に応じた適切な処置が可能となる。また、監視用ハードウェア要素を、監視対象のハードウェア要素とは演算処理の特性が等しく、且つ監視対象のハードウェア要素とは異なる実装とするので、監視対象のハードウェア要素の入出力を監視することで故障を検出することができる。さらに、例えば、両者で処理完了までの遅延時間を異ならせることができるので、両者が共通して影響を受ける故障要因に対しても、適切に故障として検出することができる。監視用ソフトウェア要素についても同様である。   Thus, since the microcomputer is comprehensively monitored by hardware monitoring and software monitoring, the details of the abnormality of the microcomputer can be diagnosed. Therefore, when an abnormality occurs in the microcomputer, it is possible to take appropriate measures according to the details of the abnormality. In addition, the monitoring hardware elements are implemented with the same processing characteristics as the monitored hardware elements and different implementations from the monitored hardware elements, so the input and output of the monitored hardware elements are monitored. By doing so, a failure can be detected. Furthermore, for example, the delay time until the completion of processing can be made different between the two, so that a failure factor that is influenced by both can be detected as a failure appropriately. The same applies to the monitoring software element.

また、上記において、前記ハードウェア要素監視手段は、監視用演算処理回路と比較回路とを備え、前記監視用演算処理回路を、監視対象のハードウェア要素の演算処理回路と同一の信号を入力したとき、前記監視対象のハードウェア要素の演算処理回路と同一の信号を出力するものとし、前記監視対象のハードウェア要素の演算処理回路での演算処理よりも簡素化した演算処理を行う In the above, the hardware element monitoring means includes a monitoring arithmetic processing circuit and a comparison circuit, and the monitoring arithmetic processing circuit receives the same signal as the arithmetic processing circuit of the hardware element to be monitored. At this time, the same signal as that of the arithmetic processing circuit of the hardware element to be monitored is output, and arithmetic processing that is simpler than the arithmetic processing in the arithmetic processing circuit of the hardware element to be monitored is performed .

これにより、監視対象のハードウェア要素の故障を適切に検出することができる。
さらに、上記において、前記監視用演算処理回路は、前記監視対象のハードウェア要素の演算処理回路とは異なるトランジスタ数で実装するようにしてもよい。
これにより、監視用演算処理回路を、監視対象のハードウェア要素の演算処理回路に対して簡素化した構造とすることができる。 Thereby, the failure of the hardware element to be monitored can be detected appropriately.
Further, in the above, the monitoring arithmetic processing circuit may be mounted with a different number of transistors from the arithmetic processing circuit of the hardware element to be monitored.
Thereby, the monitoring arithmetic processing circuit can have a simplified structure with respect to the arithmetic processing circuit of the hardware element to be monitored.

また、上記において、前記ソフトウェア要素監視手段は、監視用演算処理部と比較処理部とを備え、前記監視用演算処理部を、監視対象のソフトウェア要素の演算処理部と数式上同一となる演算処理を行うものとし、前記監視対象のソフトウェア要素の演算処理部での演算処理よりも簡素化した演算処理を行うようにしてもよい。
これにより、監視対象のソフトウェア要素の故障を適切に検出することができる。
さらにまた、上記において、前記監視用演算処理部は、前記監視対象のソフトウェア要素の演算処理部とは異なるインストラクション数で演算処理するようにしてもよい。 In addition, in the above, the software element monitoring unit includes a monitoring arithmetic processing unit and a comparison processing unit, and the monitoring arithmetic processing unit is mathematically the same as the arithmetic processing unit of the monitoring target software element. It is also possible to perform arithmetic processing that is simpler than the arithmetic processing in the arithmetic processing unit of the monitored software element.
Thereby, the failure of the software element to be monitored can be appropriately detected.
Furthermore, in the above, the monitoring arithmetic processing unit may perform arithmetic processing with a different number of instructions from the arithmetic processing unit of the monitoring target software element.

これにより、監視用演算処理部の演算処理を、監視対象のソフトウェア要素の演算処理部の演算処理に対して簡素化したものとすることができる。
また、上記において、前記マイクロコンピュータの外部に設けられ、前記マイクロコンピュータの異常を監視する外部監視手段を備え、前記外部監視手段は、前記ハードウェア要素監視手段及び前記ソフトウェア要素監視手段が動作していないとき、これを前記マイクロコンピュータの異常として検出するようにしてもよい。
これにより、マイクロコンピュータをハードウェア監視、ソフトウェア監視、外部監視の3つで総合監視することができ、マイクロコンピュータの異常をより詳細に診断することができる。 Thereby, the arithmetic processing of the monitoring arithmetic processing unit can be simplified with respect to the arithmetic processing of the arithmetic processing unit of the monitoring target software element.
Further, in the above, the external monitoring unit is provided outside the microcomputer and monitors an abnormality of the microcomputer, and the hardware element monitoring unit and the software element monitoring unit are operating in the external monitoring unit. If not, this may be detected as an abnormality of the microcomputer.
Thereby, the microcomputer can be comprehensively monitored by hardware monitoring, software monitoring, and external monitoring, and the abnormality of the microcomputer can be diagnosed in more detail.

本発明の車載電子制御装置では、マイクロコンピュータのハードウェア部及びソフトウェア部を、これらとは異なる実装の監視用ハードウェア要素及び監視用ソフトウェア要素によって内部監視することが可能であるため、マイクロコンピュータの異常の詳細を適切に診断することができる。その結果、異常の詳細に応じた適切な処置が可能となる。   In the on-vehicle electronic control device of the present invention, the hardware part and the software part of the microcomputer can be internally monitored by the monitoring hardware element and the monitoring software element that are mounted differently from those of the microcomputer. The details of the abnormality can be properly diagnosed. As a result, an appropriate treatment according to the details of the abnormality is possible.

本実施形態における車載電子制御装置の機能を示す図である。It is a figure which shows the function of the vehicle-mounted electronic control apparatus in this embodiment. ハードウェア部の監視機能を示すブロック図である。It is a block diagram which shows the monitoring function of a hardware part. MCU内部要素の診断例を示すブロック図である。It is a block diagram which shows the example of a diagnosis of MCU internal element. S/W要素の診断例を示すブロック図である。It is a block diagram which shows the example of a diagnosis of S / W element. 異常診断領域の例を示す図である。It is a figure which shows the example of an abnormality diagnosis area | region. 異常診断領域の例を示す図である。It is a figure which shows the example of an abnormality diagnosis area | region. 故障処理回路の構成を示すブロック図である。It is a block diagram which shows the structure of a failure processing circuit.

以下、本発明の実施の形態を図面に基づいて説明する。
図1は、本実施形態における車載電子制御装置の機能を示す図である。
図中、符号1は車両の制御を行う車載電子制御装置であり、この車載電子制御装置は、マイクロコンピュータ(MCU)2を備える。MCU2は、ハードウェア部21とソフトウェア部22とを含んで構成されている。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a diagram illustrating functions of the in-vehicle electronic control device according to the present embodiment.
In the figure, reference numeral 1 denotes an on-vehicle electronic control device that controls a vehicle. The on-vehicle electronic control device includes a microcomputer (MCU) 2. The MCU 2 includes a hardware unit 21 and a software unit 22.

ハードウェア部21は、複数のMCU内部要素と、これらMCU内部要素のうちの主機能22の故障を監視する監視機能23とを備える。ここで、MCU内部要素とは、中央演算処理回路(CPU)やバス、ROM、RAM、周辺回路(タイマ、シリアル通信、CAN通信、外部出力ポート)などである。また、ソフトウェア部24は、ソフトウェア要素(S/W要素)と、S/W要素のうちの主機能25で実行する演算処理の異常を監視する監視機能26とを備える。   The hardware unit 21 includes a plurality of MCU internal elements and a monitoring function 23 that monitors a failure of the main function 22 among these MCU internal elements. Here, the MCU internal elements are a central processing circuit (CPU), a bus, a ROM, a RAM, peripheral circuits (timer, serial communication, CAN communication, external output port) and the like. Further, the software unit 24 includes a software element (S / W element) and a monitoring function 26 that monitors an abnormality in arithmetic processing executed by the main function 25 of the S / W elements.

すなわち、MCU2内部において、ハードウェア要素の監視とソフトウェア要素の監視とを行うようになっている。
MCU2には、車両に搭載されている各種センサ11で検出した検出信号が、入力I/F回路3を介して入力される。そして、MCU2は、入力された検出信号に基づいて、車両に搭載されたアクチュエータ(ブレーキアクチュエータ、アクティブサスペンション等)12を駆動制御するための指令信号を演算し、これをアクチュエータ駆動回路4に出力する。 That is, hardware elements and software elements are monitored in the MCU 2.
Detection signals detected by various sensors 11 mounted on the vehicle are input to the MCU 2 via the input I / F circuit 3. Then, the MCU 2 calculates a command signal for driving and controlling an actuator (brake actuator, active suspension, etc.) 12 mounted on the vehicle based on the input detection signal, and outputs this to the actuator drive circuit 4. .

アクチュエータ駆動回路4は、ブリッジ回路(FET)、FET駆動回路、リレー、リレー駆動回路などを含んで構成されており、MCU2で演算した指令信号をもとにアクチュエータ12を駆動制御する。
また、車載電子制御装置1は、MCU2の外部でMCU2の故障を監視する故障処理回路5を備える。
なお、図1において、監視機能23がハードウェア要素監視手段に対応し、監視機能26がソフトウェア要素監視手段に対応し、故障処理回路5が外部監視手段に対応している。 The actuator drive circuit 4 includes a bridge circuit (FET), an FET drive circuit, a relay, a relay drive circuit, and the like, and drives and controls the actuator 12 based on a command signal calculated by the MCU 2.
The on-vehicle electronic control device 1 includes a failure processing circuit 5 that monitors a failure of the MCU 2 outside the MCU 2.
In FIG. 1, the monitoring function 23 corresponds to hardware element monitoring means, the monitoring function 26 corresponds to software element monitoring means, and the failure processing circuit 5 corresponds to external monitoring means.

次に、MCU2のハードウェア部21の監視機能23について詳細に説明する。
図2は、ハードウェア部21の監視機能23を説明するためのブロック図である。この図2に示すように、複数のMCU内部要素(主機能)31に、それぞれ監視機能23として故障処理要素32が配置されている。ここで、MCU内部要素31と故障処理要素32とは、異なる構造で実装する。 Next, the monitoring function 23 of the hardware unit 21 of the MCU 2 will be described in detail.
FIG. 2 is a block diagram for explaining the monitoring function 23 of the hardware unit 21. As shown in FIG. 2, a failure processing element 32 is arranged as a monitoring function 23 in each of a plurality of MCU internal elements (main functions) 31. Here, the MCU internal element 31 and the failure processing element 32 are mounted with different structures.

故障処理要素32は、監視対象のMCU内部要素31の入出力を監視し、当該MCU内部要素31が故障しているか否かを診断する。ここでは、図3に示すように、故障処理要素32は、演算処理回路(監視用演算処理回路)32aと比較回路32bとを備える。演算処理回路32aは、監視対象のMCU内部要素31を構成する演算処理回路31aとは異なる実装で、且つ演算処理回路31aと入出力特性が等しい。   The failure processing element 32 monitors the input / output of the MCU internal element 31 to be monitored, and diagnoses whether or not the MCU internal element 31 has failed. Here, as shown in FIG. 3, the failure processing element 32 includes an arithmetic processing circuit (monitoring arithmetic processing circuit) 32a and a comparison circuit 32b. The arithmetic processing circuit 32a is mounted differently from the arithmetic processing circuit 31a constituting the MCU internal element 31 to be monitored, and has the same input / output characteristics as the arithmetic processing circuit 31a.

すなわち、演算処理回路32aは、その機能が正常である場合に演算処理回路31aと同一の信号を入力したとき、演算処理回路31aと同一の信号を出力するものであり、演算処理回路31aとは異なるトランジスタ数で実装する。故障処理用の演算処理は、診断のための演算値が求められればよいため、主機能の演算処理よりも簡素化できる。そのため、ここでは、トランジスタ数を異ならせて、演算処理回路32aを演算処理回路31aに対して簡素化した構造とする。   That is, the arithmetic processing circuit 32a outputs the same signal as the arithmetic processing circuit 31a when the same signal as the arithmetic processing circuit 31a is input when its function is normal. Mount with different number of transistors. The arithmetic processing for failure processing can be simplified as compared with the arithmetic processing of the main function because it is only necessary to obtain an arithmetic value for diagnosis. Therefore, here, the number of transistors is different, and the arithmetic processing circuit 32a is simplified with respect to the arithmetic processing circuit 31a.

そして、この演算処理回路32aに演算処理回路31aの入力信号を入力し、その出力信号を比較回路32bに入力する。すると、比較回路32bは、演算処理回路31aの出力信号と演算処理回路32aの出力とを比較する。このとき、同一結果となっていない場合には、MCU内部要素31が故障していると判断し、故障処理要素32は、図2に示すMCU内部要素(外部出力機能)33及び故障後処置要素34に故障を検出したことを示す診断結果を通知する。
MCU内部要素33は、故障処理要素32の診断結果を受けて、アクチュエータ駆動回路4へ故障後処置の実施指令を出力する。 Then, the input signal of the arithmetic processing circuit 31a is input to the arithmetic processing circuit 32a, and the output signal is input to the comparison circuit 32b. Then, the comparison circuit 32b compares the output signal of the arithmetic processing circuit 31a with the output of the arithmetic processing circuit 32a. At this time, when the same result is not obtained, it is determined that the MCU internal element 31 has failed, and the failure processing element 32 includes the MCU internal element (external output function) 33 and the post-failure treatment element shown in FIG. A diagnosis result indicating that a failure has been detected is notified to 34.
The MCU internal element 33 receives the diagnosis result of the failure processing element 32 and outputs a failure post-treatment execution command to the actuator drive circuit 4.

故障後処置の実施指令の例としては、例えば、アクチュエータ駆動回路4を構成するブリッジ回路のFET駆動回路への停止信号がある。この場合、当該停止信号が出力されることで、全FETがOFFし、アクチュエータ12を停止させることができる。また、故障後処置の実施指令の別の例としては、例えば、アクチュエータ駆動回路4のリレー駆動回路への停止信号がある。この場合、当該停止信号が出力されることで、リレーがOFFし、アクチュエータ12への電力供給を停止することができる。このように、本実施形態では、故障後処置としてアクチュエータ12の停止処置を適用する。   As an example of the execution instruction for the post-failure treatment, for example, there is a stop signal to the FET drive circuit of the bridge circuit constituting the actuator drive circuit 4. In this case, by outputting the stop signal, all the FETs are turned OFF, and the actuator 12 can be stopped. In addition, another example of the execution instruction for the post-failure treatment is a stop signal to the relay drive circuit of the actuator drive circuit 4, for example. In this case, when the stop signal is output, the relay is turned OFF, and the power supply to the actuator 12 can be stopped. As described above, in the present embodiment, the stop treatment of the actuator 12 is applied as post-failure treatment.

また、故障後処置要素34は、故障処理要素32の診断結果を受けて、故障処理回路5へMCU内部要素31の故障を通知する。故障処理回路5は、故障後処置要素34から当該故障通知を受け取ると、アクチュエータ駆動回路4へ故障後処置の実施指令を出力する。
このように、通知手段を冗長化することにより、MCU内部要素33及び故障後処置要素34の何れかの通知機能が失われた状態でも、確実にアクチュエータ駆動回路4へ故障後処置の実施指令を出力することができる。 The failure post-treatment element 34 receives the diagnosis result of the failure processing element 32 and notifies the failure processing circuit 5 of the failure of the MCU internal element 31. When the failure processing circuit 5 receives the failure notification from the failure post-treatment element 34, the failure processing circuit 5 outputs a failure post-treatment execution command to the actuator drive circuit 4.
As described above, by making the notification means redundant, even if the notification function of either the MCU internal element 33 or the post-failure treatment element 34 is lost, the actuator drive circuit 4 can be reliably instructed to execute the post-failure treatment. Can be output.

次に、MCU2のソフトウェア部24の監視機能26について詳細に説明する。
図4は、S/W要素の診断例を示すブロック図である。この図4に示すように、S/W要素(主機能)41には、監視機能26として異常処理S/W42が配置されている。ここで、S/W要素41と異常処理S/W42とは、異なる構造で実装する。
異常処理S/W42は、監視対象のS/W要素41の演算結果を監視し、当該S/W要素に異常が発生しているか否かを診断する。ここでは、異常処理S/W42は、演算処理(監視用演算処理部)42aと、比較処理(比較処理部)42bと、制限処理42cとを備える。演算処理42aは、監視対象のS/W要素41の演算処理41aとは異なる実装で、且つ演算処理41aと同等の演算を行う。 Next, the monitoring function 26 of the software unit 24 of the MCU 2 will be described in detail.
FIG. 4 is a block diagram illustrating a diagnosis example of the S / W element. As shown in FIG. 4, the S / W element (main function) 41 is provided with an abnormal process S / W 42 as the monitoring function 26. Here, the S / W element 41 and the abnormality processing S / W 42 are mounted with different structures.
The abnormality process S / W 42 monitors the calculation result of the S / W element 41 to be monitored and diagnoses whether or not an abnormality has occurred in the S / W element. Here, the abnormality process S / W 42 includes a calculation process (monitoring calculation processing unit) 42a, a comparison process (comparison processing unit) 42b, and a restriction process 42c. The calculation process 42a is implemented differently from the calculation process 41a of the monitoring target S / W element 41 and performs the same calculation as the calculation process 41a.

すなわち、演算処理42aは、演算処理41aとは異なるインストラクション数で、演算処理41aと数式上同一となる演算を行うものである。故障処理用の演算処理は、診断のための演算値が求められればよいため、主機能の演算処理よりも簡素化できる。そのため、ここでは、インストラクション数を異ならせて、演算処理42aを演算処理41aに対して簡素化したものとする。   That is, the arithmetic processing 42a performs arithmetic operations that are mathematically the same as the arithmetic processing 41a with a different number of instructions than the arithmetic processing 41a. The arithmetic processing for failure processing can be simplified as compared with the arithmetic processing of the main function because it is only necessary to obtain an arithmetic value for diagnosis. Therefore, here, it is assumed that the number of instructions is different and the calculation process 42a is simplified with respect to the calculation process 41a.

そして、この演算処理42aに演算処理41aの入力信号を入力し、その演算結果を比較処理42bに入力する。すると、比較処理42bは、演算処理41aの演算結果と演算処理42aの演算結果とを比較する。このとき、両者の誤差が所定の許容範囲内にない場合には、S/W要素41に異常が発生していると判断する。
すなわち、図5に示すように、主機能側の値(演算処理41aの演算結果)が監視側の値(演算処理42aの演算結果)に対して±所定範囲となる領域を許容領域とし、それ以外の斜線で示す領域を異常診断領域とする。そして、主機能側の値と監視側の値とによって決まる点が異常診断領域内にあるとき、上記誤差が許容範囲内にないと判断する。なお、図5の破線で示す直線は、主機能側の値と監視側の値とが等しい領域である。 Then, an input signal of the calculation process 41a is input to the calculation process 42a, and the calculation result is input to the comparison process 42b. Then, the comparison process 42b compares the calculation result of the calculation process 41a with the calculation result of the calculation process 42a. At this time, if the error between the two is not within the predetermined allowable range, it is determined that an abnormality has occurred in the S / W element 41.
That is, as shown in FIG. 5, an area in which the value on the main function side (the calculation result of the calculation process 41a) is within a predetermined range with respect to the value on the monitoring side (the calculation result of the calculation process 42a) is set as the allowable area. An area indicated by diagonal lines other than is an abnormality diagnosis area. When the point determined by the value on the main function side and the value on the monitoring side is within the abnormality diagnosis area, it is determined that the error is not within the allowable range. In addition, the straight line shown with the broken line of FIG. 5 is an area | region where the value on the main function side and the value on the monitoring side are equal.

このように、所定の許容範囲を設定するため、演算処理42aを簡素化したことにより生じる演算誤差分を考慮した異常判定を行うことができる。
また、異常診断領域は、例えば図6に示すように設定することもできる。この例は、主機能側の値と監視側の値とが同符号で、且つ主機能側の値の絶対値が監視側の値の絶対値よりも小さい領域±所定範囲を許容範囲としたものである。すなわち、主機能側の値と監視側の値とによって決まる点が、図6の斜線に示す異常診断領域内にあるとき、上記誤差が許容範囲内にないと判断する。これにより、実際の動作の値が小さいものは、不具合発生に繋がる可能性が低いと判断して許容することができるので、むやみに異常判定されるのを抑制することができる。 As described above, in order to set the predetermined allowable range, it is possible to perform abnormality determination in consideration of the calculation error caused by simplifying the calculation process 42a.
Also, the abnormality diagnosis area can be set as shown in FIG. 6, for example. In this example, the value on the main function side and the value on the monitoring side have the same sign, and the absolute value of the value on the main function side is smaller than the absolute value of the value on the monitoring side. It is. That is, when the point determined by the value on the main function side and the value on the monitoring side is within the abnormality diagnosis region indicated by the oblique lines in FIG. 6, it is determined that the error is not within the allowable range. As a result, it is possible to determine that an actual operation value is small and to allow it to be determined that there is a low possibility of causing a failure, so that it is possible to suppress an abnormal determination.

そして、比較処理42bは、S/W要素41に異常が発生していることを検出すると、その診断結果を図4の制限処理(制限手段)42cに出力する。
制限処理42cには、演算処理41aの演算結果が入力される。比較処理42bから異常を検出したことを示す診断結果が入力された場合には、制限処理42cは、演算処理41aの演算結果を許容できる制限値まで制限して出力する。ここで、上記制限値は、車両で許容できる範囲を実験的に検証して決定することが望ましい。一方、比較処理42bから異常を検出したことを示す診断結果が入力されていない場合には、制限処理42cは、演算処理41aの演算結果をそのまま出力する。 When the comparison process 42b detects that an abnormality has occurred in the S / W element 41, the comparison process 42b outputs the diagnosis result to the limit process (limit means) 42c in FIG.
The calculation result of the calculation process 41a is input to the restriction process 42c. When a diagnosis result indicating that an abnormality has been detected is input from the comparison process 42b, the limit process 42c limits and outputs the calculation result of the calculation process 41a to an allowable limit value. Here, it is desirable that the limit value be determined by experimentally verifying a range allowable in the vehicle. On the other hand, when the diagnosis result indicating that the abnormality is detected is not input from the comparison process 42b, the limit process 42c outputs the calculation result of the calculation process 41a as it is.

次に、故障処理回路5の構成について具体的に説明する。
図7は、故障処理回路5の機能を示すブロック図である。故障処理回路5は、MCU2の故障をMCU2の外部から監視するものである。MCU2の監視方法としては、MCU2のクロック27を監視する方法と、MCU2の監視機能23及び26が動作していることを監視する方法とを採用する。 Next, the configuration of the failure processing circuit 5 will be specifically described.
FIG. 7 is a block diagram showing functions of the failure processing circuit 5. The failure processing circuit 5 monitors the failure of the MCU 2 from the outside of the MCU 2. As a method of monitoring the MCU 2, a method of monitoring the clock 27 of the MCU 2 and a method of monitoring that the monitoring functions 23 and 26 of the MCU 2 are operating are adopted.

すなわち、故障処理回路5は、MCU2のクロック27を監視するために、MCU2とは独立したクロック51と、クロック監視処理52とを備える。クロック監視処理52は、クロック27のクロックパルスとクロック51のクロックパルスとを比較することで、クロック27の故障を検出する。クロック27は、MCU2の一連の作業の基準となるものであり、例えばRC発振回路やセラミック振動子、水晶振動子、水晶振動子内蔵オシレータ、水晶振動子・分周器内蔵オシレータなどからなる。   That is, the failure processing circuit 5 includes a clock 51 independent of the MCU 2 and a clock monitoring process 52 in order to monitor the clock 27 of the MCU 2. The clock monitoring process 52 detects a failure of the clock 27 by comparing the clock pulse of the clock 27 with the clock pulse of the clock 51. The clock 27 is a reference for a series of operations of the MCU 2, and includes, for example, an RC oscillation circuit, a ceramic resonator, a crystal resonator, an oscillator with a built-in crystal resonator, an oscillator with a built-in crystal resonator / frequency divider, and the like.

なお、図7では、クロック監視処理52を故障処理回路5内部のS/Wで実装する場合について示しているが、MCU2内部のH/WやS/Wで実装することもできる。
また、故障処理回路5は、MCU2の監視機能23の動作を監視するために、故障処理要素32のウォッチドッグタイマの出力パルスを監視するパルス監視処理53を備える。パルス監視処理53は、上記出力パルスが所定時間停止したことをもって、監視機能23の異常を検出する。 Although FIG. 7 shows a case where the clock monitoring process 52 is implemented by S / W inside the failure processing circuit 5, it can also be implemented by H / W or S / W inside the MCU 2.
In addition, the failure processing circuit 5 includes a pulse monitoring process 53 that monitors the output pulse of the watchdog timer of the failure processing element 32 in order to monitor the operation of the monitoring function 23 of the MCU 2. The pulse monitoring process 53 detects an abnormality in the monitoring function 23 when the output pulse has stopped for a predetermined time.

なお、図7では監視機能23の異常検出についてのみ示しているが、監視機能26(異常処理S/W42)についても同様の方法で異常を検出するものとする。
すなわち、監視機能26(異常処理S/W42)が正しく実行されたときにウォッチドッグタイマからパルスを出力することによって、監視機能26が実行されない状態(監視されていない状態)をMCU2の外部の故障処理回路5で診断することができる。 Although only the abnormality detection of the monitoring function 23 is shown in FIG. 7, it is assumed that the monitoring function 26 (abnormality processing S / W 42) also detects an abnormality by the same method.
That is, by outputting a pulse from the watchdog timer when the monitoring function 26 (abnormal processing S / W42) is correctly executed, a state in which the monitoring function 26 is not executed (a state in which the monitoring function 26 is not monitored) Diagnosis can be made by the processing circuit 5.

そして、故障処理回路5は、クロック監視処理52及びパルス監視処理53の少なくとも一方でMCU2の故障を検出すると、アクチュエータ12を停止させるべく、アクチュエータ駆動回路4に対して故障後処置の実施指令を出力する。
このように、本実施形態では、MCUをハードウェア監視、ソフトウェア監視、外部監視の3つで総合監視するので、MCUの異常を詳細に監視することができる。 When the failure processing circuit 5 detects a failure of the MCU 2 in at least one of the clock monitoring processing 52 and the pulse monitoring processing 53, the failure processing circuit 5 outputs an execution instruction for post-failure treatment to the actuator drive circuit 4 to stop the actuator 12. To do.
As described above, in the present embodiment, the MCU is comprehensively monitored by the hardware monitoring, the software monitoring, and the external monitoring, so that the abnormality of the MCU can be monitored in detail.

すなわち、ハードウェア監視においては、MCU内部要素ごとに故障処理要素を配置してMCU内部要素の入出力信号を監視するので、MCU内部要素の故障をきめ細かく診断することができる。
また、このとき、故障処理要素を監視対象のMCU内部要素とは異なる構造で実装するので、例えば、両者で処理完了までの遅延時間を異ならせることができる。その結果、両者に共通して影響を受ける故障要因に対しても、適切に故障として検出することができる。さらに、トランジスタ数を少なくするなどにより、故障処理要素を監視対象のMCU内部要素よりも簡素化した構造で実装するので、比較的簡易且つ安価に故障処理要素を設けることができる。 That is, in hardware monitoring, a failure processing element is arranged for each MCU internal element and an input / output signal of the MCU internal element is monitored, so that a failure of the MCU internal element can be diagnosed in detail.
At this time, since the failure processing element is mounted with a structure different from the MCU internal element to be monitored, for example, the delay time until the process is completed can be made different between the two. As a result, it is possible to appropriately detect a failure factor that is commonly affected by both as a failure. Further, since the failure processing element is mounted with a simplified structure as compared to the MCU internal element to be monitored by reducing the number of transistors, the failure processing element can be provided relatively easily and inexpensively.

さらに、上記ハードウェア監視の他に、MCU内部でソフトウェア監視を行うので、ハードウェア監視の故障処理要素で検出しきれない演算不具合を検出することができる。
このとき、ソフトウェア監視においては、S/W要素に異常処理S/Wを配置してS/W要素の演算結果を監視するので、S/W要素の異常を適切に診断することができる。さらに、異常処理S/Wを監視対象のS/W要素とは異なる構造で実装するので、例えば、両者で演算に使用されるインストラクションを異ならせることができる。その結果、両者に共通して影響を受ける異常要因に対しても、適切に異常として検出することができる。 Furthermore, in addition to the hardware monitoring described above, software monitoring is performed inside the MCU, so that it is possible to detect calculation failures that cannot be detected by the failure processing elements of hardware monitoring.
At this time, in software monitoring, the abnormality processing S / W is arranged in the S / W element and the calculation result of the S / W element is monitored, so that the abnormality of the S / W element can be appropriately diagnosed. Furthermore, since the abnormal processing S / W is implemented with a structure different from the S / W element to be monitored, for example, the instructions used for the calculation can be made different from each other. As a result, it is possible to appropriately detect an abnormality factor that is commonly affected by both as an abnormality.

また、演算結果の比較に際し、所定の許容範囲を設定するので、異常処理S/Wを簡素化した構造としたことにより生じる演算誤差を考慮した異常診断を行うことができる。例えば、監視対象のS/W要素の演算結果と異常処理S/Wの演算結果とが同符号であり、且つ監視対象のS/W要素の演算結果の絶対値が異常処理S/Wの演算結果の絶対値よりも小さい範囲を、上記許容範囲とする。これにより、監視対象のS/W要素の演算結果が、アクチュエータの実際の制御動作が小さく不具合を発生する動作に繋がりにくいような値の場合には、監視対象のS/W要素の演算結果と異常処理S/Wの演算結果とに比較的大きな誤差が生じている場合でも許容することができる。そのため、むやみに異常診断するのを抑制することができる。   Further, since a predetermined allowable range is set when comparing the calculation results, abnormality diagnosis can be performed in consideration of calculation errors caused by the simplified structure of the abnormality processing S / W. For example, the calculation result of the monitoring target S / W element and the calculation result of the abnormality processing S / W have the same sign, and the absolute value of the calculation result of the monitoring target S / W element is the calculation of the abnormality processing S / W. A range smaller than the absolute value of the result is set as the allowable range. As a result, when the calculation result of the S / W element to be monitored is a value that is difficult to lead to an operation in which the actual control operation of the actuator is small and causes a problem, the calculation result of the S / W element to be monitored is Even if a relatively large error occurs in the calculation result of the abnormal processing S / W, it can be tolerated. For this reason, it is possible to suppress abnormal diagnosis.

そして、ハードウェア監視においてMCU内部要素の故障を検出した場合には、アクチュエータを停止する処置を行い、ソフトウェア監視においてS/W要素の異常を検出した場合には、S/W要素の演算結果を許容範囲内に制限する補正を行って、アクチュエータの駆動制御を続行する処置を行う。
車両に搭載される電子制御用MCUは、異常発生時には異常の詳細によらず制御を停止させるのが一般的であった。ところが、車両の大型化による制御停止時のドライバ負担や車両安全制御の規格化などの観点から、異常発生時にも異常の詳細によっては制御を続行させる必要がある。本実施形態では、MCUの異常をきめ細かく診断することができるので、異常の詳細に応じて制御を停止したり制御を続行したりすることができるなど、適切な処置を行うことができる。 If a failure of the MCU internal element is detected in hardware monitoring, the actuator is stopped. If an abnormality of the S / W element is detected in software monitoring, the calculation result of the S / W element is displayed. Correction is performed to limit the value within the allowable range, and a process for continuing the drive control of the actuator is performed.
In general, an MCU for electronic control mounted on a vehicle stops control when an abnormality occurs regardless of the details of the abnormality. However, from the viewpoint of driver burden at the time of control stop due to the increase in size of the vehicle and standardization of vehicle safety control, it is necessary to continue control depending on the details of the abnormality even when an abnormality occurs. In the present embodiment, the MCU abnormality can be diagnosed in detail, so that appropriate measures can be taken such as stopping the control or continuing the control according to the details of the abnormality.

さらに、MCU外部でMCUの故障を監視する外部監視を行うので、MCU内部の監視機能であるハードウェア監視とソフトウェア監視とが共通して影響を受ける要因に対して診断を実施することができる。
例えば、MCUの外部にMCUとは独立したクロックを配置し、MCUのクロックを監視することで、MCU内部の各監視機能が共通して影響を受けるクロック異常が発生し、MCU内部で故障/異常の診断が行えない場合には、これを異常として検出することができる。また、MCU内部の各監視機能のウォッチドッグタイマの出力パルスを監視することで、MCU内部の各監視機能が動作していない場合には、これを異常として検出することができる。このように、MCUの機能不全をMCUの外部で検出し、処置することができる。 Furthermore, since external monitoring for monitoring MCU failures is performed outside the MCU, it is possible to diagnose a factor that is commonly affected by hardware monitoring and software monitoring, which are monitoring functions inside the MCU.
For example, by arranging a clock independent of the MCU outside the MCU and monitoring the clock of the MCU, a clock abnormality that affects each monitoring function in the MCU in common occurs, and a failure / abnormality occurs in the MCU. If this cannot be diagnosed, this can be detected as an abnormality. Further, by monitoring the output pulse of the watchdog timer of each monitoring function inside the MCU, when each monitoring function inside the MCU is not operating, this can be detected as an abnormality. In this way, MCU malfunction can be detected and treated outside the MCU.

そして、この外部監視においては、自身の監視機能でMCUの故障を検出した場合や、異常処理要素からMCU内部要素の故障を検出したことを示す情報を取得した場合に、アクチュエータを停止する処置を行う。すなわち、ハードウェア監視でMCU内部要素の故障を検出した場合には、ハードウェア監視によって直接アクチュエータを停止する処置を行う手段と、外部監視を介してアクチュエータを停止する処置を行う手段とを併用することができる。その結果、MCU内部要素の故障が発生した場合には、確実にアクチュエータを停止することができる。   And in this external monitoring, when the failure of the MCU is detected by its own monitoring function, or when information indicating that the failure of the MCU internal element is detected is obtained from the abnormality processing element, the action of stopping the actuator is taken. Do. That is, when a failure of an MCU internal element is detected by hardware monitoring, a means for directly stopping the actuator by hardware monitoring and a means for stopping the actuator via external monitoring are used in combination. be able to. As a result, the actuator can be surely stopped when a failure of the MCU internal element occurs.

1…車載電子制御装置、2…マイクロコンピュータ(MCU)、3…入力I/F回路、4…アクチュエータ駆動回路、5…故障処理回路、11…センサ、12…アクチュエータ、21…ハードウェア部、22…H/W主機能、23…H/W監視機能、24…ソフトウェア部、25…S/W主機能、26…S/W監視機能、27…クロック、31…MCU内部要素(主機能)、31a…演算処理回路、32…故障処理要素、32a…演算処理回路、32b…比較回路、33…MCU内部要素(外部出力機能)、34…故障後処置要素、41…S/W要素、41a…演算処理、42…異常処理S/W、42a…演算処理、42b…比較処理、42c…制限処理、51…クロック、52…クロック監視処理、53…パルス監視処理   DESCRIPTION OF SYMBOLS 1 ... Car-mounted electronic control apparatus, 2 ... Microcomputer (MCU), 3 ... Input I / F circuit, 4 ... Actuator drive circuit, 5 ... Failure processing circuit, 11 ... Sensor, 12 ... Actuator, 21 ... Hardware part, 22 ... H / W main function, 23 ... H / W monitoring function, 24 ... software part, 25 ... S / W main function, 26 ... S / W monitoring function, 27 ... clock, 31 ... MCU internal element (main function), 31a ... arithmetic processing circuit, 32 ... failure processing element, 32a ... arithmetic processing circuit, 32b ... comparison circuit, 33 ... MCU internal element (external output function), 34 ... post-fault treatment element, 41 ... S / W element, 41a ... Arithmetic processing, 42... Abnormal processing S / W, 42 a .. arithmetic processing, 42 b... Comparison processing, 42 c .. limiting processing, 51... Clock, 52.

Claims (6)

車両に搭載されたセンサからの検出信号に基づいて、アクチュエータの駆動信号を生成するマイクロコンピュータを備える車載電子制御装置であって、
前記マイクロコンピュータは、ハードウェア部とソフトウェア部とを含んで構成されており、
前記マイクロコンピュータの内部に設けられ、前記ハードウェア部の各要素とは演算処理の特性が等しく、且つ前記ハードウェア部の各要素の演算処理回路とは異なる実装で、前記ハードウェア部の各要素の異常を監視するハードウェア要素監視手段と、
前記マイクロコンピュータの内部に設けられ、前記ソフトウェア部の各要素とは演算処理の特性が等しく、且つ前記ソフトウェア部の各要素の演算処理部とは異なる実装で、前記ソフトウェア部の各要素の異常を監視するソフトウェア要素監視手段と、を備え
前記ハードウェア要素監視手段は、監視用演算処理回路と比較回路とを備え、
前記監視用演算処理回路は、監視対象のハードウェア要素の演算処理回路と同一の信号を入力したとき、前記監視対象のハードウェア要素の演算処理回路と同一の信号を出力するものであり、前記監視対象のハードウェア要素の演算処理回路での演算処理よりも簡素化した演算処理を行うことを特徴とする車載電子制御装置。 An in-vehicle electronic control device including a microcomputer that generates a drive signal of an actuator based on a detection signal from a sensor mounted on a vehicle,
The microcomputer includes a hardware part and a software part,
Each element of the hardware unit is provided inside the microcomputer, and has the same processing characteristics as each element of the hardware unit, and is different from the arithmetic processing circuit of each element of the hardware unit. Hardware element monitoring means for monitoring abnormalities of
Provided inside the microcomputer, each element of the software part has the same processing characteristics and implementation different from that of the element of the software part. A software element monitoring means for monitoring ,
The hardware element monitoring means includes a monitoring arithmetic processing circuit and a comparison circuit,
The monitoring arithmetic processing circuit outputs the same signal as the monitoring target hardware element arithmetic processing circuit when the same signal as the monitoring target hardware element arithmetic processing circuit is input, An in-vehicle electronic control device that performs simplified arithmetic processing as compared with arithmetic processing in an arithmetic processing circuit of a hardware element to be monitored . 前記監視用演算処理回路は、前記監視対象のハードウェア要素の演算処理回路とは異なるトランジスタ数で実装することを特徴とする請求項に記載の車載電子制御装置。 The in-vehicle electronic control device according to claim 1 , wherein the monitoring arithmetic processing circuit is implemented with a different number of transistors from the arithmetic processing circuit of the hardware element to be monitored. 前記ソフトウェア要素監視手段は、監視用演算処理部と比較処理部とを備え、
前記監視用演算処理部は、監視対象のソフトウェア要素の演算処理部と数式上同一となる演算処理を行うものであり、前記監視対象のソフトウェア要素の演算処理部での演算処理よりも簡素化した演算処理を行うことを特徴とする請求項1又は2に記載の車載電子制御装置。 The software element monitoring unit includes a monitoring arithmetic processing unit and a comparison processing unit,
The arithmetic processing unit for monitoring performs arithmetic processing that is mathematically identical to the arithmetic processing unit of the software element to be monitored, and is simplified than the arithmetic processing in the arithmetic processing unit of the software element to be monitored vehicle electronic control unit according to claim 1 or 2, characterized in that the arithmetic processing. 車両に搭載されたセンサからの検出信号に基づいて、アクチュエータの駆動信号を生成するマイクロコンピュータを備える車載電子制御装置であって、  An in-vehicle electronic control device including a microcomputer that generates a drive signal of an actuator based on a detection signal from a sensor mounted on a vehicle,
前記マイクロコンピュータは、ハードウェア部とソフトウェア部とを含んで構成されており、  The microcomputer includes a hardware part and a software part,
前記マイクロコンピュータの内部に設けられ、前記ハードウェア部の各要素とは演算処理の特性が等しく、且つ前記ハードウェア部の各要素の演算処理回路とは異なる実装で、前記ハードウェア部の各要素の異常を監視するハードウェア要素監視手段と、  Each element of the hardware unit is provided inside the microcomputer, and has the same processing characteristics as each element of the hardware unit, and is different from the arithmetic processing circuit of each element of the hardware unit. Hardware element monitoring means for monitoring abnormalities of
前記マイクロコンピュータの内部に設けられ、前記ソフトウェア部の各要素とは演算処理の特性が等しく、且つ前記ソフトウェア部の各要素の演算処理部とは異なる実装で、前記ソフトウェア部の各要素の異常を監視するソフトウェア要素監視手段と、を備え、  Provided inside the microcomputer, each element of the software part has the same processing characteristics and implementation different from that of the element of the software part. A software element monitoring means for monitoring,
前記ソフトウェア要素監視手段は、監視用演算処理部と比較処理部とを備え、  The software element monitoring unit includes a monitoring arithmetic processing unit and a comparison processing unit,
前記監視用演算処理部は、監視対象のソフトウェア要素の演算処理部と数式上同一となる演算処理を行うものであり、前記監視対象のソフトウェア要素の演算処理部での演算処理よりも簡素化した演算処理を行うことを特徴とする車載電子制御装置。  The arithmetic processing unit for monitoring performs arithmetic processing that is mathematically identical to the arithmetic processing unit of the software element to be monitored, and is simplified than the arithmetic processing in the arithmetic processing unit of the software element to be monitored An on-vehicle electronic control device that performs arithmetic processing. 前記監視用演算処理部は、前記監視対象のソフトウェア要素の演算処理部とは異なるインストラクション数で演算処理することを特徴とする請求項3又は4に記載の車載電子制御装置。 The in-vehicle electronic control device according to claim 3 , wherein the monitoring arithmetic processing unit performs arithmetic processing with a different number of instructions from the arithmetic processing unit of the monitoring target software element. 前記マイクロコンピュータの外部に設けられ、前記マイクロコンピュータの異常を監視する外部監視手段を備え、
前記外部監視手段は、前記ハードウェア要素監視手段及び前記ソフトウェア要素監視手段が動作していないとき、これを前記マイクロコンピュータの異常として検出することを特徴とする請求項1〜5の何れか1項に記載の車載電子制御装置。 Provided outside the microcomputer, comprising external monitoring means for monitoring abnormalities of the microcomputer,
6. The external monitoring means, when the hardware element monitoring means and the software element monitoring means are not operating, detects this as an abnormality of the microcomputer. The vehicle-mounted electronic control apparatus of description.
JP2012186547A 2012-08-27 2012-08-27 In-vehicle electronic control unit Active JP5459370B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012186547A JP5459370B2 (en) 2012-08-27 2012-08-27 In-vehicle electronic control unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012186547A JP5459370B2 (en) 2012-08-27 2012-08-27 In-vehicle electronic control unit

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2011144690A Division JP5126393B2 (en) 2011-06-29 2011-06-29 In-vehicle electronic control unit

Publications (2)

Publication Number Publication Date
JP2013012220A JP2013012220A (en) 2013-01-17
JP5459370B2 true JP5459370B2 (en) 2014-04-02

Family

ID=47685985

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012186547A Active JP5459370B2 (en) 2012-08-27 2012-08-27 In-vehicle electronic control unit

Country Status (1)

Country Link
JP (1) JP5459370B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5712243B2 (en) * 2013-03-29 2015-05-07 グリー株式会社 Monitoring processing method, monitoring processing apparatus and monitoring processing system
JP6094387B2 (en) * 2013-06-06 2017-03-15 株式会社デンソー Control device
CN113815636B (en) * 2021-09-28 2023-06-23 国汽(北京)智能网联汽车研究院有限公司 Vehicle safety monitoring method and device, electronic equipment and storage medium

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0244436A (en) * 1988-08-05 1990-02-14 Nec Corp Information processing monitoring system
JPH05233344A (en) * 1992-02-20 1993-09-10 Hitachi Ltd Information processor
JPH05324409A (en) * 1992-05-27 1993-12-07 Meidensha Corp Run-away monitor system for software
JPH06161798A (en) * 1992-11-24 1994-06-10 Hitachi Ltd Information processor
JPH08171507A (en) * 1994-12-16 1996-07-02 Mitsubishi Electric Corp Abnormality monitoring method
JP2001063492A (en) * 1999-08-27 2001-03-13 Nec Corp Electronic control device for vehicle safety control device

Also Published As

Publication number Publication date
JP2013012220A (en) 2013-01-17

Similar Documents

Publication Publication Date Title
JP5126393B2 (en) In-vehicle electronic control unit
US10006455B2 (en) Drive control apparatus
JP6350723B2 (en) Control device and control method for in-vehicle electronic device
US9323595B2 (en) Microcontroller, control device and determination method
KR101773314B1 (en) Electronic control device having power supply voltage monitoring function and vehicle steering control device equipped with same
JP2001063492A (en) Electronic control device for vehicle safety control device
US9221492B2 (en) Method for operating an electrical power steering mechanism
US11281547B2 (en) Redundant processor architecture
JP5459370B2 (en) In-vehicle electronic control unit
JP5561329B2 (en) In-vehicle electronic control unit
JP2016222018A (en) Cpu monitoring device, vehicle control system, and cpu monitoring method
US10633018B2 (en) External watchdog with integrated backward regeneration support
JP6081239B2 (en) Control device abnormality monitoring apparatus and abnormality monitoring method
JP6302852B2 (en) Electronic control device for vehicle
JP4820679B2 (en) Electronic control device for vehicle
JP6524989B2 (en) Operation guarantee method of arithmetic unit
JP6702175B2 (en) Load drive
WO2021111896A1 (en) Vehicle mounted electronic control apparatus
JP6457149B2 (en) Electronic control unit
JP2022156616A (en) Diagnosis method for controller and reset function
JP2005352545A (en) Microcomputer and computer system

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131001

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131002

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131217

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131230

R150 Certificate of patent or registration of utility model

Ref document number: 5459370

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250