JP6145345B2 - 自動車用電子制御装置 - Google Patents
自動車用電子制御装置 Download PDFInfo
- Publication number
- JP6145345B2 JP6145345B2 JP2013151568A JP2013151568A JP6145345B2 JP 6145345 B2 JP6145345 B2 JP 6145345B2 JP 2013151568 A JP2013151568 A JP 2013151568A JP 2013151568 A JP2013151568 A JP 2013151568A JP 6145345 B2 JP6145345 B2 JP 6145345B2
- Authority
- JP
- Japan
- Prior art keywords
- area
- high safety
- ram
- diagnosis
- rom
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Combined Controls Of Internal Combustion Engines (AREA)
- Techniques For Improving Reliability Of Storages (AREA)
- For Increasing The Reliability Of Semiconductor Memories (AREA)
Description
本発明は、自動車用電子制御装置における機能安全を保障する技術に関する。
特許文献1には、自動車コンピュータシステムの信頼性を改善する方法として、マイクロプロセッサによってフラッシュメモリを読み取るときに、同じメモリユニット又は別個のメモリユニットにおいてパリティビットを各々のデータ行について記憶し、メモリアクセス中に、同様にパリティビットを発生させ、エラーチェックのために記憶された検査データと比較することで、データメモリ内でデータを行毎に保護する、電子式自動車制御装置が開示されている。
ところで、パリティビットなどの誤り検出符号を用いたメモリ診断を行う場合でも、係る診断を行うプログラム(ソフトウェア部品)が故障する可能性があるため、診断プログラムが正常に機能しているかを診断することが必要となり、更に、診断プログラムの診断を行うプログラムが実装されるメモリ上の領域は十分に保護された信頼性の高いものでなければならない。
本発明は上記実情に鑑みなされたものであり、自動車用電子制御装置において診断処理などの重要演算処理の信頼性を向上させることを目的とする。
そのため、本願発明は、メモリの領域が制御プログラム用の通常制御領域と診断プログラム用のハイセーフティ領域との2領域に分けられ、前記ハイセーフティ領域に、前記ハイセーフティ領域のメモリ診断を行うハイセーフティ領域用診断プログラムと、前記通常制御領域及び前記ハイセーフティ領域のメモリ診断を行う通常診断用プログラムとが実装され、前記ハイセーフティ領域を前記ハイセーフティ領域用診断プログラム及び前記通常診断用プログラムによって2重に診断するようにした。
上記発明によると、診断処理などの重要演算処理の信頼性が向上し、以って、電子制御装置における制御の安全性の保障を高めることができる。
以下に本発明の実施の形態を説明する。
図1は、本実施形態における自動車用電子制御装置のハードウェアシステムを示すブロック図である。
図1において、自動車100は、動力源としてのエンジン(内燃機関)200、エンジン200を制御する電子制御装置300を備える。
図1は、本実施形態における自動車用電子制御装置のハードウェアシステムを示すブロック図である。
図1において、自動車100は、動力源としてのエンジン(内燃機関)200、エンジン200を制御する電子制御装置300を備える。
エンジン200は、エンジン200の吸入空気量(トルク)を調整する電制スロットル210を備える。電制スロットル210は、スロットルバルブ211と、スロットルバルブ211の開度を変化させるスロットルモータ212とで構成され、スロットルモータ212は駆動回路213によって駆動される。
電子制御装置300は、駆動回路213を介してスロットルモータ212の開度を制御することで、エンジン200の出力トルクを制御する。
電子制御装置300は、メインMPU(Micro-Processing Unit)301、メインMPU301の動作監視を行う監視ICとしてのサブMPU302、RAM(Random Access Memory)303、ROM(Read Only Memory)304などを含むマイクロコンピュータ310を備える。
電子制御装置300は、メインMPU(Micro-Processing Unit)301、メインMPU301の動作監視を行う監視ICとしてのサブMPU302、RAM(Random Access Memory)303、ROM(Read Only Memory)304などを含むマイクロコンピュータ310を備える。
ROM304(不揮発性メモリ)は、電制スロットル210の制御プログラム、各種の診断プログラム、更に、これらのプログラムを実施するのに用いる制御データを記憶するためのメモリとして使用され、RAM303(揮発性メモリ)は前述のプログラムを動作させるためのワークメモリとして使用される。
そして、電子制御装置300(マイクロコンピュータ310)は、運転者が操作するアクセルペダル(図示省略)の開度ACCを検出するアクセル開度センサ401、電制スロットル210のスロットル開度TVOを検出するスロットル開度センサ402などの各種センサの出力信号を入力し、これらのセンサ信号に基づいて設定した操作信号を駆動回路213に出力して電制スロットル210の開度を制御する。
そして、電子制御装置300(マイクロコンピュータ310)は、運転者が操作するアクセルペダル(図示省略)の開度ACCを検出するアクセル開度センサ401、電制スロットル210のスロットル開度TVOを検出するスロットル開度センサ402などの各種センサの出力信号を入力し、これらのセンサ信号に基づいて設定した操作信号を駆動回路213に出力して電制スロットル210の開度を制御する。
図2は、電子制御装置300の制御機能及び診断機能を示すソフトウェアブロック図である。
アクセル開度センサ401からのアクセル開度情報及びスロットル開度センサ402からのスロットル開度情報は、それぞれ冗長系演算部1001,1002で処理され、制御に用いるアクセル開度データ、スロットル開度データが設定される。
アクセル開度センサ401からのアクセル開度情報及びスロットル開度センサ402からのスロットル開度情報は、それぞれ冗長系演算部1001,1002で処理され、制御に用いるアクセル開度データ、スロットル開度データが設定される。
例えばセンサ401,402をそれぞれ2重に備え、冗長系演算部1001,1002では、2重に設けられたセンサの出力についての整合性を判定した上で制御に用いるアクセル開度データ、スロットル開度データを決定する。
冗長系演算部1001はアクセル開度データを目標トルク演算部1003に出力し、目標トルク演算部1003はアクセル開度データに基づきエンジン200の出力トルクの目標値(目標トルク)を演算する。
冗長系演算部1001はアクセル開度データを目標トルク演算部1003に出力し、目標トルク演算部1003はアクセル開度データに基づきエンジン200の出力トルクの目標値(目標トルク)を演算する。
更に、目標トルク演算部1003は目標トルクをスロットル目標開度演算部1004に出力し、スロットル目標開度演算部1004は目標トルクに基づきスロットル目標開度を演算し、スロットル制御用モータ指令として電制スロットル210の駆動回路213に出力する。
一方、冗長系演算部1002はスロットル開度データを目標値・実際値診断部1005に出力し、目標値・実際値診断部1005は、スロットル目標開度演算部1004の出力であるスロットル目標開度と冗長系演算部1002の出力であるスロットル実開度とを比較する。
一方、冗長系演算部1002はスロットル開度データを目標値・実際値診断部1005に出力し、目標値・実際値診断部1005は、スロットル目標開度演算部1004の出力であるスロットル目標開度と冗長系演算部1002の出力であるスロットル実開度とを比較する。
そして、目標値・実際値診断部1005は、スロットル目標開度とスロットル実開度との偏差に基づいてスロットル実際開度がスロットル目標開度に追従しない異常の有無、換言すれば、スロットル制御機能の異常の有無を検出する。
例えば、目標値・実際値診断部1005は、スロットル目標開度とスロットル実開度との偏差が閾値よりも大きい状態の継続時間が設定時間に達したときに、スロットル制御機能の異常発生を検出する。
例えば、目標値・実際値診断部1005は、スロットル目標開度とスロットル実開度との偏差が閾値よりも大きい状態の継続時間が設定時間に達したときに、スロットル制御機能の異常発生を検出する。
スロットル実際開度がスロットル目標開度に追従しない異常は、駆動回路213、スロットルモータ212の故障などによって発生する。
ここで、目標値・実際値診断部1005は、スロットル実開度の異常発生を検出すると、スロットル目標開度演算部1004からのスロットル目標開度(モータ指令)の駆動回路213への出力をカットするカット部1010にカット指令を出力する。
ここで、目標値・実際値診断部1005は、スロットル実開度の異常発生を検出すると、スロットル目標開度演算部1004からのスロットル目標開度(モータ指令)の駆動回路213への出力をカットするカット部1010にカット指令を出力する。
係るカット指令により、スロットルモータ212の駆動が停止し、電制スロットル210の開度がデフォルト開度(全閉位置又は所定低開度)に固定されるフェイルセーフ処理が実施される。
従って、駆動回路213やスロットルモータ212の故障などによって、スロットル実際開度がスロットル目標開度を上回る高開度に、換言すれば、実出力トルクが目標トルクを上回る高出力トルク状態に制御されることを抑制でき、以って、エンジン200の出力トルクを抑えて車両を安全側に導くことができる。
従って、駆動回路213やスロットルモータ212の故障などによって、スロットル実際開度がスロットル目標開度を上回る高開度に、換言すれば、実出力トルクが目標トルクを上回る高出力トルク状態に制御されることを抑制でき、以って、エンジン200の出力トルクを抑えて車両を安全側に導くことができる。
一方、例題演算部1006は、目標値・実際値診断部1005の診断機能(異常検出機能)が正常であるか否かを診断するための演算処理を実施する。
例題演算部1006は、目標値・実際値診断部1005(実動作部又はコピー)に例題を出題する例題出力部1006aと、目標値・実際値診断部1005における例題の回答を受け取る回答受信部1006bと、目標値・実際値診断部1005からの回答と期待値とを比較する回答判定部1006cと、目標値・実際値診断部1005に出力する例題と当該例題の回答の期待値とを対として記憶する出題・回答テーブル1006dとを含む。
例題演算部1006は、目標値・実際値診断部1005(実動作部又はコピー)に例題を出題する例題出力部1006aと、目標値・実際値診断部1005における例題の回答を受け取る回答受信部1006bと、目標値・実際値診断部1005からの回答と期待値とを比較する回答判定部1006cと、目標値・実際値診断部1005に出力する例題と当該例題の回答の期待値とを対として記憶する出題・回答テーブル1006dとを含む。
ここで、目標値・実際値診断部1005が期待値に一致する回答を出力しない場合には、目標値・実際値診断部1005が正常に機能していない可能性がある。
そこで、回答判定部1006cは、目標値・実際値診断部1005が期待値に一致する回答を出力しない場合にカット部1010にカット指令を出力することで、スロットル目標開度演算部1004からのスロットル目標開度(モータ指令)の駆動回路213への出力をカットし、電制スロットル210の開度をデフォルト開度にするフェイルセーフ処理を実施する。
そこで、回答判定部1006cは、目標値・実際値診断部1005が期待値に一致する回答を出力しない場合にカット部1010にカット指令を出力することで、スロットル目標開度演算部1004からのスロットル目標開度(モータ指令)の駆動回路213への出力をカットし、電制スロットル210の開度をデフォルト開度にするフェイルセーフ処理を実施する。
カット部1010は、目標値・実際値診断部1005と回答判定部1006cとの少なくとも一方が出力カットを指令することで、スロットル目標開度演算部1004からのスロットル目標開度(モータ指令)の駆動回路213への出力をカットする。
つまり、目標値・実際値診断部1005が正常に機能していない場合、スロットル実際開度の異常が発生しているのに目標値・実際値診断部1005によるフェイルセーフ処理が実施されていない可能性があるので、回答判定部1006cが駆動回路213への出力をカットするフェイルセーフ処理を実施する。
つまり、目標値・実際値診断部1005が正常に機能していない場合、スロットル実際開度の異常が発生しているのに目標値・実際値診断部1005によるフェイルセーフ処理が実施されていない可能性があるので、回答判定部1006cが駆動回路213への出力をカットするフェイルセーフ処理を実施する。
これにより、目標値・実際値診断部1005として機能するプログラムデータに異常が発生したときに、実出力トルクが目標よりも高い状態に制御されることを抑止でき、車両を安全側に導くことができる。
また、メインMPU301のALU(Arithmetic Logic Unit:算術論理装置)の演算機能を診断するALU診断部1007を設けてある。
また、メインMPU301のALU(Arithmetic Logic Unit:算術論理装置)の演算機能を診断するALU診断部1007を設けてある。
ALU診断部1007は、サブMPU302(監視IC)側からの出題を受け取る例題受信部1007aと、例題受信部1007aが受け取った例題をメインMPU301のALUで演算させるALU診断部1007bと、ALU診断部1007bでの演算結果(回答)を受け取る回答受信部1007cと、回答受信部1007cが受け取った回答データを、サブMPU302側に出力する回答送信部1007dとを含む。
回答受信部1007cには、ALU診断部1007bでの演算結果(回答)と共に、回答判定部1006cにおける正常、異常の判定結果が入力される。
そして、回答受信部1007cは、回答判定部1006cで異常判定されている場合にはALU診断部1007bでの演算結果(回答)とは無関係に誤答を回答送信部1007dに出力し、回答判定部1006cで正常判定されている場合にはALU診断部1007bでの演算結果(回答)をそのまま回答送信部1007dに出力する。
以上説明したソフトウェアブロックは、メインMPU301で処理されるプログラムである。
そして、回答受信部1007cは、回答判定部1006cで異常判定されている場合にはALU診断部1007bでの演算結果(回答)とは無関係に誤答を回答送信部1007dに出力し、回答判定部1006cで正常判定されている場合にはALU診断部1007bでの演算結果(回答)をそのまま回答送信部1007dに出力する。
以上説明したソフトウェアブロックは、メインMPU301で処理されるプログラムである。
一方、サブMPU302は、ALU診断部1007に向けて出題し、ALU診断部1007からの回答を受け取る例題演算部1008としての演算機能を備えている。
例題演算部1008は、ALU診断部1007の例題受信部1007aに向けて例題を出題する例題出題部1008aと、ALU診断部1007の例題受信部1007aに出力する例題と当該例題の回答の期待値とを対として記憶する出題・回答テーブル1008bと、ALU診断部1007の回答送信部1007dからの回答を受け取る回答受信部1008cと、回答受信部1008cが受け取った回答と出題・回答テーブル1008bが出力する期待値とを比較する回答判定部1008dとを含む。
例題演算部1008は、ALU診断部1007の例題受信部1007aに向けて例題を出題する例題出題部1008aと、ALU診断部1007の例題受信部1007aに出力する例題と当該例題の回答の期待値とを対として記憶する出題・回答テーブル1008bと、ALU診断部1007の回答送信部1007dからの回答を受け取る回答受信部1008cと、回答受信部1008cが受け取った回答と出題・回答テーブル1008bが出力する期待値とを比較する回答判定部1008dとを含む。
そして、回答判定部1008dは、回答受信部1008cが受け取った回答が期待値と異なる場合、電制スロットル210のスロットルモータ212の駆動回路213への電力供給経路(電源と駆動回路213との接続回路)を遮断するモータリレー214をオフし、スロットルモータ212への電力供給を遮断する。
つまり、サブMPU302の回答判定部1008dは、メインMPU301のALUにおける演算機能に異常が発生した場合に回答と期待値とが異なると判定することになり、また、目標値・実際値診断部1005の診断機能(診断プログラム)に異常が発生した場合にも回答と期待値とが異なると判定することになり、いずれの場合もサブMPU302はモータリレー214をオフするフェイルセーフ処理を実施する。
つまり、サブMPU302の回答判定部1008dは、メインMPU301のALUにおける演算機能に異常が発生した場合に回答と期待値とが異なると判定することになり、また、目標値・実際値診断部1005の診断機能(診断プログラム)に異常が発生した場合にも回答と期待値とが異なると判定することになり、いずれの場合もサブMPU302はモータリレー214をオフするフェイルセーフ処理を実施する。
これにより、メインMPU301側の目標値・実際値診断部1005として機能するプログラムデータに異常が発生し、更に、メインMPU301側の回答判定部1006cとして機能するプログラムデータに異常が発生し、電制スロットル210の制御異常が発生したときにモータ出力をカットするフェイルセーフ処理を実施することができない状態になったとしても、サブMPU302側の回答判定部1008dが正常に機能すれば、エンジン200の実出力トルクが目標よりも高い状態に制御されることを抑止でき、車両を安全側に導くことができる。
後で詳細に説明するように、図2に示した各ソフトウェア機能を実行するプログラムが置かれるROM304は、電制スロットル210などの外部デバイスの制御処理を行うプログラム(制御用プログラム)を共に置く通常制御領域(通常演算領域、制御用領域)と、診断用プログラムなどの機能安全に関わる重要なプログラムを主に置くハイセーフティ領域(重要演算領域、診断用領域)との2領域に切り分けられている。
そして、前述した、冗長系演算部1001,1002、目標トルク演算部1003、スロットル目標開度演算部1004、目標値・実際値診断部1005、カット部1010として機能するプログラムは、ROM304の通常制御領域に置かれ、例題演算部1006,1008、ALU診断部1007、及び、後述するマイコン系診断部1100として機能するプログラムは、ROM304のハイセーフティ領域に置かれる。
つまり、診断用プログラムが正常に実行されないと制御システムの安全性を保障できないので、診断用プログラムは一般的に制御プログラムに比べて重要度が高く、ハイセーフティ領域には重要度が制御用プログラムよりも高い処理である診断用プログラムが置かれ(換言すれば、重要度が高い処理が実装され)、ハイセーフティ領域は、後述するようにメモリ欠陥診断処理の多重実施などによってデータ保障レベルを通常制御領域よりも高めるようにしてある。
また、RAM303も、通常制御領域(通常演算領域)とハイセーフティ領域(重要演算領域)とに切り分けられており、ROM304の通常制御領域に置かれるプログラムはRAM303の通常制御領域をワークメモリとして用い、ROM304のハイセーフティ領域に置かれるプログラムはRAM303のハイセーフティ領域をワークメモリとして用いる設定としてある。
上記のように、診断用プログラムは、メモリ(ROM304及びRAM303)のハイセーフティ領域に実装され、制御用プログラムは、メモリ(ROM304及びRAM303)の通常制御領域に実装される。
上記のように、診断用プログラムは、メモリ(ROM304及びRAM303)のハイセーフティ領域に実装され、制御用プログラムは、メモリ(ROM304及びRAM303)の通常制御領域に実装される。
なお、図2の例では、目標値・実際値診断部1005として機能するプログラムはROM304の通常制御領域に置かれて、RAM303の通常制御領域をワークメモリとして用いるが、目標値・実際値診断部1005として機能するプログラムをROM304のハイセーフティ領域に置き、目標値・実際値診断部1005がRAM303のハイセーフティ領域をワークメモリとして用いる設定とすることができる。
つまり、診断部を診断する処理は診断対象部よりも重要度が上がり、保障レベルをより高くする必要があり、診断処理が重層化するほど保障レベルの要求はより高くなる。一方、ハイセーフティ領域は、後で詳述するように保障レベルを通常制御領域よりも高めた領域であり、重層化した診断処理のうちで保障レベルの要求(重要度)が高い側の診断処理をハイセーフティ領域に実装することになる。
但し、ハイセーフティ領域に実装する処理の保障レベル(重要度)の最低ラインは、設計思想、演算負荷、メモリ使用量などから適宜変更され得るものであり、診断処理のうち保障レベルの要求(重要度)が低い処理(例えば、目標値・実際値診断部1005)を通常制御領域に実装することができ、また、目標値・実際値診断部1005を含む全ての診断処理をハイセーフティ領域に実装することができる。
ここで、マイコン系診断部1100は、ROM304の全領域について診断を行う通常ROM診断部1101、RAM303の全領域について診断を行う通常RAM診断部1102、ROM304のハイセーフティ領域(ROM304の一部領域)について診断を行うハイセーフティ領域ROM診断部1103、RAM303のハイセーフティ領域(RAM303の一部領域)について診断を行うハイセーフティ領域RAM診断部1104を含む。
そして、マイコン系診断部1100に含まれる各診断部として機能するプログラムは、ROM304のハイセーフティ領域に置かれ、RAM303のハイセーフティ領域上にワークエリアが割り付けられる。
つまり、ROM304、RAM303の全領域は通常ROM診断部1101、通常RAM診断部1102で診断が行われ、ROM304、RAM303のハイセーフティ領域については、当該ハイセーフティ領域に割り付けられたハイセーフティ領域ROM診断部1103、ハイセーフティ領域RAM診断部1104による診断が更に実施され、ROM304、RAM303のハイセーフティ領域についてはメモリ診断が2重に実施されるようになっている。
つまり、ROM304、RAM303の全領域は通常ROM診断部1101、通常RAM診断部1102で診断が行われ、ROM304、RAM303のハイセーフティ領域については、当該ハイセーフティ領域に割り付けられたハイセーフティ領域ROM診断部1103、ハイセーフティ領域RAM診断部1104による診断が更に実施され、ROM304、RAM303のハイセーフティ領域についてはメモリ診断が2重に実施されるようになっている。
また、通常ROM診断部1101、通常RAM診断部1102は、ハイセーフティ領域ROM診断部1103、ハイセーフティ領域RAM診断部1104で診断され、ハイセーフティ領域ROM診断部1103、ハイセーフティ領域RAM診断部1104は、通常ROM診断部1101、通常RAM診断部1102で診断される相互監視が実施されるようになっている。
図3(A)は、ROM304における通常制御領域とハイセーフティ領域との切り分け及び各領域へのプログラム配置を例示する。
ROM304のハイセーフティ領域には、ハイセーフティ領域RAM診断部1104、ハイセーフティ領域ROM診断部1103、通常RAM診断部1102、通常ROM診断部1101、ALU診断部1007、例題演算部1006として機能するプログラムが置かれる。
ROM304のハイセーフティ領域には、ハイセーフティ領域RAM診断部1104、ハイセーフティ領域ROM診断部1103、通常RAM診断部1102、通常ROM診断部1101、ALU診断部1007、例題演算部1006として機能するプログラムが置かれる。
また、ROM304の通常制御領域には、目標トルク演算部1003、スロットル目標開度演算部1004、冗長系演算部1001,1002などとして機能するプログラムが置かれる。
一方、図3(B)は、RAM303における通常制御領域とハイセーフティ領域との切り分け及び各領域をワークメモリとして用いるプログラムを例示する。
一方、図3(B)は、RAM303における通常制御領域とハイセーフティ領域との切り分け及び各領域をワークメモリとして用いるプログラムを例示する。
RAM303のハイセーフティ領域には、ハイセーフティ領域RAM診断部1104、ハイセーフティ領域ROM診断部1103、通常RAM診断部1102、通常ROM診断部1101、ALU診断部1007、例題演算部1006の各制御プログラムがワークメモリとして使用する領域が設定されている。
また、RAM303の通常制御領域には、目標トルク演算部1003、スロットル目標開度演算部1004、冗長系演算部1001,1002などの各制御プログラムがワークメモリとして使用する領域が設定されている。
また、RAM303の通常制御領域には、目標トルク演算部1003、スロットル目標開度演算部1004、冗長系演算部1001,1002などの各制御プログラムがワークメモリとして使用する領域が設定されている。
そして、ハイセーフティ領域ROM診断部1103は、ROM304のハイセーフティ領域について診断を行うことで、ROM304のハイセーフティ領域に置かれるプログラムの診断を行い、ハイセーフティ領域RAM診断部1104は、RAM303のハイセーフティ領域について診断を行うことで、ROM304のハイセーフティ領域に置かれるプログラムが用いるデータを診断する。
また、通常ROM診断部1101は、ROM304のハイセーフティ領域及び通常制御領域を含む全領域について診断を行い、通常RAM診断部1102は、RAM303のハイセーフティ領域及び通常制御領域を含む全領域について診断を行う。
尚、図3では、RAM303及びROM304におけるハイセーフティ領域,通常制御領域はそれぞれ連続した領域となっているが、2領域に分離されるハイセーフティ領域に挟まれるようにして通常制御領域を設定したり、逆に、2領域に分離される通常制御領域に挟まれるようにしてハイセーフティ領域を設定したりすることができ、ハイセーフティ領域及び通常制御領域は連続した1つ領域に限定されるものではない。
尚、図3では、RAM303及びROM304におけるハイセーフティ領域,通常制御領域はそれぞれ連続した領域となっているが、2領域に分離されるハイセーフティ領域に挟まれるようにして通常制御領域を設定したり、逆に、2領域に分離される通常制御領域に挟まれるようにしてハイセーフティ領域を設定したりすることができ、ハイセーフティ領域及び通常制御領域は連続した1つ領域に限定されるものではない。
ROM304の通常制御領域に実装されRAM303の通常制御領域をワークメモリとして用いエンジン制御(電制スロットル210の駆動制御)を行う通常制御プログラムはメモリアクセスを頻繁に行うため、ROM304及びRAM303の通常制御領域の診断を頻繁に行うと演算負荷の増大によってエンジン制御に影響を与える可能性がある。
そこで、通常ROM診断部1101及び通常RAM診断部1102は、ROM303及びRAM304の診断を、エンジン制御に影響を与えないように通常制御プログラムの空き時間を利用して行う。このため、通常ROM診断部1101及び通常RAM診断部1102は、ROM303及びRAM304の診断に長い時間を要し、診断の実行周期は長くなる。
一方、ROM304及びRAM303のハイセーフティ領域は、通常制御プログラム(エンジン制御プログラム)によるアクセスがなく、しかもROM303及びRAM304の一部領域であって診断領域が全領域よりも狭い。
このため、ハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104は、エンジン制御に影響を与えることなく、通常ROM診断部1101及び通常RAM診断部1102に比べて診断に要する時間が短くかつより短い周期でハイセーフティ領域の診断を行える。
このため、ハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104は、エンジン制御に影響を与えることなく、通常ROM診断部1101及び通常RAM診断部1102に比べて診断に要する時間が短くかつより短い周期でハイセーフティ領域の診断を行える。
つまり、ハイセーフティ領域については、通常ROM診断部1101及び通常RAM診断部1102による診断が行われ、更に、ハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104によってより短周期で診断が行われるようになっている。
係る構成によって、ハイセーフティ領域のデータ保障レベル(データ保護レベル)は通常制御領域よりも高くなる。従って、ハイセーフティ領域に重要なプログラムである診断処理を割り付けることで、診断処理の信頼性が増し、車両の安全性を向上させることができる。
係る構成によって、ハイセーフティ領域のデータ保障レベル(データ保護レベル)は通常制御領域よりも高くなる。従って、ハイセーフティ領域に重要なプログラムである診断処理を割り付けることで、診断処理の信頼性が増し、車両の安全性を向上させることができる。
更に、ROM303及びRAM304のハイセーフティ領域には、ハイセーフティ領域ROM診断部1103、ハイセーフティ領域RAM診断部1104、通常ROM診断部1101及び通常RAM診断部1102が割り付けられる。
これにより、通常ROM診断部1101及び通常RAM診断部1102の信頼性をハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104による診断で保障する一方、ハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104の信頼性を通常ROM診断部1101及び通常RAM診断部1102による診断で保障する、診断部の相互監視を実現できる。
これにより、通常ROM診断部1101及び通常RAM診断部1102の信頼性をハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104による診断で保障する一方、ハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104の信頼性を通常ROM診断部1101及び通常RAM診断部1102による診断で保障する、診断部の相互監視を実現できる。
そして、通常ROM診断部1101及び通常RAM診断部1102は、ハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104によって短い周期で診断されるので、通常ROM診断部1101及び通常RAM診断部1102による全領域診断の妥当性が保障され、ROM304及びRAM33の全領域のデータを高いレベルで保障できる。
なお、通常ROM診断部1101及びハイセーフティ領域ROM診断部1103は、例えば、ROM304の診断領域内のデータについてサムやパリティなどの誤り検出符号を演算し、演算した誤り検出符号と予めROM304内に埋め込まれた値との比較検査を実施することで、データの誤り(メモリ不良)の有無を検出する。
なお、通常ROM診断部1101及びハイセーフティ領域ROM診断部1103は、例えば、ROM304の診断領域内のデータについてサムやパリティなどの誤り検出符号を演算し、演算した誤り検出符号と予めROM304内に埋め込まれた値との比較検査を実施することで、データの誤り(メモリ不良)の有無を検出する。
また、通常RAM診断部1102及びハイセーフティ領域RAM診断部1104は、例えば、RAM303の診断領域についてリードライトテストなどを実施して、RAM303の故障(メモリ欠陥)の有無を検出する。
ところで、ROM304及びRAM303における各処理の割り付けは、図3に示した例に限定されるものではなく、例えば、図4に示した例のような割り付けが行われる場合がある。
ところで、ROM304及びRAM303における各処理の割り付けは、図3に示した例に限定されるものではなく、例えば、図4に示した例のような割り付けが行われる場合がある。
図4は、ROM304及びRAM303のハイセーフティ領域に割り当てられるリソース(演算に割り当てる時間やメモリ領域)を考慮して、通常ROM診断部1101及び通常RAM診断部1102をROM304及びRAM303の通常制御領域に割り付けた例を示す。
つまり、図3に示した例では、通常ROM診断部1101及び通常RAM診断部1102が置かれるROM304上の領域、及び、通常ROM診断部1101及び通常RAM診断部1102がワークメモリとして使用するRAM303上の領域を、共にハイセーフティ領域とした。
つまり、図3に示した例では、通常ROM診断部1101及び通常RAM診断部1102が置かれるROM304上の領域、及び、通常ROM診断部1101及び通常RAM診断部1102がワークメモリとして使用するRAM303上の領域を、共にハイセーフティ領域とした。
一方、図4に示した例では、通常ROM診断部1101及び通常RAM診断部1102が置かれるROM304上の領域及びワークメモリとして使用するRAM303上の領域を、共に通常制御領域とした点が異なる。
上記のように、ハイセーフティ領域に割り当てる処理を減らすことでハイセーフティ領域に置かれるプログラムに割り当てられるリソースを低減できる一方、通常ROM診断部1101及び通常RAM診断部1102は通常制御プログラムの空き時間を利用して全領域の診断を行うため、通常制御領域に割り当てられるリソースでの処理が可能である。
上記のように、ハイセーフティ領域に割り当てる処理を減らすことでハイセーフティ領域に置かれるプログラムに割り当てられるリソースを低減できる一方、通常ROM診断部1101及び通常RAM診断部1102は通常制御プログラムの空き時間を利用して全領域の診断を行うため、通常制御領域に割り当てられるリソースでの処理が可能である。
ここで、通常ROM診断部1101及び通常RAM診断部1102によるROM304及びRAM303の診断は、図3及び図4のいずれの場合もROM304及びRAM303の全領域について行われる。
一方、ハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104によるROM304及びRAM303の診断は、図3の例ではハイセーフティ領域について行われるが、図4の例では、ハイセーフティ領域、及び、通常制御領域のうちの通常ROM診断部1101及び通常RAM診断部1102が置かれる領域及び通常ROM診断部1101及び通常RAM診断部1102がワークエリアとして使用する領域について行われる。
一方、ハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104によるROM304及びRAM303の診断は、図3の例ではハイセーフティ領域について行われるが、図4の例では、ハイセーフティ領域、及び、通常制御領域のうちの通常ROM診断部1101及び通常RAM診断部1102が置かれる領域及び通常ROM診断部1101及び通常RAM診断部1102がワークエリアとして使用する領域について行われる。
換言すれば、ハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104によって診断する対象領域は、図3及び図4に共通して、診断用の制御プログラムがROM304上で置かれる領域及び診断用の制御プログラムがRAM303上でワークエリアとして使用する領域である。
従って、図4に示すような割り付けを行った場合も、通常ROM診断部1101及び通常RAM診断部1102の信頼性をハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104による診断で保障する一方、ハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104の信頼性を通常ROM診断部1101及び通常RAM診断部1102による診断で保障する、診断部の相互監視を実現できる。
従って、図4に示すような割り付けを行った場合も、通常ROM診断部1101及び通常RAM診断部1102の信頼性をハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104による診断で保障する一方、ハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104の信頼性を通常ROM診断部1101及び通常RAM診断部1102による診断で保障する、診断部の相互監視を実現できる。
そして、通常ROM診断部1101及び通常RAM診断部1102は、ハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104によって短い周期で診断されるので、通常ROM診断部1101及び通常RAM診断部1102による全領域診断の妥当性が保障され、ROM304及びRAM33の全領域のデータを高いレベルで保障できる。
また、図4に示した割り付けでは、演算負荷の大きな通常ROM診断部1101及び通常RAM診断部1102をROM304及びRAM303の通常制御領域に割り付けたので、ハイセーフティ領域に割り当てられるリソースが制限される場合でも、ハイセーフティ領域に割り付けたハイセーフティ領域ROM診断部1103、ハイセーフティ領域RAM診断部1104などの診断処理を短周期で実施できる。
また、図4に示した割り付けでは、演算負荷の大きな通常ROM診断部1101及び通常RAM診断部1102をROM304及びRAM303の通常制御領域に割り付けたので、ハイセーフティ領域に割り当てられるリソースが制限される場合でも、ハイセーフティ領域に割り付けたハイセーフティ領域ROM診断部1103、ハイセーフティ領域RAM診断部1104などの診断処理を短周期で実施できる。
図5は、メインMPU301がマルチコア(デュアルコア)である場合のメモリと各プロセッサコアとの構成例を示す。
メインMPU301は、1つのプロセッサ・パッケージ内に、第1プロセッサコア301aと第2プロセッサコア301bとの2つのプロセッサコアを封入して構成される。
メインMPU301は、1つのプロセッサ・パッケージ内に、第1プロセッサコア301aと第2プロセッサコア301bとの2つのプロセッサコアを封入して構成される。
2つのプロセッサコア301a、301bが共用する1つのROM304が設けられ、ROM304はハイセーフティ領域と通常制御領域とに切り分けられる。
そして、第1プロセッサコア301aはROM304の通常制御領域に置かれたプログラムを実行し、第2プロセッサコア301bはROM304のハイセーフティ領域に置かれたプログラムを実行する。
そして、第1プロセッサコア301aはROM304の通常制御領域に置かれたプログラムを実行し、第2プロセッサコア301bはROM304のハイセーフティ領域に置かれたプログラムを実行する。
一方、RAM303として、全領域を通常制御領域として第1プロセッサコア301aがワークエリアとして使用する第1RAM303a(第1ローカルRAM)と、全領域をハイセーフティ領域として第2プロセッサコア301bがワークエリアとして使用する第2RAM303b(第2ローカルRAM)と、通常制御領域とハイセーフティ領域とに切り分けられ第1プロセッサコア301aと第2プロセッサコア301bとが共用する第3RAM303c(グローバルRAM)とを備えている。
なお、図5における斜線領域はハイセーフティ領域を示し、RAM303、ROM304の斜線領域以外の領域は通常制御領域を示す。
なお、図5における斜線領域はハイセーフティ領域を示し、RAM303、ROM304の斜線領域以外の領域は通常制御領域を示す。
図6は、図5に示したメモリ構成において、ROM304、第1〜第3RAM303a〜303cにおける通常制御領域及びハイセーフティ領域の設定、プログラムが置かれる領域、プログラムがワークエリアとして使用する領域を示す。
図6において、共用のROM304の通常使用領域には、冗長系演算部1001,1002、目標トルク演算部1003、スロットル目標開度演算部1004などが置かれると共に、第1プロセッサコア301a用としての通常RAM診断部1102aが置かれる。
図6において、共用のROM304の通常使用領域には、冗長系演算部1001,1002、目標トルク演算部1003、スロットル目標開度演算部1004などが置かれると共に、第1プロセッサコア301a用としての通常RAM診断部1102aが置かれる。
一方、共用のROM304のハイセーフティ領域には、例題演算部1006、ALU診断部1007の他、第2プロセッサコア301b用としての通常RAM診断部1102b、通常ROM診断部1101、ハイセーフティ領域ROM診断部1103、ハイセーフティ領域RAM診断部1104が置かれる。
また、共用の第3RAM303cの通常制御領域はROM304の通常制御領域に置かれるプログラムのワークエリアであり、冗長系演算部1001,1002、目標トルク演算部1003、スロットル目標開度演算部1004、通常RAM診断部1102aのワークエリアとして使用される。
また、共用の第3RAM303cの通常制御領域はROM304の通常制御領域に置かれるプログラムのワークエリアであり、冗長系演算部1001,1002、目標トルク演算部1003、スロットル目標開度演算部1004、通常RAM診断部1102aのワークエリアとして使用される。
一方、共用の第3RAM303cのハイセーフティ領域は、通常RAM診断部1102b、通常ROM診断部1101、ハイセーフティ領域ROM診断部1103、ハイセーフティ領域RAM診断部1104のワークエリアとして割り付けられる。
また、第2プロセッサコア301bがワークエリアとして使用する第2RAM303bは、例題演算部1006、ALU診断部1007のワークエリアとして割り付けられる。
また、第2プロセッサコア301bがワークエリアとして使用する第2RAM303bは、例題演算部1006、ALU診断部1007のワークエリアとして割り付けられる。
そして、第2プロセッサコア301bは、共用のROM304のハイセーフティ領域に置かれるハイセーフティ領域ROM診断部1103に従い、共用のROM304のハイセーフティ領域及び共用のROM304の通常制御領域のうちの通常RAM診断部1102aが置かれる領域についてデータ診断(データの誤りの有無)を行う。
また、第2プロセッサコア301bは、共用のROM304のハイセーフティ領域に置かれる通常ROM診断部1101に従い、共用のROM304のハイセーフティ領域及び通常制御領域の全領域についてデータ診断(データの誤りの有無、メモリ欠陥の診断)を行う。
また、第2プロセッサコア301bは、共用のROM304のハイセーフティ領域に置かれる通常ROM診断部1101に従い、共用のROM304のハイセーフティ領域及び通常制御領域の全領域についてデータ診断(データの誤りの有無、メモリ欠陥の診断)を行う。
一方、第2プロセッサコア301bは、共用のROM304のハイセーフティ領域に置かれるハイセーフティ領域RAM診断部1104に従い、共用の第3RAM303cのハイセーフティ領域、共用の第3RAM303cの通常制御領域のうちの通常RAM診断部1102aがワークエリアとして使用する領域、及び、第2RAM303bの全領域について診断(データ誤りの診断、メモリ欠陥の診断)を行う。
また、第2プロセッサコア301bは、共用のROM304のハイセーフティ領域に置かれる通常RAM診断部1102bに従い、共用の第3RAM303cの全領域及び第2RAM303bの全領域について診断(データ誤りの診断、メモリ欠陥の診断)を行う。
また、第2プロセッサコア301bは、共用のROM304のハイセーフティ領域に置かれる通常RAM診断部1102bに従い、共用の第3RAM303cの全領域及び第2RAM303bの全領域について診断(データ誤りの診断、メモリ欠陥の診断)を行う。
第1プロセッサコア301aは、第2プロセッサコア301bによる通常RAM診断部1102bに従った診断と同時又は診断完了後に、共用のROM304の通常制御領域に置かれる通常RAM診断部1102aに従い、第1RAM303aの全領域についてデータ診断(データ誤りの診断、メモリ欠陥の診断)を行う。
上記構成においても、通常ROM診断部1101及び通常RAM診断部1102a、1102bの信頼性をハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104による診断で保障する一方、ハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104の信頼性を通常ROM診断部1101及び通常RAM診断部1102bによる診断で保障する、診断部の相互監視を実現できる。
上記構成においても、通常ROM診断部1101及び通常RAM診断部1102a、1102bの信頼性をハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104による診断で保障する一方、ハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104の信頼性を通常ROM診断部1101及び通常RAM診断部1102bによる診断で保障する、診断部の相互監視を実現できる。
そして、通常ROM診断部1101及び通常RAM診断部1102a、1102bは、ハイセーフティ領域ROM診断部1103及びハイセーフティ領域RAM診断部1104によって短い周期で診断されるので、通常ROM診断部1101及び通常RAM診断部1102a、1102bによる全領域診断の妥当性が保障され、ROM304及びRAM33a〜303cの全領域のデータを高いレベルで保障できる。
図7は、メインMPU301をシングルコアとする場合における、各種プログラムの処理の流れ、及び、RAM303の構成を示す。
図7の左側のブロックには、ROM304の通常制御領域に置かれるプログラムの処理の流れを概略的に示してあり、ROM304の通常制御領域に置かれるプログラムは、RAM303の通常制御領域にアクセスして処理を行う。
図7の左側のブロックには、ROM304の通常制御領域に置かれるプログラムの処理の流れを概略的に示してあり、ROM304の通常制御領域に置かれるプログラムは、RAM303の通常制御領域にアクセスして処理を行う。
フローチャート(A)はバックグラウンド処理の一例を示す。
マイクロコンピュータ310は、ステップS2101にてリセットされることで、ステップS2102でMPU301,302の初期化処理を実施した後、ステップS2103のバックグラウンド処理を実施する。
マイクロコンピュータ310は、ステップS2101にてリセットされることで、ステップS2102でMPU301,302の初期化処理を実施した後、ステップS2103のバックグラウンド処理を実施する。
そして、マイクロコンピュータ310は、ステップS2104にて終了フラグの判断を行い、終了フラグがセットされるまではバックグラウンド処理を継続する。
一方、マイクロコンピュータ310は、終了フラグがセットされると、ステップS2105にて各種の終了処理を実施してリセット(再起動)に待機する。
一方、マイクロコンピュータ310は、終了フラグがセットされると、ステップS2105にて各種の終了処理を実施してリセット(再起動)に待機する。
また、フローチャート(B)は、タイマモジュールXに基づく割り込み処理の一例を示す。
マイクロコンピュータ310は、ステップS2201でタイマモジュールXに基づき1ms毎の割り込みがかかることで、ステップS2202にて1msタスク処理を実施し、ステップS2203にて5msタスク処理を実施し、ステップS2204にて10msタスク処理を実施し、ステップS2205にて100msタスク処理を実施する。
マイクロコンピュータ310は、ステップS2201でタイマモジュールXに基づき1ms毎の割り込みがかかることで、ステップS2202にて1msタスク処理を実施し、ステップS2203にて5msタスク処理を実施し、ステップS2204にて10msタスク処理を実施し、ステップS2205にて100msタスク処理を実施する。
また、フローチャート(C)は、割り込み要因(例えば、入力パルス信号の立ち上がり立ち下りなど)に基づく処理の一例を示す。
マイクロコンピュータ310は、ステップS2301にて各種の割り込み要因に基づき割り込みがかかることで、ステップS2302にて各種の割り込み処理を実施する。
マイクロコンピュータ310は、ステップS2301にて各種の割り込み要因に基づき割り込みがかかることで、ステップS2302にて各種の割り込み処理を実施する。
図7の右側のブロックには、ROM304のハイセーフティ領域に置かれるプログラムの処理の流れを概略的に示してあり、ROM304のハイセーフティ領域に置かれるプログラムは、RAM303のハイセーフティ領域にアクセスして処理を行う。
マイクロコンピュータ310は、フローチャート(D)のステップS2401にて、通常制御領域プログラムで使用されないタイマモジュールY(タイマモジュールXとは個別のタイマモジュールY)に基づき割り込みがかかることで、ステップS2402にてハイセーフティ領域プログラムの定時タスク処理を実施する。
マイクロコンピュータ310は、フローチャート(D)のステップS2401にて、通常制御領域プログラムで使用されないタイマモジュールY(タイマモジュールXとは個別のタイマモジュールY)に基づき割り込みがかかることで、ステップS2402にてハイセーフティ領域プログラムの定時タスク処理を実施する。
また、図7の中央のブロックは、RAM303における領域の切り分け、RAMデータの多重化、RAM303の通常制御領域とハイセーフティ領域との間におけるデータの受け渡し機能を示す。
ROM304のハイセーフティ領域に置かれるプログラムがアクセスするRAM303のハイセーフティ領域には、RAM303の通常制御領域からコピーしたデータ、RAM303の通常制御領域にコピーするデータ、RAM303のハイセーフティ領域内で更新されるデータが保存される。
ROM304のハイセーフティ領域に置かれるプログラムがアクセスするRAM303のハイセーフティ領域には、RAM303の通常制御領域からコピーしたデータ、RAM303の通常制御領域にコピーするデータ、RAM303のハイセーフティ領域内で更新されるデータが保存される。
ここで、通常制御領域とハイセーフティ領域との間におけるデータのコピー(データの受け渡し)は、ROM304のハイセーフティ領域に置かれデータチェック機能を有するマクロのソフトインターフェースによって行われる。
上記のインターフェースは、RAM303の通常制御領域に保存されているデータをRAM303のハイセーフティ領域にコピーするためのインプットインターフェースと、RAM303のハイセーフティ領域に保存されているデータをRAM303の通常制御領域にコピーするためのアウトプットインターフェースとを含む。
上記のインターフェースは、RAM303の通常制御領域に保存されているデータをRAM303のハイセーフティ領域にコピーするためのインプットインターフェースと、RAM303のハイセーフティ領域に保存されているデータをRAM303の通常制御領域にコピーするためのアウトプットインターフェースとを含む。
尚、データによっては、通常制御領域からハイセーフティ領域にコピーしたデータ、ハイセーフティ領域から通常制御領域にコピーするデータ、ハイセーフティ領域内で更新されるデータの全てに該当するものもある。
また、ソフトウェアインターフェースは、ROM304のハイセーフティ領域に代えて通常制御領域に置くことができ、この場合、RAM303のハイセーフティ領域に保存されているデータをRAM303の通常制御領域にコピーするインターフェースがインプットインターフェースとなり、RAM303の通常制御領域に保存されているデータをRAM303のハイセーフティ領域にコピーするためのインターフェースがアウトプットインターフェースとなる。
また、ソフトウェアインターフェースは、ROM304のハイセーフティ領域に代えて通常制御領域に置くことができ、この場合、RAM303のハイセーフティ領域に保存されているデータをRAM303の通常制御領域にコピーするインターフェースがインプットインターフェースとなり、RAM303の通常制御領域に保存されているデータをRAM303のハイセーフティ領域にコピーするためのインターフェースがアウトプットインターフェースとなる。
RAM303のハイセーフティ領域については、データを多重化して保存する設定としてある。データの多重化として、例えば、オリジナルのデータと、当該オリジナルのデータを反転したデータ(反転値)とを対とする保存が行われる。
オリジナルデータと反転データとを対としてハイセーフティ領域に保存する場合でのソフトウェアインターフェースの処理は以下のようになる。
オリジナルデータと反転データとを対としてハイセーフティ領域に保存する場合でのソフトウェアインターフェースの処理は以下のようになる。
ROM304の通常制御領域に置かれるプログラムがRAM303の通常制御領域に保存したデータを、ROM304のハイセーフティ領域に置かれるプログラムが使用する場合、インプットインターフェースは、通常制御領域側のデータをそのままハイセーフティ領域にコピーすると共に、通常制御領域側のデータの反転値をハイセーフティ領域に保存する。
一方、ROM304のハイセーフティに置かれるプログラムがRAM303のハイセーフティ領域に保存したデータを、ROM304の通常制御領域に置かれるプログラムが使用する場合、アウトプットインターフェースは、ハイセーフティ領域に対をなして保存されているオリジナルデータと反転データとが正しいか否か(反転関係にあるか否か)を判定する。
一方、ROM304のハイセーフティに置かれるプログラムがRAM303のハイセーフティ領域に保存したデータを、ROM304の通常制御領域に置かれるプログラムが使用する場合、アウトプットインターフェースは、ハイセーフティ領域に対をなして保存されているオリジナルデータと反転データとが正しいか否か(反転関係にあるか否か)を判定する。
そして、アウトプットインターフェースは、データが正しい場合(反転関係にある場合)には通常制御領域にオリジナルデータをコピーし、正しくない場合(反転関係にない場合)には保存データが正しくなかった(データをコピーできなかった)ことを示す情報を通常制御領域に書き込む。
尚、RAM303のハイセーフティ領域におけるデータの多重化(多面化、多重保存)は、オリジナルデータと反転データとの2重化に限定されるものではなく、同一データを2つ保存する構成とすることができ、また、3重以上に保存させることができる。
尚、RAM303のハイセーフティ領域におけるデータの多重化(多面化、多重保存)は、オリジナルデータと反転データとの2重化に限定されるものではなく、同一データを2つ保存する構成とすることができ、また、3重以上に保存させることができる。
RAM303のハイセーフティ領域に同一データを複数保存する場合であって係るデータを通常制御領域にコピーする場合、アウトプットインターフェースは、ハイセーフティ領域に多重に保存されているデータが正しいか否かを、多重データが全て一致するか否かに基づいて判定する。
そして、多重データが全て一致する場合に、通常制御領域にデータをコピーし、多重データが全て一致しない場合にはデータが正しくなかったことを示す情報を通常制御領域に書き込む。
そして、多重データが全て一致する場合に、通常制御領域にデータをコピーし、多重データが全て一致しない場合にはデータが正しくなかったことを示す情報を通常制御領域に書き込む。
一方、ROM304のハイセーフティ領域に置かれるプログラムは、RAM303のハイセーフティ領域に多重に保存されている一群のデータを相互に比較することで、反転関係や同一などの所定の多重化規則に従ってデータ保存されているか否かをチェックする。
そして、ハイセーフティ領域に置かれるプログラムは、所定の多重化規則に従ってデータ保存されている場合にそのデータを用い、多重に保存されているデータが所定の多重化保存の規則を満たさずRAM303の欠陥が発生している場合には、所定のフェイルセーフ処理を実施する。
そして、ハイセーフティ領域に置かれるプログラムは、所定の多重化規則に従ってデータ保存されている場合にそのデータを用い、多重に保存されているデータが所定の多重化保存の規則を満たさずRAM303の欠陥が発生している場合には、所定のフェイルセーフ処理を実施する。
また、RAM303のハイセーフティ領域に同一データを3重以上に重複して保存させる場合、複数のデータのうちで同一であるデータの数が多いものを正しいデータとして判定し、正しいと判定されたデータを通常制御領域にコピーしたりハイセーフティ領域のプログラムが採用するデータとしたりすることができる。
例えば、RAM303のハイセーフティ領域に同一データを3重に保存する場合、3つの全てが同一であれば3重に保存させたデータの全てが正しく保存されているものと判断してそのままそのデータを用い、3つのうちの2つが同一であれば、同一である2つのデータは正しく保存されているものの、残りの1つのデータは誤った値に保存されたものと見做し、同一である2つのデータを用いるようにする。
例えば、RAM303のハイセーフティ領域に同一データを3重に保存する場合、3つの全てが同一であれば3重に保存させたデータの全てが正しく保存されているものと判断してそのままそのデータを用い、3つのうちの2つが同一であれば、同一である2つのデータは正しく保存されているものの、残りの1つのデータは誤った値に保存されたものと見做し、同一である2つのデータを用いるようにする。
図8は、マイクロコンピュータ310のメインMPU301がシングルコアではなくマルチコアである場合における、各種プログラムの処理の流れ、及び、RAM303の構成を示す。
図8の左側のブロックには、ROM304の通常制御領域に置かれるプログラムについての第1プロセッサコア301aによる処理の流れを概略的に示してあるが、係るブロックに記載される処理の流れ(フローチャート(A)、(B)、(C))は、図7に記したものと同様であり、詳細な説明は省略する。
図8の左側のブロックには、ROM304の通常制御領域に置かれるプログラムについての第1プロセッサコア301aによる処理の流れを概略的に示してあるが、係るブロックに記載される処理の流れ(フローチャート(A)、(B)、(C))は、図7に記したものと同様であり、詳細な説明は省略する。
尚、図8に示すマルチコアシステムの場合、第1プロセッサコア301aは、第1プロセッサコア301a専用の第1RAM303a(ローカルRAM)と、第2プロセッサコア301bと共用する第3RAM303c(共用RAM)とにアクセスして処理を行い、第2プロセッサコア301bと共用するデータは第3RAM303cに保存する。
図8の右側のブロックには、ROM304のハイセーフティ領域に置かれるプログラムについての第2プロセッサコア301bによる処理の流れを概略的に示してある。
図8の右側のブロックには、ROM304のハイセーフティ領域に置かれるプログラムについての第2プロセッサコア301bによる処理の流れを概略的に示してある。
ここで、第2プロセッサコア301bは、ハイセーフティ領域の信頼性を保障するための処理を図7に示したフローチャート(D)と同様にして実施する。また、マルチコアシステムの場合、第2プロセッサコア301b側においてもバックグラウンド処理が可能であり、第2プロセッサコア301b側にも、バックグラウンド処理を示すフローチャート(E)を記載してある。
フローチャート(E)において、第2プロセッサコア301bは、ステップS2501にて開始指令を受け取ると、ステップS2502で初期化処理を実施した後、ステップS2503のバックグラウンド処理を実施する。
フローチャート(E)において、第2プロセッサコア301bは、ステップS2501にて開始指令を受け取ると、ステップS2502で初期化処理を実施した後、ステップS2503のバックグラウンド処理を実施する。
そして、第2プロセッサコア301bは、ステップS2504にて終了フラグの判断を行い、終了フラグがセットされるまではバックグラウンド処理を継続する。
一方、第2プロセッサコア301bは、終了フラグがセットされると、ステップS2505にて第1プロセッサコア301aに向けて第2プロセッサコア301bでの処理終了を通知する。
一方、第2プロセッサコア301bは、終了フラグがセットされると、ステップS2505にて第1プロセッサコア301aに向けて第2プロセッサコア301bでの処理終了を通知する。
また、第2プロセッサコア301aは、第2プロセッサコア301a専用の第2RAM303b(ローカルRAM)と、第1プロセッサコア301aと共用する第3RAM303c(共用RAM)とにアクセスして処理を行い、第1プロセッサコア301aと共用するデータは第3RAM303cに保存し、ハイセーフティ領域のプログラムでしか使用しない更新データは第2RAM303bに保存する。
図8の中央のブロックは、マルチコアシステムにおける、第3RAM303cの領域切り分け、RAMデータの多重化、通常制御領域とハイセーフティ領域との間におけるデータの受け渡し機能を示す。
ハイセーフティ領域のプログラムでしか使用しない更新データは第2RAM303bに保存され、ROM304のハイセーフティ領域に置かれるプログラムがアクセスする第3RAM303cのハイセーフティ領域には、第3RAM303cの通常制御領域からコピーしたデータ、第3RAM303cの通常制御領域にコピーするデータが保存される。
ハイセーフティ領域のプログラムでしか使用しない更新データは第2RAM303bに保存され、ROM304のハイセーフティ領域に置かれるプログラムがアクセスする第3RAM303cのハイセーフティ領域には、第3RAM303cの通常制御領域からコピーしたデータ、第3RAM303cの通常制御領域にコピーするデータが保存される。
そして、第3RAM303cの通常制御領域のデータをハイセーフティ領域にコピーする場合、インプットインターフェースによって多重化されてコピーされる。
一方、第3RAM303cの通常制御領域にコピーするためのデータは多重化して第3RAM303cのハイセーフティ領域に保存され、アウトプットインターフェースは第3RAM303cのハイセーフティ領域に多重に保存されているデータの整合性を判断した上で第3RAM303cの通常制御領域にコピーする。
一方、第3RAM303cの通常制御領域にコピーするためのデータは多重化して第3RAM303cのハイセーフティ領域に保存され、アウトプットインターフェースは第3RAM303cのハイセーフティ領域に多重に保存されているデータの整合性を判断した上で第3RAM303cの通常制御領域にコピーする。
図9は、メインMPU301をマルチコアとする場合における、各種プログラムの処理の流れ、及び、データ受け渡し機能の別の例を示す。
図9において、第1プロセッサコア301a側の処理及び第2プロセッサコア301a側の処理は、図8に示した構成例と同様であるが、ハイセーフティ領域と通常制御領域との間におけるデータの受け渡し機能が異なる。
図9において、第1プロセッサコア301a側の処理及び第2プロセッサコア301a側の処理は、図8に示した構成例と同様であるが、ハイセーフティ領域と通常制御領域との間におけるデータの受け渡し機能が異なる。
図9に示した例では、第2プロセッサコア301aは、第3RAM303cの通常制御領域からコピーしたデータ、第3RAM303cの通常制御領域にコピーするデータ、ハイセーフティ領域側でのみ使用する更新データを、第2プロセッサコア301a専用の第2RAM303bに保存する。
そして、第3RAM303cの通常制御領域から第2RAM303bへのデータコピーは、ハイセーフティ領域側に置かれるインプットインターフェースによって行われ、インプットインターフェースは、第3RAM303cの通常制御領域のデータを第2RAM303bに多重化して保存する。
そして、第3RAM303cの通常制御領域から第2RAM303bへのデータコピーは、ハイセーフティ領域側に置かれるインプットインターフェースによって行われ、インプットインターフェースは、第3RAM303cの通常制御領域のデータを第2RAM303bに多重化して保存する。
また、第2RAM303bに多重化して保存されて第3RAM303cの通常制御領域にコピーするデータは、ハイセーフティ領域側に置かれるアウトプットインターフェースによってデータチェック(多重化データの整合性判断)が行われて、第3RAM303cの通常制御領域にコピーされる。
即ち、図9に示す構成例では、多重化データを共用の第3RAM303cに保存することなく、第2プロセッサコア301a専用の第2RAM303bと、共用の第3RAM303cとの間でのデータの受け渡しを実行できることになる。
即ち、図9に示す構成例では、多重化データを共用の第3RAM303cに保存することなく、第2プロセッサコア301a専用の第2RAM303bと、共用の第3RAM303cとの間でのデータの受け渡しを実行できることになる。
なお、図9に示す構成では、データの受け渡しにおいて2プロセッサコア301a専用の第2RAM303bにアクセスすることになるため、第2プロセッサコア301a側がソフトウェアインターフェースとしての処理を実施することが必要となる。このため、ソフトウェアインターフェースは、ROM304のハイセーフティ領域に置いて第2プロセッサコア301aによって実行させる。
上記実施形態で説明した各技術的思想は、矛盾が生じない限りにおいて適宜組み合わせて使用することができる。
また、好ましい実施形態を参照して本発明の内容を具体的に説明したが、本発明の基本的技術思想及び教示に基づいて、当業者であれば種々の変形態様を採り得ることは自明である。
また、好ましい実施形態を参照して本発明の内容を具体的に説明したが、本発明の基本的技術思想及び教示に基づいて、当業者であれば種々の変形態様を採り得ることは自明である。
上記の電子制御装置300は電制スロットル210を制御対象とするが、制御対象は電制スロットル210に限定されるものでないことは明らかであり、例えば、燃料噴射装置、自動変速装置、ブレーキ装置などを制御対象することができる。
また、電子制御装置300は、メインMPU301と共に、メインMPU301の監視を行うサブMPU302を備えるが、サブMPU302を省略した構成とすることができる。
また、電子制御装置300は、メインMPU301と共に、メインMPU301の監視を行うサブMPU302を備えるが、サブMPU302を省略した構成とすることができる。
また、電子制御装置300のメインMPU301、サブMPU302を、メインCPU、サブCPUと読み替えることができる。
また、サブMPU302によるメインMPU301の監視方式として、前述した例題回答方式の他、メインMPU301が出力する所定周期のパルス信号をサブMPU302で監視するウォッチドックタイマ(WDT)方式を採用することができる。
また、サブMPU302によるメインMPU301の監視方式として、前述した例題回答方式の他、メインMPU301が出力する所定周期のパルス信号をサブMPU302で監視するウォッチドックタイマ(WDT)方式を採用することができる。
ここで、上記実施形態から把握し得る請求項以外の技術的思想について、以下に効果と共に記載する。
(イ)メモリの領域が通常演算領域と重要演算領域との2領域に分けられ、前記重要演算領域は当該重要演算領域に実装されたメモリ診断処理により診断され、前記通常演算領域及び重要演算領域を含む全領域は、前記メモリ診断によって診断される領域に実装される通常メモリ診断処理により診断される、自動車用電子制御装置。
上記発明によると、重要演算領域のメモリ診断と、全領域の通常メモリ診断の相互監視が実現され、これにより、全領域の通常メモリ診断の妥当性が保障される。
(イ)メモリの領域が通常演算領域と重要演算領域との2領域に分けられ、前記重要演算領域は当該重要演算領域に実装されたメモリ診断処理により診断され、前記通常演算領域及び重要演算領域を含む全領域は、前記メモリ診断によって診断される領域に実装される通常メモリ診断処理により診断される、自動車用電子制御装置。
上記発明によると、重要演算領域のメモリ診断と、全領域の通常メモリ診断の相互監視が実現され、これにより、全領域の通常メモリ診断の妥当性が保障される。
(ロ)
前記メモリ診断による診断は、前記通常メモリ診断処理による診断よりも短周期で実施される、請求項(イ)記載の自動車用電子制御装置。
上記発明によると、重要演算領域は、メモリ診断及び通常メモリ診断処理で2重に診断されると共に、メモリ診断が通常メモリ診断処理よりも短い周期で診断するので、通常演算領域よりも高いレベルのデータ保障を行える。
前記メモリ診断による診断は、前記通常メモリ診断処理による診断よりも短周期で実施される、請求項(イ)記載の自動車用電子制御装置。
上記発明によると、重要演算領域は、メモリ診断及び通常メモリ診断処理で2重に診断されると共に、メモリ診断が通常メモリ診断処理よりも短い周期で診断するので、通常演算領域よりも高いレベルのデータ保障を行える。
(ハ)
前記通常演算領域に外部デバイスを制御する制御用プログラムが実装され、前記重要演算領域に診断用プログラムが実装される、請求項(イ)、(ロ)のいずれか1つに記載の自動車用電子制御装置。
上記発明によると、制御の安全性を左右する診断用プログラムの保障がなされ、自動車の安全性を向上させることができる。
前記通常演算領域に外部デバイスを制御する制御用プログラムが実装され、前記重要演算領域に診断用プログラムが実装される、請求項(イ)、(ロ)のいずれか1つに記載の自動車用電子制御装置。
上記発明によると、制御の安全性を左右する診断用プログラムの保障がなされ、自動車の安全性を向上させることができる。
(ニ)
前記重要演算領域のプログラムを実行するときの定時タスク処理を実現するためのタイマモジュールと、前記通常演算領域のプログラムを実行するときの定時タスク処理を実現するためのタイマモジュールとを個別に備える、請求項(イ)から(ハ)のいずれか1つに記載の自動車用電子制御装置。
上記発明によると、通常演算領域用と重要演算領域用とで個別のタイマモジュールを用いることで、通常演算領域での定時タスク処理と重要演算領域での定時タスク処理との独立性が保障される。
前記重要演算領域のプログラムを実行するときの定時タスク処理を実現するためのタイマモジュールと、前記通常演算領域のプログラムを実行するときの定時タスク処理を実現するためのタイマモジュールとを個別に備える、請求項(イ)から(ハ)のいずれか1つに記載の自動車用電子制御装置。
上記発明によると、通常演算領域用と重要演算領域用とで個別のタイマモジュールを用いることで、通常演算領域での定時タスク処理と重要演算領域での定時タスク処理との独立性が保障される。
(ホ)
前記重要演算領域のプログラムを実行する第1のプロセッサコアと、前記通常演算領域のプログラムを実行する第2のプロセッサコアとからなるマルチコアで構成される、請求項(イ)から(ニ)のいずれか1つに記載の自動車用電子制御装置。
上記発明によると、CPU(MPU)がマルチコアである場合に、重要演算領域のプログラムの実行と通常演算領域のプログラムの実行とでコアを使い分ける構成として、ローカルRAM診断の並行実施などを可能とする。
前記重要演算領域のプログラムを実行する第1のプロセッサコアと、前記通常演算領域のプログラムを実行する第2のプロセッサコアとからなるマルチコアで構成される、請求項(イ)から(ニ)のいずれか1つに記載の自動車用電子制御装置。
上記発明によると、CPU(MPU)がマルチコアである場合に、重要演算領域のプログラムの実行と通常演算領域のプログラムの実行とでコアを使い分ける構成として、ローカルRAM診断の並行実施などを可能とする。
100…自動車、200…エンジン、210…電子制御スロットル、300…電子制御装置、301…メインMPU、302…サブMPU、303…RAM
Claims (3)
- メモリの領域が制御プログラム用の通常制御領域と診断プログラム用のハイセーフティ領域との2領域に分けられ、前記ハイセーフティ領域に、前記ハイセーフティ領域のメモリ診断を行うハイセーフティ領域用診断プログラムと、前記通常制御領域及び前記ハイセーフティ領域のメモリ診断を行う通常診断用プログラムとが実装され、前記ハイセーフティ領域を前記ハイセーフティ領域用診断プログラム及び前記通常診断用プログラムによって2重に診断する、自動車用電子制御装置。
- 前記メモリとしてのRAMの前記通常制御領域と前記ハイセーフティ領域との間におけるデータの受け渡しを、前記通常制御領域又は前記ハイセーフティ領域に置かれた、データチェック機能を有するソフトウェアインターフェースによって行う、請求項1記載の自動車用電子制御装置。
- 前記メモリとしてのRAMの前記ハイセーフティ領域は、オリジナルデータと当該オリジナルデータを反転させたデータとを対として保存し、
前記ソフトウェアインターフェースは、前記ハイセーフティ領域に対をなして保存されているオリジナルデータと反転データとが反転関係にあるか否かを検出し、反転関係にある場合にオリジナルデータを前記通常制御領域にコピーする、請求項2記載の自動車用電子制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013151568A JP6145345B2 (ja) | 2013-07-22 | 2013-07-22 | 自動車用電子制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013151568A JP6145345B2 (ja) | 2013-07-22 | 2013-07-22 | 自動車用電子制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015022622A JP2015022622A (ja) | 2015-02-02 |
| JP6145345B2 true JP6145345B2 (ja) | 2017-06-07 |
Family
ID=52486985
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013151568A Active JP6145345B2 (ja) | 2013-07-22 | 2013-07-22 | 自動車用電子制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6145345B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6306530B2 (ja) * | 2015-03-12 | 2018-04-04 | 日立オートモティブシステムズ株式会社 | 自動車用電子制御装置 |
| JP2017097633A (ja) | 2015-11-25 | 2017-06-01 | 日立オートモティブシステムズ株式会社 | 車両制御装置 |
| JP6487349B2 (ja) * | 2016-01-21 | 2019-03-20 | ヤンマー株式会社 | 診断装置および電力変換装置 |
| JP6469599B2 (ja) * | 2016-01-26 | 2019-02-13 | 日立オートモティブシステムズ株式会社 | メモリ管理システム |
| JP6696216B2 (ja) * | 2016-02-25 | 2020-05-20 | スズキ株式会社 | 運転状況記録装置 |
| JP6922458B2 (ja) * | 2017-06-14 | 2021-08-18 | 株式会社デンソー | 電子制御装置 |
| US12050691B2 (en) * | 2019-07-12 | 2024-07-30 | Hitachi Astemo, Ltd. | Security processing device |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002091834A (ja) * | 2000-09-19 | 2002-03-29 | Nissan Motor Co Ltd | Rom診断装置 |
| JP4184354B2 (ja) * | 2005-03-23 | 2008-11-19 | 三菱電機株式会社 | コントロールユニット |
| JP2006288266A (ja) * | 2005-04-11 | 2006-10-26 | Asahi Kasei Corp | 酵母の融合体の製造方法 |
| JP5453984B2 (ja) * | 2009-07-28 | 2014-03-26 | 富士電機株式会社 | Ram診断装置、そのプログラム |
| JP5397273B2 (ja) * | 2010-03-01 | 2014-01-22 | 日本精工株式会社 | 電動パワーステアリング装置 |
| JP5464128B2 (ja) * | 2010-11-12 | 2014-04-09 | 富士電機株式会社 | Ram故障診断装置、そのプログラム |
-
2013
- 2013-07-22 JP JP2013151568A patent/JP6145345B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015022622A (ja) | 2015-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6145345B2 (ja) | 自動車用電子制御装置 | |
| EP3663921B1 (en) | Workload repetition redundancy | |
| JP4420944B2 (ja) | 車載エンジン制御装置 | |
| US20150175170A1 (en) | Electronic control unit | |
| US7877637B2 (en) | Multicore abnormality monitoring device | |
| CN103309344B (zh) | 验证安全关键的交通工具控制系统的完整性的系统和方法 | |
| EP3198725B1 (en) | Programmable ic with safety sub-system | |
| CN107077407B (zh) | 车辆控制装置 | |
| WO2011114493A1 (ja) | マイコン相互監視システム及びマイコン相互監視方法 | |
| Alcaide et al. | High-integrity gpu designs for critical real-time automotive systems | |
| CN109558277B (zh) | 微控制器及其控制方法 | |
| Alcaide et al. | Software-only diverse redundancy on GPUs for autonomous driving platforms | |
| JP2015108944A (ja) | 車両用電子制御装置 | |
| CN110140112B (zh) | 锁步系统的周期性非侵入性诊断 | |
| Alhakeem et al. | A framework for adaptive software-based reliability in COTS many-core processors | |
| US9384078B2 (en) | Method for diagnosing a mechanism of untimely cut-offs of the power supply to a motor vehicle computer | |
| US10191793B2 (en) | Microprocessor device with reset timer | |
| JP2012068788A (ja) | 情報処理装置、異常検出方法 | |
| El-Bayoumi | An enhanced algorithm for memory systematic faults detection in multicore architectures suitable for mixed-critical automotive applications | |
| JP5872982B2 (ja) | 車両用制御装置 | |
| Venu et al. | A fail-functional automotive CPU subsystem architecture for mitigating single point of failures | |
| US9772897B1 (en) | Methods and systems for improving safety of processor system | |
| Shubinsky | Methods of software functional dependability assurance | |
| US20220222135A1 (en) | Electronic control device | |
| JP6466269B2 (ja) | 電子制御装置及びスタック領域の使用監視方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160411 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170119 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170221 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170411 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170509 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170515 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6145345 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |