JP2012006535A - In-vehicle electronic control device - Google Patents
In-vehicle electronic control device Download PDFInfo
- Publication number
- JP2012006535A JP2012006535A JP2010145963A JP2010145963A JP2012006535A JP 2012006535 A JP2012006535 A JP 2012006535A JP 2010145963 A JP2010145963 A JP 2010145963A JP 2010145963 A JP2010145963 A JP 2010145963A JP 2012006535 A JP2012006535 A JP 2012006535A
- Authority
- JP
- Japan
- Prior art keywords
- microcomputer
- abnormality
- signal
- reset signal
- output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
Description
本発明は、自動車などの車両における機器を制御する複数のマイクロコンピュータを備えた電子制御装置である車載電子制御装置に関するものである。 The present invention relates to an in-vehicle electronic control device that is an electronic control device including a plurality of microcomputers that control devices in a vehicle such as an automobile.
従来、車両(自動車)の高機能化に伴い、昨今の車両に搭載された電子制御装置(ECU:Electronic Control Unit)は、複数のマイクロコンピュータ(以下、マイコンと略記する。)を備えることが多い。そして、車載ECUにおいて、複数のマイコンが、走行系の機器、電源系の機器及びその他の機器を制御する。走行系の機器は、例えば、車両におけるエンジン、ステアリング及びブレーキなどの機器である。電源系の機器は、例えば、バッテリからの電力供給ラインに設けられた制御スイッチ及びオルタネータなどの機器である。その他の機器は、例えば、空調機器、オーディオ機器及びカーナビゲーション装置など、車両の居室内の快適性及び利便性に関する機器である。 2. Description of the Related Art Conventionally, with the enhancement of functions of vehicles (automobiles), electronic control units (ECUs) mounted on recent vehicles often include a plurality of microcomputers (hereinafter abbreviated as microcomputers). . In the in-vehicle ECU, a plurality of microcomputers control the travel system devices, the power system devices, and other devices. The traveling system devices are, for example, devices such as an engine, a steering, and a brake in a vehicle. The power system devices are devices such as a control switch and an alternator provided in a power supply line from the battery, for example. The other devices are devices related to comfort and convenience in a vehicle cabin such as an air conditioner, an audio device, and a car navigation device, for example.
車載ECUにおいて、各種のノイズに起因してマイコンの主メモリのデータの一部に異常が生じることにより、マイコンが異常動作をする場合がある。そのため、従来の車載ECUは、マイコンの動作が正常であるか否かを監視し、動作が異常なマイコンに対してリセット信号を出力する異常制御回路を備える。 In an in-vehicle ECU, an abnormal operation may occur in a part of data in a main memory of the microcomputer due to various noises, and the microcomputer may operate abnormally. Therefore, the conventional vehicle-mounted ECU includes an abnormality control circuit that monitors whether the operation of the microcomputer is normal and outputs a reset signal to the microcomputer that is operating abnormally.
異常制御回路は、マイコンから周期的に出力される正常動作信号が、予め定められた周期で発生するか否かを監視する。正常動作信号は、例えば、ウォッチドッグクリア信号などと称される。さらに、異常制御回路は、正常動作信号が予め定められた周期で発生しなかった場合に、マイコンに対してリセット信号を出力する。一方、リセット信号が供給されたマイコンは、リセット処理を実行する。このリセット処理の実行により、マイコンは、正常に動作する状態へ復帰することが多い。 The abnormality control circuit monitors whether or not a normal operation signal periodically output from the microcomputer is generated at a predetermined cycle. The normal operation signal is referred to as a watchdog clear signal, for example. Further, the abnormality control circuit outputs a reset signal to the microcomputer when the normal operation signal is not generated at a predetermined cycle. On the other hand, the microcomputer supplied with the reset signal executes reset processing. By executing this reset process, the microcomputer often returns to a normal operating state.
ところで、車載ECUにおいて、安全の観点からは、走行系の機器及び電源系の機器などの重要な機器を制御するマイコンについて、異常制御回路の機能を二重化することが望ましい。しかしながら、1つのマイコンに対して複数の異常制御回路を設けることは、省電力化及び低コスト化の観点においては好ましくない。 By the way, in the vehicle-mounted ECU, from the viewpoint of safety, it is desirable to duplicate the function of the abnormality control circuit for a microcomputer that controls important devices such as a traveling device and a power supply device. However, it is not preferable to provide a plurality of abnormality control circuits for one microcomputer in terms of power saving and cost reduction.
一方、特許文献1には、走行系の機器を制御する第1のマイコンの異常を監視する機能が、異常制御回路と、走行系の機器以外の機器を制御する第2のマイコンとによって二重化された車載ECUが示されている。特許文献1に示される車載ECUにおいては、異常制御回路から出力されるリセット信号と第2のマイコンから出力されるリセット信号との論理和の信号が、第1のマイコンに対してリセット信号として供給される。この車載ECUにより、重要な第1のマイコンに関する異常監視機能の二重化と、省電力化及び低コスト化との両立が可能となる。
On the other hand, in
ところで、特許文献1に示される車載ECUにおいては、第1のマイコンを監視する第2のマイコンは、ノイズなどに起因して異常な動作をする場合がある。その場合、第2のマイコンは、これを監視する監視制御回路によってリセットされる前に、第1のマイコンに対して不必要なリセット信号を出力してしまう。即ち、特許文献1に示される車載ECUは、第2のマイコンの異常動作により、第1のマイコンに対して不必要なリセット信号が供給されるという問題点を有している。
By the way, in the vehicle-mounted ECU shown in
車載ECUにおいて、重要なマイコンは、リセット処理の最中においてフェールセーフな信号出力が行われるよう構成されている。しかしながら、マイコンは、リセット処理の最中において有効な制御を実行できない。従って、車載ECUにおいて、走行系の機器及び電源系の機器などを制御する重要なマイコンは、安全上、不必要なリセット処理の実行は極力回避されることが望ましい。 In the in-vehicle ECU, an important microcomputer is configured so that fail-safe signal output is performed during the reset process. However, the microcomputer cannot execute effective control during the reset process. Therefore, in an in-vehicle ECU, it is desirable that an important microcomputer that controls a traveling device, a power supply device, and the like avoid unnecessary execution of reset processing as much as possible.
本発明は、第1のマイコンの異常を監視する機能が、異常制御回路と第2のマイコンとによって二重化された車載電子制御装置において、第2のマイコンの動作に異常が生じた場合でも、不要なリセット信号が第2のマイコンから第1のマイコンへ供給されないことを目的とする。 The present invention does not require the function of monitoring the abnormality of the first microcomputer even if an abnormality occurs in the operation of the second microcomputer in the in-vehicle electronic control device in which the abnormality control circuit and the second microcomputer are duplicated. An object is to prevent a reset signal from being supplied from the second microcomputer to the first microcomputer.
本発明に係る車載電子制御装置は、以下に示す各構成要素を備える。
(1)第1の構成要素は、車両の機器を制御しつつ第1の正常動作信号を周期的に出力する第1のマイコンである。
(2)第2の構成要素は、第1の正常動作信号の出力の異常を検出して異常が検出された際に第1のマイコンに対するリセット信号を出力する第1の異常制御回路である。
(3)第3の構成要素は、車両の機器を制御しつつ第2の正常動作信号を周期的に出力するとともに、予め定められた異常監視プログラムを実行することにより、第1の正常動作信号の出力の異常を検出して異常が検出された際に第1のマイコンに対するリセット信号を出力する第2のマイコンである。
(4)第4の構成要素は、第2の正常動作信号の出力の異常を検出して異常が検出された際に第2のマイコンに対してリセット信号を供給する第2の異常制御回路である。
(5)第5の構成要素は、第2のマイコンから出力されるリセット信号に対し、第2のマイコンによる異常監視プログラムの実行に異常が生じることにより発生する非アクティブ状態からアクティブ状態への信号変化を無効化する処理を施す不正信号無効化部である。
(6)第6の構成要素は、第2のマイコンから出力されて不正信号無効化部を経たリセット信号と第1の異常制御回路から出力されたリセット信号との論理和の信号を第1のマイコンに対してリセット信号として供給する論理和回路である。
The on-vehicle electronic control device according to the present invention includes the following components.
(1) The first component is a first microcomputer that periodically outputs a first normal operation signal while controlling a vehicle device.
(2) The second component is a first abnormality control circuit that detects an abnormality in the output of the first normal operation signal and outputs a reset signal to the first microcomputer when the abnormality is detected.
(3) The third constituent element periodically outputs the second normal operation signal while controlling the equipment of the vehicle, and executes a predetermined abnormality monitoring program to thereby execute the first normal operation signal. The second microcomputer outputs a reset signal to the first microcomputer when the abnormality is detected and the abnormality is detected.
(4) The fourth component is a second abnormality control circuit that detects an abnormality in the output of the second normal operation signal and supplies a reset signal to the second microcomputer when the abnormality is detected. is there.
(5) The fifth component is a signal from the inactive state to the active state that is generated when an abnormality occurs in the execution of the abnormality monitoring program by the second microcomputer with respect to the reset signal output from the second microcomputer. It is a fraudulent signal invalidation part which performs the process which invalidates a change.
(6) The sixth component outputs a logical sum signal of the reset signal output from the second microcomputer and passed through the invalid signal invalidation unit and the reset signal output from the first abnormality control circuit. This is an OR circuit that supplies the microcomputer as a reset signal.
また、本発明に係る車載電子制御装置において、不正信号無効化部は、例えば、以下に示される遅延回路である。その遅延回路は、異常監視プログラムの実行によって第2のマイコンから出力されるリセット信号に対し、非アクティブ状態からアクティブ状態への信号変化のみを、第2の異常制御回路による第2の正常動作信号の出力の異常の検出に要する時間よりも長く遅延させる処理を施す回路である。 In the in-vehicle electronic control device according to the present invention, the illegal signal invalidation unit is, for example, a delay circuit shown below. The delay circuit receives only the signal change from the inactive state to the active state with respect to the reset signal output from the second microcomputer by the execution of the abnormality monitoring program, and the second normal operation signal by the second abnormality control circuit. This is a circuit that performs a process of delaying longer than the time required to detect the output abnormality.
また、本発明に係る車載電子制御装置において、第2のマイコンは、その第2のマイコンの主メモリにおける各々異なるメモリ領域を用いる第1の異常監視プログラム及び第2の異常監視プログラムを実行することが考えられる。この場合、不正信号無効化部は、以下に示す2つの構成要素を含む。その構成要素の1つ目は、第2の異常監視プログラムを実行する第2のマイコンである。また、その構成要素の2つ目は、第1の異常監視プログラムの実行により第2のマイコンから出力される第1のリセット信号と第2の異常監視プログラムの実行により第2のマイコンから出力される第2のリセット信号との論理積の信号を論理和回路へ供給する論理積回路である。 In the on-vehicle electronic control device according to the present invention, the second microcomputer executes the first abnormality monitoring program and the second abnormality monitoring program using different memory areas in the main memory of the second microcomputer. Can be considered. In this case, the illegal signal invalidation unit includes the following two components. The first of the constituent elements is a second microcomputer that executes a second abnormality monitoring program. The second component is the first reset signal output from the second microcomputer by the execution of the first abnormality monitoring program and the second microcomputer output by the execution of the second abnormality monitoring program. A logical product circuit that supplies a logical product signal to the logical sum circuit.
本発明によれば、不正信号無効化部の作用により、第2のマイコンによる異常監視プログラムの実行に異常が生じた場合に、第2のマイコンから出力されるリセット信号に対し、非アクティブ状態からアクティブ状態への信号変化を無効化する処理が施される。 According to the present invention, when an abnormality occurs in the execution of the abnormality monitoring program by the second microcomputer due to the operation of the invalid signal invalidating unit, the reset signal output from the second microcomputer is changed from the inactive state. Processing for invalidating the signal change to the active state is performed.
例えば、不正信号無効化部が、前述した遅延回路である場合、その遅延回路の出力信号(リセット信号)における非アクティブ状態からアクティブ状態への信号変化は、第2のマイコンから出力されるリセット信号における同じ信号変化に対し、一定時間遅れて発生する。その遅延時間は、第2の異常制御回路による第2の正常動作信号の出力の異常の検出に要する時間よりも長い時間である。 For example, when the invalid signal invalidating unit is the delay circuit described above, the signal change from the inactive state to the active state in the output signal (reset signal) of the delay circuit is a reset signal output from the second microcomputer. Occurs with a certain time delay with respect to the same signal change in. The delay time is longer than the time required for detecting the abnormality of the output of the second normal operation signal by the second abnormality control circuit.
ここで、第1のマイコンが正常であるにも関わらず、第2のマイコンによる異常監視プログラムの実行に異常が生じることにより、第2のマイコンが、非アクティブ状態からアクティブ状態へ変化する不要なリセット信号を出力した場合を考える。この場合、遅延回路の作用によってその信号変化に対して遅延処理が施されている間に、第2の異常制御回路は、第2のマイコンの異常を検出してリセット信号を出力する。 Here, although the first microcomputer is normal, an abnormality occurs in the execution of the abnormality monitoring program by the second microcomputer, so that the second microcomputer is not required to change from the inactive state to the active state. Consider a case where a reset signal is output. In this case, the second abnormality control circuit detects an abnormality of the second microcomputer and outputs a reset signal while delay processing is performed on the signal change by the action of the delay circuit.
さらに、第2のマイコンは、遅延回路によってリセット信号に対する遅延処理が施されている間に、第2の異常制御回路からのリセット信号によってリセット処理を実行する。これにより、第2のマイコンは、正常状態に復帰するとともに、不要なリセット信号の出力を停止する。そのため、第2のマイコンから出力されるリセット信号は、アクティブ状態から非アクティブ状態へ変化し、遅延回路の出力信号(リセット信号)は非アクティブ状態のまま保持される。 Further, the second microcomputer executes the reset process by the reset signal from the second abnormality control circuit while the delay circuit performs the delay process on the reset signal. Thereby, the second microcomputer returns to a normal state and stops outputting an unnecessary reset signal. Therefore, the reset signal output from the second microcomputer changes from the active state to the inactive state, and the output signal (reset signal) of the delay circuit is held in the inactive state.
即ち、第2のマイコンよる異常監視プログラムの実行に異常が生じることによって第2のマイコンから出力されるリセット信号(アクティブ状態の信号)は、遅延回路によって無効化される。そのため、第2のマイコンの動作に異常が生じた場合でも、不要なリセット信号が第2のマイコンから第1のマイコンへ供給されない。 That is, the reset signal (active signal) output from the second microcomputer when the abnormality occurs in the execution of the abnormality monitoring program by the second microcomputer is invalidated by the delay circuit. For this reason, even if an abnormality occurs in the operation of the second microcomputer, an unnecessary reset signal is not supplied from the second microcomputer to the first microcomputer.
また、第2の異常制御回路の異常によって第2の異常制御回路からリセット信号が出力されない状況下において、正常な第2のマイコンは、第1のマイコンの異常を検出して第1のマイコンに対するリセット信号(アクティブ状態の信号)を出力する。この場合、第2のマイコンから出力されるアクティブ状態のリセット信号は、遅延回路によって一定時間の遅延の後に論理和回路を通じて第1のマイコンへ供給される。即ち、第2の異常制御回路と、異常監視プログラムを実行する正常な第2のマイコンとは、第1のマイコンの異常監視機能の二重化を実現する。 In a situation where the reset signal is not output from the second abnormality control circuit due to the abnormality of the second abnormality control circuit, the normal second microcomputer detects the abnormality of the first microcomputer and detects the abnormality with respect to the first microcomputer. A reset signal (active signal) is output. In this case, the reset signal in the active state output from the second microcomputer is supplied to the first microcomputer through the OR circuit after being delayed for a predetermined time by the delay circuit. That is, the second abnormality control circuit and the normal second microcomputer that executes the abnormality monitoring program realize the dual abnormality monitoring function of the first microcomputer.
一方、不正信号無効化部が、前述した第2の異常監視プログラムを実行する第2のマイコンと論理積回路とを含む場合、第2のマイコンよる異常監視プログラムの実行に異常が生じることによって第2のマイコンから出力される不要な第1のリセット信号(アクティブ状態の信号)は、以下に示される作用によって無効化される。以下、その理由を説明する。 On the other hand, when the invalid signal invalidation unit includes the second microcomputer for executing the second abnormality monitoring program and the AND circuit, the first microcomputer causes an abnormality in the execution of the abnormality monitoring program by the second microcomputer. The unnecessary first reset signal (active signal) output from the second microcomputer is invalidated by the following action. The reason will be described below.
第2のマイコンの動作が正常である場合、第2のマイコンによる複数の異常監視プログラムの実行により出力される複数のリセット信号の状態(アクティブ状態又は非アクティブ状態)は同じとなる。そのため、それら複数のリセット信号が入力される論理積回路の出力信号(リセット信号)は、複数の異常監視プログラムの実行により出力される正常なリセット信号と同じ信号となる。 When the operation of the second microcomputer is normal, the states (active state or inactive state) of the plurality of reset signals output by the execution of the plurality of abnormality monitoring programs by the second microcomputer are the same. For this reason, the output signal (reset signal) of the AND circuit to which the plurality of reset signals are input is the same signal as the normal reset signal output by executing the plurality of abnormality monitoring programs.
一方、第2のマイコンの動作に異常が生じた場合、第2のマイコンによる複数の異常監視プログラムの実行により出力される複数のリセット信号の状態は異なる可能性が高い。そのため、第1の異常監視プログラムに対応するリセット信号が不正にアクティブ状態へ変化してしまった場合でも、第2の異常監視プログラムに対応するリセット信号が非アクティブ状態まま保持され、論理積回路の出力信号(リセット信号)は、非アクティブ信号のまま保持される可能性が高い。 On the other hand, when an abnormality occurs in the operation of the second microcomputer, there is a high possibility that the states of the plurality of reset signals output by the execution of the plurality of abnormality monitoring programs by the second microcomputer are different. Therefore, even if the reset signal corresponding to the first abnormality monitoring program is illegally changed to the active state, the reset signal corresponding to the second abnormality monitoring program is held in the inactive state, and the AND circuit The output signal (reset signal) is likely to be held as an inactive signal.
即ち、第2のマイコンよる第1の異常監視プログラムの実行に異常が生じることによって第2のマイコンから出力される第1のリセット信号(アクティブ状態の信号)は、第2の異常監視プログラムを実行する第2のマイコン及び論理積回路によって無効化される。そのため、第2のマイコンの動作に異常が生じた場合でも、不要なリセット信号が第2のマイコンから第1のマイコンへ供給されない。 That is, the first reset signal (active signal) output from the second microcomputer when an abnormality occurs in the execution of the first abnormality monitoring program by the second microcomputer executes the second abnormality monitoring program. Disabled by the second microcomputer and the AND circuit. For this reason, even if an abnormality occurs in the operation of the second microcomputer, an unnecessary reset signal is not supplied from the second microcomputer to the first microcomputer.
なお、複数の異常監視プログラムにおける第1の異常監視プログラム及び第2の異常監視プログラムの区分は、不正信号無効化部として不正なリセット信号を無効化する側と出力したリセット信号が無効化される側とを区別するための便宜上の区分である。従って、複数の異常監視プログラムのうちのいずれが第2の異常監視プログラムとして機能するかは状況に応じて変わり得る。 The first abnormality monitoring program and the second abnormality monitoring program in the plurality of abnormality monitoring programs are classified into the invalid signal invalidation unit as the invalid signal invalidation unit, and the output reset signal is invalidated. It is a division for convenience to distinguish the side. Therefore, which of the plurality of abnormality monitoring programs functions as the second abnormality monitoring program can vary depending on the situation.
また、第2の異常制御回路の異常によって第2の異常制御回路からリセット信号が出力されない状況下において、正常な第2のマイコンは、第1のマイコンの異常を検出して第1のマイコンに対する第1のリセット信号及び第2のリセット信号をアクティブ状態の信号として出力する。この場合、第2のマイコンから出力されるアクティブ状態の2つのリセット信号の論理積の信号もアクティブ状態の信号となり、その信号が論理和回路を通じて第1のマイコンへ供給される。即ち、第2の異常制御回路と、第1異常監視プログラム及び第2異常監視プログラムを実行する正常な第2のマイコンとは、第1のマイコンの異常監視機能の二重化を実現する。 In a situation where the reset signal is not output from the second abnormality control circuit due to the abnormality of the second abnormality control circuit, the normal second microcomputer detects the abnormality of the first microcomputer and detects the abnormality with respect to the first microcomputer. The first reset signal and the second reset signal are output as active state signals. In this case, the logical product of the two reset signals in the active state output from the second microcomputer is also an active signal, and the signal is supplied to the first microcomputer through the logical sum circuit. That is, the second abnormality control circuit and the normal second microcomputer that executes the first abnormality monitoring program and the second abnormality monitoring program realize a dual abnormality monitoring function of the first microcomputer.
以下、添付の図面を参照しながら、本発明の実施形態及び実施例について説明する。以下の実施形態は、本発明を具体化した一例であって、本発明の技術的範囲を限定するものではない。 Hereinafter, embodiments and examples of the present invention will be described with reference to the accompanying drawings. The following embodiment is an example embodying the present invention, and does not limit the technical scope of the present invention.
本発明の実施形態及び実施例に係る車載電子制御装置1,1A,1Bは、自動車における機器を制御する複数のマイクロコンピュータを備えた電子制御装置であ。
The on-vehicle
<実施形態>
まず、図1を参照しつつ、本発明の実施形態に係る車載電子制御装置1の構成について説明する。図1に示されるように、車載電子制御装置1は、第1マイコン10、第2マイコン20、第1異常制御回路30、第2異常制御回路40、不正信号無効化部50及び論理和回路60を備えている。
<Embodiment>
First, the configuration of an in-vehicle
第1マイコン10は、自動車における走行系の機器又は電源系の機器などの安全上重要な機器を制御する制御用コンピュータである。第1マイコン10は、第1CPU11(Central Processing Unit)及び第1リセット回路12を備える。
The
第1CPU11は、不図示のROM(Read Only Memory)などの記憶部に予め記憶された制御プログラム11Pを主メモリ11Mに展開し、その制御プログラム11Pを実行することにより、不図示の信号出力ポートを通じて、制御対象の機器に対して制御信号を出力する処理を実行する。主メモリ11Mは、通常、RAM(Random Access Memory)である。
The
さらに、第1CPU11は、車両の機器を制御しつつ、予め定められた周期t11でON/OFFの状態が変化する第1ウォッチドッグクリア信号Sg11を信号出力ポート14を通じて出力する。
Further, the
従って、第1ウォッチドッグクリア信号Sg11が一定の周期t11で変化している状況は、第1マイコン10が正常に動作している状況である。一方、第1ウォッチドッグクリア信号Sg11が、正常に変化した時点からt11よりも長い時間が経過しても変化しない状況は、第1マイコン10がの動作に異常が生じた状況である。即ち、第1ウォッチドッグクリア信号Sg11は、第1マイコン10が周期的に出力する第1の正常動作信号の一例である。
Accordingly, the situation in which the first watchdog clear signal Sg11 changes at a constant period t11 is a situation in which the
なお、第1ウォッチドッグクリア信号Sg11は、第1異常制御回路30と第2マイコン20との両方に供給される。
The first watchdog clear signal Sg11 is supplied to both the first
第1リセット回路12は、リセット信号入力ポート13を通じて入力される第1リセット信号Sg12が非アクティブ状態からアクティブ状態へ変化した場合に、第1マイコン10に含まれる第1CPU11及びその他の回路をリセットする処理を実行する回路である。通常、このリセット処理の実行により、第1マイコン10は正常に動作する状態へ復帰する。
The
第2マイコン20は、自動車における走行系の機器及び電源系の機器などの安全上重要な機器以外の機器を制御する制御用コンピュータである。第2マイコン20は、例えば、空調機器、オーディオ機器及びカーナビゲーション装置など、車両の居室内の快適性及び利便性に関する機器を制御する。第2マイコン20も、第1マイコン10と同様に、第2CPU21及び第2リセット回路22を備える。
The
第2CPU21は、不図示のROMなどの記憶部に予め記憶された制御プログラム21Pを主メモリ21Mに展開し、その制御プログラム21Pを実行することにより、不図示の信号出力ポートを通じて、制御対象の機器に対して制御信号を出力する処理を実行する。主メモリ21Mは、通常、RAMである。
The
さらに、第2CPU21は、車両の機器を制御しつつ、予め定められた周期t21でON/OFFの状態が変化する第2ウォッチドッグクリア信号Sg21を信号出力ポート24を通じて出力する。第2ウォッチドッグクリア信号Sg21は、第1ウォッチドッグクリア信号Sg11と同様の信号である。
Further, the
従って、第2ウォッチドッグクリア信号Sg21が一定の周期t21で変化している状況は、第2マイコン20が正常に動作している状況である。一方、第2ウォッチドッグクリア信号Sg21が、正常に変化した時点からt21よりも長い時間が経過しても変化しない状況は、第2マイコン20がの動作に異常が生じた状況である。即ち、第2ウォッチドッグクリア信号Sg21は、第2マイコン20が周期的に出力する第2の正常動作信号の一例である。
Therefore, the situation in which the second watchdog clear signal Sg21 changes at a constant period t21 is a situation in which the
また、第2CPU21は、不図示のROMなどの記憶部に予め記憶された異常監視プログラム22Pを主メモリ21Mに展開し、その異常監視プログラム22Pを実行する。異常監視プログラム22Pは、信号入力ポート25を通じて入力される第1ウォッチドッグクリア信号Sg11の変化の異常、即ち、第1マイコン10による第1ウォッチドッグクリア信号Sg11の出力の異常を検出し、異常が検出された際に第1マイコン10に対するリセット信号Sg123を出力する異常監視処理を規定するプログラムである。なお、リセット信号Sg123は、第2マイコン20における信号出力ポート26を通じて出力される。
The
第2CPU21による異常監視処理は、第1ウォッチドッグクリア信号Sg11が変化して元に戻るまでの時間が、予め設定された許容時間範囲((t11−Δta)〜(t11+Δtb))から逸脱した場合に、アクティブ状態のリセット信号Sg123を出力する処理である。なお、Δta,Δtbの値は、予め定められる正の値である。
The abnormality monitoring process by the
第2リセット回路22は、リセット信号入力ポート23を通じて入力される第2リセット信号Sg22が非アクティブ状態からアクティブ状態へ変化した場合に、第2マイコン20に含まれる第2CPU21及びその他の回路をリセットする処理を実行する回路である。通常、このリセット処理の実行により、第2マイコン20は正常に動作する状態へ復帰する。
The
第1異常制御回路30は、第1ウォッチドッグタイマ31及び第1異常監視回路32を備える。第1ウォッチドッグタイマ31は、予め定められた周波数で発振する発振素子を備えた計時回路である。第1異常監視回路32は、第1ウォッチドッグタイマ31の計時機能を利用して、第1マイコン10による第1ウォッチドッグクリア信号Sg11の出力の異常を検出し、異常が検出された際に第1マイコン10に対するリセット信号Sg121を出力する異常監視処理を行う回路である。第1異常制御回路30による異常監視処理は、第2CPU21による異常監視処理と同様である。
The first
また、第2異常制御回路40は、第2ウォッチドッグタイマ41及び第2異常監視回路42を備える。第2異常監視回路42は、第2ウォッチドッグタイマ41の計時機能を利用して、第2マイコン20による第2ウォッチドッグクリア信号Sg21の出力の異常を検出し、異常が検出された際に第2マイコン20に対する第2リセット信号Sg22を出力する異常監視処理を行う回路である。リセット信号Sg22は、第2マイコン20におけるリセット信号入力ポート23を通じて、第2リセット回路22に供給される。
The second
第2異常監視回路42による異常監視処理は、第2ウォッチドッグクリア信号Sg21が変化して元に戻るまでの時間が、予め設定された許容時間範囲((t21−Δtc)〜(t21+Δtd))から逸脱した場合に、アクティブ状態の第2リセット信号Sg22を出力する処理である。なお、Δtc,Δtdの値は、予め定められる正の値である。ここで、許容時間範囲の上限時間(t11+Δtd)は、第2異常制御回路40が、第2ウォッチドッグクリア信号Sg21の出力の異常を検出するのに要する時間(最大時間)である。
In the abnormality monitoring process by the second
不正信号無効化部50は、第2マイコン20から出力されるリセット信号Sg123に対し、第2CPU21による異常監視プログラム22Pの実行に異常が生じることにより発生する非アクティブ状態からアクティブ状態への信号変化を無効化する処理を施す。不正信号無効化部50の具体例は後に示す。
The illegal
論理和回路60は、第2マイコン20から出力されて不正信号無効化部50を経たリセット信号Sg122と第1異常制御回路30から出力されたリセット信号Sg121との論理和の信号を、第1マイコン10に対して第1リセット信号Sg12として供給する回路である。
The
<第1実施例>
次に、図2を参照しつつ、本発明の第1実施例に係る車載電子制御装置1Aの構成について説明する。車載電子制御装置1Aは、車載電子制御装置1における不正信号無効化部50をより具体化した構成を備える。図2において、図1に示される構成要素と同じ構成要素は、同じ参照符号が付されている。以下、車載電子制御装置1A(図2)における車載電子制御装置1(図1)からより具体化された点についてのみ説明する。
<First embodiment>
Next, the configuration of the in-vehicle
図2に示されるように、車載電子制御装置1Aは、不正信号無効化部50の一例として遅延回路51を備える。遅延回路51は、異常監視プログラム22Pの実行によって第2マイコン20から出力されるリセット信号Sg123に対し、非アクティブ状態からアクティブ状態への信号変化のみを予め定められた時間t3だけ遅延させる処理を施す回路である。
As illustrated in FIG. 2, the in-vehicle
遅延回路51は、例えば、リセット信号Sg123を時間t3だけ遅延させる遅延素子と、その遅延素子の出力信号とリセット信号Sg123との両方がアクティブ状態であるときのみアクティブ信号を出力する論理積素子とを備える。この場合、論理積素子の出力信号が、不正信号無効化部50を経たリセット信号Sg122としてとして出力される。以下、車載電子制御装置1Aにおけるリセット信号122のことを遅延処理後のリセット信号122と称する。
The
以下、図3から図5に示される各信号のタイムチャートを参照しつつ、車載電子制御装置1Aの動作について説明する。
Hereinafter, the operation of the in-vehicle
図3は、車載電子制御装置1Aにおいて第2マイコン20の動作異常が発生した場合の各信号のタイムチャートの一例である。第2マイコン20の動作異常が発生すると、第2ウォッチドッグクリア信号Sg21は、正常な変化を示した時点P11から、次の信号変化が許容時間範囲((t21−Δtc)〜(t21+Δtd))内に現れない現象が生じる。
FIG. 3 is an example of a time chart of each signal when an abnormal operation of the
図3に示される例は、第2ウォッチドッグクリア信号Sg21が、正常な変化を示した時点P11から、許容時間範囲の上限時間t22(=(t21+Δtd))が経過した時点P13までに、新たな信号変化を示さなかった例である。一方、図3の例において、第1マイコン10の動作は正常であり、第1マイコン10は、一定周期t11で変化する第1ウォッチドッグクリア信号Sg11を出力し続けている。
The example shown in FIG. 3 shows that the second watchdog clear signal Sg21 is newly updated from the time point P11 at which the normal change has occurred until the time point P13 when the upper limit time t22 (= (t21 + Δtd)) of the allowable time range has elapsed. This is an example in which no signal change was shown. On the other hand, in the example of FIG. 3, the operation of the
また、図3に示される例は、第2マイコン20が正常であった時点P11の後の時点P12において、非アクティブ状態からアクティブ状態へ変化するリセット信号Sg123が出力されている。これは、第2マイコン20による異常監視プログラム22Pの実行に異常が生じたことにより、時点P12において、第1マイコン10の動作が正常であるにも関わらず、第2マイコン20が不正なリセット信号Sg123を出力してしまったことを示している。
In the example shown in FIG. 3, the reset signal Sg123 that changes from the inactive state to the active state is output at a time point P12 after the time point P11 when the
車載電子制御装置1Aにおいては、第2ウォッチドッグクリア信号Sg21が、正常な変化を示した時点P11から、許容時間範囲の上限時間t22が経過した時点P13において、第2異常監視回路42は、第2マイコン20の動作異常を検知し、アクティブ状態の第2リセット信号Sg22を出力する。
In the in-vehicle
さらに、アクティブ状態の第2リセット信号Sg22を受けた第2リセット回路22は、第2マイコン20のリセット処理を実行し、その後の時点P14以降において、第2マイコン20は正常に動作する状態へ復帰する。
Further, the
なお、第2異常監視回路42が第2リセット信号Sg22をアクティブ状態に保持する時間t23は、第2リセット回路22が、第2リセット信号Sg22をリセット処理開始のトリガとして検出するのに要する時間である。
The time t23 for the second
また、第2マイコン20がリセット処理を開始した時点P13において、第2マイコン20から不正に出力されたアクティブ状態のリセット信号Sg123は、非アクティブ状態へ戻る。
In addition, at the time P13 when the
また、車載電子制御装置1Aにおいて、遅延回路51が出力する遅延処理後のリセット信号Sg122における非アクティブ状態からアクティブ状態への信号変化は、第2マイコン20から出力されるリセット信号Sg123における非アクティブ状態からアクティブ状態への信号変化に対し、一定時間t3だけ遅れて発生する。その遅延時間t3は、第2異常制御回路40が第2ウォッチドッグクリア信号Sg21の出力の異常を検出するのに要する時間t22よりも長い(t3>t22)。
In the in-vehicle
従って、第2マイコン20から出力される不正なリセット信号Sg123は、遅延回路51によって遅延処理が施されている間に、アクティブ状態から非アクティブ状態へ戻る。その結果、遅延回路51から出力される遅延処理後のリセット信号Sg122は、非アクティブ状態に保持される。即ち、不要なリセット信号Sg123の出力は、遅延回路51によって無効化される。
Therefore, the illegal reset signal Sg123 output from the
また、第1マイコン10の動作が正常であるため、第1異常監視回路32は、出力するリセット信号Sg121を非アクティブ状態に保持する。従って、論理和回路60は、第1マイコン10に対して供給される第1リセット信号Sg12を非アクティブ状態のまま保持する。
Further, since the operation of the
以上に示したように、車載電子制御装置1Aにおいては、第2マイコン20の動作異常により、第2マイコン20から不正なリセット信号Sg123が出力されてしまった場合でも、第1マイコン10に対して不要な第1リセット信号Sg12が供給されることが回避される。
As described above, in the in-vehicle
次に、図4に示されるタイムチャートについて説明する。図4は、車載電子制御装置1Aにおいて第1マイコン10の動作異常が発生した場合の各信号のタイムチャートの一例である。
Next, the time chart shown in FIG. 4 will be described. FIG. 4 is an example of a time chart of each signal when an abnormal operation of the
図4に示される例は、第1ウォッチドッグクリア信号Sg11が、正常な変化を示した時点P21から、許容時間範囲の上限時間t12(=(t11+Δtb))が経過した時点P22までに、新たな信号変化を示さなかった例である。一方、図4の例において、第2マイコン20の動作は正常であり、第2マイコン20は、一定周期t21で変化する第2ウォッチドッグクリア信号Sg21を出力し続けている。
In the example shown in FIG. 4, the first watchdog clear signal Sg11 is newly updated from the time point P21 at which normal change has occurred until the time point P22 when the upper limit time t12 (= (t11 + Δtb)) of the allowable time range has elapsed. This is an example in which no signal change was shown. On the other hand, in the example of FIG. 4, the operation of the
車載電子制御装置1Aにおいては、第1ウォッチドッグクリア信号Sg11が、正常な変化を示した時点P21から、許容時間範囲の上限時間t12が経過した時点P22において、第1異常監視回路32は、第1マイコン10の動作異常を検知し、アクティブ状態のリセット信号Sg121を出力する。
In the in-vehicle
さらに、アクティブ状態のリセット信号Sg121が入力された論理和回路60は、アクティブ状態のリセット信号Sg121が入力された時点P22から、第1リセット回路12に対してアクティブ状態の第1リセット信号Sg12を供給する。
Further, the
さらに、アクティブ状態の第1リセット信号Sg12を受けた第1リセット回路12は、第1マイコン10のリセット処理を実行し、その後の時点P23以降において、第1マイコン10は正常に動作する状態へ復帰する。
Further, the
なお、第1異常監視回路32がリセット信号Sg121をアクティブ状態に保持する時間t23は、第1リセット回路12が、第1リセット信号Sg12をリセット処理開始のトリガとして検出するのに要する時間である。
The time t23 for the first
一方、正常な第2マイコン20も、第1ウォッチドッグクリア信号Sg11が、正常な変化を示した時点P21から、許容時間範囲の上限時間t12が経過した時点P22において、第1マイコン10の動作異常を検知し、アクティブ状態のリセット信号Sg123を出力する。
On the other hand, the normal
しかしながら、第2マイコン20から出力されたアクティブ状態のリセット信号Sg123が、遅延回路51によって遅延処理が施されている間、即ち、時点P22から遅延時間t3が経過するまでの間に、第1マイコン10は正常に動作する状態へ復帰する(時点P24)。
However, while the reset signal Sg123 in the active state output from the
そのため、第2マイコン20は、遅延回路51によって遅延処理が施されている間に、正常動作に復帰した第1マイコン10から出力される第1ウォッチドッグクリア信号Sg11の変化を検出し、リセット信号Sg123をアクティブ状態から非アクティブ状態へ戻す。その結果、遅延回路51から出力される遅延処理後のリセット信号Sg122は、非アクティブ状態に保持される。
Therefore, the
次に、図5に示されるタイムチャートについて説明する。図5は、車載電子制御装置1Aにおいて第1マイコン10の動作異常及び第2異常制御回路40の異常が重複して発生した場合の各信号のタイムチャートの一例である。
Next, the time chart shown in FIG. 5 will be described. FIG. 5 is an example of a time chart of each signal when the operation abnormality of the
図5に示される例は、第1ウォッチドッグクリア信号Sg11が、正常な変化を示した時点P31から、許容時間範囲の上限時間t12(=(t11+Δtb))が経過した時点P32までに、新たな信号変化を示さなかった例である。一方、図5の例において、第2マイコン20の動作は正常であり、第2マイコン20は、一定周期t21で変化する第2ウォッチドッグクリア信号Sg21を出力し続けている。
The example shown in FIG. 5 shows that the first watchdog clear signal Sg11 has a new change from the time point P31 at which the normal change has occurred to the time point P32 when the upper limit time t12 (= (t11 + Δtb)) of the allowable time range has elapsed. This is an example in which no signal change was shown. On the other hand, in the example of FIG. 5, the operation of the
第1異常監視回路32が異常である場合、第1ウォッチドッグクリア信号Sg11が正常な変化を示した時点P31から、許容時間範囲の上限時間t12が経過した時点P32においても、第1異常監視回路32は、第1マイコン10の動作異常を検知できず、アクティブ状態のリセット信号Sg121を出力できない。
When the first
一方、正常な第2マイコン20は、第1ウォッチドッグクリア信号Sg11が正常な変化を示した時点P31から、許容時間範囲の上限時間t12が経過した時点P32において、第1マイコン10の動作異常を検知し、アクティブ状態のリセット信号Sg123を出力する。ここで、第2マイコン20における第2CPU21は、異常監視プログラム22Pに従って、リセット信号Sg123を時間t4の間、アクティブ状態に保持する。この保持時間t4は、遅延回路51の遅延時間t3と第1マイコン10のリセット処理を開始させるために必要な時間t23とを加算した時間である(t4=t3+t23)。
On the other hand, the normal
そして、正常な第2マイコン20がアクティブ状態のリセット信号Sg123を正しく出力した時点P32から、遅延時間t3を経過した時点P33から、遅延処理後のリセット信号Sg122がアクティブ状態に変化する。そして、遅延処理後のリセット信号Sg122は、時間t23(=t4−t3)の間、アクティブ状態に保持される。
Then, the delay reset signal Sg122 changes to the active state from the time point P32 when the normal
さらに、アクティブ状態の遅延処理後のリセット信号Sg122が入力された論理和回路60は、アクティブ状態の遅延処理後のリセット信号Sg122が入力された時点P33から、第1リセット回路12に対してアクティブ状態の第1リセット信号Sg12を供給する。
Further, the
さらに、アクティブ状態の第1リセット信号Sg12を受けた第1リセット回路12は、第1マイコン10のリセット処理を実行し、その後の時点P34以降において、第1マイコン10は正常に動作する状態へ復帰する。
Further, the
図3から図5に示されるように、車載電子制御装置1Aにおいて、第2異常制御回路40と、異常監視プログラム22Pを実行する正常な第2マイコン20とは、第1マイコン10の異常監視機能の二重化を実現する。
As shown in FIGS. 3 to 5, in the in-vehicle
<第2実施例>
次に、図6を参照しつつ、本発明の第2実施例に係る車載電子制御装置1Bの構成について説明する。車載電子制御装置1Bは、車載電子制御装置1における不正信号無効化部50をより具体化した構成を備える。図6において、図1に示される構成要素と同じ構成要素は、同じ参照符号が付されている。以下、車載電子制御装置1B(図6)における車載電子制御装置1(図1)からより具体化された点についてのみ説明する。
<Second embodiment>
Next, the configuration of the in-vehicle
車載電子制御装置1Bにおいて、第2マイコン20の第2CPU21は、その主メモリ21Mにおける各々異なるメモリ領域を用いる2つの異常監視プログラム22P,23Pを実行する。なお、複数の異常監視プログラム22P,23Pに従って実行される異常監視処理の内容は同じである。以下、便宜上、一方のプログラムを第1異常監視プログラム22Pと称し、他方のプログラムを第2異常監視プログラム23Pと称する。
In the in-vehicle
第2マイコン20において、第2CPU21は、第1異常監視プログラム22Pを実行することにより、信号出力ポート26を通じてリセット信号Sg123を出力する。また、第2CPU21は、第2異常監視プログラム23Pを実行することにより、信号出力ポート27を通じてもう1つのリセット信号Sg124を出力する。
In the
また、車載電子制御装置1Bは、第1異常監視プログラム22Pの実行により出力されるリセット信号Sg123と、第2異常監視プログラム23Pの実行により出力されるリセット信号Sg124との論理積の信号Sg122を出力する論理積回路52を備える。論理積回路52は、2つの異常監視プログラム22P,23P各々に対応する2つのリセット信号Sg123,Sg124の両方がアクティブ状態である場合にのみ、出力信号Sg122をアクティブ状態にする。
The on-vehicle
車載電子制御装置1Bにおいては、不正信号無効化部50は、第2異常監視プログラム22Pを実行する第2CPU21と論理積回路52とにより構成される。
In the in-vehicle
以下、図7から図9に示される各信号のタイムチャートを参照しつつ、車載電子制御装置1Bの動作について説明する。
Hereinafter, the operation of the in-vehicle
図7は、車載電子制御装置1Bにおいて第2マイコン20の動作異常が発生した場合の各信号のタイムチャートの一例である。第2マイコン20の動作異常が発生すると、第2ウォッチドッグクリア信号Sg21は、正常な変化を示した時点P41から、次の信号変化が許容時間範囲((t21−Δtc)〜(t21+Δtd))内に現れない現象が生じる。
FIG. 7 is an example of a time chart of each signal when an abnormal operation of the
図7に示される例は、第2ウォッチドッグクリア信号Sg21が、正常な変化を示した時点P41から、許容時間範囲の上限時間t22(=(t21+Δtd))が経過した時点P43までに、新たな信号変化を示さなかった例である。一方、図7の例において、第1マイコン10の動作は正常であり、第1マイコン10は、一定周期t11で変化する第1ウォッチドッグクリア信号Sg11を出力し続けている。
The example shown in FIG. 7 shows that the second watchdog clear signal Sg21 has a new change from the time point P41 at which the normal change has occurred until the time point P43 when the upper limit time t22 (= (t21 + Δtd)) of the allowable time range has elapsed. This is an example in which no signal change was shown. On the other hand, in the example of FIG. 7, the operation of the
また、図7に示される例は、時点P11の後に第2マイコン20の動作異常が生じている状況下において、第2マイコン20から出力される2つのリセット信号のうち、一方のリセット信号Sg123が時点P42において非アクティブ状態からアクティブ状態へ変化しているが、他方のリセット信号Sg124は非アクティブ状態のまま保持されている。これは、第2マイコン20の動作異常が生じたことにより、第1異常監視プログラム22Pの実行結果(リセット信号Sg123)と、第2異常監視プログラム23Pの実行結果(リセット信号Sg124)とが異なってしまったことを示している。
Further, in the example shown in FIG. 7, one reset signal Sg123 out of two reset signals output from the
従って、第1異常監視プログラム22Pに対応するリセット信号Sg123はアクティブ状態であるが、論理積回路52の出力信号Sg122(リセット信号)は、非アクティブ状態のまま保持される。
Accordingly, the reset signal Sg123 corresponding to the first
マイコンにおいて、同じ処理を行う複数のプログラムが、主メモリの異なるメモリ領域を使用して並行して実行された場合、そのマイコンの動作が正常である場合、同じ処理を行う複数のプログラムは同じ結果を出力する。一方、マイコンの動作異常が生じた場合、同じ処理を行う複数のプログラム各々が、異なる結果を出力するという現象が生じやすい。車載電子制御装置1Bは、その現象を利用することにより、第1異常監視プログラム22Pによる不正なリセット信号Sg123を、第2異常監視プログラム23Pによるリセット信号Sg124によって無効化する構成を備える。
In a microcomputer, when multiple programs that perform the same processing are executed in parallel using different memory areas in the main memory, if the operation of the microcomputer is normal, multiple programs that perform the same processing have the same result. Is output. On the other hand, when an abnormal operation of the microcomputer occurs, it is likely that a plurality of programs that perform the same process output different results. The on-vehicle
即ち、第2マイコン20よる第1異常監視プログラム22Pの実行に異常が生じることによって第2マイコン20から出力される一方のリセット信号Sg123(アクティブ状態の信号)は、第2異常監視プログラム23Pを実行する第2マイコン20及び論理積回路52によって無効化される。そのため、第1異常監視プログラム22Pの実行に異常が生じた場合でも、不要なリセット信号が第2マイコン20から第1マイコン10へ供給されない。
That is, when an abnormality occurs in the execution of the first
なお、複数の異常監視プログラムにおける第1異常監視プログラム22P及び第2異常監視プログラム23Pの区分は、不正信号無効化部50として不正なリセット信号を無効化する側と出力したリセット信号が無効化される側とを区別するための便宜上の区分である。従って、複数の異常監視プログラムのうちのいずれが第2異常監視プログラム23Pとして機能するかは状況に応じて変わり得る。
The first
また、第2ウォッチドッグクリア信号Sg21が、正常な変化を示した時点P41から、許容時間範囲の上限時間t22が経過した時点P43において、正常な第2異常監視回路42は、第2マイコン20の動作異常を検知し、アクティブ状態の第2リセット信号Sg22を出力する。
In addition, at the time P43 when the upper limit time t22 of the allowable time range has elapsed from the time point P41 at which the second watchdog clear signal Sg21 indicates a normal change, the normal second
さらに、アクティブ状態の第2リセット信号Sg22を受けた第2リセット回路22は、第2マイコン20のリセット処理を実行し、その後の時点P44以降において、第2マイコン20は正常に動作する状態へ復帰する。
Further, the
前述したように、第2異常監視回路42が第2リセット信号Sg22をアクティブ状態に保持する時間t23は、第2リセット回路22が、第2リセット信号Sg22をリセット処理開始のトリガとして検出するのに要する時間である。
As described above, the time t23 during which the second
また、第2マイコン20がリセット処理を開始した時点P43において、第2マイコン20から不正に出力されたアクティブ状態のリセット信号Sg123は、非アクティブ状態へ戻る。
In addition, at the time P43 when the
以上に示したように、車載電子制御装置1Bにおいても、第2マイコン20における一部の異常監視プログラム22Pの実行の異常により、第2マイコン20から不正なリセット信号Sg123が出力されてしまった場合でも、第1マイコン10に対して不要な第1リセット信号Sg12が供給されることが回避される。
As described above, also in the in-vehicle
次に、図8に示されるタイムチャートについて説明する。図8は、車載電子制御装置1Bにおいて第1マイコン10の動作異常が発生した場合の各信号のタイムチャートの一例である。
Next, the time chart shown in FIG. 8 will be described. FIG. 8 is an example of a time chart of each signal when an abnormal operation of the
図8に示される例は、第1ウォッチドッグクリア信号Sg11が、正常な変化を示した時点P51から、許容時間範囲の上限時間t12(=(t11+Δtb))が経過した時点P52までに、新たな信号変化を示さなかった例である。一方、図8の例において、第2マイコン20の動作は正常であり、第2マイコン20は、一定周期t21で変化する第2ウォッチドッグクリア信号Sg21を出力し続けている。
The example shown in FIG. 8 shows that the first watchdog clear signal Sg11 has a new change from the time point P51 at which normal change has occurred until the time point P52 when the upper limit time t12 (= (t11 + Δtb)) of the allowable time range has elapsed. This is an example in which no signal change was shown. On the other hand, in the example of FIG. 8, the operation of the
車載電子制御装置1Bにおいては、第1ウォッチドッグクリア信号Sg11が、正常な変化を示した時点P51から、許容時間範囲の上限時間t12が経過した時点P52において、第1異常監視回路32は、第1マイコン10の動作異常を検知し、アクティブ状態のリセット信号Sg121を出力する。
In the in-vehicle
また、正常な第2マイコン20も、第1ウォッチドッグクリア信号Sg11が正常な変化を示した時点P21から、許容時間範囲の上限時間t12が経過した時点P52において、第1マイコン10の動作異常を検知し、アクティブ状態のリセット信号Sg123,Sg124を出力する。その際、2つの異常監視プログラム22P,23P各々の実行により出力される2つのリセット信号Sg123,Sg124は、同じ変化を示す。
Further, the normal
さらに、アクティブ状態のリセット信号Sg123,Sg124が入力された論理積回路52は、アクティブ状態のリセット信号Sg123,Sg124が入力された時点P52から、論理和回路60に対してアクティブ状態のリセット信号Sg122を供給する。
Further, the
さらに、アクティブ状態のリセット信号Sg121,Sg122が入力された論理和回路60は、アクティブ状態のリセット信号Sg121,Sg122が入力された時点P52から、第1リセット回路12に対してアクティブ状態の第1リセット信号Sg12を供給する。
Further, the
さらに、アクティブ状態の第1リセット信号Sg12を受けた第1リセット回路12は、第1マイコン10のリセット処理を実行し、その後の時点P53以降において、第1マイコン10は正常に動作する状態へ復帰する。
Further, the
なお、第1異常監視回路32がリセット信号Sg121をアクティブ状態に保持する時間t23は、第1リセット回路12が、第1リセット信号Sg12をリセット処理開始のトリガとして検出するのに要する時間である。
The time t23 for the first
次に、図9に示されるタイムチャートについて説明する。図9は、車載電子制御装置1Bにおいて第1マイコン10の動作異常及び第2異常制御回路40の異常が重複して発生した場合の各信号のタイムチャートの一例である。
Next, the time chart shown in FIG. 9 will be described. FIG. 9 is an example of a time chart of each signal when an operation abnormality of the
図9に示される例は、第1ウォッチドッグクリア信号Sg11が、正常な変化を示した時点P61から、許容時間範囲の上限時間t12(=(t11+Δtb))が経過した時点P32までに、新たな信号変化を示さなかった例である。一方、図9の例において、第2マイコン20の動作は正常であり、第2マイコン20は、一定周期t21で変化する第2ウォッチドッグクリア信号Sg21を出力し続けている。
The example shown in FIG. 9 shows that the first watchdog clear signal Sg11 has a new change from the time point P61 at which normal change has occurred to the time point P32 when the upper limit time t12 (= (t11 + Δtb)) of the allowable time range has elapsed. This is an example in which no signal change was shown. On the other hand, in the example of FIG. 9, the operation of the
第1異常監視回路32が異常である場合、第1ウォッチドッグクリア信号Sg11が正常な変化を示した時点P61から、許容時間範囲の上限時間t12が経過した時点P62においても、第1異常監視回路32は、第1マイコン10の動作異常を検知できず、アクティブ状態のリセット信号Sg121を出力できない。
When the first
一方、正常な第2マイコン20は、第1ウォッチドッグクリア信号Sg11が正常な変化を示した時点P61から、許容時間範囲の上限時間t12が経過した時点P62において、第1マイコン10の動作異常を検知し、アクティブ状態の2つのリセット信号Sg123,Sg124を出力する。ここで、第2マイコン20における第2CPU21は、異常監視プログラム22P,23P各々に従って、2つのリセット信号Sg123,Sg124を時間t23の間、アクティブ状態に保持する。この保持時間t23は、第1マイコン10のリセット処理を開始させるために必要な時間である。
On the other hand, the normal
そして、正常な第2マイコン20がアクティブ状態のリセット信号Sg123,Sg124を正しく出力した時点P62から時間t23が経過するまでの間、論理積回路52の出力信号Sg122(リセット信号)がアクティブ状態に変化する。
The output signal Sg122 (reset signal) of the AND
さらに、アクティブ状態のリセット信号Sg122が入力された論理和回路60は、アクティブ状態のリセット信号Sg122が入力された時点P63から、第1リセット回路12に対してアクティブ状態の第1リセット信号Sg12を供給する。
Further, the
さらに、アクティブ状態の第1リセット信号Sg12を受けた第1リセット回路12は、第1マイコン10のリセット処理を実行し、その後の時点P64以降において、第1マイコン10は正常に動作する状態へ復帰する。
Further, the
図7から図9に示されるように、車載電子制御装置1Bにおいて、第2異常制御回路40と、異常監視プログラム22P,23Pを実行する正常な第2マイコン20とは、第1マイコン10の異常監視機能の二重化を実現する。
As shown in FIGS. 7 to 9, in the in-vehicle
なお、車載電子制御装置1Bにおいて、第2マイコン20における第2CPU21が、3つ異常の異常監視プログラムを実行することも考えられる。その場合、論理積回路52は、第2マイコン20から出力される3つ異常のリセット信号の論理積信号を出力する。これにより、第2CPU21の動作異常が生じたときに、複数の異常監視プログラムに対応する複数のリセット信号が異なる変化を示す可能性がより高くなり、より確実に不正なリセット信号が無効化される。
In the in-vehicle
1,1A,1B 車載電子制御装置
10 第1マイコン
11 第1CPU
11P 制御プログラム
11M 主メモリ
12 第1リセット回路
13 リセット信号入力ポート
14 信号出力ポート
20 第2マイコン
21 第2CPU
21P 制御プログラム
21M 主メモリ
22 第2リセット回路
22P,23P 異常監視プログラム
23 リセット信号入力ポート
24,26,27 信号出力ポート
25 信号入力ポート
30 第1異常制御回路
31 第1ウォッチドッグタイマ
32 第1異常監視回路
40 第2異常制御回路
41 第2ウォッチドッグタイマ
42 第2異常監視回路
50 不正信号無効化部
51 遅延回路
52 論理積回路
60 論理和回路
1, 1A, 1B On-vehicle
Claims (3)
前記第1の正常動作信号の出力の異常を検出して異常が検出された際に前記第1のマイコンに対するリセット信号を出力する第1の異常制御回路と、
車両の機器を制御しつつ第2の正常動作信号を周期的に出力するとともに、予め定められた異常監視プログラムを実行することにより、前記第1の正常動作信号の出力の異常を検出して異常が検出された際に前記第1のマイコンに対するリセット信号を出力する第2のマイコンと、
前記第2の正常動作信号の出力の異常を検出して異常が検出された際に前記第2のマイコンに対してリセット信号を供給する第2の異常制御回路と、を備えた車載電子制御装置であって、
前記第2のマイコンから出力されるリセット信号に対し、前記第2のマイコンによる前記異常監視プログラムの実行に異常が生じることにより発生する非アクティブ状態からアクティブ状態への信号変化を無効化する処理を施す不正信号無効化部と、
前記第2のマイコンから出力されて前記不正信号無効化部を経たリセット信号と前記第1の異常制御回路から出力されたリセット信号との論理和の信号を前記第1のマイコンに対してリセット信号として供給する論理和回路と、を備えることを特徴とする車載電子制御装置。 A first microcomputer that periodically outputs a first normal operation signal while controlling a vehicle device;
A first abnormality control circuit that detects an abnormality in the output of the first normal operation signal and outputs a reset signal to the first microcomputer when the abnormality is detected;
While outputting the second normal operation signal periodically while controlling the equipment of the vehicle, by executing a predetermined abnormality monitoring program, an abnormality in detecting the output of the first normal operation signal is detected. A second microcomputer that outputs a reset signal to the first microcomputer when an error is detected;
A vehicle-mounted electronic control device comprising: a second abnormality control circuit that detects an abnormality in the output of the second normal operation signal and supplies a reset signal to the second microcomputer when the abnormality is detected. Because
A process of invalidating a signal change from an inactive state to an active state caused by an abnormality occurring in the execution of the abnormality monitoring program by the second microcomputer with respect to the reset signal output from the second microcomputer. An illegal signal invalidation unit to be applied;
A logical sum signal of the reset signal output from the second microcomputer and passed through the illegal signal invalidation unit and the reset signal output from the first abnormality control circuit is reset to the first microcomputer. An in-vehicle electronic control device comprising: an OR circuit supplied as
前記異常監視プログラムの実行によって前記第2のマイコンから出力されるリセット信号に対し、非アクティブ状態からアクティブ状態への信号変化のみを、前記第2の異常制御回路による前記第2の正常動作信号の出力の異常の検出に要する時間よりも長く遅延させる処理を施す遅延回路である、請求項1に記載の車載電子制御装置。 The illegal signal invalidation unit
Only the signal change from the inactive state to the active state with respect to the reset signal output from the second microcomputer by the execution of the abnormality monitoring program, the second normal operation signal by the second abnormality control circuit is changed. The on-vehicle electronic control device according to claim 1, wherein the on-vehicle electronic control device is a delay circuit that performs a process of delaying longer than a time required to detect an output abnormality.
前記不正信号無効化部は、
前記第2の異常監視プログラムを実行する前記第2のマイコンと、
前記第1の異常監視プログラムの実行により前記第2のマイコンから出力される第1のリセット信号と前記第2の異常監視プログラムの実行により前記第2のマイコンから出力される第2のリセット信号との論理積の信号を前記論理和回路へ供給する論理積回路と、を含む、請求項1に記載の車載電子制御装置。 The second microcomputer executes a first abnormality monitoring program and a second abnormality monitoring program that use different memory areas in the main memory of the second microcomputer,
The illegal signal invalidation unit
The second microcomputer for executing the second abnormality monitoring program;
A first reset signal output from the second microcomputer by the execution of the first abnormality monitoring program, and a second reset signal output from the second microcomputer by the execution of the second abnormality monitoring program; The on-vehicle electronic control device according to claim 1, further comprising: a logical product circuit that supplies a logical product signal to the logical sum circuit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010145963A JP2012006535A (en) | 2010-06-28 | 2010-06-28 | In-vehicle electronic control device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010145963A JP2012006535A (en) | 2010-06-28 | 2010-06-28 | In-vehicle electronic control device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2012006535A true JP2012006535A (en) | 2012-01-12 |
Family
ID=45537596
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010145963A Pending JP2012006535A (en) | 2010-06-28 | 2010-06-28 | In-vehicle electronic control device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2012006535A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015118662A (en) * | 2013-12-20 | 2015-06-25 | 株式会社デンソー | Electronic controller |
JP2016011028A (en) * | 2014-06-27 | 2016-01-21 | 株式会社デンソー | Vehicular electronic control device |
JP5968501B1 (en) * | 2015-06-01 | 2016-08-10 | 三菱電機株式会社 | In-vehicle electronic control unit |
US10007570B2 (en) | 2013-12-04 | 2018-06-26 | Mitsubishi Electric Corporation | Monitoring unit, control system, and computer readable medium |
JP2020021131A (en) * | 2018-07-30 | 2020-02-06 | 株式会社デンソー | In-vehicle control device |
JP2020135738A (en) * | 2019-02-25 | 2020-08-31 | トヨタ自動車株式会社 | Control apparatus and reset method therefor |
JP2023503893A (en) * | 2019-11-21 | 2023-02-01 | 株式会社ネクストチップ | Method for determining functional safety of reset and electronic device for performing the method |
JP7503862B2 (en) | 2019-11-21 | 2024-06-21 | 株式会社ネクストチップ | Reset release sequence monitoring method, recording medium and electronic device |
-
2010
- 2010-06-28 JP JP2010145963A patent/JP2012006535A/en active Pending
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10007570B2 (en) | 2013-12-04 | 2018-06-26 | Mitsubishi Electric Corporation | Monitoring unit, control system, and computer readable medium |
JP2015118662A (en) * | 2013-12-20 | 2015-06-25 | 株式会社デンソー | Electronic controller |
JP2016011028A (en) * | 2014-06-27 | 2016-01-21 | 株式会社デンソー | Vehicular electronic control device |
JP5968501B1 (en) * | 2015-06-01 | 2016-08-10 | 三菱電機株式会社 | In-vehicle electronic control unit |
JP2020021131A (en) * | 2018-07-30 | 2020-02-06 | 株式会社デンソー | In-vehicle control device |
JP7070206B2 (en) | 2018-07-30 | 2022-05-18 | 株式会社デンソー | In-vehicle control device |
JP2020135738A (en) * | 2019-02-25 | 2020-08-31 | トヨタ自動車株式会社 | Control apparatus and reset method therefor |
JP7131431B2 (en) | 2019-02-25 | 2022-09-06 | トヨタ自動車株式会社 | Control device and its reset method |
US11481226B2 (en) | 2019-02-25 | 2022-10-25 | Toyota Jidosha Kabushiki Kaisha | Control apparatus and reset method of control apparatus |
JP2023503893A (en) * | 2019-11-21 | 2023-02-01 | 株式会社ネクストチップ | Method for determining functional safety of reset and electronic device for performing the method |
JP7503862B2 (en) | 2019-11-21 | 2024-06-21 | 株式会社ネクストチップ | Reset release sequence monitoring method, recording medium and electronic device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3724763B1 (en) | System and method for online functional testing for error-correcting code function | |
US10127161B2 (en) | Method for the coexistence of software having different safety levels in a multicore processor system | |
CN112004730B (en) | vehicle control device | |
JP2012006535A (en) | In-vehicle electronic control device | |
JP5163807B2 (en) | Microcomputer mutual monitoring system and microcomputer mutual monitoring method | |
US9371051B2 (en) | Collision determination apparatus | |
KR20140132390A (en) | Method for improving the functional security and increasing the availability of an electronic control system, and electronic control system | |
CN110192185B (en) | Redundant processor architecture | |
JP2011022934A (en) | Electronic control unit and method for detecting failure | |
JP5308629B2 (en) | Multiprocessor system and access protection method in multiprocessor system | |
WO2015045507A1 (en) | Vehicular control device | |
JP2016060413A (en) | Vehicular electronic control unit and control method | |
KR20150082650A (en) | Method for the operation of a microcontroller and an execution unit and a microcontroller and an execution unit | |
US20220300612A1 (en) | Security processing device | |
CN107924348B (en) | Method and device for monitoring the state of an electronic line unit of a vehicle | |
JP6913869B2 (en) | Surveillance equipment, surveillance systems and computer programs | |
JP4820679B2 (en) | Electronic control device for vehicle | |
JP5223512B2 (en) | Vehicle abnormality analysis system, vehicle abnormality analysis method, and vehicle failure analysis device | |
JP2013012220A (en) | In-vehicle electronic control device | |
JP5651209B2 (en) | Multiprocessor system | |
US8452485B2 (en) | Method for preparing error entries | |
JP6090094B2 (en) | Information processing device | |
US20240106677A1 (en) | Control device and control method | |
JP6553493B2 (en) | Electronic control device for vehicle | |
JP6457149B2 (en) | Electronic control unit |