JP5683191B2 - 監視装置、及び電子制御システム - Google Patents

監視装置、及び電子制御システム Download PDF

Info

Publication number
JP5683191B2
JP5683191B2 JP2010219409A JP2010219409A JP5683191B2 JP 5683191 B2 JP5683191 B2 JP 5683191B2 JP 2010219409 A JP2010219409 A JP 2010219409A JP 2010219409 A JP2010219409 A JP 2010219409A JP 5683191 B2 JP5683191 B2 JP 5683191B2
Authority
JP
Japan
Prior art keywords
homework
answer
monitoring device
output
electronic control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010219409A
Other languages
English (en)
Other versions
JP2012073900A (ja
Inventor
千春 内山
千春 内山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2010219409A priority Critical patent/JP5683191B2/ja
Priority to DE201110083655 priority patent/DE102011083655A1/de
Publication of JP2012073900A publication Critical patent/JP2012073900A/ja
Application granted granted Critical
Publication of JP5683191B2 publication Critical patent/JP5683191B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0715Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a system implementing multitasking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/28Error detection; Error correction; Monitoring by checking the correct order of processing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Retry When Errors Occur (AREA)

Description

本発明は、負荷を制御する制御処理装置の状態を監視する監視装置、及び該監視装置と制御処理装置とを有した電子制御システムに関する。
従来、負荷(例えば、モータ)を制御する制御処理装置と、その制御処理装置の状態を監視した結果、異常が生じていれば、制御処理装置の動作を禁止する監視装置とを備えた電子制御システムが知られている(例えば、特許文献1参照)。この種の電子制御システムでは、監視装置と制御処理装置との間で実行した情報通信に基づいて、制御処理装置の状態、即ち、制御処理装置における異常の有無を監視する。
具体的には、制御処理装置は、監視装置からの宿題番号を取得する毎に、その取得した宿題番号に対応する演算を実行し、その演算を実行した結果を表す情報である回答番号を出力する。
一方、監視装置は、制御処理装置からの回答番号が、当該監視装置からの宿題番号に対応する正しい回答(即ち、正答)であれば、予め規定された順序に沿って更新した新たな宿題番号を制御処理装置へと出力し、回答番号が誤答であれば、宿題番号を維持して同一の宿題番号を制御処理装置へと再度出力する。そして、制御処理装置からの回答番号が、規定回数連続して誤答であれば、制御処理装置に異常が生じている可能性があるもの(以下、推定異常状態とする)と判定して、リセット信号を出力し、電子制御システムを再起動する。このような処理を繰り返し実行した結果、設定回数連続して、同一の宿題番号に対して推定異常状態であれば、制御処理装置に異常が生じているもの(以下、異常確定とする)と判定して、制御処理装置へのリセット信号の出力を保持することで、制御処理装置が動作することを禁止する。
特開2004−259137号公報
ところで、制御処理装置において、特定の宿題番号(以下、起因宿題番号と称す)の演算を実行する部位が故障している場合には、起因宿題番号に対応する回答番号は規定回数連続して誤答となり、特許文献1に記載の監視装置は、上述したリセット信号を出力する。このとき、再起動後の監視装置では、宿題番号を初期値から再出力するため、再び推定異常状態と判定するまで、ひいては、異常確定と判定するまでに、制御処理装置からの回答番号が正答となる宿題番号及びその宿題番号に対する回答番号を、繰り返し送受信するという問題がある。
具体的には、特許文献1に記載の監視装置と制御処理装置との間での宿題番号、回答番号の送受信、及び回答番号の正誤が遷移した様子を、図7(A)に例示すると、監視装置では、初期値である宿題番号Q1から宿題番号Q3までの各宿題番号Qiに対する回答番号Aiは、正答であると判定する。しかし、起因宿題番号QM(ここでは、M=4)に対する回答番号A#は、規定回数(図中は、規定回数=3)連続して誤答であるため、推定異常状態であるものと判定して、リセット信号を出力する。その後、再起動された電子制御システムにおいては、初期値である宿題番号Q1から宿題番号Q3までの各宿題番号Qiに対する回答番号Aiを正答と判定した後、宿題番号QMに対する回答番号A#が規定回数連続して誤答となり、設定回数(図中は、設定回数=2)連続して推定異常状態となるため、異常確定と判定する。
したがって、特許文献1に記載の監視装置では、再起動された後に、宿題番号Qを初期値から順に再出力するため、推定異常状態と再度判定されるまでに要する処理量が多く、推定異常状態と再度判定するまでに要する時間長が長くなるという問題がある。
そこで、本発明は、電子制御システム及び監視装置において、推定異常状態と再度判定するまでに要する処理量を低減することを目的とする。
上記目的を達成するためになされた本発明は、制御処理装置との間で送受信した宿題番号及び回答番号に基づき制御処理装置の状態を監視する監視装置に関する。ただし、制御処理装置は、演算内容が予め対応付けられた宿題番号を取得すると、その取得した宿題番号に対応する演算を実行する演算実行手順、及び演算実行手順での演算結果を表す回答番号を生成して出力する回答出力手順とを実行するものである。
そして、本発明の監視装置では、宿題出力手段が、設定された宿題番号を出力し、その宿題番号に対する制御処理装置からの回答番号を取得すると、正誤判定手段が、宿題出力手段で出力した宿題番号に対して用意された答えに基づいて、回答番号の正誤を判定する。その判定の結果、回答番号が正答であれば、宿題更新手段が、宿題番号を、先に出力したものとは異なる宿題番号へと、予め規定された順序に従って変更して設定し、回答番号が誤答であれば、宿題番号を、先に出力した宿題番号に維持して設定する。
ただし、回答番号に対する正誤の判定の結果、同一の宿題番号に対する回答番号が、予め規定された規定回数連続して誤答である推定異常状態であれば、リセット手段が、該誤答に対応する宿題番号を、再起動されても記憶内容を保持する記憶部に格納すると共に、制御処理装置及び当該監視装置を再起動するリセット信号を出力する。このリセット信号の出力により、制御処理装置及び当該監視装置が再起動されると、番号再設定手段が、記憶部に格納されている宿題番号を設定して、宿題出力手段に出力させる。
なお、ここで言う「再起動される」とは、監視装置に対しては、記憶部に格納された情報を除いて当該監視装置を初期状態へと戻すことでも良いし、当該監視装置を再度起動することでも良い。一方、制御処理装置に対する「再起動」とは、当該制御処理装置を再度起動することが好ましい。
例えば、本発明の監視装置と制御処理装置との間での宿題番号、回答番号の送受信、及びその回答番号の正誤が推移した様子を、図7(B)に例示する。この図7(B)に示すように、本発明の監視装置では、宿題番号Q3までの回答番号A13に対しては、正答であるものと判定する。しかし、起因宿題番号である宿題番号Q4に対する回答番号A#は、規定回数(図中は、規定回数=3)連続して誤答であるため、宿題番号Q4を記憶部に記憶(即ち、推定異常状態と判定)して、制御処理装置及び監視装置を再起動する。その後、再起動された本発明の監視装置では、宿題番号Qの送信、及びその送信した宿題番号Qに対応する回答番号Aの正誤についての判定を、起因宿題番号Q4から再開する。
したがって、本発明の監視装置によれば、本発明の監視装置及び制御処理装置を再起動した後に、初期値から起因宿題番号の一つ前までの宿題番号が再度出力されることを防止できる。この結果、本発明の監視装置によれば、推定異常状態と再度判定するまでに要する処理量を削減することができ、ひいては、推定異常状態と再度判定するまでに要する時間長を短縮することができる。
また、本発明におけるリセット手段は、宿題出力手段にて出力した宿題番号に対応する回答番号を、該宿題番号を出力してから、予め規定された規定時間以上未取得であれば、推定異常状態であるものとしても良い(請求項2)。
このような監視装置によれば、監視装置から出力した宿題番号に対して、制御出力装置から回答番号が出力されないような場合にも、再起動後の宿題番号の出力を、該宿題番号から再開できる。
さらに、本発明の監視装置においては、同一の宿題番号への各回答番号に対する正誤判定手段での判定の結果、予め設定された設定回数連続して推定異常状態となると、動作禁止手段が、リセット手段によるリセット信号の出力を継続させても良い(請求項3)。
このような本発明の監視装置であれば、異常確定状態であるか否かを判定することができ、異常確定状態であれば、制御処理装置の動作を不能とすることができる。しかも、本発明の監視装置によれば、制御処理装置及び監視装置が再起動されると、起因宿題番号から宿題番号を再出力するため、異常確定と判定するまでに要する処理量、ひいては、異常確定と判定するまでに要する時間を短縮することができる。
ところで、本発明は、請求項1から請求項3のいずれか一項に記載の監視装置に加えて、制御処理装置を備えた電子制御システムとしてなされていても良い(請求項4)。
本発明が、このような電子制御システムとしてなされていても、請求項1〜請求項3に係る監視装置と同様の効果を得ることができる。
さらに、本発明における制御処理装置、及び監視装置は、プログラムに定められた処理手順に従って処理を実行するコンピュータ、即ち、汎用のコンピュータ(マイクロコンピュータ)であっても良い(請求項5)。
このようにすれば、プログラムに処理手順を追加したり、プログラムに定められた処理手順を変更したりすることで、監視装置の構成を容易に変更することができる。
なお、本発明の電子制御システムにおける監視装置は、宿題出力手段、正誤判定手段、宿題更新手段、リセット手段、及び番号再設定手段が、それぞれ、少なくとも一つ以上の回路素子を組み合わせることによって構成された専用の電子装置によって実現されていても良い。
このように、一つの機能を実現することに特化した専用の回路として監視装置を構成すれば、汎用のコンピュータに比べて、当該監視装置の製造費用を抑制することができる。
また、本発明における制御処理装置、及び監視装置は、それぞれ、一つの中央演算処理装置に設けられた互いに異なるプロセッサコア、即ち、いわゆるマルチコアプロセッサにおける各プロセッサコアを、制御処理装置、及び監視装置として機能させても良い(請求項6)。
このようにすれば、プロセッサコアの状態を監視することができる。
さらに、本発明における制御処理装置及び監視装置は、それぞれ、自動車に搭載され、かつ自動車に設けられる機器を制御する電子制御ユニット(いわゆるECU(Electronic Control Unit))であっても良い(請求項7)。
このようにすれば、電子制御ユニットの状態を監視することができる。
本発明が適用された電子制御システムの概略構成を示すブロック図である。 第一実施形態における監視装置の概略構成を示すブロック図である。 第二実施形態における監視装置の概略構成を示すブロック図である。 第二実施形態の監視装置が実行する監視処理の処理手順を示すフローチャートである。 第二実施形態における電子制御システムの変形例を示すブロック図である。 第二実施形態における電子制御システムの変形例を示すブロック図である。 従来技術の課題及び本発明の効果を説明するための説明図である。
以下に本発明の実施形態を図面と共に説明する。
[第一実施形態]
〈電子制御システムの構成について〉
図1は、本発明が適用された電子制御システムの概略構成を示すブロック図である。
この電子制御システム1は、処理プログラムに従って各種処理を実行すると共に、負荷を制御する制御処理装置10と、制御処理装置10との間で送受信した信号に基づいて、制御処理装置10の状態を監視する監視装置20とを備えている。これら制御処理装置10と監視装置20とは、信号を送受信する専用のシリアスバスによって接続されており、電子制御システム1(制御処理装置10と監視装置20と)は、自動車に搭載して用いられる。
なお、本実施形態において、負荷とは、自動車に搭載された各種機器を駆動する動力源として機能するアクチュエータであり、例えば、プリクラッシュセーフティシステムにおいて、シートベルトを巻き取るモータや、電動パワーステアリングシステムにおいて、ステアリングの回動を補助するモータ等が相当する。
このうち、制御処理装置10は、電源が切断されても内容を保持する必要のあるデータやプログラムを記憶するROM11と、処理途中で一時的に生じたデータを格納するRAM12と、ROM11やRAM12に記憶された処理プログラムを実行するCPU15と、これらを接続するバス(図示略)とを少なくとも備えた周知のマイクロコンピュータを中心に構成されている。
さらに、CPU15は、ROM11やRAM12からの処理プログラムを読み出して解読する制御部16と、制御部16で解読した処理プログラムに従って各種演算を行う演算部17とを備えている。
そして、ROM11には、負荷を制御する処理プログラムや、監視装置20からの信号に基づいて演算を実行する処理プログラムが格納されている。
つまり、電子制御システム1では、実行すべき演算内容を表す文字列(例えば、数字)である宿題番号Qiを含む宿題信号を、監視装置20から制御処理装置10へと出力する。すると、その宿題信号を取得した制御処理装置10は、その取得した宿題番号Qiに対応する演算(本発明における演算実行手順に相当)を実行して、演算結果を表す文字列(例えば、数字)である回答番号Aiを含む回答信号を生成して出力(本発明における回答出力手順に相当)する。これにより、回答信号を取得した監視装置20は、回答信号に含まれる回答番号Aiを、監視装置20自身が出力した宿題番号Qiに基づいて予め用意した「答え」(以下、正答番号aniと称す)に照合して、その回答番号Aiの正誤を判定する。そして、監視装置20は、正誤の判定の結果に基づいて、制御処理装置10に故障が生じている可能性がある推定異常状態であるものと判定すると、電子制御システム1を再起動し、制御処理装置10に故障が生じていることが確定的な異常確定状態であるものと判定すると、制御処理装置10の動作を禁止する。
本実施形態における宿題信号は、宿題番号Qiに加えて、制御処理装置10が宿題信号自体を識別するためのヘッダ部を備えている。そのヘッダ部には、今回の宿題番号Qiを、先に出力した宿題番号Qiから更新したか否かを表す宿題更新情報が少なくとも含まれている。一方、回答信号は、回答番号Aiに加えて、監視装置20が回答信号自体を識別するためのヘッダ部を備えている。そのヘッダ部には、今回の回答番号Aiを、先に出力した回答番号Aiから更新したか否かを表す回答更新情報が少なくとも含まれている。
〈監視装置の構成について〉
次に、監視装置20の構成について、図2を用いて説明する。
この監視装置20は、予め規定された条件を満たすと更新されるカウント値cnを宿題番号Qiとして生成する宿題番号カウンタ34と、宿題番号カウンタ34にて生成された宿題番号Qiを含む宿題信号を生成して出力すると共に、その出力した宿題信号に対する制御処理装置10からの回答信号を取得するシリアル通信部31とを備えている。
さらに、監視装置20は、シリアル通信部31にて取得した回答信号を解析して、回答信号に含まれる回答番号Aiを分離する回答信号解析部32と、宿題番号カウンタ34のカウント値cnに基づいて宿題番号Qiに対応する正答番号aniを生成する正答番号生成部36と、その正答番号生成部36にて生成された正答番号ani、及び回答信号解析部32にて分離された回答番号Aiに基づいて、回答番号Aiが正答であるか誤答であるかを判定する正誤判定部33とを備えている。
これと共に、監視装置20は、同一の宿題番号Qiに対する回答番号Aiが、予め規定された規定回数連続して誤答であれば、推定異常状態であるものと判定する誤答回数カウンタ37と、制御処理装置10からの回答番号Aiが更新されてからの経過時間を確認する更新計測タイマ38と、電子制御システム1を再起動するリセット生成部39とを備えている。
なお、「電子制御システム1を再起動」のうち、制御処理装置10に対する「再起動」は、制御処理装置10への電力供給を遮断した後に再度起動することが好ましい。一方、監視装置20に対する「再起動」は、監視装置20を初期状態へと戻すことでも良いし、監視装置20への電力供給を遮断した後に再度起動することでも良い。
ただし、監視装置20を構成するシリアル通信部31、回答信号解析部32、正誤判定部33、宿題番号カウンタ34、正答番号生成部36、誤答回数カウンタ37、更新計測タイマ38、リセット生成部39は、それぞれ、少なくとも一つの回路素子によって構成されている。
このうち、回答信号解析部32は、シリアル通信部31からの回答信号が、前回の信号とは異なるものであれば、信号状態がアクティブな状態に変化する回答更新信号rnを出力する。この回答更新信号rnがアクティブな状態に変化とは、前回の信号とは異なる新たな回答信号が取得される毎に、1クロックだけパルス状に変化することである。
正誤判定部33は、回答更新信号rnの信号状態がアクティブな状態に変化すると、回答番号Aiと、正答番号aniとを比較照合することにより、回答番号Aiが正答であるか誤答であるかを判定する。そして、正誤判定部33は、判定の結果、回答番号Aiが正答であれば、正答信号rsの信号状態をアクティブな状態とし、回答番号Aiが誤答であれば、誤答信号esの信号状態をアクティブな状態とする。つまり、正誤判定部33から出力される正答信号rsまたは誤答信号esの信号状態は、いずれか一方のみがアクティブ状態となる。
誤答回数カウンタ37は、誤答信号esの信号状態がアクティブな状態に切り替わると、当該誤答回数カウンタ37のカウント値Tcを一つインクリメントし、正答信号rsの信号状態がアクティブな状態に切り替わると、カウント値Tcを初期値(ここでは、「0」)へと戻す。そして、誤答回数カウンタ37は、カウント値Tcが、規定回数に相当する値として予め規定された規定値Thc(本実施形態では、規定値Thcを「3」とする)以上となると、推定異常状態であるものと判定して、異常信号gsの信号状態をアクティブ状態とする。ただし、誤答回数カウンタ37からの異常信号gsの信号状態は、カウント値Tcが規定値Thc未満であれば、パッシブな状態である。
更新計測タイマ38は、回答更新信号rnの信号状態がアクティブな状態に変化するまでの時間長、即ち、信号状態がパッシブである時間長を計測し、その時間長が規定時間以上であれば、無更新信号urの信号状態をアクティブ状態とする。
リセット生成部39は、異常信号gsまたは無更新信号urの信号状態がアクティブ状態であれば、更新計測タイマ38にて計測している時間長、及び誤答回数カウンタ37のカウント値Tcを初期値(即ち、時間長は、「0[sec]」、カウント値Tcは、「0」)へと戻す初期化信号inを出力する。これと共に、リセット生成部39は、異常信号gsまたは無更新信号urの信号状態がアクティブ状態であれば、電子制御システム1を再起動するリセット信号reを出力する。
ただし、リセット生成部39は、同一の宿題番号Qiに対する回答番号Aiが、予め設定された設定回数(設定回数>規定値Thc)連続して誤答であれば、異常確定状態であるものと判定して、リセット信号reの出力を維持する。これにより、制御処理装置10は、動作することを禁止された状態となる。
宿題番号カウンタ34は、正答信号rsの信号状態がアクティブ状態となると、当該宿題番号カウンタ34のカウント値cn(即ち、次に出力する宿題番号Qi)を一つインクリメントし、誤答信号esの信号状態がアクティブ状態であれば、現時点でのカウント値cnを維持する。
さらに、宿題番号カウンタ34は、情報を記憶する記憶領域35を備えている。
本実施形態の記憶領域35は、異常信号gsまたは無更新信号urの信号状態がアクティブ状態に切り替わると、その切り替わった時点でのカウント値cnが格納される。
この記憶領域35は、揮発性のメモリでも良いし、不揮発性のメモリでも良い。記憶領域35が揮発性のメモリとして構成されている場合、カウント値cnが記憶された記憶領域35には、監視装置20が再起動されても(または初期状態へと戻されても)記憶内容を保持する保持処理が実行される。
よって、リセット生成部39からリセット信号reが出力されて、電子制御システム1が再起動されると、記憶領域35に記憶されている値を、宿題番号カウンタ34のカウント値cnとして設定する。
なお、宿題番号カウンタ34は、記憶領域35を備えていなくとも良い。この場合、監視装置20が再起動される(または初期状態へと戻される)際に、カウント値cnが保持されるように、宿題番号カウンタ34に対して保持処理が実行される必要がある。
以上説明したように、電子制御システム1の監視装置20は、宿題番号Qiに対する制御処理装置10からの回答番号Aiが正答であれば、誤答回数カウンタ37のカウント値Tcをインクリメントすること無く維持し、誤答であれば、カウント値Tcをインクリメントする。そして、同一の宿題番号Qiに対する回答番号Aiが連続して誤答となり、カウント値Tcが予め規定された規定値Thc以上となると、推定異常状態であるものと判定して、電子制御システム1を再起動する。
このように推定異常状態であるものと判定されて再起動された(または初期状態へと戻された)後の監視装置20は、宿題番号Qiの出力を、その再起動前に出力していた宿題番号Qiから再開する。そして、同一の宿題番号Qiに対する回答番号Aiが設定回数連続して誤答であれば、異常確定状態であるものと判定して、リセット信号reの出力を維持する。
[第一実施形態の効果]
以上説明したように、本実施形態の電子制御システム1によれば、当該電子制御システム1を再起動した後に、再出力する宿題番号Qiを、前回、推定異常状態と判定される原因となった宿題番号(即ち、起因宿題番号)からとすることができる。
また、電子制御システム1によれば、監視装置20から出力した宿題番号Qiに対して、制御処理装置10からの回答番号Aiが規定時間以上未返答である場合にも、推定異常状態であるものと判定している。したがって、電子制御システム1によれば、このような推定異常状態に起因して電子制御システム1が再起動された場合にも、宿題番号Qiの出力を、未返答となっている宿題番号Qiから再開できる。
これらにより、電子制御システム1によれば、再起動された後に、初期値から起因宿題番号の一つ前までの宿題番号Qiが再度出力されることを防止できる。よって、電子制御システム1によれば、推定異常状態と再度判定するまでに要する処理量を削減することができ、ひいては、推定異常状態と再度判定するまでに要する時間長を短縮することができる。さらに言えば、異常確定状態と判定するまでに要する処理量を削減することができる。
なお、本実施形態における監視装置20は、制御処理装置10の状態を監視することに特化した専用回路として構成されているため、汎用のコンピュータを用いて監視装置20を構成する場合に比べて、当該監視装置20の製造コストを抑制することができる。
[第一実施形態と特許請求の範囲との対応関係]
本実施形態で用いた用語と、特許請求の範囲にて用いた用語との対応関係を説明する。
本実施形態の監視装置20におけるシリアル通信部31が、本発明の宿題出力手段に相当し、監視装置20における回答信号解析部32,正答番号生成部36,及び正誤判定部33が、本発明の正誤判定手段に相当する。さらに、監視装置20における宿題番号カウンタ34が、本発明の宿題更新手段及び番号再設定手段に相当し、監視装置20における更新計測タイマ38,誤答回数カウンタ37,及びリセット生成部39が、本発明のリセット手段に相当する。なお、監視装置20におけるリセット生成部39は、本発明の動作禁止手段にも相当する。
[第二実施形態]
次に、本発明の第二実施形態について、第一実施形態と同様、図1を参照しつつ説明する。
本実施形態の電子制御システム5と、第一実施形態における電子制御システム1とでは、制御処理装置10の構成は同様であるものの、監視装置40の構成が異なる。このため、本実施形態においては、制御処理装置10を構成する各部には、第一実施形態と同一符号を付して説明を省略し、第一実施形態とは異なる監視装置40の構成を中心に説明する。
本実施形態の電子制御システム5は、制御処理装置10と、制御処理装置10との間で送受信した宿題信号及び回答信号に基づいて、制御処理装置10の状態を監視する監視装置40とを備えている。
本実施形態の監視装置40は、図3に示すように、処理プログラムやデータを記憶する記憶部42と、記憶部42に記憶された処理プログラムを実行すると共に、その処理プログラムの実行途中に生じた情報を記憶するレジスタ46を有した制御部45と、これらを接続するバス(図示略)とを少なくとも備えた周知のマイクロコンピュータを中心に構成されている。本実施形態における記憶部42は、記憶内容を書き換え可能な不揮発性の記憶装置として構成されていても良いし、記憶内容を書き換え可能な揮発性の記憶装置として構成されていても良い。
すなわち、監視装置40は、宿題番号Qiを含む宿題信号を送信し、その送信した宿題信号に対する制御処理装置10からの回答信号に含まれる回答番号Aiの正誤を判定した結果に基づいて、制御処理装置10の状態を監視する監視処理を、処理プログラムに従って実行する。
〈監視処理の処理内容について〉
次に、監視装置40が実行する監視処理の処理手順について、図4に示すフローチャートを用いて説明する。
この監視処理は、電子制御システム5、即ち、監視装置40に対して電力供給される(本実施形態では、イグニッションスイッチがオンされる)と起動されるものである。
そして、監視処理は、起動されると、図4に示すように、まず、電子制御システム1を構成する各部が正常であるか否かを確認し、確認の結果、異常があれば、電子制御システム1の動作を禁止するイニシャル処理を実行する(S110)。
続いて、監視装置40が制御処理装置10の状態を監視した結果の履歴を表す履歴情報に、推定異常状態となったことを表す異常情報が含まれているか否かを判定する(S120)。なお、本実施形態における履歴情報には、連続して推定異常状態となった回数を表す異常回数Tcが少なくとも含まれている。そして、本実施形態のS120では、異常回数Tcが規定値Thc(本実施形態では、規定値Thcを「3」とする)以上であれば、異常情報が含まれているものと判定する。
そのS120での判定の結果、履歴情報に異常情報が含まれていなければ(S120:NO)、次に出力する宿題番号Qiを初期値Q1に設定する(S130)。一方、履歴情報に異常情報が含まれていれば(S120:YES)、次に出力する宿題番号Qiを、監視装置40から前回出力した宿題番号(以下、前回値とする)Qiに設定する(S140)。
続いて、異常回数Tcをクリアして、初期値(ここでは、「0」)とする(S150)。そして、設定されている宿題番号Qiを含む宿題信号を生成して、その生成した宿題信号を、制御処理装置10へと出力する(S160)。その出力した宿題信号に対する回答信号を取得したか否かを判定し(S170)、判定の結果、回答信号を取得していなければ(S170:NO)、回答信号を取得するまで待機する。そして、回答信号を取得すると(S170:YES)、取得した回答信号に含まれる回答番号Aiを、予め用意した正答番号aniに照合して、回答番号Aiの正誤を判定する(S180)。
そのS180での判定の結果、回答番号Aiが正答であれば(S190:YES)、次に出力する宿題番号Qiを、前回値から予め規定された規定順序に沿ってインクリメントした宿題番号Qiに設定する(S200)。さらに、異常回数Tcをクリアして初期値とし(S210)、その後、S160へと戻り、S200で設定した宿題番号Qiを含む宿題信号を生成して出力する。つまり、監視処理では、制御処理装置10に故障などの異常が生じていなければ、規定順序に沿って宿題番号Qiを順次更新した宿題信号を送信して、制御処理装置10の監視を繰り返す。
一方、S180での判定の結果、回答番号Aiが誤答であれば(S190:NO)、異常回数Tcを一つインクリメントする(S220)。続いて、異常回数Tcが規定値Thc以上であるか否かを判定する(S230)。その判定の結果、異常回数Tcが規定値Thc未満であれば(S230:NO)、次に出力する宿題番号Qiを、今回出力した宿題番号Qi(即ち、出力値)に維持(設定)する(S240)。その後、S160へと戻り、S240で設定した宿題番号Qiを含む宿題信号を生成して出力する。
なお、S230での判定の結果、異常回数Tcが規定値Thc以上であれば(S230:YES)、推定異常状態であるものと判定して、電子制御システム5の再起動に備えた準備を実行した後に、リセット信号reを出力して電子制御システム5を再起動する異常処理を実行する(S250)。
なお、本実施形態で言う「電子制御システム5の再起動」のうち、制御処理装置10に対する「再起動」は、制御処理装置10への電力供給を遮断した後に再度起動することである。一方、監視装置40に対する「再起動」は、監視装置40を初期状態へと戻すことでも良いし、監視装置40への電力供給を遮断した後に再度起動することでも良い。
そして、本実施形態の異常処理では、再起動に備えた準備として、今サイクルのS160にて出力した宿題信号に含まれる宿題番号Qi及び異常回数Tcが記憶されたレジスタ46に対し、監視装置40が再起動されても(または初期状態へと戻されても)記憶内容を保持する記憶保持処理が実行される。これにより、宿題番号Qi及び異常回数Tcは、電子制御システム5への電力供給が遮断されても、その値が保持される。
その後、電子制御システム5が再起動されると、監視装置40は、監視処理を起動して、S110からの各ステップを再度実行する。なお、監視装置40に対する「再起動」が監視装置40を初期状態へと戻すことである場合、監視処理を2回目以降に起動するタイミングは、監視装置40が初期状態へと戻される毎であっても良い。
なお、本実施形態の異常処理では、同一の宿題番号Qiに対する回答番号Aiに起因して推定異常状態であるものとの判定が、予め設定された設定回数連続していれば、異常確定状態であるものと判定して、リセット信号reの出力を保持し続ける(即ち、継続する)。これにより、制御処理装置10が動作することを禁止する。
つまり、本実施形態の監視処理では、制御処理装置10からの回答番号Aiが正答であれば、異常回数Tcをインクリメントすること無く維持し、回答番号Aiが誤答であれば、異常回数Tcをインクリメントする。そして、同一の宿題番号Qiに対する誤答が続き、異常回数Tcが規定値Thc以上となると、推定異常状態と判定して、監視装置40及び制御処理装置10を含む電子制御システム1を再起動する。
なお、本実施形態の監視装置40からの宿題番号Qiは、通常、初期値(i=1)から最高値(i=max)までを、予め規定された規定順序で変更しながら出力されるが、推定異常状態と判定されて再起動されると、前回値Qiから出力を再開する。そして、監視装置40では、同一の宿題番号Qiに対する回答番号Aiが設定回数連続して誤答であれば、異常確定状態であるものと判定して、リセット信号reの出力を保持する。
[第二実施形態の効果]
以上説明したように、本実施形態の電子制御システム5によれば、第一実施形態の電子制御システム1と同様、初期値から起因宿題番号の一つ前までの宿題番号Qiが再度出力されることを防止できる。これにより、電子制御システム5によれば、推定異常状態と再度判定するまでに要する処理量を削減することができ、ひいては、推定異常状態と再度判定するまでに要する時間長を短縮することができる。さらに言えば、異常確定状態と判定するまでに要する処理量を削減することができる。
特に、本実施形態の電子制御システム5では、監視装置40が、汎用のマクロコンピュータによって構成されているため、プログラムに処理手順を追加したり、プログラムに定められた処理手順を変更したりすることで、監視装置40の構成を容易に変更することができる。
[第二実施形態と特許請求の範囲との対応関係]
本実施形態で用いた用語と、特許請求の範囲にて用いた用語との対応関係を説明する。
本実施形態の監視処理におけるS160が、本発明の宿題出力手段に相当し、監視処理におけるS180が、本発明の正誤判定手段に相当し、監視処理におけるS190,S200,及びS240が、本発明の宿題更新手段に相当する。さらに、監視処理におけるS230及びS250が、本発明のリセット手段に相当し、監視処理におけるS140が、本発明の番号再設定手段に相当する。なお、監視処理におけるS250は、本発明の動作禁止手段にも相当する。
[その他の実施形態]
以上、本発明の実施形態について説明したが、本発明は上記実施形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において、様々な態様にて実施することが可能である。
例えば、第一実施形態の電子制御システム1の監視装置20には、制御処理装置10に対して宿題信号の出力を開始する前に、監視装置20自身の動作状態を診断する自己診断部が設けられていても良い。このような自己診断部は、監視装置20を構成する各部に対して、動作確認に必要な信号を出力するように構成されていることが好ましい。
第二実施形態の電子制御システム5の変形例として、図5に示す電子制御システム50が考えられる。この電子制御システム50は、例えば、少なくとも2つのプロセッサコア55A,Bを備えた中央演算処理装置として構成され、一方のプロセッサコア55Aが制御処理装置10として機能し、他方のプロセッサコア55Bが監視装置40として機能するように構成されていることが好ましい。
ただし、このような電子制御システム50におけるプロセッサコア55A,Bは、処理プログラムを記憶する記憶部56A,Bと、記憶部56A,Bに記憶された処理プログラムを読み出して解読する制御部58A,Bと、制御部58A,Bで解読した処理プログラムに従って各種演算を行う演算部59A,Bと、処理プログラムの実行途中に生じた情報を格納するレジスタ57A,Bとを少なくとも備えている必要がある。
さらに、プロセッサコア55Bは、第二実施形態で説明した監視処理を実行する必要がある。この場合、プロセッサコア55Bが実行する監視処理における異常処理では、宿題番号Qi及び異常回数Tcが記憶されたレジスタ57Bに対して、プロセッサコア55Bが再起動されても(または初期状態へと戻されても)記憶内容を保持する記憶保持処理が実行される必要がある。
なお、電子制御システム50においては、プロセッサコア55A,Bそれぞれに、記憶部56A,Bが設けられていなくとも良く、電子制御システム50に1つの記憶部56が設けられていても良い。
さらに、第二実施形態の電子制御システム5に関する他の変形例として、図6に示す電子制御システム80が考えられる。この電子制御システム80は、例えば、少なくとも2つの電子制御ユニット(いわゆるECU(electronic control unit))60,70を備え、一方の電子制御ユニット60が制御処理装置10として機能し、他方の電子制御ユニット70が監視装置40として機能するように構成されていることが好ましい。
ただし、このような電子制御システム80における電子制御ユニット60,70は、処理プログラムやデータを記憶する記憶部62,72と、記憶部62,72に記憶された処理プログラムに基づく処理を実行する処理部65,75と、これらを接続するバス(図示略)とを少なくとも備えている必要がある。そして、処理部65,75は、処理プログラムを読み出して解読する制御部63,73と、制御部63,73で解読した処理プログラムに従って各種演算を行う演算部64,74と、処理プログラムの実行途中に生じた情報を保持するレジスタ66,76とを有していることが好ましい。なお、記憶部62,72は、記憶内容を書き換え可能な不揮発性の記憶装置として構成されていても良いし、記憶内容を書き換え可能な揮発性の記憶装置として構成されていても良い。
さらに、処理部75は、第二実施形態で説明した監視処理を実行する必要がある。この場合、処理部75が実行する監視処理における異常処理では、宿題番号Qi及び異常回数Tcが記憶されたレジスタ76に対し、電子制御ユニット70が再起動されても(または初期状態へと戻されても)記憶内容を保持する記憶保持処理を実行する必要がある。
このように監視処理を実行する電子制御ユニット60,70は、動作状態を監視するモードを備えており、そのモードに切り替えられた後に、処理部75が監視処理を実行することが好ましい。
ところで、上記第二実施形態では、推定異常状態と判定された後に、監視装置40が再出力する宿題番号Qを前回値Qiとするために、推定異常状態となると、宿題番号Qi及び異常回数Tcが記憶されたレジスタ46に対して記憶保持処理を実行していた。しかしながら、推定異常状態と判定された後に、監視装置40が再出力する宿題番号Qを前回値Qiとする方法は、これに限るものではなく、例えば、推定異常状態となると、宿題番号Qi及び異常回数Tcを、記憶部42に記憶しても良い。
なお、第二実施形態における監視処理では、同一の宿題番号Qiに対する制御処理装置10からの回答番号Aiが、規定値Thc以上連続して誤答であることを、異常処理(即ち、S250)を実行する条件としていたが、異常処理を実行する条件は、これに限るものではない。例えば、宿題番号Qiに対して、制御処理装置10からの回答番号Aiが規定時間以上未返答であることを、異常処理を実行する条件としても良い。
1,5,50,80…電子制御システム 10…制御処理装置 11…ROM 12…RAM 15…CPU 16…制御部 17…演算部 20…監視装置 31…シリアル通信部 32…回答信号解析部 33…正誤判定部 34…宿題番号カウンタ 35…記憶領域 36…正答番号生成部 37…誤答回数カウンタ 38…更新計測タイマ 39…リセット生成部 40…監視装置 42…記憶部 45…制御部 46…レジスタ 55A,B…プロセッサコア 56A,B…記憶部 57A,B…レジスタ 58A,B…制御部 59A,B…演算部 60,70…電子制御ユニット 62,72…記憶部 63,73…制御部 64,74…演算部 65,75…処理部 66,76…レジスタ

Claims (7)

  1. 演算内容が予め対応付けられた宿題番号を取得すると、その取得した宿題番号に対応する演算を実行する演算実行手順、及び前記演算実行手順での演算結果を表す回答番号を生成して出力する回答出力手順とを実行する制御処理装置との間で送受信した前記宿題番号及び前記回答番号に基づき前記制御処理装置の状態を監視する監視装置であって、
    設定された前記宿題番号を出力する宿題出力手段と、
    前記宿題出力手段で出力した宿題番号に対して用意された答えに基づいて、前記制御処理装置からの回答番号の正誤を判定する正誤判定手段と、
    前記正誤判定手段での判定の結果、前記回答番号が正答であれば、前記宿題番号を、先に出力したものとは異なる宿題番号へと、予め規定された順序に従って変更して設定し、前記回答番号が誤答であれば、前記宿題番号を、先に出力した宿題番号に維持して設定する宿題更新手段と、
    前記正誤判定手段での判定の結果、同一の宿題番号に対する回答番号が、予め規定された規定回数連続して誤答である推定異常状態であれば、該誤答に対応する宿題番号を、再起動されても記憶内容を保持する記憶部に格納すると共に、前記制御処理装置及び当該監視装置を再起動するリセット信号を出力するリセット手段と、
    前記リセット手段にてリセット信号が出力され、前記制御処理装置及び当該監視装置が再起動されると、前記記憶部に格納された宿題番号を設定して、前記宿題出力手段に出力させる番号再設定手段と
    を備えることを特徴とする監視装置。
  2. 前記リセット手段は、
    前記宿題出力手段にて出力した宿題番号に対応する回答番号を、該宿題番号を出力してから、予め規定された規定時間以上未取得であれば、前記推定異常状態であるものとすることを特徴とする請求項1に記載の監視装置。
  3. 同一の宿題番号への各回答番号に対する前記正誤判定手段での判定の結果、予め設定された設定回数連続して前記推定異常状態となると、前記リセット手段による前記リセット信号の出力を継続させる動作禁止手段
    を備えることを特徴とする請求項1または請求項2に記載の監視装置。
  4. 請求項1から請求項3のいずれか一項に記載の監視装置と、
    前記制御処理装置と
    を備えることを特徴とする電子制御システム。
  5. 前記制御処理装置、及び前記監視装置は、それぞれ、
    プログラムに定められた処理手順に従って処理を実行するコンピュータであることを特徴とする請求項4に記載の電子制御システム。
  6. 前記制御処理装置、及び前記監視装置は、それぞれ、
    一つの中央演算処理装置に設けられた互いに異なるプロセッサコアであることを特徴とする請求項4に記載の電子制御システム。
  7. 前記制御処理装置、及び前記監視装置は、それぞれ、
    自動車に搭載され、かつ自動車に設けられる機器を制御する電子制御ユニットであることを特徴とする請求項4に記載の電子制御システム。
JP2010219409A 2010-09-29 2010-09-29 監視装置、及び電子制御システム Active JP5683191B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2010219409A JP5683191B2 (ja) 2010-09-29 2010-09-29 監視装置、及び電子制御システム
DE201110083655 DE102011083655A1 (de) 2010-09-29 2011-09-28 Überwachungsvorrichtung zur Überwachung eines Betriebs einer Steuerverarbeitungsvorrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010219409A JP5683191B2 (ja) 2010-09-29 2010-09-29 監視装置、及び電子制御システム

Publications (2)

Publication Number Publication Date
JP2012073900A JP2012073900A (ja) 2012-04-12
JP5683191B2 true JP5683191B2 (ja) 2015-03-11

Family

ID=45804883

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010219409A Active JP5683191B2 (ja) 2010-09-29 2010-09-29 監視装置、及び電子制御システム

Country Status (2)

Country Link
JP (1) JP5683191B2 (ja)
DE (1) DE102011083655A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6165597B2 (ja) * 2013-11-12 2017-07-19 日立オートモティブシステムズ株式会社 車載装置
KR102355424B1 (ko) * 2017-09-13 2022-01-26 현대자동차주식회사 차량용 중앙 처리 장치를 제어하는 워치독 회로의 신뢰성을 향상시키는 장치 및 방법
CN114427738B (zh) * 2022-01-18 2023-05-12 海信空调有限公司 电机控制方法、空调器和计算机存储介质

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01312638A (ja) * 1988-06-13 1989-12-18 Fuji Electric Co Ltd マイクロプロセッサの異常監視リトライ制御装置
JPH0553852A (ja) * 1991-08-28 1993-03-05 Matsushita Electric Ind Co Ltd テスト装置
JP2000293408A (ja) * 1999-04-08 2000-10-20 Meidensha Corp 処理システムのリセットカウント処理方式
JP2004086451A (ja) * 2002-08-26 2004-03-18 Matsushita Electric Ind Co Ltd 半導体集積回路
JP2004259137A (ja) * 2003-02-27 2004-09-16 Denso Corp 電子制御装置
JP2007028118A (ja) * 2005-07-15 2007-02-01 Hitachi Ltd ノード装置の故障判断方法
JP2009252104A (ja) * 2008-04-09 2009-10-29 Denso Corp 監視装置、電子制御装置

Also Published As

Publication number Publication date
JP2012073900A (ja) 2012-04-12
DE102011083655A1 (de) 2012-03-29

Similar Documents

Publication Publication Date Title
CN111164577B (zh) 车载电子控制装置及其异常时处理方法
CN108427609B (zh) 控制器和控制程序更新方法
WO2014091666A1 (ja) 車載電子制御装置
JP2010285001A (ja) 電子制御システム、機能代行方法
US9690269B2 (en) Controller and process monitoring method including monitoring of process execution sequence
WO2016117402A1 (ja) 車両制御装置
JP5683191B2 (ja) 監視装置、及び電子制御システム
JP5962697B2 (ja) 電子制御装置
CN108427564B (zh) 控制器和控制程序更新方法
JP5582748B2 (ja) 車両用電子制御装置
JP2008055980A (ja) 自動車の電子制御装置
JP5434481B2 (ja) 処理装置及び制御方法
JP5960632B2 (ja) 車両用電子制御装置
JP2006259935A (ja) 演算異常判断機能付き演算装置
JP5533777B2 (ja) プログラム群
WO2019064644A1 (ja) 電子制御装置及び制御プログラム検証方法
JP2016126692A (ja) 電子制御装置
JP2002041493A (ja) マイクロコンピュータ
JP2002149437A (ja) ソフトウェア再起動方法
US20130055017A1 (en) Device and method for restoring information in a main storage unit
JP6172040B2 (ja) 電子制御装置
JP2002108724A (ja) Romのデータチェック方法
JP6344036B2 (ja) 車両用情報処理装置
JP6075262B2 (ja) 制御装置
US10514970B2 (en) Method of ensuring operation of calculator

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120307

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130730

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20131022

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150113

R150 Certificate of patent or registration of utility model

Ref document number: 5683191

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250