JP6306530B2 - 自動車用電子制御装置 - Google Patents

自動車用電子制御装置 Download PDF

Info

Publication number
JP6306530B2
JP6306530B2 JP2015049126A JP2015049126A JP6306530B2 JP 6306530 B2 JP6306530 B2 JP 6306530B2 JP 2015049126 A JP2015049126 A JP 2015049126A JP 2015049126 A JP2015049126 A JP 2015049126A JP 6306530 B2 JP6306530 B2 JP 6306530B2
Authority
JP
Japan
Prior art keywords
electronic control
ram
area
control unit
cpu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015049126A
Other languages
English (en)
Other versions
JP2016170567A (ja
Inventor
洋平 ▲高▼橋
洋平 ▲高▼橋
暁仁 窪田
暁仁 窪田
康司 湯浅
康司 湯浅
新井 敏央
敏央 新井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2015049126A priority Critical patent/JP6306530B2/ja
Publication of JP2016170567A publication Critical patent/JP2016170567A/ja
Application granted granted Critical
Publication of JP6306530B2 publication Critical patent/JP6306530B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Techniques For Improving Reliability Of Storages (AREA)
  • For Increasing The Reliability Of Semiconductor Memories (AREA)

Description

本発明は、自動車用電子制御装置に関する。
自動車に搭載される電子制御装置では、安全性を確保するため、機能安全規格ISO26262を準拠する要求が高まっている。機能安全規格において、RAM(Random Access Memory)などのメモリの異常を診断するため、特開2003−323353号公報(特許文献1)に記載されるように、自動車の安全性に与える影響度に応じて記憶領域を分割し、影響度に応じて各分割領域を診断する間隔を変更する技術が提案されている。
特開2003−323353号公報
ところで、機能安全規格においては、フォールト(個々の部品の故障)の発生を起点として、車両の危険事象が発生すると考えられるまでのフォールトトレラント時間間隔(FTTI)を考慮しなければならない。FTTIは、例えば、電子制御スロットルシステムにおいて、スロットルバルブを制御するシステムの部品に何らかの異常が発生したとき、それがスロットルバルブの開度異常となって、車両が制御不能となるまでの時間間隔である。
一方、電子制御装置のメモリ領域は、制御プログラムの複雑化などによって容量が大きくなっており、これに伴って分割領域の容量も大きくなっている。このため、分割領域を診断するのにある程度の時間を要し、電子制御装置が所定時間ごとに実行する定時ジョブに影響が及んでしまうおそれがあった。従って、自動車の安全性に与える影響が高い記憶領域をFTTI内に診断することが困難であり、メモリ診断について機能安全規格を準拠することはできなかった。
そこで、本発明は、メモリ診断について機能安全規格を準拠可能な、自動車用電子制御装置を提供することを目的とする。
このため、自動車用電子制御装置のプロセッサは、メモリの一部の領域を論理的に分割した各分割領域について、フォールトトレラント時間間隔より短い所定時間ごとに、そこに格納されたデータが書き換えられているか否かを順番に診断する。
本発明によれば、メモリ診断について機能安全規格を準拠することができる。
車両用内燃機関の一例を示すシステム図である。 電子制御装置の概要を例示するブロック図である。 電子制御スロットルチャンバの論理的制御構造を例示する説明図である。 RAMの論理的分割構造を例示する説明図である。 機能安全規格を準拠する第1の手法の説明図である。 機能安全規格を準拠する第2の手法の説明図である。 定時ジョブの一例を示すフローチャートである。
以下、添付された図面を参照し、本発明を実施するための実施形態について詳述する。
図1は、車両用内燃機関の一例を示す。
内燃機関100の吸気通路110には、吸気流通方向に沿って、空気中の埃などを濾過するエアクリーナ120、電子制御スロットルチャンバ130、図示しない動弁機構により開閉する吸気バルブ140がこの順番で配設されている。電子制御スロットルチャンバ130と吸気バルブ140との間に位置する吸気通路110には、吸気バルブ140の傘部に向けて燃料を噴射する、電子制御式の燃料噴射弁150が取り付けられている。
電子制御スロットルチャンバ130は、吸気流量を調整するスロットルバルブ132と、スロットルバルブ132を回動させるステッピングモータなどのアクチュエータ134と、スロットルバルブ132の開度(スロットル開度)を検出するポテンショメータなどのスロットルポジションセンサ136と、を有する。そして、電子制御スロットルチャンバ130は、外部からの開度信号に応じて、アクチュエータ134によってスロットルバルブ132を開閉する。
一方、内燃機関100の排気通路160には、排気流通方向に沿って、排気バルブ170、排気中のCO(一酸化炭素),HC(炭化水素),NOx(窒素酸化物)を同時に還元浄化する三元触媒コンバータ180、排気音を低減するマフラー190がこの順番で配設されている。
また、内燃機関100のシリンダヘッド102には、燃焼室104を臨むように、ディストリビュータ200からの点火電流に応答して、燃料と空気との混合気を火花点火する点火プラグ210が取り付けられている。なお、ディストリビュータ200は、内燃機関100の各気筒に配設された点火プラグ210に対して、運転状態に応じたタイミングで点火電流を分配する。
内燃機関100の所定箇所には、内燃機関100の回転速度を検出する回転速度センサ220と、内燃機関100の負荷を検出する負荷センサ230と、が取り付けられている。ここで、内燃機関100の負荷としては、例えば、吸気流量、吸気圧力、過給圧力など、内燃機関100の出力トルクと密接に関連する状態量を使用することができる。
車両の運転者が操作するアクセルペダル240には、アクセルペダル240の踏み込み量(アクセル操作量)を検出するアクセルセンサ250が併設されている。ここで、アクセルセンサ250としては、例えば、ポテンショメータを使用することができる。
スロットルポジションセンサ136、回転速度センサ220、負荷センサ230及びアクセルセンサ250の各出力信号は、マイクロコンピュータを内蔵した電子制御装置260に入力される。電子制御装置260は、図2に示すように、プロセッサの一例として挙げられるCPU(Central Processing Unit)262と、揮発性メモリの一例として挙げられるRAM264と、不揮発性メモリの一例として挙げられるROM(Read Only Memory)266と、CPU262,RAM264及びROM266を相互に接続するバス268と、を有する。ここで、ROM266としては、例えば、電気的にデータを書き換え可能なフラッシュROMを使用することができる。なお、RAM264が、メモリの一例として挙げられる。
そして、電子制御装置260は、ROM266に格納された制御プログラムを実行することで、スロットル開度,回転速度,負荷,アクセル操作量などに応じて、電子制御スロットルチャンバ130,燃料噴射弁150及びディストリビュータ200を夫々電子制御する。
即ち、電子制御装置260は、内燃機関100の回転速度及び負荷に応じた燃料噴射量及び燃料噴射時期を求め、クランク角度が燃料噴射時期になったときに、燃料噴射弁150に燃料噴射量に応じた作動信号を出力する。また、電子制御装置260は、内燃機関100の回転速度及び負荷に応じた点火時期を求め、クランク角度が点火時期になったときに、ディストリビュータ200に作動信号を出力する。さらに、電子制御装置260は、アクセル操作量及びその変化量に応じた目標スロットル開度を求め、目標スロットル開度とスロットル開度との偏差に応じて、電子制御スロットルチャンバ130のアクチュエータ134をフィードバック制御する。
電子制御装置260の制御部分においては、図3に示すように、機能安全を適用しなければならない安全関連部分(ASIL;Automotive Safety Integrity Level)と機能安全を適用する必要がない非安全関連部分(QM;Quality Management)とが混在している。ここで、安全関連部分としては、車両の安全性に直接影響を及ぼす、例えば、電子制御スロットルチャンバ130の制御が一例として挙げられる。
このため、電子制御装置260のRAM264は、図4に示すように、ASILに相当するSM(Safety Mechanism)RAM領域264Aと、QMに相当する通常RAM領域264Bと、に論理的に分けることができる。なお、電子制御装置260のRAM264に、DMAC(Direct Memory Access Controller)がメモリと直接データを転送する、DMACRAM領域を含めることができる。
SMRAM領域264Aは、機能安全規格を準拠するため、FTTI内に、他のエレメント(燃料噴射システムなどの他のシステム)によって内容が書き換えられているか否か、要するに、他のエレメントから侵害(RAM侵害)があるか否かを診断する必要がある。RAM侵害が発生する一例としては、例えば、プログラムのバグによって他のエレメントのメモリ領域をアクセスすることが挙げられる。
SMRAM領域264Aのサイズが大きい場合、そこに格納されているデータのすべてをチェックするのにある程度の時間を要し、電子制御装置260が所定時間ごとに実行する定時ジョブ、例えば、電子制御スロットルチャンバ130の開度制御に影響が及んでしまうおそれがある。なお、SMRAM領域264Aが、自動車の安全性に係るデータが格納されている領域の一例として挙げられる。
そこで、次のような手法を適用することで、定時ジョブへの影響を軽減しつつ、FTTI内にSMRAM領域264AにおいてRAM侵害が発生しているか否かの診断を可能とする。なお、通常RAM領域264Bについては、例えば、1バイトずつ所定のデータを書き込んで読み込む、いわゆる「Read/Writeチェック」など、公知の手法でRAM診断を行うことができる。
[第1の手法]
RAM264の一部の領域であるSMRAM領域264Aを、図5に示すように、所定数n(n:1以上の整数)で論理的に分割した、分割領域1〜nに分ける。そして、電子制御装置260のCPU262は、FTTIよりも短い所定時間(例えば、10ms)ごとに、例えば、SUM値,その反転値,ハッシュ値などの異常検出値を用いてRAM侵害の有無を診断する。ここで、SMRAM領域264Aを分割する所定数nは、すべての分割領域1〜nのRAM侵害の診断を終了するまでに要する時間がFTTI以下となる制約下で、例えば、データの重要度、CPU262の処理能力などを考慮して適宜決定することができる。なお、各分割領域1〜nは、同一サイズに限らず、異なるサイズを有していてもよい(以下同様)。
電子制御装置260が、1つのCPU262を有する場合、SMRAM領域264Aの分割領域1〜nは、例えば、10ms間隔で実行される定時ジョブでRAM侵害を診断することができる。この場合、電子制御装置260のCPU262は、処理負荷を軽減すべく、処理負荷が小さいバックグラウンドで異常検出値を求めることができる。
電子制御装置260が、2つのCPU262を有する場合、SMRAM領域264Aの分割領域1〜nは、一方のCPU262が実行する定時ジョブでRAM侵害を診断し、他方のCPU262が異常検出値を求めることができる。また、RAM侵害の診断精度を向上させるために、2つのCPU262が同期ととりながら、RAM侵害の診断を多重化することもできる。なお、電子制御装置260は、2つのCPU262の代わりに、1つのチップに複数のコアが内蔵されたマルチコアCPUを使用することもできる。
このようにすれば、電子制御装置260のCPU262は、定時ジョブを実行するとき、SMRAM領域264Aの分割領域1〜nの1つについて、RAM侵害を順番に診断することができる。この場合、SMRAM領域264Aを分割する所定数nは、CPU262の処理能力などを考慮して適宜決定されているため、所定時間ごとに実行される定時ジョブには影響が及び難い。また、SMRAM領域264Aは、RAM264の一部の領域であるため、その全領域についてRAM侵害を診断するよりも短い時間で、RAM侵害の診断を終了することができる。従って、SMRAM領域264Aのすべての分割領域1〜nは、FTTI内にRAM侵害の診断が終了し、機能安全規格を準拠することができる。
[第2の手法]
RAM264の一部の領域であるSMRAM領域264Aを、図6に示すように、所定数n(ここではn=3とする)で論理的に分割した、分割領域1〜3に分ける。各分割領域1,2及び3には、他の分割領域の異常判定値、即ち、分割領域3,1及び2の異常判定値を格納する領域が夫々確保されている。そして、電子制御装置260のCPU262は、電子制御装置260の起動時に、すべての分割領域1〜3の異常判定値を求め、これを各分割領域1〜3に格納しておく。なお、SMRAM領域264Aを分割する所定数nは、3に限らず、データの重要度やCPU262の処理能力などに応じて、2又は4以上とすることもできる。
電子制御装置260のCPU262は、最初に定時ジョブを実行するとき、分割領域1について異常判定値を用いてRAM侵害を診断し、所定の処理を実行した後、異常判定値を分割領域2に格納する。次に、電子制御装置260のCPU262は、定時ジョブを実行するとき、分割領域2について異常判定値を用いてRAM侵害を診断し、所定の処理を実行した後、異常判定値を分割領域3に格納する。その次に、電子制御装置260のCPU262は、定時ジョブを実行するとき、分割領域3について異常判定値を用いてRAM侵害を診断し、所定の処理を実行した後、異常判定値を分割領域1に格納する。このようにして、電子制御装置260のCPU262は、所定時間ごとに分割領域1〜3について順番にRAM侵害を診断し、RAM侵害の診断に用いた異常判定値を他の分割領域に格納する。
このようにすれば、先の第1の手法の作用及び効果に加えて、異常判定値もRAM侵害の診断対象となり、診断精度を向上させることができる。なお、第2の手法の作用及び効果については、先の第1の手法の説明を参照されたい。
第1の手法及び第2の手法は、以下に説明するように、例えば、定時ジョブに組み込むことで実現できる。
図7は、電子制御装置260が起動されたことを契機として、そのCPU262が起動時及び所定時間ごとに実行する、定時ジョブの一例を示す。ここでは、電子制御装置260のCPU262は、定時ジョブを実行するたびに、SMRAM領域264Aを所定数nで分割した各分割領域1〜nについて順番にRAM侵害を診断する。要するに、定時ジョブを実行するときに、RAM侵害の診断対象となる分割領域が順次変更される。なお、以下の例では、定時ジョブにRAM侵害の診断を組み込んでいるが、他の定時ジョブとしてRAM侵害を診断することもできる。
ステップ1(図では「S1」と略記する。以下同様。)では、電子制御装置260のCPU262が、SUM値,その反転値,ハッシュ値などの異常判定値を用いて、診断対象となる分割領域についてRAM侵害を診断する。具体的には、電子制御装置260のCPU262は、診断対象となる分割領域に格納されている異常判定値を読み込むと共に、診断対象となる分割領域に格納されているデータについて所定演算を施して異常判定値を求める。そして、電子制御装置260のCPU262は、分割領域から読み込んだ異常判定値と分割領域のデータから求めた異常判定値とを比較することで、分割領域のデータが書き換えられているか否か、要するに、RAM侵害が発生しているか否かを診断する。
ステップ2では、電子制御装置260のCPU262が、ステップ1の診断結果に応じて、診断対象となる分割領域にRAM侵害が発生しているか否かを判定する。そして、電子制御装置260のCPU262は、RAM侵害が発生していないと判定すれば(Yes)、処理をステップ3へと進める。一方、電子制御装置260のCPU262は、RAM侵害が発生していると判定すれば(No)、処理をステップ5へと進める。
ステップ3では、電子制御装置260のCPU262が、RAM侵害が発生していない通常時の処理、例えば、アクセル操作量及びその変化量に基づくスロットル開度制御を実行する。
ステップ4では、通常時の処理により診断対象となる分割領域のデータが書き換えられた可能性を勘案し、電子制御装置260のCPU262が、分割領域に格納されているデータについて所定演算を施して異常判定値を求める。なお、ここで求められた異常判定値は、分割領域に格納され、後のRAM侵害の診断に利用される。
ステップ5では、診断対象となる分割領域にRAM侵害が発生しているため、電子制御装置260のCPU262が、通常の定時ジョブを異常時の処理へと移行する。異常時の処理としては、例えば、内燃機関100の出力を制限する、フェールセーフ処理などが挙げられる。
このようにすれば、SMRAM領域264AにRAM侵害が発生した場合、通常の定時ジョブの代わりに異常時の処理が実行されるため、例えば、電子制御スロットルチャンバ130の異常によって車両が制御不能となることがなく、車両の安全性を確保することができる。また、SMRAM領域264AのRAM侵害の診断機能は、ソフトウエアで実現されるため、例えば、OS(Operating System)などが相違する、様々な電子制御装置であっても容易に実装することができる。
なお、上記実施形態においては、機能安全規格の適用対象として、電子制御スロットルチャンバ130を例示したが、例えば、ブレーキ制御システム、操舵システム、自動運転システムなど、自動車の安全性を確保すべきシステムとすることができる。
260 電子制御装置
262 CPU(プロセッサ)
264 RAM(メモリ)
264A SMRAM領域

Claims (3)

  1. メモリ及びプロセッサを備えた自動車用電子制御装置において、
    前記プロセッサが、前記メモリの一部の領域を論理的に分割した各分割領域について、フォールトトレラント時間間隔より短い所定時間ごとに、そこに格納されたデータが書き換えられているか否かを順番に診断する、
    ことを特徴とする自動車用電子制御装置。
  2. 前記メモリの一部の領域の分割数は、前記プロセッサの処理能力に応じて設定される、
    ことを特徴とする請求項1に記載の自動車用電子制御装置。
  3. 前記メモリの一部の領域は、自動車の安全性に係るデータが格納されている領域である、
    ことを特徴とする請求項1又は請求項2に記載の自動車用電子制御装置。
JP2015049126A 2015-03-12 2015-03-12 自動車用電子制御装置 Active JP6306530B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015049126A JP6306530B2 (ja) 2015-03-12 2015-03-12 自動車用電子制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015049126A JP6306530B2 (ja) 2015-03-12 2015-03-12 自動車用電子制御装置

Publications (2)

Publication Number Publication Date
JP2016170567A JP2016170567A (ja) 2016-09-23
JP6306530B2 true JP6306530B2 (ja) 2018-04-04

Family

ID=56983736

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015049126A Active JP6306530B2 (ja) 2015-03-12 2015-03-12 自動車用電子制御装置

Country Status (1)

Country Link
JP (1) JP6306530B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7236811B2 (ja) * 2018-03-30 2023-03-10 株式会社デンソー 情報処理装置
JP6943218B2 (ja) 2018-04-20 2021-09-29 横河電機株式会社 故障検出装置、故障検出方法及び故障検出プログラム
KR102115436B1 (ko) * 2018-11-02 2020-05-27 주식회사 넥스트칩 데이터를 관리하는 방법 및 그 방법을 수행하는 메모리 래퍼
JP7177272B2 (ja) * 2019-07-12 2022-11-22 日立Astemo株式会社 セキュリティ処理装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS62249237A (ja) * 1986-04-23 1987-10-30 Mitsubishi Electric Corp サンプリング制御装置のプログラム実行方式
JP3112034B2 (ja) * 1991-09-26 2000-11-27 株式会社日立製作所 変電機器の予防保全システム
JP2009126451A (ja) * 2007-11-27 2009-06-11 Denso Corp 車両用制御装置
WO2011111211A1 (ja) * 2010-03-11 2011-09-15 三菱電機株式会社 メモリ診断方法、メモリ診断装置およびメモリ診断プログラム
JP2013152563A (ja) * 2012-01-24 2013-08-08 Toyota Motor Corp 電子制御装置、メモリチェック方法
JP6145345B2 (ja) * 2013-07-22 2017-06-07 日立オートモティブシステムズ株式会社 自動車用電子制御装置

Also Published As

Publication number Publication date
JP2016170567A (ja) 2016-09-23

Similar Documents

Publication Publication Date Title
JP5867495B2 (ja) 電子制御装置
JP6306530B2 (ja) 自動車用電子制御装置
JP4491967B2 (ja) 自己診断機能を備えた車両用制御装置及び記録媒体
DE112018003865B4 (de) Steuersystem einer Maschine mit interner Verbrennung
JP6129499B2 (ja) 自動車用電子制御システム
US7086056B2 (en) Processor unit for executing event processes in real time without causing process interference
WO2017078093A1 (ja) 電子制御装置及び電子制御方法
JP4483907B2 (ja) 車両制御方法および車両制御装置
US7200508B2 (en) Method and device for monitoring a control unit of an internal combustion engine
JP5842783B2 (ja) 車両用制御装置
JP2014061793A (ja) 自動車用電子制御装置
US6941219B2 (en) Method for recreating valid calibration data for an engine control module
CN113302592A (zh) 用于控制具有多核处理器的发动机控制单元的方法
JP4210940B2 (ja) 吸気系センサの異常診断装置
JP6275790B2 (ja) 自動車用電子制御装置
JP6466269B2 (ja) 電子制御装置及びスタック領域の使用監視方法
JP6442326B2 (ja) 車両用制御装置
JP6771272B2 (ja) 車載電子制御装置及びスタック使用方法
CN108343525B (zh) 用于内燃机的控制设备和控制方法
JP2009215944A (ja) 電子制御装置及びその運転方法
JP2009080566A (ja) 車両制御用プログラムおよびプログラム生成方法、プログラム生成装置、及び自動車用制御装置
JP6877475B2 (ja) 電子制御装置及びスタック使用方法
JP3346163B2 (ja) 車両用電子制御装置
JP2021076021A (ja) 電子制御装置
JP2022045239A (ja) 電子制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170317

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180110

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180220

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180308

R150 Certificate of patent or registration of utility model

Ref document number: 6306530

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250