JP6668226B2 - 電子制御装置 - Google Patents
電子制御装置 Download PDFInfo
- Publication number
- JP6668226B2 JP6668226B2 JP2016238965A JP2016238965A JP6668226B2 JP 6668226 B2 JP6668226 B2 JP 6668226B2 JP 2016238965 A JP2016238965 A JP 2016238965A JP 2016238965 A JP2016238965 A JP 2016238965A JP 6668226 B2 JP6668226 B2 JP 6668226B2
- Authority
- JP
- Japan
- Prior art keywords
- error
- main cpu
- signal
- program
- reset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 claims description 16
- 238000000034 method Methods 0.000 description 14
- 230000005856 abnormality Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
Images
Landscapes
- Stored Programmes (AREA)
Description
本発明は、ISO26262に代表される機能安全を有するプロセッサを持つ電子制御装置における、プログラム書き込み方法に関する。
従来のプロセッサ(CPU)を用いた車載用電子制御装置では、車両に搭載した制御対象(例えば、エンジンや自動変速機等)の制御を担うメインCPUを、サブCPU等の監視部によって監視することで、電子制御装置の機能安全性を保証するようにしている。例えば、特許文献1にあるメインCPUのプログラムの暴走などによる不正な動作を検出する機構である、ウォッチドッグタイマ(WDT)などがある。
また近年、車載電子機器等の機能安全規格として、国際標準化機構のISO26262が、注目を集めている。ISO26262では、車載電子機器の構成要素であるマイコン(例えばメインCPU)等に故障が発生したとしても、機能的な工夫を施すことによって最低限の許容可能な安全を確保する、フェールセーフ制御が求められている。例えば、故障が発生したとしても、故障が発生してから予め定められた期間内で故障を検出することなどが挙げられる。
機能的な工夫の一例として、メインCPUに複数のプロセッサコアを用いたロックステップ方式がある。この技術に関連し、特許文献2には、ロックステップ方式を用いたプロセッサシステムに関する技術が記載されている。ロックステップ方式においては、複数のプロセッサコアにおいて同一の処理(タスク)が実行され、これらの実行結果を比較することによって故障(エラー)が検知される仕組みである。
上述したように、ロックステップ方式などの機能安全に対応したマイコンでは、タスクのエラー以外にも、様々なエラーを検知することができる。一方で、その故障が一時的か、恒久的かで、フェールセーフ制御に移行するかどうか判断する必要がある。この場合、例えば、特許文献2のようにエラーの検知回数をカウントすることで、そのエラーが一時的か恒久的か判断することができる。
上述したように、機能安全への対応により、様々な要因のエラーを検知し、フェールセーフ制御をすることが可能となった。それに伴い、様々なエラー信号を用いて、マイコンをフェールセーフ制御へ移行させる仕組み(セーフティメカニズム)ができた。
上述したように、機能安全への対応により、様々なエラー要因を検知し、フェールセーフ制御をすることが可能となった。その制御の仕組みとして、様々なエラー信号を出力し、それにより例えば監視ICなどが、マイコン動作をリセットさせるものが考えられる。
一方で、前記の構成では例えばメインCPUにプログラムが書き込まれていない場合、エラー信号は初期値として、エラー状態になっていることが一般的である。メインCPUにプログラムが書き込まれている場合は、電源の投入後にエラー信号は正常状態へ移行する。
従来は、メインCPUにプログラムを書き込む場合は、外部から信号を入力しWDTを正常状態にすれば、書き込むことができた。
しかしながら、本課題ではロックステップ等のエラー出力信号が増加し、フェールセーフ制御を統合したため、WDT以外のエラー信号が初期値(エラー状態)のままだと、WDT出力とその他のエラー出力のロジックが監視ICなどで接続されているため、フェールセーフ制御としてメインCPUへリセットをかけ続けるので、書き込むことができないという問題が発生する可能性がある。
メインCPUと監視ICを有する制御装置において、メインCPUからエラー信号生成時にメインCPUがブートモードであることを識別する手段を有する制御装置。
本発明によれば、ロックステップ方式などによるエラー出力を利用したフェールセーフ制御機能をもつ電子制御装置において、メインCPUにプログラムを書き込むことが可能となる。
本実施の形態の概要について説明する。図1は、従来の電子制御装置1(ECU)のフェールセーフ制御の構成の一例である。図1に示す通り、従来はメインCPU2が正常状態であれば、プログラム処理による監視パルス信号(PRUN出力5)を周期信号として出力する。監視IC3では、そのPRUN信号をWDT6により監視しており、メインCPU2に対してリセット7をかけていた。
図1の場合は、メインCPU2にプログラムが書き込まれていない場合でも、プログラム書き込み装置4からPRUN信号10を入力することで、WDT6によるリセット信号9を解除することができる。
図2は、本課題の電子制御装置1のフェールセーフ制御の構成である。図1の構成に加えて、ロックステップなどのエラーを含むエラー通知11が追加され、その出力8とWDTの出力9が、リセット出力13においてロジックが接続されている。
そのため、メインCPU2にプログラムが書き込まれていない場合は、プログラム書き込み装置4からPRUN信号10を入力し、WDT6が正常状態になったとしても、ロックステップなどのエラーを含むエラー通知11がエラー状態のままであり、リセット出力
13のロジック接続により、メインCPU2に対してリセット7をかけ続けてしまう状態である。
13のロジック接続により、メインCPU2に対してリセット7をかけ続けてしまう状態である。
上述した、図2の状態において、メインCPUのプログラム書き込み時においては、リセットを解除するという、プログラムの判定条件を設定する。判定条件は3つあり、1つはエラー出力信号12がロー(エラー)状態であること。1つは、WDT6に外部から入力されるPRUN信号10が正常に入力されていること。もう1つが、電子制御装置1の電源投入からパワーリセット解除タイミングより前(図3で説明する)にPRUNを入力すること。以上の条件を満たす場合、監視IC3はメインCPU2のプログラム書き込み状態(ブートモード)だと判断し、リセット出力13を解除する。以上の条件を、監視IC3のプログラムに追加する。
図3は、前記のプログラムブートモード条件を示すタイミングチャートである。イグニッションスイッチ(IGNSW)信号15は、前記の電子制御装置1の電源投入信号にあたる。リセット信号16は、初期値はロー状態であり、正常状態であればパワーオンリセット解除タイミング19にハイ状態へ移行する。パワーオンリセットは、マイコンが起動してから安定するまでリセットをかけることである。
前記において、パワーオンリセット期間に、ロックステップなどのエラーを含むエラー通知の出力17がロー状態かつ、プログラム書き込み装置による外部からのPRUN信号18が入力されていることを示している。
上述した、図2の状態において、メインCPU2のプログラム書き込み異常(例えば、プログラム未書き込み状態)によって、ロックステップなどのエラーを含むエラー通知11の出力を反転させる方法がある。
図4は、前記の方法の一例である。メインCPU2はプログラム書き込み異常通知20(例えば、プログラム未書き込み状態)を出力する。メインCPU2と監視IC3の間には、ロックステップなどのエラーを含むエラー通知11とプログラム書き込み異常通知20を入力し、プログラム書き込み異常の場合にエラー通知11の出力を反転させるロジック回路22を設ける方法である。
図4は一例であり、ロジック回路22の場所は、メインCPU2と監視IC3の間である必要はない。例えば、監視ICの中にあっても構わない。
上述した、図2の状態において、ロックステップなどのエラーを含むエラー通知11の出力信号線12に対して、外部(例えば、プログラム書き込み装置4)から直接信号を入力し、正常状態と認識させることで、リセットを解除させる方法である。
図5は、前記の方法の一例である。図2の状態において、ロックステップなどのエラーを含むエラー通知11の出力信号線12に対して、例えば外部のプログラム書き込み装置4からの信号24を入力して、エラー状態を解除させることで、リセット出力13を解除する方法である。
図5は一例であり、ロックステップなどのエラーを含むエラー通知11を解除させる外部からの信号は、プログラム書き込み装置から出力される必要はない。
1:電子制御装置(ECU)
2:メインCPU(メインマイコン)
3:監視IC(サブマイコン)
4:プログラム書き込み装置
5:PRUN出力
6:ウォッチドックタイマ(WDT)
7:リセット回路
8:PRUN信号線
9:WDT出力信号線
10:プログラム書き込み装置からのPRUN信号
11:エラー通知(ロックステップエラー含む)
12:エラー出力信号線
13:リセット出力
14:リセット出力信号線
15:イグニッションスイッチ信号(IGNSW)
16:リセット信号
17:エラー信号
18:PRUN信号
19:パワーオンリセット解除タイミング
20:プログラム異常通知(プログラム未書き込み含む)
21:プログラム異常出力信号線
22:ロジック回路
23:ロジック出力信号線
24:プログラム書き込み装置からのエラー出力信号線
2:メインCPU(メインマイコン)
3:監視IC(サブマイコン)
4:プログラム書き込み装置
5:PRUN出力
6:ウォッチドックタイマ(WDT)
7:リセット回路
8:PRUN信号線
9:WDT出力信号線
10:プログラム書き込み装置からのPRUN信号
11:エラー通知(ロックステップエラー含む)
12:エラー出力信号線
13:リセット出力
14:リセット出力信号線
15:イグニッションスイッチ信号(IGNSW)
16:リセット信号
17:エラー信号
18:PRUN信号
19:パワーオンリセット解除タイミング
20:プログラム異常通知(プログラム未書き込み含む)
21:プログラム異常出力信号線
22:ロジック回路
23:ロジック出力信号線
24:プログラム書き込み装置からのエラー出力信号線
Claims (2)
- ロックステップ方式であるメインCPUと、
前記メインCPUをWDTにより監視する監視ICと、を備える制御装置において、
前記監視ICは、
前記メインCPUからのエラー出力信号がエラー状態であること、前記WDTに入力されるPRUN信号が正常であること、電源投入からパワーリセット解除タイミングより前に前記PRUN信号が入力されていること、を満たす場合に、前記メインCPUがブートモードであることを識別する手段と、
前記メインCPUからのエラー出力信号がエラー状態である場合に前記メインCPUに対してリセット信号を出力するリセット機能と、を有し、
前記識別する手段がブートモードであると判断した場合、前記リセット信号の出力を解除することを特徴とした制御装置。 - 前記メインCPUは、ISO26262に対応している請求項1に記載の制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016238965A JP6668226B2 (ja) | 2016-12-09 | 2016-12-09 | 電子制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016238965A JP6668226B2 (ja) | 2016-12-09 | 2016-12-09 | 電子制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018097442A JP2018097442A (ja) | 2018-06-21 |
| JP6668226B2 true JP6668226B2 (ja) | 2020-03-18 |
Family
ID=62633619
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016238965A Active JP6668226B2 (ja) | 2016-12-09 | 2016-12-09 | 電子制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6668226B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109591732B (zh) * | 2019-01-09 | 2021-04-13 | 浙江吉利汽车研究院有限公司 | 汽车上电控制方法、装置、整车控制器及汽车 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS56156981A (en) * | 1980-05-02 | 1981-12-03 | Nec Corp | Bubble memory device |
| JPH0764796A (ja) * | 1993-08-30 | 1995-03-10 | Nec Commun Syst Ltd | ファームウェアプログラムのダウンロード方式 |
| JP2000181719A (ja) * | 1998-12-15 | 2000-06-30 | Sharp Corp | 通信機器へのプログラムのダウンロード方法 |
| JP2004070407A (ja) * | 2002-08-01 | 2004-03-04 | Alps Electric Co Ltd | 電気機器の制御装置及び該制御装置へのアプリケーションプログラム書き込み方法 |
| JP2006209876A (ja) * | 2005-01-28 | 2006-08-10 | Denso Corp | 電子制御装置 |
| JP4866259B2 (ja) * | 2007-02-13 | 2012-02-01 | 株式会社タイトー | 電子回路、スレーブ基板、及びデータ更新方法 |
| JP5264283B2 (ja) * | 2008-05-12 | 2013-08-14 | 株式会社タイトー | 電子回路、スレーブ基板 |
| JP2012068299A (ja) * | 2010-09-21 | 2012-04-05 | Canon Inc | 画像形成装置、画像形成装置の制御方法、およびコンピュータプログラム |
| JP5618859B2 (ja) * | 2011-02-17 | 2014-11-05 | 株式会社タイトー | タイマicを利用した書込み回路 |
| KR20130079775A (ko) * | 2012-01-03 | 2013-07-11 | 현대모비스 주식회사 | 자체 복구타입 차량용 리프로그램 제어기 |
-
2016
- 2016-12-09 JP JP2016238965A patent/JP6668226B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018097442A (ja) | 2018-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9417946B2 (en) | Method and system for fault containment | |
| US9058419B2 (en) | System and method for verifying the integrity of a safety-critical vehicle control system | |
| US9207661B2 (en) | Dual core architecture of a control module of an engine | |
| JP5094777B2 (ja) | 車載用電子制御装置 | |
| CN110192185B (zh) | 冗余的处理器架构 | |
| JPS5968004A (ja) | 車載用コンピユ−タのフエイルセ−フ方法 | |
| JP6341795B2 (ja) | マイクロコンピュータ及びマイクロコンピュータシステム | |
| JP6668226B2 (ja) | 電子制御装置 | |
| KR20060043374A (ko) | 마이크로컴퓨터 감시 금지 기능을 갖는 전자 제어 시스템및 방법 | |
| JP2006259935A (ja) | 演算異常判断機能付き演算装置 | |
| WO2014203028A1 (en) | Diagnostic apparatus, control unit, integrated circuit, vehicle and method of recording diagnostic data | |
| JP6471510B2 (ja) | マイクロコンピュータ | |
| JP2006344087A (ja) | 制御装置のタスク管理装置、及び、制御装置のタスク管理方法 | |
| JP2018163498A (ja) | 監視回路 | |
| JP2016126692A (ja) | 電子制御装置 | |
| WO2018173910A1 (ja) | 車両制御装置 | |
| JP7332529B2 (ja) | 異常検出装置 | |
| CN108073489B (zh) | 确保计算器的操作的方法 | |
| JP4876093B2 (ja) | 制御装置のタスク管理装置、及び、制御装置のタスク管理方法 | |
| JP4820679B2 (ja) | 車両用電子制御装置 | |
| US20190332506A1 (en) | Controller and function testing method | |
| JP4639920B2 (ja) | 電子制御装置 | |
| JP6457149B2 (ja) | 電子制御装置 | |
| JP6435884B2 (ja) | 情報処理装置及び異常検出方法 | |
| JP2007531944A (ja) | マイクロコントローラシステムおよびその駆動方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161212 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181204 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181205 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190924 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190927 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191118 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191119 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191224 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200109 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200128 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200226 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6668226 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |