专利名称:车载电子控制装置的制作方法
技术领域:
本发明涉及具有监视微型计算机的故障和异常的功能的车载电子控制装置。
背景技术:
作为现有的具有CPU监视功能的车载电子控制装置,例如有专利文献I以及2所记载的技术。该技术采用了锁步方式作为上述监视功能,且具备对照电路,该对照电路对具有同一结构的A系统和B系统这两个信息处理部中的处理结果进行对照。并且,当对照电路的对照结果不一致时,判定为A系统或B系统发生了故障。另外,作为上述监视功能,采用了如下方式具备控制CPU和监视CPU这两个CPU, 利用监视CPU对控制CPU进行监视(例如,参照专利文献3)。现有技术文献专利文献专利文献I日本特开2010-262432号公报专利文献2日本特开2010-160649号公报专利文献3日本特开2006-344086号公报
发明内容
发明所要解决的问题但是,在采用了上述这样的锁步方式的监视功能中,当控制部和监视部使用了同核时,如果存在核的运算器产生了运算错误这样的问题,则无法作为异常检测出来。另外,在采用了上述这样的使用两个CPU的方式的监视功能中,无法十分细致地诊断控制CPU的运算。这样,因为无法诊断异常的详细情况,所以在产生异常时,与异常的详细情况无关,一律停止控制。但是,从由于车辆大型化引起的控制停止时的驱动负担和车辆安全控制的标准化等方面来看,根据异常的详细情况不同,有时希望在异常产生时也继续进行控制。因此,本发明的课题是提供一种能够确切地诊断出微型计算机异常的详细情况的车载电子控制装置。用于解决课题的手段为了解决上述课题,本发明的车载电子控制装置的第I方式的特征在于,该车载电子控制装置具备微型计算机,其包含硬件部和软件部而构成,根据来自搭载于车辆的传感器的检测信号,生成致动器的驱动信号;硬件要素监视部,其设置在所述微型计算机的内部,监视所述硬件部的各个要素的异常;软件要素监视部,其设置在所述微型计算机的内部,监视所述软件部的各个要素的异常;以及外部监视部,其设置在所述微型计算机的外部,监视所述微型计算机的异常。这样,利用硬件监视、软件监视、外部监视这3种监视来综合监视微型计算机,所以能够诊断微型计算机异常的详细情况。因此,在微型计算机产生了异常时,能够进行与异常的详细情况相应的恰当处置。另外,第2方式的特征在于,所述硬件要素监视部具备监视用硬件要素,该监视用硬件要素是与作为监视对象的硬件要素不同的构造,且该监视用硬件要素的输入输出特性与该作为监视对象的硬件要素相同,通过比较对所述作为监视对象的硬件要素与所述监视用硬件要素输入同一信号时的输出信号,来监视所述作为监视对象的硬件要素的异常。这样,因为对作为监视对象的硬件要素的输入输出进行监视,所以能够确切地检测该作为监视对象的硬件要素的故障。此外,因为以与作为监视对象的硬件要素不同的构造来安装监视用硬件要素,所以,例如能够使两者截止于处理结束的迟延时间不同。结果,即使对于两者共同受到影响的故障要因,也能够确切地作为故障检测出来。
·
另外,第3方式的特征在于,所述硬件要素监视部在检测出所述异常时,进行用于停止所述致动器的停止处置。这样,能够根据微型计算机异常的详细情况来进行恰当的处置。此外,第4方式的特征在于,所述硬件要素监视部在检测出所述异常时,向所述外部监视部通知所述异常,所述外部监视部接受来自所述硬件要素监视部的所述通知,进行用于停止所述致动器的停止处置。这样,在检测出异常时,通过一并使用直接实施致动器的停止处置的手段和经由外部监视部实施致动器的停止处置的手段,能够使该停止处置的实施手段冗长化。由此,在异常产生时,能够更可靠地停止致动器。另外,第5方式的特征在于,所述软件要素监视部具备监视用软件要素,该监视用软件要素是与监视对象的软件要素不同的构造,且进行与该监视对象的软件要素等同的运算处理,对所述监视对象的软件要素与所述监视用软件要素输入同一信号,根据两者的运算结果之差是否处于容许范围内,来监视所述监视对象的软件要素的异常。这样,因为对监视对象的软件要素的运算结果进行监视,所以能够确切地检测该监视对象的软件要素的异常。此外,因为以与监视对象的软件要素不同的构造来安装监视用软件要素,所以,例如能够使两者在运算中使用的指令不同。结果,即使对于两者共同受到影响的异常要因也能够确切地作为异常检测出来。另外,在运算结果的比较时,因为设定了规定的容许范围,所以能够进行考虑了因实现不同的安装而产生的运算误差的异常诊断。另外,第6方式的特征在于,所述容许范围被设定为所述监视对象的软件要素的运算结果与所述监视用软件要素的运算结果为相同符号、且所述监视对象的软件要素的运算结果的绝对值小于所述监视用软件要素的运算结果的绝对值的范围。这样,能够考虑到监视对象的软件要素的运算结果的绝对值越小致动器的实际控制动作越小、越不容易引起产生问题的动作的情况,设定不检测为异常的容许范围。因此,能够抑制过度地进行异常诊断。另外,第7方式的特征在于,所述软件要素监视部具备限制部,当检测出所述异常时,该限制部将所述监视对象的软件要素的运算结果限制在所述容许范围内。由此,即使在微型计算机中产生了异常,在该异常为软件要素的异常的情况下,也能够继续进行致动器的驱动控制。这样,能够根据微型计算机异常的详细情况来进行恰当的处置。
此外,第8方式的特征在于,所述外部监视部通过监视所述微型计算机的时钟来监视所述微型计算机的异常。由此,在产生了微型计算机内部的各个功能共同受到影响的时钟异常、从而在微型计算机内部不能进行故障或异常的诊断时,能够将其作为异常检测出来。因此,能够进行可靠性高的异常诊断。另外,第9方式的特征在于,所述外部监视部通过监视所述硬件要素监视部以及所述软件要素监视部进行工作的情况,来监视所述微型计算机的异常。这样,在硬件要素监视部本身未工作、或者软件要素监视部本身未工作的情况下,可将这样的情况作为异常检测出来。因此,能够进行可靠性高的异常诊断。另外,第10方式的特征在于,所述外部监视部在检测出所述异常时进行用于停止所述致动器的停止处置。这样,能够根据微型计算机异常的详细情况来进行恰当的处置。发明效果在本发明的车载电子控制装置中,能够进行微型计算机的硬件部以及软件部的内部监视与微型计算机的外部监视这样的综合监视,所以能够确切地诊断微型计算机异常的详细情况。结果,能够进行与异常的详细情况相应的恰当处置。
图I是示出本实施方式中的车载电子控制装置的功能的图。图2是示出硬件部的监视功能的框图。图3是示出MCU内部要素的诊断例的框图。图4是示出软件要素的诊断例的框图。图5是示出异常诊断区域的例子的图。图6是示出异常诊断区域的例子的图。图7是示出故障处理电路的结构的框图。
具体实施例方式以下,根据附图来说明本发明的实施方式。图I是示出本实施方式中的车载电子控制装置的功能的图。在图中,符号I是控制车辆的车载电子控制装置,该车载电子控制装置具备微型计算机(MCU) 2。MCU 2包含硬件部21和软件部24。硬件部21具备多个MCU内部要素和监视这些MCU内部要素中的主功能22的故障的监视功能23。这里,MCU内部要素是指中央运算处理电路(CPU)、总线、ROM、RAM、周边电路(计时器、串行通信、CAN通信、外部输出端口)等。另外,软件部24具备软件要素和监视由软件要素中的主功能25执行的运算处理的异常的监视功能26。S卩,在MCU 2内部对硬件要素和软件要素进行监视。由搭载于车辆上的各种传感器11检测出的检测信号经由输入I/F电路3输入到MCU 2。并且,MCU 2根据所输入的检测信号,运算出用于对搭载于车辆上的致动器(制动致动器、主动悬架等)12进行驱动控制的指令信号,并将其输出至致动器驱动电路4。
致动器驱动电路4包含桥式电路(FET)、FET驱动电路、继电器、继电器驱动电路等,根据MCU 2运算出的指令信号,对致动器12进行驱动控制。另外,车载电子控制装置I具备在MCU 2的外部监视MCU 2的故障的故障处理电路5。此外,在图I中,监视功能23对应于硬件要素监视部,监视功能26对应于软件要素监视部,故障处理电路5对应于外部监视部。接着,对MCU 2的硬件部21的监视功能23进行详细说明。 图2是用于说明硬件部21的监视功能23的框图。如该图2所示,针对多个MCU内部要素(主功能)31,分别配置有故障处理要素32作为监视功能23。这里,利用不同的构造来安装MCU内部要素31和故障处理要素32。故障处理要素32对作为监视对象的MCU内部要素31的输入输出进行监视,诊断该MCU内部要素31是否发生了故障。这里如图3所示,故障处理要素32具备运算处理电路32a和比较电路32b。运算处理电路32a的安装与构成作为监视对象的MCU内部要素31的运算处理电路31a不同,且运算处理电路32a与运算处理电路31a的输入输出特性相同。S卩,运算处理电路32a在其功能正常的情况下输入与运算处理电路31a相同的信号时,输出与运算处理电路31a相同的信号,该运算处理电路32a以与运算处理电路31a不同的晶体管数量进行安装。故障处理用的运算处理只要能够求出用于诊断的运算值即可,所以可以比主功能的运算处理进一步简化。因此,这里构成为使晶体管数量不同,使得运算处理电路32a相对于运算处理电路31a得到简化。并且,该运算处理电路32a被输入运算处理电路31a的输入信号,其输出信号输入至比较电路32b。这样,比较电路32b对运算处理电路31a的输出信号与运算处理电路32a的输出进行比较。此时,在不是同一结果的情况下,判断为MCU内部要素31发生了故障,故障处理要素32向图2所示的MCU内部要素(外部输出功能)33以及故障后处置要素34通知表示已检测出故障的诊断结果。MCU内部要素33接受故障处理要素32的诊断结果,向致动器驱动电路4输出故障后处置的实施指令。作为故障后处置的实施指令的例子,例如有针对构成致动器驱动电路4的桥式电路的FET驱动电路的停止信号。在此情况下,通过输出该停止信号,能够使全部FET关断,停止致动器12。另外,作为故障后处置的实施指令的其它例子,例如有针对致动器驱动电路4的继电器驱动电路的停止信号。在此情况下,通过输出该停止信号,能够使继电器关断,停止对致动器12的供电。这样,在本实施方式中,应用致动器12的停止处置,作为故障后的处置。另外,故障后处置要素34接受故障处理要素32的诊断结果,向故障处理电路5通知MCU内部要素31的故障。故障处理电路5在从故障后处置要素34接到该故障通知时,向致动器驱动电路4输出故障后处置的实施指令。这样,通过使通知单元冗长化,由此,即使在失去MCU内部要素33以及故障后处置要素34中的某个通知功能的状态下,也能够可靠地向致动器驱动电路4输出故障后处置的实施指令。接着,对MCU 2的软件部24的监视功能26进行详细说明。
图4是示出软件要素的诊断例的框图。如该图4所示,针对软件要素(主功能)41,配置有异常处理软件42作为监视功能26。这里,以不同的构造来安装软件要素41和异常处理软件42。异常处理软件42对作为监视对象的软件要素41的运算结果进行监视,诊断在该软件要素中是否产生了异常。这里,异常处理软件42具备运算处理42a、比较处理42b和限制处理42c。运算处理42a的安装与作为监视对象的软件要素41的运算处理41a不同,该运算处理42a进行与运算处理41a等同的运算。即,运算处理42a基于与运算处理41a不同的指令数,进行与运算处理41a在算式上相同的运算。故障处理用的运算处理只要能够求出用于诊断的运算值即可,所以可以比主功能的运算处理进一步简化。因此,这里构成为使指令数不同,使得运算处理42a相对于运算处理41a得到简化。
并且,该运算处理42a被输入运算处理41a的输入信号,其运算结果输入至比较处理42b。这样,比较处理42b对运算处理41a的运算结果与运算处理42a的运算结果进行比较。此时,当两者的误差不在规定的容许范围内时,判断为在软件要素41中产生了异常。S卩,如图5所示,将主功能侧的值(运算处理41a的运算结果)相对于监视侧的值(运算处理42a的运算结果)处于土规定范围内的区域作为容许区域,将其以外的由斜线表示的区域作为异常诊断区域。并且,当由主功能侧的值和监视侧的值决定的点处于异常诊断区域内时,判断为上述误差不在容许范围内。此外,图5的虚线所示的直线是主功能侧的值与监视侧的值相等的区域。这样,由于设定了规定的容许范围,所以能够实现考虑了因简化运算处理42a而产生运算误差量的异常判定。另外,例如还可以如图6所示地设定异常诊断区域。在此例中,主功能侧的值与监视侧的值为相同符号、且主功能侧的值的绝对值小于监视侧的值的绝对值的区域土规定范围是容许范围。即,当由主功能侧的值和监视侧的值决定的点处于图6的斜线所示的异常诊断区域内时,判断为上述误差不在容许范围内。由此,对于实际动作值小的情况而言,可判断为引起问题产生的可能性低从而是容许的,所以能够抑制过度地进行异常判定。并且,当检测出软件要素41中产生了异常时,比较处理42b将其诊断结果输出至图4的限制处理(限制部)42c。运算处理41a的运算结果被输入到限制处理42c。当从比较处理42b输入了表示检测出异常的诊断结果时,限制处理42c将运算处理41a的运算结果限制在可容许的限制值而进行输出。这里,希望实验性地验证车辆中可容许的范围来决定上述限制值。另一方面,在未从比较处理42b输入表示检测出异常的诊断结果的情况下,限制处理42c直接输出运算处理41a的运算结果。接着,对故障处理电路5的结构进行具体说明。图7是示出故障处理电路5的功能的框图。故障处理电路5从MCU 2的外部监视MCU 2的故障。作为MCU 2的监视方法,采用监视MCU 2的时钟27的方法和监视MCU 2的监视功能23及26进行工作的情况的方法。S卩,故障处理电路5为了监视MCU 2的时钟27,具备与MCU 2独立的时钟51和时钟监视处理52。时钟监视处理52通过对时钟27的时钟脉冲与时钟51的时钟脉冲进行比较来检测时钟27的故障。时钟27是MCU 2的一连串作业的基准,例如由RC振荡电路、陶瓷振子、石英振子、内置有石英振子的振荡器、或者内置有石英振子/分频器的振荡器等构成。此外,图7中示出了利用故障处理电路5内部的软件来安装时钟监视处理52的情况,不过也可以利用MCU 2内部的硬件或软件进行安装。另外,故障处理电路5为了监视MCU 2的监视功能23的工作,具备监视故障处理要素32的看门狗定时器的输出脉冲的脉冲监视处理53。脉冲监视处理53根据上述输出脉冲停止了规定时间的情况而检测出监视功能23的异常。此外,图7中仅示出了监视功能23的异常检测,而关于监视功能26 (异常处理软件42)也是利用同样的方法来检测异常。S卩,当正确地执行监视功能26 (异常处理软件42)时,从看门狗定时器输出脉冲,由此能够利用MCU 2外部的故障处理电路5诊断出未执行监视功能26的状态(未监视的状态)。并且,当时钟监视处理52以及脉冲监视处理53中的至少一方检测出MCU 2的故障时,故障处理电路5对致动器驱动电路4输出故障后处置的实施指令,使得致动器12停止。这样,在本实施方式中,利用硬件监视、软件监视、外部监视这3种监视来综合监视MCU,所以能够详细地监视MCU的异常。S卩,在硬件监视中,针对每个MCU内部要素配置故障处理要素来监视MCU内部要素的输入输出信号,所以能够极其详细地诊断MCU内部要素的故障。另外此时,以与作为监视对象的MCU内部要素不同的构造来安装故障处理要素,所以,例如能够使得两者截止于处理结束的迟延时间不同。结果,即使对于两者共同受到影响的故障要因,也能够确切地作为故障检测出来。此外,通过使晶体管数量减少等,由此以比作为监视对象的MCU内部要素更简化的构造来安装故障处理要素,所以能够比较简单且低成本地设置故障处理要素。此外,除了上述硬件监视之外,还可以在MCU内部进行软件监视,所以能够检测硬件监视的故障处理要素未完全检测出的运算问题。此时,在软件监视中,可针对软件要素配置异常处理软件来检测软件要素的运算结果,所以能够确切地诊断软件要素的异常。此外,以与作为监视对象的软件要素不同的构造来安装异常处理软件,所以,例如能够使两者在运算中使用的指令不同。结果,即使对于两者共同受到影响的异常要因,也能够确切地作为异常检测出来。另外,在运算结果的比较时设定了规定的容许范围,所以能够实现考虑了因简化异常处理软件而产生的运算误差的异常诊断。例如,将作为监视对象的软件要素的运算结果与异常处理软件的运算结果为相同符号、且作为监视对象的软件要素的运算结果的绝对值小于异常处理软件的运算结果的绝对值的范围设为上述容许范围。由此,在作为监视对象的软件要素的运算结果是致动器的实际控制动作小而不容易引起产生问题的动作的值的情况下,即使在作为监视对象的软件要素的运算结果与异常处理软件的运算结果中产生了比较大的误差,也能够得到容许。因此,能够抑制过度地进行异常诊断。并且,在硬件监视中检测出MCU内部要素的故障时,进行停止致动器的处置,在软件监视中检测出软件要素的异常时,进行将软件要素的运算结果限制在容许范围内的校正,进行继续执行致动器的驱动控制的处置。装备于车辆上的电子控制用MCU —般是在异常产生时与异常的详细情况无关地停止控制。但是,从由于车辆大型化引起的控制停止时的驱动负担和车辆安全控制的标准化等方面来看,即使在异常产生时,有时由于异常的详细情况的不同,也需要继续执行控制。在本实施方式中,能够极其细致地诊断MCU的异常,所以能够进行如下等恰当的处置,即根据异常的详细情况,或者停止控制或者继续执行控制。此外,因为在MCU外部进行监视MCU的故障的外部监视,所以,能够对作为MCU内部的监视功能的硬件监视和软件监视共同受到影响的要因实施诊断。例如,在MCU的外部配置与MCU独立的时钟,并监视MCU的时钟,由此,在产生了·MCU内部的各监视功能共同受到影响的时钟异常、从而在MCU内部不能进行故障或异常的诊断的情况下,能够将其作为异常检测出来。另外,通过监视MCU内部的各监视功能的看门狗定时器的输出脉冲,由此,在MCU内部的各监视功能未工作的情况下,能够将其作为异常检测出来。这样,能够在MCU的外部检测出MCU的功能不全而进行处置。并且,在该外部监视中,在利用自身的监视功能检测出MCU的故障、或者从异常处理要素取得了表示检测出MCU内部要素的故障的信息的情况下,进行停止致动器的处置。即,当通过硬件监视检测出MCU内部要素的故障时,能够一并使用通过硬件监视直接进行停止致动器的处置的手段和经由外部监视进行停止致动器的处置的手段。结果,当MCU内部要素产生了故障时,能够可靠地停止致动器。产业上的可利用性根据本发明的车载电子控制装置,能够进行微型计算机的硬件部以及软件部的内部监视与微型计算机的外部监视这样的综合监视,所以能够确切地诊断微型计算机异常的详细情况,进行与异常的详细情况对应的恰当处置,从而十分有用。符号说明I…车载电子控制装置,2…微型计算机(MCU), 3···输入I/F电路,4…致动器驱动电路,5…故障处理电路,11…传感器,12…致动器,21…硬件部,22···硬件主功能,23…硬件监视功能,24…软件部,25…软件主功能,26…软件监视功能,27…时钟,31…MCU内部要素(主功能),31a…运算处理电路,32…故障处理要素,32a…运算处理电路,32b···比较电路,33…MCU内部要素(外部输出功能),34…故障后处置要素,41···软件要素,41a…运算处理,42…异常处理软件,42a…运算处理,42b···比较处理,42c…限制处理,51…时钟,52…时钟监视处理,53…脉冲监视处理。
权利要求
1.一种车载电子控制装置,其特征在于,该车载电子控制装置具备 微型计算机,其包含硬件部和软件部而构成,根据来自搭载于车辆的传感器的检测信号,生成致动器的驱动信号; 硬件要素监视部,其设置在所述微型计算机的内部,监视所述硬件部的各个要素的异常; 软件要素监视部,其设置在所述微型计算机的内部,监视所述软件部的各个要素的异常;以及 外部监视部,其设置在所述微型计算机的外部,监视所述微型计算机的异常。
2.根据权利要求I所述的车载电子控制装置,其特征在于, 所述硬件要素监视部具备监视用硬件要素,该监视用硬件要素是与作为监视对象的硬件要素不同的构造,且该监视用硬件要素的输入输出特性与该作为监视对象的硬件要素相同, 通过比较对所述作为监视对象的硬件要素与所述监视用硬件要素输入同一信号时的输出信号,来监视所述作为监视对象的硬件要素的异常。
3.根据权利要求I所述的车载电子控制装置,其特征在于, 所述硬件要素监视部在检测出所述异常时,进行用于停止所述致动器的停止处置。
4.根据权利要求I所述的车载电子控制装置,其特征在于, 所述硬件要素监视部在检测出所述异常时,向所述外部监视部通知所述异常, 所述外部监视部接受来自所述硬件要素监视部的所述通知,进行用于停止所述致动器的停止处置。
5.根据权利要求I所述的车载电子控制装置,其特征在于, 所述软件要素监视部具备监视用软件要素,该监视用软件要素是与作为监视对象的硬件要素不同的构造,且进行与该监视对象的软件要素等同的运算处理, 对所述监视对象的软件要素与所述监视用软件要素输入同一信号,根据两者的运算结果之差是否处于容许范围内,来监视所述监视对象的软件要素的异常。
6.根据权利要求5所述的车载电子控制装置,其特征在于, 所述容许范围被设定为所述监视对象的软件要素的运算结果与所述监视用软件要素的运算结果为相同符号、且所述监视对象的软件要素的运算结果的绝对值小于所述监视用软件要素的运算结果的绝对值的范围。
7.根据权利要求5所述的车载电子控制装置,其特征在于, 所述软件要素监视部具备限制部,当检测出所述异常时,该限制部将所述监视对象的软件要素的运算结果限制在所述容许范围内。
8.根据权利要求I所述的车载电子控制装置,其特征在于, 所述外部监视部通过监视所述微型计算机的时钟来监视所述微型计算机的异常。
9.根据权利要求I所述的车载电子控制装置,其特征在于, 所述外部监视部通过监视所述硬件要素监视部及所述软件要素监视部进行工作的情况,来监视所述微型计算机的异常。
10.根据权利要求I所述的车载电子控制装置,其特征在于, 所述外部监视部在检测出所述异常时进行用于停止所述致动器的停止处置。
全文摘要
本发明提供能够确切地诊断微型计算机异常的详细情况的车载电子控制装置。在微型计算机(MCU(2))的内部设置有通过监视硬件部(21)的主功能(22)的输入输出来检测故障的监视功能(23)和通过监视软件部(24)的主功能(25)的运算结果来检测异常的监视功能(26)。利用不同的构造来安装监视对象的主功能和故障及异常的监视功能。此外,在微型计算机(MCU(2))的外部设置有监视微型计算机(MCU(2))的异常的故障处理电路(5)。
文档编号G06F11/30GK102959520SQ20128000043
公开日2013年3月6日 申请日期2012年5月30日 优先权日2011年6月29日
发明者青木友保, 远藤修司, 冈本谦一 申请人:日本精工株式会社