[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2022032510A - 異常判定装置および異常判定方法 - Google Patents

異常判定装置および異常判定方法 Download PDF

Info

Publication number
JP2022032510A
JP2022032510A JP2020136356A JP2020136356A JP2022032510A JP 2022032510 A JP2022032510 A JP 2022032510A JP 2020136356 A JP2020136356 A JP 2020136356A JP 2020136356 A JP2020136356 A JP 2020136356A JP 2022032510 A JP2022032510 A JP 2022032510A
Authority
JP
Japan
Prior art keywords
abnormality
ecc
processing unit
recovery
confirmation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020136356A
Other languages
English (en)
Inventor
豊 一貫田
Yutaka Ikkanda
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Ten Ltd
Original Assignee
Denso Ten Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Ten Ltd filed Critical Denso Ten Ltd
Priority to JP2020136356A priority Critical patent/JP2022032510A/ja
Publication of JP2022032510A publication Critical patent/JP2022032510A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Detection And Correction Of Errors (AREA)
  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】バックアップメモリのデータ読み出し時に発生した異常の要因を特定すること。【解決手段】実施形態に係る異常判定装置は、バックアップメモリと、判定部とを備える。バックアップメモリは、主処理部に搭載され、かかる主処理部がリセットされてもデータを保持可能であり、書き換え可能である。判定部は、バックアップメモリへ二面書きされて一致確認されるデータの読み出し時に異常が発生した場合に、異常発生番地への再書き込みおよび再一致確認を行う第1確認処理、異常発生番地以外の番地への書き込みおよび読み出しによるECC異常発生確認を行う第2確認処理、ならびに、ECC異常注入によるECC異常発生確認を行う第3確認処理の組み合わせにより、異常の要因を特定する。【選択図】図6

Description

開示の実施形態は、異常判定装置および異常判定方法に関する。
従来、車両に搭載され、エンジンやトランスミッション、カーナビゲーションといった車両の各種システムをそれぞれ電子制御するECU(Electronic Control Unit)が知られている。かかるECUでは、内蔵されたマイコンが制御プログラムを実行することにより、割り当てられた各種機能を実現する。
また、ECUは、マイコンに搭載され、マイコンがリセットされてもデータを保持可能であり、書き換え可能でもあるバックアップRAM(Random Access Memory)を介したデータアクセスを行うことによって、たとえば重要なデータを保持し、処理する。
なお、こうしたバックアップRAMを介したデータアクセスの信頼性を確保するために、たとえばECC(Error Correcting Code)方式を用いてバックアップRAMのデータ読み出し時に発生する異常を検出する技術が知られている(たとえば、特許文献1参照)。
特開昭62-165254号公報
しかしながら、上述した従来技術には、バックアップRAMのデータ読み出し時に発生した異常の要因まで特定するうえで、更なる改善の余地がある。
実施形態の一態様は、上記に鑑みてなされたものであって、バックアップメモリのデータ読み出し時に発生した異常の要因を特定することができる異常判定装置および異常判定方法を提供することを目的とする。
実施形態の一態様に係る異常判定装置は、バックアップメモリと、判定部とを備える。前記バックアップメモリは、主処理部に搭載され、該主処理部がリセットされてもデータを保持可能であり、書き換え可能である。前記判定部は、前記バックアップメモリへ二面書きされて一致確認されるデータの読み出し時に異常が発生した場合に、異常発生番地への再書き込みおよび再一致確認を行う第1確認処理、前記異常発生番地以外の番地への書き込みおよび読み出しによるECC異常発生確認を行う第2確認処理、ならびに、ECC異常注入による前記ECC異常発生確認を行う第3確認処理の組み合わせにより、異常の要因を特定する。
実施形態の一態様によれば、バックアップメモリのデータ読み出し時に発生した異常の要因を特定することができる。
図1は、車載システムの概要説明図である。 図2は、実施形態に係る異常判定方法の概要説明図(その1)である。 図3は、実施形態に係る異常判定方法の概要説明図(その2)である。 図4は、実施形態に係る異常判定方法の概要説明図(その3)である。 図5は、実施形態に係る異常判定方法の概要説明図(その4)である。 図6は、実施形態に係るECUの構成例を示すブロック図である。 図7は、実施形態に係るECUのマイコンが実行する処理手順を示すフローチャート(その1)である。 図8は、実施形態に係るECUのマイコンが実行する処理手順を示すフローチャート(その2)である。 図9は、実施形態に係るECUのマイコンが実行する処理手順を示すフローチャート(その3)である。 図10は、第1リカバリ処理の処理手順を示すフローチャートである。 図11は、第2リカバリ処理の処理手順を示すフローチャートである。 図12は、リセット処理の処理手順を示すフローチャートである。 図13は、第1リカバリ処理後の通常処理の処理手順を示すフローチャートである。
以下、添付図面を参照して、本願の開示する異常判定装置および異常判定方法の実施形態を詳細に説明する。なお、以下に示す実施形態によりこの発明が限定されるものではない。
また、以下では、「ECC異常」と言った場合、たとえばシステム内部の電磁気的な干渉によるデータの符号誤りを指すものとする。したがって、「ECC異常発生」と言った場合、ECC方式により少なくともデータの符号誤りが検出されたものとする。なお、ここで、ECC方式による符号誤りの訂正までは含まなくともよいし、含んでもよい。
また、以下では、実施形態に係る異常判定方法の概要について図1~図5を用いて説明した後に、実施形態に係る異常判定方法を適用したECU10(「異常判定装置」の一例に相当)の構成例について、図6~図13を用いて説明することとする。
まず、本実施形態に係る異常判定方法の概要について図1~図5を用いて説明する。図1は、車載システム1の概要説明図である。また、図2~図5は、実施形態に係る異常判定方法の概要説明図(その1)~(その4)である。なお、図2は、比較例に係る異常判定方法の概要を示すものとなっている。
図1に示すように、車両Vは、車載システム1を備える。車載システム1は、複数のECU10-1~10-nを備える。ECU10-1~10-nは、CAN(Controller Area Network)等のネットワークNにより相互通信可能に接続され、それぞれ制御プログラムを実行することによって制御対象20-1~20-nを電子制御する。制御対象20-1~20-nは、たとえばエンジンやトランスミッション、カーナビゲーションといった各種システムである。
ここで、各ECU10が実行する制御プログラムは、ECU10が内蔵するマイコンが有するバックアップRAMを介したデータアクセス、すなわちデータの書き込みおよび読み出しを行う。これにより、たとえばマイコンがリセットされても、制御プログラムは、バックアップRAMに保持されたデータを用いて処理を行うことができる。
なお、こうしたバックアップRAMを介したデータアクセスの信頼性を確保するために、たとえば比較例に係る異常判定方法では、「二面確認」と「ECC異常発生確認」とを行う。
具体的には、図2に示すように、「二面確認」では、バックアップRAMにデータを書き込む際に2つの領域A,Bに対し同じデータを書き込み、読み出す際に領域A,Bからそれぞれ読み出して一致するか否かを判定する。言い換えれば、「二面確認」では、バックアップRAMの領域A,Bへ二面書きされたデータが読み出されて一致確認される。また、「ECC異常発生確認」では、バックアップRAMに接続されたECCモジュールが、ECC異常が発生したか否かを判定する。
そして、「二面確認」および「ECC異常発生確認」のうちの少なくともいずれかでNG(すなわち、「二面確認」の場合は不一致、「ECC異常発生確認」の場合は異常あり)となった場合には、「RAM故障」と判定される。
しかしながら、図3に示すように、「二面確認」における一致/不一致、および、「ECC異常発生確認」における異常あり/異常なしの各事象の組み合わせからは、「正常」以外の異常につき、#1~#7の要因を想定することが可能である。また、ひいては、これら#1~#7の要因に応じた、リカバリ可否判定およびリカバリが可能である。
これに対し、図2に示した比較例に係る異常判定方法では、一律に「RAM故障」と取り扱われてしまうため、たとえばリカバリが可能なケースであってもリカバリを行うことができない。
そこで、実施形態に係る異常判定方法では、バックアップRAMへ二面書きされて一致確認されるデータの読み出し時に異常が発生した場合に、第1確認処理、第2確認処理および第3確認処理の組み合わせにより、異常の要因を特定することとした。
具体的には、図4に示すように、実施形態に係る異常判定方法では、バックアップRAMのデータ読み出し時に異常が発生した場合に(図中の「少なくともいずれかでNG」参照)、第1確認処理として、領域A,Bへの再書き込みおよび再一致確認を行う(ステップS1)。
また、第2確認処理として、領域A,B以外の領域Cへの書き込みおよび読み出しによるECC異常発生確認を行う(ステップS2)。また、第3確認処理として、ECC異常注入によるECC異常発生確認を行う(ステップS3)。なお、ECC異常注入は、ECU10のマイコンが有する、意図的にECC異常を発生させることができる機能である。
そして、実施形態に係る異常判定方法では、これら第1確認処理、第2確認処理および第3確認処理の処理結果の組み合わせに基づいて、図3に示した異常の要因#1~#7を特定する。
また、実施形態に係る異常判定方法では、特定した要因#1~#7に応じて、リカバリ可否を判定する。リカバリ可否は、救済可否あるいは継続動作可否とも言うことができる。リカバリ可否は、たとえば車両Vの機能安全に関し、ISO 26262規格で定義されたリスク分類システムであるASIL(Automotive Safety Integrity Level)に基づいて判定される。
たとえばASILでは、ISO 26262に準拠する車載コンポーネントの危害発生の可能性と許容可能性に基づいて安全性要件を定めている。
これに基づき、実施形態に係る異常判定方法では、図5に示すように、異常の要因#1~#7のうち、ECCモジュール故障以外の要因である#1,#3~#5については、リカバリ可と判定する。また、ECCモジュール故障が要因である#2,#6,#7については、リカバリ不可と判定する。
また、実施形態に係る異常判定方法では、リカバリ可と判定した#1,#3~#5のうち、#1,#4については、第1リカバリ処理を実行する。また、それ以外の#3,#5については、第2リカバリ処理を実行する。
なお、図4に示した第1確認処理、第2確認処理および第3確認処理の組み合わせの詳細については、図7~図9を用いた説明で後述する。また、図5に示した第1リカバリ処理および第2リカバリ処理については、図10~図12を用いた説明で後述する。
このように、実施形態に係る異常判定方法は、バックアップRAMへ二面書きされて一致確認されるデータの読み出し時に異常が発生した場合に、第1確認処理、第2確認処理および第3確認処理の組み合わせにより、異常の要因を特定する。
第1確認処理では、領域A,Bへの再書き込みおよび再一致確認を行う。第2確認処理では、領域A,B以外の領域Cへの書き込みおよび読み出しによるECC異常発生確認を行う。第3確認処理では、ECC異常注入によるECC異常発生確認を行う。
したがって、実施形態に係る異常判定方法によれば、バックアップRAMのデータ読み出し時に発生した異常の要因を特定することができる。
以下、上述した実施形態に係る異常判定方法を適用したECU10の構成例について、さらに具体的に説明する。
図6は、実施形態に係るECU10の構成例を示すブロック図である。なお、図6では、本実施形態の特徴を説明するために必要な構成要素のみを機能ブロックで表しており、一般的な構成要素についての記載を省略している。
換言すれば、図6に図示される各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。例えば、各機能ブロックの分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することが可能である。
また、図6を用いた説明では、既に説明済みの構成要素については、説明を簡略するか、省略する場合がある。
図6に示すように、ECU10は、マイコン11と、電源IC12,13とを備える。まず、電源IC12,13から説明する。
電源IC12は、車両Vのバッテリ2に対し、たとえば図示略のイグニッションスイッチを介して接続され、マイコン11へバッテリ電源を供給する。また、電源IC12は、マイコン11からのリセット要求に応じてマイコン11をリセットさせる。
電源IC13は、車両Vのバッテリ2に接続され、後述するバックアップRAM111cに対しバッテリ電源を供給する。
マイコン11は、記憶部111と、ECCモジュール112と、制御部113とを備える。記憶部111は、たとえば、RAM、ROM(Read Only Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子等によって実現される。記憶部111は、レジスタおよびキャッシュを含む。
また、図6の例では、記憶部111は、制御プログラム111aと、使用中RAM情報111bとを記憶する。制御プログラム111aは、ECU10に割り当てられた電子制御機能を実現するためにマイコン11において実行されるプログラムである。使用中RAM情報111bは、バックアップRAM111cにおいて使用中の領域を示す情報である。なお、本実施形態では、使用中の領域の既定値は領域A,Bであるものとする。
また、記憶部111は、バックアップRAM111cを含む。バックアップRAM111cは、バッテリ2から供給される電力により、バッテリ2が保たれている間、内部に格納されているデータを保持することができるRAMである。言い換えれば、バックアップRAM111cは、装置電源が保たれていれば情報を保持可能なメモリである。バックアップRAM111cは、たとえばフリップフロップで構成されたSRAM(Static Random Access Memory)によって実現される。
ECCモジュール112は、記憶部111に接続され、後述するプログラム実行部113aがバックアップRAM111cを介したデータアクセスを行う際に、上述した「ECC異常発生確認」処理を実行する。また、ECCモジュール112は、「ECC異常発生確認」処理の処理結果を後述する判定部113bへ出力する。
制御部113は、コントローラ(controller)であり、たとえば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、マイコン11内部の記憶デバイスに記憶されている各種プログラム(たとえば制御プログラム111a)がRAMを作業領域として実行されることにより実現される。また、制御部113は、たとえば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現することができる。
制御部113は、プログラム実行部113aと、判定部113bと、リカバリ処理部113cとを有し、以下に説明する情報処理の機能や作用を実現または実行する。
プログラム実行部113aは、制御プログラム111aを読み出して実行することにより、ECU10に割り当てられた電子制御機能を実現する。また、プログラム実行部113aは、たとえば処理上の重要なデータにつき、バックアップRAM111cを介したデータアクセスを行いつつ、処理を実行する。
判定部113bは、プログラム実行部113aがバックアップRAM111cを介したデータアクセスを行う際に、上述した「二面確認」処理を実行するとともに、ECCモジュール112からの「ECC異常発生確認」処理の処理結果を取得する。
また、判定部113bは、「二面確認」処理の処理結果および「ECC異常発生確認」処理の処理結果に基づき、バックアップRAM111cのデータ読み出し時に異常が発生したか否かを判定する。
また、判定部113bは、バックアップRAM111cのデータ読み出し時に異常が発生した場合に、上述した第1確認処理、第2確認処理および第3確認処理を実行する。
図6に示すように、判定部113bは、第1確認処理部113baと、第2確認処理部113bbと、第3確認処理部113bcとを有する。第1確認処理部113baは、第1確認処理を実行する。第2確認処理部113bbは、第2確認処理を実行する。第3確認処理部113bcは、第3確認処理を実行する。
また、判定部113bは、第1確認処理、第2確認処理および第3確認処理の組み合わせに基づき、バックアップRAM111cのデータ読み出し時に異常が発生した場合の異常の要因#1~#7(図3参照)を特定する。また、判定部113bは、特定された要因をリカバリ処理部113cへ出力する。
リカバリ処理部113cは、判定部113bによって特定された要因#1~#7に基づき、所定のリカバリ処理を実行する。リカバリ処理部113cは、特定された要因が#1,#4である場合に、リカバリ可であると判定し、第1リカバリ処理を実行する。また、リカバリ処理部113cは、特定された要因が#3,#5である場合に、リカバリ可であると判定し、第2リカバリ処理を実行する。
図6に示すように、リカバリ処理部113cは、第1リカバリ処理部113caと、第2リカバリ処理部113cbとを有する。
第1リカバリ処理部113caは、第1リカバリ処理を実行する。第1リカバリ処理では、マイコン11を誤動作防止のために一旦リセットし、バックアップRAM111cへのデータアクセスに際して使用する領域を領域A,B以外の別領域(たとえば領域Y,Z)に切り替えて、マイコン11を通常の処理へ移行させる。
第2リカバリ処理部113cbは、第2リカバリ処理を実行する。第2リカバリ処理では、第1リカバリ処理と同様にマイコン11を一旦リセットし、バックアップRAM111cへのデータアクセスに際して使用する領域は領域A,Bに保持したまま、マイコン11を通常の処理へ移行させる。
なお、リカバリ処理部113cは、マイコン11のリセットに際しては、電源IC12へリセット要求を出力する。
また、リカバリ処理部113cは、特定された要因が#2,#6,#7である場合に、リカバリ不可であると判定し、マイコン11を継続動作不可確定時のシーケンスへ移行させる。なお、継続動作不可確定時のシーケンスは、一例として、たとえばECU10が自動運転制御を実行するECUである場合、自動運転制御の継続が不可であるとして、車両Vを安全に路肩等へ緊急停止させるようなシーケンスを指す。
次に、実施形態に係るECU10のマイコン11が実行する処理手順について、図7~図13を用いて説明する。図7~図9は、実施形態に係るECU10のマイコン11が実行する処理手順を示すフローチャート(その1)~(その3)である。
また、図10は、第1リカバリ処理の処理手順を示すフローチャートである。また、図11は、第2リカバリ処理の処理手順を示すフローチャートである。また、図12は、リセット処理の処理手順を示すフローチャートである。また、図13は、第1リカバリ処理後の通常処理の処理手順を示すフローチャートである。
図7に示すように、プログラム実行部113aは、使用中RAM情報111bに基づき、領域A,Bを使用中であるか否かを判定する(ステップS101)。ここで、領域A,Bを使用中である場合(ステップS101,Yes)、プログラム実行部113aは、領域A,Bの読み出しを行う(ステップS102)。
そして、判定部113bが、かかる読み出しに際しての「ECC異常発生確認」においてECC異常が発生したか否かを判定する(ステップS103)。
ここで、ECC異常が発生しなかった場合については(ステップS103,No)、図9を用いた説明で後述する。一方、ECC異常が発生した場合(ステップS103,Yes)、つづいて判定部113bは、ステップS102の読み出しに際しての「二面確認」において領域A,Bのデータが一致したか否かを判定する(ステップS104)。
ここで、領域A,Bのデータが一致しなかった場合については(ステップS104,No)、図8を用いた説明で後述する。一方、領域A,Bのデータが一致した場合(ステップS104,Yes)、判定部113bは、領域Cへ任意のデータを書き込んで読み出す(ステップS105)。
そして、判定部113bは、かかる読み出しに際しての「ECC異常発生確認」においてECC異常が発生したか否かを判定する(ステップS106)。なお、ステップS105,S106は、上述した「第2確認処理」に相当する。
そして、ここでECC異常が発生しなかった場合(ステップS106,No)、判定部113bは、異常の要因を#1と特定する(ステップS107)。そして、これに基づき、リカバリ処理部113cはリカバリ可と判定し(ステップS108)、第1リカバリ処理を実行する(ステップS109)。
一方、ECC異常が発生した場合(ステップS106,Yes)、判定部113bは、異常の要因を#2と特定する(ステップS110)。そして、これに基づき、リカバリ処理部113cはリカバリ不可と判定し(ステップS111)、マイコン11を継続動作不可確定時のシーケンスへ移行させる。
なお、ステップS101で、領域A,Bを使用中でない場合(ステップS101,No)、プログラム実行部113aは、第1リカバリ処理後の通常処理を実行する(ステップS112)。かかる処理については、図13を用いた説明で後述する。
また、ステップS104で領域A,Bのデータが一致しなかった場合であるが(ステップS104,No)、かかる場合は、図8に示すように、判定部113bが、領域A,Bへ任意のデータを書き込んで読み出す(ステップS201)。
そして、判定部113bは、かかる読み出しに際しての「二面確認」において領域A,Bのデータが一致したか否かを判定する(ステップS202)。なお、ステップS201,S202は、上述した「第1確認処理」に相当する。
そして、ここで領域A,Bのデータが一致した場合(ステップS202,Yes)、判定部113bは、異常の要因を#3と特定する(ステップS203)。そして、これに基づき、リカバリ処理部113cはリカバリ可と判定し(ステップS204)、第2リカバリ処理を実行する(ステップS205)。
一方、領域A,Bのデータが一致しなかった場合(ステップS202,No)、判定部113bは、異常の要因を#4と特定する(ステップS206)。そして、これに基づき、リカバリ処理部113cはリカバリ可と判定し(ステップS207)、第1リカバリ処理を実行する(ステップS208)。
つづいて、図7のステップS103でECC異常が発生しなかった場合であるが(ステップS103,No)、かかる場合は、図9に示すように、判定部113bが、図7のステップS102の読み出しに際しての「二面確認」において領域A,Bのデータが一致したか否かを判定する(ステップS301)。
ここで、領域A,Bのデータが一致しなかった場合(ステップS301,No)、判定部113bは、領域A,BへECC異常注入を行う(ステップS302)。そして、判定部113bは、領域A,Bの読み出しを行う(ステップS303)。
そして、判定部113bは、かかる読み出しに際しての「ECC異常発生確認」においてECC異常が発生したか否かを判定する(ステップS304)。なお、ステップS302~S304は、上述した「第3確認処理」に相当する。
ここで、ECC異常が発生した場合(ステップS304,Yes)、判定部113bは、異常の要因を#5と特定する(ステップS305)。そして、これに基づき、リカバリ処理部113cはリカバリ可と判定し(ステップS306)、第2リカバリ処理を実行する(ステップS307)。
一方、ECC異常が発生しなかった場合(ステップS304,No)、判定部113bは、領域A,Bへ任意のデータを書き込んで読み出す(ステップS308)。
そして、判定部113bは、かかる読み出しに際しての「二面確認」において領域A,Bのデータが一致したか否かを判定する(ステップS309)。なお、ステップS308,S309は、上述した「第1確認処理」に相当する。
そして、ここで領域A,Bのデータが一致した場合(ステップS309,Yes)、判定部113bは、異常の要因を#6と特定する(ステップS310)。一方、領域A,Bのデータが一致しなかった場合(ステップS309,No)、判定部113bは、異常の要因を#7と特定する(ステップS311)。
そして、これらに基づき、リカバリ処理部113cは、要因#6,#7のいずれの場合もリカバリ不可と判定し(ステップS312)、マイコン11を継続動作不可確定時のシーケンスへ移行させる。
また、ステップS301で領域A,Bのデータが一致した場合(ステップS301,Yes)、判定部113bは、正常と判定し(ステップS313)、バックアップRAM111cの読み出し1回分の処理を終了する。
次に、特定された異常の要因が#1,#4である場合に実行される第1リカバリ処理、および、要因が#3,#5である場合に実行される第2リカバリ処理の処理手順について説明する。
図10に示すように、第1リカバリ処理では、リカバリ処理部113cが、使用中RAM情報111bの使用中RAMを領域A,Bからたとえば領域Y,Zへ切り替える(ステップS401)。そして、リカバリ処理部113cは、リセット処理を実行する(ステップS402)。
また、図11に示すように、第2リカバリ処理では、リカバリ処理部113cが、リセット処理を実行する(ステップS501)。ここで、図10および図11に示したリセット処理について説明する。
図12に示すように、リセット処理では、リカバリ処理部113cが電源IC12へリセット要求を出力し、かかるリセット要求に基づいて電源IC12がマイコン11をリセットさせる(ステップS601)。
リセットされたマイコン11は、起動時の各種初期設定を行う(ステップS602)。そして、マイコン11は、領域Y,Zを使用中であるか否かを判定する(ステップS603)。領域Y,Zを使用中であるか否かを判定することは、第1リカバリ処理の実行後であるか否かを判定することである。
ここで、領域Y,Zを使用中である場合(ステップS603,Yes)、ステップS605へ移行する。また、領域Y,Zを使用中でない場合(ステップS603,No)、使用中RAM情報111bへ既定値である領域A,Bを設定する(ステップS604)。
そして、マイコン11は、バックアップRAM111cへ初期値を書き込み(ステップS605)、通常処理、すなわち図7に示したステップS101へ移行する。
次に、図7のステップS112として示した第1リカバリ処理後の通常処理の処理手順について説明する。図13に示すように、第1リカバリ処理後の通常処理では、プログラム実行部113aは、領域Y,Zの読み出しを行う(ステップS701)。
そして、判定部113bが、かかる読み出しに際しての「ECC異常発生確認」においてECC異常が発生したか否かを判定する(ステップS702)。
ここで、ECC異常が発生しなかった場合(ステップS702,No)、つづいて判定部113bは、ステップS701の読み出しに際しての「二面確認」において領域Y,Zのデータが一致したか否かを判定する(ステップS703)。
ここで、領域Y,Zのデータが一致した場合(ステップS703,Yes)、判定部113bは、正常と判定し(ステップS704)、第1リカバリ処理後の通常処理におけるバックアップRAM111cの読み出し1回分の処理を終了する。
また、ステップS702でECC異常が発生した場合(ステップS702,Yes)、または、ステップS703で領域Y,Zのデータが一致しなかった場合(ステップS703,No)、第1リカバリ処理後の異常であるため、リカバリ処理部113cはリカバリ不可と判定する(ステップS705)。そして、リカバリ処理部113cは、マイコン11を継続動作不可確定時のシーケンスへ移行させる。
上述してきたように、実施形態に係るECU10(「異常判定装置」の一例に相当)は、バックアップRAM111c(「バックアップメモリ」の一例に相当)と、判定部113bとを備える。バックアップRAM111cは、マイコン11(「主処理部」の一例に相当)に搭載され、マイコン11がリセットされてもデータを保持可能であり、書き換え可能である。判定部113bは、バックアップRAM111cへ二面書きされて一致確認されるデータの読み出し時に異常が発生した場合に、領域A,B(「異常発生番地」の一例に相当)への再書き込みおよび再一致確認を行う第1確認処理、領域A,B以外の領域C(「異常発生番地以外の番地」の一例に相当)への書き込みおよび読み出しによるECC異常発生確認を行う第2確認処理、ならびに、ECC異常注入によるECC異常発生確認を行う第3確認処理の組み合わせにより、異常の要因を特定する。
したがって、実施形態に係るECU10によれば、バックアップRAM111cのデータ読み出し時に発生した異常の要因を特定することができる。
また、実施形態に係るECU10は、リカバリ処理部113cをさらに備える。リカバリ処理部113cは、判定部113bによって異常の要因がECC異常発生確認を行うECCモジュール112の故障以外の要因であると特定された場合に、所定のリカバリ処理を実行する。
したがって、実施形態に係るECU10によれば、バックアップRAM111cのデータ読み出し時に異常が発生した場合であっても、リカバリ可である場合には、ECU10を継続動作させることが可能となる。また、これにより、ディーラー等での修理対応工数を削減させることが可能となる。
また、リカバリ処理部113cは、判定部113bによって異常の要因が領域A,BにおけるRAM故障(「異常発生番地におけるメモリ故障」の一例に相当)であると特定された場合に、マイコン11をリセットし、マイコン11に領域Y,Z(「異常発生番地以外の番地」の一例に相当)を使用して通常処理を行わせる第1リカバリ処理を実行する。
したがって、実施形態に係るECU10によれば、領域A,BにおけるRAM故障に応じたリカバリ処理により、継続動作することが可能となる。
また、リカバリ処理部113cは、判定部113bによって異常の要因がRAM故障以外の要因であると特定された場合に、マイコン11をリセットし、マイコン11に領域A,Bを継続的に使用して通常処理を行わせる第2リカバリ処理を実行する。
したがって、実施形態に係るECU10によれば、領域A,BにおけるRAM故障以外の要因、たとえばマイコン11の電源瞬断によるデータ消失や、CPU誤動作による別データの書き込み等の要因に応じたリカバリ処理により、継続動作することが可能となる。
また、リカバリ処理部113cは、判定部113bによって異常の要因がECCモジュール112の故障であると特定された場合に、リカバリ不可であると判定し、マイコン11を継続動作不可確定時のシーケンスへ移行させる。
したがって、実施形態に係るECU10によれば、ECCモジュール112の故障に応じた処置をとることが可能となり、機能安全を保つことが可能となる。
また、実施形態に係るECU10は、車両Vに搭載される。
したがって、実施形態に係るECU10によれば、たとえばASILに則した機能安全を保つことが可能となる。
なお、上述した実施形態では、KAM(Keep Alive Memory)とも呼ばれるバックアップRAM111cを例に挙げたが、書き換えが可能であり、マイコン11がリセットされても情報を保持可能なバックアップメモリであればよい。したがって、EEPROM(Electrically Erasable Programmable ROM)や、データフラッシュ等であってもよい。
また、上述した実施形態では、ECU10は車両Vに設けられることとしたが、無論、車両Vに限られるものではなく、たとえば船舶や航空機等に設けられてもよい。また、マイコン11は、ECU10に内蔵されることとしたが、無論、ECU10以外の電子制御装置に設けられてもよい。
さらなる効果や変形例は、当業者によって容易に導き出すことができる。このため、本発明のより広範な態様は、以上のように表しかつ記述した特定の詳細および代表的な実施形態に限定されるものではない。したがって、添付の特許請求の範囲およびその均等物によって定義される総括的な発明の概念の精神または範囲から逸脱することなく、様々な変更が可能である。
1 車載システム
10 ECU
11 マイコン
12 電源IC
13 電源IC
111 記憶部
111a 制御プログラム
111b 使用中RAM情報
111c バックアップRAM
112 ECCモジュール
113 制御部
113a プログラム実行部
113b 判定部
113ba 第1確認処理部
113bb 第2確認処理部
113bc 第3確認処理部
113c リカバリ処理部
113ca 第1リカバリ処理部
113cb 第2リカバリ処理部
V 車両

Claims (7)

  1. 主処理部に搭載され、該主処理部がリセットされてもデータを保持可能であり、書き換え可能なバックアップメモリと、
    前記バックアップメモリへ二面書きされて一致確認されるデータの読み出し時に異常が発生した場合に、異常発生番地への再書き込みおよび再一致確認を行う第1確認処理、前記異常発生番地以外の番地への書き込みおよび読み出しによるECC異常発生確認を行う第2確認処理、ならびに、ECC異常注入による前記ECC異常発生確認を行う第3確認処理の組み合わせにより、異常の要因を特定する判定部と
    を備えることを特徴とする異常判定装置。
  2. 前記判定部によって異常の要因が前記ECC異常発生確認を行うECCモジュールの故障以外の要因であると特定された場合に、所定のリカバリ処理を実行するリカバリ処理部
    をさらに備えることを特徴とする請求項1に記載の異常判定装置。
  3. 前記リカバリ処理部は、
    前記判定部によって異常の要因が前記異常発生番地におけるメモリ故障であると特定された場合に、前記主処理部をリセットし、前記主処理部に前記異常発生番地以外の番地を使用して通常処理を行わせる第1リカバリ処理を実行する
    ことを特徴とする請求項2に記載の異常判定装置。
  4. 前記リカバリ処理部は、
    前記判定部によって異常の要因が前記メモリ故障以外の要因であると特定された場合に、前記主処理部をリセットし、前記主処理部に前記異常発生番地を継続的に使用して前記通常処理を行わせる第2リカバリ処理を実行する
    ことを特徴とする請求項3に記載の異常判定装置。
  5. 前記リカバリ処理部は、
    前記判定部によって異常の要因が前記ECCモジュールの故障であると特定された場合に、リカバリ不可であると判定し、前記主処理部を継続動作不可確定時のシーケンスへ移行させる
    ことを特徴とする請求項2、3または4に記載の異常判定装置。
  6. 車両に搭載されることを特徴とする請求項1~5のいずれか一つに記載の異常判定装置。
  7. 主処理部に搭載され、該主処理部がリセットされてもデータを保持可能であり、書き換え可能なバックアップメモリを備える異常判定装置を用いた異常判定方法であって、
    前記バックアップメモリへ二面書きされて一致確認されるデータの読み出し時に異常が発生した場合に、異常発生番地への再書き込みおよび再一致確認を行う第1確認処理、前記異常発生番地以外の番地への書き込みおよび読み出しによるECC異常発生確認を行う第2確認処理、ならびに、ECC異常注入による前記ECC異常発生確認を行う第3確認処理の組み合わせにより、異常の要因を特定する判定工程
    を含むことを特徴とする異常判定方法。
JP2020136356A 2020-08-12 2020-08-12 異常判定装置および異常判定方法 Pending JP2022032510A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020136356A JP2022032510A (ja) 2020-08-12 2020-08-12 異常判定装置および異常判定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020136356A JP2022032510A (ja) 2020-08-12 2020-08-12 異常判定装置および異常判定方法

Publications (1)

Publication Number Publication Date
JP2022032510A true JP2022032510A (ja) 2022-02-25

Family

ID=80350015

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020136356A Pending JP2022032510A (ja) 2020-08-12 2020-08-12 異常判定装置および異常判定方法

Country Status (1)

Country Link
JP (1) JP2022032510A (ja)

Similar Documents

Publication Publication Date Title
JP4803168B2 (ja) 車両用情報記憶装置
US9202591B2 (en) On-line memory testing systems and methods
US8166353B2 (en) Memory management apparatus
US8140216B2 (en) Method of detecting manipulation of a programmable memory device of a digital controller
JP4227149B2 (ja) 電子制御装置の情報記憶方法
JP5576557B2 (ja) プロセッサシステム及びその制御方法
CN110809755A (zh) 电子控制系统
JP7091486B2 (ja) 電子制御装置、電子制御装置のセキュリティ検証方法
US20100262316A1 (en) Vehicle control apparatus
US10585772B2 (en) Power supply diagnostic strategy
JP6869743B2 (ja) 自動車用電子制御装置
JP2022032510A (ja) 異常判定装置および異常判定方法
US20170052850A1 (en) Numerical controller
JP2015210669A (ja) プログラム書き換え方法
US20190355188A1 (en) Method for authenticating a diagnostic trouble code generated by a motor vehicle system of a vehicle
JP3296043B2 (ja) 車両用電子制御装置
JP2009026183A (ja) 自動車用電子制御装置
JP4041216B2 (ja) 異常検出方法および異常検出装置
JP4844214B2 (ja) 電子制御システム
JP2004021520A (ja) 車両用電子制御装置
US8095262B2 (en) Vehicular control apparatus and program storage medium
WO2019064644A1 (ja) 電子制御装置及び制御プログラム検証方法
JP2014085770A (ja) 情報処理装置
JP7029366B2 (ja) 自動車用電子制御装置
JP4639920B2 (ja) 電子制御装置