[发明专利]车辆控制装置

说明书

技术领域

本发明涉及一种车辆控制装置。

背景技术

作为实施汽车的引擎控制等的车辆控制装置，使用搭载了微控制器(微型计算机)的ECU(Electronic Control Unit：电子控制单元)。搭载在微型计算机上的软件一般由记述了控制处理的应用程序、记述了输入输出处理的设备驱动器以及操作系统(OS)等构成。

车辆控制装置为了实施与车辆乘务员的安全性直接相关的控制，要求很高的安全性。随着近年来的控制高度化和规模的增大，为了安装满足高安全性的车辆控制装置，需要大的开发工时成为课题。因此，考虑不是根据高安全度水平所对应的开发工序来开发车辆控制装置的所有开发要素，而是对于要求高安全性的部分根据高安全度水平所对应的开发工序进行开发，对于其他部分根据通常的开发工序等来进行开发。这样，能够兼顾高安全性和开发工时的抑制。这样的方法被称为安全度的分离(Decomposition分解)(非专利文献1)。

除了开发工序中的安全度的分离，还考虑如果安全度水平不同的软件能够相互不干扰地搭载在相同的微型计算机上，则能够维持高安全度水平地使ECU的安装成本最优化。特别是使得各个软件进行存取的存储器区域相互不干扰的技术被称为存储器保护。

通常通过监视用于对微型计算机内的存储器区域进行访问的地址总线的、被称为MPU(Memory Protection Unit：存储器保护单元)的专用的硬件来实现存储器保护。使用MPU来实施存储器保护的微型计算机具有不同的动作模式，使各动作模式分别与安全度水平对应。典型的是，使用MPU来保护存储器的微型计算机具有用户模式和特权模式作为动作模式，使用户模式对应低安全软件(所要求的安全性低)，使特权模式对应高安全软件(所要求的安全性高)。

在切换动作模式时，将存储表示当前动作模式的值的权限设定寄存器进行改写。在从用户模式转移到特权模式时，一般禁止在用户模式进行动作的低安全软件改写权限设定寄存器。目的是防止由于通过用户模式进行动作的低安全软件的故障等而将意外的动作传播到高安全软件一侧的情况。因此在从用户模式转移到特权模式时，经由中断控制装置而产生预定的中断处理，从而转移到特权模式。

在下述专利文献1中记载有以下的结构例，即将安全关联应用和非安全管理应用搭载到相同的硬件上，一边切换用户模式和特权模式一边执行各个应用。

现有技术文献

专利文献

专利文献1：日本特开2012-247978号公报

非专利文献

非专利文献1：ISO26262Functional Safety：Automotive Road Vehicle

发明内容

发明要解决的问题

需要配合车辆动作在最佳的定时实施车辆的控制运算，有适合计算各个控制参数的执行周期。一般执行周期越短的作业将执行优先度设定得越高，而执行周期越长的作业将优先度设定得越低。另一方面，通过搭载在微型计算机内的中断控制器来管理上述的中断控制。中断控制器启动与中断主要原因对应的中断处理。中断处理与上述每个执行周期的处理独立地被启动，因此需要适当地设定中断处理的优先度使得每个执行周期的处理通过中断处理而不延迟。

当微型计算机的动作模式在用户模式和特权模式之间进行转移时，如上述那样会产生中断处理。与请求了中断处理的软件安全度不同地对该中断处理一律赋予相同的优先度。因此按照产生的顺序来执行各个中断处理。

但是，实际上请求中断处理的软件的安全度是各种各样的。考虑例如用于从低安全软件调用高安全软件上的功能的中断处理是与低安全软件相同程度的优先度，但是有可能通过先执行该中断处理使得后续的优先度高的处理进行等待。该现象被称为优先度逆转，成为在预定的执行周期以内处理没有完成的原因。

本发明是鉴于以上问题而提出的，其目的为在执行安全度水平不同的多个控制软件的车辆控制装置中，通过与安全度水平对应的适当的执行优先度来执行控制软件而抑制优先度逆转。

用于解决课题的手段

本发明的车辆控制装置具备执行等待作业列表，该执行等待作业列表保持等待由处理器执行的作业一览，从低安全软件调用高安全软件的请求被插入到与低安全软件的执行优先度对应的执行等待作业列表内的位置。

发明的效果

根据本发明的车辆控制装置，通过将从低安全软件调用高安全软件的请求暂时存储到执行等待作业列表内，能够抑制由于中断请求引起的优先度逆转。

附图说明

图1是实施方式1的车辆控制装置100的功能框图。