JP6398829B2 - Electronic control unit - Google Patents

Electronic control unit Download PDF

Info

Publication number
JP6398829B2
JP6398829B2 JP2015063294A JP2015063294A JP6398829B2 JP 6398829 B2 JP6398829 B2 JP 6398829B2 JP 2015063294 A JP2015063294 A JP 2015063294A JP 2015063294 A JP2015063294 A JP 2015063294A JP 6398829 B2 JP6398829 B2 JP 6398829B2
Authority
JP
Japan
Prior art keywords
signal
reset
output
fail
electronic control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015063294A
Other languages
Japanese (ja)
Other versions
JP2016070265A (en
Inventor
吉保 二村
吉保 二村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to DE102015218774.8A priority Critical patent/DE102015218774B4/en
Publication of JP2016070265A publication Critical patent/JP2016070265A/en
Application granted granted Critical
Publication of JP6398829B2 publication Critical patent/JP6398829B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Combined Controls Of Internal Combustion Engines (AREA)
  • Control Of Throttle Valves Provided In The Intake System Or In The Exhaust System (AREA)

Description

本発明は、少なくとも1つの負荷の駆動を制御する制御部と、制御部が正常に動作しているか否かを監視する監視部と、を備える電子制御装置に関する。   The present invention relates to an electronic control device including a control unit that controls driving of at least one load and a monitoring unit that monitors whether or not the control unit is operating normally.

特許文献1には、少なくとも1つの負荷の駆動を制御するマイコン(制御部)と、マイコンが正常に動作しているか否かを監視する監視IC(監視部)と、を備える電子制御装置が開示されている。   Patent Document 1 discloses an electronic control device that includes a microcomputer (control unit) that controls driving of at least one load and a monitoring IC (monitoring unit) that monitors whether the microcomputer is operating normally. Has been.

特開2011−127546号公報JP 2011-127546 A

図6は、特許文献1に記載の従来の電子制御装置における監視ICの概略構成を示している。図7は、マイコン異常時の動作例を示すタイミングチャートである。なお、図6では、後述する本実施形態の要素と共通乃至関連する要素に対し、本実施形態の要素の符号に100を加算した符号を付与している。また、ここでは、従来の電子制御装置が、車両のエンジンECU(Electronic Control Unit)に適用された場合について説明する。   FIG. 6 shows a schematic configuration of a monitoring IC in the conventional electronic control device described in Patent Document 1. FIG. 7 is a timing chart showing an operation example when the microcomputer is abnormal. In FIG. 6, elements obtained by adding 100 to elements of the present embodiment are assigned to elements that are common to or related to elements of the present embodiment described later. Here, a case where a conventional electronic control device is applied to an engine ECU (Electronic Control Unit) of a vehicle will be described.

図示しないマイコンは、負荷として、インジェクタ、点火プラグ、及びスロットルバルブを開閉するためのモータの駆動を制御する。マイコンは、あらかじめ決定されたタイミングごとに、所定の監視データ(たとえば所定の真偽パターン)を監視ICに出力する。   A microcomputer (not shown) controls driving of a motor for opening and closing an injector, a spark plug, and a throttle valve as a load. The microcomputer outputs predetermined monitoring data (for example, a predetermined true / false pattern) to the monitoring IC at each predetermined timing.

図6に示すように、監視IC121は、異常検出部130と、フェールセーフ部131と、を有している。異常検出部130は、上記監視データに基づいて、マイコンが正常に動作しているか否かを判定する。そして、マイコンの異常を検出すると、異常信号(たとえばHレベルの信号)をフェールセーフ部131に出力する。   As shown in FIG. 6, the monitoring IC 121 includes an abnormality detection unit 130 and a fail safe unit 131. The abnormality detection unit 130 determines whether the microcomputer is operating normally based on the monitoring data. When an abnormality of the microcomputer is detected, an abnormality signal (for example, an H level signal) is output to the fail safe unit 131.

フェールセーフ部131は、たとえばカウンタ131aを有している。ここでは、カウンタ131aとしてダウンカウンタを採用している。カウンタ131aは、異常信号をトリガとしつつ内部クロックにしたがって、図7に示すように、異常確定閾値からダウンカウントする。カウント値がゼロになると、カウンタ131a、すなわちフェールセーフ部131は、上記した負荷のうちでモータを、予め設定された退避状態に保持させるために、図示しないETC(Electronic Throttle Control)ドライバに、フェールセーフ信号(たとえばHレベルの信号)を出力する。   The fail safe unit 131 has a counter 131a, for example. Here, a down counter is adopted as the counter 131a. As shown in FIG. 7, the counter 131a counts down from the abnormality determination threshold according to the internal clock while using the abnormality signal as a trigger. When the count value becomes zero, the counter 131a, that is, the fail safe unit 131, causes the ETC (Electronic Throttle Control) driver (not shown) to fail in order to keep the motor in the preset retracted state among the loads described above. A safe signal (for example, an H level signal) is output.

ETCドライバは、フェールセーフ信号の出力が停止、すなわち監視IC121から入力される信号がLレベルの場合、マイコンからの制御信号にしたがってスロットル駆動信号を出力し、モータへの通電を行う。一方、フェールセーフ信号が入力されると、ETCドライバは、モータに対してスロットル停止信号を出力する。これにより、モータ制御停止となり、スロットルバルブが閉塞され、アクセルペダルが操作されていないときと同じ状態となる。そして、車両は、低速での退避走行となる。   When the output of the fail-safe signal is stopped, that is, when the signal input from the monitoring IC 121 is at the L level, the ETC driver outputs a throttle drive signal in accordance with a control signal from the microcomputer and energizes the motor. On the other hand, when a fail safe signal is input, the ETC driver outputs a throttle stop signal to the motor. As a result, the motor control is stopped, the throttle valve is closed, and the state is the same as when the accelerator pedal is not operated. The vehicle then runs at a low speed.

しかしながら、上記した従来の電子制御装置では、マイコン異常の状態から、マイコンの正常復帰を試みる手段がない。したがって、宇宙線によるデータ化けのように、マイコンの異常が一時的な場合でも、マイコンを正常復帰させることができない。このように、フェールセーフに対する処置が敏感であった。   However, in the above-described conventional electronic control device, there is no means for attempting normal recovery of the microcomputer from the state of abnormality of the microcomputer. Therefore, the microcomputer cannot be returned to normal even if the abnormality of the microcomputer is temporary, such as garbled data. Thus, the treatment for fail-safe was sensitive.

一方、マイコンの異常を検出し、異常時にマイコンをリセットさせる機構(たとえばウォッチドッグ検出機構)が知られている。図8は、図6に示した監視IC121にマイコンをリセットさせる機能を追加した構成を示している。図9は、図8に示す構成において、マイコン異常時の動作例を示すタイミングチャートである。   On the other hand, a mechanism (for example, a watchdog detection mechanism) that detects an abnormality of the microcomputer and resets the microcomputer when the abnormality occurs is known. FIG. 8 shows a configuration in which a function for resetting the microcomputer is added to the monitoring IC 121 shown in FIG. FIG. 9 is a timing chart showing an operation example when the microcomputer is abnormal in the configuration shown in FIG.

図8に示すように、監視IC121は、異常検出部130及びフェールセーフ部131に加えて、リセット部132を有している。リセット部132は、たとえばカウンタ132aと、NOTゲート132bと、を有している。ここでは、カウンタ132aとしてダウンカウンタを採用している。カウンタ132aは異常信号をトリガとしつつ内部クロックにしたがって、図9に示すように、リセット閾値からダウンカウントする。カウント値がゼロになると、カウンタ132aは、一定時間、Hレベルの信号を出力する。この信号は、NOTゲート132bにて反転され、Lレベルの信号としてマイコンに出力される。このリセット部132から一定時間出力されるLレベルの信号が、リセット信号である。一定時間経過後、マイコンのリセット状態が解除されるとともに、カウンタ132aのカウント値もクリアされて、リセット閾値に戻る。   As shown in FIG. 8, the monitoring IC 121 includes a reset unit 132 in addition to the abnormality detection unit 130 and the fail safe unit 131. The reset unit 132 includes, for example, a counter 132a and a NOT gate 132b. Here, a down counter is employed as the counter 132a. As shown in FIG. 9, the counter 132a counts down from the reset threshold according to the internal clock while using the abnormal signal as a trigger. When the count value becomes zero, the counter 132a outputs an H level signal for a predetermined time. This signal is inverted by the NOT gate 132b and output to the microcomputer as an L level signal. The L level signal output from the reset unit 132 for a predetermined time is a reset signal. After a certain time has elapsed, the reset state of the microcomputer is released, and the count value of the counter 132a is also cleared, returning to the reset threshold value.

この構成によれば、マイコンの異常が一時的な場合に、リセット処理によって、マイコンを正常復帰させることができる。しかしながら、図9に示すように、マイコンの異常が恒久的な場合、リセットが繰り返しなされることとなる。マイコンがリセットされている間は、モータだけでなく、インジェクタや点火プラグも制御停止となる。フェールセーフ信号が出力されている間にリセットがなされると、リセット期間以外でしか噴射、点火ができないため、エンジントルクが出ず、エンジンがストール状態となってしまう虞がある。   According to this configuration, when the abnormality of the microcomputer is temporary, the microcomputer can be returned to normal by the reset process. However, as shown in FIG. 9, when the abnormality of the microcomputer is permanent, the reset is repeatedly performed. While the microcomputer is being reset, not only the motor but also the injector and spark plug are stopped. If reset is performed while the fail safe signal is being output, injection and ignition can be performed only during a period other than the reset period, so that engine torque may not be generated and the engine may be stalled.

このように、マイコンにより制御される負荷の少なくとも1つについて、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なる場合、フェールセーフ信号の出力中に、リセット信号が出力されると、所定のフェールセーフ処理(たとえば退避走行)を実行することができなくなる。   As described above, for at least one of the loads controlled by the microcomputer, when the drive state when the fail-safe signal is output and the drive state when the reset signal is output are different, If a reset signal is output during output, a predetermined fail-safe process (for example, retreat travel) cannot be executed.

なお、マイコンが1つの負荷のみを制御し、フェールセーフ信号が出力されているときと、リセット信号が出力されているときの負荷の駆動状態が異なる場合にも、同様の問題が生じる。   The same problem occurs when the microcomputer controls only one load and the drive state of the load is different when the fail-safe signal is output and when the reset signal is output.

本発明は上記問題点に鑑み、一時的な制御部の異常に対して制御部を復帰させることができ、且つ、恒久的な制御部の異常に対して所定のフェールセーフ処理を実行することができる電子制御装置を提供することを目的とする。   In view of the above problems, the present invention is capable of returning a control unit to a temporary control unit abnormality and executing a predetermined fail-safe process for a permanent control unit abnormality. An object of the present invention is to provide an electronic control device that can be used.

ここに開示される発明は、上記目的を達成するために以下の技術的手段を採用する。なお、特許請求の範囲及びこの項に記載した括弧内の符号は、ひとつの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、発明の技術的範囲を限定するものではない。   The invention disclosed herein employs the following technical means to achieve the above object. Note that the reference numerals in parentheses described in the claims and in this section indicate a corresponding relationship with specific means described in the embodiments described later as one aspect, and limit the technical scope of the invention. Not what you want.

開示された発明のひとつは、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なる第1負荷と、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが同じである第2負荷の駆動を制御する制御部(20)と、
制御部が正常に動作しているか否かを監視する監視部(21)と、を備え、
監視部が、
制御部の異常を検出すると、異常信号を出力する異常検出手段(30)と、
第2負荷を予め設定された退避状態に保持させるために、異常信号に基づいてフェールセーフ信号を出力するフェールセーフ手段(31)と、
異常信号に基づいて、制御部をリセットするためのリセット信号を出力するリセット手段(32)と、
を有する電子制御装置であって、
リセット手段は、異常信号が出力されている場合であっても、フェールセーフ信号が出力されている間は、リセット信号の出力を停止することを特徴とする。 One of the disclosed inventions is that when the fail-safe signal is output, the first load in which the drive state when the fail-safe signal is output is different from the drive state when the reset signal is output, and when the fail-safe signal is output A control unit (20) for controlling the driving of the second load in which the driving state is the same as the driving state when the reset signal is output ;
A monitoring unit (21) for monitoring whether or not the control unit is operating normally,
The monitoring department
When detecting an abnormality of the control unit, an abnormality detection means (30) for outputting an abnormality signal;
Fail-safe means (31) for outputting a fail-safe signal based on the abnormal signal in order to hold the second load in a preset retracted state;
Reset means (32) for outputting a reset signal for resetting the control unit based on the abnormal signal;
An electronic control device for have a,
The reset means is characterized in that even when an abnormal signal is output, the reset means stops outputting the reset signal while the fail-safe signal is output.

これによれば、一時的な制御部の異常に対して、リセット手段から出力されるリセット信号により、制御部を正常復帰させることができる。   According to this, with respect to a temporary abnormality of the control unit, the control unit can be returned to normal by the reset signal output from the reset means.

また、異常信号が出力されている場合であっても、フェールセーフ信号が出力されている間は、リセット信号の出力が停止される。したがって、フェールセーフ信号の出力中にリセット信号が出力されて、所定のフェールセーフ処理が実行できなくなる、ことが抑制される。すなわち、恒久的な制御部の異常に対してフェールセーフ処理を実行することができる。   Even when an abnormal signal is output, the output of the reset signal is stopped while the fail-safe signal is output. Therefore, it is suppressed that the reset signal is output during the output of the fail-safe signal and the predetermined fail-safe process cannot be executed. That is, the fail-safe process can be executed for a permanent control unit abnormality.

開示された他の発明のひとつは、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なる第1負荷と、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが同じである第2負荷の駆動を制御する制御部(20)と、
制御部が正常に動作しているか否かを監視する監視部(21)と、を備え、
監視部が、
制御部の異常を検出すると、異常信号を出力する異常検出手段(30)と、
第2負荷を予め設定された退避状態に保持させるために、異常信号に基づいてフェールセーフ信号を出力するフェールセーフ手段(31)と、
異常信号に基づいて、制御部をリセットするためのリセット信号を出力するリセット手段(32)と、を有し、
外部機器(40,44)からの信号を取得する電子制御装置であって、
リセット手段は、外部機器からリセット信号の出力を停止させるためのリセット停止信号を取得すると、異常信号が出力されている場合であっても、リセット信号の出力を停止することを特徴とする。 According to another disclosed invention, the first load is different between the driving state when the fail-safe signal is output and the driving state when the reset signal is output, and the fail-safe signal is output. A control unit (20) for controlling the driving of the second load in which the driving state when the reset signal is output and the driving state when the reset signal is output are the same
A monitoring unit (21) for monitoring whether or not the control unit is operating normally,
The monitoring department
When detecting an abnormality of the control unit, an abnormality detection means (30) for outputting an abnormality signal;
Fail-safe means (31) for outputting a fail-safe signal based on the abnormal signal in order to hold the second load in a preset retracted state;
Reset means (32) for outputting a reset signal for resetting the control unit based on the abnormal signal,
An electronic control device for acquiring a signal from an external device (40, 44),
When the reset unit obtains a reset stop signal for stopping the output of the reset signal from the external device, the reset unit stops outputting the reset signal even when an abnormal signal is output.

これによれば、一時的な制御部の異常に対して、リセット手段から出力されるリセット信号により、制御部を正常復帰させることができる。   According to this, with respect to a temporary abnormality of the control unit, the control unit can be returned to normal by the reset signal output from the reset means.

また、異常信号が出力されている場合であっても、外部機器からリセット停止信号を取得すると、リセット信号の出力が停止される。したがって、フェールセーフ信号の出力中にリセット信号が出力されて、所定のフェールセーフ処理が実行できなくなる、ことが抑制される。すなわち、恒久的な制御部の異常に対してフェールセーフ処理を実行することができる。   Even when an abnormal signal is output, when a reset stop signal is acquired from an external device, the output of the reset signal is stopped. Therefore, it is suppressed that the reset signal is output during the output of the fail-safe signal and the predetermined fail-safe process cannot be executed. That is, the fail-safe process can be executed for a permanent control unit abnormality.

第1実施形態に係る電子制御装置の概略構成を示す図である。It is a figure which shows schematic structure of the electronic controller which concerns on 1st Embodiment. 監視ICの概略構成を示す図である。It is a figure which shows schematic structure of monitoring IC. マイコン異常時の動作例を示すタイミングチャートである。It is a timing chart which shows the operation example at the time of microcomputer abnormality. 第2実施形態に係る電子制御装置を含む電子制御システムの概略構成を示す図である。It is a figure which shows schematic structure of the electronic control system containing the electronic control apparatus which concerns on 2nd Embodiment. 監視ICの概略構成を示す図である。It is a figure which shows schematic structure of monitoring IC. 従来の電子制御装置において、監視ICの概略構成を示す図である。In the conventional electronic control apparatus, it is a figure which shows schematic structure of monitoring IC. マイコン異常時の動作例を示すタイミングチャートである。It is a timing chart which shows the operation example at the time of microcomputer abnormality. 図6に示す監視ICに対し、リセット機能を追加した構成を示す図である。It is a figure which shows the structure which added the reset function with respect to the monitoring IC shown in FIG. マイコン異常時の動作例を示すタイミングチャートである。It is a timing chart which shows the operation example at the time of microcomputer abnormality.

以下、本発明の実施形態を図に基づいて説明する。なお、各実施形態において、共通乃至関連する要素には同一の符号を付与するものとする。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. In each embodiment, common or related elements are given the same reference numerals.

(第1実施形態)
先ず、図1を用いて、本実施形態に係る電子制御装置の概略構成を説明する。 (First embodiment)
First, the schematic configuration of the electronic control device according to the present embodiment will be described with reference to FIG.

図1に示す電子制御装置10は、車両のエンジンECU(Electronic Control Unit)として構成されている。この電子制御装置10は、負荷の駆動を制御する制御部としてのマイコン20と、マイコン20が正常に動作しているか否かを監視する監視部としての監視IC21と、を備えている。マイコン20は、インジェクタ11、点火プラグ12、及び電子スロットル13のスロットルバルブ14を開閉するためのモータ15の駆動を制御する。さらに電子制御装置10は、モータ15を駆動するためのETC(Electronic Throttle Control)ドライバ22を備えている。   An electronic control device 10 shown in FIG. 1 is configured as an engine ECU (Electronic Control Unit) of a vehicle. The electronic control device 10 includes a microcomputer 20 as a control unit that controls driving of a load, and a monitoring IC 21 as a monitoring unit that monitors whether the microcomputer 20 is operating normally. The microcomputer 20 controls driving of the motor 15 for opening and closing the injector 11, the spark plug 12, and the throttle valve 14 of the electronic throttle 13. The electronic control device 10 further includes an ETC (Electronic Throttle Control) driver 22 for driving the motor 15.

インジェクタ11は、燃料を噴射供給する電磁駆動式の弁であり、図示しない吸気マニホールドの各気筒の吸気ポート周辺に取り付けられている。ソレノイドコイルへの通電によりニードルバルブが変位し、燃料が噴射される。点火プラグ12は、図示しないエンジンのシリンダヘッドに、気筒毎に取り付けられている。点火プラグ12には、点火コイル等よりなる点火装置を通じて、目標とする点火時期において高電圧が印加される。この高電圧の印加により、各点火プラグ12の対向電極間に火花放電が発生し、燃焼室内に導入された空気と燃料との混合気が着火され燃焼される。スロットルバルブ14は、吸気管の吸気通路を開閉してエンジンの各気筒に導入される空気量を調整するためのものである。このスロットルバルブ14の開度は、モータ15によって調節される。   The injector 11 is an electromagnetically driven valve that injects and supplies fuel, and is attached around the intake port of each cylinder of an intake manifold (not shown). When the solenoid coil is energized, the needle valve is displaced and fuel is injected. The spark plug 12 is attached to a cylinder head of an engine (not shown) for each cylinder. A high voltage is applied to the spark plug 12 at a target ignition timing through an ignition device including an ignition coil. By applying this high voltage, a spark discharge is generated between the opposing electrodes of each spark plug 12, and the air-fuel mixture introduced into the combustion chamber is ignited and burned. The throttle valve 14 is for adjusting the amount of air introduced into each cylinder of the engine by opening and closing the intake passage of the intake pipe. The opening degree of the throttle valve 14 is adjusted by the motor 15.

モータ15への通電を停止すると、スロットルバルブ14は閉位置となる。閉位置において、スロットルバルブ14は、吸気通路を完全に遮断するのではなく、わずかに空気を流通させる程度、吸気通路を遮断する。この閉位置とは、従来の機械式スロットルにおいて、アクセルペダルが操作されていないときの状態と同じであり、エンジンの燃焼室へ供給可能な空気量が最も少なくなる状態である。   When the energization of the motor 15 is stopped, the throttle valve 14 is in the closed position. In the closed position, the throttle valve 14 does not completely block the intake passage, but blocks the intake passage to the extent that air is slightly circulated. This closed position is the same as the state when the accelerator pedal is not operated in the conventional mechanical throttle, and is the state where the amount of air that can be supplied to the combustion chamber of the engine is the smallest.

マイコン20は、CPU、ROM、RAM、レジスタ、及びI/Oポートなどを備えて構成されたマイクロコンピュータである。マイコンにおいて、CPUが、RAMやレジスタの一時記憶機能を利用しつつ、ROMに予め記憶された制御プログラム、バスを介して取得した各種データなどに応じて信号処理を行う。また、この信号処理で得られた信号を、バスに出力したりする。このようにして、マイコンは、各種機能を実行する。   The microcomputer 20 is a microcomputer that includes a CPU, a ROM, a RAM, a register, an I / O port, and the like. In the microcomputer, the CPU performs signal processing according to a control program stored in advance in the ROM, various data acquired via the bus, and the like while using a temporary storage function of the RAM or the register. Further, the signal obtained by this signal processing is output to the bus. In this way, the microcomputer performs various functions.

本実施形態では、マイコン20が、イグニッション信号、エンジン回転数、エンジン冷却水温、吸気圧、空燃比、アクセル開度などに基づいて、インジェクタ11による燃料噴射量、点火プラグ12の点火時期、スロットルバルブ14のスロットル開度などを制御する。すなわち、マイコン20は、インジェクタ11、点火プラグ12、及びモータ15を駆動するETCドライバ22のそれぞれに、制御信号を出力する。   In this embodiment, the microcomputer 20 determines the fuel injection amount by the injector 11, the ignition timing of the spark plug 12, the throttle valve based on the ignition signal, the engine speed, the engine coolant temperature, the intake pressure, the air-fuel ratio, the accelerator opening, and the like. 14 throttle opening etc. are controlled. That is, the microcomputer 20 outputs a control signal to each of the injector 11, the spark plug 12, and the ETC driver 22 that drives the motor 15.

また、マイコン20は、監視IC21との間でデータ通信可能に構成されており、監視IC21に対し、予め設定されたタイミングで所定の監視データを送信する。本実施形態では、監視データとして所定の真偽パターンを送信する。   Further, the microcomputer 20 is configured to be capable of data communication with the monitoring IC 21 and transmits predetermined monitoring data to the monitoring IC 21 at a preset timing. In the present embodiment, a predetermined true / false pattern is transmitted as monitoring data.

監視IC21は、上記監視データを受信し、受信した監視データに基づいて、マイコン20が正常であるか否かを監視する。そして、マイコン20が異常であると判定すると、フェールセーフ信号をETCドライバ22に出力する。また、リセット信号をマイコン20に出力する。その詳細については、後述する。監視IC21からリセット信号が出力されている間、マイコン20はリセットされる。   The monitoring IC 21 receives the monitoring data and monitors whether the microcomputer 20 is normal based on the received monitoring data. If it is determined that the microcomputer 20 is abnormal, a fail safe signal is output to the ETC driver 22. A reset signal is output to the microcomputer 20. Details thereof will be described later. While the reset signal is output from the monitoring IC 21, the microcomputer 20 is reset.

なお、マイコン20の異常とは、マイコン20そのものが異常である場合だけでなく、マイコン20は正常であっても、取得した各種データ(すなわち各種センサなど)の異常により、結果として負荷を正常に制御できない状態となっている場合も含む。   Note that the abnormality of the microcomputer 20 is not only when the microcomputer 20 itself is abnormal, but even when the microcomputer 20 is normal, the load becomes normal as a result due to the abnormality of the acquired various data (that is, various sensors, etc.). This includes cases where control is not possible.

ETCドライバ22は、マイコン20からの制御信号にしたがって、モータ15へスロットル駆動信号を出力し、モータ15への通電を行うことにより、モータ15を駆動する。これにより、スロットルバルブ14が所定の開度になる。   The ETC driver 22 drives the motor 15 by outputting a throttle drive signal to the motor 15 in accordance with a control signal from the microcomputer 20 and energizing the motor 15. As a result, the throttle valve 14 has a predetermined opening.

ETCドライバ22は、監視IC21からフェールセーフ信号が入力されると、モータ15に対してスロットル停止信号を出力する。すなわち、モータ15への通電を停止する。これにより、モータ制御停止となり、スロットルバルブ14が上記した閉位置となる。一方、監視IC21からのフェールセーフ信号の出力が停止されている場合、ETCドライバ22は、マイコン20からの制御信号にしたがってスロットル駆動信号を出力し、モータ15への通電を行う。   The ETC driver 22 outputs a throttle stop signal to the motor 15 when a fail safe signal is input from the monitoring IC 21. That is, the power supply to the motor 15 is stopped. As a result, the motor control is stopped and the throttle valve 14 is in the closed position described above. On the other hand, when the output of the fail safe signal from the monitoring IC 21 is stopped, the ETC driver 22 outputs a throttle drive signal according to the control signal from the microcomputer 20 and energizes the motor 15.

次に、図2に基づき、監視IC21について説明する。   Next, the monitoring IC 21 will be described with reference to FIG.

図2に示すように、監視IC21は、異常検出部30と、フェールセーフ部31と、リセット部32と、を有している。異常検出部30が、特許請求の範囲に記載の異常検出手段に相当し、フェールセーフ部31が、フェールセーフ手段に相当する。また、リセット部32が、リセット手段に相当する。   As illustrated in FIG. 2, the monitoring IC 21 includes an abnormality detection unit 30, a fail safe unit 31, and a reset unit 32. The abnormality detection unit 30 corresponds to the abnormality detection unit described in the claims, and the fail safe unit 31 corresponds to the fail safe unit. The reset unit 32 corresponds to reset means.

異常検出部30は、マイコン20から監視データが入力されると、この監視データに基づいて、マイコン20が正常であるか否かを判定する。そして、マイコン20が正常ではないと判定、すなわちマイコン20の異常を検出すると、異常信号を出力する。本実施形態では、監視データとしての真偽パターンが不合格パターンであると判定すると、異常信号としてHレベルの信号を出力する。一方、真偽パターンが合格パターンであると判定すると、異常信号ではなく、Lレベルの信号を出力する。   When the monitoring data is input from the microcomputer 20, the abnormality detection unit 30 determines whether the microcomputer 20 is normal based on the monitoring data. When it is determined that the microcomputer 20 is not normal, that is, when an abnormality of the microcomputer 20 is detected, an abnormality signal is output. In this embodiment, when it is determined that the true / false pattern as the monitoring data is a reject pattern, an H level signal is output as an abnormal signal. On the other hand, if it is determined that the true / false pattern is a pass pattern, an L level signal is output instead of an abnormal signal.

フェールセーフ部31は、異常信号が入力されると、負荷の少なくとも1つを予め設定された退避状態に保持させるために、フェールセーフ信号を生成し、出力する。本実施形態では、インジェクタ11、点火プラグ12、及びモータ15のうち、モータ15のみを退避状態に保持させるために、ETCドライバ22に対してフェールセーフ信号を出力する。フェールセーフ信号により、モータ15への通電が停止され、スロットルバルブ14は閉位置となる。   When an abnormal signal is input, the fail safe unit 31 generates and outputs a fail safe signal in order to hold at least one of the loads in a preset evacuation state. In the present embodiment, a fail-safe signal is output to the ETC driver 22 in order to keep only the motor 15 in the retracted state among the injector 11, spark plug 12, and motor 15. The energization to the motor 15 is stopped by the fail-safe signal, and the throttle valve 14 is in the closed position.

フェールセーフ部31は、カウンタ31aを有している。後述するように、カウンタ31aは、異常信号の入力をトリガとし、内部クロックにしたがってダウンカウントする。そして、カウント値がゼロになると、フェールセーフ信号としてHレベルの信号を出力する。   The fail safe unit 31 has a counter 31a. As will be described later, the counter 31a counts down according to the internal clock with the input of an abnormal signal as a trigger. When the count value becomes zero, an H level signal is output as a fail safe signal.

リセット部32は、異常信号が入力されると、マイコン20をリセットするためのリセット信号を生成し、マイコン20に出力する。本実施形態では、リセット信号としてLレベルの信号を一定時間出力する。リセット信号によりマイコン20がリセットされ、リセット信号が出力されている期間は、負荷の制御がされない状態となる。すなわち、インジェクタ11による燃料噴射が停止し、点火プラグ12による点火が停止する。また、モータ15への通電が停止し、スロットルバルブ14は閉位置となる。   When an abnormal signal is input, the reset unit 32 generates a reset signal for resetting the microcomputer 20 and outputs the reset signal to the microcomputer 20. In this embodiment, an L level signal is output as a reset signal for a certain period of time. During the period when the microcomputer 20 is reset by the reset signal and the reset signal is output, the load is not controlled. That is, the fuel injection by the injector 11 is stopped, and the ignition by the spark plug 12 is stopped. Further, the power supply to the motor 15 is stopped, and the throttle valve 14 is in the closed position.

リセット部32は、カウンタ32aと、NOTゲート32bと、ORゲート32cと、を有している。カウンタ32aも、異常信号の入力をトリガとし、内部クロックにしたがってダウンカウントする。そして、カウント値がゼロになると、一定時間、Hレベルの信号を出力する。カウンタ32aの出力は、NOTゲート32bにより反転される。したがって、カウンタ32aの出力がHレベルの場合、NOTゲート32bは、Lレベルの信号を出力する。   The reset unit 32 includes a counter 32a, a NOT gate 32b, and an OR gate 32c. The counter 32a also counts down according to the internal clock with the input of the abnormal signal as a trigger. When the count value becomes zero, an H level signal is output for a certain time. The output of the counter 32a is inverted by the NOT gate 32b. Therefore, when the output of the counter 32a is at H level, the NOT gate 32b outputs an L level signal.

ORゲート32cには、フェールセーフ部31(カウンタ31a)の出力と、NOTゲート32bの出力が入力される。フェールセーフ部31からフェールセーフ信号(Hレベルの信号)が入力される場合には、NOTゲート32bから出力される信号のレベルによらず、ORゲート32cからHレベルの信号が出力される。   The output of the fail safe unit 31 (counter 31a) and the output of the NOT gate 32b are input to the OR gate 32c. When a fail safe signal (H level signal) is input from the fail safe unit 31, an H level signal is output from the OR gate 32c regardless of the level of the signal output from the NOT gate 32b.

フェールセーフ部31からLレベルの信号が入力される場合、NOTゲート32bからの入力に応じて、ORゲート32cの出力が決定される。NOTゲート32bからHレベルの信号が入力されると、ORゲート32cからHレベルの信号が出力される。NOTゲート32bからLレベルの信号が入力されると、ORゲート32cからLレベルの信号が出力される。   When an L level signal is input from the fail safe unit 31, the output of the OR gate 32c is determined according to the input from the NOT gate 32b. When an H level signal is input from the NOT gate 32b, an H level signal is output from the OR gate 32c. When an L level signal is input from the NOT gate 32b, an L level signal is output from the OR gate 32c.

このように、フェールセーフ部31からフェールセーフ信号が入力されると、リセット部32からHレベルの信号が出力される。すなわち、リセット信号の出力が停止される。フェールセーフ部からLレベルの信号が入力され、且つ、NOTゲート32bからLレベルの信号が入力される場合のみ、リセット部32からLレベルの信号、すなわちリセット信号が出力される。そして、マイコン20がリセットされる。   Thus, when a fail safe signal is input from the fail safe unit 31, an H level signal is output from the reset unit 32. That is, the output of the reset signal is stopped. Only when the L level signal is input from the fail safe unit and the L level signal is input from the NOT gate 32b, the reset unit 32 outputs the L level signal, that is, the reset signal. Then, the microcomputer 20 is reset.

次に、図3に基づき、マイコン20に恒久的な異常が生じたときの動作について説明する。図3では、便宜上、リセットによるモータ15の駆動停止期間にハッチングを施している。   Next, the operation when a permanent abnormality occurs in the microcomputer 20 will be described with reference to FIG. In FIG. 3, for convenience, hatching is performed in the drive stop period of the motor 15 due to reset.

上記したように、監視IC21の異常検出部30は、マイコン20から入力された監視データが、正常であるか否かを判定する。マイコン20が正常であると判定すると、正常であることを示すLレベルの信号を出力する。このため、フェールセーフ部31のカウンタ31aがカウントを開始せず、カウンタ31a(フェールセーフ部31)からLレベルの信号が出力される。すなわち、フェールセーフ信号の出力が停止される。   As described above, the abnormality detection unit 30 of the monitoring IC 21 determines whether the monitoring data input from the microcomputer 20 is normal. When it is determined that the microcomputer 20 is normal, an L level signal indicating normal is output. For this reason, the counter 31a of the fail safe unit 31 does not start counting, and an L level signal is output from the counter 31a (fail safe unit 31). That is, the output of the fail safe signal is stopped.

また、リセット部32のカウンタ32aもカウントを開始せず、カウンタ32aからLレベルの信号が出力され、NOTゲート32bにて反転されて、Hレベルの信号となる。カウンタ31aからLレベルの信号が入力され、NOTゲート32bからHレベルの信号が入力されるため、ORゲート32c(リセット部32)からHレベルの信号が出力される。すなわち、リセット信号の出力が停止される。   Also, the counter 32a of the reset unit 32 does not start counting, and an L level signal is output from the counter 32a, and is inverted by the NOT gate 32b to become an H level signal. Since the L level signal is input from the counter 31a and the H level signal is input from the NOT gate 32b, the H level signal is output from the OR gate 32c (reset unit 32). That is, the output of the reset signal is stopped.

このように、マイコン20が正常と判定された状態では、ETCドライバ22に、フェールセーフ部31からLレベルの信号が入力される。したがって、ETCドライバ22は、マイコン20からの制御信号にしたがってスロットル駆動信号を出力し、モータ15への通電を行う。このとき、車両は、通常制御状態となる。   As described above, when the microcomputer 20 is determined to be normal, an L level signal is input to the ETC driver 22 from the fail safe unit 31. Therefore, the ETC driver 22 outputs a throttle drive signal in accordance with a control signal from the microcomputer 20 and energizes the motor 15. At this time, the vehicle is in a normal control state.

異常検出部30がマイコン20の異常を検出し、異常信号(Hレベルの信号)を出力すると、フェールセーフ部31のカウンタ31aがカウントを開始し、内部クロックにしたがって異常確定閾値からダウンカウントする。そして、カウント値がゼロになると、フェールセーフ部31からフェールセーフ信号(Hレベルの信号)が出力される。   When the abnormality detection unit 30 detects an abnormality of the microcomputer 20 and outputs an abnormality signal (H level signal), the counter 31a of the fail safe unit 31 starts counting and counts down from the abnormality determination threshold according to the internal clock. When the count value becomes zero, a fail safe signal (H level signal) is output from the fail safe unit 31.

また、異常信号をトリガとして、リセット部32のカウンタ32aもカウントを開始し、内部クロックにしたがってリセット閾値からダウンカウントする。そして、カウント値がゼロになると、一定時間、Hレベルの信号を出力する。この信号は、NOTゲート32bにて反転されて、Lレベルの信号となる。   The counter 32a of the reset unit 32 also starts counting with the abnormal signal as a trigger, and counts down from the reset threshold according to the internal clock. When the count value becomes zero, an H level signal is output for a certain time. This signal is inverted by the NOT gate 32b to become an L level signal.

ここで、フェールセーフ処理は、マイコン20の恒久異常に対する処理であり、リセット処理は、マイコン20の一時的な異常に対する処理である。したがって、同じ異常信号をトリガとしても、フェールセーフ信号の生成に要する時間より、リセット信号の生成に要する時間のほうが短い。本実施形態では、異常確定閾値のほうがリセット閾値よりも大きい値が設定されている。   Here, the fail-safe process is a process for a permanent abnormality of the microcomputer 20, and the reset process is a process for a temporary abnormality of the microcomputer 20. Therefore, even when the same abnormal signal is used as a trigger, the time required for generating the reset signal is shorter than the time required for generating the fail-safe signal. In the present embodiment, the abnormality determination threshold value is set to be larger than the reset threshold value.

したがって、異常信号の出力後、カウンタ32aの値が、カウンタ31aの値よりも先にゼロになる。ORゲート32cに対し、フェールセーフ部31からLレベルの信号が入力され、NOTゲート32bからLレベルの信号が入力される場合、ORゲート32cからリセット信号としてLレベルの信号が出力される。これにより、マイコン20がリセットされる。このとき、マイコン20からETCドライバ22へ制御信号が出力されないため、ETCドライバ22から出力されるスロットル駆動信号は、モータ15への通電を停止する信号となる。これにより、スロットルバルブ14が閉位置となる。   Therefore, after the abnormal signal is output, the value of the counter 32a becomes zero before the value of the counter 31a. When an L level signal is input from the fail safe unit 31 to the OR gate 32c and an L level signal is input from the NOT gate 32b, an L level signal is output from the OR gate 32c as a reset signal. Thereby, the microcomputer 20 is reset. At this time, since no control signal is output from the microcomputer 20 to the ETC driver 22, the throttle drive signal output from the ETC driver 22 is a signal for stopping energization of the motor 15. As a result, the throttle valve 14 is in the closed position.

カウンタ32aのカウント値は、一定時間経過後クリアされ、リセット閾値がセットされる。しかしながら、図3に示すように、マイコン20に恒久的な異常が生じている場合には、異常信号が継続して出力されるため、カウンタ32aが、再度ダウンカウントを開始する。本実施形態では、カウンタ32aの2回目のダウンカウントの途中に、カウンタ31aの値がゼロになる。   The count value of the counter 32a is cleared after a predetermined time has elapsed, and a reset threshold is set. However, as shown in FIG. 3, when a permanent abnormality has occurred in the microcomputer 20, since the abnormality signal is continuously output, the counter 32a starts counting down again. In the present embodiment, the value of the counter 31a becomes zero during the second down count of the counter 32a.

フェールセーフ部31からフェールセーフ信号が出力されるまでは、ORゲート32cに対し、フェールセーフ部31からLレベルの信号が入力され、NOTゲート32bからHレベルの信号が入力される。したがって、ORゲート32c(リセット部32)からHレベルの信号が出力される。このため、ETCドライバ22は、マイコン20からの制御信号にしたがってスロットル駆動信号を出力し、モータ15への通電を行う。   Until the fail safe signal is output from the fail safe unit 31, an L level signal is input from the fail safe unit 31 to the OR gate 32c, and an H level signal is input from the NOT gate 32b. Therefore, an H level signal is output from the OR gate 32c (reset unit 32). Therefore, the ETC driver 22 outputs a throttle drive signal in accordance with a control signal from the microcomputer 20 and energizes the motor 15.

カウンタ31aのカウント値がゼロになると、フェールセーフ部31からフェールセーフ信号としてHレベルの信号が出力される。ORゲート32cには、フェールセーフ部31からHレベルの信号が入力され、NOTゲート32bからHレベルの信号が入力されるため、ORゲート32cからHレベルの信号が出力される。したがって、リセット信号の出力が停止される。   When the count value of the counter 31a becomes zero, an H level signal is output from the fail safe unit 31 as a fail safe signal. Since the H level signal is input from the fail safe unit 31 and the H level signal is input from the NOT gate 32b, the OR gate 32c outputs an H level signal. Therefore, the output of the reset signal is stopped.

フェールセーフ部31からフェールセーフ信号が出力されるため、ETCドライバ22は、モータ15に対してスロットル停止信号を出力する。すなわち、モータ15への通電を停止する。これにより、モータ制御停止となり、スロットルバルブ14が閉位置となる。フェールセーフ信号が出力されても、インジェクタ11及び点火プラグ12は、マイコン20からの制御信号によって制御されるため、車両は、低速での退避走行となる。   Since the fail safe signal is output from the fail safe unit 31, the ETC driver 22 outputs a throttle stop signal to the motor 15. That is, the power supply to the motor 15 is stopped. As a result, the motor control is stopped and the throttle valve 14 is in the closed position. Even if the fail-safe signal is output, the injector 11 and the spark plug 12 are controlled by the control signal from the microcomputer 20, so that the vehicle is evacuated at a low speed.

次に、本実施形態に係る電子制御装置10の効果について説明する。   Next, effects of the electronic control device 10 according to the present embodiment will be described.

本実施形態によれば、監視IC21がリセット部32を有している。したがって、マイコン20の一時的な異常に対して、リセット部32から出力されるリセット信号により、マイコン20を正常復帰させることができる。   According to the present embodiment, the monitoring IC 21 has the reset unit 32. Therefore, the microcomputer 20 can be returned to a normal state by a reset signal output from the reset unit 32 in response to a temporary abnormality of the microcomputer 20.

また、異常検出部30から異常信号が出力されている場合であっても、フェールセーフ部31からフェールセーフ信号が出力されている間は、リセット部32からのリセット信号の出力が停止される。したがって、フェールセーフ信号の出力中にリセット信号が出力されて、所定のフェールセーフ処理が実行できなくなる、ことが抑制される。このため、マイコン20に恒久的な異常が生じたときに、フェールセーフ処理を確実に実行することができる。   Further, even when an abnormality signal is output from the abnormality detection unit 30, the output of the reset signal from the reset unit 32 is stopped while the fail-safe signal is output from the fail-safe unit 31. Therefore, it is suppressed that the reset signal is output during the output of the fail-safe signal and the predetermined fail-safe process cannot be executed. For this reason, when a permanent abnormality occurs in the microcomputer 20, the fail-safe process can be reliably executed.

特に本実施形態では、マイコン20により制御されるインジェクタ11、点火プラグ12、及びモータ15のうち、モータ15のみをフェールセーフ信号によって退避状態に保持させる。詳しくは、モータ15への通電を停止する。したがって、フェールセーフ信号が出力されても、インジェクタ11及び点火プラグ12は、マイコン20により制御される。このように、フェールセーフ信号が出力されているときには、モータ15のみが制御停止になる。一方、リセット信号が出力されているときには、マイコン20がリセットされるため、インジェクタ11、点火プラグ12、及びモータ15が制御停止になる。このように、マイコン20により制御される負荷の少なくとも1つについて、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なる。しかしながら、フェールセーフ信号の出力中にリセット信号が出力されることはないため、車両が低速での退避走行を行うことができる。すなわち、エンジンがストール状態になるのを抑制することができる。   In particular, in the present embodiment, among the injector 11, the spark plug 12, and the motor 15 controlled by the microcomputer 20, only the motor 15 is held in the retracted state by the fail safe signal. Specifically, the power supply to the motor 15 is stopped. Therefore, even if the fail safe signal is output, the injector 11 and the spark plug 12 are controlled by the microcomputer 20. Thus, when the fail safe signal is output, only the motor 15 is stopped. On the other hand, when the reset signal is output, the microcomputer 20 is reset, so that the injector 11, the spark plug 12, and the motor 15 are stopped. Thus, for at least one of the loads controlled by the microcomputer 20, the driving state when the fail-safe signal is output is different from the driving state when the reset signal is output. However, since the reset signal is not output during the output of the fail-safe signal, the vehicle can evacuate at low speed. That is, it is possible to suppress the engine from being stalled.

(第2実施形態)
本実施形態において、第1実施形態に示した電子制御装置10と共通する部分についての説明は割愛する。 (Second Embodiment)
In the present embodiment, description of parts common to the electronic control device 10 shown in the first embodiment is omitted.

図4及び図5に基づき、本実施形態に係る電子制御装置10について説明する。なお、図4では、電子制御装置10を含む電子制御システムを示している。また、図4では、便宜上、マイコン20により制御される負荷、すなわちインジェクタ11、点火プラグ12、及びモータ15の図示を省略している。さらに、ETCドライバ22の図示も省略している。   Based on FIG.4 and FIG.5, the electronic controller 10 which concerns on this embodiment is demonstrated. FIG. 4 shows an electronic control system including the electronic control device 10. In FIG. 4, for the sake of convenience, the loads controlled by the microcomputer 20, that is, the injector 11, the spark plug 12, and the motor 15 are not shown. Further, the illustration of the ETC driver 22 is also omitted.

電子制御装置10は、第1実施形態同様、マイコン20と、監視IC21と、ETCドライバ22と、を備えている。さらに電子制御装置10は、図4に示すように、CAN(Controller Area Network)ドライバ23を備えている。CANは登録商標である。   Similar to the first embodiment, the electronic control device 10 includes a microcomputer 20, a monitoring IC 21, and an ETC driver 22. Further, the electronic control device 10 includes a CAN (Controller Area Network) driver 23 as shown in FIG. CAN is a registered trademark.

電子制御装置10は、CANバスを介して、CANプロトコルにしたがい、他の電子制御装置40と相互に通信を行う。電子制御装置40も、マイコン41やCANドライバ42などを備えている。電子制御装置10としてのエンジンECUに対し、他の電子制御装置40としてブレーキECUなどを採用することができる。以下、他の電子制御装置40を、単に電子制御装置40とも称す。   The electronic control device 10 communicates with other electronic control devices 40 via the CAN bus according to the CAN protocol. The electronic control device 40 also includes a microcomputer 41, a CAN driver 42, and the like. A brake ECU or the like can be adopted as the other electronic control unit 40 with respect to the engine ECU as the electronic control unit 10. Hereinafter, the other electronic control device 40 is also simply referred to as an electronic control device 40.

CANドライバ23,42は、周知のように、CANコントローラやCANトランシーバをそれぞれ有している。マイコン20は、CANドライバ23に対して通信データをCANバスに出力するように指示したり、電子制御装置40などの他のノードからCANバスに出力された通信データを、CANドライバ23を介して取得したりする。同じく、マイコン41は、CANドライバ42に対して通信データをCANバスに出力するように指示したり、電子制御装置10などの他のノードからCANバスに出力された通信データを、CANドライバ42を介して取得したりする。   As is well known, each of the CAN drivers 23 and 42 has a CAN controller and a CAN transceiver. The microcomputer 20 instructs the CAN driver 23 to output communication data to the CAN bus, or the communication data output from the other nodes such as the electronic control device 40 to the CAN bus via the CAN driver 23. Or get it. Similarly, the microcomputer 41 instructs the CAN driver 42 to output communication data to the CAN bus, or the communication data output to the CAN bus from another node such as the electronic control device 10 is sent to the CAN driver 42. Or get through.

各電子制御装置10,40は、相互に異常を監視している。本実施形態では、異常検出の一手法として、通信途絶をカウントする周知の方法を採用している。電子制御装置40には、電子制御装置10から通信データが送信される。したがって、電子制御装置40は、電子制御装置10の存在を検出でき、電子制御装置10について通信途絶カウンタを生成する。通信途絶カウンタは、たとえば時間の経過にしたがい増大し、通信データを受信するごとに初期化される。   The electronic control devices 10 and 40 monitor each other for abnormality. In the present embodiment, a known method of counting communication interruption is adopted as one method of abnormality detection. Communication data is transmitted from the electronic control device 10 to the electronic control device 40. Therefore, the electronic control device 40 can detect the presence of the electronic control device 10 and generates a communication interruption counter for the electronic control device 10. The communication interruption counter increases with time, for example, and is initialized each time communication data is received.

電子制御装置10のマイコン20に異常が生じる前、電子制御装置10は、必要なタイミングで通信データを送信するので、電子制御装置40の通信途絶カウンタのカウント値が所定の閾値を超えることがない。すなわち、電子制御装置40が、マイコン20(電子制御装置10)の異常を検出することはない。一方、マイコン20に異常が生じて電子制御装置10が通信データを送信できなくなると、電子制御装置40の通信途絶カウンタが一様に増大し、閾値を超えた時点で、電子制御装置40はマイコン20の異常を検出する。   Before the abnormality occurs in the microcomputer 20 of the electronic control device 10, the electronic control device 10 transmits communication data at a necessary timing, so that the count value of the communication interruption counter of the electronic control device 40 does not exceed a predetermined threshold value. . That is, the electronic control device 40 does not detect an abnormality of the microcomputer 20 (electronic control device 10). On the other hand, if an abnormality occurs in the microcomputer 20 and the electronic control device 10 becomes unable to transmit communication data, the communication interruption counter of the electronic control device 40 increases uniformly, and when the electronic control device 40 exceeds the threshold, the electronic control device 40 20 abnormalities are detected.

マイコン20の異常を検出すると、電子制御装置40のマイコン41は、リセット停止信号を生成する。このリセット停止信号は、電子制御装置40から出力され、配線を介して、ORゲート43に入力される。   When the abnormality of the microcomputer 20 is detected, the microcomputer 41 of the electronic control device 40 generates a reset stop signal. This reset stop signal is output from the electronic control unit 40 and input to the OR gate 43 via the wiring.

このORゲート43には、配線を介して、スイッチ44が接続されている。スイッチ44は、車両の乗員(ユーザ)によって操作されることで、リセット停止信号を出力する。ORゲート43に、電子制御装置40及びスイッチ44の少なくとも一方からリセット停止信号が入力される場合、ORゲート43は、リセット停止信号としてHレベルの信号を監視IC21に対して出力する。一方、電子制御装置40及びスイッチ44のいずれからもリセット停止信号が入力されない場合、ORゲート43は、Lレベルの信号を監視IC21に対して出力する。すなわち、リセット停止信号の出力が停止される。以上のように、電子制御システムは、電子制御装置10,40とスイッチ44を備えている。   A switch 44 is connected to the OR gate 43 via a wiring. The switch 44 is operated by a vehicle occupant (user) to output a reset stop signal. When a reset stop signal is input to the OR gate 43 from at least one of the electronic control device 40 and the switch 44, the OR gate 43 outputs an H level signal to the monitoring IC 21 as the reset stop signal. On the other hand, when no reset stop signal is input from either the electronic control unit 40 or the switch 44, the OR gate 43 outputs an L level signal to the monitoring IC 21. That is, the output of the reset stop signal is stopped. As described above, the electronic control system includes the electronic control devices 10 and 40 and the switch 44.

図5に示すように、監視IC21は、第1実施形態に示した監視IC21(図2参照)とほぼ同じ構成になっている。第1実施形態では、フェールセーフ信号をリセット停止信号として用いるのに対し、本実施形態では、フェールセーフ信号に代えて、上記したリセット停止信号を用いる。   As shown in FIG. 5, the monitoring IC 21 has substantially the same configuration as the monitoring IC 21 (see FIG. 2) shown in the first embodiment. In the first embodiment, the fail-safe signal is used as the reset stop signal, whereas in the present embodiment, the above-described reset stop signal is used instead of the fail-safe signal.

第1実施形態同様、異常検出部30がマイコン20の異常を検出し、異常信号(Hレベルの信号)を出力すると、異常信号をトリガとして、リセット部32のカウンタ32aがカウントを開始し、内部クロックにしたがってリセット閾値からダウンカウントする。そして、カウント値がゼロになると、一定時間、Hレベルの信号を出力する。この信号は、NOTゲート32bにて反転されて、Lレベルの信号となる。   As in the first embodiment, when the abnormality detection unit 30 detects an abnormality in the microcomputer 20 and outputs an abnormality signal (H level signal), the counter 32a of the reset unit 32 starts counting using the abnormality signal as a trigger. Count down from the reset threshold according to the clock. When the count value becomes zero, an H level signal is output for a certain time. This signal is inverted by the NOT gate 32b to become an L level signal.

ORゲート32cに対し、NOTゲート32bからLレベルの信号が入力され、ORゲート43からLレベルの信号が入力される場合、ORゲート32cから、リセット信号としてLレベルの信号が出力される。したがって、マイコン20がリセットされる。   When an L level signal is input from the NOT gate 32b and an L level signal is input from the OR gate 43 to the OR gate 32c, an L level signal is output as a reset signal from the OR gate 32c. Therefore, the microcomputer 20 is reset.

一方、ORゲート32cに対し、ORゲート43からリセット停止信号(Hレベルの信号)が入力されると、NOTゲート32bからの出力のレベルによらず、ORゲート32cからの出力は、Hレベルの信号となる。すなわち、リセット信号の出力が停止される。したがって、NOTゲート32bの出力がLレベルであっても、リセット信号の出力が停止される。   On the other hand, when a reset stop signal (H level signal) is input from the OR gate 43 to the OR gate 32c, the output from the OR gate 32c is at the H level regardless of the output level from the NOT gate 32b. Signal. That is, the output of the reset signal is stopped. Therefore, even if the output of the NOT gate 32b is at the L level, the output of the reset signal is stopped.

このように、本実施形態に示す構成によっても、フェールセーフ部31からフェールセーフ信号が出力されている間は、リセット部32からのリセット信号の出力が停止される。したがって、フェールセーフ信号の出力中にリセット信号が出力されて、所定のフェールセーフ処理が実行できなくなる、ことが抑制される。このため、マイコン20の恒久的な異常が生じたときに、フェールセーフ処理を確実に実行することができる。   Thus, also in the configuration shown in the present embodiment, the output of the reset signal from the reset unit 32 is stopped while the fail safe signal is output from the fail safe unit 31. Therefore, it is suppressed that the reset signal is output during the output of the fail-safe signal and the predetermined fail-safe process cannot be executed. For this reason, when a permanent abnormality of the microcomputer 20 occurs, the fail-safe process can be surely executed.

なお、本実施形態では、リセット停止信号を出力する外部機器として、電子制御装置40とスイッチ44を備える例を示した。しかしながら、電子制御装置40及びスイッチ44の一方のみを備える構成としてもよい。この場合、ORゲート43は不要となる。外部機器として電子制御装置40を採用する場合、乗員が操作することなく、リセット停止信号を出力できる。外部機器としてスイッチ44を採用する場合、エンジンのストール状態を乗員が判断した上で、リセット停止信号を出力することができる。   In the present embodiment, an example in which the electronic control device 40 and the switch 44 are provided as an external device that outputs a reset stop signal has been described. However, only one of the electronic control device 40 and the switch 44 may be provided. In this case, the OR gate 43 is not necessary. When the electronic control device 40 is employed as an external device, a reset stop signal can be output without an occupant's operation. When the switch 44 is employed as the external device, the reset stop signal can be output after the occupant determines the stalled state of the engine.

また、外部機器としての電子制御装置40を1つのみ備える例を示したが、外部機器として複数の電子制御装置を備える構成としてもよい。   Further, although an example in which only one electronic control device 40 as an external device is provided has been shown, a configuration in which a plurality of electronic control devices are provided as external devices may be employed.

本実施形態では、ネットワークの通信プロトコルとしてCANを採用する例を示した。しかしながら、上記例に限定されるものではない。通信プロトコルとしては、たとえばFlexRay(登録商標)を採用することもできる。電子制御装置40としては、バスを介して電子制御装置10(マイコン20)の異常を監視でき、異常が生じていると判定したときにリセット停止信号を生成できる構成であればよい。   In this embodiment, the example which employ | adopts CAN as a network communication protocol was shown. However, it is not limited to the above example. As a communication protocol, for example, FlexRay (registered trademark) can be adopted. The electronic control device 40 may be configured to be able to monitor the abnormality of the electronic control device 10 (microcomputer 20) via the bus and generate a reset stop signal when it is determined that an abnormality has occurred.

以上、本発明の好ましい実施形態について説明したが、本発明は上記実施形態になんら制限されることなく、本発明の主旨を逸脱しない範囲において、種々変形して実施することが可能である。   The preferred embodiments of the present invention have been described above, but the present invention is not limited to the above-described embodiments, and various modifications can be made without departing from the spirit of the present invention.

電子制御装置10が備える監視部は、監視IC21に限定されない。たとえば、マイコン20とは別に設けられた監視マイコンを採用することもできる。   The monitoring unit included in the electronic control device 10 is not limited to the monitoring IC 21. For example, a monitoring microcomputer provided separately from the microcomputer 20 can be employed.

電子制御装置10としては、エンジンECUに限定されない。エンジンECU以外の車載ECUを採用することもできる。また、車載にも限定されない。   The electronic control device 10 is not limited to the engine ECU. An in-vehicle ECU other than the engine ECU can also be employed. Moreover, it is not limited to vehicle-mounted.

マイコン20により複数の負荷が制御され、複数の負荷の少なくとも1つについて、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なる例を示した。詳しくは、マイコン20により、インジェクタ11、点火プラグ12、及び電子スロットル13のモータ15が制御され、フェールセーフ処理時にはモータ15の駆動が停止され、リセット時には、インジェクタ11、点火プラグ12、及びモータ15の駆動が停止される例を示した。   An example is shown in which a plurality of loads are controlled by the microcomputer 20 and a driving state when a fail-safe signal is output is different from a driving state when a reset signal is output for at least one of the plurality of loads. It was. Specifically, the microcomputer 15 controls the injector 11, the spark plug 12, and the motor 15 of the electronic throttle 13, the drive of the motor 15 is stopped during the fail-safe process, and the injector 11, spark plug 12, and motor 15 are reset during the reset. An example is shown in which the driving is stopped.

しかしながら、本発明は、マイコン20により制御される負荷の少なくとも1つについて、フェールセーフ信号が出力されているとき(フェールセーフ処理時)の駆動状態と、リセット信号が出力されているとき(リセット処理時)の駆動状態とが異なるものであれば、適用することができる。したがって、マイコン20により制御される負荷(制御対象)の数は特に限定されない。また、負荷も、インジェクタ11、点火プラグ12、及びモータ15に限定されない。   However, in the present invention, at least one of the loads controlled by the microcomputer 20 is driven when a fail-safe signal is output (during fail-safe processing) and when a reset signal is output (reset processing). If the driving state is different, it can be applied. Therefore, the number of loads (control objects) controlled by the microcomputer 20 is not particularly limited. Further, the load is not limited to the injector 11, the spark plug 12, and the motor 15.

たとえば、マイコン20により制御される負荷が1つのみであっても、フェールセーフ処理時とリセット時とで、負荷の駆動状態が異なるものであれば、本発明を適用することができる。   For example, even if there is only one load controlled by the microcomputer 20, the present invention can be applied as long as the driving state of the load is different between the fail-safe process and the reset time.

フェールセーフ部31が、複数の負荷のうち、負荷の1つを予め設定された退避状態に保持させるために、異常信号に基づいてフェールセーフ信号を出力する例を示した。しかしながら、すべての負荷を予め設定された退避状態に保持させるために、フェールセーフ信号を出力する構成にも適用できる。また、すべての負荷の一部である複数の負荷を予め設定された退避状態に保持させるために、フェールセーフ信号を出力する構成にも適用できる。上記したように、マイコン20により制御される負荷の少なくとも1つについて、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なるものであればよい。   An example has been shown in which the fail safe unit 31 outputs a fail safe signal based on an abnormal signal in order to hold one of the loads in a preset retracted state. However, the present invention can also be applied to a configuration that outputs a fail-safe signal in order to keep all loads in a preset evacuation state. Further, the present invention can be applied to a configuration that outputs a fail-safe signal in order to hold a plurality of loads that are a part of all loads in a preset evacuation state. As described above, for at least one of the loads controlled by the microcomputer 20, if the driving state when the fail-safe signal is output is different from the driving state when the reset signal is output Good.

カウンタ31a,32aとして、ダウンカウンタの例を示したが、アップカウンタを採用することもできる。   Although the example of the down counter was shown as counter 31a, 32a, the up counter can also be employ | adopted.

10…電子制御装置、11…インジェクタ、12…点火プラグ、13…電子スロットル、14…スロットルバルブ、15…モータ、20…マイコン、21…監視IC、22…ETCドライバ、23…CANドライバ、30…異常検出部、31…フェールセーフ部、31a…カウンタ、32…リセット部、32a…カウンタ、32b…NOTゲート、32c…ORゲート、40…他の電子制御装置、41…マイコン、42…CANドライバ、43…ORゲート、44…スイッチ DESCRIPTION OF SYMBOLS 10 ... Electronic controller, 11 ... Injector, 12 ... Spark plug, 13 ... Electronic throttle, 14 ... Throttle valve, 15 ... Motor, 20 ... Microcomputer, 21 ... Monitoring IC, 22 ... ETC driver, 23 ... CAN driver, 30 ... Abnormality detection unit, 31 ... fail safe unit, 31a ... counter, 32 ... reset unit, 32a ... counter, 32b ... NOT gate, 32c ... OR gate, 40 ... other electronic control devices, 41 ... microcomputer, 42 ... CAN driver, 43 ... OR gate, 44 ... switch

Claims (5)

フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なる第1負荷と、前記フェールセーフ信号が出力されているときの駆動状態と、前記リセット信号が出力されているときの駆動状態とが同じである第2負荷の駆動を制御する制御部(20)と、
前記制御部が正常に動作しているか否かを監視する監視部(21)と、を備え、
前記監視部が、
前記制御部の異常を検出すると、異常信号を出力する異常検出手段(30)と、
前記第2負荷を予め設定された退避状態に保持させるために、前記異常信号に基づいて前記フェールセーフ信号を出力するフェールセーフ手段(31)と、
前記異常信号に基づいて、前記制御部をリセットするための前記リセット信号を出力するリセット手段(32)と、
を有する電子制御装置であって、
前記リセット手段は、前記異常信号が出力されている場合であっても、前記フェールセーフ信号が出力されている間は、前記リセット信号の出力を停止することを特徴とする電子制御装置。 A first load in which a driving state when a fail-safe signal is output is different from a driving state when a reset signal is output, a driving state when the fail-safe signal is output, and the reset A control unit (20) for controlling the driving of the second load that has the same driving state as when the signal is output ;
A monitoring unit (21) for monitoring whether or not the control unit is operating normally,
The monitoring unit is
When detecting an abnormality of the control unit, an abnormality detecting means (30) for outputting an abnormality signal;
To retain the retracted state set in advance the second load, the fail-safe means (31) for outputting the fail-safe signal based on the abnormality signal,
Reset means (32) for outputting the reset signal for resetting the controller based on the abnormal signal;
An electronic control device for have a,
The electronic control device according to claim 1, wherein the reset unit stops outputting the reset signal while the fail-safe signal is output even when the abnormal signal is output. フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なる第1負荷と、前記フェールセーフ信号が出力されているときの駆動状態と、前記リセット信号が出力されているときの駆動状態とが同じである第2負荷の駆動を制御する制御部(20)と、
前記制御部が正常に動作しているか否かを監視する監視部(21)と、を備え、
前記監視部が、
前記制御部の異常を検出すると、異常信号を出力する異常検出手段(30)と、
前記第2負荷を予め設定された退避状態に保持させるために、前記異常信号に基づいて前記フェールセーフ信号を出力するフェールセーフ手段(31)と、
前記異常信号に基づいて、前記制御部をリセットするための前記リセット信号を出力するリセット手段(32)と、を有し、
外部機器(40,44)からの信号を取得する電子制御装置であって、
前記リセット手段は、前記外部機器から前記リセット信号の出力を停止させるためのリセット停止信号を取得すると、前記異常信号が出力されている場合であっても、前記リセット信号の出力を停止することを特徴とする電子制御装置。 A first load in which a driving state when a fail-safe signal is output is different from a driving state when a reset signal is output, a driving state when the fail-safe signal is output, and the reset A control unit (20) for controlling the driving of the second load that has the same driving state as when the signal is output ;
A monitoring unit (21) for monitoring whether or not the control unit is operating normally,
The monitoring unit is
When detecting an abnormality of the control unit, an abnormality detecting means (30) for outputting an abnormality signal;
To retain the retracted state set in advance the second load, the fail-safe means (31) for outputting the fail-safe signal based on the abnormality signal,
Resetting means (32) for outputting the reset signal for resetting the control unit based on the abnormal signal;
An electronic control device for acquiring a signal from an external device (40, 44),
When the reset means obtains a reset stop signal for stopping the output of the reset signal from the external device, the reset means stops the output of the reset signal even when the abnormal signal is output. Electronic control device characterized. 前記外部機器としての他の電子制御装置(40)と相互に異常を監視する請求項2に記載の電子制御装置であって、
前記リセット手段は、前記他の電子制御装置から前記リセット停止信号を取得すると、前記異常信号が出力されている場合であっても、前記リセット信号の出力を停止することを特徴とする電子制御装置。 The electronic control device according to claim 2, wherein the electronic control device monitors the abnormality mutually with the other electronic control device (40) as the external device.
When the reset unit acquires the reset stop signal from the other electronic control unit, the reset unit stops output of the reset signal even when the abnormal signal is output. . 前記外部機器としての、ユーザにより操作されるスイッチ(44)から信号を取得する請求項2に記載の電子制御装置であって、
前記リセット手段は、前記スイッチから前記リセット停止信号を取得すると、前記異常信号が出力されている場合であっても、前記リセット信号の出力を停止することを特徴とする電子制御装置。 The electronic control device according to claim 2, wherein a signal is acquired from a switch (44) operated by a user as the external device.
The electronic control device according to claim 1, wherein when the reset unit obtains the reset stop signal from the switch, the reset unit stops outputting the reset signal even when the abnormal signal is output. 車両に搭載され、前記制御部が、前記第2負荷として、スロットルバルブ(14)を開閉するためのモータ(15)を制御し、前記第1負荷として、インジェクタ(11)及び点火プラグ(12)を制御する請求項1〜4いずれか1項に記載の電子制御装置であって、
前記フェールセーフ信号により、前記モータ、前記インジェクタ、及び前記点火プラグのうち、前記モータの駆動が停止されることを特徴とする電子制御装置。 Mounted in a vehicle, the control unit controls the motor (15) for opening and closing the throttle valve (14) as the second load , and the injector (11) and the spark plug (12) as the first load. The electronic control device according to any one of claims 1 to 4 , wherein
The electronic control device according to claim 1, wherein driving of the motor among the motor, the injector, and the spark plug is stopped by the fail-safe signal.
JP2015063294A 2014-10-01 2015-03-25 Electronic control unit Active JP6398829B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102015218774.8A DE102015218774B4 (en) 2014-10-01 2015-09-29 Electronic control device

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2014202956 2014-10-01
JP2014202956 2014-10-01

Publications (2)

Publication Number Publication Date
JP2016070265A JP2016070265A (en) 2016-05-09
JP6398829B2 true JP6398829B2 (en) 2018-10-03

Family

ID=55864231

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015063294A Active JP6398829B2 (en) 2014-10-01 2015-03-25 Electronic control unit

Country Status (1)

Country Link
JP (1) JP6398829B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10784800B2 (en) * 2016-12-28 2020-09-22 Hitachi Automotive Systems, Ltd. Signal control apparatus

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09105349A (en) * 1995-10-11 1997-04-22 Denso Corp Fail-safe device of electronic control unit
JPH11294252A (en) * 1998-04-13 1999-10-26 Denso Corp Electronic control device
JP3883840B2 (en) * 2001-10-31 2007-02-21 株式会社デンソー Electronic control device for vehicle
JP3883849B2 (en) * 2001-11-19 2007-02-21 株式会社デンソー Electronic control device for vehicle
JP3888225B2 (en) * 2002-05-14 2007-02-28 トヨタ自動車株式会社 Vehicle control device
JP5494182B2 (en) * 2010-04-22 2014-05-14 株式会社デンソー Vehicle evacuation control device
JP5240260B2 (en) * 2010-09-13 2013-07-17 株式会社デンソー Electronic control device for vehicle

Also Published As

Publication number Publication date
JP2016070265A (en) 2016-05-09

Similar Documents

Publication Publication Date Title
US6230094B1 (en) Electronic control system and method having monitor program
CN105781766B (en) Trouble-shooter and method for diagnosing faults for crank angle sensor
US9477542B2 (en) Electronic control unit
US10005363B1 (en) Vehicle power flow analysis to distinguish between internal faults and external forces
US20150081183A1 (en) Method and device for monitoring a drive of a motor vehicle
JP5692366B2 (en) Vehicle control device
JP6406139B2 (en) Electronic control unit
JP2008088885A (en) Control device for internal combustion engine
JP6398829B2 (en) Electronic control unit
US8164214B2 (en) Vehicle control apparatus having function for preventing erroneous operation due to delay in activation of other vehicle control apparatus
US20140366835A1 (en) Avoidance of a safety fuel cut-off during partial engine operation
JP2016094846A (en) Electronic control device
JP3883849B2 (en) Electronic control device for vehicle
JP2011017275A (en) Electronic control device
JP7251469B2 (en) electronic controller
US10006381B2 (en) Diagnostic system and diagnostic method for internal combustion engine
JP3883840B2 (en) Electronic control device for vehicle
JP2015075115A (en) Method and device for monitoring drive device of motor vehicle
KR101543103B1 (en) Injector driver and operating method the same
JP2010001872A (en) Internal combustion engine control device
US9870651B1 (en) Diagnostic testing of rapid heat up of an exhaust sytem during engine decompression
DE102015218774B4 (en) Electronic control device
JP2009156200A (en) Engine control device, engine control method and motorcycle
JP2023074744A (en) Fuel injection control device
JP2015147460A (en) Electronic control device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180424

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180426

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180528

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180807

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180820

R151 Written notification of patent or utility model registration

Ref document number: 6398829

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250