JP6443202B2 - Electronic control device for vehicle - Google Patents

Electronic control device for vehicle Download PDF

Info

Publication number
JP6443202B2
JP6443202B2 JP2015086468A JP2015086468A JP6443202B2 JP 6443202 B2 JP6443202 B2 JP 6443202B2 JP 2015086468 A JP2015086468 A JP 2015086468A JP 2015086468 A JP2015086468 A JP 2015086468A JP 6443202 B2 JP6443202 B2 JP 6443202B2
Authority
JP
Japan
Prior art keywords
unit
microcomputer
reset
monitoring
electronic control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015086468A
Other languages
Japanese (ja)
Other versions
JP2016203764A (en
Inventor
哲也 荻野
哲也 荻野
浩生 国部
浩生 国部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2015086468A priority Critical patent/JP6443202B2/en
Priority to DE102016206537.8A priority patent/DE102016206537A1/en
Publication of JP2016203764A publication Critical patent/JP2016203764A/en
Application granted granted Critical
Publication of JP6443202B2 publication Critical patent/JP6443202B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • G06F11/2215Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test error correction or detection circuits

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Description

本発明は、車両の電子制御装置に関する。   The present invention relates to an electronic control device for a vehicle.

この種の車両の電子制御装置としては、特許文献1に記載の電子制御装置がある。特許文献1に記載の電子制御装置は、マイクロプロセッサと、ウォッチドッグタイマとを備えている。マイクロプロセッサはウォッチドッグ信号をウォッチドッグタイマに送信している。ウォッチドッグ信号は、論理ハイレベルと論理ローレベルとを周期的に繰り返すパルス信号である。ウォッチドッグタイマは、マイクロプロセッサからウォッチドッグ信号が送信されているか否かを監視している。マイクロプロセッサに何らかの異常が生じると、マイクロプロセッサがウォッチドッグ信号を出力できなくなる。ウォッチドッグタイマは、マイクロプロセッサからのウォッチドッグ信号の出力が停止したとき、マイクロプロセッサに異常が生じたと判定してリセット信号をマイクロプロセッサに出力する。リセット信号がマイクロプロセッサにより受信されることにより、マイクロプロセッサが初期化及び再起動される。   As an electronic control device for this type of vehicle, there is an electronic control device described in Patent Document 1. The electronic control device described in Patent Document 1 includes a microprocessor and a watchdog timer. The microprocessor sends a watchdog signal to the watchdog timer. The watchdog signal is a pulse signal that periodically repeats a logic high level and a logic low level. The watchdog timer monitors whether or not a watchdog signal is transmitted from the microprocessor. If any abnormality occurs in the microprocessor, the microprocessor cannot output a watchdog signal. When the output of the watchdog signal from the microprocessor is stopped, the watchdog timer determines that an abnormality has occurred in the microprocessor and outputs a reset signal to the microprocessor. When the reset signal is received by the microprocessor, the microprocessor is initialized and restarted.

特開2002−235598号公報JP 2002-235598 A

ところで、マイクロプロセッサ等の演算部は、車両のイグニッションスイッチがオフされた後にシャットダウンの前処理を行うことがある。シャットダウンの前処理は、イグニッションスイッチがオフ操作された時点から電子制御装置がシャットダウン(停止)されるまでに行われる処理であり、例えば演算部に搭載されたRAM(Random Access Memory)のリードライトチェック等である。   By the way, a calculation unit such as a microprocessor may perform a shutdown pre-processing after the vehicle ignition switch is turned off. The shutdown pre-processing is performed from when the ignition switch is turned off until the electronic control unit is shut down (stopped). For example, a read / write check of a RAM (Random Access Memory) mounted in the arithmetic unit Etc.

RAMのリードライトチェック中またはチェック終了後にイグニッションスイッチがオン操作されると、イグニッションスイッチのオン操作に伴い演算部が再起動した際に、RAMに異常データが記憶されている可能性がある。この場合、再起動した演算部がRAMの記憶されたデータをそのまま用いると、異常データに基づく演算が行われる可能性がある。これを回避するために、例えばRAMのリードライトチェック中にイグニッションスイッチがオン操作された場合には、演算部が意図的にウォッチドッグ信号の送信を停止すればよい。これにより、監視部としてのウォッチドッグタイマから演算部にリセット信号が送信されるため、演算部が初期化及び再起動される。すなわち、RAMの記憶データも初期化されるため、RAMに記憶された異常データを演算部が用いることを回避できる。   If the ignition switch is turned on during or after the RAM read / write check, abnormal data may be stored in the RAM when the arithmetic unit is restarted when the ignition switch is turned on. In this case, if the restarted calculation unit uses the data stored in the RAM as it is, a calculation based on the abnormal data may be performed. In order to avoid this, for example, when the ignition switch is turned on during the read / write check of the RAM, the arithmetic unit may intentionally stop transmitting the watchdog signal. As a result, a reset signal is transmitted from the watchdog timer as the monitoring unit to the calculation unit, so that the calculation unit is initialized and restarted. That is, since the storage data of the RAM is also initialized, it can be avoided that the calculation unit uses the abnormal data stored in the RAM.

しかしながら、このような方法を用いると、演算部からのウォッチドッグ信号の出力が停止した場合、それが演算部の意図的なものであるか、演算部の異常に起因するものであるかを監視部は判定することができない。そのため、演算部が意図的にウォッチドッグ信号の送信を停止した状況であるにも関わらず、監視部が演算部の異常を誤検出するおそれがある。   However, when such a method is used, if the output of the watchdog signal from the arithmetic unit stops, it is monitored whether it is intentional of the arithmetic unit or due to an abnormality of the arithmetic unit. The part cannot be determined. For this reason, there is a possibility that the monitoring unit erroneously detects an abnormality of the calculation unit even though the calculation unit intentionally stops transmitting the watchdog signal.

本発明は、こうした実情に鑑みてなされたものであり、その目的は、演算部の異常の誤検出を抑制することのできる車両の電子制御装置を提供することにある。   The present invention has been made in view of such circumstances, and an object thereof is to provide an electronic control device for a vehicle that can suppress erroneous detection of abnormality in a calculation unit.

上記課題を解決するために、車両の電子制御装置(1)は、ウォッチドッグ信号(Swd)を出力する演算部(10)と、ウォッチドッグ信号に基づいて演算部の状態を監視する監視部(20)とを備える。演算部は、車両のイグニッションスイッチがオフ操作された後に電子制御装置がシャットダウンされるまでにシャットダウンの前処理を行うとともに、シャットダウンの前処理中にイグニッションスイッチがオン操作された際に、ウォッチドッグ信号の出力を停止することにより監視部に対してリセット要求を行うものである。監視部は、演算部からのウォッチドッグ信号の出力が停止することに基づいて演算部をリセットするとともに、演算部のリセットが行われた回数であるリセット回数を計測し、当該リセット回数が所定のリセット回数閾値以上になることに基づいて演算部の異常を検出する。監視部は、演算部のリセット要求に基づいて演算部をリセットする。監視部は、演算部のリセット要求に基づいて演算部をリセットする際に、リセット回数の計測を停止する。
In order to solve the above problems, an electronic control device (1) for a vehicle includes a calculation unit (10) that outputs a watchdog signal (Swd), and a monitoring unit that monitors the state of the calculation unit based on the watchdog signal ( 20). The calculation unit performs a pre-shutdown process until the electronic control unit is shut down after the vehicle ignition switch is turned off, and a watchdog signal when the ignition switch is turned on during the shutdown pre-process. The reset request is made to the monitoring unit by stopping the output. The monitoring unit resets the calculation unit based on the stop of the output of the watchdog signal from the calculation unit, measures the number of resets that is the number of times the calculation unit is reset, and the reset number is a predetermined number. An abnormality in the calculation unit is detected based on the reset count threshold or more. The monitoring unit resets the calculation unit based on a reset request from the calculation unit. The monitoring unit stops measuring the number of resets when resetting the calculation unit based on the reset request of the calculation unit.

この構成によれば、演算部の意図的なリセット要求に基づいて演算部のリセットが行われた場合には、監視部はリセット回数の計測を行わない。これにより、演算部の意図的なリセット要求に基づいて監視部が演算部の異常を検出することを回避できるため、演算部の異常の誤検出を抑制することができる。   According to this configuration, when the calculation unit is reset based on the intentional reset request of the calculation unit, the monitoring unit does not measure the number of resets. Thereby, since it can avoid that a monitoring part detects abnormality of a calculating part based on the intentional reset request | requirement of a calculating part, the erroneous detection of the abnormality of a calculating part can be suppressed.

なお、上記手段、及び特許請求の範囲に記載の括弧内の符号は、後述する実施形態に記載の具体的手段との対応関係を示す一例である。   In addition, the code | symbol in the bracket | parenthesis as described in the said means and a claim is an example which shows a corresponding relationship with the specific means as described in embodiment mentioned later.

本発明によれば、演算部の異常の誤検出を抑制することができる。   ADVANTAGE OF THE INVENTION According to this invention, the erroneous detection of the abnormality of a calculating part can be suppressed.

電子制御装置の一実施形態についてその概略構成を示すブロック図である。It is a block diagram which shows the schematic structure about one Embodiment of an electronic controller. 実施形態の電子制御装置により実行される処理の一部を示すフローチャートである。It is a flowchart which shows a part of process performed by the electronic control apparatus of embodiment. 実施形態の電子制御装置により実行される処理の一部を示すフローチャートである。It is a flowchart which shows a part of process performed by the electronic control apparatus of embodiment. (A)〜(E)は、イグニッションスイッチの状態、ウォッチドッグ信号、リセット信号、リセット回数、及びマイコンの状態のそれぞれの推移を示すタイミングチャートである。(A)-(E) is a timing chart which shows each transition of the state of an ignition switch, a watchdog signal, a reset signal, the frequency | count of reset, and the state of a microcomputer.

以下、車両の電子制御装置の一実施形態について説明する。図1に示される車両の電子制御装置1は、車両のスロットルモータ2の駆動を制御する。スロットルモータ2はスロットルバルブ3を開閉するための動力源である。スロットルバルブ3は車載エンジンの吸気通路に設けられている。スロットルバルブ3は、その開閉動作により、車載エンジンに取り込まれる吸入空気量を調整する。   Hereinafter, an embodiment of an electronic control device for a vehicle will be described. The vehicle electronic control device 1 shown in FIG. 1 controls driving of a throttle motor 2 of the vehicle. The throttle motor 2 is a power source for opening and closing the throttle valve 3. The throttle valve 3 is provided in the intake passage of the vehicle-mounted engine. The throttle valve 3 adjusts the amount of intake air taken into the vehicle-mounted engine by its opening / closing operation.

電子制御装置1は、演算部としてのマイクロコントローラ10と、監視部としての監視IC20と、駆動部30と、メインリレー40とを備えている。以下では、便宜上、マイクロコントローラ10を「マイコン10」と略記する。   The electronic control device 1 includes a microcontroller 10 as a calculation unit, a monitoring IC 20 as a monitoring unit, a driving unit 30, and a main relay 40. Hereinafter, for convenience, the microcontroller 10 is abbreviated as “microcomputer 10”.

駆動部30は、マイコン10から出力される駆動信号Sdに基づいてスロットルモータ2を駆動させる。また、駆動部30は、マイコン10又は監視IC20から出力される遮断要求信号Scを受信すると、停止する。すなわち、スロットルモータ2が停止する。スロットルモータ2が停止することにより、スロットルバルブ3の開度がMLT(Mechanical Limp home Throttle)開度に設定される。   The drive unit 30 drives the throttle motor 2 based on the drive signal Sd output from the microcomputer 10. Moreover, the drive part 30 will stop, if the interruption | blocking request | requirement signal Sc output from the microcomputer 10 or monitoring IC20 is received. That is, the throttle motor 2 stops. When the throttle motor 2 is stopped, the opening degree of the throttle valve 3 is set to an MLT (Mechanical Limp home Throttle) opening degree.

マイコン10には、スロットル開度センサ6の出力信号及びアクセル開度センサ7の出力信号がそれぞれ取り込まれている。スロットル開度センサ6は、スロットルバルブ3の開度を検出し、その検出値に応じた信号を出力する。アクセル開度センサ7は、車両のアクセルペダルの踏み込み量を検出し、その検出値に応じた信号を出力する。マイコン10は、スロットル開度センサ6の出力信号及びアクセル開度センサ7の出力信号に基づいてスロットルバルブ3の開度及びアクセルペダルの踏み込み量のそれぞれの情報を取得する。マイコン10は、スロットルバルブ3の開度及びアクセルペダルの踏み込み量に基づいて駆動部30を駆動させることにより、スロットルモータ2の出力トルクを制御し、スロットルバルブ3の開度を調整する。   The microcomputer 10 receives the output signal of the throttle opening sensor 6 and the output signal of the accelerator opening sensor 7 respectively. The throttle opening sensor 6 detects the opening of the throttle valve 3 and outputs a signal corresponding to the detected value. The accelerator opening sensor 7 detects the amount of depression of the accelerator pedal of the vehicle and outputs a signal corresponding to the detected value. The microcomputer 10 acquires information on the opening degree of the throttle valve 3 and the depression amount of the accelerator pedal based on the output signal of the throttle opening degree sensor 6 and the output signal of the accelerator opening degree sensor 7. The microcomputer 10 controls the output torque of the throttle motor 2 and adjusts the opening degree of the throttle valve 3 by driving the drive unit 30 based on the opening degree of the throttle valve 3 and the depression amount of the accelerator pedal.

マイコン10は、イグニッションスイッチ4のオン操作に基づいて起動するとともに、イグニッションスイッチ4のオフ操作に基づいて停止する。具体的には、イグニッションスイッチ4のオン操作に基づいて起動した際、初期化処理を行う。初期化処理は、例えばマイコン10のRAM18の初期化や割り込み設定等を行う処理である。また、マイコン10は、イグニッションスイッチ4がオフ操作された際、シャットダウンの前処理を行う。シャットダウンの前処理は、イグニッションスイッチ4がオフ操作された時点から電子制御装置1がシャットダウン(停止)されるまでに行われる処理であり、例えばRAM18のリードライトチェック等を行う処理である。マイコン10は、シャットダウンの前処理が終了した後にシャットダウン(停止)する。   The microcomputer 10 is activated based on the ON operation of the ignition switch 4 and stopped based on the OFF operation of the ignition switch 4. Specifically, initialization processing is performed when the ignition switch 4 is activated based on an ON operation. The initialization process is, for example, a process for initializing the RAM 18 of the microcomputer 10 and setting an interrupt. Further, the microcomputer 10 performs pre-shutdown processing when the ignition switch 4 is turned off. The shutdown pre-process is a process that is performed from when the ignition switch 4 is turned off until the electronic control unit 1 is shut down (stopped). For example, a read / write check of the RAM 18 is performed. The microcomputer 10 shuts down (stops) after the shutdown preprocessing is completed.

マイコン10は、監視IC20にウォッチドッグ信号Swdを出力している。ウォッチドッグ信号Swdは、論理ハイレベルと論理ローレベルとを周期的に繰り返すパルス信号である。監視IC20は、マイコン10から出力されるウォッチドッグ信号Swdに基づいてマイコン10の状態を監視している。監視IC20は、マイコン10からのウォッチドッグ信号Swdの出力が停止された場合、マイコン10に異常が生じたと判定する。この場合、監視IC20は、駆動部30に遮断要求信号Scを出力することにより、駆動部30を停止させる。また、監視IC20は、マイコン10に遮断要求信号Scを出力することにより、マイコン10により実行されている制御を通常制御からフェイルセーフ制御に切り替える。   The microcomputer 10 outputs a watch dog signal Swd to the monitoring IC 20. The watchdog signal Swd is a pulse signal that periodically repeats a logic high level and a logic low level. The monitoring IC 20 monitors the state of the microcomputer 10 based on the watch dog signal Swd output from the microcomputer 10. The monitoring IC 20 determines that an abnormality has occurred in the microcomputer 10 when the output of the watch dog signal Swd from the microcomputer 10 is stopped. In this case, the monitoring IC 20 stops the drive unit 30 by outputting a cutoff request signal Sc to the drive unit 30. In addition, the monitoring IC 20 switches the control executed by the microcomputer 10 from normal control to fail-safe control by outputting a cutoff request signal Sc to the microcomputer 10.

次に、マイコン10及び監視IC20の構成について詳しく説明する。
マイコン10は、電源制御部11と、制御信号生成部12と、モニタ部13と、マイコン監視部14と、状態管理部15と、MCU(Microcontroller Unit)ドライバ16と、WD( Watch Dog)出力部17とを備えている。また、マイコン10は、RAM18やROM19等の記憶装置を備えている。 Next, the configuration of the microcomputer 10 and the monitoring IC 20 will be described in detail.
The microcomputer 10 includes a power supply control unit 11, a control signal generation unit 12, a monitor unit 13, a microcomputer monitoring unit 14, a state management unit 15, an MCU (Microcontroller Unit) driver 16, and a WD (Watch Dog) output unit. 17. Further, the microcomputer 10 includes a storage device such as a RAM 18 or a ROM 19.

電源制御部11には、車両のバッテリ5からイグニッションスイッチ4を介してバッテリ電圧VBが印加されている。すなわち、イグニッションスイッチ4がオンされることにより電源制御部11にバッテリ電圧VBが印加される。電源制御部11は、バッテリ電圧VBが印加されると、メインリレー40をオンさせる。これにより、バッテリ電圧VBが動作電圧としてメインリレー40を介してマイコン10の各種電子部品に印加され、マイコン10が起動する。   A battery voltage VB is applied to the power control unit 11 from the vehicle battery 5 via the ignition switch 4. That is, when the ignition switch 4 is turned on, the battery voltage VB is applied to the power supply control unit 11. The power supply control unit 11 turns on the main relay 40 when the battery voltage VB is applied. As a result, the battery voltage VB is applied as an operating voltage to the various electronic components of the microcomputer 10 via the main relay 40, and the microcomputer 10 is activated.

イグニッションスイッチ4がオフされると、電源制御部11へのバッテリ電圧VBの印加が遮断される。電源制御部11は、バッテリ電圧VBの印加が遮断されると、マイコン10のシャットダウンの前処理が終了したか否かを判断する。電源制御部11は、マイコン10のシャットダウンの前処理が終了した場合には、メインリレー40をオフさせる。これにより、バッテリ5からマイコン10への電力供給が遮断され、マイコン10が停止する。   When the ignition switch 4 is turned off, the application of the battery voltage VB to the power supply control unit 11 is cut off. When the application of the battery voltage VB is cut off, the power supply control unit 11 determines whether or not the shutdown pre-processing of the microcomputer 10 has been completed. The power supply control unit 11 turns off the main relay 40 when the preprocessing for shutting down the microcomputer 10 is completed. Thereby, the power supply from the battery 5 to the microcomputer 10 is interrupted, and the microcomputer 10 stops.

制御信号生成部12には、電子制御装置1の入力部51,61を介してスロットル開度センサ6の出力信号及びアクセル開度センサ7の出力信号がそれぞれ取り込まれている。制御信号生成部12は、スロットル開度センサ6の出力信号及びアクセル開度センサ7の出力信号に基づいてスロットルバルブ3の開度及びアクセルペダルの踏み込み量のそれぞれの情報を取得する。制御信号生成部12は、スロットルバルブ3の開度及びアクセルペダルの踏み込み量に基づいてスロットルモータ2の出力トルクの目標値を設定するとともに、当該出力トルクの目標値に応じた駆動信号Sdを生成し、当該駆動信号Sdを駆動部30に出力する。駆動部30は、制御信号生成部12から出力される駆動信号Sdに基づいてスロットルモータ2を駆動させる。これにより、スロットルモータ2の出力トルクが目標値に制御され、スロットルバルブ3が開閉動作する。このように、制御信号生成部12はスロットルモータ2のトルク制御を行う部分である。   The control signal generation unit 12 receives the output signal of the throttle opening sensor 6 and the output signal of the accelerator opening sensor 7 via the input units 51 and 61 of the electronic control unit 1. The control signal generator 12 acquires information on the opening degree of the throttle valve 3 and the depression amount of the accelerator pedal based on the output signal of the throttle opening degree sensor 6 and the output signal of the accelerator opening degree sensor 7. The control signal generation unit 12 sets a target value of the output torque of the throttle motor 2 based on the opening degree of the throttle valve 3 and the depression amount of the accelerator pedal, and generates a drive signal Sd corresponding to the target value of the output torque. Then, the drive signal Sd is output to the drive unit 30. The drive unit 30 drives the throttle motor 2 based on the drive signal Sd output from the control signal generation unit 12. As a result, the output torque of the throttle motor 2 is controlled to the target value, and the throttle valve 3 opens and closes. As described above, the control signal generator 12 is a part that performs torque control of the throttle motor 2.

モニタ部13は入力部51,61及び制御信号生成部12の状態を監視している。モニタ部13は、入力部51,61及び制御信号生成部12のいずれかに異常が生じた場合には、遮断要求信号Scを駆動部30に出力することによりスロットルモータ2を停止させる。   The monitor unit 13 monitors the states of the input units 51 and 61 and the control signal generation unit 12. The monitor unit 13 stops the throttle motor 2 by outputting a shut-off request signal Sc to the drive unit 30 when any of the input units 51 and 61 and the control signal generation unit 12 is abnormal.

具体的には、電子制御装置1は、スロットル開度センサ6の出力信号を取り込む部分として、入力部51とは別に入力部52を備えている。また、電子制御装置1は、アクセル開度センサ7の出力信号を取り込む部分として、入力部61とは別に入力部62を備えている。モニタ部13には、入力部51,52を介してスロットル開度センサ6の出力信号が取り込まれている。また、モニタ部13には、入力部61,62を介してアクセル開度センサ7の出力信号が取り込まれている。   Specifically, the electronic control device 1 includes an input unit 52 in addition to the input unit 51 as a part that captures the output signal of the throttle opening sensor 6. Further, the electronic control device 1 includes an input unit 62 in addition to the input unit 61 as a part that captures the output signal of the accelerator opening sensor 7. The monitor unit 13 receives the output signal of the throttle opening sensor 6 via the input units 51 and 52. Further, the monitor unit 13 takes in the output signal of the accelerator opening sensor 7 via the input units 61 and 62.

モニタ部13は、入力部51を介して入力されるスロットル開度センサ6の出力信号と、入力部52を介して入力されるスロットル開度センサ6の出力信号とを比較する。モニタ部13は、前者と後者とが互いに異なる場合には、入力部51に異常が生じたと判断する。モニタ部13は、入力部51の異常を検出した場合には、駆動部30に遮断要求信号Scを出力することにより、スロットルモータ2を停止させる。   The monitor unit 13 compares the output signal of the throttle opening sensor 6 input via the input unit 51 with the output signal of the throttle opening sensor 6 input via the input unit 52. The monitor unit 13 determines that an abnormality has occurred in the input unit 51 when the former and the latter are different from each other. When detecting an abnormality in the input unit 51, the monitor unit 13 stops the throttle motor 2 by outputting a cutoff request signal Sc to the drive unit 30.

モニタ部13は、入力部61を介して入力されるアクセル開度センサ7の出力信号と、入力部62を介して入力されるアクセル開度センサ7の出力信号とを比較する。モニタ部13は、前者と後者とが互いに異なる場合には、入力部61に異常が生じたと判断する。モニタ部13は、入力部52の異常を検出した場合には、駆動部30に遮断要求信号Scを出力することにより、スロットルモータ2を停止させる。   The monitor unit 13 compares the output signal of the accelerator opening sensor 7 input through the input unit 61 with the output signal of the accelerator opening sensor 7 input through the input unit 62. If the former and the latter are different from each other, the monitor unit 13 determines that an abnormality has occurred in the input unit 61. When the monitor unit 13 detects an abnormality in the input unit 52, the monitor unit 13 stops the throttle motor 2 by outputting a cutoff request signal Sc to the drive unit 30.

モニタ部13は、入力部51を介して入力されるスロットル開度センサ6の出力信号に基づいてスロットルモータ2の許容出力トルクを演算する。また、モニタ部13は、入力部52を介して入力されるアクセル開度センサ7の出力信号に基づいてスロットルモータ2の推定出力トルクを演算する。モニタ部13は、許容出力トルクと推定出力トルクとに基づいて、制御信号生成部12の演算値に異常が生じているか否かを判断する。モニタ部13は、制御信号生成部12の演算値に異常が生じていると判断した場合には、駆動部30に遮断要求信号Scを出力することにより、スロットルモータ2を停止させる。   The monitor unit 13 calculates the allowable output torque of the throttle motor 2 based on the output signal of the throttle opening sensor 6 that is input via the input unit 51. The monitor unit 13 calculates an estimated output torque of the throttle motor 2 based on the output signal of the accelerator opening sensor 7 input via the input unit 52. The monitor unit 13 determines whether an abnormality has occurred in the calculated value of the control signal generation unit 12 based on the allowable output torque and the estimated output torque. When the monitor unit 13 determines that an abnormality has occurred in the calculated value of the control signal generation unit 12, the monitor unit 13 stops the throttle motor 2 by outputting a cutoff request signal Sc to the drive unit 30.

以下では、便宜上、モニタ部13により実行される処理を「モニタ処理」と称する。
状態管理部15は、マイコン10の各種電子部品の状態を管理している。状態管理部15は、各種電子部品のいずれかの部位に異常が発生すると、リセット要求信号をMCUドライバ16に出力する。 Hereinafter, for the sake of convenience, the process executed by the monitor unit 13 is referred to as “monitor process”.
The state management unit 15 manages the states of various electronic components of the microcomputer 10. The state management unit 15 outputs a reset request signal to the MCU driver 16 when an abnormality occurs in any part of various electronic components.

MCUドライバ16は、マイコン10の初期化、リセット、及びシャットダウンを制御する。MCUドライバ16は、状態管理部15から出力されるリセット要求信号を受信すると、マイコン監視部14に対してリセット要求信号を出力する。   The MCU driver 16 controls initialization, reset, and shutdown of the microcomputer 10. Upon receiving the reset request signal output from the state management unit 15, the MCU driver 16 outputs a reset request signal to the microcomputer monitoring unit 14.

マイコン監視部14は、RAM18やROM19に加え、マイコン10に実装されているソフトウェアのフローやインストラクションを自己診断する。マイコン監視部14は自己診断結果を監視IC20にSPI( Serial Peripheral Interface)通信により出力する。   The microcomputer monitoring unit 14 performs self-diagnosis of the software flow and instructions installed in the microcomputer 10 in addition to the RAM 18 and the ROM 19. The microcomputer monitoring unit 14 outputs the self-diagnosis result to the monitoring IC 20 by SPI (Serial Peripheral Interface) communication.

マイコン監視部14は、MCUドライバ16から出力されるリセット要求信号を受信すると、WD出力部17にリセット要求信号を出力する。   When receiving the reset request signal output from the MCU driver 16, the microcomputer monitoring unit 14 outputs a reset request signal to the WD output unit 17.

マイコン監視部14は、監視IC20から遮断要求信号Scが出力されたか否かを監視している。マイコン監視部14は、監視IC20から遮断要求信号Scが出力されたことを検出した場合、マイコン10により実行される制御を通常制御からフェイルセーフ制御に切り替える処理等を行う。   The microcomputer monitoring unit 14 monitors whether or not the shutdown request signal Sc is output from the monitoring IC 20. When the microcomputer monitoring unit 14 detects that the cutoff request signal Sc is output from the monitoring IC 20, the microcomputer monitoring unit 14 performs a process of switching the control executed by the microcomputer 10 from normal control to fail-safe control.

マイコン監視部14は、マイコン10がシャットダウンの前処理でRAM18のリードライトチェックを行っている期間にイグニッションスイッチ4がオン操作された場合には、リセット要求信号を監視IC20に出力する。以下、当該リセット要求信号と、マイコン10の異常に起因してマイコン監視部14から出力されるリセット要求信号とを区別するために、前者のリセット要求信号を「意図的なリセット要求信号」と称する。   The microcomputer monitoring unit 14 outputs a reset request signal to the monitoring IC 20 when the ignition switch 4 is turned on while the microcomputer 10 performs a read / write check of the RAM 18 in the shutdown pre-processing. Hereinafter, in order to distinguish the reset request signal from the reset request signal output from the microcomputer monitoring unit 14 due to the abnormality of the microcomputer 10, the former reset request signal is referred to as an “intentional reset request signal”. .

WD出力部17は、監視IC20にウォッチドッグ信号Swdを出力している。WD出力部17は、マイコン監視部14から出力されるリセット要求信号を受信した場合、ウォッチドッグ信号Swdの出力を停止する。   The WD output unit 17 outputs a watchdog signal Swd to the monitoring IC 20. When receiving the reset request signal output from the microcomputer monitoring unit 14, the WD output unit 17 stops outputting the watchdog signal Swd.

監視IC20は、異常検出部21と、WD監視部22と、リセット回数計測部23とを有している。   The monitoring IC 20 includes an abnormality detection unit 21, a WD monitoring unit 22, and a reset count measuring unit 23.

異常検出部21は、マイコン監視部14から出力される自己診断結果に基づいてマイコン10に異常が生じているか否かを判定する。異常検出部21は、自己診断結果に基づいてマイコン10に異常が生じていると判定した場合には、遮断要求信号Scをマイコン10及び駆動部30に出力する。   The abnormality detection unit 21 determines whether an abnormality has occurred in the microcomputer 10 based on the self-diagnosis result output from the microcomputer monitoring unit 14. If the abnormality detection unit 21 determines that an abnormality has occurred in the microcomputer 10 based on the self-diagnosis result, the abnormality detection unit 21 outputs a cutoff request signal Sc to the microcomputer 10 and the drive unit 30.

WD監視部22は、マイコン10からウォッチドッグ信号Swdが出力されているか否かを監視する。WD監視部22は、マイコン10からのウォッチドッグ信号Swdの出力が停止すると、マイコン10にリセット信号Srを出力する。リセット信号Srは、例えば論理ハイレベルから論理ローレベルに切り替わる信号である。このリセット信号Srがマイコン10に入力されると、マイコン10がリセットされる。WD監視部22は、リセット信号Srを出力する都度、その旨をリセット回数計測部23に通知する。   The WD monitoring unit 22 monitors whether or not the watchdog signal Swd is output from the microcomputer 10. When the output of the watchdog signal Swd from the microcomputer 10 is stopped, the WD monitoring unit 22 outputs a reset signal Sr to the microcomputer 10. The reset signal Sr is a signal for switching from a logic high level to a logic low level, for example. When this reset signal Sr is input to the microcomputer 10, the microcomputer 10 is reset. Each time the WD monitoring unit 22 outputs the reset signal Sr, the WD monitoring unit 22 notifies the reset number measuring unit 23 to that effect.

リセット回数計測部23は、WD監視部22からの通知に基づいてリセット回数Crを計測している。リセット回数Crは、マイコン10のリセットが行われた回数を示している。リセット回数計測部23は、リセット回数Crに対応したカウンタを有しており、WD監視部22からの通知に基づいてカウンタの値をインクリメントすることによりリセット回数Crを計測している。リセット回数計測部23は、リセット回数Crが所定のリセット回数閾値Crth以上になることに基づいてマイコン10の異常を検出し、遮断要求信号Scをマイコン10及び駆動部30に出力する。   The reset count measuring unit 23 measures the reset count Cr based on the notification from the WD monitoring unit 22. The number of resets Cr indicates the number of times the microcomputer 10 has been reset. The reset count measuring unit 23 has a counter corresponding to the reset count Cr, and measures the reset count Cr by incrementing the value of the counter based on the notification from the WD monitoring unit 22. The reset count measurement unit 23 detects an abnormality of the microcomputer 10 based on the reset count Cr being equal to or greater than a predetermined reset count threshold Crth, and outputs a cutoff request signal Sc to the microcomputer 10 and the drive unit 30.

次に、マイコン10に異常が生じた際の動作について説明する。
例えばマイコン監視部14の自己診断によりマイコン10の異常が検出された場合、マイコン監視部14の自己診断結果に基づいて監視IC20がマイコン10の異常を検出する。この場合、監視IC20から駆動部30に遮断要求信号Scが出力されることにより、スロットルモータ2が停止する。また、監視IC20からマイコン10に遮断要求信号Scが出力されることにより、マイコン10により実行されている制御が通常制御からフェイルセーフ制御に切り替わる。 Next, an operation when an abnormality occurs in the microcomputer 10 will be described.
For example, when abnormality of the microcomputer 10 is detected by the self-diagnosis of the microcomputer monitoring unit 14, the monitoring IC 20 detects the abnormality of the microcomputer 10 based on the self-diagnosis result of the microcomputer monitoring unit 14. In this case, when the shutoff request signal Sc is output from the monitoring IC 20 to the drive unit 30, the throttle motor 2 is stopped. Further, when the cutoff request signal Sc is output from the monitoring IC 20 to the microcomputer 10, the control executed by the microcomputer 10 is switched from normal control to fail-safe control.

状態管理部15によりマイコン10の異常が検出された場合には、状態管理部15からリセット要求信号が出力されることにより、マイコン10から監視IC20へのウォッチドッグ信号Swdの出力が停止される。同様に、暴走等によりマイコン10の動作に異常が生じると、マイコン10から監視IC20へのウォッチドッグ信号Swdの出力が停止される。この場合、監視IC20からマイコン10にリセット信号Srが出力されるため、マイコン10のリセットが行われる。   When an abnormality of the microcomputer 10 is detected by the state management unit 15, a reset request signal is output from the state management unit 15, whereby the output of the watch dog signal Swd from the microcomputer 10 to the monitoring IC 20 is stopped. Similarly, when an abnormality occurs in the operation of the microcomputer 10 due to runaway or the like, the output of the watch dog signal Swd from the microcomputer 10 to the monitoring IC 20 is stopped. In this case, since the reset signal Sr is output from the monitoring IC 20 to the microcomputer 10, the microcomputer 10 is reset.

例えば運転者がイグニッションスイッチ4をオフ操作した直後にオン操作した場合には、マイコン10がシャットダウンの前処理中にRAM18のリードライトチェックを行っている期間にイグニッションスイッチ4がオン操作されることになる。この場合、マイコン監視部14が意図的なリセット要求信号を出力することにより、マイコン10から監視IC20へのウォッチドッグ信号Swdの出力が停止される。この場合、監視IC20からマイコン10にリセット信号Srが出力されるため、マイコン10のリセットが行われる。   For example, when the driver turns on the ignition switch 4 immediately after turning off the ignition switch 4, the ignition switch 4 is turned on during the period when the microcomputer 10 performs the read / write check of the RAM 18 during the shutdown pre-processing. Become. In this case, when the microcomputer monitoring unit 14 outputs an intentional reset request signal, the output of the watchdog signal Swd from the microcomputer 10 to the monitoring IC 20 is stopped. In this case, since the reset signal Sr is output from the monitoring IC 20 to the microcomputer 10, the microcomputer 10 is reset.

また、マイコン10のリセットが所定のリセット回数閾値Crth以上行われると、駆動部30に遮断要求信号Scが出力されることにより、スロットルモータ2が停止する。さらに、監視IC20からマイコン10に遮断要求信号Scが出力されることにより、マイコン10がフェイルセーフ制御を実行する。   Further, when the microcomputer 10 is reset at a predetermined reset count threshold value Crth or more, a shutoff request signal Sc is output to the drive unit 30 to stop the throttle motor 2. Further, when the shutoff request signal Sc is output from the monitoring IC 20 to the microcomputer 10, the microcomputer 10 executes fail-safe control.

ところで、このような電子制御装置1では、イグニッションスイッチ4のオン及びオフが短時間に繰り返されると、マイコン監視部14から意図的なリセット要求信号が連続して出力される。これにより、リセット回数計測部23により計測されるリセット回数Crがリセット回数閾値Crth以上になると、監視IC20がマイコン10に異常が生じたと判定するおそれがある。この場合、マイコン10に異常が生じていないにも関わらず、監視IC20から遮断要求信号Scが出力されるため、マイコン10がフェイルセーフ制御を実行したり、駆動部30の動作が停止する等の不都合が生じるおそれがある。   By the way, in such an electronic control device 1, when the ignition switch 4 is repeatedly turned on and off in a short time, an intentional reset request signal is continuously output from the microcomputer monitoring unit 14. Accordingly, when the reset count Cr measured by the reset count measuring unit 23 is equal to or greater than the reset count threshold Crth, the monitoring IC 20 may determine that an abnormality has occurred in the microcomputer 10. In this case, since the shutdown request signal Sc is output from the monitoring IC 20 even though there is no abnormality in the microcomputer 10, the microcomputer 10 executes fail-safe control, or the operation of the drive unit 30 is stopped. Inconvenience may occur.

そこで、本実施形態の電子制御装置1では、マイコン監視部14が意図的なリセット要求信号を送信している場合には、リセット回数計測部23がリセット回数Crの計測を停止する。以下、その内容について詳しく説明する。   Therefore, in the electronic control device 1 of the present embodiment, when the microcomputer monitoring unit 14 transmits an intentional reset request signal, the reset number measuring unit 23 stops measuring the reset number Cr. The contents will be described in detail below.

マイコン10は、図2及び図3に示される処理を所定の周期で繰り返し実行する。図2に示されるように、マイコン10は、起動した後(ステップS1)、初期化処理を実行する(ステップS2)。ステップS2の処理に続いて、マイコン10は、監視IC20のリセット回数閾値Crthを設定するとともに(ステップS3)、リセット回数Crの計測を開始させる(ステップS4)。具体的には、マイコン監視部14がリセット回数閾値Crthを設定するとともに、当該リセット回数閾値CrthをSPI通信により監視IC20のリセット回数計測部23に送信する。その後、マイコン監視部14は、リセット回数の計測の開始をリセット回数計測部23に対して指示する。   The microcomputer 10 repeatedly executes the processes shown in FIGS. 2 and 3 at a predetermined cycle. As shown in FIG. 2, the microcomputer 10 starts up (step S1) and then executes an initialization process (step S2). Following the processing in step S2, the microcomputer 10 sets the reset count threshold Crth of the monitoring IC 20 (step S3) and starts measuring the reset count Cr (step S4). Specifically, the microcomputer monitoring unit 14 sets the reset frequency threshold Crth and transmits the reset frequency threshold Crth to the reset frequency measurement unit 23 of the monitoring IC 20 by SPI communication. Thereafter, the microcomputer monitoring unit 14 instructs the reset count measuring unit 23 to start the reset count measurement.

ステップS4の処理に続いて、マイコン10は、制御信号生成部12によりスロットルモータ2のトルク制御を実行するとともに(ステップS5)、モニタ部13によりモニタ処理を実行する(ステップS6)。また、マイコン10は、マイコン監視部14によりマイコン10の監視処理を実行する(ステップS7)。   Subsequent to step S4, the microcomputer 10 executes torque control of the throttle motor 2 by the control signal generator 12 (step S5), and executes monitor processing by the monitor unit 13 (step S6). Moreover, the microcomputer 10 performs the monitoring process of the microcomputer 10 by the microcomputer monitoring part 14 (step S7).

ステップS7の処理に続いて、図3に示されるように、マイコン10は、イグニッションスイッチ4の今回の検出状態がオン状態であるか否かを判断する(ステップS8)。なお、マイコン10は、イグニッションスイッチ4の状態を所定の周期で検出している。マイコン10は、イグニッションスイッチ4の今回の検出状態がオン状態である場合には(ステップS8:YES)、イグニッションスイッチ4の前回の検出状態がオン状態であるか否かを判断する(ステップS12)。マイコン10は、イグニッションスイッチ4の前回の検出状態がオン状態である場合には(ステップS12:YES)、図2のステップS5の処理に戻る。   Subsequent to the process of step S7, as shown in FIG. 3, the microcomputer 10 determines whether or not the current detection state of the ignition switch 4 is an on state (step S8). The microcomputer 10 detects the state of the ignition switch 4 at a predetermined cycle. When the current detection state of the ignition switch 4 is on (step S8: YES), the microcomputer 10 determines whether or not the previous detection state of the ignition switch 4 is on (step S12). . If the previous detection state of the ignition switch 4 is on (step S12: YES), the microcomputer 10 returns to the process of step S5 in FIG.

図3に示されるように、マイコン10は、ステップS12の処理においてイグニッションスイッチ4の前回の検出状態がオフ状態であると判断した場合には(ステップS12:NO)、監視IC20によるリセット回数Crの計測を停止する処理を実行するとともに(ステップS13)、監視IC20へのウォッチドッグ信号Swdの出力を停止する(ステップS14)。なお、ステップS14の処理は無限ループ処理である。   As shown in FIG. 3, when the microcomputer 10 determines in the process of step S12 that the previous detection state of the ignition switch 4 is OFF (step S12: NO), the microcomputer 10 resets the number of resets Cr. A process for stopping the measurement is executed (step S13), and the output of the watchdog signal Swd to the monitoring IC 20 is stopped (step S14). Note that the process of step S14 is an infinite loop process.

マイコン10は、ステップS8の処理においてイグニッションスイッチ4の今回の検出状態がオン状態でない判断した場合には(ステップS8:NO)、すなわちイグニッションスイッチ4がオフ状態である場合には、シャットダウンの前処理としてRAM18のリードライトチェックを行う(ステップS9)。その後、マイコン10は、シャットダウンの前処理を終了した後(ステップS10)、停止する(ステップS11)。   If the microcomputer 10 determines in step S8 that the current detection state of the ignition switch 4 is not on (step S8: NO), that is, if the ignition switch 4 is off, the microcomputer 10 performs pre-shutdown processing. Then, a read / write check of the RAM 18 is performed (step S9). Thereafter, the microcomputer 10 ends the shutdown preprocessing (step S10) and then stops (step S11).

なお、マイコン10は、ステップS9の処理及びステップS10の処理の実行期間中に、各々周期的にイグニッションスイッチ4の状態を検出している。マイコン10は、ステップS9の処理及びステップS10の処理の実行期間中にイグニッションスイッチ4がオンされたことを検出した場合には、監視IC20によるリセット回数Crの計測を停止する処理、並びに監視IC20へのウォッチドッグ信号Swdの出力を停止する処理を実行する。   The microcomputer 10 periodically detects the state of the ignition switch 4 during the process of step S9 and the execution period of step S10. When the microcomputer 10 detects that the ignition switch 4 is turned on during the process of step S9 and the process of step S10, the microcomputer 10 stops the measurement of the number of resets Cr by the monitoring IC 20 and the monitoring IC 20 The process of stopping the output of the watchdog signal Swd is executed.

次に、本実施形態の電子制御装置1の作用及び効果について説明する。
図4(A)に示されるようにイグニッションスイッチ4がオン状態であるときに、図4(B)に示されるようにマイコン10から監視IC20にウォッチドッグ信号Swdが正常に出力されているとする。このような状況で、図4(A)に示されるように、時刻t1でイグニッションスイッチ4がオフ操作されると、マイコン10がシャットダウンの前処理を開始する。すなわち、マイコン10は、時刻t1以降、RAM18のリードライトチェックを行う。 Next, the operation and effect of the electronic control device 1 of the present embodiment will be described.
When the ignition switch 4 is in the ON state as shown in FIG. 4A, it is assumed that the watchdog signal Swd is normally output from the microcomputer 10 to the monitoring IC 20 as shown in FIG. 4B. . In such a situation, as shown in FIG. 4A, when the ignition switch 4 is turned off at time t1, the microcomputer 10 starts pre-shutdown processing. That is, the microcomputer 10 performs a read / write check of the RAM 18 after time t1.

マイコン10がRAM18のリードライトチェックを行っている期間中の時刻t2でイグニッションスイッチ4がオン操作されると、マイコン監視部14から意図的なリセット要求信号が出力される。よって、図4(B)に示されるように、マイコン10は時刻t2でウォッチドッグ信号Swdの出力を停止する。この際、マイコン10は、監視IC20によるリセット回数Crの計測を停止させる。   When the ignition switch 4 is turned on at time t2 during the period in which the microcomputer 10 performs the read / write check of the RAM 18, an intentional reset request signal is output from the microcomputer monitoring unit 14. Therefore, as shown in FIG. 4B, the microcomputer 10 stops the output of the watchdog signal Swd at time t2. At this time, the microcomputer 10 stops the measurement of the reset count Cr by the monitoring IC 20.

その後、監視IC20が、時刻t3で、マイコン10からのウォッチドッグ信号Swdの出力が停止したと判断すると、リセット信号Srをマイコン10に出力する。よって、図4(E)に示されるように、時刻t3でマイコン10がリセットされる。この際、監視IC20によるリセット回数Crの計測が停止されているため、図4(D)に示されるように、時刻t3のマイコン10のリセットが監視IC20により計測されることはない。すなわち、監視IC20は、マイコン10の意図的なリセット要求に基づいてマイコン10のリセットが行われた場合には、リセット回数Crの計測を行わない。これにより、マイコン10の意図的なリセット要求に基づいて監視IC20がマイコン10の異常を検出することを回避できるため、監視IC20によるマイコン10の異常の誤検出を抑制することができる。結果的に、監視IC20によりマイコン10の異常をより精度良く検出することができるため、マイコン10の異常時における駆動部30の停止処理や、マイコン10のフェイルセーフ制御をより適切に実行することができる。   Thereafter, when the monitoring IC 20 determines that the output of the watchdog signal Swd from the microcomputer 10 is stopped at time t3, the reset IC Sr is output to the microcomputer 10. Therefore, as shown in FIG. 4E, the microcomputer 10 is reset at time t3. At this time, since the measurement of the number of resets Cr by the monitoring IC 20 is stopped, the reset of the microcomputer 10 at time t3 is not measured by the monitoring IC 20 as shown in FIG. That is, the monitoring IC 20 does not measure the reset count Cr when the microcomputer 10 is reset based on the intentional reset request of the microcomputer 10. Thereby, since it is possible to avoid the monitoring IC 20 from detecting the abnormality of the microcomputer 10 based on the intentional reset request of the microcomputer 10, it is possible to suppress erroneous detection of the abnormality of the microcomputer 10 by the monitoring IC 20. As a result, since abnormality of the microcomputer 10 can be detected with higher accuracy by the monitoring IC 20, it is possible to more appropriately execute the stop processing of the drive unit 30 and the fail-safe control of the microcomputer 10 when the microcomputer 10 is abnormal. it can.

その後、時刻t4でマイコン10が起動すると、図4(B)に示されるように、マイコン10はウォッチドッグ信号Swdの出力を再開する。この際、マイコン10は、監視IC20のリセット回数閾値Crthを設定するとともに、リセット回数Crの計測を開始させる。これにより、監視IC20によるリセット回数Crの監視機能が適切に復帰する。   Thereafter, when the microcomputer 10 is activated at time t4, the microcomputer 10 resumes outputting the watchdog signal Swd as shown in FIG. At this time, the microcomputer 10 sets the reset count threshold Crth of the monitoring IC 20 and starts measuring the reset count Cr. Thereby, the monitoring function of the reset count Cr by the monitoring IC 20 is appropriately restored.

なお、上記実施形態は、以下の形態にて実施することもできる。
・電子制御装置1の構成は、スロットルモータ2の駆動を制御するものに限らず、例えばパワートレイン制御を行う電子制御装置や、トランスミッション制御などを行う電子制御装置等に適用することも可能である。 In addition, the said embodiment can also be implemented with the following forms.
The configuration of the electronic control device 1 is not limited to the one that controls the driving of the throttle motor 2, but can be applied to, for example, an electronic control device that performs powertrain control, an electronic control device that performs transmission control, and the like. .

・本発明は上記の具体例に限定されるものではない。すなわち、上記の具体例に、当業者が適宜設計変更を加えたものも、本発明の特徴を備えている限り、本発明の範囲に包含される。例えば、前述した各具体例が備える各要素及びその配置や条件等は、例示したものに限定されるわけではなく適宜変更することができる。また、前述した実施形態が備える各要素は、技術的に可能な限りにおいて組み合わせることができ、これらを組み合わせたものも本発明の特徴を含む限り本発明の範囲に包含される。   -This invention is not limited to said specific example. That is, the above-described specific examples that are appropriately modified by those skilled in the art are also included in the scope of the present invention as long as they have the characteristics of the present invention. For example, the elements included in each of the specific examples described above, their arrangement, conditions, and the like are not limited to those illustrated, and can be changed as appropriate. Moreover, each element with which embodiment mentioned above is provided can be combined as long as it is technically possible, and the combination of these is also included in the scope of the present invention as long as it includes the features of the present invention.

Swd:ウォッチドッグ信号
1:電子制御装置
10:マイコン(演算部)
20:監視IC(監視部) Swd: Watchdog signal 1: Electronic control device 10: Microcomputer (calculation unit)
20: Monitoring IC (monitoring unit)

Claims (4)

車両の電子制御装置(1)であって、
ウォッチドッグ信号(Swd)を出力する演算部(10)と、
前記ウォッチドッグ信号に基づいて前記演算部の状態を監視する監視部(20)と、を備え、
前記演算部は、
車両のイグニッションスイッチがオフ操作された後に電子制御装置がシャットダウンされるまでにシャットダウンの前処理を行うとともに、
前記シャットダウンの前処理中に前記イグニッションスイッチがオン操作された際に、前記ウォッチドッグ信号の出力を停止することにより前記監視部に対してリセット要求を行うものであり、
前記監視部は、
前記演算部からの前記ウォッチドッグ信号の出力が停止することに基づいて前記演算部をリセットするとともに、前記演算部のリセットが行われた回数であるリセット回数を計測し、当該リセット回数が所定のリセット回数閾値以上になることに基づいて前記演算部の異常を検出するとともに、
前記演算部のリセット要求に基づいて前記演算部をリセットするものであり、
前記演算部のリセット要求に基づいて前記演算部をリセットする際に、前記リセット回数の計測を停止することを特徴とする車両の電子制御装置。 An electronic control device (1) for a vehicle,
A calculation unit (10) for outputting a watchdog signal (Swd);
A monitoring unit (20) for monitoring the state of the arithmetic unit based on the watchdog signal,
The computing unit is
Before the electronic control device is shut down after the vehicle ignition switch is turned off, pre-shutdown is performed,
When the ignition switch is turned on during the shutdown pre-processing, a reset request is made to the monitoring unit by stopping the output of the watchdog signal,
The monitoring unit
The calculation unit is reset based on the stop of the output of the watchdog signal from the calculation unit, and the number of resets, which is the number of times the calculation unit is reset, is measured. While detecting an abnormality of the arithmetic unit based on being more than the reset count threshold,
The operation unit is reset based on a reset request of the operation unit,
An electronic control device for a vehicle, wherein when resetting the computing unit based on a reset request of the computing unit, measurement of the number of resets is stopped. 請求項1に記載の車両の電子制御装置において、
前記演算部は、起動した際に初期化処理を行うものであり、
前記監視部は、前記演算部の初期化処理の際に、前記リセット回数閾値を設定するとともに、前記リセット回数の計測を開始することを特徴とする車両の電子制御装置。 The electronic control device for a vehicle according to claim 1,
The arithmetic unit performs an initialization process when activated,
The electronic control device for a vehicle, wherein the monitoring unit sets the reset frequency threshold and starts measuring the reset frequency during the initialization process of the arithmetic unit. 請求項1又は2に記載の車両の電子制御装置において、
前記シャットダウンの前処理には、前記演算部のチェック処理が含まれていることを特徴とする請求項1又は2に記載の車両の電子制御装置。 The vehicle electronic control device according to claim 1 or 2,
The vehicle electronic control device according to claim 1, wherein the shutdown preprocessing includes a check process of the arithmetic unit. 請求項3に記載の車両の電子制御装置において、  In the vehicle electronic control device according to claim 3,
前記演算部のチェック処理には、前記演算部のRAMのリードライトチェックが含まれていることを特徴とする車両の電子制御装置。  The electronic control device for a vehicle according to claim 1, wherein the check process of the calculation unit includes a read / write check of the RAM of the calculation unit.
JP2015086468A 2015-04-21 2015-04-21 Electronic control device for vehicle Active JP6443202B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015086468A JP6443202B2 (en) 2015-04-21 2015-04-21 Electronic control device for vehicle
DE102016206537.8A DE102016206537A1 (en) 2015-04-21 2016-04-19 ELECTRONIC CONTROL UNIT FOR ONE VEHICLE

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015086468A JP6443202B2 (en) 2015-04-21 2015-04-21 Electronic control device for vehicle

Publications (2)

Publication Number Publication Date
JP2016203764A JP2016203764A (en) 2016-12-08
JP6443202B2 true JP6443202B2 (en) 2018-12-26

Family

ID=57110711

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015086468A Active JP6443202B2 (en) 2015-04-21 2015-04-21 Electronic control device for vehicle

Country Status (2)

Country Link
JP (1) JP6443202B2 (en)
DE (1) DE102016206537A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7000172B2 (en) * 2018-01-18 2022-01-19 株式会社デンソーテン Power management device and power management method
JP6984512B2 (en) * 2018-03-22 2021-12-22 株式会社デンソー Electronic control device

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001235598A (en) 2000-02-22 2001-08-31 Hitachi Ltd Radioactive material dry storage facility
JP3881177B2 (en) 2001-02-06 2007-02-14 三菱電機株式会社 Vehicle control device
JP3992648B2 (en) * 2003-06-03 2007-10-17 株式会社日立製作所 AT control unit
JP4784311B2 (en) * 2006-01-11 2011-10-05 株式会社アドヴィックス Electronic control system for vehicles
JP5951429B2 (en) * 2012-02-01 2016-07-13 ルネサスエレクトロニクス株式会社 Watchdog circuit, power supply IC, and watchdog monitoring system
JP2014061793A (en) * 2012-09-21 2014-04-10 Hitachi Automotive Systems Ltd Automotive electronic control unit

Also Published As

Publication number Publication date
JP2016203764A (en) 2016-12-08
DE102016206537A1 (en) 2016-10-27

Similar Documents

Publication Publication Date Title
JP5739290B2 (en) Electronic control unit
JP5967059B2 (en) Electronic control device for vehicle
CN110594028B (en) Throttle self-learning control method and device and electronic control unit
WO2016170840A1 (en) Drive control device
US10649487B2 (en) Fail-safe clock monitor with fault injection
US9477542B2 (en) Electronic control unit
JP5094777B2 (en) In-vehicle electronic control unit
JP3970196B2 (en) Engine intake air amount control device and engine intake air amount control method
JP6443202B2 (en) Electronic control device for vehicle
JP6153815B2 (en) Electronic control unit for automobile
JP2016113968A (en) Vehicular control device and control method
JP2016071771A (en) Control device and monitoring device
JP6428537B2 (en) Electronic control device and computer program
JP3923810B2 (en) Electronic control device for vehicle
US11010225B2 (en) Electronic control unit including a break-output section configured to output a break signal to interrupt an input of a monitoring signal to an external monitoring circuit
JP4812699B2 (en) Power control device
JP2002089336A (en) Failure detection device for electronic control system of vehicle
JP5533777B2 (en) Program group
JP6172040B2 (en) Electronic control unit
JPS5981745A (en) Malfunction preventing device of microcomputer
JPH06138000A (en) Electronic controller
JP2006195739A (en) Electronic controller
JP7200883B2 (en) electronic controller
JP2019067054A (en) Monitoring device, monitoring system, and monitoring method
JP2006077660A (en) Abnormality diagnostic device for rotation angle sensor

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171006

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180626

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180628

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180822

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181030

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181112

R151 Written notification of patent or utility model registration

Ref document number: 6443202

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250