JP2003104138A - System for monitoring vehicle control device for rewriting of data - Google Patents
System for monitoring vehicle control device for rewriting of dataInfo
- Publication number
- JP2003104138A JP2003104138A JP2001305312A JP2001305312A JP2003104138A JP 2003104138 A JP2003104138 A JP 2003104138A JP 2001305312 A JP2001305312 A JP 2001305312A JP 2001305312 A JP2001305312 A JP 2001305312A JP 2003104138 A JP2003104138 A JP 2003104138A
- Authority
- JP
- Japan
- Prior art keywords
- monitoring
- rewriting
- data
- ecu
- monitoring data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Testing And Monitoring For Control Systems (AREA)
- Stored Programmes (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、外部の書き換え
装置から受信したデータで、車両制御装置のメモリに格
納されたデータを書き換える、車両制御装置のための書
き換えシステムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a rewriting system for a vehicle control device, which rewrites data stored in a memory of the vehicle control device with data received from an external rewriting device.
【0002】[0002]
【従来の技術】現在、車両は、複数の車両制御装置(以
下、「ECU」ともいう)により、空燃比、燃料噴射
量、エミッションなどのエンジンに関する制御、パワー
ウィンドウ、エアバッグ、ABSなどの車体に関する制
御など、様々に制御されている。ECUは、車両に搭載
された様々なセンサによって検出された車両の状態に基
づいて、車両を様々に制御する。2. Description of the Related Art At present, a vehicle is controlled by a plurality of vehicle control devices (hereinafter, also referred to as "ECU") relating to an engine such as an air-fuel ratio, a fuel injection amount, an emission, a vehicle body such as a power window, an airbag and an ABS. It is controlled in various ways such as control regarding. The ECU variously controls the vehicle based on the state of the vehicle detected by various sensors mounted on the vehicle.
【0003】ECUは、中央演算処理装置(CPU)、
実行するプログラムおよびデータを格納するROM(読
み取り専用メモリ)、実行時の作業領域を提供し演算結
果などを記憶するRAM(ランダムアクセスメモリ)、
各種センサからの信号を受け取り、およびエンジン各部
に制御信号を送る入出力インターフェースを備えてい
る。上記ROMには、典型的にはフラッシュメモリ、E
EPROMのような消去および書き込み可能な不揮発性
メモリが含まれる。The ECU is a central processing unit (CPU),
ROM (read-only memory) for storing programs and data to be executed, RAM (random access memory) for providing a work area at the time of execution and storing operation results,
It has an input / output interface that receives signals from various sensors and sends control signals to various parts of the engine. The ROM is typically a flash memory, E
It includes non-volatile memory that is erasable and writable, such as EPROM.
【0004】このような不揮発性メモリに格納されたデ
ータを書き換えるシステムが知られている。このシステ
ムは、典型的には、書き換え装置、ECU、およびそれ
らを接続するシリアル通信路から構成される。ECU
は、該ECUに搭載された不揮発性メモリに格納された
データを消去し、書き換え装置からシリアル通信を介し
て送信されたデータを受信し、該受信したデータを該不
揮発性メモリの所定の領域に書き込む。A system for rewriting data stored in such a nonvolatile memory is known. This system is typically composed of a rewriting device, an ECU, and a serial communication path connecting them. ECU
Erases the data stored in the non-volatile memory mounted on the ECU, receives the data transmitted from the rewriting device via serial communication, and stores the received data in a predetermined area of the non-volatile memory. Write.
【0005】このような、不揮発性メモリの書き換えを
実行するECUに故障が生じているかどうかを判定する
ため、該ECUとは別の監視ECUを設けることが提案
されている。監視ECUは、書き換えを実行するECU
(以下、監視対象ECUと呼ぶ)との通信を介して、監
視対象ECUが正常に動作しているかどうか判断する。
具体的には、監視対象ECUが定期的に監視用データを
監視ECUに送信する。監視ECUは、監視用データを
定期的に受信している間は、監視対象ECUが正常に動
作していると判断する。一方、監視ECUは、所定期間
が経過しても監視用データが受信されない場合は、監視
対象ECUに故障が生じていると判断する。In order to determine whether or not a failure has occurred in the ECU that executes such rewriting of the nonvolatile memory, it has been proposed to provide a monitoring ECU that is different from the ECU. The monitoring ECU is the ECU that executes rewriting
It is determined whether the monitored ECU is operating normally through communication with (hereinafter referred to as monitored ECU).
Specifically, the monitoring target ECU periodically transmits the monitoring data to the monitoring ECU. The monitoring ECU determines that the monitoring target ECU is operating normally while receiving the monitoring data regularly. On the other hand, if the monitoring data is not received even after the lapse of the predetermined period, the monitoring ECU determines that the monitoring target ECU has a failure.
【0006】監視対象ECUがメモリの書き換えを実行
している間にこのような監視用データが通信を介して送
受信されると、書き換え動作が遅くなり、書き換え時間
が長くなるという問題があった。If such monitoring data is transmitted and received via communication while the monitored ECU is rewriting the memory, the rewriting operation becomes slow and the rewriting time becomes long.
【0007】これを解決するため、監視対象ECUが書
き換えを実行している間は、監視対象ECUと監視EC
Uとの間の通信を停止することが考えられる。しかしな
がら、通信を停止すると、監視ECUは、所定時間が経
過しても監視対象ECUから監視用データを受信しない
ため、監視対象ECUに故障が生じていると誤って判定
することがある。In order to solve this, while the monitoring target ECU is executing rewriting, the monitoring target ECU and the monitoring EC
It is possible to stop the communication with U. However, when the communication is stopped, the monitoring ECU does not receive the monitoring data from the monitoring target ECU even after a predetermined time elapses, and thus may erroneously determine that the monitoring target ECU has a failure.
【0008】特開平10−63542号公報には、書き
換え動作中には監視ECUが故障判定を実行しないよう
にする方法が記載されている。この方法によると、書き
換えを開始するとき、外部の書き換え装置が、通信ライ
ンを介して監視ECUに監視を停止するよう要求する。
書き換えが終了した後、書き換え装置が、監視ECUに
監視を再開するよう要求する。また、別の方法による
と、監視対象ECUが書き換え装置から書き換え開始信
号を受信したとき、該監視対象ECUが、監視ECUに
監視を停止するよう要求する。書き換えが終了した後、
監視対象ECUが、監視ECUに監視を再開するよう要
求する。Japanese Unexamined Patent Publication No. 10-63542 describes a method for preventing the monitoring ECU from performing a failure determination during the rewriting operation. According to this method, when the rewriting is started, the external rewriting device requests the monitoring ECU to stop the monitoring via the communication line.
After the rewriting is completed, the rewriting device requests the monitoring ECU to resume the monitoring. According to another method, when the monitoring target ECU receives the rewriting start signal from the rewriting device, the monitoring target ECU requests the monitoring ECU to stop the monitoring. After rewriting is completed,
The monitored ECU requests the monitoring ECU to resume monitoring.
【0009】[0009]
【発明が解決しようとする課題】しかしながら、上記の
特開平10−63542号公報のものによると、監視E
CUが誤って監視停止要求を受信したと判断してしまっ
た場合、または、書き換え装置および監視対象ECUが
誤って監視停止要求を監視ECUに送信してしまった場
合、監視が停止され、監視対象ECUの故障を判断する
ことができなくなる。However, according to the above-mentioned Japanese Patent Laid-Open No. 10-63542, the monitoring E
If the CU mistakenly determines that the monitoring stop request is received, or if the rewriting device and the monitoring target ECU mistakenly send the monitoring stop request to the monitoring ECU, the monitoring is stopped and the monitoring target is stopped. It becomes impossible to judge the failure of the ECU.
【0010】したがって、書き換え動作中も監視を継続
しつつ、書き換え動作に遅延を生じさせない装置および
方法が必要とされている。Therefore, there is a need for an apparatus and method that keeps monitoring even during the rewriting operation and does not delay the rewriting operation.
【0011】[0011]
【課題を解決するための手段】上記の課題を解決するた
め、請求項1の発明のデータ書き換えのための車両制御
装置の監視システムは、車両を制御するための制御情報
を記憶した書き換え可能な不揮発性メモリを有し、外部
の書換装置から受信したデータで該メモリに格納された
データを書き換える、車両に搭載された車両制御装置
と、車両制御装置に故障が生じたかどうかを判定する監
視装置とを備え、車両制御装置は、前記メモリのデータ
を書き換える書き換え制御モードにおいては第1の監視
用データを監視装置に送信し、該書き換え制御以外の通
常制御モードにおいては第2の監視用データを監視装置
に送信し、監視装置は、受信した前記第1の監視用デー
タおよび前記第2の監視用データに基づいて、車両制御
装置に故障が生じたかどうかを判定し、第1の監視用デ
ータの送信タイミングの間隔は、第2の監視用データの
送信タイミングの間隔よりも長く設定される、という構
成をとる。In order to solve the above problems, the monitoring system for a vehicle control device for rewriting data according to the invention of claim 1 is rewritable in which control information for controlling a vehicle is stored. A vehicle control device mounted in a vehicle, which has a non-volatile memory and rewrites data stored in the memory with data received from an external rewriting device, and a monitoring device for determining whether or not a failure has occurred in the vehicle control device. The vehicle control device transmits the first monitoring data to the monitoring device in the rewriting control mode for rewriting the data in the memory, and transmits the second monitoring data in the normal control mode other than the rewriting control. The monitoring device transmits to the monitoring device, and the monitoring device has a failure in the vehicle control device based on the received first monitoring data and the second monitoring data. How to determine the spacing of the transmission timing of the first monitoring data is set second longer than the distance between the transmission timing of the monitoring data, a configuration called.
【0012】この発明によると、書き換え動作中も車両
制御装置に対する監視が継続されるので、車両制御装置
に故障が生じた場合に速やかに対応することができる。
また、書き換え制御モードにおける監視用データは、通
常の制御モードにおける監視用データよりも送信タイミ
ングの間隔が長く設定されるので、監視により書き換え
動作に及ぼされる遅延を最小にすることができる。According to the present invention, since the monitoring of the vehicle control device is continued during the rewriting operation, it is possible to promptly deal with the case where the vehicle control device has a failure.
Further, since the monitoring data in the rewrite control mode has a transmission timing interval set longer than that of the monitoring data in the normal control mode, the delay caused by the monitoring in the rewriting operation can be minimized.
【0013】請求項2の発明は、請求項1に記載のデー
タ書き換えのための車両制御装置の監視システムにおい
て、監視装置は、書き換え制御モードにおいては、第1
の所定時間が経過しても第1の監視用データを受け取ら
なければ車両制御装置に故障が生じたと判定し、通常制
御モードにおいては、第2の所定時間が経過しても第2
の監視用データを受け取らなければ車両制御装置に故障
が生じたと判定し、第1の所定時間は、第2の所定時間
よりも長く設定される、という構成をとる。According to a second aspect of the present invention, in the vehicle control device monitoring system for rewriting data according to the first aspect, the monitoring device is the first in the rewriting control mode.
If the first monitoring data is not received even after the lapse of the predetermined time, it is determined that the vehicle control device has failed, and in the normal control mode, the second control is performed even if the second predetermined time has elapsed.
If the monitoring data is not received, it is determined that a failure has occurred in the vehicle control device, and the first predetermined time is set longer than the second predetermined time.
【0014】この発明によると、監視装置は、書き換え
制御モードにおいては、通常制御モードよりも長い時間
間隔で故障判定を実行するので、通常制御モードでは速
やかに故障を検出することができると共に、書き換え制
御モードでは、書き換え動作に及ぼす遅延を最小限にし
つつ車両制御装置の監視を継続することができる。According to the present invention, the monitoring device executes the failure determination in the rewrite control mode at a longer time interval than in the normal control mode, so that the failure can be detected quickly in the normal control mode and the rewrite operation can be performed. In the control mode, it is possible to continue monitoring the vehicle control device while minimizing the delay that affects the rewriting operation.
【0015】[0015]
【発明の実施の形態】次に図面を参照してこの発明の実
施の形態を、外部の書き換え装置が送信したデータで、
車両制御装置(ECU)の不揮発性メモリに格納された
データを書き換えるシステムに関して説明する。BEST MODE FOR CARRYING OUT THE INVENTION Next, referring to the drawings, an embodiment of the present invention
A system for rewriting data stored in a non-volatile memory of a vehicle control unit (ECU) will be described.
【0016】図1は、この発明に従う監視システムの全
体的な機能ブロック図を示す。監視システムは、書き換
え装置20から受信したデータでメモリの書き換えを実
行する監視対象ECU10、および該ECU10を監視
する監視ECU30を備える。FIG. 1 shows an overall functional block diagram of a surveillance system according to the present invention. The monitoring system includes a monitoring target ECU 10 that rewrites a memory with data received from the rewriting device 20, and a monitoring ECU 30 that monitors the ECU 10.
【0017】監視対象ECU10は、典型的にはシリア
ル通信を介して、外部に設けられた書き換え装置20に
接続されることができる。書き換え装置20は、ECU
10が搭載される車両のメーカーによって認可された正
規の書き換え装置である。書き換え装置20をシリアル
通信バスを介してECU10に接続することにより、書
き換え装置20によって、ECU10のROM13に格
納されたデータおよびプログラムを書き換えることがで
きる。The monitored ECU 10 can be connected to an external rewriting device 20, typically via serial communication. The rewriting device 20 is an ECU
It is an authorized rewriting device approved by the manufacturer of the vehicle in which 10 is installed. By connecting the rewriting device 20 to the ECU 10 via a serial communication bus, the rewriting device 20 can rewrite data and programs stored in the ROM 13 of the ECU 10.
【0018】ECU10は、典型的にはマイクロコンピ
ュータおよびこれに付随する回路素子で構成され、中央
演算処理装置(以下「CPU」という)、不揮発性メモ
リであって、実行するプログラムおよびデータを格納す
るROM13、実行時の作業領域を提供し演算結果など
を記憶するRAM(ランダムアクセスメモリ)、車両に
設けられた様々なセンサから検出信号を受け取り、車両
の各部に制御信号を送る入出力インターフェースを備え
る。ここで、センサからの検出信号には、エンジン回転
数、エンジン水温、吸気温、バッテリ電圧、イグニショ
ンスイッチなどが含まれる。CPUは、入出力インター
フェースから入力された検出信号に基づいて、ROM1
3から制御プログラムおよびデータを呼び出して演算を
行い、その結果を入出力インターフェースを介して車両
の各部に出力し、車両の様々な機能を制御する。The ECU 10 is typically composed of a microcomputer and its associated circuit elements, is a central processing unit (hereinafter referred to as "CPU"), is a non-volatile memory, and stores programs to be executed and data. The ROM 13 is provided with a RAM (random access memory) that provides a work area during execution and stores calculation results, and an input / output interface that receives detection signals from various sensors provided on the vehicle and sends control signals to various parts of the vehicle. . Here, the detection signal from the sensor includes the engine speed, engine water temperature, intake air temperature, battery voltage, ignition switch, and the like. The CPU uses the ROM1 based on the detection signal input from the input / output interface.
The control program and data are called from 3 to perform a calculation, and the result is output to each part of the vehicle through the input / output interface to control various functions of the vehicle.
【0019】簡単にするため、図1には、ROM13の
みが表されている。以下、ROM13に格納されている
データを書き換える実施例について説明する。しかし、
以下の実施例の説明は、ROM13に格納されているプ
ログラムを書き換える場合にも同様に適用される。For simplicity, only the ROM 13 is shown in FIG. Hereinafter, an embodiment in which the data stored in the ROM 13 is rewritten will be described. But,
The following description of the embodiment is similarly applied to the case of rewriting the program stored in the ROM 13.
【0020】ROM13は、格納されたデータを消去し
て新たなデータを書き込むことができる不揮発性メモリ
であり、たとえばフラッシュメモリ、EEPROMによ
って実現することができる。The ROM 13 is a non-volatile memory capable of erasing stored data and writing new data, and can be realized by, for example, a flash memory or an EEPROM.
【0021】制御モード切り換え部12、書き換え部1
4、タイミング制御部15および監視用データ送信部1
6は、典型的にはコンピュータプログラムとして実現さ
れる。これらのプログラムは、たとえば書き換え不可能
なROM(図示せず)に格納される。書き換え不可能な
ROMは、格納されたデータを変更することができない
不揮発性メモリである。Control mode switching unit 12, rewriting unit 1
4, timing control unit 15 and monitoring data transmission unit 1
6 is typically realized as a computer program. These programs are stored in, for example, a non-rewritable ROM (not shown). A non-rewritable ROM is a non-volatile memory whose stored data cannot be changed.
【0022】書き換え不可能なROMは、製造時にデー
タが決められ、その後に消去および書き込みができない
マスクROMや、1度だけデータを書き込むことができ
るPROMなどによって実現することができる。また
は、フラッシュメモリ、EEPROMのような消去およ
び書き込み可能(すなわち書き換え可能)なROM13
のメモリ領域のうち、ある領域を変更不可能領域と設定
することによって実現してもよい。たとえば、EEPR
OMのある特定の領域を書き換え不可能領域と設定し、
そこにプログラムなどを格納する。その後、該書き換え
不可能領域以外の空き領域に対してスタートおよびエン
ドアドレスを指定することにより、書き換え可能領域を
設定する。The non-rewritable ROM can be realized by a mask ROM in which data is determined at the time of manufacture and cannot be erased and written thereafter, or a PROM in which data can be written only once. Alternatively, an erasable and writable (that is, rewritable) ROM 13 such as a flash memory or an EEPROM
It may be realized by setting a certain area in the memory area of 1. For example, EEPR
Set a certain area of OM as a non-rewritable area,
Store programs etc. there. After that, the rewritable area is set by designating the start and end addresses for the empty area other than the non-rewritable area.
【0023】図1および図2を参照して、書き換え装置
20から受信したデータで、ECU10のROM13に
格納されたデータを書き換える動作を説明する。ここ
で、書き換え装置20からECU10へのデータ送信
は、データブロック単位に実行される。The operation of rewriting the data stored in the ROM 13 of the ECU 10 with the data received from the rewriting device 20 will be described with reference to FIGS. 1 and 2. Here, the data transmission from the rewriting device 20 to the ECU 10 is executed in data block units.
【0024】書き換え装置20をECU10に接続した
後、書き換え装置20を操作して、書き換え動作を開始
する。または、ECU10を操作して、書き換え動作を
開始するようにしてもよい。After the rewriting device 20 is connected to the ECU 10, the rewriting device 20 is operated to start the rewriting operation. Alternatively, the rewriting operation may be started by operating the ECU 10.
【0025】ステップS41において、書き換え装置2
0は、ECU10にセキュリティ解除要求信号を送信す
る。ECU10は、それに応答して、正規の書き換え装
置が接続されていることを確認する認証処理を開始す
る。書き換え装置20が正規のものであると認証された
ならば、ECU10は、認証が成功したことを示す信号
を書き換え装置20に送信する。一方、書き換え装置2
0が正規のものではないと判断されたならば、認証が不
成功だったことを示す信号を書き換え装置20に送信す
る。認証が成功したならばステップS42に進み、書き
換え装置20は、書き換え開始信号をECU10に送信
する。ECU10は、それに応答して、書き換え開始許
可信号を返す。In step S41, the rewriting device 2
0 transmits a security cancellation request signal to the ECU 10. In response to this, the ECU 10 starts an authentication process for confirming that the regular rewriting device is connected. If the rewriting device 20 is authenticated as authentic, the ECU 10 transmits a signal indicating that the authentication is successful to the rewriting device 20. On the other hand, the rewriting device 2
If it is determined that 0 is not authentic, a signal indicating that the authentication was unsuccessful is transmitted to the rewriting device 20. If the authentication is successful, the process proceeds to step S42, and the rewriting device 20 transmits a rewriting start signal to the ECU 10. In response, the ECU 10 returns a rewrite start permission signal.
【0026】ステップS43において、書き換え装置2
0は、書き換え制御モードへの移行を要求する信号をE
CU10に送信する。ECU10の制御モード切り換え
部12は、制御モード移行許可信号を書き換え装置20
に送信すると共に、書き換え制御フラグに1をセットし
て、書き換え制御モードに移行する。ステップS44に
おいて、書き換え装置20は、制御モードの移行が完了
したかどうかをECU10に問い合わせる。制御モード
の移行が完了したならば、制御モード切り換え部12
は、移行完了信号を書き換え装置20に送信する。In step S43, the rewriting device 2
0 indicates that the signal requesting transition to the rewrite control mode is E
Send to CU10. The control mode switching unit 12 of the ECU 10 rewrites the control mode transition permission signal with the rewriting device 20.
And the rewrite control flag is set to 1 to shift to the rewrite control mode. In step S44, the rewriting device 20 inquires of the ECU 10 whether or not the shift of the control mode is completed. When the control mode transition is completed, the control mode switching unit 12
Transmits a transition completion signal to the rewriting device 20.
【0027】ステップS45において、書き換え装置2
0は、ROM13に格納されたデータの消去をECU1
0に要求する。具体的には、書き換え装置20は、RO
M13の消去すべきデータが格納されたメモリアドレス
を送信する。ECU10の書き換え部14は、受け取っ
たメモリアドレスに従って、ROM13のデータを消去
する。消去が完了したならば、消去完了信号を書き換え
装置20に送信する。In step S45, the rewriting device 2
0 indicates that the data stored in the ROM 13 is erased by the ECU 1
Request 0. Specifically, the rewriting device 20 uses the RO
The memory address of M13 in which the data to be erased is stored is transmitted. The rewriting unit 14 of the ECU 10 erases the data in the ROM 13 according to the received memory address. When the erasing is completed, the erasing completion signal is transmitted to the rewriting device 20.
【0028】ステップS46において、書き換え装置2
0は、書き込み要求信号と共に、ROM13に書き込む
べきデータブロックをECU10に送信する。データブ
ロックには、該データブロックが格納されるべきROM
13のメモリアドレスが付加されている。ECU10の
書き換え部14は、書き換え装置20から送られたデー
タブロックを受信し、付加されているメモリアドレスに
従って、受信したデータブロックをROM13に書き込
む。書き込みを完了すると、書き換え部14は、書き込
み完了信号を書き換え装置20に送信する。書き換え装
置20は、それに応答して、次のデータブロックをEC
U10に送信する。In step S46, the rewriting device 2
0 transmits the data block which should be written in ROM13 to ECU10 with a write request signal. ROM to store the data block in the data block
13 memory addresses are added. The rewriting unit 14 of the ECU 10 receives the data block sent from the rewriting device 20, and writes the received data block in the ROM 13 according to the added memory address. When the writing is completed, the rewriting unit 14 transmits a writing completion signal to the rewriting device 20. In response to this, the rewriting device 20 executes the EC of the next data block.
Send to U10.
【0029】ステップS46は、すべてのデータブロッ
クがROM13に書き込まれるまで繰り返される。たと
えば1つのプログラムを送信する場合、該プログラム
は、所定の長さのデータブロックに分割されて送信され
る。プログラムを構成するすべてのデータブロックが送
信されてROM13に書き込まれるまで、ステップS4
6は繰り返される。Step S46 is repeated until all the data blocks are written in the ROM 13. For example, when transmitting one program, the program is divided into data blocks of a predetermined length and transmitted. Until all the data blocks constituting the program are transmitted and written in the ROM 13, step S4
6 is repeated.
【0030】すべてのデータブロックのROM13への
書き込みが完了したならば、書き換え装置20は、書き
換え制御モードの解除を要求する信号をECU10に送
信する(ステップS47)。ECU10の制御モード切
り換え部12は、書き換え制御フラグをゼロにリセット
し、書き換え制御モードから通常の制御モードに移行す
る。制御モード切り換え部12は、書き換え制御モード
が解除されたことを示す信号を書き換え装置20に送
る。When the writing of all the data blocks to the ROM 13 is completed, the rewriting device 20 transmits a signal requesting cancellation of the rewriting control mode to the ECU 10 (step S47). The control mode switching unit 12 of the ECU 10 resets the rewrite control flag to zero and shifts from the rewrite control mode to the normal control mode. The control mode switching unit 12 sends a signal indicating that the rewriting control mode has been released to the rewriting device 20.
【0031】代替的に、書き換え制御モードへの移行
は、ステップ42において書き換え開始許可信号を書き
換え装置20に送信する際に行ってもよい。または、ス
テップ45またはステップ46において、書き換え装置
20からの消去要求信号または書き込み要求信号を受信
した際に実施してもよい。前述したように、書き換え制
御モードへ移行する際には書き換え制御フラグに値1が
セットされる。Alternatively, the transition to the rewrite control mode may be performed when the rewrite start permission signal is transmitted to the rewrite device 20 in step 42. Alternatively, it may be performed when the erase request signal or the write request signal from the rewriting device 20 is received in step 45 or step 46. As described above, the value 1 is set in the rewrite control flag when shifting to the rewrite control mode.
【0032】さらに、代替的に、消去制御と書き込み制
御の間で制御モードを切り換えるようにしてもよい。た
とえば、消去要求信号を受信したときに書き換え制御モ
ードに移行し、消去完了信号が返信されたときに、書き
換え制御モードから通常制御モードに移行する。また、
書き込み要求信号を受信したときに書き換え制御モード
に移行し、書き換え制御モード解除要求信号を受信した
ときに、書き換え制御モードから通常制御モードに移行
する。Further alternatively, the control mode may be switched between erase control and write control. For example, when the erase request signal is received, the rewrite control mode is entered, and when the erase completion signal is returned, the rewrite control mode is entered to the normal control mode. Also,
When the write request signal is received, the rewrite control mode is entered, and when the rewrite control mode release request signal is received, the rewrite control mode is entered the normal control mode.
【0033】さらに、代替的に、1つのデータブロック
について書き込み要求信号を受信したときに書き込み制
御モードに移行し、該データブロックについて書き込み
完了信号を返信したときに通常制御モードに移行しても
よい。この場合、ステップ46が実行されるたびに、書
き込み制御モードへの移行処理が実行される。Further, alternatively, the write control mode may be entered when a write request signal is received for one data block, and the normal control mode may be entered when a write completion signal is returned for the data block. . In this case, the process of shifting to the write control mode is executed every time step 46 is executed.
【0034】再び図1を参照すると、タイミング制御部
15は、監視ECU30に監視用データを送信するタイ
ミングを規定する。タイミング制御部15は、書き換え
制御モードにあるとき、書き換え制御用に設定された時
間間隔(たとえば、100ミリ秒)でタイミング信号を
発し、通常制御モードにあるとき、通常制御用に設定さ
れた時間間隔(たとえば、1ミリ秒)でタイミング信号
を発する。書き換え制御モードにおけるタイミング信号
の発生間隔は、通常制御モードにおけるタイミング信号
の発生間隔に比べて長く設定される。Referring again to FIG. 1, the timing control unit 15 defines the timing of transmitting the monitoring data to the monitoring ECU 30. The timing control unit 15 issues a timing signal at a time interval (for example, 100 milliseconds) set for rewrite control when in the rewrite control mode, and when set in the normal control mode, the time set for the normal control. It emits timing signals at intervals (eg, 1 millisecond). The generation interval of the timing signal in the rewrite control mode is set longer than the generation interval of the timing signal in the normal control mode.
【0035】監視用データ送信部16は、タイミング制
御部15によって発せられたタイミング信号に従って、
監視用データを監視ECU30に送信する。具体的に
は、書き換え制御モードにあるときにタイミング信号が
発せられた場合は、書き換え制御モード用に予め用意さ
れた監視用データ(以下、書き換え監視用データと呼
ぶ)が監視ECU30に送信される。また、通常制御モ
ードにおいてタイミング信号が発せられた場合は、通常
制御モード用に予め用意された監視用データ(以下、通
常監視用データと呼ぶ)が監視ECU30に送信され
る。こうして、書き換え動作中は、長めに設定された時
間間隔で書き換え監視用データが送信され、通常動作中
は、短めに設定された時間間隔で通常監視用データが送
信される。The monitoring data transmission unit 16 follows the timing signal issued by the timing control unit 15.
The monitoring data is transmitted to the monitoring ECU 30. Specifically, when the timing signal is issued in the rewrite control mode, monitoring data prepared for the rewrite control mode (hereinafter referred to as rewrite monitoring data) is transmitted to the monitoring ECU 30. . When the timing signal is issued in the normal control mode, monitoring data prepared in advance for the normal control mode (hereinafter referred to as normal monitoring data) is transmitted to the monitoring ECU 30. Thus, during the rewriting operation, the rewriting monitoring data is transmitted at a longer set time interval, and during the normal operation, the normal monitoring data is transmitted at a shorter set time interval.
【0036】代替的に、書き換え制御モードにおけるタ
イミング信号と通常制御モードにおけるタイミング信号
とを区別することができるよう、異なる信号を設定して
もよい。この場合、書き換え用タイミング信号が発せら
れた場合は、書き換え監視用データが監視ECU30に
送信される。通常タイミング信号が発せられた場合は、
通常監視用データが監視ECU30に送信される。Alternatively, different signals may be set so that the timing signal in the rewrite control mode and the timing signal in the normal control mode can be distinguished from each other. In this case, when the rewriting timing signal is issued, the rewriting monitoring data is transmitted to the monitoring ECU 30. If the normal timing signal is issued,
The normal monitoring data is transmitted to the monitoring ECU 30.
【0037】監視ECU30は、監視対象のECU10
と同様に、典型的にはマイクロコンピュータおよびこれ
に付随する回路素子で構成され、中央演算処理装置(以
下「CPU」という)、不揮発性メモリであって、実行
するプログラムおよびデータを格納するROM、実行時
の作業領域を提供し演算結果などを記憶するRAM(ラ
ンダムアクセスメモリ)、および入出力インターフェー
スを備える。監視ECU30は、様々なECUの故障判
定を実行するプログラムを有している。The monitoring ECU 30 is the ECU 10 to be monitored.
Similarly, a central processing unit (hereinafter referred to as "CPU"), which is typically composed of a microcomputer and circuit elements associated therewith, is a non-volatile memory, and is a ROM that stores programs and data to be executed, It is provided with a RAM (random access memory) for providing a work area at the time of execution and storing a calculation result, and an input / output interface. The monitoring ECU 30 has a program that executes failure determination of various ECUs.
【0038】監視用データ受信部31、タイマ部32お
よび故障判定部33は、典型的にはコンピュータプログ
ラムによって実現され、該プログラムは、監視ECU3
0に設けられたROM(図示せず)に格納される。The monitoring data receiving section 31, the timer section 32, and the failure determining section 33 are typically realized by a computer program, which is a monitoring ECU 3.
0 is stored in the ROM (not shown).
【0039】監視用データ受信部31は、監視対象EC
U10の監視用データ送信部16からの監視用データを
受信する。タイマ部32は、書き換え監視用データが受
け取られたならば、書き換え制御用に用意されたタイマ
(以下、書き換え用タイマと呼ぶ)に、書き換え制御用
の所定時間(たとえば、1秒)をセットする。一方、タ
イマ部32は、通常監視用データが受け取られたなら
ば、通常制御用に用意されたタイマ(以下、通常用タイ
マと呼ぶ)に、通常制御用の所定時間(たとえば、10
ミリ秒)をセットする。書き換え用タイマにセットされ
る時間は、通常用タイマにセットされる時間よりも長
い。The monitoring data receiving unit 31 monitors the EC to be monitored.
The monitoring data is received from the monitoring data transmission unit 16 of U10. When the rewriting monitoring data is received, the timer unit 32 sets a predetermined time (for example, 1 second) for rewriting control in a timer prepared for rewriting control (hereinafter referred to as a rewriting timer). . On the other hand, when the normal monitoring data is received, the timer unit 32 causes a timer prepared for normal control (hereinafter referred to as a normal timer) to display a predetermined time for normal control (for example, 10 seconds).
Milliseconds). The time set in the rewriting timer is longer than the time set in the normal timer.
【0040】この実施例においては、書き換え用タイマ
および通常用タイマは、初期化において所定時間がセッ
トされるダウンタイマを用いる。代替的に、初期化にお
いてゼロにリセットされるアップタイマを用いてもよ
い。In this embodiment, the rewriting timer and the normal timer are down timers each having a predetermined time set during initialization. Alternatively, an up-timer that is reset to zero on initialization may be used.
【0041】故障判定部33は、通常制御モードでは、
通常用タイマにセットされた時間が経過しても通常監視
用データを受け取らなかった場合には、ECU10に故
障が生じたと判定する。一方、故障判定部33は、書き
換え制御モードでは、書き換え用タイマにセットされた
時間が経過しても書き換え監視用データを受け取らなか
った場合には、ECU10に故障が生じたと判定する。In the normal control mode, the failure determination section 33
If the normal monitoring data is not received even after the time set in the normal timer has elapsed, it is determined that the ECU 10 has failed. On the other hand, in the rewrite control mode, the failure determination unit 33 determines that the ECU 10 has a failure if the rewrite monitoring data is not received even after the time set in the rewrite timer has elapsed.
【0042】こうして、通常制御モードでは、短い時間
間隔で故障判定が行われるので、故障が生じた場合に速
やかに対処することができる。書き換え制御モードで
は、通常制御モードよりも長い時間間隔で監視用データ
が送信されるので、監視動作によってECU10の書き
換え動作に及ぼされる遅延を最小にすることができる。
さらに、書き換え動作中も監視が継続して行われるの
で、書き換え動作中においてもECU10の故障を検出
することができる。Thus, in the normal control mode, since the failure determination is performed at short time intervals, it is possible to promptly deal with the failure. In the rewrite control mode, the monitoring data is transmitted at a longer time interval than in the normal control mode, so that the delay caused by the monitoring operation in the rewriting operation of the ECU 10 can be minimized.
Further, since the monitoring is continuously performed during the rewriting operation, it is possible to detect the failure of the ECU 10 even during the rewriting operation.
【0043】図3は、監視対象であるECU10の監視
用データ送信部16によって実行される、監視用データ
の送信プロセスを示すフローチャートである。FIG. 3 is a flow chart showing a monitoring data transmission process executed by the monitoring data transmission section 16 of the ECU 10 to be monitored.
【0044】ステップS101において、監視用データ
の送信タイミングが到来したかどうか判断する。すなわ
ち、タイミング制御部15からタイミング信号が発せら
れたかどうか判断する。タイミング信号が発せられなけ
れば、そのままルーチンを抜ける。In step S101, it is determined whether or not the transmission timing of the monitoring data has arrived. That is, it is determined whether the timing signal is issued from the timing control unit 15. If the timing signal is not issued, the routine is exited as it is.
【0045】タイミング信号が発せられたならば、書き
換え制御フラグに値1がセットされているかどうか判断
する。セットされていなければ、現在通常制御モードに
あることを示すので、ステップS103に進む。セット
されていれば、現在書き換え制御モードにあることを示
すので、ステップS105に進む。When the timing signal is issued, it is judged whether or not the value 1 is set in the rewrite control flag. If it is not set, it means that the normal control mode is currently set, and the process proceeds to step S103. If it is set, it means that it is in the rewrite control mode at present, and the process proceeds to step S105.
【0046】前述したように、書き換え制御用と通常制
御用とで異なるタイミング信号が設定される場合は、ス
テップS102の判断をタイミング信号によって判断す
る。具体的には、通常制御用のタイミング信号が発せら
れたならばステップS103に進み、書き換え制御用の
タイミング信号が発せられたならばステップS105に
進む。As described above, when different timing signals are set for the rewriting control and the normal control, the determination in step S102 is made based on the timing signal. Specifically, if the timing signal for normal control is issued, the process proceeds to step S103, and if the timing signal for rewrite control is issued, the process proceeds to step S105.
【0047】ステップS103において、通常制御用に
予め決められた通常監視用データを監視ECU30に送
信する。ステップS104に進み、通常制御用のタイミ
ング信号の発生間隔を初期化する。たとえば、ダウンタ
イマを用いる場合、該ダウンタイマに、通常制御用のタ
イミング信号の発生間隔に相当する時間(この例では、
1ミリ秒)をセットする。In step S103, the normal monitoring data predetermined for normal control is transmitted to the monitoring ECU 30. In step S104, the generation interval of the timing signal for normal control is initialized. For example, when a down timer is used, the down timer has a time corresponding to the generation interval of the timing signal for normal control.
1 millisecond).
【0048】ステップS105において、初回監視用デ
ータフラグの値が1かどうか判断する。初回監視用デー
タフラグは、書き換え制御モードに移行した後の最初の
(1回目の)監視用データが送信された時に値1がセッ
トされるフラグである。書き換え制御モードに移行した
際にはこのフラグはゼロなので、ステップS106に進
む。In step S105, it is determined whether the value of the initial monitoring data flag is 1. The initial monitoring data flag is a flag that is set to 1 when the first (first) monitoring data after the transition to the rewrite control mode is transmitted. Since this flag is zero when shifting to the rewrite control mode, the process proceeds to step S106.
【0049】ステップS106において、書き換え制御
移行通知が付加された通常監視用データを送信する。書
き換え制御移行通知は、次のサイクルで送信する監視用
データは書き換え制御用であることを知らせるためのも
のであり、任意の制御コードで表すことができる。書き
換え制御移行通知が付加された通常監視用データの送信
を設定したならば、初回監視用データフラグに値1をセ
ットする(S107)。こうして、書き換え制御モード
に移行した後の最初の監視用データは、通常制御用のタ
イミングで、通常制御用の監視用データに特別な制御コ
ード(すなわち、上記の書き換え制御移行通知)が付加
されて送信される。In step S106, the normal monitoring data to which the rewrite control shift notice is added is transmitted. The rewrite control transition notification is for notifying that the monitoring data to be transmitted in the next cycle is for rewrite control, and can be represented by an arbitrary control code. When the transmission of the normal monitoring data to which the rewriting control shift notification is added is set, the value 1 is set in the initial monitoring data flag (S107). In this way, the first monitoring data after shifting to the rewrite control mode has the special control code (that is, the rewriting control shift notification) added to the monitoring data for normal control at the timing for normal control. Sent.
【0050】ステップS109に進み、書き換え制御用
のタイミング信号の発生間隔を初期化する。ダウンタイ
マを用いる場合、該ダウンタイマに、書き換え制御用の
タイミング信号の発生間隔に相当する時間(この例で
は、100ミリ秒)をセットする。In step S109, the generation interval of the timing signal for rewriting control is initialized. When the down timer is used, the down timer is set to a time (100 milliseconds in this example) corresponding to the generation interval of the timing signal for rewriting control.
【0051】ステップS105において、初回監視用デ
ータフラグの値がゼロならば、書き換え制御用に予め決
められた書き換え監視用データを送信する(S10
8)。ステップS109に進み、書き換え制御用のタイ
ミング信号の発生間隔を初期化する。前述したように、
書き換え制御用のタイミング信号の発生間隔は、通常制
御用のタイミング信号の発生間隔よりも長い。If the value of the initial monitoring data flag is zero in step S105, the rewriting monitoring data predetermined for rewriting control is transmitted (S10).
8). In step S109, the generation interval of the timing signal for rewriting control is initialized. As previously mentioned,
The generation interval of the timing signal for rewriting control is longer than the generation interval of the timing signal for normal control.
【0052】図4は、監視ECU30の監視用データ受
信部31およびタイマ部32によって実行される、監視
用データを受信するプロセスを示すフローチャートであ
る。ステップS121において、監視対象ECU10か
ら、監視用データを受信したかどうか判断する。受信し
ていなければ、そのままこのルーチンを抜ける。受信し
たならば、監視用データが、書き換え制御用のものか、
または通常制御用のものか判断する(S122)。受信
した監視用データが書き換え制御用のもの(すなわち、
書き換え監視用データ)ならば、書き換え用タイマに、
書き換え制御用の所定時間(この例では、1秒)をセッ
トする(S125)。FIG. 4 is a flowchart showing a process of receiving the monitoring data, which is executed by the monitoring data receiving unit 31 and the timer unit 32 of the monitoring ECU 30. In step S121, it is determined whether monitoring data has been received from the monitoring target ECU 10. If it has not been received, this routine is exited as it is. If received, whether the monitoring data is for rewriting control,
Alternatively, it is determined whether it is for normal control (S122). The received monitoring data is for rewriting control (that is,
If it is rewriting monitoring data), the rewriting timer
A predetermined time (1 second in this example) for rewriting control is set (S125).
【0053】受信した監視用データが通常制御用のもの
(すなわち、通常監視用データ)ならば、該監視用デー
タに書き換え制御移行通知が付加されているかどうか判
断する。書き換え制御移行通知は、図3のステップ10
6で付加される制御コードである。通常監視用データに
書き換え制御移行通知が付加されていれば、今回のサイ
クルで受信した監視用データが、書き換え制御モードに
移行した後の最初の監視用データであることを示す。す
なわち、ECU10が、通常制御モードから書き換え制
御モードに移行したことを示す。この場合、ステップS
125に進み、書き換え用タイマに、書き換え制御用の
所定時間をセットする。If the received monitoring data is for normal control (that is, normal monitoring data), it is determined whether or not the rewriting control transition notice is added to the monitoring data. The rewrite control shift notification is given in step 10 of FIG.
6 is a control code added. If the rewriting control transition notification is added to the normal monitoring data, it indicates that the monitoring data received in this cycle is the first monitoring data after shifting to the rewriting control mode. That is, it indicates that the ECU 10 has shifted from the normal control mode to the rewrite control mode. In this case, step S
In step 125, the rewriting timer is set to a predetermined time for rewriting control.
【0054】ステップS123において、通常監視用デ
ータに書き換え制御移行通知が付加されていなければ、
ECU10において通常制御モードが実行中であること
を示す。ステップS124に進み、通常用タイマに、通
常制御用の所定時間(この例では、10ミリ秒)をセッ
トする。In step S123, if the rewriting control transition notice is not added to the normal monitoring data,
It shows that the normal control mode is being executed in the ECU 10. In step S124, the normal timer is set to a predetermined time for normal control (10 milliseconds in this example).
【0055】前述したように、書き換え用タイマにセッ
トされる時間は、通常用タイマにセットされる時間より
も長い。こうして、監視用データを受け取るたびに、監
視用データに関連づけられた制御モードに応じた時間
で、タイマが初期化される。As described above, the time set in the rewriting timer is longer than the time set in the normal timer. In this way, each time the monitoring data is received, the timer is initialized with the time corresponding to the control mode associated with the monitoring data.
【0056】図5は、監視ECU30の故障判定部33
によって実行される、故障を判定するプロセスを示すフ
ローチャートである。FIG. 5 shows the failure determination unit 33 of the monitoring ECU 30.
4 is a flowchart illustrating a process of determining a failure performed by the method.
【0057】最初に、通常制御モードにおける故障判定
プロセスを説明する。ステップS141において、通常
用タイマがゼロかどうか判断する。すなわち、通常用タ
イマにセットされた時間(この例では、10ミリ秒)が
経過したかどうか判断する。通常監視用データが、通常
制御用のタイミング(この例では、1ミリ秒)で受信さ
れていれば、図4に示されるように、通常用タイマはゼ
ロになる前に初期化される。したがって、ステップS1
41の判断がNoであれば、ECU10は正常と判定さ
れる。First, the failure determination process in the normal control mode will be described. In step S141, it is determined whether the normal timer is zero. That is, it is determined whether the time set in the normal timer (10 milliseconds in this example) has elapsed. If the normal monitoring data is received at the normal control timing (1 millisecond in this example), the normal timer is initialized before reaching zero, as shown in FIG. Therefore, step S1
If the determination of 41 is No, the ECU 10 is determined to be normal.
【0058】一方、通常監視用データが、通常用タイマ
がゼロになっても受信されなければ、ステップS141
の判断はYesとなる。ステップS142に進み、書き
換え用タイマがゼロかどうか判断する。通常制御モード
においては、図4に示されるように、書き換え用タイマ
は初期化されないので、該タイマはゼロを示している。
したがって、ステップS142の判断はYesとなり、
ECU10に故障が生じていると判定される(S14
3)。このように、通常制御モードにおいては、通常用
タイマにセットされる時間間隔で故障判定が実行され
る。したがって、ECU10に故障が生じた場合には、
早期に検出して該故障に対応することができる。On the other hand, if the normal monitoring data is not received even when the normal timer reaches zero, step S141.
The determination is Yes. In step S142, it is determined whether the rewriting timer is zero. In the normal control mode, as shown in FIG. 4, the rewriting timer is not initialized, so the timer shows zero.
Therefore, the determination in step S142 is Yes,
It is determined that the ECU 10 has a failure (S14).
3). Thus, in the normal control mode, the failure determination is executed at the time intervals set by the normal timer. Therefore, when a failure occurs in the ECU 10,
It is possible to detect early and deal with the failure.
【0059】次に、書き換え制御モードにおける故障判
定プロセスを説明する。ステップS141において、通
常用タイマがゼロかどうか判断する。書き換え制御モー
ドにおいては、図4に示されるように、通常用タイマは
初期化されないのでゼロを示している。したがって、ス
テップS141の判断はYesとなる。Next, the failure determination process in the rewrite control mode will be described. In step S141, it is determined whether the normal timer is zero. In the rewrite control mode, as shown in FIG. 4, the normal timer is not initialized, so it is shown as zero. Therefore, the determination in step S141 is Yes.
【0060】ステップS142に進み、書き換え用タイ
マがゼロかどうか判断する。すなわち、書き換え用タイ
マにセットされた時間(この例では、1秒)が経過した
かどうか判断する。書き換え監視用データが、書き換え
制御用のタイミング(この例では、100ミリ秒)で受
信されていれば、図4に示されるように、書き換え用タ
イマはゼロになる前に初期化される。したがって、ステ
ップS142の判断がNoであれば、ECU10は正常
と判定される。In step S142, it is determined whether the rewriting timer is zero. That is, it is determined whether or not the time set in the rewriting timer (1 second in this example) has elapsed. If the rewriting monitoring data is received at the rewriting control timing (100 milliseconds in this example), the rewriting timer is initialized before reaching zero, as shown in FIG. Therefore, if the determination in step S142 is No, the ECU 10 is determined to be normal.
【0061】一方、書き換え監視用データが、書き換え
用タイマがゼロになっても受信されなければ、ステップ
S142の判断はYesとなり、ECU10に故障が生
じていると判定される(S143)。このように、書き
換え制御モードにおいては、書き換え用タイマにセット
される時間間隔で故障判定が実行される。この時間間隔
は、通常制御モードで使用される故障判定の時間間隔よ
りも長い。したがって、監視によって書き換え動作に及
ぼされる遅延を最小限にすることができる。また、書き
換え制御モードにおいても故障判定を継続することがで
きるので、ECU10の信頼性を高めることができる。On the other hand, if the rewriting monitoring data is not received even when the rewriting timer reaches zero, the determination in step S142 becomes Yes, and it is determined that the ECU 10 has a failure (S143). As described above, in the rewrite control mode, the failure determination is executed at the time intervals set in the rewrite timer. This time interval is longer than the failure determination time interval used in the normal control mode. Therefore, it is possible to minimize the delay caused in the rewriting operation by the monitoring. Further, since the failure determination can be continued even in the rewrite control mode, the reliability of the ECU 10 can be improved.
【0062】前述したように、書き換え制御モードに移
行した後に最初に監視ECU30に送信される監視用デ
ータは、書き換え制御移行通知が付加された通常監視用
データである(図3を参照)。また、この書き換え制御
移行通知が付加された通常監視用データを受信した監視
ECU30は、書き換え用タイマを初期化する(図4を
参照)。したがって、書き換え制御移行通知が付加され
た通常監視用データが、書き換え用タイマにセットされ
た時間が経過しても受信されない場合、ECU10に故
障が生じていると判定される。このように、制御モード
の移行の際にも、図5のプロセスを実行することによ
り、ECU10の故障を検出することができる。As described above, the monitoring data first transmitted to the monitoring ECU 30 after shifting to the rewriting control mode is the normal monitoring data to which the rewriting control shift notification is added (see FIG. 3). Further, the monitoring ECU 30 that has received the normal monitoring data to which the rewriting control transition notification is added initializes the rewriting timer (see FIG. 4). Therefore, when the normal monitoring data to which the rewriting control transition notification is added is not received even after the time set in the rewriting timer elapses, it is determined that the ECU 10 has a failure. As described above, even when the control mode is changed, it is possible to detect the failure of the ECU 10 by executing the process of FIG.
【0063】[0063]
【発明の効果】この発明によると、書き換え動作中にお
いても、書き換え動作を実行している制御装置の監視を
継続することができると共に、監視に起因する書き換え
動作の遅延を最小限にすることができる。According to the present invention, it is possible to continue the monitoring of the control device executing the rewriting operation even during the rewriting operation and to minimize the delay of the rewriting operation due to the monitoring. it can.
【図1】この発明の一実施例における、書き換えシステ
ムの全体を示すブロック図。FIG. 1 is a block diagram showing an entire rewriting system according to an embodiment of the present invention.
【図2】この発明の一実施例における、書き換え装置と
制御装置の信号シーケンスを示すチャート。FIG. 2 is a chart showing signal sequences of a rewriting device and a control device according to an embodiment of the present invention.
【図3】この発明の一実施例における、監視対象ECU
の監視用データの送信プロセスを示すフローチャート。FIG. 3 is a monitoring target ECU according to an embodiment of the present invention.
6 is a flowchart showing a process of transmitting the monitoring data of FIG.
【図4】この発明の一実施例における、監視ECUの監
視用データの受信プロセスを示すフローチャート。FIG. 4 is a flowchart showing a process of receiving monitoring data of a monitoring ECU in one embodiment of the present invention.
【図5】この発明の一実施例における、監視ECUの故
障判定プロセスを示すフローチャート。FIG. 5 is a flowchart showing a failure determination process of the monitoring ECU according to the embodiment of the present invention.
10 監視対象ECU 13 ROM 20 書き換え装置 30 監視ECU 10 Monitoring target ECU 13 ROM 20 Rewriting device 30 monitoring ECU
───────────────────────────────────────────────────── フロントページの続き (72)発明者 馬場 茂樹 埼玉県和光市中央1丁目4番1号 株式会 社本田技術研究所内 (72)発明者 久木 隆 埼玉県和光市中央1丁目4番1号 株式会 社本田技術研究所内 (72)発明者 富松 修治 埼玉県和光市中央1丁目4番1号 株式会 社本田技術研究所内 Fターム(参考) 5B042 GA07 GA11 GB08 GC16 JJ21 JJ26 JJ38 5B076 CA01 CA09 EB02 5H223 AA10 CC08 EE04 EE15 EE17 FF08 ─────────────────────────────────────────────────── ─── Continued front page (72) Inventor Shigeki Baba 1-4-1 Chuo Stock Market, Wako City, Saitama Prefecture Inside Honda Research Laboratory (72) Inventor Takashi Hisaki 1-4-1 Chuo Stock Market, Wako City, Saitama Prefecture Inside Honda Research Laboratory (72) Inventor Shuji Tomimatsu 1-4-1 Chuo Stock Market, Wako City, Saitama Prefecture Inside Honda Research Laboratory F term (reference) 5B042 GA07 GA11 GB08 GC16 JJ21 JJ26 JJ38 5B076 CA01 CA09 EB02 5H223 AA10 CC08 EE04 EE15 EE17 FF08
Claims (2)
書き換え可能な不揮発性メモリを有し、外部の書換装置
から受信したデータで該メモリに格納されたデータを書
き換える、車両に搭載された車両制御装置と、 前記車両制御装置に故障が生じたかどうかを判定する監
視装置とを備え、 前記車両制御装置は、前記メモリのデータを書き換える
書き換え制御モードにおいては第1の監視用データを前
記監視装置に送信し、該書き換え制御以外の通常制御モ
ードにおいては第2の監視用データを前記監視装置に送
信し、 前記監視装置は、受信した前記第1の監視用データおよ
び前記第2の監視用データに基づいて、前記車両制御装
置に故障が生じたかどうかを判定し、 前記第1の監視用データの送信タイミングの間隔は、前
記第2の監視用データの送信タイミングの間隔よりも長
く設定される、 データ書き換えのための車両制御装置の監視システム。1. A vehicle-mounted device that has a rewritable nonvolatile memory that stores control information for controlling a vehicle, and that rewrites the data stored in the memory with the data received from an external rewriting device. A vehicle control device and a monitoring device that determines whether or not a failure has occurred in the vehicle control device are provided. The vehicle control device monitors the first monitoring data in a rewrite control mode in which data in the memory is rewritten. And transmitting the second monitoring data to the monitoring device in the normal control mode other than the rewriting control, and the monitoring device receives the first monitoring data and the second monitoring data. Based on the data, it is determined whether or not a failure has occurred in the vehicle control device, and the interval of the transmission timing of the first monitoring data is set to the second monitoring data. A monitoring system for vehicle control devices for rewriting data that is set longer than the transmission timing interval of data.
においては、第1の所定時間が経過しても前記第1の監
視用データを受け取らなければ前記車両制御装置に故障
が生じたと判定し、前記通常制御モードにおいては、第
2の所定時間が経過しても前記第2の監視用データを受
け取らなければ前記車両制御装置に故障が生じたと判定
し、 前記第1の所定時間は、前記第2の所定時間よりも長く
設定される、 請求項1に記載のデータ書き換えのための車両制御装置
の監視システム。2. The monitoring device, in the rewrite control mode, determines that a failure has occurred in the vehicle control device if it does not receive the first monitoring data even after a first predetermined time has passed, In the normal control mode, it is determined that a failure has occurred in the vehicle control device if the second monitoring data is not received even after the second predetermined time has elapsed, and the first predetermined time is The vehicle control device monitoring system for data rewriting according to claim 1, wherein the monitoring system is set to be longer than the predetermined time of 2.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001305312A JP2003104138A (en) | 2001-10-01 | 2001-10-01 | System for monitoring vehicle control device for rewriting of data |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001305312A JP2003104138A (en) | 2001-10-01 | 2001-10-01 | System for monitoring vehicle control device for rewriting of data |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003104138A true JP2003104138A (en) | 2003-04-09 |
Family
ID=19125123
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001305312A Pending JP2003104138A (en) | 2001-10-01 | 2001-10-01 | System for monitoring vehicle control device for rewriting of data |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003104138A (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006312356A (en) * | 2005-05-06 | 2006-11-16 | Denso Corp | Vehicle control system |
| JP2008068694A (en) * | 2006-09-13 | 2008-03-27 | Nsk Ltd | Electric power steering control device, external connecting device for electric power steering control device, and external program transferring method of electric power steering control device |
| JP2008155736A (en) * | 2006-12-22 | 2008-07-10 | Fujitsu Ten Ltd | Electronic control device |
| JP2009230661A (en) * | 2008-03-25 | 2009-10-08 | Hitachi Ltd | Storage apparatus and its control method |
| JP2018132956A (en) * | 2017-02-15 | 2018-08-23 | 株式会社デンソーテン | Control unit and control program updating method |
| JP2018200599A (en) * | 2017-05-29 | 2018-12-20 | 矢崎総業株式会社 | Rewriting system, rewriting device, and computer |
| US10936236B2 (en) | 2017-04-12 | 2021-03-02 | Yazaki Corporation | Rewriting system, rewriting device and computer |
| JP7467900B2 (en) | 2019-12-06 | 2024-04-16 | 横河電機株式会社 | Control device and control method |
-
2001
- 2001-10-01 JP JP2001305312A patent/JP2003104138A/en active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006312356A (en) * | 2005-05-06 | 2006-11-16 | Denso Corp | Vehicle control system |
| JP4639934B2 (en) * | 2005-05-06 | 2011-02-23 | 株式会社デンソー | Vehicle control system |
| JP2008068694A (en) * | 2006-09-13 | 2008-03-27 | Nsk Ltd | Electric power steering control device, external connecting device for electric power steering control device, and external program transferring method of electric power steering control device |
| JP2008155736A (en) * | 2006-12-22 | 2008-07-10 | Fujitsu Ten Ltd | Electronic control device |
| JP2009230661A (en) * | 2008-03-25 | 2009-10-08 | Hitachi Ltd | Storage apparatus and its control method |
| JP2018132956A (en) * | 2017-02-15 | 2018-08-23 | 株式会社デンソーテン | Control unit and control program updating method |
| US10936236B2 (en) | 2017-04-12 | 2021-03-02 | Yazaki Corporation | Rewriting system, rewriting device and computer |
| JP2018200599A (en) * | 2017-05-29 | 2018-12-20 | 矢崎総業株式会社 | Rewriting system, rewriting device, and computer |
| JP7467900B2 (en) | 2019-12-06 | 2024-04-16 | 横河電機株式会社 | Control device and control method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2040166B1 (en) | Memory management apparatus | |
| JP4367513B2 (en) | Electronic control unit | |
| JP4135220B2 (en) | Electronic control device for vehicle | |
| JPH11259375A (en) | Device and system for control for vehicle | |
| US6243627B1 (en) | Electronic control system and method for erasing abnormality data generated during controller reloading | |
| JPH11272498A (en) | Electronic controller | |
| JP2001265582A (en) | Memory rewriting system for vehicle controller | |
| JP2003104138A (en) | System for monitoring vehicle control device for rewriting of data | |
| US6044014A (en) | Electronic control unit and method for storing rewrite count of nonvolatile memory | |
| JP2001123874A (en) | Program rewrite system or memory rewriting system for electronic control device | |
| JP4001088B2 (en) | Electronic control unit | |
| JP6415990B2 (en) | Electronic control unit for automobile | |
| EP1145911B1 (en) | Rewriting system for vehicle controller | |
| JP2002041367A (en) | Vehicle controller | |
| US6876892B2 (en) | Rewriting system for vehicle controller | |
| JP2008055980A (en) | Electronic control device for automobile | |
| JP2002323902A (en) | Electronic controller | |
| WO2018079537A1 (en) | Electronic control unit and data protection method therefor | |
| JP2000257502A (en) | Electronic controller for automobile | |
| JP5029123B2 (en) | Electronic control device and communication system | |
| JPH0793006A (en) | Electronic control unit for vehicle | |
| JPH09171459A (en) | Electronic control equipment | |
| JP2004021520A (en) | Electronic controller for vehicle | |
| JP2001182607A (en) | Vehicle controlling device | |
| JP6702161B2 (en) | In-vehicle electronic control unit |