JP2006338067A - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP2006338067A
JP2006338067A JP2005158293A JP2005158293A JP2006338067A JP 2006338067 A JP2006338067 A JP 2006338067A JP 2005158293 A JP2005158293 A JP 2005158293A JP 2005158293 A JP2005158293 A JP 2005158293A JP 2006338067 A JP2006338067 A JP 2006338067A
Authority
JP
Japan
Prior art keywords
area
identification data
program
electronic control
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005158293A
Other languages
English (en)
Other versions
JP4636940B2 (ja
Inventor
Masayoshi Kawatsu
昌義 川津
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005158293A priority Critical patent/JP4636940B2/ja
Publication of JP2006338067A publication Critical patent/JP2006338067A/ja
Application granted granted Critical
Publication of JP4636940B2 publication Critical patent/JP4636940B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Techniques For Improving Reliability Of Storages (AREA)

Abstract

【課題】
書き換え可能な領域のプログラムと書き換え可能でない領域のプログラムの該組み合わせを防止する電子制御装置を提供する。
【解決手段】
書き換えが禁止されるブート領域と書き換え可能なアプリケーション領域とを有するフラッシュメモリの書き換えに際し、外部装置からの指示に基づいて前記アプリケーション領域に記憶した制御プログラムおよび制御データの少なくともいずれかを書き換える手段と、前記ブート領域に記憶された制御プログラムおよび制御データを識別するブート領域識別データと、前記ブート領域識別データと同じ識別データを前記アプリケーション領域に記憶するアプリケーション記憶手段を有し、前記ブート領域識別データと前記アプリケーション領域に記憶された識別データの組み合わせを比較する組み合わせチェック手段によりチェックする。
【選択図】図1

Description

本発明は、制御プログラムや制御データを書き換え可能なフラッシュメモリを有する電子制御装置に関する。
従来より、例えば特開平9−128229号公報に記載されているように、書き換え可能な領域の最後に特定のデータを設けチェックすることで、書き換えが異常終了したことを検出する技術が提案されている。更に、書き換えが異常終了した場合でも、書き換え可能でない領域に設けたプログラムによって、再書き換えを可能にしている。
特開平9−128229号公報
しかしながら、プログラムの開発過程では、書き換え可能な領域に配置した制御プログラムのみを変更するだけでなく、時として書き換え可能でない領域に配置しているプログラムの変更が必要になる。書き換え可能な領域のプログラムが書き換え可能でない領域のプログラムまたはデータを参照する構成としている場合、書き換え可能な領域と書き換え可能でない領域の組み合わせを保証する必要が生じる。
プログラムの書き換えによって、書き換え可能な領域のプログラムのみが更新されることになるが、書き換え可能な領域のプログラムと書き換えが可能でない領域のプログラムが組み合わされた場合、書き換え可能でない領域のプログラムと書き換えが可能な領域のプログラムでは、例えばアドレスの参照先が一致しなくなり、期待した動作とならず再度書き換えができなくなる恐れがある。
本発明の目的は、書き換え可能な領域のプログラムと書き換え可能でない領域のプログラムの組み合わせを判断し、このような場合においても再書き換えができる手法を提供することにある。
上記課題は、書き換えが禁止されるブート領域と書き換え可能なアプリケーション領域とを有するフラッシュメモリの書き換えに際し、外部装置からの指示に基づいて前記アプリケーション領域に記憶した制御プログラムおよび制御データの少なくともいずれかを書き換える手段と、前記ブート領域に記憶された制御プログラムおよび制御データを識別するブート領域識別データと、前記ブート領域識別データと同じ識別データを前記アプリケーション領域に記憶するアプリケーション記憶手段を有し、前記ブート領域識別データと前記アプリケーション領域に記憶された識別データの組み合わせを比較する組み合わせチェック手段を有することを特徴とする電子制御装置により、解決される。
本発明によれば、書き換え可能な領域のプログラムと書き換え可能でない領域のプログラムの組み合わせを誤った場合でも、これを検出し、制御プログラムの異常動作を防止することができる。
以下、本発明が適用された実施例について図面を用いて説明する。
最初に図1を用いて、自動車に搭載されてエンジンの制御を行うエンジン制御装置1の全体構成を説明する。
エンジン制御装置(以下、ECMという)1は、CPU2と、入力回路3と、出力回路4と通信回路5から構成されている。ECM1には、エンジンの動作状態を検出するセンサ6とエンジンに取り付けられた燃料噴射弁やイグナイタ等のアクチュエータ7が接続されている。具体的には、CPU2は複数のセンサ6からの信号を入力回路3を経由して取り込み、取り込んだ信号に基づきエンジンに対する制御量を演算し、その演算結果に基づいた制御信号を出力回路4を経由して出力しアクチュエータ7を駆動する。また、エンジン制御用プログラムやデータの書き換え時は、書き換え装置8をECM1に接続し、通信回路5を介してCPU2とデータのやり取りを行う。
CPU2は、MPU10と、I/O11と、不揮発性のROM12と、演算結果を一時的に記憶するRAM13を備えている。MPU10は、前記入力回路3または前記通信回路5からの信号の取り込み、および前記出力回路への信号の出力をI/O11を介して行う。これらの動作は、ROM12に記憶されたプログラムおよびデータに基づき実施される。また、RAM13は、プログラムの演算結果を一時的に記憶するのに用いる。
なお、ROM12は、一旦書き込んだデータを全て/一部消去することができ、再書き込みができるフラッシュROMを用いる。
次に、図2(a)を用いて前記ROM12の内容について説明する。
ROM12は、書き換え可能なアプリケーション領域12Aと、書き換えを禁止したブート領域12Bとに区別される。
アプリケーション領域12Aには、エンジン制御用の制御プログラム12Aaと、制御データ12Abと、識別データ20を記憶している。ブート領域12Bには、イニシャライズプログラム12Baと、組み合わせチェックプログラム12Bbと、通信プログラム・データ12Bcと、フラッシュROM書き換え制御プログラム・データ12Bdを記憶している。
エンジン制御用の制御プログラム12Aaは、前述の通り、ECM1に接続された複数のセンサ6からの信号を取り込み、取り込んだ信号に基づきエンジンに対する制御量を演算しアクチュエータ7を駆動する。制御量を決定するための諸パラメータは制御データ
12Abとして記憶してある。
ECM1に電源が投入されると、イニシャライズプログラム12Baが実行される。ここでは、CPU2を動作させるために必要な初期化処理を行う。その後、組み合わせチェックプログラム12Bbが図3に示すプログラムフローに従い実行される。
通信プログラム・データ12Bcは、ECM1に接続される書き換え装置との通信制御を行うもので、書き換え装置からの書き換え要求を認識した時に、フラッシュROM書き換え制御プログラム・データ12Bdを実行する。フラッシュROM書き換え制御プログラム・データは、通信プログラム・データ12Bcを介して書き換え装置から送信される書き換えデータをROM12に書き込む処理を行う。
次に、図3には、組み合わせチェックプログラム12Bbのプログラムフローを示す。これを用いてチェック組み合わせチェックの方法を説明する。
組み合わせチェックプログラムが実行されるとS100において、ブート領域12Bのサム値を計算し、ブート領域識別データとしてRAM13に一時記憶しておく。S101においてはアプリケーション領域12Aに記憶してある識別データ20を読み出す。その後、S102において、RAM13に一時記憶したブート領域識別データと識別データ
20を比較し、値が一致した場合は組み合わせ正常と判断し、不一致の場合は組み合わせ異常と判断する。
ここで識別データ20には、予め机上で計算したブート領域のサム値をデータとして記憶させておく。また、机上での計算方法とS100におけるサム値の計算方法を同一にしておくことで、S102でのブート領域識別データと識別データ20の比較結果を一致させることができる。
S102にて組み合わせが正常と判断できた場合は、S110にて通常の制御プログラムを実行し、エンジン制御を行う。異常と判断した場合は、S120の異常時処理を実行する。異常時処理では、ECM1に接続される書き換え装置8からの書き換え信号に応じてフラッシュROMの書き換え制御プログラム12Bdを起動しROMの書き換えを行うことで、組み合わせを正常な状態に戻すことができる。また、エンジン制御をフェールセーフモードとし、例えば制御プログラム12Aaで算出する制御量に対してフェールセーフ用の補正を掛け、アクチュエータ7に出力することで、エンジン回転数上限制限や車速上限制限を行うことができる。これにより、安全な車輌の移動が可能になる。
次に図4を用いて、組み合わせ結果異常が発生するケースについて説明する。
(a)は、ブート領域12B1のサム値が$AAAAとなる場合のROMを例にしている。予め机上で計算したサム値も$AAAAとなるので、識別データ20aに$AAAAを記憶してある。この場合、ブート領域12B1のサム値を計算した結果と識別データ
20aは一致するので、組み合わせチェック結果は正常となるROMである。
(b)は、ブート領域12B2のサム値が$BBBBとなる場合のROMを例にしている。上記(a)と同様に識別データ20bに、ブート領域のサム値である$BBBBを記憶してあり、組み合わせチェック結果は正常となるROMである。
(c)は、前記(a)のROMに前記(b)のROMを書き込んだ時のROMを示している。ブート領域12B1は、書き換えが禁止される領域であるため、(a)のROMのアプリケーション領域12A1が(b)のROMのアプリケーション領域12A2に置き換えられる。この場合、図3で示したプログラムフローS100において計算されるサム値は$AAAAとなるが、識別データ20bは、$BBBBを示しているため、これらを比較すると組み合わせ異常と判断できる。このようにプログラムの進化に伴い、ブート領域のプログラム内容が変更になった場合でも、プログラムフローS100でのサム値計算結果も変更になるため、組み合わせ異常と判断することができる。
前述の例では、ブート領域識別データにサム値を用いた例を示したが、図2(b)に示すように、ブート領域識別データ12BeをROMに記憶させて、アプリケーション領域12Aに記憶してある識別データ20と比較する方法もある。この場合、プログラムフローのブート領域のサム値を計算する処理S100が不要となり代わりにブート領域識別データ12Beを取得するだけで済むため、処理を簡素化することができる。
また前述の例では、組み合わせチェックプログラムはECM1の起動時を例に説明したが、ROM12の書き換えが完了した時点で実行することもできる。この場合、書き換えが完了した時点で、ブート領域12Bとアプリケーション領域12Aの組み合わせの正常/異常を判断できるため、ECM1の再起動を待たなくてもエンジン制御を禁止またはフェールセーフモードとすることができる。
本発明は、制御プログラムや制御データを書き換え可能なフラッシュメモリを有する電子制御装置に関する。
実施例のエンジン制御装置(ECU)の全体構成を示すブロック図である。 ROM上のプログラムおよびデータの配置を示す説明図である。 実施例のCPUにて実行される、プログラムの組み合わせチェック部分のプログラムフローチャートである。 プログラムの組み合わせチェックが異常となる場合の説明図である。
符号の説明
1…エンジン制御装置(ECM)、2…CPU、3…入力回路、4…出力回路、5…通信回路、6…センサ、7…アクチュエータ、8…書き換え装置、10…MPU、12…不揮発性のROM(フラッシュメモリ)、12A…アプリケーション領域、12B…ブート領域、13…RAM、20…識別データ。

Claims (8)

  1. 書き換えが禁止されるブート領域と書き換え可能なアプリケーション領域とを有するフラッシュメモリの書き換えに際し、外部装置からの指示に基づいて前記アプリケーション領域に記憶した制御プログラムおよび制御データの少なくともいずれかを書き換える手段と、前記ブート領域に記憶された制御プログラムおよび制御データを識別するブート領域識別データと、前記ブート領域識別データと同じ識別データを前記アプリケーション領域に記憶するアプリケーション記憶手段を有し、前記ブート領域識別データと前記アプリケーション領域に記憶された識別データの組み合わせを比較する組み合わせチェック手段を有することを特徴とする電子制御装置。
  2. 請求項1に記載の電子制御装置において、前記組み合わせチェック手段実行前にブート領域のサム値を計算するサム値算出手段を有し、前記ブート領域識別データは前記サム値算出手段にて算出されたサム値とし、アプリケーション領域に記憶された識別データは予め定めたブート領域のサム値とすることを特徴とする電子制御装置。
  3. 請求項1に記載の電子制御装置において、前記ブート領域識別データはブート領域の制御プログラムおよび制御データを識別するための番号をブート領域に記憶することを特徴とする電子制御装置。
  4. 請求項1に記載の電子制御装置において、前記組み合わせチェック手段により比較された識別データが不一致のときは、前記制御プログラムの実行を禁止することを特徴とする電子制御装置。
  5. 請求項1に記載の電子制御装置において、前記組み合わせチェック手段により比較された識別データが不一致のときは、前記制御プログラムを予め定めるフェールセーフモードとすることを特徴とする電子制御装置。
  6. 請求項1から5のいずれかに記載の電子制御装置において、前期組み合わせ手段による比較は、前記電子制御装置の始動時に行うことを特徴とする電子制御装置。
  7. 請求項6に記載の電子制御装置において、前記始動時は、電子制御装置の起動毎とすることを特徴とする電子制御装置。
  8. 請求項6に記載の電子制御装置において、前記始動時は、前記外部装置からの指示に従い前記アプリケーション領域に記憶した制御プログラムおよび制御データの少なくともいずれかを書き換え毎とすることを特徴とする電子制御装置。

JP2005158293A 2005-05-31 2005-05-31 電子制御装置 Expired - Fee Related JP4636940B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005158293A JP4636940B2 (ja) 2005-05-31 2005-05-31 電子制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005158293A JP4636940B2 (ja) 2005-05-31 2005-05-31 電子制御装置

Publications (2)

Publication Number Publication Date
JP2006338067A true JP2006338067A (ja) 2006-12-14
JP4636940B2 JP4636940B2 (ja) 2011-02-23

Family

ID=37558601

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005158293A Expired - Fee Related JP4636940B2 (ja) 2005-05-31 2005-05-31 電子制御装置

Country Status (1)

Country Link
JP (1) JP4636940B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07219854A (ja) * 1994-02-03 1995-08-18 Victor Co Of Japan Ltd 不揮発性メモリを備えたマイクロコンピュータ装置
JPH1083358A (ja) * 1996-09-09 1998-03-31 Mitsubishi Electric Corp プログラム書換方法およびプログラム書換機能付制御装置
JPH11120083A (ja) * 1997-10-15 1999-04-30 Toshiba Corp データ処理装置
JPH11242505A (ja) * 1998-02-25 1999-09-07 Canon Inc マイクロコンピュータを搭載した装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07219854A (ja) * 1994-02-03 1995-08-18 Victor Co Of Japan Ltd 不揮発性メモリを備えたマイクロコンピュータ装置
JPH1083358A (ja) * 1996-09-09 1998-03-31 Mitsubishi Electric Corp プログラム書換方法およびプログラム書換機能付制御装置
JPH11120083A (ja) * 1997-10-15 1999-04-30 Toshiba Corp データ処理装置
JPH11242505A (ja) * 1998-02-25 1999-09-07 Canon Inc マイクロコンピュータを搭載した装置

Also Published As

Publication number Publication date
JP4636940B2 (ja) 2011-02-23

Similar Documents

Publication Publication Date Title
JP5176728B2 (ja) 車両用電子制御装置
JP3626328B2 (ja) 車両用制御装置
JP4227149B2 (ja) 電子制御装置の情報記憶方法
JP2009120054A (ja) 車両用記憶管理装置
CN110809755A (zh) 电子控制系统
JP4552982B2 (ja) 電子制御装置
JP2006268176A (ja) フラッシュeepromのデータ正否判定方法
JP4600510B2 (ja) 制御装置およびプログラム
JP6708596B2 (ja) 電子制御装置及び制御プログラム検証方法
JP4636940B2 (ja) 電子制御装置
JP2009026183A (ja) 自動車用電子制御装置
JP6663371B2 (ja) 電子制御装置
JP2009098726A (ja) 保存データの初期化方法
JP2003271420A (ja) 電子制御装置
US20050034034A1 (en) Control device with rewriteable control data
JP2002149412A (ja) 電子制御装置
JP5079027B2 (ja) 電子制御装置
US8095262B2 (en) Vehicular control apparatus and program storage medium
JP2004287712A (ja) 電子装置
KR100230020B1 (ko) Eprom 진단방법
JP2002323990A (ja) 電子制御装置及び不揮発性メモリの初期化方法
WO2023233611A1 (ja) 電子制御装置
JP6952006B2 (ja) 車両用電子制御装置及び起動方法
JP6887277B2 (ja) 自動車用電子制御装置
JP2002047998A (ja) 車両用制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070706

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20091222

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100922

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100928

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101028

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101116

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101122

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131203

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4636940

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees