JP2007002759A - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP2007002759A
JP2007002759A JP2005183832A JP2005183832A JP2007002759A JP 2007002759 A JP2007002759 A JP 2007002759A JP 2005183832 A JP2005183832 A JP 2005183832A JP 2005183832 A JP2005183832 A JP 2005183832A JP 2007002759 A JP2007002759 A JP 2007002759A
Authority
JP
Japan
Prior art keywords
monitoring
value
monitor module
calculation result
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005183832A
Other languages
English (en)
Inventor
Masato Yano
正人 矢野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2005183832A priority Critical patent/JP2007002759A/ja
Priority to US11/472,425 priority patent/US7612464B2/en
Priority to DE102006028695.2A priority patent/DE102006028695B4/de
Publication of JP2007002759A publication Critical patent/JP2007002759A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Fittings On The Vehicle Exterior For Carrying Loads, And Devices For Holding Or Mounting Articles (AREA)
  • Control Of Throttle Valves Provided In The Intake System Or In The Exhaust System (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Abstract

【課題】多くの監視機能を備えるモニタモジュールを専用のディジタル回路によって実現する場合であれ、その回路規模の好適な抑制を図ることのできる電子制御装置を提供する。
【解決手段】電子制御装置100では、スロットルバルブを駆動制御する制御部112と該制御部112が適正に機能しているか否かを監視する自己監視部113とを有するマイクロコンピュータ110、及びその自己監視部113が適正に機能しているか否かを専用のディジタル回路ブロック121a〜121cを通じてさらに監視するモニタモジュール120を互いに通信可能に接続して備えている。こうした電子制御装置100にあって、モニタモジュール120は、5つの監視項目のうち、監視態様の共通する監視対象については、上記ディジタル回路ブロック121a〜121cの1つを共用してその監視を行うこととした。
【選択図】 図1

Description

この発明は、例えばスロットルバルブを開閉駆動するアクチュエータなど、車載アクチュエータの駆動制御を電子的に行う電子制御装置に関し、特にマイクロコンピュータから車載アクチュエータの駆動回路に対して発せられる駆動指令を自己監視しつつ、該監視機能をさらにモニタモジュールを通じて監視する機能を有する電子制御装置に関する。
従来、この種の電子制御装置としては、例えば特許文献1に見られるような制御装置が知られている。図18に、この特許文献1に記載されている電子制御装置も含めて、この種の電子制御装置として従来一般に採用されている電子制御装置の構成をブロック図として示す。
この電子制御装置は、例えばスロットルバルブを開閉駆動するアクチュエータ(モータ)の駆動制御を行うものであり、同図18に示されるように、大きくは、マイクロコンピュータ10やモニタモジュール20、駆動回路30等を備えて構成されている。
ここで、上記マイクロコンピュータ10は、上記モータの駆動制御を行うための各種演算処理を行う部分であり、機能的には図18に模式的に示す態様のブロック構成を有している。すなわち、この電子制御装置にあって、上記モータの駆動制御に際しては、同マイクロコンピュータ10として制御部12を構成する部分がまず、該制御部12と外部のセンサや装置との間での情報の授受を仲介する入力部11を通じて、例えばアクセルペダル操作量などの情報を示す外部信号を取り込む。そして、こうした外部信号に基づいて上記スロットルバルブ(モータ)に対する制御量(駆動量)を演算し、その演算結果(駆動指令)を上記駆動回路30に出力する。
また、同マイクロコンピュータ10において、上記外部信号は、上記制御部12による駆動指令を監視してその妥当性を判断する部分を構成する自己監視部13にも取り込まれる。この自己監視部13では、上記外部信号に対して上記制御部12による上述の演算処理に準じたかたちでの演算処理が行われる。その後、こうした演算処理の結果と例えば上記制御部12から取り込まれる駆動指令とが比較され、その比較の結果が、上記制御部12による駆動指令の妥当性を示す情報(信号)として上記駆動回路30に出力される。
また、同マイクロコンピュータ10は、上記自己監視部13の異常の有無を監視するための監視プログラムを上記モニタモジュール20との協働のもとに実行する部分を構成するプログラム実行部14を備えている。このプログラム実行部14は、マイクロコンピュータ10内の第1の通信部15を通じて上記モニタモジュール20から取り込まれる上記監視プログラムの実行を指示するテスト信号に基づき、上記監視プログラムの実行を開始する。ちなみに、該監視プログラムの実行に際しては、同プログラム実行部14がまず、上記監視プログラムにより指示される所定のデータを上記自己監視部13に出力してこれを演算させる。その後、該自己監視部13による演算結果を取り込み、該演算結果を上記通信部15を通じて上記モニタモジュール20に出力する。なお、このマイクロコンピュータ10において、上記通信部15は、以下に説明するモニタモジュール20の通信部22との間でシリアル通信による情報の授受を行う部分である。
一方、上記モニタモジュール20は、上記プログラム実行部14から上記通信部15及び通信部22を介して取り込まれる情報をもとに上記自己監視部13の異常の有無を監視するハードウェア(専用IC)もしくはバックアップコンピュータである。
すなわち、このモニタモジュール20にあって、上記自己監視部13の監視に際しては、該モニタモジュール20を構成する異常判定回路21がまず、上記通信部22を通じて、上記マイクロコンピュータ10(プログラム実行部14)から出力される上記所定のデータの演算結果を取り込む。そして、この演算結果と自らが有する期待値とを比較し、その比較の結果を、上記自己監視部13の監視結果として上記駆動回路30に出力する。なお、このモニタモジュール20において、上記異常判定回路21は、上記プログラム実行部14に対する上記テスト信号を例えば所定期間毎に上記マイクロコンピュータ10に出力する部分でもある。
また一方、上記駆動回路30は、上記モータを通じて上記スロットルバルブの開閉駆動を行う部分である。
上述の通り、この駆動回路30には上記制御部12及び自己監視部13及び異常判定回路21からの信号が取り込まれるものの、同駆動回路30は基本的に、これら信号のうち、上記制御部12による駆動指令に基づいて上記スロットルバルブの開閉駆動を行う。ただし、上記自己監視部13から出力される信号が例えば上記制御部12による駆動指令と上記自己監視部13による演算結果との不一致を示している場合や上記異常判定回路21から出力される信号が上記所定のデータの演算結果及びその期待値の不一致を示している場合などには、同駆動回路30に取り込まれる上記駆動指令としての信頼性が低い。したがってこの場合、同駆動回路30は、車両の安全性を確保すべく、上記制御部12による駆動指令を無効として、上記スロットルバルブに対するフェールセーフ処理を行うようにしている。
特表平11−505587号公報
このように、上記従来の電子制御装置では、上記駆動回路30に取り込まれる駆動指令の自己監視はもとより、該自己監視機能の正常/異常をモニタモジュールを通じて監視するようにしているため、このような監視を実施しない装置に比べて上記スロットルバルブの駆動制御等にかかる信頼性は確かに向上する。また近年は、こうした自己監視機能のさらなる充実が望まれており、より多くの制御機能を監視対象としてそれら機能の自己監視が行われる傾向にある。そしてこのためには、上記モニタモジュールとしても、そのさらなる監視機能の充実が望まれることとなるが、このようなモニタモジュールをハードウェア(専用IC)、すなわち専用のディジタル回路によって実現しようとすると、その回路規模の増大が避けられない。
本発明は、こうした実情に鑑みてなされたものであり、その目的は、多くの監視機能を備えるモニタモジュールを専用のディジタル回路によって実現する場合であれ、その回路規模の好適な抑制を図ることのできる電子制御装置を提供することにある。
こうした目的を達成するため、請求項1に記載の発明では、車両の運転状態を示す入力信号に基づき車載アクチュエータを駆動制御する制御機能と、同一入力信号をもとにこの制御機能が適正に機能しているか否かを監視する監視機能とを有するマイクロコンピュータに対し、前記監視機能が適正に機能しているか否かを専用のディジタル回路を通じてさらに監視するモニタモジュールが通信可能に接続されてなる電子制御装置にあって、前記監視機能が、前記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素を監視対象としてその監視を行うとともに、前記マイクロコンピュータは、それら監視対象における監視態様の違いの別に識別子を付与しつつ、同監視対象となる内容に応じた演算結果と該演算結果として本来得られるべき値である期待値とを前記モニタモジュールに送信し、前記モニタモジュールは、前記監視対象の監視態様の違いの別に複数のディジタル回路ブロックを一体に有し、前記監視対象のうち、監視態様の共通する監視対象の演算結果とその期待値については、前記識別子に基づき前記ディジタル回路ブロックの1つを共用して該当する演算結果とその期待値とを比較することにより前記監視機能が適正に機能しているか否かを監視するようにした。
このような構成では、上記モニタモジュールが、上記監視対象のうち、上記監視態様の共通する監視対象の演算結果とその期待値については、上記識別子に基づき上記ディジタル回路ブロックの1つを共用して該当する演算結果とその期待値との比較に基づく監視を行うこととなる。したがって、多くの監視機能を備えるモニタモジュールを専用のディジタル回路によって実現する場合であれ、その回路規模の好適な抑制を図ることができるようになる。またこれにより、モニタモジュールの製造コストの低減が図られるようにもなる。
また、上記請求項1に記載の電子制御装置としては、具体的には、例えば請求項2や請求項5に記載の電子制御装置を採用することが考えられる。
ここで、上記請求項2に記載の電子制御装置では、前記監視対象における監視態様の違いの別がそれら監視対象の比較態様の別であるとき、前記モニタモジュールが、前記監視対象の監視態様の違いの別に設けられる複数のディジタル回路ブロックとして、前記演算結果とその期待値との一致比較を行う第1のブロックと、前記演算結果とその期待値との大小比較を行う第2のブロックとを有し、前記監視対象のうち、前記比較態様の共通する監視対象の演算結果とその期待値については、前記識別子に基づきそれらブロックの一方を共用して該当する演算結果とその期待値との比較に基づく監視を行うようにしている。
このような構成では、上記モニタモジュールが、複数の監視対象のうち、上記比較態様の共通する監視対象の演算結果とその期待値については、上記識別子に基づき上記第1及び第2のブロックの一方を共用して該当する演算結果とその期待値との比較に基づく監視を行うこととなる。したがって、多くの監視対象を有するモニタモジュールを専用のディジタル回路によって実現する場合であれ、その回路規模の好適な抑制を図ることができるようになる。またこれにより、モニタモジュールの製造コストの低減が図られるようにもなる。
また、この請求項2に記載の電子制御装置において、請求項3に記載の電子制御装置によるように、前記マイクロコンピュータが、前記比較態様が一致比較として共通する監視対象についてはそれら各監視対象の演算結果の合算値と該合算値として本来得られるべき値である期待値とを前記モニタモジュールに送信し、前記モニタモジュールが、これら送信される合算値とその期待値とを前記第1のブロックを通じて一致比較することにより前記比較態様が一致比較として共通する監視対象の適否を一括して監視するようにすれば、モニタモジュールにかかる演算負荷の低減とその回路規模のより好適な抑制とを併せて図ることができるようになる。
また、請求項1〜3のいずれか一項に記載の電子制御装置においては、請求項4に記載の電子制御装置によるように、前記監視機能の監視対象となる前記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素として、前記マイクロコンピュータが内蔵する読み出し専用のプログラムメモリに格納されている前記制御機能によって実行される制御プログラムの適正性、及び前記マイクロコンピュータが内蔵するデータRAMに前記制御機能による演算結果として格納されているデータの適正性、及び固定値として予め登録されているシミュレーション用データの前記制御機能による演算値の適正性、及び前記制御機能によって読み出し要求される関数の順序の適正性、及び前記車両の運転状態を示す入力信号に基づき前記制御機能によって演算された演算値の適正性の少なくとも2つの要素を採用するようにすることが実用上望ましい。
一方、上記請求項5に記載の電子制御装置では、前記監視対象における監視態様の違いの別がそれら監視対象の演算周期の長短の別であるとき、前記モニタモジュールが、前記監視対象の監視態様の違いの別に設けられる複数のディジタル回路ブロックとして、前記監視対象のうちの演算周期の相対的に短い監視対象について前記演算結果とその期待値との一致比較を行う高速用ブロックと、同複数種の監視対象のうちの演算周期の相対的に長い監視対象について前記演算結果とその期待値との一致比較を行う低速用ブロックとを有し、前記監視対象のうち、前記演算周期の近似する監視対象の演算結果とその期待値については、前記識別子に基づきそれらブロックの一方を共用して該当する演算結果とその期待値との比較に基づく監視を行うようにしている。
このような構成でも、上記モニタモジュールが、上記複数の監視対象のうち、上記演算周期の近似する監視対象の演算結果とその期待値については、上記識別子に基づき上記高速用及び低速用ブロックの一方を共用して該当する演算結果とその期待値との比較に基づく監視を行うこととなる。したがって、多くの監視対象を有するモニタモジュールを専用のディジタル回路によって実現する場合であれ、その回路規模の好適な抑制を図ることができるようになる。またこれにより、モニタモジュールの製造コストの低減が図られるようにもなる。
しかも、上記複数の監視対象をこのように演算周期ごとに分類するようにしたことで、遅い演算周期の監視対象の監視によって、早い演算周期の監視対象の監視が妨げられることも回避されるようになり、監視対象の異常をより早期に検出、判定することができるようになる。
また、この請求項5に記載の電子制御装置においても、請求項6に記載の電子制御装置によるように、前記マイクロコンピュータが、前記演算周期の相対的に短い監視対象として共通する監視対象についてはそれら各監視対象の演算結果の合算値と該合算値として本来得られるべき値である期待値とを前記モニタモジュールに送信し、前記モニタモジュールが、これら送信される合算値とその期待値とを前記高速用ブロックを通じて一致比較することにより前記演算周期の相対的に短い監視対象として共通する監視対象の適否を一括して監視するようにすれば、モニタモジュールにかかる演算負荷の低減とその回路規模のより好適な抑制とを併せて図ることができるようになる。
また、請求項5または6に記載の電子制御装置においては、請求項7に記載の電子制御装置によるように、前記監視機能の監視対象となる前記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素として、前記マイクロコンピュータが内蔵するデータRAMに前記制御機能による演算結果として格納されているデータの適正性、及び固定値として予め登録されているシミュレーション用データの前記制御機能による演算値の適正性、及び前記制御機能によって読み出し要求される関数の順序の適正性、及び前記車両の運転状態を示す入力信号に基づき前記制御機能によって演算された演算値の適正性の少なくとも1つの要素と、前記マイクロコンピュータが内蔵する読み出し専用のプログラムメモリに格納されている前記制御機能によって実行される制御プログラムの適正性を採用するようにすることが実用上望ましい。
ただし、モニタモジュールを通じてマイクロコンピュータの監視機能をさらに監視するこのような電子制御装置では、前述した従来の電子制御装置のように、上記モニタモジュールが上記マイクロコンピュータの監視機能の異常の有無を監視するに際し、同監視機能による上記制御機能の監視が一時的に中断され、ひいては車載アクチュエータの駆動制御等にかかる信頼性が低下する懸念がある。そこで、請求項1〜7に記載の電子制御装置において、請求項8に記載の電子制御装置では、前記マイクロコンピュータが、前記監視機能による前記制御機能の監視と並行して、具体的には、例えば前記制御機能を監視するときにその監視対象となる内容に応じて演算した値である演算結果と該演算結果として本来得られるべき値である期待値とを前記モニタモジュールに送信するようにしている。このような構成では、上記監視機能による上記制御機能の監視と、上記モニタモジュールによる上記マイクロコンピュータの監視機能の監視とが並行して実行されるため、モニタモジュールを通じてマイクロコンピュータの自己監視機能をさらに監視する場合であれ、それら監視状態を適正に維持して、車載アクチュエータの駆動制御にかかる信頼性のさらなる向上を図ることができるようになる。
また、この場合には特に、請求項9に記載の電子制御装置によるように、前記モニタモジュールが、前記演算結果とその期待値との比較の結果、それら両者が不一致となっている期間が所定の判定期間を超えることに基づいて前記監視機能が適正に機能していない旨を判定するようにすることが望ましい。このような構成では、上記演算結果とその期待値との偶発的な不一致によって上記マイクロコンピュータの監視機能が異常と判定されることが回避されるようになり、該マイクロコンピュータの監視機能をより適切に監視することができるようになる。
そして具体的には、請求項10に記載の電子制御装置によるように、前記モニタモジュールが、前記ディジタル回路の動作基準となるクロックに基づきカウントアップされるとともに前記演算結果とその期待値との比較の結果が一致していることに基づいてクリアされるデータ異常カウンタを備え、該データ異常カウンタによるカウンタ値が所定の判定値を超えることに基づいて前記演算結果とその期待値とが不一致となっている期間が所定の判定期間を超えた旨を判断するようにすることが、車載アクチュエータの駆動制御にかかる信頼性のさらなる向上を図る上で実用上望ましい。
ところで、マイクロコンピュータに上記モニタモジュールが通信可能に接続されてなる上記請求項1〜10のいずれか一項に記載の電子制御装置では、マイクロコンピュータとモニタモジュールとの間の通信機能に異常がある場合、上記モニタモジュールが、上記マイクロコンピュータの監視機能を監視することは困難となる。すなわちこの場合、同モニタモジュールによる上記マイクロコンピュータの監視機能の監視が十分に実施されず、逆に車載アクチュエータの駆動制御等にかかる信頼性の低下が避けられない。したがって、上記請求項1〜10のいずれか一項に記載の電子制御装置においては、請求項11に記載の電子制御装置によるように、前記モニタモジュールが、前記演算結果とその期待値とが受信されない期間が所定の判定期間を超えることに基づいて前記マイクロコンピュータとの通信機能が適正に機能していない旨を判定するようにして、マイクロコンピュータとモニタモジュールとの間の通信機能を併せて監視するようにすることが望ましい。
そして具体的には、請求項12に記載の電子制御装置によるように、前記モニタモジュールが、前記ディジタル回路の動作基準となるクロックに基づきカウントアップされるとともに前記演算結果とその期待値とが受信されることに基づいてクリアされる通信異常カウンタを備え、該通信異常カウンタによるカウンタ値が所定の判定値を超えることに基づいて前記マイクロコンピュータとの通信機能が適正に機能していない旨を判定するようにすることが、上記通信機能を監視する上で実用上望ましい。
ただしここで、モニタモジュールを利用して上記マイクロコンピュータの監視機能を監視するこのような電子制御装置では、同モニタモジュール自体が監視不能な状態に陥るようなことがあると、車載アクチュエータの駆動制御等にかかる信頼性の低下が避けられない。そこで、請求項10または12に記載の電子制御装置において、請求項13に記載の電子制御装置では、前記モニタモジュールが、前記ディジタル回路の動作基準となるクロックに基づきカウントアップされる基準カウンタをさらに備え、前記マイクロコンピュータが、この基準カウンタによるカウンタ値を取り込んで前記モニタモジュールが適正に機能しているか否かを監視するモジュール監視部をさらに備えるようにしている。すなわちこのような基準カウンタは、上述のデータ異常カウンタや通信異常カウンタと同様、上記ディジタル回路の動作基準となるクロックに基づいてカウントアップされる。したがって、上記モジュール監視部が該基準カウンタによるカウンタ値を監視する上記構成では、上記モニタモジュールのデータ異常カウンタや通信異常カウンタのいわば擬似的な監視を通じて、同モニタモジュール自体が監視不能な状態にあるか否かの判定をさらに行うことができるようになる。
また、請求項13に記載の電子制御装置において、請求項14に記載の電子制御装置によるように、前記モジュール監視部が、前記基準カウンタによるカウンタ値を定期的に取り込み、該取り込んだカウンタ値の変化しない期間が所定の判定期間を超えることに基づいて前記モニタモジュールが適正に機能していない旨を判定するようにすれば、同モニタモジュールをより適切に監視することができるようになる。
また、請求項1〜14のいずれか一項に記載の電子制御装置は、請求項15に記載の電子制御装置、具体的には、前記車載アクチュエータがスロットルバルブの開度を調量するモータであるときに、該モータを駆動する駆動回路と、前記マイクロコンピュータの監視機能及び前記モニタモジュールの少なくとも一方を通じてその監視対象となる機能が適正に機能していない旨が判定されることに基づき前記駆動回路に対する給電を停止する手段とをさらに備える電子制御装置として構成することが特に有効である。すなわち、このような電子制御装置では、上記駆動回路に対する給電が停止されるときに、上記スロットルバルブが自ずとフェールセーフ状態に保持されるようになる。
以下、この発明にかかる電子制御装置の一実施の形態について図1〜図16を参照して詳細に説明する。
はじめに、スロットルバルブを駆動制御する制御機能と該制御機能が適正に機能しているか否かを監視する監視機能とを有するマイクロコンピュータ、及びその監視機能が適正に機能しているか否かを専用のディジタル回路を通じてさらに監視するモニタモジュールを互いに通信可能に接続して有する一般的な電子制御装置について説明する。
前述のように、このような電子制御装置では、上記モニタモジュールが、上記マイクロコンピュータから送信される情報に基づき同マイクロコンピュータの監視機能が適正に機能しているか否かを監視することとなる。ただし、このような電子制御装置においては、こうした自己監視機能のさらなる充実が望まれており、これによって専用のディジタル回路からなるモニタモジュールの回路規模が増大する懸念があることも前述した通りである。
そこで、このような電子制御装置として、上記マイクロコンピュータの監視機能が、上記自己監視機能のさらなる充実を図るべく上記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素を監視対象とするときに、
・上記マイクロコンピュータが、それら監視対象における監視態様の違いの別に識別子を付与しつつ、同監視対象となる内容に応じた演算結果と該演算結果として本来得られるべき値である期待値とを前記モニタモジュールに送信する。
且つ、
・上記モニタモジュールが、上記監視対象の監視態様の違いの別に複数のディジタル回路ブロックを一体に有し、同監視対象のうち、監視態様の共通する監視対象の演算結果とその期待値については、上記識別子に基づき上記ディジタル回路ブロックの1つを共用して該当する演算結果とその期待値とを比較することにより上記監視機能が適正に機能しているか否かを監視する。
といった監視構造をさらに採用するようにした装置が以下に説明するこの実施の形態にかかる電子制御装置である。このような電子制御装置では、上記モニタモジュールが、上記複数種の監視対象のうち、上記監視態様の共通する監視対象の演算結果とその期待値については、上記識別子に基づき上記ディジタル回路ブロックの1つを共用して該当する演算結果とその期待値との比較に基づく監視を行うこととなる。したがって、多くの監視機能を備えるモニタモジュールを専用のディジタル回路によって実現する場合であれ、その回路規模の好適な抑制を図ることができるようになる。またこれにより、モニタモジュールの製造コストの低減が図られるようにもなる。
図1は、スロットルバルブを駆動するモータとの電気的な関係も含めて、このような監視構造を採用するこの実施の形態にかかる電子制御装置についてその全体構成をブロック図として示したものである。以下、同図1を参照して、この実施の形態にかかる電子制御装置の構成、並びにその動作について更に詳述する。
同図1に示すように、この電子制御装置100は、スロットルバルブ(図示略)を駆動するモータMの駆動制御を出力端子T1及びT2を介して行う装置として、大きくは、マイクロコンピュータ110と、モニタモジュール120と、駆動回路130とを備えて構成されている。なお、この電子制御装置100やモータMは、電源端子T3及び接地端子T4を介して車載バッテリからの給電を受ける構成となっている。
ここで、上記マイクロコンピュータ110は、上記モータMの駆動制御を行うための各種演算処理を行う部分であり、機能的には図1に模式的に示す態様のブロック構成を有している。
すなわち、この電子制御装置100にあって、上記モータMの駆動制御に際しては、上述の制御機能を構成する部分である制御部112がまず、該制御部112と外部のセンサや装置との間での情報の授受を仲介する入力部111を通じて、例えばアクセルペダル操作量などの情報を示す外部信号を取り込む。そして、こうした外部信号に基づいて上記スロットルバルブ(モータM)に対する制御量(駆動量)を演算し、その演算結果(駆動指令)を上記駆動回路130に出力する。これにより、上記駆動回路130が、この駆動指令によって示される上記スロットルバルブに対する制御量に対応するかたちで上記モータMを駆動するようになる。
また、同マイクロコンピュータ110は、上記制御部112が適正に機能しているか否かを監視する上述の監視機能を構成する部分である自己監視部113を備えている。本実施の形態において、この自己監視部113は、上記制御部112としての機能を実行する上でその適正な実行を保証する以下の5つの要素を監視対象としてその監視を行うことで、上記制御部112としての機能を間接的に監視する。次に、この自己監視部113の監視対象となる要素及びその監視の具体態様について詳述する。
<プログラムメモリの監視(ROMチェック)>
自己監視部113は、マイクロコンピュータ110が内蔵する読み出し専用のプログラムメモリ(ROM)1121に格納されている上記制御部112によって実行される各種制御プログラムやそれら制御で用いられる制御データの適正性を監視対象としている。そして、同自己監視部113は、このプログラムメモリの監視(ROMチェック)を以下の態様にて実行する。
例えば、プログラムメモリ1121の上記スロットルバルブに対する制御量を演算するための領域(ROM領域)112aには、図2に示されるように、該ROM領域112aに格納されているデータを加算したとき、その加算値(ROMサム値)が所定の固定値(例えば「5AA5」)となるように上述の各種データが配列されている。こうしたプログラムメモリ1121に対して、当該自己監視部113はまず、上記スロットルバルブに対する制御量を演算するための領域112aに格納されているデータの加算値(ROMサム値)を得る。そしてこの演算結果としての加算値と、該加算値として本来得られるべき値として予めメモリ等に登録されている期待値(例えば「5AA5」)との間での一致比較に基づき、当該監視を実行する。
<データRAMの監視(RAMチェック)>
また、自己監視部113は、スロットルバルブの開度を示すデューティ値など、上記制御部112による演算結果として上記マイクロコンピュータ110が内蔵するデータRAMに格納されたデータの適正性を監視対象としており、このデータRAMの監視(RAMチェック)を以下の態様にて実行する。
例えば、図3(a)及び(b)に例示されるように、上記制御部112は、各種の演算結果を得る都度、該演算結果を、上記データRAMの一部の領域112bのほか、上記マイクロコンピュータ110が内蔵するミラーRAMの一部の領域112cに格納する。こうしたデータRAM及びミラーRAMに対して、当該自己監視部113はまず、互いに対応するアドレス毎に上記データRAMの記憶値(演算結果)及びミラーRAMの記憶値(期待値)を読み出す。そして、それら演算結果及びその期待値の一致比較に基づき、当該監視を実行する。
<制御部による命令動作等の監視(インストラクション検査)>
また、自己監視部113は、上記制御部112による演算結果として出力される該制御部112による命令動作の適正性や、該動作に関わる各種要素(レジスタ、アドレスバス、データバス等)を監視対象としている。そして、同自己監視部113は、この制御部112による命令動作等の監視(インストラクション検査)を以下の態様にて実行する。
この命令動作等の監視に際しては、例えば、図4に例示するように、上記入力部111を介して取得される外部信号に基づいて上記スロットルバルブの開度量を演算する上記制御部112の制御機能の一部112dがまず、固定値として予め登録されているシミュレーション用データを読み込む。そして、該シミュレーション用データを演算してその演算値を所定のレジスタに格納する。そしてその後に、自己監視部113が、このレジスタに格納されている上記制御機能の一部112dによるシミュレーション用データの演算値と、該演算値として本来得られるべき値「A」として予めメモリ等に登録されている期待値との間での一致比較に基づき、当該監視を実行する。
<関数のCALL順序の監視(フロー検査)>
また、自己監視部113は、上記制御部112によって読み出し要求される関数の順序(関数のCALL順序)を監視対象としており、この関数のCALL順序の監視(フロー検査)を以下の態様にて実行する。
例えば、マイクロコンピュータ110が内蔵するプログラムメモリ1121の制御プログラム格納領域112eには、図5に例示する制御プログラム(フローチャート)が格納(規定)されている。なお、この制御プログラム(フローチャート)には、ステップS1〜S4の順序に従って適宜の第1〜第4の関数を上記制御部112が読み出し要求すべき旨が規定されている。また、同制御プログラム(フローチャート)には、上記第1〜第4の関数の読み出し要求に先立って、ステップS0の処理としてまず、所定のプログラムカウンタのカウンタ値を「0」とすることが規定されている。また、上記ステップS1〜S4の処理毎に、同カウンタのカウンタ値をカウントアップすること、及び上記ステップS1〜S4の処理の後に、ステップS5の処理として、関数のCALL順序が適正であったか否かの検査(フロー検査)を行うことも併せて規定されている。
このように規定されている手順に基づき、自己監視部113は、上記ステップS5の処理として、上記制御部112によって読み出し要求される関数の順序の適正性を監視する。具体的には、このステップS5の処理において本来得られるべきカウンタ値「4」として予めメモリ等に登録されている期待値を読み出し、上記プログラムカウンタのカウンタ値(演算結果)とこの期待値との一致比較に基づき、当該監視を実行する。
<制御部による演算値の監視(システムチェック)>
また、自己監視部113は、スロットルバルブの開度指令値を示すデューティ値など、上記入力部111を介して取得される上記外部信号に基づき上記制御部112によって演算された演算値を監視対象としており、このデューティ値(演算値)の監視(システムチェック)を以下の態様にて実行する。
例えば、マイクロコンピュータ110が内蔵する所定のメモリ(図示略)には、スロットルバルブの開度指令値を示すデューティ値、及び該デューティ値にそれぞれ関連して上記スロットルバルブの開度制御上取得され得る上限値が、当該車両の運転状態に対応してそれぞれ関連付けされたマップM(図示略)として記憶されている。そして、上記制御部112は、該マップMに基づいてその都度の外部信号(車両の運転状態)に応じた上記デューティ値を演算しており、こうして演算されたデューティ値が、図6に示されるように、マイクロコンピュータ110が内蔵するデータRAM1122のデューティ値記憶(保持)領域112fに格納されている。
こうしたデータRAM1122に対して、当該自己監視部113はまず、上記制御部112によって演算された上記デューティ値(演算結果)を読み出す。次いで、該読み出したデューティ値に対応して予め設定されている上記上限値を同様に上記マップMに基づいて算出する。そして、該算出したデューティ値の上限値「x%」をその都度の期待値として、該期待値と上記読み出した演算結果との大小比較に基づき、当該監視を実行する。
このように、この実施の形態の自己監視部113は、監視対象となるこれら5つの要素を各別に監視し、それら監視が終了する都度、該監視の結果を、上記制御部112による駆動指令の妥当性を示す情報(信号)として上記駆動回路130に出力する。具体的には、一致比較が用いられる監視項目(ROMチェック、RAMチェック、インストラクション検査、フロー検査)については、その監視の内容に応じて演算された演算結果とその期待値とが不一致を示している場合に、当該自己監視部113が、上記制御部112による駆動指令に妥当性がない旨の情報(信号)を出力する。また、大小比較が用いられる監視項目(システムチェック)については、その監視の内容に応じて演算された演算結果がその期待値よりも大きい場合に、当該自己監視部113が、上記制御部112による駆動指令に妥当性がない旨の情報(信号)を出力する。すなわち後述するが、こうした情報(信号)が上記駆動回路130に出力されることで、該駆動回路130が、上記モータMを通じて上記スロットルバルブの開閉駆動をより高い信頼性の下で行うようになる。
なお、同自己監視部113は、上記監視が終了したときには、その監視に用いられた演算結果とその期待値とを、上記5つの監視項目(ROMチェック、RAMチェック、インストラクション検査、フロー検査、システムチェック)の別に所定のメモリに格納する。またこのとき、同自己監視部113は、上記監視が終了したことを示す監視終了フラグを、これら5つの監視項目の別に所定のメモリに登録(セット)することも併せ行う。
また、同マイクロコンピュータ110において、通信部114は、以下に説明するモニタモジュール120の通信部122との間でシリアル通信による情報の授受を行う部分である。すなわち、同マイクロコンピュータ110にあっては、この通信部114が、上記監視対象における監視態様の違いの別に識別子を付与しつつ、同監視対象となる内容に応じた演算結果と該演算結果として本来得られるべき値である期待値とを前記モニタモジュールに送信する上述の部分となる。
ちなみに、この実施の形態において、同送信処理に際しては、同通信部114がまず、上記自己監視部113によって実行される上述の5つの監視項目をその比較態様の別に、すなわち一致比較を用いるROMチェック、RAMチェック、インストラクション検査、フロー検査と、大小比較を用いるシステムチェックとに分類することとしている。また、一致比較を用いる点で監視態様が共通する4つの監視項目については、その演算周期の相対的に短い監視項目(RAMチェック、インストラクション検査、フロー検査)と、演算周期の相対的に長い監視項目(ROMチェック)とにさらに分類することとしている。そして、同通信部214は、こうした分類に基づき上記識別子を付与しつつ、上記演算結果及びその期待値を上記モニタモジュール220に送信する。
図7〜図9は、上記演算結果及びその期待値の送信制御について、この通信部114が実行する制御手順をフローチャートとして示したものであり、次に、この図7〜図9に基づいて、同制御手順を説明する。なお、この送信制御は、上記分類した監視項目の別に、例えばシリアル通信やパラレル通信によって実行される。また、同送信制御では、データ送信に際して他のデータが送信中である場合にはそのデータ送信を遅延させるなどの適宜のタイムシェアリングが用いられる。
ここで、図7は、上述の5つの監視項目のうち、その監視に一致比較を用いるとともに相対的に処理速度の遅い先の図2に例示したプログラムメモリの監視(ROMチェック)が実施されるときに用いられた演算結果及びその期待値の送信処理をフローチャートとして示したものである。なお、この送信処理は、所定期間ごとに繰り返し実行される。
同図7に示されるように、この送信処理に際しては、上記通信部114がまず、プログラムメモリの監視(ROMチェック)が終了したことを示す監視終了フラグが上記自己監視部113によってセットされているか否かを確認する(ステップS11)。そしてその結果、同監視終了フラグがセットされている場合には、プログラムメモリの監視(ROMチェック)が既に終了しているとして、次にステップS12の処理に移行する。
このステップS12の処理では、先の図2に例示した演算結果(ROMサム値)とその期待値(例えば「5AA5」)とを上述の所定のメモリから読み出し、上記モニタモジュール120への送信データとして上記マイクロコンピュータ110が内蔵する第1のレジスタ(図示略)にセット(更新)する。ただしこのとき、このデータには、図12に例示するように、該データが上記ROMチェックに対応するデータであることを示す識別子(ID)を付与しておく。そして、同通信部114は、ステップS13の処理として、こうして作成した送信データ(図12)を上記モニタモジュール120に送信する。そしてその後に、ステップS14の処理として、上記ROMチェックが終了したことを示す監視終了フラグをリセット(クリア)する。
他方、上記ステップS11の処理において、上述の監視終了フラグがセットされていない場合には、上記ROMチェックは未だ終了していないとして、上記ステップS12の処理に移行することなく、次に上記ステップS13の処理を行う。すなわちこの場合、上記通信部114は、上記第1のレジスタに格納されている前回送信したデータを上記モニタモジュール120に再度送信することとなる。そしてその後に、ステップS14の処理として、上記ROMチェックが終了したことを示す監視終了フラグをリセット(クリア)する。
また、図8は、上述の5つの監視項目のうち、その監視に大小比較を用いる先の図6に例示した制御部112による演算値の監視(システムチェック)が実施されるときに用いられた演算結果及びその期待値の送信処理をフローチャートとして示したものである。なお、この送信処理も、基本的には、先の図7に示した送信処理とほぼ同様の手順にて、所定期間ごとに繰り返し実行される。
すなわち、同図8に示されるように、この送信処理に際しても、上記通信部114はまず、上記システムチェックが終了したことを示す監視終了フラグがセットされているか否かを確認し(ステップS21)、その結果、該監視終了フラグがセットされている場合に次のステップS22の処理に移行する。
ただし、このステップS22の処理では、先の図6に例示した演算結果(デューティ値)とその期待値「x%」とを上述の所定のメモリから読み出し、これを上記モニタモジュール120への送信データとして上記マイクロコンピュータ110が内蔵する第2のレジスタ(図示略)にセット(更新)する。またこのとき、このデータには、図10に例示するように、該データが上記システムチェックに対応するデータであることを示す識別子(ID)を付与しておく。そしてその後に、こうして作成した送信データ(図10)を上記モニタモジュール120に送信するとともに(ステップS23)、上記システムチェックが終了したことを示す監視終了フラグをリセット(クリア)する(ステップS24)。
他方、上記ステップS21の処理において、上述の監視終了フラグがセットされていない場合には、上記システムチェックは未だ終了していないとして、上記ステップS22の処理に移行することなく、次に上記ステップS23の処理を行う。すなわちこの場合、上記通信部114は、上記第2のレジスタに格納されている前回送信したデータを上記モニタモジュール120に再度送信することとなる。そしてその後に、ステップS24の処理として、上記システムチェックが終了したことを示す上述の監視終了フラグをリセット(クリア)する。
また、図9は、上述の5つの監視項目のうち、その監視に一致比較を用いるとともに相対的に処理速度の早い先の図3〜図5にそれぞれ例示したRAMチェック、インストラクション検査、フロー検査に対応する演算結果とその期待値との送信処理をフローチャートとして示したものである。なお、この送信処理は、所定期間ごとに繰り返し実行される。ただし、この送信処理では、先の図7及び図8に示した送信処理と異なり、データ送信に際しては、上記通信部114がまず、それら監視項目の実行に用いられる各演算結果の合算値を得る。そして、その合算値と該合算値として本来得られるべき値として予めメモリ等に登録されている期待値とを上記モニタモジュール120の通信部122に送信する。以下、この送信処理について、同図9を参照しつつ説明する。
同図9に示されるように、この送信処理に際しては、上記通信部114がまず、上記RAMチェックが終了したことを示す監視終了フラグが上記自己監視部113によってセットされているか否かを確認する(ステップS31)。その結果、同監視終了フラグがセットされている場合には、該RAMチェックが既に終了しているとして、次にステップS32の処理に移行する。
このステップS32の処理では、先の図3に例示した演算結果(データRAMの記憶値)を所定のメモリから読み出し、上記モニタモジュール120に送信する演算結果として上記マイクロコンピュータ110が内蔵する第3のレジスタ(図示略)にセット(更新)する。そしてその後に、ステップS33の処理として、RAMチェックが終了したことを示す監視終了フラグをリセット(クリア)する。
そして次に、ステップS41の処理として、インストラクション検査が終了したことを示す監視終了フラグが上記自己監視部113によってセットされているか否かを確認する。その結果、該監視終了フラグがセットされている場合には、次いで、ステップS42の処理として、先の図4に例示した演算結果(シミュレーション用データの演算値)を所定のメモリから読み出す。そして、該演算結果と上記モニタモジュール120への送信データとして上記第3のレジスタにセットされている演算結果とを加算するかたちで同レジスタに格納されているデータを更新記憶する。そしてその後に、ステップS43の処理として、インストラクション検査が終了したことを示す監視終了フラグをリセット(クリア)する。
そして次に、ステップS51の処理として、フロー検査が終了したことを示す監視終了フラグが上記自己監視部113によってセットされているか否かを確認する。そしてその結果、該監視終了フラグがセットされている場合には、次いで、ステップS52の処理として、先の図5に例示した演算結果(カウンタ値)を所定のメモリから読み出す。そして、該演算結果と上記モニタモジュール120への送信データとして上記第3のレジスタにセットされている演算結果とを加算するかたちで該レジスタに格納されているデータを更新記憶する。そしてその後に、ステップS53の処理として、フロー検査が終了したことを示す監視終了フラグをリセット(クリア)する。
そして、こうしたステップS31〜S33、S41〜S43、S51〜S53の処理の後に、ステップS61の処理として、上記第3のレジスタにセットされている3つの演算結果の合算値に、その合算値として本来得られるべき値としてメモリ等に予め格納されている期待値とその識別子(ID)とを付与して、先の図10に例示したデータ構造の送信データを作成する。そして、次のステップS62の処理において、こうして作成した送信データを例えばシリアル通信やパラレル通信にて上記モニタモジュール120の通信部122に送信する。
ただし、上記ステップS31、S41、S51のいずれかの処理において、各対応する監視終了フラグがセットされていない場合には、上記ステップS61の処理において、上記演算結果(合算値)とその合算値としての期待値とが一致しないかたちで上記送信データが作成される。そして、次のステップS62の処理において、こうしたデータが上記モニタモジュール120の通信部122に送信されることとなる。
この図9に例示した送信処理では、後述するが、上記送信される合算値と期待値との一致比較に基づき、上記モニタモジュール120が、上述の3つの監視項目(RAMチェック、インストラクション検査、フロー検査)が上記自己監視部113によって適正に実行されたか否かを一括して監視することとなる。このため、モニタモジュール120にかかる演算負荷の低減とその回路規模のより好適な抑制とを併せて図ることができるようになる。
また、このように通信部114は、上記制御部112の監視が実施されるときにその監視対象の内容に応じて演算された値である上記演算結果と該演算結果として本来得られるべき値である上記期待値とを上記モニタモジュール120に送信するようにしている。このため、上記自己監視部113による上記制御部112の監視と、上記モニタモジュール120による上記自己監視部113の監視とが並行して実行されるようになり、スロットルバルブの駆動制御にかかる信頼性のさらなる向上を図ることができるようになる。
また、同マイクロコンピュータ110において、モジュール監視部115は、上記通信部114を介して上記モニタモジュール120から送信される情報に基づき、該モニタモジュールが適正に機能しているか否かを監視する部分である。このモジュール監視部115については、後述することとする。
一方、上記モニタモジュール120は、上記マイクロコンピュータ110から送信される情報、具体的には先の図10に例示したデータをもとに上記自己監視部113の異常の有無を監視するハードウェア(専用IC)である。
すなわち上述の通り、このモニタモジュール120では、上記マイクロコンピュータ110から送信されるデータ(図10)をまず、上記通信部122に取り込む。そしてこのデータ(図10)のうち、上記演算結果とその期待値とを、該モニタモジュール120を構成する異常判定回路121にさらに取り込み、該異常判定回路121にて比較することによって上記自己監視部113の異常の有無を監視する。なお後述するが、同異常判定回路121は、クロック発生器125にて生成されるクロックを動作基準として用いている。
ただし、この実施の形態では、モニタモジュール120は、上記分類された監視項目の別に上記自己監視部113の異常の有無を監視すべく、異常判定回路121が、3つのディジタル回路ブロック121a〜121cを有している。そして、これらディジタル回路ブロック121a〜121cの切替制御を行うブロック切替部123を用いて、上記送信されるデータに付与される上記識別子(ID)に基づき、同データに含まれる上記演算結果とその期待値とを各対応するディジタル回路ブロックに与えるようにしている。このような構成では、監視態様の共通する監視項目に対応した演算結果及びその期待値については、上記モニタモジュール120が、上記ディジタル回路ブロック121a〜121cの1つを共用して該当する演算結果とその期待値との比較に基づく監視を行うようになる。このため、多くの監視機能を備えるモニタモジュール120を専用のディジタル回路によって実現する場合であれ、その回路規模の好適な抑制を図ることができるようになる。またこれにより、モニタモジュール120の製造コストの低減が図られるようにもなる。
図11は、当該モニタモジュール120について、ここでは特にディジタル回路ブロック121aについてその内部構造をブロック図として示したものであり、次に、同図11を参照して、このディジタル回路ブロック121aの構造、並びにその動作について更に詳述する。
いま、このモニタモジュール120において、上記ブロック切替部123が、上記通信部122を介して取り込まれる上述の識別子(ID)に基づき、上記演算結果とその期待値とを当該ディジタル回路ブロック121aに与えたとする。このような場合、当該ディジタル回路ブロック121aは、それら演算結果及びその期待値をまず、Aレジスタ151及びBレジスタ152にそれぞれ格納する。そして次に、第1の比較器153に取り込み、この第1の比較器153においてそれら演算結果とその期待値との間での一致比較を行う。具体的には、この第1の比較器153では、上記ROMチェックの実施に用いられた先の図2に例示した演算結果(ROMサム値)とその期待値(例えば「5AA5」)とを一致比較する。そしてこの一致比較の結果に基づき、上記自己監視部113による上記ROMチェックが適正に実施されたか否かを監視する。
ただし、この実施の形態のディジタル回路ブロック121aでは、上記演算結果とその期待値とが偶発的に不一致となることによって上記マイクロコンピュータ110の監視機能が異常と判定されることを回避すべく、同図11に示すように、以下の構成をさらに備えることとしている。
・クロック発生器125によるクロックに基づきカウントアップされるとともに上記演算結果とその期待値とが一致した旨を示す上記第1の比較器153による出力に基づいてクリアされるデータ異常カウンタ154。
・データ異常カウンタ154によるカウンタ値と、メモリ155に予め格納されている所定の判定値との間での大小比較を行うとともに、その比較の結果を、上記自己監視部113の異常の有無の監視結果としてこのディジタル回路ブロック121aから出力する第2の比較器156。
このような構成では、データ異常カウンタ154によるカウンタ値がメモリ155に予め登録されている所定の判定値を超えるとき、すなわち上記演算結果とその期待値とが不一致となっている期間が所定の判定期間を超えるときに、上記第2の比較器156が、上記自己監視部113が適正に機能していない旨を判定するようになる。このため、上記自己監視部113の異常の有無をより適切に監視することができるようになる。
また、このような電子制御装置100では、マイクロコンピュータ110とモニタモジュール120との間の通信機能に異常がある場合、同モニタモジュール120による上記マイクロコンピュータ110の監視機能の監視が十分に実施されず、スロットルバルブの駆動制御等にかかる信頼性が逆に低下する懸念がある。そこで、この実施の形態のディジタル回路ブロック121aでは、同図11に示すように、以下の構造をさらに備えることとしている。
・クロック発生器125によるクロックに基づきカウントアップされるとともに上記マイクロコンピュータ110からの情報を上記通信部122が受信したときの該通信部122による出力に基づいてクリアされる通信異常カウンタ157。
・通信異常カウンタ157によるカウンタ値と、メモリ158に予め格納されている所定の判定値との間での大小比較を行うとともに、その比較の結果を、上記マイクロコンピュータ110とモニタモジュール120との間の通信機能の異常の有無の監視結果としてこのディジタル回路ブロック121aから出力する第3の比較器159。
このような構造では、通信異常カウンタ157によるカウンタ値がメモリ158に予め登録されている所定の判定値を超えるとき、すなわち上記演算結果とその期待値とが受信されない期間が所定の判定期間を超えるときに、上記第3の比較器159が、上記通信機能が適正に機能していない旨を判定するようになる。このため、上記自己監視部113の異常の有無をより適切に監視することができるようになる。
図12は、このディジタル回路ブロック121aによって行われる上記自己監視部113の異常判定処理についてその処理手順を示したフローチャートであり、次に同図12を併せ参照して該異常判定処理について更に説明する。
同図12に示されるように、この異常判定処理に際してはまず、ディジタル回路ブロック121aの上記レジスタ151、152に格納されているデータ(演算結果及びその期待値)が更新記憶されたか否かを確認する(ステップS101)。その結果、同更新が確認された場合には、上記通信異常カウンタ157のカウンタ値をクリアし(ステップS102)、次いでステップS103の処理に移行する。一方、同ステップS101の処理において、データの更新が確認されなかった場合には、上記通信異常カウンタ157のカウンタ値をクリアすることなく(ステップS102の処理を行うことなく)、ステップS103の処理に移行する。
このステップS103の処理では、上記第1の比較器153において、上記レジスタ151、152に各々格納されている演算結果とその期待値との一致比較を行う。その結果、これら演算結果とその期待値とが一致したと判断された場合には、上記データ異常カウンタ154のカウンタ値をクリアし(ステップS104)、次いでステップS105の処理に移行する。一方、上記ステップS103の処理において、上記演算結果とその期待値とが不一致であった場合には、上記データ異常カウンタ154のカウンタ値をクリアすることなく(ステップS104の処理を行うことなく)、ステップS105の処理に移行する。
そして、このように通信異常カウンタ157及びデータ異常カウンタ154の各カウンタ値を操作した上で、それらカウンタ値の適否を順次監視する(ステップS105及びS107)。
すなわち、上記ステップS105の処理においては、上記通信異常カウンタ157のカウンタ値と、上記メモリ158に格納されている所定の判定値との大小関係を判断する。そして、このステップS105の処理において、上記通信異常カウンタ157のカウンタ値が上記所定の判定値を超えたと判断されると、上記演算結果とその期待値とが受信されない期間が所定の判定期間を超えたとして、上記通信機能が異常である旨の判定が行われる(ステップS106)。
また、上記ステップS107の処理では、上記データ異常カウンタ154のカウンタ値と、上記メモリ155に格納されている所定の判定値との大小関係を判断する。そして、このステップS107の処理において、上記データ異常カウンタ154のカウンタ値が上記所定の判定値を超えたと判断されると、上記演算結果とその期待値とが不一致となっている期間が所定の判定期間を超えたとして、上記自己監視部113の判定機能に異常がある旨の判定が行われる(ステップS108)。
一方、便宜上、図示は割愛するが、上記ディジタル回路ブロック121bは、上記ディジタル回路ブロック121aの上述した構造(図11)とほぼ同様である。したがって、このディジタル回路ブロック121bにおいて行われる上記自己監視部113の異常判定の処理手順も、基本的には、上記ディジタル回路ブロック121aにおけるこうした処理手順(図12)とほぼ同様である。
ただし、このディジタル回路ブロック121bでは、上記レジスタ151、152に相当する2つのレジスタに、先の図3〜図5に例示した演算結果の合算値と該合算値として本来得られるべき値である期待値とがそれぞれ格納される。そして、上記第1の比較器153に相当する比較器にてそれら演算結果(合算値)と期待値との一致比較が行われることで、上述の3種の機能(データ保持機能、データ演算機能、関数読み出し機能)に対応する上記自己監視部113の適否が一括して監視されることとなる。
また一方、上記ディジタル回路ブロック121cも、基本的には、上記ディジタル回路ブロック121aの上述した構造(図11)とほぼ同様である。ただし、該ディジタル回路ブロック121cでは、上記第1の比較器153に相当する比較器にて、上記演算結果(デューティ値)とその期待値(上限値「x%」)との大小比較を行うことにより上記自己監視部113の異常判定を行うこととなる。
図13は、こうしたディジタル回路ブロック121cによって行われる上記自己監視部113の異常判定処理についてその処理手順を示したフローチャートであり、次に同図13を併せ参照して該ディジタル回路ブロック121cによる異常判定処理について説明する。
同図13に示されるように、この異常判定処理に際してはまず、ディジタル回路ブロック121cにおいて上記レジスタ151、152に相当する2つのレジスタに格納されているデータ(演算結果及びその期待値)が更新記憶されたか否かを確認する(ステップS201)。その結果、同更新が確認された場合には、上記通信異常カウンタ157に相当するカウンタのカウンタ値をクリアし(ステップS202)、次いでステップS203の処理に移行する。一方、同ステップS201の処理において、データの更新が確認されなかった場合には、上記通信異常カウンタ157に相当するカウンタのカウンタ値をクリアすることなく(ステップS202の処理を行うことなく)、ステップS203の処理に移行する。
このステップS203の処理では、上記第1の比較器153に相当する比較器において、上記レジスタ151、152に相当する2つのレジスタに各々格納されている演算結果とその期待値との大小比較を行う。その結果、演算結果(デューティ値)がその期待値(上限値「x%」)以下である場合には、上記データ異常カウンタ154に相当するカウンタのカウンタ値をクリアし(ステップS204)、次いでステップS205の処理に移行する。一方、上記ステップS203の処理において、上記演算結果(デューティ値)がその期待値(上限値「x%」)を超えている場合には、上記データ異常カウンタ154に相当するカウンタのカウンタ値をクリアすることなく(ステップS204の処理を行うことなく)、次のステップS205の処理に移行する。
そして、このように通信異常カウンタ157及びデータ異常カウンタ154にそれぞれ相当するカウンタの各カウンタ値を操作した上で、それらカウンタ値の適否を順次監視する(ステップS205及びS207)。なお、これら2つのカウンタ値も、上記クロック発生器125によるクロックに基づきその都度カウントアップされている。
すなわち、上記ステップS205の処理においては、上記通信異常カウンタ157に相当するカウンタのカウンタ値と、上記メモリ158に相当するメモリに格納されている所定の判定値との大小関係を判断する。そして、このステップS205の処理において、上記通信異常カウンタ157に相当するカウンタのカウンタ値が上記所定の判定値を超えたと判断されると、上記演算結果とその期待値とが受信されない期間が所定の判定期間を超えたとして、上記通信機能が異常である旨の判定が行われる(ステップS206)。
また、上記ステップS207の処理では、上記データ異常カウンタ154に相当するカウンタのカウンタ値と、上記メモリ155に相当するメモリに格納されている所定の判定値との大小関係を判断する。そして、このステップS207の処理において、上記データ異常カウンタ154に相当するカウンタのカウンタ値が上記所定の判定値を超えたと判断されると、上記演算結果がその期待値を超えている期間が所定の判定期間を超えたとして、上記自己監視部113の判定機能に異常がある旨の判定が行われる(ステップS208)。
ちなみに、このモニタモジュール120にあって、これらディジタル回路ブロック121a〜121cの第2の比較器156に相当する各比較器による出力、及び上記第3の比較器159に相当する各比較器による出力は、異常判定回路121による監視の結果として、当該モニタモジュール120が内蔵するOR回路124に取り込まれる。そして、上記ディジタル回路ブロック121a〜121cのいずれか1つでも、上記通信機能が異常である旨を判定し、若しくは上記自己監視部113の判定機能に異常がある旨を判定した場合には、このOR回路124がその旨を示す信号を上記駆動回路130に出力する。そして後述するが、こうした監視の結果が上記駆動回路130に出力されることで、該駆動回路130が、この監視の結果に基づき、上記モータMを通じて上記スロットルバルブの開閉駆動をより高い信頼性の下で行うようになる。
また、同モニタモジュール120において、基準カウンタ126は、上記クロック発生器125によるクロックに基づきカウントアップされるカウンタを構成する部分である。この基準カウンタ126によるカウンタ値は、上記通信部122と上記マイクロコンピュータ110の通信部114とを介して上記モジュール監視部115(図1)に取り込まれ、該モジュール監視部115によって監視される。
すなわち、同モニタモジュール120にあって、この基準カウンタ126は、上記各ディジタル回路ブロック121a〜121cにおける上述のデータ異常カウンタ154に相当するカウンタや通信異常カウンタ157に相当するカウンタと同様、上記クロック発生器125によるクロックに基づきカウントアップされる。したがって、上記モジュール監視部115がこの基準カウンタ126によるカウンタ値を監視するこのような構成では、上記データ異常カウンタ154や通信異常カウンタ157に相当するカウンタのいわば擬似的な監視を通じて、同モニタモジュール120自体が監視不能な状態にあるか否かの判定を行うことができるようになる。そして、このモジュール監視部115において、上記モニタモジュール120自体が監視不能な状態にあると判断された場合には、このモジュール監視部115がその旨を示す信号を上記駆動回路130に出力する。すなわち後述するが、こうした監視の結果が上記駆動回路130に出力されることで、該駆動回路130が、この監視の結果に基づき、上記モータMを通じて上記スロットルバルブの開閉駆動をより高い信頼性の下で行うようになる。
なお、このモジュール監視部115は、図1に示されるように、上記モニタモジュール120による出力を取り込む構成ともなっている。すなわち、このモジュール監視部115は、上記モニタモジュール120による出力が上記自己監視部113に異常がある旨、若しくは上記通信機能に異常がある旨を示したときにはその旨を記憶し、上記駆動回路130に対するその出力状態を的確に維持するための処理も併せ行う。
図14は、このモジュール監視部115によって行われる上記モニタモジュール120の異常判定処理についてその処理手順を示したフローチャートであり、次に同図14を併せ参照して該モジュール監視部115による異常判定処理についてその構造と併せて説明する。なお、この処理は、所定期間毎に繰り返し実行される。
同図14に示されるように、この異常判定処理に際してはまず、ステップS301の処理として、上記基準カウンタ126のカウンタ値を、上記モニタモジュール120の通信部122及び通信部114を介して取得する。次いで、該取得したカウンタ値と所定のメモリに登録されている前回取得したカウンタ値とに基づき、該カウンタ値の変動量を算出し(ステップS302)、この変動量が予め設定されている許容範囲内にあるか否かの判断を行う(ステップS303)。
そして、このステップS303の処理において、上記カウンタ値の変動量が予め設定されている許容範囲内にあると判断されると、次にステップS304の処理として、上記マイクロコンピュータ110が有する正常判定カウンタ(図示略)のカウンタ値をカウントアップする。また併せて、ステップS305の処理として、同マイクロコンピュータ110が有する異常判定カウンタ(図示略)のカウンタ値をクリアする。そして、こうして各カウンタ値を操作した後に、ステップS306の処理として、上記正常判定カウンタのカウンタ値が予め設定されている上限値を超えるか否かを判断する。その結果、該カウンタ値が該上限値を超えている場合には、上記モニタモジュール120が正常である旨の信号を上記モニタモジュール120に対して出力するとともに(ステップS307)、上記取得した基準カウンタ126のカウンタ値を所定のメモリに登録した時点で(ステップS308)、この制御を終了する。
一方、上記ステップS306の処理において、上記正常判定カウンタのカウンタ値が該上限値以下である場合には、上記駆動回路130に対する出力を保持し、上記取得した基準カウンタ126のカウンタ値を上記所定のメモリに登録した時点で(ステップS308)、この制御を終了する。
他方、上記ステップS303の処理において、上記カウンタ値の変動量が予め設定されている許容範囲外にあると判断された場合には、次にステップS309の処理として、上記マイクロコンピュータ110が有する異常判定カウンタ(図示略)のカウンタ値をカウントアップする。また併せて、ステップS310の処理として、上記マイクロコンピュータ110が有する正常判定カウンタ(図示略)のカウンタ値をクリアする。そして、こうして各カウンタ値を操作した後に、ステップS311の処理として、上記異常判定カウンタのカウンタ値が予め設定されている上限値を超えるか否かを判断する。その結果、該カウンタ値が該上限値を超えている場合には、上記モニタモジュール120が異常である旨の信号を上記モニタモジュール120に対して出力するとともに(ステップS312)、上記取得した基準カウンタ126のカウンタ値を所定のメモリに登録した時点で(ステップS312)、この制御を終了する。
一方、上記ステップS311の処理において、上記異常判定カウンタのカウンタ値が該上限値以下である場合には、上記駆動回路130に対する出力を保持し、上記取得した基準カウンタ126のカウンタ値を上記所定のメモリに登録した時点で(ステップS308)、この制御を終了する。
また、当該電子制御装置100にあって、上記駆動回路130は、上記モータMを通じて上記スロットルバルブの開閉駆動を行う部分である。
上述の通り、この駆動回路130には上記制御部112及び自己監視部113及びモジュール監視部115及び異常判定回路121からの信号が取り込まれるものの、同駆動回路130は基本的に、これら信号のうち、上記制御部112による駆動指令に基づいて上記スロットルバルブの開閉駆動を行う。ただし、上記制御部112による駆動指令に妥当性がない旨の信号が上記自己監視部113から出力された場合には、同駆動回路130に取り込まれる上記駆動指令としての信頼性が低い。また、上記異常判定回路121によって上記自己監視部113に異常がある旨の信号が出力された場合や、上記モジュール監視部115によって上記モニタモジュール120自体が監視不能な状態にある旨の信号が出力された場合なども同様、同駆動回路130に取り込まれる上記駆動指令としての信頼性は低くなる。したがって、これらいずれかの信号が入力されるときには、同駆動回路130は、車両の安全性を確保すべく、上記制御部112による駆動指令を無効として、上記スロットルバルブに対するフェールセーフ処理を行う。具体的には、上記電源端子T3を通じた上記車載バッテリによる給電を停止することにより、上記スロットルバルブをフェールセーフ状態に保持する。
図15及び図16は、当該電子制御装置100が行う上記スロットルバルブのフェールセーフ処理についてその処理態様をタイミングチャートとして示したものであり、次に、同図15及び図16を参照してこのスロットルバルブのフェールセーフ処理について総括的に説明する。なお、ここでは特に、上記モニタモジュール120自体が監視不能な状態にある旨の信号が上記モジュール監視部115によって出力された場合を想定している。
いま、上記制御部112による上記スロットルバルブ(モータM)に対する制御量(駆動量)の演算処理が実行中であるとすると、上記自己監視部113は、所定の演算周期にて、上述したROMチェック、RAMチェック、インストラクション検査、フロー検査、システムチェックをそれぞれ実行する。そして、該自己監視部113による監視が終了した監視項目については、その監視が終了したことを示す監視終了フラグを、図15(a)〜(e)に示すように、それら5つの監視項目の別に所定のメモリに登録(セット)する。なお、上記ROMチェックの演算周期(図15(e))は、他の監視項目(図15(a)〜(d))と比較して遅い周期となっている。
そして、こうしてセットされる各監視終了フラグに基づき、上記通信部114が、図15(f)〜(h)に示されるように、先の図10に例示した送信データを上記分類した監視項目の別に上記モニタモジュール120に送信する。ただし上述の通り、同送信制御では、データ送信に際して他のデータの送信処理が実行中である場合にはその送信処理を遅延させるなどの適宜のタイムシェアリングが用いられる。
こうして送信されたデータ(図10)は、上記モニタモジュール120において、該データに付与されている識別子(ID)に基づき、その対応するディジタル回路ブロックに与えられる。そして通常は、図16(a)〜(f)に示されるように、その与えられたディジタル回路ブロックが有する上記データ異常カウンタ154、通信異常カウンタ157に相当する2つのカウンタの各カウンタ値をそれぞれクリアするように機能する。
例えば、図15(f)に示されるように、上述のRAMチェック、及びインストラクション検査、及びフロー検査に対応するデータ(合算値など)が上記通信部114から送信されるタイミングt11及びt21においては、同データは、上記モニタモジュール120のディジタル回路ブロック121bに与えられる。したがって、このタイミングt11及びt21では、図16(a)及び(d)に示されるように、該ディジタル回路ブロック121bが有する上記データ異常カウンタ154に相当するカウンタと、通信異常カウンタ157に相当するカウンタとの各カウンタ値がそれぞれクリアされることとなる。
また、図15(g)に示されるように、上述のシステムチェックに対応するデータが上記通信部114から送信されるタイミングt12及びt22においては、同データが、上記モニタモジュール120のディジタル回路ブロック121cに与えられる。したがって、このタイミングt12及びt22では、図16(b)及び図16(e)に示されるように、該ディジタル回路ブロック121cが有する上記データ異常カウンタ154に相当するカウンタと、通信異常カウンタ157に相当するカウンタとの各カウンタ値がそれぞれクリアされることとなる。
また、図15(h)に示されるように、上述のROMチェックに対応するデータが上記通信部114から送信されるタイミングt23においては、同データが、上記モニタモジュール120のディジタル回路ブロック121aに与えられる。したがって、このタイミングt23では、図16(c)及び図16(f)に示されるように、該ディジタル回路ブロック121aが有する上記データ異常カウンタ154と、通信異常カウンタ157との各カウンタ値がそれぞれクリアされることとなる。
そして上述の通り、このように推移するカウンタ値を出力する上記モニタモジュール120に対し、上記モジュール監視部115は、上記基準カウンタ126のカウンタ値(図16(g))を監視することによって、同モニタモジュール120自体が監視不能な状態にあるか否かを判定する。
具体的には、図16(h)及び(i)及び(j)に示すように、上記基準カウンタ126によるカウンタ値を所定期間毎に取得するとともに前回取得したカウンタ値からの変動量を監視する。そして、その変動量が予め設定された許容範囲外となるタイミングt100以降は、上記ディジタル回路ブロック121a〜121cが有する上記データ異常カウンタ154、通信異常カウンタ157に相当する各カウンタ(図16(a)〜(f))に異常があるとして、上記マイクロコンピュータ110が内蔵する異常判定カウンタのカウンタ値をカウントアップする。そしてその結果、そのカウンタ値が上限値を超えるタイミングt200になると、同モジュール監視部115は、上記モニタモジュール120自体が監視不能な状態にあると判定してその旨を示す信号を上記駆動回路130に出力する。そして、該信号を受けた該駆動回路130が、上記車載バッテリによる給電を停止することにより上記スロットルバルブをフェールセーフ状態に保持する。すなわち、当該電子制御装置100では、上記駆動回路130に対する給電が停止されるときに、上記スロットルバルブが自ずとフェールセーフ状態に保持されるようになる。
以上説明したように、この実施の形態にかかる電子制御装置によれば、以下に記載するような多くの優れた効果が得られるようになる。
(1)モニタモジュール120は、演算周期が相対的に長く、且つ、その実行に一致比較を用いる3つの監視項目については、上記ディジタル回路ブロック121bを共用することによりそれら監視項目が上記自己監視部113によって適正に実行されたか否かを監視することとした。このため、モニタモジュール220の回路規模の好適な抑制とともにその製造コストの低減を図ることができるようになる。
(2)マイクロコンピュータ110の通信部114は、演算周期が相対的に長く、且つ、その実行に一致比較を用いる3つの監視項目についてはそれら監視項目にて用いられた各演算結果の合算値を得ることとした。そして、その合算値と該合算値として本来得られるべき値として予めメモリ等に登録されている期待値とを上記モニタモジュール120の通信部122に送信することとした。そして、モニタモジュール120において、こうした合算値とその期待値とを上記ディジタル回路ブロック121bにて一致比較することにより、それら監視項目が上記自己監視部113によって適正に実行されたか否かを一括して監視することとした。このため、モニタモジュール120にかかる演算負荷の低減とその回路規模のより好適な抑制とを併せて図ることができるようになる。
(3)その実行に一致比較を用いる4つの監視項目については、演算周期の相対的に短い監視対象と、演算周期の相対的に長い監視対象とにさらに分類することとした。そしてこうした分類に基づき、相対的に演算周期の短い監視項目の実行に用いられた演算結果とその期待値との一致比較を行うディジタル回路ブロック(高速用ブロック)121a、及び相対的に演算周期の長い監視対象の実行に用いられた演算結果とその期待値との一致比較を行うディジタル回路ブロック(低速用ブロック)121bを用意することとした。このため、自己監視部113の異常をより早期に検出、判定することができるようになる。
(4)マイクロコンピュータ110が、上記自己監視部113による上記制御部112の監視と並行して、その監視対象となる内容に応じて演算した値である演算結果と該演算結果として本来得られるべき値である期待値とを上記モニタモジュール120に送信することとした。また、モニタモジュール120が、該送信される演算結果とその期待値との比較に基づいて上記自己監視部113が適正に機能しているか否かを監視することとした。このため、モニタモジュール120を通じて自己監視部113を監視する当該マイクロコンピュータ110として、それら監視状態を適正に維持して、車載アクチュエータ(スロットルバルブ)の駆動制御にかかる信頼性のさらなる向上を図ることができるようになる。
(5)上記モニタモジュール120が、上記送信される演算結果とその期待値との比較の結果、それら両者が不一致となっている期間が所定の判定期間を超えることに基づいて上記自己監視部113が適正に機能していない旨を判定するようにした。このため、上記自己監視部113を適切に監視することができるようになる。
(6)上記モニタモジュール120が、上記送信される演算結果とその期待値とが受信されない期間が所定の判定期間を超えることに基づいて上記マイクロコンピュータ110との通信機能が適正に機能していない旨を判定するようにした。このため、上記自己監視部113をより適切に監視することができるようになる。
(7)上記モジュール監視部115が、上記モニタモジュール120の基準カウンタ126によるカウンタ値を監視するようにした。このため、上記モニタモジュール120のデータ異常カウンタや通信異常カウンタのいわば擬似的な監視を通じて、同モニタモジュール120自体が監視不能な状態にあるか否かの判定を行うことができるようになる。
(8)上記モジュール監視部115は、上記基準カウンタ126によるカウンタ値を定期的に取り込み、該取り込んだカウンタ値の変化しない期間が所定の判定期間を超えることに基づいて上記モニタモジュール120が適正に機能していない旨を判定するようにした。このため、同モニタモジュール120をより適切に監視することができるようになる。
なお、上記実施の形態は、以下のように変更して実施することもできる。
・モジュール監視部115は、取り込んだ基準カウンタ126のカウンタ値に変化がなかった時点で、モニタモジュール120が適正に機能していない旨を判定するようにしてもよい。
・モニタモジュール120は、演算結果とその期待値とを定期的に受信するものであり、その受信がなかった時点で、マイクロコンピュータ110との通信機能が適正に機能していない旨を判定するようにしてもよい。
・モニタモジュール120は、演算結果とその期待値との比較の結果、それら両者が不一致となった時点で、上記マイクロコンピュータ110の監視機能が適正に機能していない旨を判定するようにしてもよい。
・マイクロコンピュータが、自己監視部113による制御部112の監視と並行して監視対象となる内容に応じた演算結果をモニタモジュールに送信し、モニタモジュールが、この送信される演算結果として本来得られるべき値である期待値を予め保持するようにしてもよい。ただしこの場合、図17に示すように、モニタモジュールのディジタル回路ブロック321は、図11に例示したBレジスタ152に代えて、期待値が予め固定値として保持される期待値レジスタ352を備えることとなる。そして、該ディジタル回路ブロック321の第1の比較器353において、Aレジスタ151に格納される演算結果と期待値レジスタ352に保持されている期待値との比較を行うこととなる。このような場合であれ、上記自己監視部113による制御部112の監視と並行して、自己監視部113が適正に機能しているか否かを監視することはできる。ただし、このような場合には、上記実施の形態のように、演算結果が予め登録されている期待値に見合う値となるように監視対象となる内容に応じた演算結果を操作し、この操作した値を演算結果としてモニタモジュールに送信するようにすることが望ましいことが多い。
・演算周期が相対的に長く、且つ、その実行に一致比較を用いる3つの監視項目が上記自己監視部113によって適正に実行されたか否かの監視を、それら監視項目の別に実施するようにしてもよい。なおこの場合、通信部214では、それら監視項目の実行に用いられた各演算結果とその期待値とを、適宜のタイムシェアリングによって、上記モニタモジュール220に各別に送信することとなる。
・その実行に一致比較を用いる4つの監視項目について、1つのディジタル回路ブロックを共用して該当する演算結果とその期待値との一致比較を行うようにすることも可能である。このような場合、相対的に遅い演算周期の監視項目の監視によって、相対的に早い演算周期の監視項目の監視が妨げられる懸念があるものの、その回路規模のより好適な抑制を図ることができるようになる。
・自己監視部113によって実行される監視項目として、5つの監視項目を例示したが、その内容や項目数については任意である。例えば、その実行に一致比較を用いる複数の監視項目のみを上記自己監視部113が実行するようにしてもよい。このような場合であれ、演算周期の近似する監視項目ごとに上記ディジタル回路ブロックを用意するようにすれば、監視対象の異常をより早期に検出、判定することができるようになる。また、ディジタル回路ブロックにて上記マイクロコンピュータから送信される演算結果の合算値とその期待値とを一致比較するようにすれば、モニタモジュールにかかる演算負荷の低減を図ることができるようになる。
・ディジタル回路ブロックの1つを共用して、監視態様の共通する監視対象の演算結果とその期待値とを比較することにより自己監視部113を監視する電子制御装置であれば、多くの監視機能を備えるモニタモジュール120を専用のディジタル回路によって実現する場合であれ、その回路規模の好適な抑制を図ることはできる。この意味では、上記通信機能が適正か否かの判断や、モジュール監視部115によるモニタモジュール120の異常判定については、必ずしも行わなくてもよい。また、上記自己監視部113による制御部112の監視と、上記モニタモジュール120による自己監視部113の監視とについても、必ずしも並行して実行しなくてもよい。
・監視対象としては、機関の運転状態とともに演算結果の値がその都度変化する監視対象等、適宜の対象を設定することができる。
この発明の一実施の形態にかかる電子制御装置について、制御対象となるモータとの関係も含め、その全体構成を示すブロック図。 同実施の形態の自己監視部によって行われるROMチェックの具体態様について示すブロック図。 (a)及び(b)は、同実施の形態の自己監視部によって行われるRAMチェックの具体態様について示すブロック図。 同実施の形態の自己監視部によって行われるインストラクション検査の具体態様について示すブロック図。 同実施の形態の自己監視部によって行われるフロー検査の具体態様について示すブロック図。 同実施の形態の自己監視部によって行われるシステムチェックの具体態様について示すブロック図。 ROMチェックが実施されるときに演算された値である演算結果及びその期待値の送信処理を示すフローチャート。 システムチェックが実施されるときに演算された値である演算結果及びその期待値の送信処理を示すフローチャート。 RAMチェック、インストラクション検査、フロー検査の各実行に用いられた演算結果の合算値とその期待値の送信処理を示すフローチャート。 同実施の形態のマイクロコンピュータの通信部が送信するデータのデータ構造。 同実施の形態のモニタモジュール(ディジタル回路ブロック)についてその内部構造を示すブロック図。 一致比較を用いて監視するディジタル回路ブロックによって行われる自己監視部の異常判定処理についてその処理手順を示すフローチャート。 大小比較を用いて監視するディジタル回路ブロックによって行われる自己監視部の異常判定処理についてその処理手順を示すフローチャート。 同実施の形態のモジュール監視部によって行われるモニタモジュールの異常判定処理についてその処理手順を示すフローチャート。 (a)〜(h)は、当該電子制御装置が行うスロットルバルブのフェールセーフ処理についてその処理態様を示すタイミングチャート。 (a)〜(j)は、当該電子制御装置が行うスロットルバルブのフェールセーフ処理についてその処理態様を示すタイミングチャート。 ディジタル回路ブロックの別例を示すブロック図。 従来の電子制御装置についてその全体構成を示すブロック図。
符号の説明
100…電子制御装置、110…マイクロコンピュータ、111…入力部、112…制御部、1121…プログラムメモリ、1122…データRAM、112a〜112f…領域、113…自己監視部、114、122…通信部、115…モジュール監視部、120…モニタモジュール、121…判定回路、121a〜121c、321…ディジタル回路ブロック、123…ブロック切替部、124…OR回路、125…クロック発生器、126…基準カウンタ、130…駆動回路、151…Aレジスタ、152…Bレジスタ、153、353…第1の比較器、154…データ異常カウンタ、155、158…メモリ、156…第2の比較器、157…通信異常カウンタ、159…第3の比較器、352…期待値レジスタ、M…モータ、T1、T2…出力端子、T3…電源端子、T4…接地端子。

Claims (15)

  1. 車両の運転状態を示す入力信号に基づき車載アクチュエータを駆動制御する制御機能と、同一入力信号をもとにこの制御機能が適正に機能しているか否かを監視する監視機能とを有するマイクロコンピュータに対し、前記監視機能が適正に機能しているか否かを専用のディジタル回路を通じてさらに監視するモニタモジュールが通信可能に接続されてなる電子制御装置であって、
    前記監視機能は、前記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素を監視対象としてその監視を行うとともに、前記マイクロコンピュータは、それら監視対象における監視態様の違いの別に識別子を付与しつつ、同監視対象となる内容に応じた演算結果と該演算結果として本来得られるべき値である期待値とを前記モニタモジュールに送信し、前記モニタモジュールは、前記監視対象の監視態様の違いの別に複数のディジタル回路ブロックを一体に有し、前記監視対象のうち、監視態様の共通する監視対象の演算結果とその期待値については、前記識別子に基づき前記ディジタル回路ブロックの1つを共用して該当する演算結果とその期待値とを比較することにより前記監視機能が適正に機能しているか否かを監視する
    ことを特徴とする電子制御装置。
  2. 前記監視対象における監視態様の違いの別がそれら監視対象の比較態様の別であり、前記モニタモジュールは、前記監視対象の監視態様の違いの別に設けられる複数のディジタル回路ブロックとして、前記演算結果とその期待値との一致比較を行う第1のブロックと、前記演算結果とその期待値との大小比較を行う第2のブロックとを有し、前記監視対象のうち、前記比較態様の共通する監視対象の演算結果とその期待値については、前記識別子に基づきそれらブロックの一方を共用して該当する演算結果とその期待値との比較に基づく監視を行う
    請求項1に記載の電子制御装置。
  3. 前記マイクロコンピュータは、前記比較態様が一致比較として共通する監視対象についてはそれら各監視対象の演算結果の合算値と該合算値として本来得られるべき値である期待値とを前記モニタモジュールに送信し、前記モニタモジュールは、これら送信される合算値とその期待値とを前記第1のブロックを通じて一致比較することにより前記比較態様が一致比較として共通する監視対象の適否を一括して監視する
    請求項2に記載の電子制御装置。
  4. 前記監視機能の監視対象となる前記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素が、前記マイクロコンピュータが内蔵する読み出し専用のプログラムメモリに格納されている前記制御機能によって実行される制御プログラムの適正性、及び前記マイクロコンピュータが内蔵するデータRAMに前記制御機能による演算結果として格納されているデータの適正性、及び固定値として予め登録されているシミュレーション用データの前記制御機能による演算値の適正性、及び前記制御機能によって読み出し要求される関数の順序の適正性、及び前記車両の運転状態を示す入力信号に基づき前記制御機能によって演算された演算値の適正性の少なくとも2つの要素である
    請求項1〜3のいずれか一項に記載の電子制御装置。
  5. 前記監視対象における監視態様の違いの別がそれら監視対象の演算周期の長短の別であり、前記モニタモジュールは、前記監視対象の監視態様の違いの別に設けられる複数のディジタル回路ブロックとして、前記監視対象のうちの演算周期の相対的に短い監視対象について前記演算結果とその期待値との一致比較を行う高速用ブロックと、同複数種の監視対象のうちの演算周期の相対的に長い監視対象について前記演算結果とその期待値との一致比較を行う低速用ブロックとを有し、前記監視対象のうち、前記演算周期の近似する監視対象の演算結果とその期待値については、前記識別子に基づきそれらブロックの一方を共用して該当する演算結果とその期待値との比較に基づく監視を行う
    請求項1〜3のいずれか一項に記載の電子制御装置。
  6. 前記マイクロコンピュータは、前記演算周期の相対的に短い監視対象として共通する監視対象についてはそれら各監視対象の演算結果の合算値と該合算値として本来得られるべき値である期待値とを前記モニタモジュールに送信し、前記モニタモジュールは、これら送信される合算値とその期待値とを前記高速用ブロックを通じて一致比較することにより前記演算周期の相対的に短い監視対象として共通する監視対象の適否を一括して監視する
    請求項5に記載の電子制御装置。
  7. 前記監視機能の監視対象となる前記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素が、前記マイクロコンピュータが内蔵するデータRAMに前記制御機能による演算結果として格納されているデータの適正性、及び固定値として予め登録されているシミュレーション用データの前記制御機能による演算値の適正性、及び前記制御機能によって読み出し要求される関数の順序の適正性、及び前記車両の運転状態を示す入力信号に基づき前記制御機能によって演算された演算値の適正性の少なくとも1つの要素と、前記マイクロコンピュータが内蔵する読み出し専用のプログラムメモリに格納されている前記制御機能によって実行される制御プログラムの適正性である
    請求項5または6に記載の電子制御装置。
  8. 前記マイクロコンピュータは、前記監視機能による前記制御機能の監視と並行して当該監視対象となる内容に応じた演算結果と該演算結果として本来得られるべき値である期待値とを前記モニタモジュールに送信する
    請求項1〜7のいずれか一項に記載の電子制御装置。
  9. 前記モニタモジュールは、前記演算結果とその期待値との比較の結果、それら両者が不一致となっている期間が所定の判定期間を超えることに基づいて前記監視機能が適正に機能していない旨を判定する
    請求項1〜8に記載の電子制御装置。
  10. 前記モニタモジュールは、前記ディジタル回路の動作基準となるクロックに基づきカウントアップされるとともに前記演算結果とその期待値との比較の結果が一致していることに基づいてクリアされるデータ異常カウンタを備え、該データ異常カウンタによるカウンタ値が所定の判定値を超えることに基づいて前記演算結果とその期待値とが不一致となっている期間が所定の判定期間を超えた旨を判断する
    請求項9に記載の電子制御装置。
  11. 前記モニタモジュールは、前記演算結果とその期待値とが受信されない期間が所定の判定期間を超えることに基づいて前記マイクロコンピュータとの通信機能が適正に機能していない旨を判定する
    請求項1〜10のいずれか一項に記載の電子制御装置。
  12. 前記モニタモジュールは、前記ディジタル回路の動作基準となるクロックに基づきカウントアップされるとともに前記演算結果とその期待値とが受信されることに基づいてクリアされる通信異常カウンタを備え、該通信異常カウンタによるカウンタ値が所定の判定値を超えることに基づいて前記マイクロコンピュータとの通信機能が適正に機能していない旨を判定する
    請求項11に記載の電子制御装置。
  13. 前記モニタモジュールは、前記ディジタル回路の動作基準となるクロックに基づきカウントアップされる基準カウンタをさらに備え、前記マイクロコンピュータは、この基準カウンタによるカウンタ値を取り込んで前記モニタモジュールが適正に機能しているか否かを監視するモジュール監視部をさらに備える
    請求項10または12に記載の電子制御装置。
  14. 前記モジュール監視部は、前記基準カウンタによるカウンタ値を定期的に取り込み、該取り込んだカウンタ値の変化しない期間が所定の判定期間を超えることに基づいて前記モニタモジュールが適正に機能していない旨を判定する
    請求項13に記載の電子制御装置。
  15. 請求項1〜14のいずれか一項に記載の電子制御装置において、
    前記車載アクチュエータがスロットルバルブの開度を調量するモータであり、当該電子制御装置は、該モータを駆動する駆動回路と、前記マイクロコンピュータの監視機能及び前記モニタモジュールの少なくとも一方を通じてその監視対象となる機能が適正に機能していない旨が判定されることに基づき前記駆動回路に対する給電を停止する手段とをさらに備える
    ことを特徴とする電子制御装置。
JP2005183832A 2005-06-23 2005-06-23 電子制御装置 Pending JP2007002759A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2005183832A JP2007002759A (ja) 2005-06-23 2005-06-23 電子制御装置
US11/472,425 US7612464B2 (en) 2005-06-23 2006-06-22 Electronic control system with malfunction monitor
DE102006028695.2A DE102006028695B4 (de) 2005-06-23 2006-06-22 Elektronisches Steuersystem mit Fehlfunktionsüberwachung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005183832A JP2007002759A (ja) 2005-06-23 2005-06-23 電子制御装置

Publications (1)

Publication Number Publication Date
JP2007002759A true JP2007002759A (ja) 2007-01-11

Family

ID=37688603

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005183832A Pending JP2007002759A (ja) 2005-06-23 2005-06-23 電子制御装置

Country Status (1)

Country Link
JP (1) JP2007002759A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014224501A (ja) * 2013-05-16 2014-12-04 トヨタ自動車株式会社 故障診断装置
JP2018106367A (ja) * 2016-12-26 2018-07-05 アンデン株式会社 負荷駆動装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014224501A (ja) * 2013-05-16 2014-12-04 トヨタ自動車株式会社 故障診断装置
JP2018106367A (ja) * 2016-12-26 2018-07-05 アンデン株式会社 負荷駆動装置

Similar Documents

Publication Publication Date Title
JP4483720B2 (ja) 電子制御装置
US7251551B2 (en) On-vehicle electronic control device
KR101581403B1 (ko) 2개 이상의 마이크로 컨트롤러의 모니터링 방법
US7305587B2 (en) Electronic control unit for monitoring a microcomputer
US10217299B2 (en) Vehicular information communication system and vehicular information communication method
JP4396588B2 (ja) 電子制御装置
JP2016141160A (ja) 電子制御装置及び電子制御システム
US10946892B2 (en) Electric power steering apparatus having increased number of sensor signals for safety enhancement
JP5541246B2 (ja) 電子制御ユニット
WO2019159615A1 (ja) 車両監視システム
JP2006253921A (ja) 車両用ネットワークシステム
EP2479672B1 (en) Vehicle electronic control device
US20060236844A1 (en) Control system and method for validating operation of the control system
EP1712424A2 (en) Vehicle control apparatus
JP2007002759A (ja) 電子制御装置
US7903539B2 (en) Electronic control unit
JP4042790B2 (ja) 電気機器および電気機器における通信機能正常判定方法
JP6717184B2 (ja) 車載制御装置
JP2013242708A (ja) 電子制御装置
CN108073489B (zh) 确保计算器的操作的方法
JP2006195739A (ja) 電子制御装置
JP2015112962A (ja) 情報処理装置
JP2021076949A (ja) 車両用制御装置
JP7486460B2 (ja) 電子制御装置及び故障情報の消去方法
KR102342720B1 (ko) 농업용 기계를 관리하는 방법 및 그 전자 장치