JP2010049367A - 制御装置、及び、その制御方法 - Google Patents

制御装置、及び、その制御方法 Download PDF

Info

Publication number
JP2010049367A
JP2010049367A JP2008211214A JP2008211214A JP2010049367A JP 2010049367 A JP2010049367 A JP 2010049367A JP 2008211214 A JP2008211214 A JP 2008211214A JP 2008211214 A JP2008211214 A JP 2008211214A JP 2010049367 A JP2010049367 A JP 2010049367A
Authority
JP
Japan
Prior art keywords
operation type
type information
microcomputer
storage unit
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2008211214A
Other languages
English (en)
Inventor
Masanori Akaza
雅憲 赤座
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Ten Ltd
Original Assignee
Denso Ten Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Ten Ltd filed Critical Denso Ten Ltd
Priority to JP2008211214A priority Critical patent/JP2010049367A/ja
Publication of JP2010049367A publication Critical patent/JP2010049367A/ja
Withdrawn legal-status Critical Current

Links

Images

Abstract

【課題】動作タイプに基づいて処理を行う制御装置の信頼性の向上を図る。
【解決手段】
本発明は、被制御部を制御する制御装置であって、制御装置の実行部の動作タイプを示す情報である動作タイプ情報を記憶する記憶部と、記憶部が記憶する動作タイプ情報と外部信号により設定される動作タイプ情報とに基づいて記憶部の異常を検出する異常検出処理を実行する実行部とを備え、異常検出処理は、動作タイプ判定処理と、異常判定処理とを含むことを特徴とする制御装置である。
【選択図】図5

Description

本発明は、制御装置、及び、その制御方法に関する。
従来、動作タイプを示す情報に基づいて、制御ソフトウェア(以下、ファームウェアと略記する。)の動作を切り替える制御装置がある。例えば、この装置は、動作タイプを示す情報に基づいて、ファームウェアのメイン処理とサブ処理の動作を切り替える。この装置によれば、動作タイプの違いによらず、ファームウェアを共通にすることができる。また、メイン処理を行う制御装置、及び、サブ処理を行う制御装置を共に備える装置を容易に実現することができる。そのため、コストの低減に効果がある。
一方、ソフトウェアをCPU(Central Processing Unit)の種類に応じて適宜切り替える装置が知られている(例えば、特許文献1)。この装置は、複数のCPUを備え、それぞれのCPUに適合する複数のソフトウェアを切り替えて利用する場合に、手動によりCPUを設定するのではなくて、ソフトウェアに付加されたCPU識別情報によりCPUを自動的に切り替える。この装置によれば、手動によるCPUの設定の煩わしさを無くすことができる。
特開平5−88856号公報
動作タイプを示す情報に基づいて、ファームウェアの動作を切り替える制御装置は、記憶部の異常により動作タイプを示す情報が不正となった場合、記憶部の異常を検出できず、不正な動作タイプを示す情報に基づいて処理を行ってしまう場合があった。例えば、ファームウェアのメイン処理を行うべき制御装置が、記憶部の異常により、誤ってファームウェアのサブ処理を行ってしまう場合があった。
本発明は、上記課題に鑑みなされたものであり、動作タイプに基づいて処理を行う制御装置の信頼性の向上を図ることを目的とする。
本制御装置は、被制御部を制御する制御装置であって、制御装置の実行部の動作タイプを示す情報である動作タイプ情報を記憶する記憶部と、前記記憶部が記憶する動作タイプ情報と、外部信号により設定される動作タイプ情報とに基づいて前記記憶部の異常を検出する異常検出処理を実行する前記実行部とを備えることを特徴とする。
本制御装置の制御方法は、被制御部を制御する制御装置であって、記憶部が記憶する制御装置の実行部の動作タイプを示す情報である動作タイプ情報と、外部信号により設定される動作タイプ情報とに基づいて前記記憶部の異常を検出する処理を実行する実行ステップを備えることを特徴とする。
本発明によれば、動作タイプを示す情報に基づいて処理を行う制御装置は、記憶部の異常により動作タイプを示す情報が不正となった場合、記憶部の異常を検出することができる。よって、制御装置が不正な動作タイプを示す情報に基づいて処理を行うことを防止することができ、信頼性の向上に効果がある。
以下、本発明の最良の実施形態について、本発明の制御装置であるマイコンを備えるECU(Electronic Control Unit:電子制御装置)を複数備える車両装置を例として、添付図面を参照しつつ説明する。
図1を参照に、車両装置の構成を説明する。図1は、車両装置10の構成の一例を示すブロック図である。エンジン制御ECU11は、吸気バルブ制御ECU12と、車両ネットワーク14を介して接続される。エンジン制御ECU11は、その他のECU15及びエコランECU16と、車両ネットワーク18を介して接続される。エコランECU16は、スタータ20の制御を行う。エンジン制御ECU11は、エアコンECU22、メータECU24、ABS(Antilocked Braking System)制御ECU26、電動パワーステアリング制御ECU28及びエアバッグ制御ECU30と、車両ネットワーク32を介して接続される。
各ECUは、それぞれ各種センサ又は各種ボタン等から取得した信号に基づいて対象物を制御する。例えば、エンジン制御ECU11は、各種センサ等から取得した信号に基づいてエンジンを制御する。その他については説明を省略する。
図2を参照に、ECUのハードウェア構成を説明する。図2は、ECUの一例として、2つのマイコン及び電源IC(Integrated Circuit)を備えるECUのハードウェア構成を示すブロック図である。ECU40は、メイン処理を行うメインマイコン50a、サブ処理を行うサブマイコン50b、及び、電源IC70を有する。
メインマイコン50aは、実行部52a、RAM58a、フラッシュROM54a、入出力ポート(以下、IOポートと略記する。)56a、正常通知信号送信ポート87a、シリアルポート95a、スタンバイRAM60a、正常通知信号受信ポート81a、リセット信号送信ポート78a、低電圧通知信号受信ポート86a、及び、リセット信号受信ポート79aを有し、これらは互いにバス68aを介して接続される。
サブマイコン50bは、実行部52b、RAM58b、フラッシュROM54b、IOポート56b、正常通知信号送信ポート87b、シリアルポート95b、スタンバイRAM60b、低電圧通知信号受信ポート86b、及び、リセット信号受信ポート79bを有し、これらは互いにバス68bを介して接続される。
電源IC70は、電源供給部72、低電圧監視部74、低電圧通知信号送信ポート94、正常通知信号受信ポート85、マイコン暴走監視部78、及び、リセット信号送信ポート84を有する。
実行部52a及び52bは、ファームウェアを実行するCPUである。
RAM58a及び58bは、DRAM(Dynamic RAM)等の揮発性メモリである。
スタンバイRAM60a及び60bは、揮発性メモリであって、電源が常時供給されるメモリであり、後述するマイコンの動作タイプを示す情報を記憶する。
フラッシュROM54a及び54bは、EPROM(Erasable Programmable ROM)等の電気的に消去、書き換えができるメモリであり、例えば、実行部52a及び52bが実行するファームウェアやシステム動作に必要な初期パラメータ等を記憶する。
IOポート56a及び56bは、それぞれIOポート設定回路64a及び64bと接続される。IOポート設定回路64a及び64bは、それぞれIOポート56a及び56bに対してマイコンの動作タイプを示す情報を設定する。
メインマイコン50a及びサブマイコン50bは、それぞれ不揮発性メモリであるEEPROM(Electrically Erasable Programmable ROM)66a及び66bと接続される。EEPROM66a及び66bには、マイコンの動作タイプを示す情報が、例えば、工場出荷時等に予め記憶される。
実行部52aは、正常通知信号送信ポート87b、及び、正常通知信号受信ポート81aを介して、所定の周期で通知される正常通知信号80を監視する。実行部52aは、所定時間を経過しても正常通知信号80が通知されない場合に、サブマイコン50bに異常が発生したと判断する。実行部52aは、リセット信号送信ポート78a、及び、リセット信号受信ポート79bを介して、リセット信号82を送信して、サブマイコン50bをリセットする。
マイコン暴走監視部78は、正常通知信号送信ポート87a、及び、正常通知信号受信ポート85を介して、所定の周期で通知される正常通知信号90を監視する。実行部52aは、所定の時間を経過しても正常通知信号90が通知されない場合に、メインマイコン50aに異常が発生したと判断する。マイコン暴走監視部78は、リセット信号送信ポート84、及び、リセット信号受信ポート79aを介して、リセット信号88を送信して、メインマイコン50aをリセットする。
メインマイコン50aとサブマイコン50bとは、シリアルポート95a及び95bを介して、マイコン間通信を行う。マイコン間通信では、例えば、ECU40の起動時におけるイニシャル処理において、メインマイコン50aとサブマイコン50bとが、必要な制御やデータの通信を行う。
電源供給部72は、メインマイコン50a及びサブマイコン50bに対して、電源を供給する。
低電圧監視部74は、電源供給部72の電圧を監視する。低電圧監視部74は、電源供給部72の電圧が低電圧となった場合に、低電圧通知信号送信ポート94、並びに、低電圧通知信号受信ポート86a及び86bを介して、低電圧通知信号83を送信する。メインマイコン50a及びサブマイコン50bは、低電圧通知信号83を受信すると、例えば、処理途中のデータをメモリへ退避してデータを保護する等の処理を行う。
マイコンの動作タイプを示す情報について説明する。マイコンの動作タイプを示す情報とは、マイコンである実行部が、自身を認識するための情報である。マイコンである実行部は、自身のマイコンの動作タイプを示す情報に基づいて、ファームウェアが含む複数の処理を選択的に実行する。例えば、メインマイコン50aの場合、IOポート設定回路64aが、IOポート56aに対して、メインマイコン50aに対応する動作タイプを示す情報を設定する。メインマイコン50aの実行部52aは、IOポート56aを確認することにより、自身がメインマイコン50aであると認識し、ファームウェア内のメインマイコン50a用の処理(例えばエンジン制御の処理)を実行する。同様に、サブマイコン50bの実行部52bは、自身がサブマイコン50bであると認識し、ファームウェア内のサブマイコン50b用の処理(例えば変速制御の処理)を実行する。ここで、ファームウェアは、メインマイコン50a用の処理とサブマイコン50b用の処理の両方を記した同一のファームウェアである。ファームウェアは、フラッシュROM54a及び54bに記憶される。
図3及び図4を参照に、マイコンの動作タイプを設定するIOポート設定回路64aの一例を説明する。IOポート設定回路64bについてはIOポート設定回路64aと同様のため、説明を省略する。
図3は、IOポート56aが含む2つのIOポートX及びYを用いて、4つのマイコンの動作タイプを示す情報を設定する場合に、IOポートX及びYに設定される信号の組み合わせとマイコンの動作タイプを示す情報の対応関係を示す表である。図3を参照に、例えば、IOポートXがLレベル信号、IOポートYがLレベル信号に設定される場合、マイコンの動作タイプを示す情報はマイコンタイプ1であることを示す。
図4は、図3に示した各動作タイプを示す情報に対応する信号をIOポートX及びYに設定するIOポート設定回路64aの回路構成の一例である。図4の回路93において、例えば、回路基板のパターンカット等により、抵抗R1、R2、R3及びR4のうちいずれか2つをアクティブと設定することにより、マイコンタイプ1から4に対応する信号をIOポートX96及びY97に設定することができる。Hレベル信号に対応する電圧を5V、Lレベル信号に対応する電圧を0Vとする。回路93がマイコンタイプ1に対応する信号を設定する場合、抵抗R1及びR3をアクティブにすると、抵抗R1及びR3は接地されるため、IOポートX96がLレベル信号、IOポートY97がLレベル信号に設定される。回路93がマイコンタイプ2に対応する信号を設定する場合、抵抗R1及びR4をアクティブにすると、抵抗R1は接地され、抵抗R4は電源5Vに接続されるため、IOポートX96がLレベル信号、IOポートY97がHレベル信号に設定される。回路93がマイコンタイプ3に対応する信号を設定する場合、抵抗R2及びR3をアクティブにすると、抵抗R2は電源5Vに接続され、抵抗R3は接地されるため、IOポートX96がHレベル信号、IOポートY97がLレベル信号に設定される。回路93がマイコンタイプ4に対応する信号を設定する場合、抵抗R2及びR4をアクティブにすると、抵抗R2及びR4は電源5Vに接続されるため、IOポートX96がHレベル信号、IOポートY97がHレベル信号に設定される。
図5を参照に、実施例1に係るECU40の機能を説明する。図5は、実施例1に係るECU40の機能ブロックを説明するブロック図である。
メインマイコン50aに関する機能を説明する。
スタンバイRAM60aは、動作タイプを示す情報である動作タイプ情報106aを記憶する。
IOポート56aは、図3及び図4に示したIOポートX96及びY97を含む。IOポート設定回路64aからIOポート56aのIOポートX96及びY97に対して、動作タイプを示す情報である動作タイプ情報108aが設定される。
異常検出部120a、動作タイプ不正判定部122a、復旧部118a、正常通知信号発生部124a、マイコン暴走監視部62a、及び、マイコンリセット部63aは、実行部52aに対応する。
異常検出部120aは、動作タイプ判定部114aと異常判定部116aとを有する。動作タイプ判定部114aは、スタンバイRAM60aが記憶する動作タイプ情報106aと、IOポート設定回路64aが出力する外部信号により設定される動作タイプ情報108aとが一致するか否かを判定する。異常判定部116aは、動作タイプ判定部114aで動作タイプ情報106aと動作タイプ情報108aとが一致しない場合に、スタンバイRAM60aが異常であると判定する。
動作タイプ不正判定部122aは、動作タイプ情報106aが動作タイプを示す情報のいずれかであるか否かを判定する。
復旧部118aは、動作タイプ不正判定部122aで動作タイプ情報106aが不正である場合に、動作タイプ情報106aを、EEPROM66aから読み出した動作タイプ情報110aにより復旧する。また、EEPROM66aから動作タイプ情報110aが正常に読み出せない場合、動作タイプ情報106a及び動作タイプ情報110aを、動作タイプ情報108aにより復旧する。
正常通知信号発生部124aは、電源IC70へ所定の周期で正常通知信号90を送信する。図2を参照に、正常通知信号90は、正常通知信号送信ポート80a及び正常通知信号受信ポート85を介して送信される。正常通知信号発生部124aは、異常判定部116aからスタンバイRAM60aが異常であることを通知された場合、電源IC70へ正常通知信号90を通知することを中断する。
マイコン暴走監視部62aは、サブマイコン50bから所定の周期で通知される正常通知信号80を監視する。サブマイコン50bからの正常通知信号80が途絶えた場合、マイコン暴走監視部62aは、マイコンリセット部63aへサブマイコン50bのリセットを行うように指示する。
マイコンリセット部63aは、マイコン暴走監視部62aからの指示を受けて、サブマイコン50bをリセット信号82によりリセットする。図2を参照に、リセット信号82は、リセット信号送信ポート78a及びリセット信号受信ポート79bを介して送信される。
サブマイコン50bの機能を説明する。
正常通知信号発生部124bは、メインマイコン50aへ所定の周期で正常通知信号80を通知する。図2を参照に、正常通知信号80は、正常通知信号送信ポート80b及び正常通知信号受信ポート81aを介して送信される。正常通知信号発生部124bは、異常判定部116bからスタンバイRAM60bが異常であることを通知された場合、メインマイコン50aへ正常通知信号80を通知することを中断する。
サブマイコン50bは、他のマイコンの暴走監視は行わないため、メインマイコン50aのマイコン暴走監視部62a及びマイコンリセット部63aに対応する機能は含まない。
サブマイコン50bのその他の機能については、メインマイコン50aと同様のため、説明を省略する。
電源IC70の機能を説明する。
マイコン暴走監視部78は、メインマイコン50aから所定の周期で通知される正常通知信号90を監視する。メインマイコン50aからの正常通知信号90が途絶えた場合、マイコン暴走監視部78は、マイコンリセット部76へメインマイコン50aのリセットを行うように指示する。
マイコンリセット部76は、マイコン暴走監視部78からの指示を受けて、メインマイコン50aをリセット信号88によりリセットする。図2を参照に、リセット信号88は、リセット信号送信ポート84及びリセット信号受信ポート79aを介して送信される。
図6を参照に、メインマイコン50aの実行部52a、及び、サブマイコン50bの実行部52bが実行する異常検出処理を説明する。図6は、異常検出処理の一例を示すフローチャートである。
以下の説明では、メインマイコン50aに対応するマイコンの動作タイプを示す情報は、マイコンタイプ1とする。また、サブマイコン50bに対応するマイコンの動作タイプを示す情報は、マイコンタイプ2とする。
メインマイコン50aの実行部52aが異常検出処理を実行する場合を説明する。動作タイプ判定部114aは、図3及び図4を参照に、IOポート56aのIOポートX96及びY97に設定された信号を読み出す(ステップS10)。IOポートX96及びY97に設定される信号の組み合わせに基づいて(ステップS11、S12及びS13)、動作タイプ情報を判定する(ステップS14、S16、S18及びS20)。ステップS11、S12、S13、S14、S16、S18及びS20では、図3に示した、IOポートX及びYに設定される信号の組み合わせとマイコンの動作タイプを示す情報の対応関係を示す表に基づいて、動作タイプ情報を判定する例を示している。メインマイコン50aに対応するマイコンの動作タイプを示す情報は、マイコンタイプ1であるため、ステップS11のYES、及び、ステップS14が実行される。
動作タイプ判定部114aは、スタンバイRAM60aから動作タイプ情報106aを読み出す(ステップS22)。動作タイプ判定部114aは、スタンバイRAM60aが記憶する動作タイプ情報106aと、IOポート設定回路64aが出力する外部信号により設定される動作タイプ情報108aとが一致するか否かを判定する(ステップS24)。ステップS24がYESの場合、動作タイプ判定部114aは、動作タイプ情報と正常ステータスとを、内部変数に保存し(ステップS26)、終了する。
ステップS24がNOの場合、異常判定部116aは、動作タイプ情報106aが異常であるため、スタンバイRAM60aが異常であると判定して(ステップS28)、復旧部118aに動作タイプ情報106aの復旧を指示する。動作タイプ情報106aが異常であるとは、例えば、ノイズや電圧異常によりデータが壊れた状態である等が挙げられる。復旧部118aは、異常判定部116aからの指示を受けて、異常である動作タイプ情報106aを、正常である動作タイプ情報108aに書き換えることにより、動作タイプ情報106aを復旧する(ステップS30)。そして、復旧部118aは、異常ステータスを、内部変数に保存し(ステップS32)、終了する。以上が、異常検出処理の説明である。
サブマイコン50bが異常検出処理を実行する場合については、ステップS14の代わりに、ステップS16が実行されることを除いて、メインマイコン50aが異常検出処理を実行する場合と同様のため、説明を省略する。
図7及び図8を参照に、図6の異常検出処理に対して、動作タイプ不正判定処理、及び、復旧処理を追加した処理を説明する。図7及び図8は、図6の異常検出処理に対して、動作タイプ不正判定処理、及び、復旧処理を追加した処理の一例を示すフローチャートである。
メインマイコン50aが図7及び図8に示す処理を実行する場合を説明する。図7のステップS10〜S22については、図6と同様のため説明を省略し、以下、図8について説明する。
ステップS22に続いて、動作タイプ不正判定部122aは、動作タイプ情報106aが動作タイプを示す情報のいずれかであるか否かを判定する(ステップS40)。すなわち、動作タイプ不正判定部122aは、動作タイプ情報106aがマイコンタイプ1から4のいずれかであるか否かを判定する。ステップS40がYESの場合、後に続くステップS24以降の処理は、図6と同様のため、説明を省略する。
ステップS40がNOの場合、動作タイプ不正判定部122aは、動作タイプ情報106aが異常であるため、スタンバイRAM60aが異常であると判定する(ステップS42)。復旧部118aは、EEPROM66aから動作タイプ情報110aを読み出す(ステップS44)。復旧部118aは、EEPROM66aから動作タイプ情報110aを正常に読み出すことができたか確認する(ステップS46)。例えば、EEPROM66aの3箇所に動作タイプ情報110aを記憶し、3箇所の動作タイプ情報110aが全て一致する場合に、EEPROM66aから動作タイプ情報110aを正常に読み出すことができたと判定する。
ステップS46がYESの場合、復旧部118aは、異常である動作タイプ情報106aを、正常である動作タイプ情報110aに書き換えることにより、動作タイプ情報106aを復旧する(ステップS48)。ステップS48に続くステップS24以降の処理は、図6と同様のため、説明を省略する。
ステップS46がNOの場合、復旧部118aは動作タイプ情報110aが異常であるため、EEPROM66aが異常であると判定する(ステップS50)。復旧部118aは、異常である動作タイプ情報110aを、正常である動作タイプ情報108aに書き換えることにより、動作タイプ情報110aを復旧する(ステップS52)。ステップS52に続くステップS28以降の処理は、図6と同様のため、説明を省略する。以上が、図8に示す処理の説明である。
サブマイコン50bが図7及び図8に示す処理を実行する場合については、図6の場合と同様に、ステップS14の代わりに、ステップS16が実行されることを除いて、メインマイコン50aが図7及び図8に示す処理を実行する場合と同様のため、説明を省略する。
図9を参照に、異常検出処理を利用した処理の一例として、ECU40の起動時にメインマイコン50aの実行部52a及びサブマイコン50bの実行部52bが実行するイニシャル処理を説明する。以下、メインマイコン50aの実行部52aがイニシャル処理を実行する場合について説明する。サブマイコン50bの場合については、メインマイコン50aの場合と同様のため、省略する。
実行部52aは、レジスタの初期化を行う(ステップS60)。実行部52aは、図6に示した異常検出処理を実行する(ステップS62)。実行部52aは、異常検出処理の結果が保存された内部変数を確認して、異常検出処理の結果が正常ステータスであるか否かを判定する(ステップS64)。ステップS64がYESの場合、サブマイコン50bとの間で、イニシャル処理に必要なマイコン通信処理を行い(ステップS66)、終了する。
ステップS64がNOの場合、異常検出処理の結果が異常ステータスであることから、スタンバイRAM60aが故障している可能性がある。そこで、実行部52aは、内部変数である動作タイプ異常カウンタをインクリメントする。実行部52aは、動作タイプ異常カウンタが所定値を超えたか否かを確認する(ステップS70)。
ステップS70がNOの場合、ステップS62に戻り、異常検出処理を再実行する。
ステップS70がYESの場合、異常検出処理における復旧処理を繰り返しても異常が発生することから、スタンバイRAM60aの初期故障、長期使用による磨耗故障等の故障が発生した可能性が高い。また、電圧異常等による偶発故障の場合、スタンバイRAM60a以外の箇所にも異常が発生した可能性が高い。よって、メインマイコン50aをリセットすることが望ましい。そこで、実行部52aは、正常通知信号発生部124aに指示して、正常通知信号90を電源IC70へ通知することを中断する(ステップS71)。実行部52aは、電源IC70によりリセットされたか否かを確認する(ステップS72)。ステップS72がNOの場合、電源IC70によりリセットされるのを待つ。ステップS72がYESの場合、ステップS60に戻り、イニシャル処理を再度実行する。
ステップS71において、メインマイコン50aから電源IC70への正常通知信号90の通知が途絶える。このとき、電源IC70のマイコン暴走監視部78は、メインマイコン50aが異常であると判定して、マイコンリセット部76により、メインマイコン50aをリセットする。以上が、イニシャル処理の説明である。
図10を参照に、メインマイコン50aの実行部52a、及び、サブマイコン50bの実行部52bが実行する正常通知処理を説明する。
正常通知処理は、図5を参照に、メインマイコン50aの実行部52aにより所定の周期(例えば4msの周期)で実行され、正常通知信号90が電源IC70へ送信される。電源IC70はメインマイコン50aから所定の周期で正常通知信号90を受信することで、メインマイコン50aが正常に動作していると判定し、正常通知信号90が途絶えた場合に、メインマイコン50aに異常が発生したと判定する。
また、正常通知処理は、図5を参照に、サブマイコン50bの実行部52bにより所定の周期で実行され、正常通知信号80がメインマイコン50aへ送信される。メインマイコン50aはサブマイコン50bから所定の周期で正常通知信号80を受信することで、サブマイコン50bが正常に動作していると判定し、正常通知信号80が途絶えた場合に、サブマイコン50bに異常が発生したと判定する。
メインマイコン50aの実行部52aが正常通知処理を実行する場合を説明する。正常通知信号発生部124aは、動作タイプがマイコンタイプ1であるか否かを判定する(ステップS76)。メインマイコン50aに対応する動作タイプはマイコンタイプ1であるから、ステップS76のYESに進む。正常通知信号発生部124aは、電源IC70に対して、正常通知信号90を通知する(ステップS78)。正常通知信号発生部124aは、動作タイプがマイコンタイプ2であるか否かを判定する(ステップS80)。メインマイコン50aに対応する動作タイプはマイコンタイプ1であるから、ステップS82のNOに進み、終了する。
サブマイコン50bの実行部52bが正常通知処理を実行する場合を説明する。正常通知信号発生部124bは、動作タイプがマイコンタイプ1であるか否かを判定する(ステップS76)。メインマイコン50aに対応する動作タイプはマイコンタイプ2であるから、ステップS76のNOに進む。正常通知信号発生部124aは、動作タイプがマイコンタイプ2であるか否かを判定する(ステップS80)。サブマイコン50bに対応する動作タイプはマイコンタイプ2であるから、ステップS80のYESに進む。正常通知信号発生部124bは、メインマイコン50aに対して、正常通知信号80を通知して(ステップS82)、終了する。
図11を参照に、電源IC70、及び、メインマイコン50aの実行部52aが実行するマイコン暴走監視処理を説明する。図11は、マイコン暴走監視処理の一例を示すフローチャートである。図11のマイコン暴走監視処理は、図10の正常通知処理が実行される所定の周期と同じ周期で実行されるとする。以下、メインマイコン50aがマイコン暴走監視処理を実行する場合を説明する。電源IC70の場合については同様のため省略する。
マイコン暴走監視部62aは、サブマイコン50bから正常通知信号が通知されたか否かを判定する(ステップS84)。ステップS84がYESの場合、終了する。
ステップS86がNOの場合、マイコン暴走監視部62aは、サブマイコン50bに異常が発生したと判定して(ステップS86)、マイコンリセット部63aに対して、サブマイコン50bをリセットするように指示する。マイコンリセット部63aは、サブマイコン50bをリセットして(ステップS88)、終了する。以上が、マイコン暴走監視処理の説明である。
実施例1のメインマイコン50aによれば、図6及び図8のステップS24及びS28は、異常検出部120aが実行する異常検出処理に対応する。異常検出処理は、スタンバイRAM60aが記憶する動作タイプ情報106aと、IOポート設定回路64aが出力する外部信号により設定される動作タイプ情報108aとに基づいてスタンバイRAM60aの異常を検出する。異常検出部120aは、動作タイプ判定部114aと異常判定部116aとを有する。図6及び図8のステップS24は、動作タイプ判定部114aが実行する動作タイプ判定処理に対応する。動作タイプ判定処理は、動作タイプ情報106aと、動作タイプ情報108aとが一致するか否かを判定する。図6及び図8のステップS28は、異常判定部116aが実行する異常判定処理に対応する。異常判定処理は、動作タイプ判定部114aで動作タイプ情報106aと動作タイプ情報108aとが一致しない場合に、スタンバイRAM60aが異常であると判定する。サブマイコン50bについても同様である。これにより、スタンバイRAM60a及び60bの異常を検出して、メインマイコン50a及びサブマイコン50bが不正な動作タイプを示す情報に基づいて処理を行うことを防止することができる。よって、信頼性の向上に効果がある。
実施例1のメインマイコン50aによれば、図8のステップS40は、動作タイプ不正判定部122aが実行する動作タイプ不正判定処理に対応する。動作タイプ不正判定処理は、スタンバイRAM60aが記憶する動作タイプ情報106aが、動作タイプを示す情報のいずれかであるか否かを判定する。図6及び図8のステップS30、図8のステップS48及びS52は、復旧部118aが実行する復旧処理に対応する。ステップS30及びS52の復旧処理は、動作タイプ不正判定処理で動作タイプ情報106aが不正である場合に、動作タイプ情報106a、及び、外部の記憶装置であるEEPROM66aが記憶する動作タイプ情報110aを、動作タイプ情報108aにより復旧する。ステップS48の復旧処理は、動作タイプ不正判定処理で動作タイプ情報106aが不正である場合に、動作タイプ情報106aを、動作タイプ情報110aにより復旧する。サブマイコン50bについても同様である。これにより、異常な動作タイプ情報106a及び106bを正常に復旧して、メインマイコン50a及びサブマイコン50bが不正な動作タイプを示す情報に基づいて処理を行うことを防止することができる。よって、信頼性の向上に効果がある。
実施例1のメインマイコン50aによれば、例えば、図9のステップS66のように、実行部52aは、動作タイプ判定処理で動作タイプ情報106aと動作タイプ情報108aとが一致する場合に、動作タイプ情報106aに従って、ソフトウェアが含む複数の処理を選択的に使用し、車両の制御を実行する。サブマイコン50bについても同様である。これにより、メインマイコン50a及びサブマイコン50bは、動作タイプを示す情報が正常であることを確認した後、ソフトウェアが含む複数の処理のうち動作タイプに対応する処理を選択的に使用することができる。従って、不正な動作タイプを示す情報に基づいて車両の制御を実行するといった誤動作を防止することができる。よって、信頼性の向上に効果がある。
実施例1のメインマイコン50aがIOポート56aを備え、IOポート56aに対して、IOポート設定回路64aが出力する外部信号により動作タイプ情報108aが設定される例を説明した。例えば、外部信号を設定できるIOポート以外のポート等を使用してもよい。
実施例1では、メインマイコン50aが異常である場合に、電源IC70がメインマイコン50aをリセットし、サブマイコン50bが異常である場合に、メインマイコン50aがサブマイコン50bをリセットする例を説明した。例えば、メインマイコン50aとサブマイコン50bとが、シリアルポート95a及び95b等によりマイコン間通信を行うことにより、メインマイコン50aが、サブマイコン50bからの正常通知信号に対応する情報を、電源IC70に通知してもよい。これにより、電源IC70がサブマイコン50bからの正常通知信号に対応する情報を監視して、サブマイコン50bが異常である場合に、電源IC70がサブマイコン50bをリセットしてもよい。
以上、本発明の好ましい実施例について詳述したが、本発明は係る特定の実施例に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形、変更が可能である。
図1は、実施例1に係る、車両装置の構成を示すブロック図である。 図2は、実施例1に係る、メインマイコン、サブマイコン及び電源ICを備えるECUのハードウェア構成を示すブロック図である。 図3は、実施例1に係る、IOポートに設定される信号の組み合わせとマイコンの動作タイプを示す情報の対応関係を示す表である。 図4は、IOポート設定回路の一例を示す回路図である。 図5は、実施例1に係る、メインマイコン、サブマイコン及び電源ICを備えるECUの機能ブロック図である。 図6は、実施例1に係る、異常検出処理の一例を示すフローチャートである。 図7は、実施例1に係る、異常検出処理、動作タイプ不正判定処理及び復旧処理の一例を示すフローチャートである。 図8は、実施例1に係る、異常検出処理、動作タイプ不正判定処理及び復旧処理の一例を示すフローチャートである。 図9は、実施例1に係る、イニシャル処理の一例を示すフローチャートである。 図10は、実施例1に係る、正常通知処理の一例を示すフローチャートである。 図11は、実施例1に係る、マイコン暴走監視処理の一例を示すフローチャートである。
符号の説明
52a、 52b 実行部
56a、 56b IOポート
60a、 60b スタンバイRAM
64a、 64b IOポート設定回路
66a、 66b EEPROM
106a、106b スタンバイRAM60a、60bが記憶する動作タイプ情報
108a、108b IOポート設定回路64a、64bが設定する動作タイプ情報
110a、110b EEPROM66a、66bが記憶する動作タイプ情報
120a、120b 異常検出部
114a、114b 動作タイプ判定部
116a、116b 異常判定部
118a、118b 復旧部
122a、122b 動作タイプ不正判定部

Claims (7)

  1. 被制御部を制御する制御装置であって、
    制御装置の実行部の動作タイプを示す情報である動作タイプ情報を記憶する記憶部と、
    前記記憶部が記憶する動作タイプ情報と外部信号により設定される動作タイプ情報とに基づいて前記記憶部の異常を検出する異常検出処理を実行する前記実行部と
    を備えることを特徴とする制御装置。
  2. 前記異常検出処理は、前記記憶部が記憶する動作タイプ情報と前記外部信号により設定される動作タイプ情報とが一致するか否かを判定する動作タイプ判定処理と、前記動作タイプ判定処理で前記記憶部が記憶する動作タイプ情報と前記外部信号により設定される動作タイプ情報とが一致しない場合に、前記記憶部が異常であると判定する異常判定処理とを含むことを特徴とする請求項1に記載の制御装置。
  3. 前記実行部は、前記記憶部が記憶する動作タイプ情報が、前記動作タイプを示す情報のいずれかであるか否かを判定する動作タイプ不正判定処理と、前記動作タイプ不正判定処理で前記記憶部が記憶する動作タイプ情報が不正である場合に、前記記憶部が記憶する動作タイプ情報、及び、外部の記憶装置が記憶する動作タイプ情報を前記外部信号により設定される動作タイプ情報により復旧する復旧処理とを実行することを特徴とする請求項1又は2に記載の制御装置。
  4. 前記実行部は、前記記憶部が記憶する動作タイプ情報が、前記動作タイプを示す情報のいずれかであるか否かを判定する動作タイプ不正判定処理と、前記動作タイプ不正判定処理で前記記憶部が記憶する動作タイプ情報が不正である場合に、前記記憶部が記憶する動作タイプ情報を、外部の記憶装置が記憶する動作タイプ情報により復旧する復旧処理とを実行することを特徴とする請求項1又は2に記載の制御装置。
  5. 前記実行部は、前記動作タイプ判定処理で前記記憶部が記憶する動作タイプ情報と外部信号により設定される動作タイプ情報とが一致する場合に、前記記憶部が記憶する動作タイプ情報に従って、ソフトウェアが含む複数の処理を選択的に実行し、車両の制御を行うことを特徴とする請求項1から4のうちいずれか一項に記載の制御装置。
  6. 前記外部信号により前記動作タイプ情報が設定される入出力ポートを備えることを特徴とする請求項1から5のうちいずれか一項に記載の制御装置。
  7. 被制御部を制御する制御装置であって、記憶部が記憶する制御装置の実行部の動作タイプを示す情報である動作タイプ情報と、外部信号により設定される動作タイプ情報とに基づいて前記記憶部の異常を検出する処理を実行する実行ステップを備えることを特徴とする制御装置の制御方法。
JP2008211214A 2008-08-19 2008-08-19 制御装置、及び、その制御方法 Withdrawn JP2010049367A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008211214A JP2010049367A (ja) 2008-08-19 2008-08-19 制御装置、及び、その制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008211214A JP2010049367A (ja) 2008-08-19 2008-08-19 制御装置、及び、その制御方法

Publications (1)

Publication Number Publication Date
JP2010049367A true JP2010049367A (ja) 2010-03-04

Family

ID=42066415

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008211214A Withdrawn JP2010049367A (ja) 2008-08-19 2008-08-19 制御装置、及び、その制御方法

Country Status (1)

Country Link
JP (1) JP2010049367A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011225067A (ja) * 2010-04-19 2011-11-10 Mitsubishi Electric Corp 車両用盗難防止装置
WO2015068491A1 (ja) * 2013-11-08 2015-05-14 日立オートモティブシステムズ株式会社 車両の制御装置及びフェイルセーフ方法
CN110244594A (zh) * 2018-03-09 2019-09-17 株式会社东芝 I/o扩展装置及控制系统

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011225067A (ja) * 2010-04-19 2011-11-10 Mitsubishi Electric Corp 車両用盗難防止装置
WO2015068491A1 (ja) * 2013-11-08 2015-05-14 日立オートモティブシステムズ株式会社 車両の制御装置及びフェイルセーフ方法
JP2015093498A (ja) * 2013-11-08 2015-05-18 日立オートモティブシステムズ株式会社 車両の制御装置
CN105050859A (zh) * 2013-11-08 2015-11-11 日立汽车系统株式会社 车辆的控制装置以及防故障方法
US9701318B2 (en) 2013-11-08 2017-07-11 Hitachi Automotive Systems, Ltd. Vehicular control device and fail-safe method
CN110244594A (zh) * 2018-03-09 2019-09-17 株式会社东芝 I/o扩展装置及控制系统
JP2019159531A (ja) * 2018-03-09 2019-09-19 株式会社東芝 I/o拡張装置及び制御システム
CN110244594B (zh) * 2018-03-09 2022-07-26 株式会社东芝 I/o扩展装置及控制系统

Similar Documents

Publication Publication Date Title
KR102355424B1 (ko) 차량용 중앙 처리 장치를 제어하는 워치독 회로의 신뢰성을 향상시키는 장치 및 방법
US7408475B2 (en) Power supply monitoring device
US8495433B2 (en) Microcomputer mutual monitoring system and a microcomputer mutual monitoring method
JP5094777B2 (ja) 車載用電子制御装置
JP2008254484A (ja) 車載用通信システム
JP5041290B2 (ja) プログラマブルコントローラおよびその異常時復旧方法
JP2010049367A (ja) 制御装置、及び、その制御方法
KR100711850B1 (ko) 마이크로컴퓨터 감시 금지 기능을 갖는 전자 제어 시스템및 방법
JP5944243B2 (ja) プラント安全装置およびその動作方法
JP4941954B2 (ja) データエラー検出装置およびデータエラー検出方法
JP2016071635A (ja) Ecuの異常監視回路
JP2016126692A (ja) 電子制御装置
JP4812699B2 (ja) 電源制御装置
JPH08178976A (ja) 電源遮断検出装置
JP2011123569A (ja) 処理装置
JP6869743B2 (ja) 自動車用電子制御装置
JP2019214353A (ja) 通信装置及び制御方法
JP2019114244A (ja) 電子制御装置
JP2009289049A (ja) メモリ制御装置
JP2009520290A (ja) 耐故障性があるプロセッサシステム
JP2020156222A (ja) 車載カメラモジュールの電源制御装置
JP2508305B2 (ja) 初期値決定装置
JP2022068946A (ja) 電子制御装置
WO2020039739A1 (ja) 通信端末、通信端末の異常確認方法、通信端末用プログラム
KR102403391B1 (ko) 차량용 에어백 구동장치 및 그 제어방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110801

A072 Dismissal of procedure

Free format text: JAPANESE INTERMEDIATE CODE: A073

Effective date: 20121204

A300 Withdrawal of application because of no request for examination

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20130108