JP2013242708A - 電子制御装置 - Google Patents
電子制御装置 Download PDFInfo
- Publication number
- JP2013242708A JP2013242708A JP2012115657A JP2012115657A JP2013242708A JP 2013242708 A JP2013242708 A JP 2013242708A JP 2012115657 A JP2012115657 A JP 2012115657A JP 2012115657 A JP2012115657 A JP 2012115657A JP 2013242708 A JP2013242708 A JP 2013242708A
- Authority
- JP
- Japan
- Prior art keywords
- microcomputer
- reset
- sub
- signal
- output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】第1マイコンが異常になって正常な第2マイコンをリセットしてしまうことにより第2マイコンによって異常な第1マイコンをリセットすることができなくなってしまうことの防止。
【解決手段】ECU1にて、メインマイコン3とサブマイコン5との各々は、他方のマイコンが異常と判定すると、該他方のマイコンに対するリセット信号を出力するが、メインマイコン3の端子29から出力されるサブマイコン5へのリセット信号は、信号線37を介してサブマイコン5のリセット端子39とは別の入力端子41にリセット予告信号として入力されると共に、遅延回路43により一定時間遅延されてサブマイコン5のリセット端子39に入力される。そして、サブマイコン5は入力端子41にリセット予告信号が入力されると、自身が正常か否かを判定するための自己検査処理を行い、その処理で正常と判定すると、端子31からメインマイコン3へのリセット信号を出力する。
【選択図】図1
【解決手段】ECU1にて、メインマイコン3とサブマイコン5との各々は、他方のマイコンが異常と判定すると、該他方のマイコンに対するリセット信号を出力するが、メインマイコン3の端子29から出力されるサブマイコン5へのリセット信号は、信号線37を介してサブマイコン5のリセット端子39とは別の入力端子41にリセット予告信号として入力されると共に、遅延回路43により一定時間遅延されてサブマイコン5のリセット端子39に入力される。そして、サブマイコン5は入力端子41にリセット予告信号が入力されると、自身が正常か否かを判定するための自己検査処理を行い、その処理で正常と判定すると、端子31からメインマイコン3へのリセット信号を出力する。
【選択図】図1
Description
本発明は、搭載された2つのマイコンが相互に監視するようになっている電子制御装置に関する。
2つのマイコンが相互に監視し合うことで暴走監視機能を高める思想がある(例えば、特許文献1参照)。
ところで、電子制御装置に搭載された第1マイコンと第2マイコンとが相互に監視し合う構成として、本発明者は、各マイコンが、監視対象である他方のマイコンが異常であると判定すると、その他方のマイコンのリセット端子へリセット信号を出力する、という構成を考えた。そして、この構成によれば、2つのマイコンのうちの一方に暴走(プログラム暴走)が生じた場合に、その暴走したマイコンを他方のマイコンによってリセットすることができ、延いては、暴走したマイコンを正常復帰させることが可能となる。
しかし、このように監視し合う2つのマイコンのうちの一方である第1マイコンが、異常となって、正常な他方の第2マイコンに対するリセット信号を出力してしまう場合には、その異常となった第1マイコンをリセットすることができない可能性がある。
つまり、異常となった第1マイコンが第2マイコンに対するリセット信号を繰り返し出力する状態になると、第2マイコンは、第1マイコンの異常を検知して該第1マイコンに対するリセット信号を出力する前に、第1マイコンからのリセット信号によってリセットされてしまい、第1マイコンをリセットすることができなくなってしまう。
そして、例えば、第1マイコンが出力装置を動作させるための制御信号を出力するマイコンである場合に、上記のような状態が発生して第1マイコンのリセットができないと、出力装置の動作が不定になってしまうことから、電子制御装置の信頼性面において好ましくない。
本発明は、こうした問題に鑑みなされたものであり、第1マイコンと第2マイコンとが相互に監視し合う電子制御装置において、第1マイコンが異常になって正常な第2マイコンをリセットしてしまうことにより第2マイコンによって異常な第1マイコンをリセットすることができなくなってしまうこと、を防止することを目的としている。
本発明の電子制御装置において、第1マイコンと第2マイコンとの各々は、他方のマイコンの動作を監視して、該他方のマイコンが異常であると判定すると、該他方のマイコンをリセットするためのリセット信号を出力するようになっている。
そして特に、この電子制御装置では、第1マイコンの端子のうち、第2マイコンに対するリセット信号を出力するための出力端子と、第2マイコンのリセット端子との間に、遅延手段が設けられており、その遅延手段は、第1マイコンの出力端子から出力されるリセット信号を一定時間遅延させて第2マイコンのリセット端子に入力させる。
更に、第1マイコンの出力端子から出力されるリセット信号は、信号線を介して、第2マイコンの端子のうち、リセット端子とは別の入力端子にリセット予告信号として入力される。
そして、第2マイコンは、前記入力端子にリセット予告信号が入力されると(即ち、第1マイコンが第2マイコンに対するリセット信号を出力すると)、当該第2マイコンが正常であるか否かを自分自身で判定するための自己検査処理を行い、該自己検査処理で当該第2マイコンが正常であると判定した場合には、第1マイコンのリセット端子へリセット信号を出力する。
つまり、第2マイコンは、第1マイコンが当該第2マイコンに対するリセット信号を出力したことを、入力端子からのリセット予告信号によって検知すると、遅延手段からのリセット信号でリセットされるまでの間(即ち、遅延手段による上記一定時間が経過するまでの間)に、自己検査処理を行い、更に、その自己検査処理で正常と判定した場合には、第1マイコンの方が異常であると考えられることから、第1マイコンに対してリセット信号を出力するようになっている。
このような電子制御装置によれば、第1マイコンが異常になって正常な第2マイコンをリセットしようとした場合に、第1マイコンもリセットすることができる。よって、前述の目的を達成することができる。
尚、第1マイコンが正常で、第2マイコンが異常である場合には、第2マイコンでの自己検査処理で正常と判定されずに、第2マイコンから第1マイコンへのリセット信号が出力されないため、第2マイコンだけがリセットされることとなる。
以下に、本発明が適用された実施形態の電子制御装置について説明する。尚、本実施形態の電子制御装置(以下、ECUという)は、例えば、自動車のエンジンを制御するものである。
図1に示すように、本実施形態のECU1は、主にエンジンを制御するための処理を行うメインマイコン3と、メインマイコン3の動作を監視すると共に、メインマイコン3によって動作が監視されるサブマイコン5と、メインマイコン3から出力される制御信号に応じて、エンジンを動作させるための出力装置7,9(例えば、インジェクタやスロットルモータ等のアクチュエータ)を駆動する出力回路11と、を備えている。尚、図1では、出力回路11の駆動対象として2個の出力装置7,9を図示しているが、駆動対象の出力装置は、1つでも良いし、3つ以上でも良い。
そして、ECU1において、メインマイコン3とサブマイコン5との間には、メインマイコン3からサブマイコン5へデータを転送するための通信線13と、サブマイコン5からメインマイコン3へデータを転送するための通信線15とが、配設されている。尚、他の構成例として、メインマイコン3とサブマイコン5が、1系統の通信線を介して双方向に通信するようになっていても良い。
メインマイコン3は、プログラムを実行するCPU17と、実行対象のプログラムや固定データなどが記憶されたROM19と、CPU17による演算結果などが記憶されるRAM21とを備えている。同様に、サブマイコン5も、CPU23と、ROM25と、RAM27とを備えている。そして、以下に説明するメインマイコン3の動作は、CPU17がROM19内のプログラムを実行することで実現される動作であり、同様に、以下に説明するサブマイコン5の動作は、CPU23がROM25内のプログラムを実行することで実現される動作である。
次に、各マイコン3,5の動作内容について説明する。
メインマイコン3は、制御対象としてのエンジンを制御するための制御処理と、サブマイコン5に動作を監視されるための応答処理(サブマイコン5に対する応答処理)と、サブマイコン5の動作を監視するための監視処理(サブマイコン5の監視処理)とを行う。各処理の内容は、例えば下記の通りである。
メインマイコン3は、制御対象としてのエンジンを制御するための制御処理と、サブマイコン5に動作を監視されるための応答処理(サブマイコン5に対する応答処理)と、サブマイコン5の動作を監視するための監視処理(サブマイコン5の監視処理)とを行う。各処理の内容は、例えば下記の通りである。
〈制御処理〉
メインマイコン3は、エンジン回転数、エンジンの冷却水温及びスロットル開度などの制御情報を入力し、その制御情報に基づいて、エンジンを動作させるための制御演算を行う。そして、メインマイコン3は、その制御演算の結果に基づいて、出力回路11に制御信号を出力することにより、出力装置7,9を動作させてエンジンを制御する。
メインマイコン3は、エンジン回転数、エンジンの冷却水温及びスロットル開度などの制御情報を入力し、その制御情報に基づいて、エンジンを動作させるための制御演算を行う。そして、メインマイコン3は、その制御演算の結果に基づいて、出力回路11に制御信号を出力することにより、出力装置7,9を動作させてエンジンを制御する。
〈サブマイコン5に対する応答処理〉
メインマイコン3は、例えば、一定時間毎に、ROM19内に用意されたダミーデータを演算対象の入力データとして、所定のテスト演算を行い、そのテスト演算の演算結果データを通信線13に送出する(つまり、サブマイコン5に送信する)。
メインマイコン3は、例えば、一定時間毎に、ROM19内に用意されたダミーデータを演算対象の入力データとして、所定のテスト演算を行い、そのテスト演算の演算結果データを通信線13に送出する(つまり、サブマイコン5に送信する)。
尚、本実施形態では、例えば、複数のテスト番号毎にダミーデータとテスト演算が決められており、メインマイコン3は、その複数のテスト番号について、テスト演算を行うと共に、各テスト番号と、そのテスト番号に対応する演算結果データとを、対応付けてサブマイコン5に送信する。
〈サブマイコン5の監視処理〉
メインマイコン3は、サブマイコン5の動作を監視し、サブマイコン5が異常であると判定すると、サブマイコン5をリセットするためのリセット信号を、当該メインマイコン3の出力端子29から出力する。
メインマイコン3は、サブマイコン5の動作を監視し、サブマイコン5が異常であると判定すると、サブマイコン5をリセットするためのリセット信号を、当該メインマイコン3の出力端子29から出力する。
具体的に説明すると、メインマイコン3は、例えば、サブマイコン5から通信線15を介して送られてくるデータ値(後述する処理実行カウンタの値)が、一定時間以内に増加したか否かを判定し、そのデータ値が増加しなければ、サブマイコン5が異常であると判定して、出力端子29からリセット信号を出力する。
尚、本実施形態において、リセット信号のアクティブレベルは、例えばハイであるが、ローであっても良い。また、特に断らなければ、「リセット信号」とは、「アクティブレベルのリセット信号」のことである。また、以下では、メインマイコン3の出力端子29から出力されるリセット信号のことを、図1の如く「リセット信号[a]」と記載する。
一方、サブマイコン5は、メインマイコン3の動作を監視するための監視処理(メインマイコン3の監視処理)と、メインマイコン3に動作を監視されるための応答処理(メインマイコン3に対する応答処理)とを行う。各処理の内容は、例えば下記の通りである。
《メインマイコン3の監視処理》
サブマイコン5のROM25には、メインマイコン3が前述の応答処理を行うことで送信してくる演算結果データの期待値が、テスト番号毎に記憶されている。
サブマイコン5のROM25には、メインマイコン3が前述の応答処理を行うことで送信してくる演算結果データの期待値が、テスト番号毎に記憶されている。
そして、サブマイコン5は、メインマイコン3から受信した演算結果データと、その演算結果データに対応するテスト番号についてROM25に記憶されている期待値(即ち、メインマイコン3から受信した演算結果データの正しい値)とを比較することにより、メインマイコン3からの演算結果データが正しいか否かを判定し、演算結果データが正しくないと判定したならば、異常カウンタをインクリメントする。そして更に、サブマイコン5は、所定時間における異常カウンタの増加量が所定値以上になったら、メインマイコン3が異常であると判定して、メインマイコン3をリセットするためのリセット信号を、当該サブマイコン5の出力端子31から出力する。
尚、以下では、サブマイコン5の出力端子31から出力されるリセット信号のことを、図1の如く「リセット信号[d]」と記載する。
《メインマイコン3に対する応答処理》
サブマイコン5は、メインマイコン3の監視処理を実行する毎に、前述の処理実行カウンタをインクリメントし、その処理実行カウンタの値を通信線15に送出する(つまり、メインマイコン3に送信する)。
《メインマイコン3に対する応答処理》
サブマイコン5は、メインマイコン3の監視処理を実行する毎に、前述の処理実行カウンタをインクリメントし、その処理実行カウンタの値を通信線15に送出する(つまり、メインマイコン3に送信する)。
このため、サブマイコン5が異常になって、サブマイコン5からメインマイコン3に送信される処理実行カウンタの値が増加しなくなると、メインマイコン3の出力端子29からリセット信号[a]が出力されることとなる。
また、メインマイコン3が異常になって、メインマイコン3からサブマイコン5に送信されるテスト演算の演算結果データが正しくなくなると、サブマイコン5の出力端子31からリセット信号[d]が出力されることとなる。
ここで、図1に示すように、サブマイコン5の出力端子31に接続された信号線33は、メインマイコン3のリセット端子35に接続されている。このため、サブマイコン5がリセット信号[d]を出力すると、メインマイコン3は即座にリセットされる。
一方、メインマイコン3の出力端子29に接続された信号線37は2系統に分岐しており、その分岐した信号線37の一方は、サブマイコン5のリセット端子39とは別の入力端子41に接続されている。また、その分岐した信号線37の他方は、遅延回路43に接続されている。
そして、遅延回路43は、メインマイコン3の出力端子29から信号線37を介して入力されるリセット信号[a]を、一定時間Tdだけ遅延させて出力する。更に、その遅延回路43から出力されるリセット信号(即ち、リセット信号[a]を一定時間Tdだけ遅延させた信号であり、以下、リセット信号[c]ともいう)は、信号線45を介してサブマイコン5のリセット端子39に入力されるようになっている。
このため、メインマイコン3がリセット信号[a]を出力すると、そのリセット信号[a]が即座にサブマイコン5の入力端子41に入力され、その時点から遅延回路43により遅延される一定時間(以下、遅延時間という)Tdが経過すると、リセット信号[a]がサブマイコン5のリセット端子39に到達して、サブマイコン5がリセットされることとなる。
よって、サブマイコン5の入力端子41に入力されるリセット信号[a]は、上記遅延時間Td後にサブマイコン5がリセットされることを、サブマイコン5に対して予告するリセット予告信号(以下、リセット予告信号[b]という)となる。このため、信号線37は、メインマイコン3からのリセット信号[a]を、サブマイコン5の入力端子41にリセット予告信号[b]として入力させている。
そして、ECU1において、サブマイコン5は、入力端子41にリセット予告信号[b]が入力されると、図2のリセット予告時処理を実行するようになっている。
尚、サブマイコン5は、例えば、上記遅延時間Tdよりも短い時間毎に、入力端子41の入力レベルがハイかローかを判別し、入力端子41の入力レベルがアクティブレベルとしてのハイであれば、リセット予告信号[b]が入力されたと認識して、図2のリセット予告時処理を行う。また例えば、入力端子41が外部割込端子であれば、サブマイコン5は、入力端子41の入力レベルを判別する処理を行わなくても良く、その入力端子41にハイの信号が入力されると起動される割込処理を、リセット予告時処理とすれば良い。そして、何れにしても、遅延回路43による遅延時間Tdは、サブマイコン5の入力端子41にリセット予告信号[b]が入力されてからリセット予告時処理が終了するまでの最長時間よりも、長い時間に設定されている。
尚、サブマイコン5は、例えば、上記遅延時間Tdよりも短い時間毎に、入力端子41の入力レベルがハイかローかを判別し、入力端子41の入力レベルがアクティブレベルとしてのハイであれば、リセット予告信号[b]が入力されたと認識して、図2のリセット予告時処理を行う。また例えば、入力端子41が外部割込端子であれば、サブマイコン5は、入力端子41の入力レベルを判別する処理を行わなくても良く、その入力端子41にハイの信号が入力されると起動される割込処理を、リセット予告時処理とすれば良い。そして、何れにしても、遅延回路43による遅延時間Tdは、サブマイコン5の入力端子41にリセット予告信号[b]が入力されてからリセット予告時処理が終了するまでの最長時間よりも、長い時間に設定されている。
図2に示すように、サブマイコン5は、リセット予告時処理を開始すると、まずS110にて、当該サブマイコン5が正常であるか否かを自分自身で判定するための、セルフチェック(自己検査処理)を行う。
このセルフチェックを行う理由は、下記の[第1の状態]と[第2の状態]との、何れであるかを判別するためである。
[第1の状態]:サブマイコン5は正常であるにも拘わらず、メインマイコン3が異常になってリセット信号[a]を出力した。
[第1の状態]:サブマイコン5は正常であるにも拘わらず、メインマイコン3が異常になってリセット信号[a]を出力した。
[第2の状態]:メインマイコン3は正常で、サブマイコン5が異常になったことにより、その正常なメインマイコン3がリセット信号[a]を出力した。
このため、セルフチェックとしては、サブマイコン5の機能のうち、メインマイコン3によって監視されるサブマイコン5の動作を実現するための機能が、正常か否かを判定する処理が行われる。つまり、S110では、サブマイコン5において、メインマイコン3によりリセットされる要因となるような異常が発生しているか否かを検査する。
このため、セルフチェックとしては、サブマイコン5の機能のうち、メインマイコン3によって監視されるサブマイコン5の動作を実現するための機能が、正常か否かを判定する処理が行われる。つまり、S110では、サブマイコン5において、メインマイコン3によりリセットされる要因となるような異常が発生しているか否かを検査する。
本実施形態では、セルフチェックとして、メインマイコン3に対する応答処理が正しく行えるか否かを検査するために、例えば、前述の処理実行カウンタのインクリメントを正しく行えるか否かを検査する。
具体的には、まず、処理実行カウンタの値を、RAM27の所定領域にコピーして保存する退避処理を行った後、その処理実行カウンタの値を0にリセットする。次に、処理実行カウンタをインクリメントする命令をM回(Mは正の整数)実行し、その後、処理実行カウンタの値がMであるか否かを判定して、値がMであれば「異常無し(OK)」と判定し、値がMでなければ「異常有り(NG)」と判定する。そして最後に、処理実行カウンタの値をRAM27に保存しておいた値に戻す復元処理を行う。
尚、上記復元処理は、「異常無し」と判定した場合にだけ行うようになっていても良い。また、セルフチェックとしては、処理実行カウンタとは別のカウンタについて、インクリメントを正しく行えるか否かを検査するのでも良い。別のカウンタのインクリメントができなければ、処理実行カウンタのインクリメントもできないと考えられるからである。そして、この場合には、上記退避処理及び復元処理は不要となる。
このようなS110でのセルフチェックが終了すると、次のS120にて、そのセルフチェックの結果が「異常無し」か否かを判定し、「異常無し」であれば(つまり、当該サブマイコン5が正常であると判定した場合には)、S130に進んで、メインマイコン3へのリセット信号[d]を出力する。つまり、この場合には、前述した[第1の状態]であると判断して、遅延回路43からのリセット信号[c]によってリセットされる前に、リセット信号[d]を出力してメインマイコン3をリセットする。そして、その後は、S140に進み、そのS140にて、処理を停止し、遅延回路43からのリセット信号[c]によってリセットされるのを待つ。尚、このS140に到達することが、リセット予告時処理の終了に相当している。
また、上記S120にて、セルフチェックの結果が「異常無し」ではない(即ち、「異常有り」である)と判定した場合には、そのままS140に移行する。つまり、この場合には、前述した[第2の状態]であると考えられることから、メインマイコン3をリセットすることなく、遅延回路43からのリセット信号[c]によってリセットされるのを待つ。よって、[第2の状態]である場合には、2つのマイコン3,5のうち、サブマイコン5だけがリセットされることとなる。
尚、セルフチェックの結果が「異常無し」であった場合(S120:YES)にも、サブマイコン5はリセット信号[c]によってリセットされるが、そのようになっているのは、サブマイコン5によるセルフチェックではサブマイコン5の異常を検知できない場合も考えられるからである。よって、サブマイコン5は、セルフチェックの結果に拘わらず、メインマイコン3がリセット信号[a]を出力してから遅延時間Td後にリセット信号[c]によってリセットされる。
次に、以上のようなECU1の作用について、図3を用いて説明する。尚、図3は、メインマイコン3がプログラム暴走によって異常となり、サブマイコン5に対するリセット信号[a]を出力した場合(即ち[第1の状態]の場合)を表している。
図3における1段目及び2段目示すように、メインマイコン3がリセット信号[a]を出力すると、サブマイコン5の入力端子41にリセット予告信号[b]が入力される。すると、サブマイコン5は、図2のリセット予告時処理を実行することとなる。
そして、この場合には[第1の状態]であるため、サブマイコン5は、リセット予告時処理におけるセルフチェック(S110)によって「異常無し」と判定し、図3における5段目に示すように、メインマイコン3へのリセット信号[d]を出力することとなる(S130)。すると、図3における6段目に示すように、メインマイコン3がリセットされる。
また、メインマイコン3は、出力装置7,9を動作させるための制御信号を出力するマイコンであるが、そのメインマイコン3がリセットされた時の制御信号の出力レベルは、出力装置7,9を安全側の状態にさせるレベルになっている。
具体的に説明すると、本実施形態において、メインマイコン3は、リセットされると、図3における7段目(最下段)に示すように、制御出力(即ち、制御信号の出力レベル)が、例えばローになるように設計されている。このため、出力回路11は、メインマイコン3からの制御信号がローの場合には、出力装置7,9を安全側の状態にさせるように設計されている。
尚、「安全側の状態にさせる」とは、メインマイコン3のリセット時(つまり、メインマイコン3が正常に動作しない場合)において、動作させるよりも動作させない方が安全と考えられる出力装置であれば、「動作させない」ということであり、動作させないよりも動作させる方が安全と考えられる出力装置であれば、「動作させる」ということである。例えば、出力装置7,9が、前述したようにエンジンを動作させるためのインジェクタやスロットルモータ等のアクチュエータであれば、動作させるよりも動作させない方が安全と考えることができる。また他の例として、例えば、出力装置7,9が、異常を報知するための警告ランプであれば、動作させないよりも動作させる(点灯させる)方が安全と考えることができる。
よって、図3における6段目及び7段目に示すように、メインマイコン3がサブマイコン5からのリセット信号[d]によってリセットされると、メインマイコン3からの制御信号が非アクティブレベルとしてのローとなり、その結果、出力装置7,9の不定で不要な動作が防止される。尚、ここでは、出力装置7,9がエンジンを動作させるためのアクチュエータであることを想定している。また、メインマイコン3のリセット時の制御信号がハイになるのであれば、出力回路11は、メインマイコン3からの制御信号がハイの場合に出力装置7,9を安全側の状態にさせるように設計しておけば良い。
そして、メインマイコン3がリセット信号[a]を出力してから遅延回路43による遅延時間Tdが経過すると、図3における3段目に示すように、サブマイコン5のリセット端子39にリセット信号[c]が入力される。すると、図3における4段目に示すように、サブマイコン5もリセットされることとなる。
以上のようなECU1によれば、メインマイコン3が異常になって正常なサブマイコン5をリセットしようとした場合に、サブマイコン5によってメインマイコン3もリセットすることができる。
よって、「メインマイコン3が異常になって正常なサブマイコン5をリセットしてしまうことにより、サブマイコン5によって異常なメインマイコン3をリセットすることができなくなってしまう」ということを、防止することができる。
そして、メインマイコン3がリセットされた時の制御信号の出力レベルは、出力装置7,9を安全側の状態にさせるレベルであるため、サブマイコン5がメインマイコン3をリセットすることで、出力装置7,9の不定で不要な動作が防止される。
ここで、ECU1の効果をより明確にするために、比較例のECUについて、図4を用い説明する。
図4に示す比較例のECU49では、ECU1と比較すると、第1の相違点として、遅延回路43が設けられておらず、メインマイコン3の出力端子29とサブマイコン5のリセット端子39は信号線37によって接続されている。このため、メインマイコン3が出力端子29からリセット信号[a]を出力すると、サブマイコン5は即座にリセットされる。
図4に示す比較例のECU49では、ECU1と比較すると、第1の相違点として、遅延回路43が設けられておらず、メインマイコン3の出力端子29とサブマイコン5のリセット端子39は信号線37によって接続されている。このため、メインマイコン3が出力端子29からリセット信号[a]を出力すると、サブマイコン5は即座にリセットされる。
そして、このような構成では、「発明が解決しようとする課題」の欄で説明したように、異常となったメインマイコン3がサブマイコン5に対するリセット信号[a]を繰り返し出力する状態になると、サブマイコン5は、メインマイコン3の異常を検知してメインマイコン3に対するリセット信号[d]を出力する前に、メインマイコン3からのリセット信号[a]によってリセットされてしまい、メインマイコン3をリセットすることができなくなってしまう。
そして、異常になったメインマイコン3をリセットすることができないと、そのメインマイコン3によって制御される出力装置7,9が不定な動作をしてしまう可能性がある。
そこで、この対策として、比較例のECU49では、サブマイコン5が起動してからメインマイコン3を正常と判定するまで、メインマイコン3からの制御信号を無効化するための出力カット機構51を設けており、このことがECU1との第2の相違点である。
そこで、この対策として、比較例のECU49では、サブマイコン5が起動してからメインマイコン3を正常と判定するまで、メインマイコン3からの制御信号を無効化するための出力カット機構51を設けており、このことがECU1との第2の相違点である。
出力カット機構51は、サブマイコン5からの指令信号によって動作するものであり、サブマイコン5がリセットされた時の指令信号の出力レベルが例えばローであるとすると、その指令信号がローである場合には、メインマイコン3からの制御信号が出力回路11に伝達されるのを阻止して、出力回路11に入力される制御信号のレベルを非アクティブレベルに固定する。
そして、サブマイコン5は、リセットの解除により起動してから、前述したメインマイコン3の監視処理により、例えば、メインマイコン3からの全ての演算結果データが正しいと所定回数連続して判定すると、メインマイコン3は正常であると判定して、出力カット機構51への指令信号をリセット時のレベルとは反対のレベル(ハイ)に切り替える。すると、出力カット機構51は、メインマイコン3からの制御信号を出力回路11に伝達させることとなる。
比較例のECU49では、このような出力カット機構51を設けることにより、サブマイコン5が異常なメインマイコン3によってリセットされて、メインマイコン3をリセットすることができなくても、そのサブマイコン5のリセット時点から、出力装置7,9の不定な動作を防止できるようにしている。尚、出力カット機構51と同様のものを、出力回路11と出力装置7,9との間に設けることもあり得る。
しかし、このような比較例のECU49では、メインマイコン3からの制御信号の出力数が複数ある場合に、出力カット機構51の構成が複雑になってしまい、そのECU49の大型化やコスト増加を招いてしまう。
これに対して、本実施形態のECU1によれば、ECU49のような出力カット機構51を設ける必要がなく、メインマイコン3からの制御信号の出力数が幾つであっても、1つの遅延回路43を設けることで、出力装置7,9の不定な動作を防止できる。よって、ECU1の大型化やコスト増加の心配もない。
以上、本発明の一実施形態について説明したが、本発明はこうした実施形態に何等限定されるものではなく、本発明の要旨を逸脱しない範囲において、種々なる態様で実施し得ることは勿論である。
例えば、メインマイコン3が行うサブマイコン5の監視処理としては、「サブマイコン5から所定時間以内毎に出力されるはずの監視対象信号が、その所定時間以内に出力されなければ、サブマイコン5が異常であると判定する」というウォッチドッグタイマの処理でも良い。その場合、サブマイコン5は、メインマイコン3に対する応答処理として、監視対象信号を所定時間以内毎に出力する処理を行うこととなる。そして、サブマイコン5は、セルフチェック(自己検査処理)としては、例えば、監視対象信号の出力間隔である上記所定時間を計測するためのカウンタのインクリメントを、正しく行えるか否かを検査する処理を行うようにすることが考えられる。一方、サブマイコン5が行うメインマイコン3の監視処理としても、例えば、ウォッチドッグタイマの処理でも良い。
また、出力装置7,9は、インジェクタやスロットルモータ等のアクチュエータに限らず、例えば、既に例示した警告ランプ等の表示ランプや、表示装置等でも良い。
また、ECU1の制御対象は、エンジンに限らず、トランスミッションやブレーキ装置などでも良い。また、本発明は、自動車に搭載される電子制御装置以外にも同様に適用することができる。
また、ECU1の制御対象は、エンジンに限らず、トランスミッションやブレーキ装置などでも良い。また、本発明は、自動車に搭載される電子制御装置以外にも同様に適用することができる。
1…ECU、3…メインマイコン、5…サブマイコン、7,9…出力装置、11…出力回路、29…出力端子、35,39…リセット端子、37…信号線、41…入力端子、43…遅延回路
Claims (3)
- 第1マイコン(3)と、第2マイコン(5)と、を備え、
前記第1マイコンと前記第2マイコンとの各々は、他方のマイコンの動作を監視して、該他方のマイコンが異常であると判定すると、該他方のマイコンをリセットするためのリセット信号を出力するようになっている電子制御装置において、
前記第1マイコンの端子のうち、前記第2マイコンに対するリセット信号を出力するための出力端子(29)と、前記第2マイコンのリセット端子(39)との間に設けられ、前記出力端子から出力されるリセット信号を一定時間遅延させて前記第2マイコンのリセット端子に入力させる遅延手段(43)と、
前記第1マイコンの前記出力端子から出力されるリセット信号を、前記第2マイコンの端子のうち、前記リセット端子とは別の入力端子(41)にリセット予告信号として入力させる信号線(37)と、
を備え、
前記第2マイコンは、前記入力端子に前記リセット予告信号が入力されると、当該第2マイコンが正常であるか否かを自分自身で判定するための自己検査処理(S110)を行い、該自己検査処理で当該第2マイコンが正常であると判定した場合には、前記第1マイコンのリセット端子(35)へリセット信号を出力する(S130)こと、
を特徴とする電子制御装置。 - 請求項1に記載の電子制御装置において、
前記第1マイコンは、出力装置(7,9)を動作させるための制御信号を出力するマイコンであり、
前記第1マイコンがリセットされた時の前記制御信号の出力レベルは、前記出力装置を安全側の状態にさせるレベルであること、
を特徴とする電子制御装置。 - 請求項1または請求項2に記載の電子制御装置において、
前記第2マイコンが行う前記自己検査処理は、前記第1マイコンによって監視される当該第2マイコンの動作を実現するための機能が正常か否かを判定する処理であること、
を特徴とする電子制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012115657A JP5772716B2 (ja) | 2012-05-21 | 2012-05-21 | 電子制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012115657A JP5772716B2 (ja) | 2012-05-21 | 2012-05-21 | 電子制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013242708A true JP2013242708A (ja) | 2013-12-05 |
| JP5772716B2 JP5772716B2 (ja) | 2015-09-02 |
Family
ID=49843538
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012115657A Active JP5772716B2 (ja) | 2012-05-21 | 2012-05-21 | 電子制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5772716B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018116473A (ja) * | 2017-01-18 | 2018-07-26 | トヨタ自動車株式会社 | 監視システム |
| JP7347380B2 (ja) | 2020-09-09 | 2023-09-20 | トヨタ自動車株式会社 | 処理装置、通信システム、及び処理装置用プログラム |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110884448B (zh) * | 2019-10-17 | 2021-06-08 | 上海汽车工业(集团)总公司 | 通信单元断电控制模块 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4162526A (en) * | 1978-03-16 | 1979-07-24 | International Business Machines Corporation | Failsafe primary power control apparatus for systems using computer controlled power sequencing |
| JPS6139138A (ja) * | 1984-07-31 | 1986-02-25 | Nec Corp | 多重化システム |
| JP2000235487A (ja) * | 1999-02-17 | 2000-08-29 | Denso Corp | 電子制御装置 |
| JP2003044323A (ja) * | 2001-07-30 | 2003-02-14 | Toyoda Mach Works Ltd | 演算装置 |
| JP2006163919A (ja) * | 2004-12-08 | 2006-06-22 | Fujitsu Ltd | 二重化システム |
| JP2006209197A (ja) * | 2005-01-25 | 2006-08-10 | Yokogawa Electric Corp | 情報処理装置および情報処理方法 |
-
2012
- 2012-05-21 JP JP2012115657A patent/JP5772716B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4162526A (en) * | 1978-03-16 | 1979-07-24 | International Business Machines Corporation | Failsafe primary power control apparatus for systems using computer controlled power sequencing |
| JPS6139138A (ja) * | 1984-07-31 | 1986-02-25 | Nec Corp | 多重化システム |
| JP2000235487A (ja) * | 1999-02-17 | 2000-08-29 | Denso Corp | 電子制御装置 |
| JP2003044323A (ja) * | 2001-07-30 | 2003-02-14 | Toyoda Mach Works Ltd | 演算装置 |
| JP2006163919A (ja) * | 2004-12-08 | 2006-06-22 | Fujitsu Ltd | 二重化システム |
| JP2006209197A (ja) * | 2005-01-25 | 2006-08-10 | Yokogawa Electric Corp | 情報処理装置および情報処理方法 |
Non-Patent Citations (2)
| Title |
|---|
| CSNG200600342007; 馬場 恒彦 他: '「リセット排他制御を用いたクラスタシステム向け系切り替え方式」' 電子情報通信学会技術研究報告 Vol.105 No.487 第105巻 第487号, 20051209, 49頁〜54頁, 社団法人電子情報通信学会 * |
| JPN6015010998; 馬場 恒彦 他: '「リセット排他制御を用いたクラスタシステム向け系切り替え方式」' 電子情報通信学会技術研究報告 Vol.105 No.487 第105巻 第487号, 20051209, 49頁〜54頁, 社団法人電子情報通信学会 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018116473A (ja) * | 2017-01-18 | 2018-07-26 | トヨタ自動車株式会社 | 監視システム |
| CN108334013B (zh) * | 2017-01-18 | 2021-01-01 | 丰田自动车株式会社 | 监视系统 |
| JP7347380B2 (ja) | 2020-09-09 | 2023-09-20 | トヨタ自動車株式会社 | 処理装置、通信システム、及び処理装置用プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5772716B2 (ja) | 2015-09-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5739290B2 (ja) | 電子制御装置 | |
| CN107003915B (zh) | 驱动控制装置 | |
| WO2013137425A1 (ja) | Ecuの異常を監視する回路 | |
| JP5141367B2 (ja) | 車両制御装置 | |
| JP5772716B2 (ja) | 電子制御装置 | |
| US20180124030A1 (en) | Need Based Controller Area Network Bus Authentication | |
| JP2006259935A (ja) | 演算異常判断機能付き演算装置 | |
| JP5518021B2 (ja) | 情報処理装置 | |
| US11372706B2 (en) | Vehicle control device | |
| US7869172B2 (en) | Digital controller | |
| JP2018163498A (ja) | 監視回路 | |
| JP6302852B2 (ja) | 車両用電子制御装置 | |
| JP6187508B2 (ja) | 制御装置、バス回路、方法、及び、プログラム | |
| JP6102667B2 (ja) | 電子制御装置 | |
| TWI434159B (zh) | 雙重系統控制裝置 | |
| JP4820679B2 (ja) | 車両用電子制御装置 | |
| JP2009053752A (ja) | ウォッチドッグ処理方法および異常検出回路 | |
| KR102275869B1 (ko) | 차량 제어 장치 및 차량 제어 방법 | |
| US20180137000A1 (en) | Method of ensuring operation of calculator | |
| CN113993752A (zh) | 电子控制单元和程序 | |
| JP2015112962A (ja) | 情報処理装置 | |
| JP2018097442A (ja) | 電子制御装置 | |
| JP6090094B2 (ja) | 情報処理装置 | |
| JP2010049355A (ja) | 模擬マイクロコンピュータ装置 | |
| US20230001939A1 (en) | Vehicle mounted electronic control apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140718 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150312 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150324 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150511 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150602 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150615 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 5772716 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |