JP2016130511A - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP2016130511A
JP2016130511A JP2015129179A JP2015129179A JP2016130511A JP 2016130511 A JP2016130511 A JP 2016130511A JP 2015129179 A JP2015129179 A JP 2015129179A JP 2015129179 A JP2015129179 A JP 2015129179A JP 2016130511 A JP2016130511 A JP 2016130511A
Authority
JP
Japan
Prior art keywords
signal
monitoring
output
unit
fail
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015129179A
Other languages
English (en)
Other versions
JP6406139B2 (ja
Inventor
吉保 二村
Yoshiyasu Nimura
吉保 二村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to DE102015226818.7A priority Critical patent/DE102015226818B4/de
Publication of JP2016130511A publication Critical patent/JP2016130511A/ja
Application granted granted Critical
Publication of JP6406139B2 publication Critical patent/JP6406139B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Control Of Throttle Valves Provided In The Intake System Or In The Exhaust System (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

【課題】一時的な制御部の異常に対して制御部を復帰させることができ、且つ、恒久的な制御部の異常に対して所定のフェールセーフ処理を実行することができる電子制御装置を提供すること。
【解決手段】電子制御装置は、負荷の駆動を制御するマイコン20、マイコン動作を監視する監視IC21を備える。監視ICは、監視信号に基づき、マイコンの異常時に異常信号を出力する第2異常検出部40、異常信号に基づいてフェールセーフ信号を出力するフェールセーフ部41、異常信号に基づいてマイコンにリセット信号を出力するリセット部42を有する。マイコンは、マイコンの動作状態を検出する第1異常検出部30、検出信号に基づいて監視信号を出力する監視信号生成部31、フェールセーフ信号の出力有無を判定する判定部32を有する。フェールセーフ信号が出力されていると判定された場合、監視信号生成部は監視信号として正常信号を出力する。
【選択図】図2

Description

本発明は、少なくとも1つの負荷の駆動を制御する制御部と、制御部が正常に動作しているか否かを監視する監視部と、を備える電子制御装置に関する。
特許文献1には、少なくとも1つの負荷の駆動を制御するマイコン(制御部)と、マイコンが正常に動作しているか否かを監視する監視IC(監視部)と、を備える電子制御装置が開示されている。
特開2011−127546号公報
図14は、特許文献1に記載の従来の電子制御装置におけるマイコン120及び監視IC121の概略構成を示している。図15は、マイコン異常時の動作例を示すタイミングチャートである。なお、図14では、後述する本実施形態の要素と共通乃至関連する要素に対し、本実施形態の要素の符号に100を加算した符号を付与している。また、ここでは、従来の電子制御装置が、車両のエンジンECU(Electronic Control Unit)に適用される場合について説明する。
マイコン120は、図示しない負荷として、インジェクタ、点火プラグ、及びスロットルバルブを開閉するためのモータの駆動を制御する。マイコン120は、機能安全のための機能を有している。具体的には、自身(マイコン120)の動作が妥当であるか否かを判定し、自身の異常を検出する第1異常検出部130と、監視信号を生成して監視IC121に出力する監視信号生成部131と、を有している。
第1異常検出部130は、マイコン120のプロセッサコアの動作を監視する安全機構(たとえばデュアルロックステップ)、RAMなどに付加するECC(Error Correcting Code)回路、自己診断を行うBIST(Built In Self Test)回路などを有しており、マイコン120の動作が妥当であるか否かを判定する。すなわち、マイコン20の異常を検出する。そして、検出結果(判定結果)を示す検出信号を監視信号生成部131に出力する。
監視信号生成部131は、第1異常検出部130の検出信号に基づいて、マイコン120の動作の妥当性を監視するための監視信号を生成する。そして、生成した監視信号を監視IC121に出力する。監視信号として、たとえば所定の真偽パターンやウォッチドッグクリア信号を生成する。真偽パターンの場合、マイコン120の動作が妥当(正常)な場合と、マイコン120の動作が妥当でない(異常)場合とで、異なる真偽パターンを生成する。ウォッチドッグクリア信号の場合、マイコン120の動作が正常の場合には、所定周期でウォッチドッグクリア信号を生成し、マイコン120の動作が異常の場合には、ウォッチドッグクリア信号の生成を停止する。このとき、たとえばLレベルの信号が出力される。このように、監視信号生成部131は、マイコン20の動作が正常な場合、正常であることを示す監視信号を出力し、異常な場合、異常であることを示す監視信号を出力する。
監視IC121は、第2異常検出部140と、フェールセーフ部141と、を有している。第2異常検出部140は、上記監視信号に基づいて、マイコン120が正常に動作しているか否かを判定する。そして、マイコン120の異常を検出すると、異常信号(たとえばHレベルの信号)をフェールセーフ部141に出力する。
フェールセーフ部141は、たとえばカウンタ141aを有している。ここでは、カウンタ141aとしてダウンカウンタを採用している。カウンタ141aは、異常信号をトリガとしつつ内部クロックにしたがって、図15に示すように、異常確定閾値からダウンカウントする。カウント値がゼロになると、カウンタ141a、すなわちフェールセーフ部141は、上記した負荷のうちのモータを、予め設定された退避状態に保持させるために、図示しないETC(Electronic Throttle Control)ドライバに、フェールセーフ信号(たとえばHレベルの信号)を出力する。フェールセーフ部141は、電子制御装置の電源がオフされるまで、フェールセーフ信号を保持する。
ETCドライバは、フェールセーフ信号の出力が停止、すなわち監視IC121から入力される信号がLレベルの場合、マイコン120からの制御信号にしたがってスロットル駆動信号を出力し、モータへの通電を行う。一方、フェールセーフ信号が入力されると、ETCドライバは、モータに対してスロットル停止信号を出力する。これにより、モータ制御停止となり、スロットルバルブが閉塞され、アクセルペダルが操作されていないときと同じ状態となる。そして、車両は、低速での退避走行となる。
しかしながら、上記した従来の電子制御装置では、マイコン120の正常復帰を試みる手段がない。したがって、宇宙線によるデータ化けのように、マイコン120の異常が一時的な場合でも、マイコン120を正常復帰させることができない。このように、フェールセーフに対する処置が敏感であった。
一方、マイコンの異常を検出し、異常時にマイコンをリセットさせる構成が知られている。図16は、図14に示した監視IC121にマイコンをリセットさせる機能を追加した構成を示している。図17は、図15に示す構成において、マイコン異常時の動作例を示すタイミングチャートである。
図16に示すように、監視IC121は、第2異常検出部140及びフェールセーフ部141に加えて、リセット部142を有している。リセット部142は、たとえばカウンタ142aと、NOTゲート142bと、を有している。ここでは、カウンタ142aとしてダウンカウンタを採用している。カウンタ142aは異常信号をトリガとしつつ内部クロックにしたがって、図17に示すように、リセット閾値からダウンカウントする。カウント値がゼロになると、カウンタ142aは、一定時間、Hレベルの信号を出力する。この信号は、NOTゲート142bにて反転され、Lレベルの信号としてマイコン120に出力される。このリセット部142から一定時間出力されるLレベルの信号が、リセット信号である。一定時間経過後、マイコン120のリセット状態が解除されるとともに、カウンタ142aのカウント値もクリアされて、リセット閾値に戻る。
この構成によれば、マイコン120の異常が一時的な場合に、リセット処理によって、マイコン120を正常復帰させることができる。しかしながら、図17に示すように、マイコン120の異常が恒久的な場合、リセットが繰り返しなされることとなる。マイコン120がリセットされている間は、モータだけでなく、インジェクタや点火プラグも制御停止となる。
このように、図16及び図17に示す構成では、マイコン120により制御される負荷の少なくとも1つについて、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なる。言い換えれば、すべての負荷の駆動状態、すなわち、インジェクタ、点火プラグ、及びモータの各駆動状態よりなる駆動パターンが、フェールセーフ信号が出力されているときと、リセット信号が出力されているときとで異なる。
したがって、フェールセーフ信号が出力されている間にリセットがなされると、リセット期間以外でしか噴射、点火ができないため、エンジントルクが出ず、エンジンがストール状態となってしまう虞がある。すなわち、すべての負荷の駆動状態により決定される車両の制御状態が、フェールセーフ信号が出力されているときと、リセット信号が出力されているときとで異なるため、フェールセーフ信号の出力中にリセット信号が出力されると、所定のフェールセーフ処理(たとえば退避走行制御)を実行することができなくなる。
なお、マイコン120が1つの負荷のみを制御し、フェールセーフ信号が出力されているときと、リセット信号が出力されているときの負荷の駆動状態が異なる場合にも、同様の問題が生じる。また、マイコン120が、第1異常検出部130の検出信号に基づき、フェールセーフ信号を出力するフェールセーフ部を有する場合にも、同様の問題が生じる。
本発明は上記問題点に鑑み、一時的な制御部の異常に対して制御部を復帰させることができ、且つ、恒久的な制御部の異常に対して所定のフェールセーフ処理を実行することができる電子制御装置を提供することを目的とする。
ここに開示される発明は、上記目的を達成するために以下の技術的手段を採用する。なお、特許請求の範囲及びこの項に記載した括弧内の符号は、ひとつの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、発明の技術的範囲を限定するものではない。
開示された発明のひとつは、少なくとも1つの負荷の駆動を制御する制御部(20)と、
制御部が正常に動作しているか否かを監視する監視部(21)と、を備え、
制御部が、
該制御部の動作状態を検出する第1異常検出手段(30)と、
第1異常検出手段の検出信号に基づいて、該制御部の動作の妥当性を監視するための監視信号を生成して監視部に出力する監視信号生成手段(31)と、を有し、
監視部が、
監視信号に基づいて制御部の異常を検出し、異常信号を出力する第2異常検出手段(40)と、
負荷の少なくとも1つを予め設定された退避状態に保持させるために、異常信号に基づいてフェールセーフ信号を出力するフェールセーフ手段(41)と、
異常信号に基づいて、制御部をリセットするためのリセット信号を出力するリセット手段(42)と、を有し、
制御部により制御される負荷の少なくとも1つについて、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なる電子制御装置であって、
制御部が、フェールセーフ手段からフェールセーフ信号が出力されているか否かを判定する判定手段(32)をさらに有し、
判定手段によりフェールセーフ信号が出力されていると判定された場合に、監視信号生成手段は、制御部の動作によらず、監視信号として制御部が正常であることを示す正常信号を出力することを特徴とする。
これによれば、一時的な制御部の異常に対して、リセット手段から出力されるリセット信号により、制御部を正常復帰させることができる。
また、フェールセーフ信号が出力されている間は、監視信号生成手段から、監視信号として正常信号が出力される。これにより、リセット信号の出力が停止される。したがって、フェールセーフ信号の出力中にリセット信号が出力されて、所定のフェールセーフ処理が実行できなくなる、ことが抑制される。すなわち、恒久的な制御部の異常に対してフェールセーフ処理を実行することができる。
開示された他の発明のひとつは、
少なくとも1つの負荷の駆動を制御する制御部(20)と、
制御部が正常に動作しているか否かを監視する監視部(21)と、を備え、
監視部が、
制御部の異常を検出し、異常信号を出力する異常検出手段(40)と、
負荷の少なくとも1つを予め設定された退避状態に保持させるために、異常信号に基づいてフェールセーフ信号を出力するフェールセーフ手段(41)と、
異常信号に基づいて、制御部をリセットするためのリセット信号を出力するリセット手段(42)と、
監視部の監視機能を有効又は無効に設定する設定手段(43,44)と、を有し、
制御部により制御される負荷の少なくとも1つについて、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なる電子制御装置であって、
制御部が、
フェールセーフ手段からフェールセーフ信号が出力されているか否かを判定する判定手段(32)と、
設定手段が監視機能を設定するための設定信号を生成して出力する設定信号生成手段(33)と、を有し、
設定手段は、設定信号に基づいて監視部の監視機能を有効又は無効に設定し、
判定手段によりフェールセーフ信号が出力されていると判定された場合に、設定信号生成手段は、設定信号として監視部による監視機能を無効にするための信号を出力することを特徴とする。
これによれば、一時的な制御部の異常に対して、リセット手段から出力されるリセット信号により、制御部を正常復帰させることができる。
また、フェールセーフ信号が出力されている間は、設定信号生成手段から、設定信号として監視部による監視機能を無効にするための信号が出力される。これにより、リセット信号の出力が停止される。したがって、フェールセーフ信号の出力中にリセット信号が出力されて、所定のフェールセーフ処理が実行できなくなる、ことが抑制される。すなわち、恒久的な制御部の異常に対してフェールセーフ処理を実行することができる。
開示された他の発明のひとつは、
少なくとも1つの負荷の駆動を制御する制御部(20)と、
制御部が正常に動作しているか否かを監視する監視部(21)と、を備え、
制御部が、
該制御部の動作状態を検出する第1異常検出手段(30)と、
第1異常検出手段の検出信号に基づいて、該制御部の動作の妥当性を監視するための監視信号を生成して監視部に出力する監視信号生成手段(31)と、を有し、
監視部が、
監視信号に基づいて制御部の異常を検出し、異常信号を出力する第2異常検出手段(40)と、
負荷の少なくとも1つを予め設定された退避状態に保持させるために、異常信号に基づいてフェールセーフ信号を出力するフェールセーフ手段(41)と、
異常信号に基づいて、制御部をリセットするためのリセット信号を出力するリセット手段(42)と、を有し、
外部機器(50,53)からの信号を取得し、
制御部により制御される負荷の少なくとも1つについて、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なる電子制御装置であって、
外部機器からリセット信号の出力を停止させるためのリセット停止信号が出力されている場合に、監視信号生成手段は、制御部の動作によらず、監視信号として制御部が正常であることを示す正常信号を出力することを特徴とする。
これによれば、一時的な制御部の異常に対して、リセット手段から出力されるリセット信号により、制御部を正常復帰させることができる。
また、外部機器からリセット停止信号が出力されると、監視信号生成手段から、監視信号として正常信号が出力される。これにより、リセット信号の出力が停止される。このように外部機器からのリセット停止信号によっても、フェールセーフ信号の出力中にリセット信号が出力されて、所定のフェールセーフ処理が実行できなくなる、ことが抑制される。すなわち、恒久的な制御部の異常に対してフェールセーフ処理を実行することができる。
開示された他の発明のひとつは、
少なくとも1つの負荷の駆動を制御する制御部(20)と、
制御部が正常に動作しているか否かを監視する監視部(21)と、を備え、
監視部が、
制御部の異常を検出し、異常信号を出力する異常検出手段(40)と、
負荷の少なくとも1つを予め設定された退避状態に保持させるために、異常信号に基づいてフェールセーフ信号を出力するフェールセーフ手段(41)と、
異常信号に基づいて、制御部をリセットするためのリセット信号を出力するリセット手段(42)と、
監視部の監視機能を有効又は無効に設定する設定手段(43)と、を有し、
外部機器(50,53)からの信号を取得し、
制御部により制御される負荷の少なくとも1つについて、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なる電子制御装置であって、
制御部が、設定手段が監視機能を設定するための設定信号を生成して出力する設定信号生成手段(33)を有し、
設定手段は、設定信号に基づいて監視部の監視機能を有効又は無効に設定し、
外部機器からリセット信号の出力を停止させるためのリセット停止信号が出力されている場合に、設定信号生成手段は、設定信号として監視部による監視機能を無効にするための無効信号を出力することを特徴とする。
これによれば、一時的な制御部の異常に対して、リセット手段から出力されるリセット信号により、制御部を正常復帰させることができる。
また、外部機器からリセット停止信号出力されると、設定信号生成手段から、設定信号として監視部による監視機能を無効にするための信号が出力される。これにより、リセット信号の出力が停止される。このように外部機器からのリセット停止信号によっても、フェールセーフ信号の出力中にリセット信号が出力されて、所定のフェールセーフ処理が実行できなくなる、ことが抑制される。すなわち、恒久的な制御部の異常に対してフェールセーフ処理を実行することができる。
開示された他の発明のひとつは、
少なくとも1つの負荷の駆動を制御する制御部(20)と、
制御部が正常に動作しているか否かを監視する監視部(21)と、を備え、
制御部が、
該制御部の動作状態を検出し、検出信号として出力する第1異常検出手段(30)と、
検出信号に基づいて、制御部の動作の妥当性を監視するための監視信号を生成し、監視部に出力する監視信号生成手段(31)と、
負荷の少なくとも1つを予め設定された退避状態に保持させるために、検出信号として出力される制御部の異常を示す信号に基づいて、フェールセーフ信号を出力するフェールセーフ手段(34)と、
を有し、
監視部が、
監視信号に基づいて制御部の異常を検出し、異常信号を出力する第2異常検出手段(40)と、
異常信号に基づいて、制御部をリセットするためのリセット信号を出力するリセット手段(42)と、を有し、
制御部により制御される負荷の少なくとも1つについて、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なる電子制御装置であって、
フェールセーフ手段からフェールセーフ信号が出力されている場合に、監視信号生成手段は、制御部の動作によらず、監視信号として制御部が正常であることを示す正常信号を出力することを特徴とする。
これによれば、一時的な制御部の異常に対して、リセット手段から出力されるリセット信号により、制御部を正常復帰させることができる。
また、フェールセーフ信号が出力されている間は、監視信号生成手段から、監視信号として正常信号が出力される。これにより、リセット信号の出力が停止される。したがって、フェールセーフ信号の出力中にリセット信号が出力されて、所定のフェールセーフ処理が実行できなくなる、ことが抑制される。すなわち、恒久的な制御部の異常に対してフェールセーフ処理を実行することができる。
第1実施形態に係る電子制御装置の概略構成を示す図である。 図1に示す電子制御装置のうち、マイコン及び監視ICの概略構成を示す図である。 監視信号生成部の処理を示すフローチャートである。 マイコン異常時の動作例を示すタイミングチャートである。 第1変形例を示す図である。 第2実施形態に係る電子制御装置のうち、マイコン及び監視ICの概略構成を示す図である。 マイコン異常時の動作例を示すタイミングチャートである。 第3実施形態に係る電子制御装置を含む電子制御システムの概略構成を示す図である。 監視信号生成部の処理を示すフローチャートである。 第4実施形態に係る電子制御装置を含む電子制御システムの概略構成を示す図である。 第3実施形態に係る電子制御装置を含む電子制御システムの概略構成を示す図である。 マイコン異常時の動作例を示すタイミングチャートである。 第2変形例を示す図である。 従来の電子制御装置において、マイコン及び監視ICの概略構成を示す図である。 マイコン異常時の動作例を示すタイミングチャートである。 図14に示す監視ICに対し、リセット機能を追加した構成を示す図である。 マイコン異常時の動作例を示すタイミングチャートである。
以下、本発明の実施形態を図に基づいて説明する。なお、各実施形態において、共通乃至関連する要素には同一の符号を付与するものとする。
(第1実施形態)
先ず、図1を用いて、本実施形態に係る電子制御装置の概略構成を説明する。
図1に示す電子制御装置10は、車両のエンジンECU(Electronic Control Unit)として構成されている。この電子制御装置10は、負荷の駆動を制御する制御部としてのマイコン20と、マイコン20が正常に動作しているか否かを監視する監視部としての監視IC21と、を備えている。マイコン20は、インジェクタ11、点火プラグ12、及び電子スロットル13のスロットルバルブ14を開閉するためのモータ15の駆動を制御する。すなわち、インジェクタ11、点火プラグ12、及びモータ15が、特許請求の範囲に記載の負荷に相当する。さらに電子制御装置10は、モータ15を駆動するためのETC(Electronic Throttle Control)ドライバ22を備えている。
インジェクタ11は、燃料を噴射供給する電磁駆動式の弁であり、図示しない吸気マニホールドの各気筒の吸気ポート周辺に取り付けられている。ソレノイドコイルへの通電によりニードルバルブが変位し、燃料が噴射される。点火プラグ12は、図示しないエンジンのシリンダヘッドに、気筒毎に取り付けられている。点火プラグ12には、点火コイル等よりなる点火装置を通じて、目標とする点火時期において高電圧が印加される。この高電圧の印加により、各点火プラグ12の対向電極間に火花放電が発生し、燃焼室内に導入された空気と燃料との混合気が着火され燃焼される。スロットルバルブ14は、吸気管の吸気通路を開閉してエンジンの各気筒に導入される空気量を調整するためのものである。このスロットルバルブ14の開度は、モータ15によって調節される。
モータ15への通電を停止すると、スロットルバルブ14は閉位置となる。閉位置において、スロットルバルブ14は、吸気通路を完全に遮断するのではなく、わずかに空気を流通させる程度、吸気通路を遮断する。この閉位置とは、従来の機械式スロットルにおいて、アクセルペダルが操作されていないときの状態と同じであり、エンジンの燃焼室へ供給可能な空気量が最も少なくなる状態である。
マイコン20は、CPU、ROM、RAM、レジスタ、及びI/Oポートなどを備えて構成されたマイクロコンピュータである。マイコンにおいて、CPUが、RAMやレジスタの一時記憶機能を利用しつつ、ROMに予め記憶された制御プログラム、バスを介して取得した各種データなどに応じて信号処理を行う。また、この信号処理で得られた信号を、バスに出力したりする。このようにして、マイコンは、各種機能を実行する。
本実施形態では、マイコン20が、イグニッション信号、エンジン回転数、エンジン冷却水温、吸気圧、空燃比、アクセル開度などに基づいて、インジェクタ11による燃料噴射量、点火プラグ12の点火時期、スロットルバルブ14のスロットル開度などを制御する。すなわち、マイコン20は、インジェクタ11と、点火プラグ12と、モータ15を駆動するETCドライバ22とのそれぞれに、制御信号を出力する。
また、マイコン20は、監視IC21との間でデータ通信可能に構成されており、監視IC21に対し、予め設定されたタイミングで所定の監視信号を送信する。監視IC21は、上記監視信号を受信し、受信した監視信号に基づいて、マイコン20が正常であるか否かを監視する。そして、マイコン20が異常であると判定すると、フェールセーフ信号をETCドライバ22に出力する。本実施形態では、フェールセーフ信号をマイコン20にも出力する。また、リセット信号をマイコン20に出力する。監視IC21からリセット信号が出力されている間、マイコン20はリセットされる。
なお、マイコン20の異常とは、マイコン20そのものが異常である場合だけでなく、マイコン20は正常であっても、取得した各種データ(すなわち各種センサなど)の異常により、結果として負荷を正常に制御できない状態となっている場合も含む。
ETCドライバ22は、マイコン20からの制御信号にしたがって、モータ15へスロットル駆動信号を出力し、モータ15への通電を行うことにより、モータ15を駆動する。これにより、スロットルバルブ14が所定の開度になる。
ETCドライバ22は、監視IC21からフェールセーフ信号が入力されると、モータ15に対してスロットル停止信号を出力する。すなわち、モータ15への通電を停止する。これにより、モータ制御停止となり、スロットルバルブ14が上記した閉位置となる。一方、監視IC21からのフェールセーフ信号の出力が停止されている場合、ETCドライバ22は、マイコン20からの制御信号にしたがってスロットル駆動信号を出力し、モータ15への通電を行う。
次に、図2及び図3に基づき、マイコン20及び監視IC21について説明する。
マイコン20は、機能安全のための機能を有している。図2に示すように、マイコン20は、自身の動作が妥当であるか否かを検出する、すなわち自身の異常を検出する第1異常検出部30と、監視信号を生成して監視IC21に出力する監視信号生成部31と、フェールセーフ信号が出力されているか否かを判定する判定部32と、を有している。第1異常検出部30が特許請求の範囲に記載の第1異常検出手段に相当し、監視信号生成部31が監視信号生成手段に相当する。また、判定部32が判定手段に相当する。
第1異常検出部30は、プロセッサコアの動作を監視する安全機能(たとえばデュアルロックステップ)、RAMなどに付加するECC(Error Correcting Code)回路、自己診断を行うBIST(Built In Self Test)回路などを有しており、マイコン20の動作が妥当であるか否かを判定する。すなわち、マイコン20の動作状態を検出する。第1異常検出部30は、マイコン20が正常に動作しているか否かを検出する。そして、検出結果(判定結果)を示す検出信号を監視信号生成部31に出力する。
監視信号生成部31は、第1異常検出部30の検出信号に基づいて、監視IC21がマイコン20の動作の妥当性を監視するための監視信号を生成する。監視信号として、たとえば、所定の真偽パターンやウォッチドッグクリア信号を生成する。そして、生成した監視信号を監視IC21に出力する。
真偽パターンの場合、マイコン20の動作が妥当(正常)な場合と、マイコン20の動作が妥当でない(異常)場合とで、異なる真偽パターンを生成する。ウォッチドッグクリア信号の場合、マイコン20の動作が正常の場合には、所定周期でウォッチドッグクリア信号を生成し、マイコン20の動作が異常の場合には、ウォッチドッグクリア信号の生成を停止し、たとえばLレベルの信号を出力する。このように、監視信号生成部31は、マイコン20の動作が正常な場合、正常であることを示す監視信号を出力し、異常な場合、異常であることを示す監視信号を出力する。
判定部32には、後述する監視IC21のフェールセーフ部41の出力信号が入力される。判定部32は、フェールセーフ部41の出力信号がフェールセーフ信号であるか否かを判定する。そして、その判定結果を示す判定信号を、監視信号生成部31に出力する。
図3は、監視信号を生成するための監視信号生成部31の処理を示すフローチャートである。この処理は、電子制御装置10の電源が投入された状態で、予め設定されたタイミングで繰り返し実行される。
先ず、監視信号生成部31は、判定部32から入力される判定信号が、フェールセーフ信号が出力されていることを示す信号であるか否かを判定する(ステップS10)。ステップS10において、フェールセーフ信号に対応する信号と判定すると、次いで、監視信号生成部31は、監視信号として、マイコン20が正常であることを示す正常信号を生成し、監視IC21に出力する(ステップS11)。そして、一連の処理を終了する。
ステップS10において、フェールセーフ信号が出力されていないことを示す信号と判定すると、次いで、監視信号生成部31は、第1異常検出部30から入力される信号が、マイコン20の動作正常を示す信号であるか否かを判定する(ステップS12)。そして、ステップS12において、マイコン20の動作正常を示す信号であると判定すると、監視信号生成部31が上記したステップS11の処理を実行する。そして、一連の処理を終了する。
ステップS12において、マイコン20の動作正常を示す信号ではないと判定すると、監視信号生成部31が、監視信号として、マイコン20が異常であることを示す異常信号を生成し、監視IC21に出力する(ステップS13)。そして、一連の処理を終了する。
一方、監視IC21は、第2異常検出部40と、フェールセーフ部41と、リセット部42と、を有している。第2異常検出部40が特許請求の範囲に記載の第2異常検出手段に相当し、フェールセーフ部41がフェールセーフ手段に相当する。また、リセット部42が、リセット手段に相当する。
第2異常検出部40には、監視信号生成部31から監視信号が入力される。第2異常検出部40は、監視信号に基づいて、マイコン20が正常であるか否かを判定する。そして、マイコン20が正常ではないと判定、すなわちマイコン20の異常を検出すると、異常信号を出力する。たとえば監視信号としての真偽パターンが、マイコン20の異常を示すパターンであると判定すると、異常信号としてHレベルの信号を出力する。一方、真偽パターンが、マイコン20の正常を示すパターンであると判定すると、異常信号ではなく、Lレベルの信号を出力する。
フェールセーフ部41は、異常信号が入力されると、負荷の少なくとも1つを予め設定された退避状態に保持させるために、フェールセーフ信号を生成し、出力する。本実施形態では、インジェクタ11、点火プラグ12、及びモータ15のうち、モータ15のみを退避状態に保持させるために、ETCドライバ22に対してフェールセーフ信号を出力する。フェールセーフ信号により、モータ15への通電が停止され、スロットルバルブ14は閉位置となる。さらに本実施形態では、フェールセーフ部41が、フェールセーフ信号をマイコン20の判定部32にも出力する。
フェールセーフ部41は、カウンタ41aを有している。後述するように、カウンタ41aは、異常信号の入力をトリガとし、内部クロックにしたがってダウンカウントする。そして、カウント値がゼロになると、フェールセーフ信号としてHレベルの信号を出力する。フェールセーフ部41は、カウンタ41aのカウント値がゼロになるまで、Lレベルの信号を出力する。カウンタ41aのカウント値、すなわちフェールセーフ部41の出力は、電子制御装置10の電源が投入されている間において保持される。車両のイグニッションキーがオフされて、電子制御装置10の電源がオフされると、カウンタ41aのカウント値はクリアされる。したがって、フェールセーフ信号が出力されると、電子制御装置10の電源がオフされるまでフェールセーフ信号の出力状態が保持される。
リセット部42は、異常信号が入力されると、マイコン20をリセットするためのリセット信号を生成し、マイコン20に出力する。本実施形態では、リセット信号としてLレベルの信号を一定時間出力する。リセット信号によりマイコン20がリセットされ、リセット信号が出力されている期間は、負荷の制御がされない状態となる。すなわち、インジェクタ11による燃料噴射が停止し、点火プラグ12による点火が停止する。また、モータ15への通電が停止し、スロットルバルブ14は閉位置となる。
リセット部42は、カウンタ42aと、NOTゲート42bと、を有している。カウンタ42aも、異常信号の入力をトリガとし、内部クロックにしたがってダウンカウントする。そして、カウント値がゼロになると、一定時間、Hレベルの信号を出力する。カウンタ42aの出力は、NOTゲート42bにより反転される。したがって、カウンタ42aの出力がHレベルの場合、NOTゲート42bは、Lレベルの信号を出力する。このように、リセット部42は、リセット信号としてLレベルの信号を出力する。リセット部42は、カウンタ42aのカウント値がゼロになるまでの間、Hレベルの信号を出力する。
次に、図4に基づき、マイコン20に恒久的な異常が生じたときの動作について説明する。図4では、便宜上、リセットによるモータ15の駆動停止期間にハッチングを施している。
上記したように、監視IC21の第2異常検出部40は、マイコン20から入力された監視信号が、正常であるか否かを判定する。マイコン20が正常であると判定すると、正常であることを示すLレベルの信号を出力する。このため、フェールセーフ部41のカウンタ41aがカウントを開始せず、フェールセーフ部41からLレベルの信号が出力される。すなわち、フェールセーフ信号の出力が停止(OFF)される。
また、リセット部42のカウンタ42aもカウントを開始せず、カウンタ42aからLレベルの信号が出力され、NOTゲート42bにて反転されて、Hレベルの信号となる。すなわち、リセット信号の出力が停止される。
このように、マイコン20が正常と判定された状態では、ETCドライバ22に、フェールセーフ部41からLレベルの信号が入力される。したがって、ETCドライバ22は、マイコン20からの制御信号にしたがってスロットル駆動信号を出力し、モータ15への通電を行う。なお、インジェクタ11及び点火プラグ12も、マイコン20からの制御信号によって制御される。このように、車両は、通常制御される。
また、マイコン20の判定部32にも、フェールセーフ部41からLレベルの信号が入力される。すなわち、フェールセーフ信号ではない信号が入力される。このため、監視信号生成部31は、監視信号として、第1異常検出部30の検出結果に応じた信号を生成して出力する。
一方、第2異常検出部40が、マイコン20から入力された監視信号が正常ではないと判定し、異常信号(Hレベルの信号)を出力すると、フェールセーフ部41のカウンタ41aがカウントを開始し、内部クロックにしたがって異常確定閾値からダウンカウントする。そして、カウント値がゼロになると、フェールセーフ部41からHレベルの信号が出力される。すなわち、フェールセーフ信号が出力(ON)される。
また、異常信号をトリガとして、リセット部42のカウンタ42aもカウントを開始し、内部クロックにしたがってリセット閾値からダウンカウントする。そして、カウント値がゼロになると、一定時間、Hレベルの信号を出力する。この信号は、NOTゲート42bにて反転されて、Lレベルの信号となる。
ここで、フェールセーフ処理は、マイコン20の恒久異常に対する処理であり、リセット処理は、マイコン20の一時的な異常に対する処理である。したがって、同じ異常信号をトリガとしても、フェールセーフ信号の生成に要する時間より、リセット信号の生成に要する時間のほうが短い。すなわち、本実施形態では、異常確定閾値のほうがリセット閾値よりも大きい値が設定されている。
したがって、異常信号の出力後、カウンタ42aの値が、カウンタ41aの値よりも先にゼロになる。これにより、マイコン20がリセットされる。このとき、マイコン20からETCドライバ22へ制御信号が出力されないため、ETCドライバ22から出力されるスロットル駆動信号は、モータ15への通電を停止する駆動停止信号となる。これにより、スロットルバルブ14が閉位置となる。
カウンタ42aのカウント値は、一定時間経過後クリアされ、リセット閾値がセットされる。しかしながら、図4に示すように、マイコン20に恒久的な異常が生じている場合には、異常信号が継続して出力されるため、カウンタ42aが、再度ダウンカウントを開始する。本実施形態では、カウンタ42aの2回目のダウンカウントの途中に、カウンタ41aの値がゼロになる。
フェールセーフ部41からフェールセーフ信号が出力されるまでは、ETCドライバ22は、マイコン20からの制御信号にしたがってスロットル駆動信号を出力し、モータ15への通電を行う。また、監視信号生成部31は、監視信号として、第1異常検出部30の検出結果に応じた信号を生成して出力する。
カウンタ41aのカウント値がゼロになると、フェールセーフ部41からフェールセーフ信号としてHレベルの信号が出力される。すると、判定部32にてフェールセーフ部41の出力信号がフェールセーフ信号であると判定され、監視信号生成部31から、監視信号として正常信号が出力される。これにより、第2異常検出部40は、マイコン20が正常であると判定し、Lレベルの信号を出力する。したがって、リセット部42に入力されていた信号が、異常信号から正常状態を示すLレベルの信号に切り替わり、カウンタ42aのカウントが停止する。第2異常検出部40の出力信号が、異常信号(Hレベル)から正常状態を示すLレベルの信号に切り替わっても、電子制御装置10の電源がオフされるまで、フェールセーフ信号が保持される。したがって、フェールセーフ部41からフェールセーフ信号が出力されている間、リセット信号の出力が停止される。
なお、フェールセーフ部41からフェールセーフ信号が出力されるため、ETCドライバ22は、モータ15に対してスロットル停止信号を出力する。すなわち、モータ15への通電を停止する。これにより、モータ制御停止となり、スロットルバルブ14が閉位置となる。フェールセーフ信号が出力されても、インジェクタ11及び点火プラグ12は、マイコン20からの制御信号によって制御されるため、車両は、低速での退避走行となる。このように、車両は、退避走行制御される。
次に、本実施形態に係る電子制御装置10の効果について説明する。
本実施形態によれば、監視IC21がリセット部42を有している。したがって、マイコン20の一時的な異常に対して、リセット部42から出力されるリセット信号により、マイコン20を正常復帰させることができる。
また、マイコン20が判定部32を有しており、判定部32の判定信号が監視信号生成部31に入力される。そして、フェールセーフ信号が出力されている間は、監視信号生成部31から、監視信号として正常信号が出力される。これにより、リセット信号の出力が停止される。したがって、フェールセーフ信号の出力中にリセット信号が出力されて、所定のフェールセーフ処理が実行できなくなる、ことが抑制される。このため、マイコン20に恒久的な異常が生じたときに、フェールセーフ処理を確実に実行することができる。
特に本実施形態では、マイコン20により制御されるインジェクタ11、点火プラグ12、及びモータ15のうち、モータ15のみをフェールセーフ信号によって退避状態に保持させる。詳しくは、モータ15への通電を停止する。したがって、フェールセーフ信号が出力されても、インジェクタ11及び点火プラグ12は、マイコン20により制御される。このように、フェールセーフ信号が出力されているときには、負荷であるインジェクタ11、点火プラグ12、及びモータ15のうち、モータ15のみが制御停止になり、車両が退避走行制御の状態となる。
一方、リセット信号が出力されているときには、マイコン20がリセットされるため、インジェクタ11、点火プラグ12、及びモータ15が制御停止になる。このように、リセット信号が出力されているときには、負荷であるインジェクタ11、点火プラグ12、及びモータ15のすべてが制御停止になり、車両が駆動停止制御の状態となる。
このように、本実施形態では、マイコン120により制御される負荷の少なくとも1つについて、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なる。言い換えれば、すべての負荷の駆動状態、すなわち、インジェクタ11、点火プラグ12、及びモータ15の各駆動状態よりなる駆動パターンが、フェールセーフ信号が出力されているときと、リセット信号が出力されているときとで異なる。そして、すべての負荷の駆動状態により決定される車両の制御状態が、フェールセーフ信号が出力されているときと、リセット信号が出力されているときとで異なる。しかしながら、フェールセーフ信号の出力中にリセット信号が出力されることはないため、車両が低速での退避走行を行うことができる。すなわち、エンジンがストール状態になるのを抑制することができる。
また、恒久的なマイコン20の異常に対して所定のフェールセーフ処理を実行するために、本実施形態では、フェールセーフ信号が出力されていると、監視信号生成部31が監視信号として正常信号を出力する。したがって、監視IC21(ハードウェア)の構成を変更することなく、上記効果を奏することができる。
本実施形態では、上記したように、監視信号生成部31に判定部32の判定信号が入力される。そして、フェールセーフ信号が出力されていることを示す判定信号が入力されると、監視信号生成部31は、監視信号として正常信号を出力する例を示した。しかしながら、図5に示す第1変形例のように、第1異常検出部30に判定部32の判定信号が入力される。そして、フェールセーフ信号が出力されていることを示す判定信号が入力されると、第1異常検出部30は、マイコン20の動作状態が正常であることを示す検出信号を出力する構成を採用することもできる。この構成でも、判定部32によりフェールセーフ信号が出力されていると判定された場合、監視信号生成部31が、マイコン20の動作によらず、監視信号として正常信号を出力する。したがって、第1実施形態同様の効果を奏することができる。
(第2実施形態)
本実施形態は、先行実施形態を参照できる。このため、先行実施形態に示した電子制御装置10と共通する部分についての説明は省略する。
図6に基づき、本実施形態に係る電子制御装置10について説明する。図6は、図2に対応しており、電子制御装置10のうち、マイコン20及び監視IC21の概略構成を示している。
図6に示すように、マイコン20は、第1異常検出部30、監視信号生成部31、及び判定部32に加え、さらに設定信号生成部33を有している。また、監視IC21は、第2異常検出部40、フェールセーフ部41、及びリセット部42に加え、さらに監視有無設定部43及びANDゲート44を有している。なお、設定信号生成部33が特許請求の範囲に記載の設定信号生成手段に相当し、第2異常検出部40が異常検出手段に相当する。また、監視有無設定部43及びANDゲート44が、設定手段に相当する。
第1実施形態同様、マイコン20の判定部32には、フェールセーフ部41の出力信号が入力される。判定部32は、フェールセーフ部41の出力信号がフェールセーフ信号か否かを判定し、その判定結果を示す判定信号を、監視信号生成部31ではなく、設定信号生成部33に対して出力する。
設定信号生成部33は、判定部32の判定信号に基づいて、監視IC21の監視機能を有効又は無効に設定するための設定信号を生成し、監視IC21に対して出力する。監視機能を有効にする場合、設定信号としてたとえばHレベルの信号、監視機能を無効にする場合、設定信号としてLレベルの信号を出力する。以下において、監視機能を有効にするためのHレベルの信号を有効信号、監視機能を無効にするためのLレベルの信号を無効信号とも称する。
設定信号生成部33は、電子制御装置10の電源が投入されると初期値として有効信号を出力する。そして、判定部32により、フェールセーフ信号が出力されていると判定されるまで、有効信号を出力する。また、フェールセーフ信号が出力されていると判定されると、無効信号を出力する。すなわち、フェールセーフ部41からフェールセーフ信号が出力されている間だけ、設定信号として無効信号を出力し、それ以外は、設定信号として有効信号を出力する。
監視有無設定部43は、たとえばレジスタであり、入力される設定信号に基づいて、監視IC21によるマイコン20の監視機能の有効、無効を設定する。監視有無設定部43には設定信号が書き込まれ、これにより、監視機能の有効、無効が設定される。監視有無設定部43は、監視機能を有効にする場合にHレベルの信号(すなわち1)を出力し、監視機能を無効にする場合にLレベルの信号(すなわち0)を出力する。
ANDゲート44は、第2異常検出部40から入力される信号と、監視有無設定部43から入力される信号とに応じた信号を、フェールセーフ部41及びリセット部42に出力する。フェールセーフ信号が出力されていない期間は、監視有無設定部43からHレベルの信号が入力される。したがって、第2異常検出部40から異常信号(Hレベル)が入力されると、ANDゲート44の出力はHレベルとなる。一方、フェールセーフ信号が出力されている間は、監視有無設定部43からLレベルの信号が入力されるため、ANDゲート44の出力はLレベルとなる。
次に、図7に基づき、マイコン20に恒久的な異常が生じたときの動作について説明する。図7では、便宜上、リセットによるモータ15の駆動停止期間にハッチングを施している。
電子制御装置10の電源が投入され、且つ、フェールセーフ信号が出力されるまでは、図7に示すように、設定信号として有効信号(Hレベルの信号)が出力される。このため、監視IC21がマイコン20を監視し、第2異常検出部40から異常信号が出力されると、カウンタ41a,42aがダウンカウントする。また、監視信号生成部31は、判定部32の判定結果によらず、第1異常検出部30の検出結果のみに基づいて、監視信号を生成し、監視IC21に対して出力する。したがって、フェールセーフ信号が出力されるまでは、第1実施形態とほぼ同じ動作となる。
カウンタ41aのカウント値がゼロになると、フェールセーフ部41からフェールセーフ信号としてHレベルの信号が出力される。すると、判定部32にてフェールセーフ部41からの出力信号がフェールセーフ信号であると判定され、設定信号生成部33から、設定信号として、無効信号(Lレベルの信号)が出力される。これにより、監視有無設定部43は、監視IC21による監視機能を無効にするためにLレベルの信号を出力し、ANDゲート44の出力もLレベルとなる。したがって、リセット部42に入力されていた信号が、異常信号(Hレベルの信号)から正常状態を示すLレベルの信号に切り替わり、カウンタ42aのカウントが停止する。したがって、フェールセーフ部41からフェールセーフ信号が出力されている間、リセット信号の出力が停止される。なお、電子制御装置10の電源がオフされるまで、フェールセーフ信号は保持される。
上記したように、本実施形態に係る電子制御装置10によっても、第1実施形態同様の効果を奏することができる。
すなわち、監視IC21がリセット部42を有しているため、マイコン20の一時的な異常に対して、リセット部42から出力されるリセット信号により、マイコン20を正常復帰させることができる。
また、フェールセーフ信号が出力されている間は、設定信号生成部33から、設定信号として無効信号が出力される。これにより、リセット信号の出力が停止される。したがって、フェールセーフ信号の出力中にリセット信号が出力されて、所定のフェールセーフ処理が実行できなくなる、ことが抑制される。このため、マイコン20に恒久的な異常が生じたときに、フェールセーフ処理を確実に実行することができる。
また、フェールセーフ信号の出力中にリセット信号が出力されることはないため、車両が低速での退避走行を行うことができる。すなわち、エンジンがストール状態になるのを抑制することができる。
また、恒久的なマイコン20の異常に対して所定のフェールセーフ処理を実行するために、本実施形態では、フェールセーフ信号が出力されていると、設定信号生成部33が設定信号として無効信号を出力する。したがって、監視IC21(ハードウェア)の構成を変更することなく、上記効果を奏することができる。
(第3実施形態)
本実施形態は、先行実施形態を参照できる。このため、先行実施形態に示した電子制御装置10と共通する部分についての説明は省略する。
図8に基づき、本実施形態に係る電子制御装置10について説明する。なお、図8では、電子制御装置10を含む電子制御システムを示している。また、図8では、便宜上、マイコン20により制御される負荷、すなわちインジェクタ11、点火プラグ12、及びモータ15の図示を省略している。さらに、ETCドライバ22の図示も省略している。
電子制御装置10は、第1実施形態同様、マイコン20と、監視IC21と、図示を省略したETCドライバ22と、を備えている。さらに電子制御装置10は、図8に示すように、CAN(Controller Area Network)ドライバ23と、ORゲート24と、を備えている。CANは登録商標である。
マイコン20及び監視IC21の構成は、第1実施形態(図2参照)とほぼ同じである。異なるのは、本実施形態において、マイコン20が判定部32を有していない点と、フェールセーフ部41がフェールセーフ信号をマイコン20側に出力しない点にある。したがって、監視IC21は、図示を省略するが、第2異常検出部40、フェールセーフ部41、及びリセット部42を有している。
電子制御装置10は、CANバスを介して、CANプロトコルにしたがい、他の電子制御装置50と相互に通信を行う。他の電子制御装置50も、マイコン51やCANドライバ52などを備えている。電子制御装置10としてのエンジンECUに対し、他の電子制御装置50としてブレーキECUなどを採用することができる。以下、他の電子制御装置50を、単に電子制御装置50とも称する。
CANドライバ23,52は、周知のように、CANコントローラやCANトランシーバをそれぞれ有している。マイコン20は、CANドライバ23に対して通信データをCANバスに出力するように指示したり、電子制御装置50などの他のノードからCANバスに出力された通信データを、CANドライバ23を介して取得したりする。同じく、マイコン51は、CANドライバ52に対して通信データをCANバスに出力するように指示したり、電子制御装置10などの他のノードからCANバスに出力された通信データを、CANドライバ52を介して取得したりする。
各電子制御装置10,50は、相互に異常を監視している。本実施形態では、異常検出の一手法として、通信途絶をカウントする周知の方法を採用している。電子制御装置50には、電子制御装置10から通信データが送信される。したがって、電子制御装置50は、電子制御装置10の存在を検出でき、電子制御装置10について通信途絶カウンタを生成する。通信途絶カウンタは、たとえば時間の経過にしたがい増大し、通信データを受信するごとに初期化される。
電子制御装置10のマイコン20に異常が生じる前、電子制御装置10は、必要なタイミングで通信データを送信するので、電子制御装置50の通信途絶カウンタのカウント値が所定の閾値を超えることがない。すなわち、電子制御装置50が、マイコン20(電子制御装置10)の異常を検出することはない。一方、マイコン20に異常が生じて電子制御装置10が通信データを送信できなくなると、電子制御装置50の通信途絶カウンタが一様に増大し、閾値を超えた時点で、電子制御装置50はマイコン20の異常を検出する。
マイコン20の異常を検出すると、電子制御装置50のマイコン51は、リセット停止信号を生成する。このリセット停止信号は、電子制御装置50から出力され、電子制御装置10のORゲート24に入力される。
このORゲート24には、スイッチ53の出力信号が入力される。スイッチ53は、車両の乗員(ユーザ)によって操作されることで、リセット停止信号を出力する。ORゲート24に、電子制御装置50及びスイッチ53の少なくとも一方からリセット停止信号が入力される場合、ORゲート24は、リセット停止信号としてHレベルの信号を、マイコン20の監視信号生成部31に対して出力する。一方、電子制御装置50及びスイッチ53のいずれからもリセット停止信号が入力されない場合、ORゲート24は、Lレベルの信号を監視信号生成部31に対して出力する。すなわち、リセット停止信号の出力が停止される。以上のように、電子制御システムは、電子制御装置10,50とスイッチ53を備えている。
図9は、監視信号を生成するためのマイコン20の処理を示すフローチャートである。この処理は、電子制御装置10の電源が投入された状態で、予め設定されたタイミングで繰り返し実行される。
先ず、監視信号生成部31は、ORゲート24から入力される信号が、リセット停止信号が出力されていることを示す信号であるか否かを判定する(ステップS20)。ステップS20において、リセット停止信号が出力されていることを示す信号と判定すると、次いで、監視信号生成部31は、監視信号として、マイコン20が正常であることを示す正常信号を生成し、監視IC21に出力する(ステップS21)。そして、一連の処理を終了する。
ステップS20において、リセット停止信号が出力されていないことを示す信号と判定すると、次いで、監視信号生成部31は、第1異常検出部30から入力される信号が、マイコン20の動作正常を示す信号であるか否かを判定する(ステップS22)。そして、ステップS22において、マイコン20の動作正常を示す信号であると判定すると、監視信号生成部31が上記したステップS21の処理を実行する。そして、一連の処理を終了する。
ステップS22において、マイコン20の動作正常を示す信号ではないと判定すると、監視信号生成部31が、監視信号として、マイコン20が異常であることを示す異常信号を生成し、監視IC21に出力する(ステップS23)。そして、一連の処理を終了する。
なお、マイコン20に恒久的な異常が生じたときの動作については、第1実施形態(図4参照)と基本的に同じであるため、図示を省略する。異なるのは、ORゲート24からリセット停止信号が出力されると、監視信号生成部31から監視信号として正常信号が出力され、これにより、リセット信号の出力が停止される点にある。
上記したように、本実施形態に係る電子制御装置10によっても、第1実施形態同様の効果を奏することができる。
すなわち、監視IC21がリセット部42を有しているため、マイコン20の一時的な異常に対して、リセット部42から出力されるリセット信号により、マイコン20を正常復帰させることができる。
また、電子制御装置50及びスイッチ53の少なくとも一方からリセット停止信号が出力されている間は、監視信号生成部31から、監視信号として正常信号が出力される。本実施形態では、ORゲート24からリセット停止信号が入力されると、監視信号生成部31が、監視信号として正常信号を出力する。そして、リセット部42からのリセット信号の出力が停止される。したがって、フェールセーフ信号の出力中にリセット信号が出力されて、所定のフェールセーフ処理が実行できなくなる、ことが抑制される。このため、マイコン20に恒久的な異常が生じたときに、フェールセーフ処理を確実に実行することができる。
また、フェールセーフ信号の出力中にリセット信号が出力されることはないため、車両が低速での退避走行を行うことができる。すなわち、エンジンがストール状態になるのを抑制することができる。
また、恒久的なマイコン20の異常に対して所定のフェールセーフ処理を実行するために、本実施形態では、リセット停止信号が出力されていると、監視信号生成部31が監視信号として正常信号を出力する。したがって、監視IC21(ハードウェア)の構成を変更することなく、上記効果を奏することができる。
なお、リセット停止信号を出力する外部機器として、電子制御装置50とスイッチ53の両方を備える例を示した。しかしながら、電子制御装置50及びスイッチ53の一方のみを備える構成としてもよい。この場合、ORゲート24は不要となる。外部機器として電子制御装置50を採用する場合、乗員が操作することなく、リセット停止信号を出力できる。外部機器としてスイッチ53を採用する場合、エンジンのストール状態を乗員が判断した上で、リセット停止信号を出力することができる。
本実施形態では、監視信号生成部31にリセット停止信号が入力され、監視信号生成部31が、監視信号として正常信号を出力する例を示した。しかしながら、上記した第1変形例(図5参照)のように、第1異常検出部30にリセット停止信号が入力され、第1異常検出部30が、マイコン20の動作状態が正常であることを示す検出信号を出力する構成を採用することもできる。
リセット停止信号が出力されている場合、第1異常検出部30は、マイコン20の動作状態によらず、マイコン20が正常に動作していることを示す検出信号を出力する。このため、監視信号生成部31は、マイコン20の動作によらず、監視信号として正常信号を出力する。したがって、上記実施形態と同様の効果を奏することができる。なお、ORゲート24を有する場合、監視信号生成部31にはORゲート24からリセット停止信号が入力される。ORゲート24を有さない場合、すなわち、外部機器として電子制御装置50及びスイッチ53の一方のみを備える構成の場合、監視信号生成部31には外部機器からリセット停止信号が入力される。
(第4実施形態)
本実施形態は、先行実施形態を参照できる。このため、先行実施形態に示した電子制御装置10と共通する部分についての説明は省略する。
図10に基づき、本実施形態に係る電子制御装置10について説明する。なお、図10では、第3実施形態(図8参照)同様、電子制御装置10を含む電子制御システムを示している。また、便宜上、マイコン20により制御される負荷、すなわちインジェクタ11、点火プラグ12、及びモータ15の図示を省略している。さらに、ETCドライバ22の図示も省略している。
電子制御装置10は、第3実施形態同様、マイコン20と、監視IC21と、図示を省略したETCドライバ22と、CANドライバ23と、ORゲート24と、を備えている。マイコン20及び監視IC21の構成は、第2実施形態(図6参照)とほぼ同じである。異なるのは、本実施形態において、マイコン20が判定部32を有していない点と、フェールセーフ部41がフェールセーフ信号をマイコン20側に出力しない点にある。したがって、マイコン20は、図示しないが、第1異常検出部30及び監視信号生成部31も有している。また、監視IC21は、図示しないが、第2異常検出部40、フェールセーフ部41、リセット部42、及びANDゲート44も有している。
各電子制御装置10,50は、相互に異常を監視している。本実施形態でも、第3実施形態同様、異常検出の一手法として、通信途絶をカウントする周知の方法を採用している。マイコン20に異常が生じて電子制御装置10が通信データを送信できなくなると、電子制御装置50の通信途絶カウンタが一様に増大し、閾値を超えた時点で、電子制御装置50はマイコン20の異常を検出する。マイコン20の異常を検出すると、電子制御装置50のマイコン51は、リセット停止信号を生成する。このリセット停止信号は、電子制御装置50から出力され、電子制御装置10のORゲート24に入力される。
また、ORゲート24には、第3実施形態同様、スイッチ53の出力信号も入力される。ORゲート24に、電子制御装置50及びスイッチ53の少なくとも一方からリセット停止信号が入力される場合、ORゲート24は、リセット停止信号としてHレベルの信号を、マイコン20の設定信号生成部33に対して出力する。一方、電子制御装置50及びスイッチ53のいずれからもリセット停止信号が入力されない場合、ORゲート24は、Lレベルの信号を設定信号生成部33に対して出力する。すなわち、リセット停止信号の出力が停止される。
なお、マイコン20に恒久的な異常が生じたときの動作については、第2実施形態(図6参照)と基本的に同じであるため、図示を省略する。異なるのは、ORゲート24からリセット停止信号が出力されると、設定信号生成部33から設定信号として無効信号が出力され、これにより、リセット信号の出力が停止される点にある。
上記したように、本実施形態に係る電子制御装置10によっても、第2実施形態同様の効果を奏することができる。
すなわち、監視IC21がリセット部42を有しているため、マイコン20の一時的な異常に対して、リセット部42から出力されるリセット信号により、マイコン20を正常復帰させることができる。
また、リセット停止信号が出力されている間は、設定信号生成部33から、設定信号として無効信号が出力される。これにより、リセット信号の出力が停止される。したがって、フェールセーフ信号の出力中にリセット信号が出力されて、所定のフェールセーフ処理が実行できなくなる、ことが抑制される。このため、マイコン20に恒久的な異常が生じたときに、フェールセーフ処理を確実に実行することができる。
また、フェールセーフ信号の出力中にリセット信号が出力されることはないため、車両が低速での退避走行を行うことができる。すなわち、エンジンがストール状態になるのを抑制することができる。
また、恒久的なマイコン20の異常に対して所定のフェールセーフ処理を実行するために、本実施形態では、リセット停止信号が出力されていると、設定信号生成部33が設定信号として無効信号を出力する。したがって、監視IC21(ハードウェア)の構成を変更することなく、上記効果を奏することができる。
なお、本実施形態においても、リセット停止信号を出力する外部機器として、電子制御装置50とスイッチ53の両方を備える例を示したが、電子制御装置50及びスイッチ53の一方のみを備える構成としてもよい。この場合、ORゲート24は不要となる。この場合、設定信号生成部33には外部機器からリセット停止信号が入力される。
(第5実施形態)
本実施形態は、先行実施形態を参照できる。このため、先行実施形態に示した電子制御装置10と共通する部分についての説明は省略する。
図11に基づき、本実施形態に係る電子制御装置10について説明する。図11は、図2に対応しており、電子制御装置10のうち、マイコン20及び監視IC21の概略構成を示している。
図11に示すように、マイコン20は、第1異常検出部30及び監視信号生成部31に加え、フェールセーフ部34をさらに有している。また、監視IC21は、第2異常検出部40及びリセット部42を有している。なお、フェールセーフ部34が、特許請求の範囲に記載のフェールセーフ手段に相当する。
フェールセーフ部34には、第1異常検出部30の検出信号が入力される。フェールセーフ部34は、負荷の少なくとも1つを予め設定された退避状態に保持させるために、マイコン20の異常を示す検出信号に基づいてフェールセーフ信号を生成し、出力する。本実施形態でも、モータ15のみを退避状態に保持させるために、ETCドライバ22に対してフェールセーフ信号を出力する。フェールセーフ信号により、モータ15への通電が停止され、スロットルバルブ14は閉位置となる。さらにフェールセーフ部34は、フェールセーフ信号を監視信号生成部31にも出力する。
フェールセーフ部34は、カウンタ34aを有している。カウンタ34aは、異常信号の入力をトリガとし、内部クロックにしたがってダウンカウントする。そして、カウント値がゼロになると、フェールセーフ信号としてHレベルの信号を出力する。フェールセーフ部34は、カウンタ34aのカウント値がゼロになるまで、Lレベルの信号を出力する。カウンタ34aのカウント値、すなわちフェールセーフ部34の出力は、電子制御装置10の電源が投入されている間において保持される。車両のイグニッションキーがオフされて、電子制御装置10の電源がオフされると、カウンタ34aのカウント値はクリアされる。したがって、フェールセーフ信号が出力されると、電子制御装置10の電源がオフされるまでフェールセーフ信号の出力状態が保持される。
監視信号生成部31は、第1実施形態同様、第1異常検出部30の検出信号に基づいて、監視IC21がマイコン20の動作の妥当性を監視するための監視信号を生成する。監視信号生成部31は、マイコン20の動作が正常な場合、監視信号として正常信号を出力し、異常な場合、監視信号として異常信号を出力する。監視信号生成部31には、フェールセーフ部34の出力信号が入力される。監視信号生成部31は、フェールセーフ部34の出力信号がフェールセーフ信号の場合、第1異常検出部30から出力された検出信号によらず、監視信号として正常信号を生成し、監視IC21に出力する。
一方、フェールセーフ部34からフェールセーフ信号が出力されていない場合、監視信号生成部31は、第1異常検出部30から出力された検出信号に基づいて監視信号を生成し、監視IC21に出力する。たとえば、検出信号がマイコン20の動作正常を示す信号である場合、監視信号生成部31は、監視信号として正常信号を生成して出力する。また、検出信号がマイコン20の動作異常を示す信号である場合、監視信号生成部31は、監視信号として異常信号を生成して出力する。
第2異常検出部40には、第1実施形態同様、監視信号生成部31から監視信号が入力される。第2異常検出部40は、監視信号に基づいて、マイコン20が正常であるか否かを判定する。そして、マイコン20が正常ではないと判定、すなわちマイコン20の異常を検出すると、異常信号を出力する。
リセット部42は、第1実施形態同様、異常信号が入力されると、マイコン20をリセットするためのリセット信号を生成し、マイコン20に出力する。
次に、図12に基づき、マイコン20に恒久的な異常が生じたときの動作について説明する。図12では、便宜上、リセットによるモータ15の駆動停止期間にハッチングを施している。図12に示す動作は、基本的に第1実施形態に示す動作(図4参照)と同じである。監視IC21側のフェールセーフ部41に代えて、マイコン20側にフェールセーフ部34がある点が異なる。
第1異常検出部30が、マイコン20の異常を示す信号を出力すると、フェールセーフ部34のカウンタ34aがカウントを開始し、内部クロックにしたがって異常確定閾値からダウンカウントする。そして、カウント値がゼロになると、フェールセーフ部34からフェールセーフ信号(Hレベルの信号)が出力される。
また、監視信号としての異常信号をトリガとして、リセット部42のカウンタ42aもカウントを開始し、内部クロックにしたがってリセット閾値からダウンカウントする。そして、カウント値がゼロになると、一定時間、Hレベルの信号を出力する。この信号は、NOTゲート42bにて反転されて、Lレベルの信号となる。本実施形態でも、異常確定閾値のほうがリセット閾値よりも大きい値が設定されている。したがって、異常信号の出力後、カウンタ42aの値が、カウンタ34aの値よりも先にゼロになる。これにより、マイコン20がリセットされる。
カウンタ42aのカウント値は、一定時間経過後クリアされ、リセット閾値がセットされる。しかしながら、図12に示すように、マイコン20に恒久的な異常が生じている場合には、異常信号が継続して出力されるため、カウンタ42aが、再度ダウンカウントを開始する。本実施形態では、カウンタ42aの2回目のダウンカウントの途中に、カウンタ34aの値がゼロになる。
カウンタ34aのカウント値がゼロになると、フェールセーフ部34からフェールセーフ信号(Hレベルの信号)が出力される。すると、監視信号生成部31から、監視信号として正常信号が出力される。これにより、第2異常検出部40は、マイコン20が正常であると判定し、Lレベルの信号を出力する。したがって、リセット部42に入力されていた信号が、異常信号から正常状態を示すLレベルの信号に切り替わり、カウンタ42aのカウントが停止する。第2異常検出部40の出力信号が、異常信号(Hレベル)から正常状態を示すLレベルの信号に切り替わっても、電子制御装置10の電源がオフされるまで、フェールセーフ信号が保持される。したがって、フェールセーフ部34からフェールセーフ信号が出力されている間、リセット信号の出力が停止される。
上記したように、本実施形態に係る電子制御装置10によっても、第1実施形態同様の効果を奏することができる。
すなわち、監視IC21がリセット部42を有しているため、マイコン20の一時的な異常に対して、リセット部42から出力されるリセット信号により、マイコン20を正常復帰させることができる。
また、フェールセーフ部34からフェールセーフ信号が出力されている間は、監視信号生成部31から、監視信号として正常信号が出力される。これにより、リセット信号の出力が停止される。したがって、フェールセーフ信号の出力中にリセット信号が出力されて、所定のフェールセーフ処理が実行できなくなる、ことが抑制される。このため、マイコン20に恒久的な異常が生じたときに、フェールセーフ処理を確実に実行することができる。
また、フェールセーフ信号の出力中にリセット信号が出力されることはないため、車両が低速での退避走行を行うことができる。すなわち、エンジンがストール状態になるのを抑制することができる。
また、恒久的なマイコン20の異常に対して所定のフェールセーフ処理を実行するために、本実施形態では、フェールセーフ信号が出力されていると、監視信号生成部31が監視信号として正常信号を出力する。したがって、監視IC21(ハードウェア)の構成を変更することなく、上記効果を奏することができる。
本実施形態では、上記したように、フェールセーフ部34の出力が監視信号生成部31に入力され、フェールセーフ信号が出力されている場合に、監視信号生成部31は、監視信号として正常信号を出力する例を示した。しかしながら、第1変形例(図5参照)に示したように、フェールセーフ部34の出力信号が第1異常検出部30に入力され、フェールセーフ信号が出力されている場合に、第1異常検出部30は、マイコン20の動作状態が正常であることを示す検出信号を出力する構成を採用することもできる。
以上、本発明の好ましい実施形態について説明したが、本発明は上記実施形態になんら制限されることなく、本発明の主旨を逸脱しない範囲において、種々変形して実施することが可能である。
電子制御装置10が備える監視部は、監視IC21に限定されない。たとえば、マイコン20とは別に設けられた監視マイコンを採用することもできる。
電子制御装置10としては、エンジンECUに限定されない。エンジンECU以外の車載ECUを採用することもできる。また、車載にも限定されない。
マイコン20により、インジェクタ11、点火プラグ12、及び電子スロットル13のモータ15が制御され、フェールセーフ処理時にはモータ15の駆動のみが停止され、リセット時には、インジェクタ11、点火プラグ12、及びモータ15の駆動が停止される例を示した。
しかしながら、本発明は、マイコン120により制御される負荷の少なくとも1つについて、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なるものであれば、適用することができる。言い換えれば、すべての負荷の駆動状態よりなる駆動パターンが、フェールセーフ信号が出力されているときと、リセット信号が出力されているときとで異なるものであれば、採用することができる。さらに言い換えれば、すべての負荷の駆動状態により決定される車両の制御状態が、フェールセーフ信号が出力されているときと、リセット信号が出力されているときとで異なるものであれば適用することができる。
したがって、マイコン20により制御される負荷(制御対象)の数は特に限定されない。また、負荷も、インジェクタ11、点火プラグ12、及びモータ15に限定されない。たとえば、マイコン20により制御される負荷が1つのみであっても、フェールセーフ処理時とリセット時とで、負荷の駆動状態が異なるものであれば、本発明を適用することができる。
フェールセーフ部41が、複数の負荷のうち、負荷の1つを予め設定された退避状態に保持させるために、異常信号に基づいてフェールセーフ信号を出力する例を示した。しかしながら、すべての負荷を予め設定された退避状態に保持させるために、フェールセーフ信号を出力する構成にも適用できる。また、すべての負荷の一部である複数の負荷を予め設定された退避状態に保持させるために、フェールセーフ信号を出力する構成にも適用できる。上記したように、マイコン120により制御される負荷の少なくとも1つについて、フェールセーフ信号が出力されているときの駆動状態と、リセット信号が出力されているときの駆動状態とが異なるものであればよい。
カウンタ41a,42aとして、ダウンカウンタの例を示したが、アップカウンタを採用することもできる。
第3実施形態及び第4実施形態では、外部機器としての電子制御装置50を1つのみ備える例を示したが、外部機器として複数の電子制御装置を備える構成としてもよい。
第3実施形態及び第4実施形態では、ネットワークの通信プロトコルとしてCANを採用する例を示した。しかしながら、上記例に限定されるものではない。通信プロトコルとしては、たとえばFlexRay(登録商標)を採用することもできる。電子制御装置50としては、バスを介して電子制御装置10(マイコン20)の異常を監視でき、異常が生じていると判定したときにリセット停止信号を生成できる構成であればよい。
電子制御装置10が、図13に示す第2変形例のように、フェールセーフ信号の出力中にリセット信号が出力されるか否かを設定できるように構成されてもよい。図13において、マイコン20は、第1異常検出部30、監視信号生成部31、フェールセーフ部34に加えて、コンフィグレーション部35、ANDゲート36、及びORゲート37をさらに有している。すなわち、第5実施形態(図11参照)に、コンフィグレーション部35、ANDゲート36、及びORゲート37を追加した構成となっている。
コンフィグレーション部35は、マイコン20の機能部として構成されている。コンフィグレーション部35には、フェールセーフ信号出力中のリセット信号の出力停止、及び、フェールセーフ信号出力中のリセット信号の出力許可のいずれかが設定されている。たとえば、出力停止の場合、Hレベルの信号(すなわち1)が設定され、出力許可の場合、Lレベルの信号(すなわち0)が設定される。コンフィグレーション部35には、予め、出力停止及び出力許可のいずれかが設定されている。
ANDゲート36には、コンフィグレーション部35に設定されている信号と、フェールセーフ部34の出力信号が入力される。そして、入力される信号がともにHレベルの信号の場合、ANDゲート36は、Hレベルの信号を出力する。したがって、コンフィグレーション部35に出力許可が設定されている場合、ANDゲート36の出力は、フェールセーフ部34の出力信号によらずLレベルとなる。
ORゲート37には、ANDゲート36の出力と、第1異常検出部30から出力された検出信号が入力される。ORゲート37は、入力される信号の少なくとも一方がHレベルの場合に、Hレベルの信号を監視信号生成部31に出力する。フェールセーフ信号が出力され、且つ、コンフィグレーション部35に出力停止が設定されている場合、ORゲート37の出力は、Hレベルとなる。
監視信号生成部31は、ORゲート37からHレベルの信号が入力されると、監視信号として、マイコン20の動作が正常であることを示す正常信号を出力する。フェールセーフ信号が出力され、且つ、コンフィグレーション部35に出力停止が設定されている場合、監視信号生成部31は、正常信号を出力する。したがって、フェールセーフ信号の出力中にリセット信号が出力されるのを抑制することができる。
なお、図13に対し、フェールセーフ部41を追加した構成を採用することもできる。この場合、2つのフェールセーフ部34,41のうち、先に出力されるフェールセーフ信号によって、フェールセーフ処理が実行される。2つのフェールセーフ部34,41を有するため、フェールセーフ処理をより確実に実行することができる。
図13では、コンフィグレーション部35に設定されている信号と、フェールセーフ部34の出力信号が、ANDゲート36に入力される例を示した。しかしながら、フェールセーフ部34に代えて、フェールセーフ部41の出力信号が、ANDゲート36に入力される構成を採用することもできる。
また、ORゲート37の出力信号が、監視信号生成部31ではなく、第1異常検出部30に入力される構成を採用することもできる。ORゲート37の出力がHレベルの場合、第1異常検出部30は、マイコン20の動作状態によらず、検出信号としてマイコン20の動作が正常であることを示す信号を出力する。このため、監視信号生成部31が、監視信号として、マイコン20の動作が正常であることを示す正常信号を出力し、リセットが停止となる。
さらには、第3実施形態に示した構成(図8参照)に、図13に示す構成、すなわちコンフィグレーション部35、ANDゲート36、及びORゲート37をさらに有する構成を組み合わせることもできる。
10…電子制御装置、11…インジェクタ、12…点火プラグ、13…電子スロットル、14…スロットルバルブ、15…モータ、20…マイコン、21…監視IC、22…ETCドライバ、23…CANドライバ、24…ORゲート、30…第1異常検出部、31…監視信号生成部、32…判定部、33…設定信号生成部、34…フェールセーフ部、34a…カウンタ、35…コンフィグレーション部、36…ANDゲート、37…ORゲート、40…第2異常検出部、41…フェールセーフ部、41a…カウンタ、42…リセット部、42a…カウンタ、42b…NOTゲート、43…監視有無設定部、44…ANDゲート、50…他の電子制御装置、51…マイコン、52…CANドライバ、53…スイッチ

Claims (11)

  1. 少なくとも1つの負荷の駆動を制御する制御部(20)と、
    前記制御部が正常に動作しているか否かを監視する監視部(21)と、を備え、
    前記制御部が、
    該制御部の動作状態を検出する第1異常検出手段(30)と、
    前記第1異常検出手段の検出信号に基づいて、前記制御部の動作の妥当性を監視するための監視信号を生成し、前記監視部に出力する監視信号生成手段(31)と、を有し、
    前記監視部が、
    前記監視信号に基づいて前記制御部の異常を検出し、異常信号を出力する第2異常検出手段(40)と、
    前記負荷の少なくとも1つを予め設定された退避状態に保持させるために、前記異常信号に基づいてフェールセーフ信号を出力するフェールセーフ手段(41)と、
    前記異常信号に基づいて、前記制御部をリセットするためのリセット信号を出力するリセット手段(42)と、を有し、
    前記制御部により制御される前記負荷の少なくとも1つについて、前記フェールセーフ信号が出力されているときの駆動状態と、前記リセット信号が出力されているときの駆動状態とが異なる電子制御装置であって、
    前記制御部が、前記フェールセーフ手段から前記フェールセーフ信号が出力されているか否かを判定する判定手段(32)をさらに有し、
    前記判定手段により前記フェールセーフ信号が出力されていると判定された場合に、前記監視信号生成手段は、前記制御部の動作によらず、前記監視信号として前記制御部が正常であることを示す正常信号を出力することを特徴とする電子制御装置。
  2. 少なくとも1つの負荷の駆動を制御する制御部(20)と、
    前記制御部が正常に動作しているか否かを監視する監視部(21)と、を備え、
    前記監視部が、
    前記制御部の異常を検出し、異常信号を出力する異常検出手段(40)と、
    前記負荷の少なくとも1つを予め設定された退避状態に保持させるために、前記異常信号に基づいてフェールセーフ信号を出力するフェールセーフ手段(41)と、
    前記異常信号に基づいて、前記制御部をリセットするためのリセット信号を出力するリセット手段(42)と、
    前記監視部の監視機能を有効又は無効に設定する設定手段(43,44)と、を有し、
    前記制御部により制御される前記負荷の少なくとも1つについて、前記フェールセーフ信号が出力されているときの駆動状態と、前記リセット信号が出力されているときの駆動状態とが異なる電子制御装置であって、
    前記制御部が、
    前記フェールセーフ手段から前記フェールセーフ信号が出力されているか否かを判定する判定手段(32)と、
    前記設定手段が監視機能を設定するための設定信号を生成して出力する設定信号生成手段(33)と、を有し、
    前記設定手段は、前記設定信号に基づいて前記監視部の監視機能を有効又は無効に設定し、
    前記判定手段により前記フェールセーフ信号が出力されていると判定された場合に、前記設定信号生成手段は、前記設定信号として前記監視部による監視機能を無効にするための信号を出力することを特徴とする電子制御装置。
  3. 少なくとも1つの負荷の駆動を制御する制御部(20)と、
    前記制御部が正常に動作しているか否かを監視する監視部(21)と、を備え、
    前記制御部が、
    該制御部の動作状態を検出する第1異常検出手段(30)と、
    前記第1異常検出手段の検出信号に基づいて、前記制御部の動作の妥当性を監視するための監視信号を生成し、前記監視部に出力する監視信号生成手段(31)と、を有し、
    前記監視部が、
    前記監視信号に基づいて前記制御部の異常を検出し、異常信号を出力する第2異常検出手段(40)と、
    前記負荷の少なくとも1つを予め設定された退避状態に保持させるために、前記異常信号に基づいてフェールセーフ信号を出力するフェールセーフ手段(41)と、
    前記異常信号に基づいて、前記制御部をリセットするためのリセット信号を出力するリセット手段(42)と、を有し、
    外部機器(50,53)からの信号を取得し、
    前記制御部により制御される前記負荷の少なくとも1つについて、前記フェールセーフ信号が出力されているときの駆動状態と、前記リセット信号が出力されているときの駆動状態とが異なる電子制御装置であって、
    前記外部機器から前記リセット信号の出力を停止させるためのリセット停止信号が出力されている場合に、前記監視信号生成手段は、前記制御部の動作によらず、前記監視信号として前記制御部が正常であることを示す正常信号を出力することを特徴とする電子制御装置。
  4. 前記外部機器(50)としての他の電子制御装置と相互に異常を監視する請求項3に記載の電子制御装置であって、
    前記他の電子制御装置から前記リセット停止信号が出力されている場合に、前記監視信号生成手段は、前記監視信号として前記正常信号を出力することを特徴とする電子制御装置。
  5. 前記外部機器(53)としての、ユーザにより操作されるスイッチから信号を取得する請求項3に記載の電子制御装置であって、
    前記スイッチから前記リセット停止信号が出力されている場合に、前記監視信号生成手段は、前記監視信号として前記正常信号を出力することを特徴とする電子制御装置。
  6. 少なくとも1つの負荷の駆動を制御する制御部(20)と、
    前記制御部が正常に動作しているか否かを監視する監視部(21)と、を備え、
    前記監視部が、
    前記制御部の異常を検出し、異常信号を出力する異常検出手段(40)と、
    前記負荷の少なくとも1つを予め設定された退避状態に保持させるために、前記異常信号に基づいてフェールセーフ信号を出力するフェールセーフ手段(41)と、
    前記異常信号に基づいて、前記制御部をリセットするためのリセット信号を出力するリセット手段(42)と、
    前記監視部の監視機能を有効又は無効に設定する設定手段(43)と、を有し、
    外部機器(50,53)からの信号を取得し、
    前記制御部により制御される前記負荷の少なくとも1つについて、前記フェールセーフ信号が出力されているときの駆動状態と、前記リセット信号が出力されているときの駆動状態とが異なる電子制御装置であって、
    前記制御部が、前記設定手段が監視機能を設定するための設定信号を生成して出力する設定信号生成手段(33)を有し、
    前記設定手段は、前記設定信号に基づいて前記監視部の監視機能を有効又は無効に設定し、
    前記外部機器から前記リセット信号の出力を停止させるためのリセット停止信号が出力されている場合に、前記設定信号生成手段は、前記設定信号として前記監視部による監視機能を無効にするための無効信号を出力することを特徴とする電子制御装置。
  7. 前記外部機器(50)としての他の電子制御装置と相互に異常を監視する請求項6に記載の電子制御装置であって、
    前記他の電子制御装置から前記リセット停止信号が出力されている場合に、前記設定信号生成手段は、前記設定信号として前記無効信号を出力することを特徴とする電子制御装置。
  8. 前記外部機器(53)としての、ユーザにより操作されるスイッチから信号を取得する請求項6に記載の電子制御装置であって、
    前記スイッチから前記リセット停止信号が出力されている場合に、前記設定信号生成手段は、前記設定信号として前記無効信号を出力することを特徴とする電子制御装置。
  9. 少なくとも1つの負荷の駆動を制御する制御部(20)と、
    前記制御部が正常に動作しているか否かを監視する監視部(21)と、を備え、
    前記制御部が、
    該制御部の動作状態を検出し、検出信号として出力する第1異常検出手段(30)と、
    前記検出信号に基づいて、前記制御部の動作の妥当性を監視するための監視信号を生成し、前記監視部に出力する監視信号生成手段(31)と、
    前記負荷の少なくとも1つを予め設定された退避状態に保持させるために、前記検出信号として出力される前記制御部の異常を示す信号に基づいて、フェールセーフ信号を出力するフェールセーフ手段(34)と、
    を有し、
    前記監視部が、
    前記監視信号に基づいて前記制御部の異常を検出し、異常信号を出力する第2異常検出手段(40)と、
    前記異常信号に基づいて、前記制御部をリセットするためのリセット信号を出力するリセット手段(42)と、を有し、
    前記制御部により制御される前記負荷の少なくとも1つについて、前記フェールセーフ信号が出力されているときの駆動状態と、前記リセット信号が出力されているときの駆動状態とが異なる電子制御装置であって、
    前記フェールセーフ手段から前記フェールセーフ信号が出力されている場合に、前記監視信号生成手段は、前記制御部の動作によらず、前記監視信号として前記制御部が正常であることを示す正常信号を出力することを特徴とする電子制御装置。
  10. 前記制御部が、複数の前記負荷を制御する請求項1〜9いずれか1項に記載の電子制御装置であって、
    前記フェールセーフ信号により、複数の前記負荷のうちの一部のみが、予め設定された退避状態に保持され、前記制御部により制御される前記負荷の少なくとも1つについて、前記フェールセーフ信号が出力されているときの駆動状態と、前記リセット信号が出力されているときの駆動状態とが異なることを特徴とする電子制御装置。
  11. 車両に搭載され、前記制御部が、複数の前記負荷として、スロットルバルブ(14)を開閉するためのモータ(15)、インジェクタ(11)、及び点火プラグ(12)を制御する請求項10に記載の電子制御装置であって、
    前記フェールセーフ信号により、前記モータ、前記インジェクタ、及び前記点火プラグのうち、前記モータの駆動が停止されることを特徴とする電子制御装置。
JP2015129179A 2015-01-08 2015-06-26 電子制御装置 Active JP6406139B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102015226818.7A DE102015226818B4 (de) 2015-01-08 2015-12-29 Elektronische Steuervorrichtung

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2015002445 2015-01-08
JP2015002445 2015-01-08

Publications (2)

Publication Number Publication Date
JP2016130511A true JP2016130511A (ja) 2016-07-21
JP6406139B2 JP6406139B2 (ja) 2018-10-17

Family

ID=56415397

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015129179A Active JP6406139B2 (ja) 2015-01-08 2015-06-26 電子制御装置

Country Status (1)

Country Link
JP (1) JP6406139B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018025121A (ja) * 2016-08-09 2018-02-15 日立オートモティブシステムズ株式会社 電子制御装置
JP2018067239A (ja) * 2016-10-21 2018-04-26 株式会社デンソー 電子制御装置
US10467889B2 (en) 2017-02-16 2019-11-05 Infineon Technologies Ag Alarm handling circuitry and method of handling an alarm

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002089336A (ja) * 2000-09-19 2002-03-27 Nissan Motor Co Ltd 車両用電子制御システムの故障検出装置
JP2003328827A (ja) * 2002-05-14 2003-11-19 Toyota Motor Corp 車両の制御装置
JP2008287643A (ja) * 2007-05-21 2008-11-27 Mitsubishi Electric Corp 電子コントロールユニットの監視装置
JP2010127162A (ja) * 2008-11-27 2010-06-10 Denso Corp スロットル制御システムのフェールセーフ装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002089336A (ja) * 2000-09-19 2002-03-27 Nissan Motor Co Ltd 車両用電子制御システムの故障検出装置
JP2003328827A (ja) * 2002-05-14 2003-11-19 Toyota Motor Corp 車両の制御装置
JP2008287643A (ja) * 2007-05-21 2008-11-27 Mitsubishi Electric Corp 電子コントロールユニットの監視装置
JP2010127162A (ja) * 2008-11-27 2010-06-10 Denso Corp スロットル制御システムのフェールセーフ装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018025121A (ja) * 2016-08-09 2018-02-15 日立オートモティブシステムズ株式会社 電子制御装置
CN107703906A (zh) * 2016-08-09 2018-02-16 日立汽车系统株式会社 电子控制装置
JP2018067239A (ja) * 2016-10-21 2018-04-26 株式会社デンソー 電子制御装置
US10467889B2 (en) 2017-02-16 2019-11-05 Infineon Technologies Ag Alarm handling circuitry and method of handling an alarm

Also Published As

Publication number Publication date
JP6406139B2 (ja) 2018-10-17

Similar Documents

Publication Publication Date Title
JP6406139B2 (ja) 電子制御装置
US6230094B1 (en) Electronic control system and method having monitor program
JP5967059B2 (ja) 車両用電子制御装置
US9739368B2 (en) Method and device for monitoring a drive of a motor vehicle
US9477542B2 (en) Electronic control unit
JP2016186309A (ja) 制御装置
JP4753085B2 (ja) 内燃機関の制御装置
JPH0588924A (ja) 自動車のマルチコンピユータシステム
CN105781766A (zh) 用于曲轴转角传感器的故障诊断装置以及故障诊断方法
JP2009127574A (ja) 内燃機関の制御装置
JP3883842B2 (ja) 車両用電子制御装置
JP6299564B2 (ja) 電子制御装置
JP2019185575A (ja) 制御装置および制御方法
US9719431B2 (en) Avoidance of a safety fuel cut-off during partial engine operation
JP2010244311A (ja) 車載用電子制御装置
US8912745B2 (en) Method for operating a motor control unit for a drive system
JP6398829B2 (ja) 電子制御装置
JP2011145900A (ja) マルチプロセッサ装置
JP2011017275A (ja) 電子制御装置
JP2007211714A (ja) エンジン制御装置,異常判定装置およびプログラム
JP2003155954A (ja) 車両用電子制御装置
JP2014019416A (ja) 車両制御装置
JP3883840B2 (ja) 車両用電子制御装置
JP6434287B2 (ja) 車両制御システム
WO2016129243A1 (ja) 車両の制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170907

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180618

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180626

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180727

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180821

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180903

R151 Written notification of patent or utility model registration

Ref document number: 6406139

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250