JP2016203764A - 車両の電子制御装置 - Google Patents
車両の電子制御装置 Download PDFInfo
- Publication number
- JP2016203764A JP2016203764A JP2015086468A JP2015086468A JP2016203764A JP 2016203764 A JP2016203764 A JP 2016203764A JP 2015086468 A JP2015086468 A JP 2015086468A JP 2015086468 A JP2015086468 A JP 2015086468A JP 2016203764 A JP2016203764 A JP 2016203764A
- Authority
- JP
- Japan
- Prior art keywords
- microcomputer
- unit
- reset
- monitoring
- signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 claims abstract description 89
- 230000005856 abnormality Effects 0.000 claims abstract description 38
- 238000005259 measurement Methods 0.000 claims abstract description 9
- 238000000034 method Methods 0.000 claims description 24
- 238000007781 pre-processing Methods 0.000 claims description 9
- 238000001514 detection method Methods 0.000 abstract description 15
- 230000007274 generation of a signal involved in cell-cell signaling Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 238000004092 self-diagnosis Methods 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2205—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
- G06F11/2215—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test error correction or detection circuits
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
Abstract
【課題】演算部の異常の誤検出を抑制することのできる車両の電子制御装置を提供する。
【解決手段】車両の電子制御装置1は、ウォッチドッグ信号Swdを出力する演算部としてマイコン10と、ウォッチドッグ信号Swdに基づいてマイコン10の状態を監視する監視部としての監視IC20とを備える。監視IC20は、マイコン10からのウォッチドッグ信号Swdの出力が停止することに基づいてマイコン10をリセットするとともに、マイコン10のリセットが行われた回数であるリセット回数を計測し、当該リセット回数が所定のリセット回数閾値以上になることに基づいてマイコン10の異常を検出する。監視IC20は、マイコン10のリセット要求に基づいてマイコン10をリセットする。監視IC20は、マイコン10のリセット要求に基づいてマイコン10をリセットする際に、リセット回数の計測を停止する。
【選択図】図1
【解決手段】車両の電子制御装置1は、ウォッチドッグ信号Swdを出力する演算部としてマイコン10と、ウォッチドッグ信号Swdに基づいてマイコン10の状態を監視する監視部としての監視IC20とを備える。監視IC20は、マイコン10からのウォッチドッグ信号Swdの出力が停止することに基づいてマイコン10をリセットするとともに、マイコン10のリセットが行われた回数であるリセット回数を計測し、当該リセット回数が所定のリセット回数閾値以上になることに基づいてマイコン10の異常を検出する。監視IC20は、マイコン10のリセット要求に基づいてマイコン10をリセットする。監視IC20は、マイコン10のリセット要求に基づいてマイコン10をリセットする際に、リセット回数の計測を停止する。
【選択図】図1
Description
本発明は、車両の電子制御装置に関する。
この種の車両の電子制御装置としては、特許文献1に記載の電子制御装置がある。特許文献1に記載の電子制御装置は、マイクロプロセッサと、ウォッチドッグタイマとを備えている。マイクロプロセッサはウォッチドッグ信号をウォッチドッグタイマに送信している。ウォッチドッグ信号は、論理ハイレベルと論理ローレベルとを周期的に繰り返すパルス信号である。ウォッチドッグタイマは、マイクロプロセッサからウォッチドッグ信号が送信されているか否かを監視している。マイクロプロセッサに何らかの異常が生じると、マイクロプロセッサがウォッチドッグ信号を出力できなくなる。ウォッチドッグタイマは、マイクロプロセッサからのウォッチドッグ信号の出力が停止したとき、マイクロプロセッサに異常が生じたと判定してリセット信号をマイクロプロセッサに出力する。リセット信号がマイクロプロセッサにより受信されることにより、マイクロプロセッサが初期化及び再起動される。
ところで、マイクロプロセッサ等の演算部は、車両のイグニッションスイッチがオフされた後にシャットダウンの前処理を行うことがある。シャットダウンの前処理は、イグニッションスイッチがオフ操作された時点から電子制御装置がシャットダウン(停止)されるまでに行われる処理であり、例えば演算部に搭載されたRAM(Random Access Memory)のリードライトチェック等である。
RAMのリードライトチェック中またはチェック終了後にイグニッションスイッチがオン操作されると、イグニッションスイッチのオン操作に伴い演算部が再起動した際に、RAMに異常データが記憶されている可能性がある。この場合、再起動した演算部がRAMの記憶されたデータをそのまま用いると、異常データに基づく演算が行われる可能性がある。これを回避するために、例えばRAMのリードライトチェック中にイグニッションスイッチがオン操作された場合には、演算部が意図的にウォッチドッグ信号の送信を停止すればよい。これにより、監視部としてのウォッチドッグタイマから演算部にリセット信号が送信されるため、演算部が初期化及び再起動される。すなわち、RAMの記憶データも初期化されるため、RAMに記憶された異常データを演算部が用いることを回避できる。
しかしながら、このような方法を用いると、演算部からのウォッチドッグ信号の出力が停止した場合、それが演算部の意図的なものであるか、演算部の異常に起因するものであるかを監視部は判定することができない。そのため、演算部が意図的にウォッチドッグ信号の送信を停止した状況であるにも関わらず、監視部が演算部の異常を誤検出するおそれがある。
本発明は、こうした実情に鑑みてなされたものであり、その目的は、演算部の異常の誤検出を抑制することのできる車両の電子制御装置を提供することにある。
上記課題を解決するために、車両の電子制御装置(1)は、ウォッチドッグ信号(Swd)を出力する演算部(10)と、ウォッチドッグ信号に基づいて演算部の状態を監視する監視部(20)とを備える。監視部は、演算部からのウォッチドッグ信号の出力が停止することに基づいて演算部をリセットするとともに、演算部のリセットが行われた回数であるリセット回数を計測し、当該リセット回数が所定のリセット回数閾値以上になることに基づいて演算部の異常を検出する。監視部は、演算部のリセット要求に基づいて演算部をリセットする。監視部は、演算部のリセット要求に基づいて演算部をリセットする際に、リセット回数の計測を停止する。
この構成によれば、演算部の意図的なリセット要求に基づいて演算部のリセットが行われた場合には、監視部はリセット回数の計測を行わない。これにより、演算部の意図的なリセット要求に基づいて監視部が演算部の異常を検出することを回避できるため、演算部の異常の誤検出を抑制することができる。
なお、上記手段、及び特許請求の範囲に記載の括弧内の符号は、後述する実施形態に記載の具体的手段との対応関係を示す一例である。
本発明によれば、演算部の異常の誤検出を抑制することができる。
以下、車両の電子制御装置の一実施形態について説明する。図1に示される車両の電子制御装置1は、車両のスロットルモータ2の駆動を制御する。スロットルモータ2はスロットルバルブ3を開閉するための動力源である。スロットルバルブ3は車載エンジンの吸気通路に設けられている。スロットルバルブ3は、その開閉動作により、車載エンジンに取り込まれる吸入空気量を調整する。
電子制御装置1は、演算部としてのマイクロコントローラ10と、監視部としての監視IC20と、駆動部30と、メインリレー40とを備えている。以下では、便宜上、マイクロコントローラ10を「マイコン10」と略記する。
駆動部30は、マイコン10から出力される駆動信号Sdに基づいてスロットルモータ2を駆動させる。また、駆動部30は、マイコン10又は監視IC20から出力される遮断要求信号Scを受信すると、停止する。すなわち、スロットルモータ2が停止する。スロットルモータ2が停止することにより、スロットルバルブ3の開度がMLT(Mechanical Limp home Throttle)開度に設定される。
マイコン10には、スロットル開度センサ6の出力信号及びアクセル開度センサ7の出力信号がそれぞれ取り込まれている。スロットル開度センサ6は、スロットルバルブ3の開度を検出し、その検出値に応じた信号を出力する。アクセル開度センサ7は、車両のアクセルペダルの踏み込み量を検出し、その検出値に応じた信号を出力する。マイコン10は、スロットル開度センサ6の出力信号及びアクセル開度センサ7の出力信号に基づいてスロットルバルブ3の開度及びアクセルペダルの踏み込み量のそれぞれの情報を取得する。マイコン10は、スロットルバルブ3の開度及びアクセルペダルの踏み込み量に基づいて駆動部30を駆動させることにより、スロットルモータ2の出力トルクを制御し、スロットルバルブ3の開度を調整する。
マイコン10は、イグニッションスイッチ4のオン操作に基づいて起動するとともに、イグニッションスイッチ4のオフ操作に基づいて停止する。具体的には、イグニッションスイッチ4のオン操作に基づいて起動した際、初期化処理を行う。初期化処理は、例えばマイコン10のRAM18の初期化や割り込み設定等を行う処理である。また、マイコン10は、イグニッションスイッチ4がオフ操作された際、シャットダウンの前処理を行う。シャットダウンの前処理は、イグニッションスイッチ4がオフ操作された時点から電子制御装置1がシャットダウン(停止)されるまでに行われる処理であり、例えばRAM18のリードライトチェック等を行う処理である。マイコン10は、シャットダウンの前処理が終了した後にシャットダウン(停止)する。
マイコン10は、監視IC20にウォッチドッグ信号Swdを出力している。ウォッチドッグ信号Swdは、論理ハイレベルと論理ローレベルとを周期的に繰り返すパルス信号である。監視IC20は、マイコン10から出力されるウォッチドッグ信号Swdに基づいてマイコン10の状態を監視している。監視IC20は、マイコン10からのウォッチドッグ信号Swdの出力が停止された場合、マイコン10に異常が生じたと判定する。この場合、監視IC20は、駆動部30に遮断要求信号Scを出力することにより、駆動部30を停止させる。また、監視IC20は、マイコン10に遮断要求信号Scを出力することにより、マイコン10により実行されている制御を通常制御からフェイルセーフ制御に切り替える。
次に、マイコン10及び監視IC20の構成について詳しく説明する。
マイコン10は、電源制御部11と、制御信号生成部12と、モニタ部13と、マイコン監視部14と、状態管理部15と、MCU(Microcontroller Unit)ドライバ16と、WD( Watch Dog)出力部17とを備えている。また、マイコン10は、RAM18やROM19等の記憶装置を備えている。
マイコン10は、電源制御部11と、制御信号生成部12と、モニタ部13と、マイコン監視部14と、状態管理部15と、MCU(Microcontroller Unit)ドライバ16と、WD( Watch Dog)出力部17とを備えている。また、マイコン10は、RAM18やROM19等の記憶装置を備えている。
電源制御部11には、車両のバッテリ5からイグニッションスイッチ4を介してバッテリ電圧VBが印加されている。すなわち、イグニッションスイッチ4がオンされることにより電源制御部11にバッテリ電圧VBが印加される。電源制御部11は、バッテリ電圧VBが印加されると、メインリレー40をオンさせる。これにより、バッテリ電圧VBが動作電圧としてメインリレー40を介してマイコン10の各種電子部品に印加され、マイコン10が起動する。
イグニッションスイッチ4がオフされると、電源制御部11へのバッテリ電圧VBの印加が遮断される。電源制御部11は、バッテリ電圧VBの印加が遮断されると、マイコン10のシャットダウンの前処理が終了したか否かを判断する。電源制御部11は、マイコン10のシャットダウンの前処理が終了した場合には、メインリレー40をオフさせる。これにより、バッテリ5からマイコン10への電力供給が遮断され、マイコン10が停止する。
制御信号生成部12には、電子制御装置1の入力部51,61を介してスロットル開度センサ6の出力信号及びアクセル開度センサ7の出力信号がそれぞれ取り込まれている。制御信号生成部12は、スロットル開度センサ6の出力信号及びアクセル開度センサ7の出力信号に基づいてスロットルバルブ3の開度及びアクセルペダルの踏み込み量のそれぞれの情報を取得する。制御信号生成部12は、スロットルバルブ3の開度及びアクセルペダルの踏み込み量に基づいてスロットルモータ2の出力トルクの目標値を設定するとともに、当該出力トルクの目標値に応じた駆動信号Sdを生成し、当該駆動信号Sdを駆動部30に出力する。駆動部30は、制御信号生成部12から出力される駆動信号Sdに基づいてスロットルモータ2を駆動させる。これにより、スロットルモータ2の出力トルクが目標値に制御され、スロットルバルブ3が開閉動作する。このように、制御信号生成部12はスロットルモータ2のトルク制御を行う部分である。
モニタ部13は入力部51,61及び制御信号生成部12の状態を監視している。モニタ部13は、入力部51,61及び制御信号生成部12のいずれかに異常が生じた場合には、遮断要求信号Scを駆動部30に出力することによりスロットルモータ2を停止させる。
具体的には、電子制御装置1は、スロットル開度センサ6の出力信号を取り込む部分として、入力部51とは別に入力部52を備えている。また、電子制御装置1は、アクセル開度センサ7の出力信号を取り込む部分として、入力部61とは別に入力部62を備えている。モニタ部13には、入力部51,52を介してスロットル開度センサ6の出力信号が取り込まれている。また、モニタ部13には、入力部61,62を介してアクセル開度センサ7の出力信号が取り込まれている。
モニタ部13は、入力部51を介して入力されるスロットル開度センサ6の出力信号と、入力部52を介して入力されるスロットル開度センサ6の出力信号とを比較する。モニタ部13は、前者と後者とが互いに異なる場合には、入力部51に異常が生じたと判断する。モニタ部13は、入力部51の異常を検出した場合には、駆動部30に遮断要求信号Scを出力することにより、スロットルモータ2を停止させる。
モニタ部13は、入力部61を介して入力されるアクセル開度センサ7の出力信号と、入力部62を介して入力されるアクセル開度センサ7の出力信号とを比較する。モニタ部13は、前者と後者とが互いに異なる場合には、入力部61に異常が生じたと判断する。モニタ部13は、入力部52の異常を検出した場合には、駆動部30に遮断要求信号Scを出力することにより、スロットルモータ2を停止させる。
モニタ部13は、入力部51を介して入力されるスロットル開度センサ6の出力信号に基づいてスロットルモータ2の許容出力トルクを演算する。また、モニタ部13は、入力部52を介して入力されるアクセル開度センサ7の出力信号に基づいてスロットルモータ2の推定出力トルクを演算する。モニタ部13は、許容出力トルクと推定出力トルクとに基づいて、制御信号生成部12の演算値に異常が生じているか否かを判断する。モニタ部13は、制御信号生成部12の演算値に異常が生じていると判断した場合には、駆動部30に遮断要求信号Scを出力することにより、スロットルモータ2を停止させる。
以下では、便宜上、モニタ部13により実行される処理を「モニタ処理」と称する。
状態管理部15は、マイコン10の各種電子部品の状態を管理している。状態管理部15は、各種電子部品のいずれかの部位に異常が発生すると、リセット要求信号をMCUドライバ16に出力する。
状態管理部15は、マイコン10の各種電子部品の状態を管理している。状態管理部15は、各種電子部品のいずれかの部位に異常が発生すると、リセット要求信号をMCUドライバ16に出力する。
MCUドライバ16は、マイコン10の初期化、リセット、及びシャットダウンを制御する。MCUドライバ16は、状態管理部15から出力されるリセット要求信号を受信すると、マイコン監視部14に対してリセット要求信号を出力する。
マイコン監視部14は、RAM18やROM19に加え、マイコン10に実装されているソフトウェアのフローやインストラクションを自己診断する。マイコン監視部14は自己診断結果を監視IC20にSPI( Serial Peripheral Interface)通信により出力する。
マイコン監視部14は、MCUドライバ16から出力されるリセット要求信号を受信すると、WD出力部17にリセット要求信号を出力する。
マイコン監視部14は、監視IC20から遮断要求信号Scが出力されたか否かを監視している。マイコン監視部14は、監視IC20から遮断要求信号Scが出力されたことを検出した場合、マイコン10により実行される制御を通常制御からフェイルセーフ制御に切り替える処理等を行う。
マイコン監視部14は、マイコン10がシャットダウンの前処理でRAM18のリードライトチェックを行っている期間にイグニッションスイッチ4がオン操作された場合には、リセット要求信号を監視IC20に出力する。以下、当該リセット要求信号と、マイコン10の異常に起因してマイコン監視部14から出力されるリセット要求信号とを区別するために、前者のリセット要求信号を「意図的なリセット要求信号」と称する。
WD出力部17は、監視IC20にウォッチドッグ信号Swdを出力している。WD出力部17は、マイコン監視部14から出力されるリセット要求信号を受信した場合、ウォッチドッグ信号Swdの出力を停止する。
監視IC20は、異常検出部21と、WD監視部22と、リセット回数計測部23とを有している。
異常検出部21は、マイコン監視部14から出力される自己診断結果に基づいてマイコン10に異常が生じているか否かを判定する。異常検出部21は、自己診断結果に基づいてマイコン10に異常が生じていると判定した場合には、遮断要求信号Scをマイコン10及び駆動部30に出力する。
WD監視部22は、マイコン10からウォッチドッグ信号Swdが出力されているか否かを監視する。WD監視部22は、マイコン10からのウォッチドッグ信号Swdの出力が停止すると、マイコン10にリセット信号Srを出力する。リセット信号Srは、例えば論理ハイレベルから論理ローレベルに切り替わる信号である。このリセット信号Srがマイコン10に入力されると、マイコン10がリセットされる。WD監視部22は、リセット信号Srを出力する都度、その旨をリセット回数計測部23に通知する。
リセット回数計測部23は、WD監視部22からの通知に基づいてリセット回数Crを計測している。リセット回数Crは、マイコン10のリセットが行われた回数を示している。リセット回数計測部23は、リセット回数Crに対応したカウンタを有しており、WD監視部22からの通知に基づいてカウンタの値をインクリメントすることによりリセット回数Crを計測している。リセット回数計測部23は、リセット回数Crが所定のリセット回数閾値Crth以上になることに基づいてマイコン10の異常を検出し、遮断要求信号Scをマイコン10及び駆動部30に出力する。
次に、マイコン10に異常が生じた際の動作について説明する。
例えばマイコン監視部14の自己診断によりマイコン10の異常が検出された場合、マイコン監視部14の自己診断結果に基づいて監視IC20がマイコン10の異常を検出する。この場合、監視IC20から駆動部30に遮断要求信号Scが出力されることにより、スロットルモータ2が停止する。また、監視IC20からマイコン10に遮断要求信号Scが出力されることにより、マイコン10により実行されている制御が通常制御からフェイルセーフ制御に切り替わる。
例えばマイコン監視部14の自己診断によりマイコン10の異常が検出された場合、マイコン監視部14の自己診断結果に基づいて監視IC20がマイコン10の異常を検出する。この場合、監視IC20から駆動部30に遮断要求信号Scが出力されることにより、スロットルモータ2が停止する。また、監視IC20からマイコン10に遮断要求信号Scが出力されることにより、マイコン10により実行されている制御が通常制御からフェイルセーフ制御に切り替わる。
状態管理部15によりマイコン10の異常が検出された場合には、状態管理部15からリセット要求信号が出力されることにより、マイコン10から監視IC20へのウォッチドッグ信号Swdの出力が停止される。同様に、暴走等によりマイコン10の動作に異常が生じると、マイコン10から監視IC20へのウォッチドッグ信号Swdの出力が停止される。この場合、監視IC20からマイコン10にリセット信号Srが出力されるため、マイコン10のリセットが行われる。
例えば運転者がイグニッションスイッチ4をオフ操作した直後にオン操作した場合には、マイコン10がシャットダウンの前処理中にRAM18のリードライトチェックを行っている期間にイグニッションスイッチ4がオン操作されることになる。この場合、マイコン監視部14が意図的なリセット要求信号を出力することにより、マイコン10から監視IC20へのウォッチドッグ信号Swdの出力が停止される。この場合、監視IC20からマイコン10にリセット信号Srが出力されるため、マイコン10のリセットが行われる。
また、マイコン10のリセットが所定のリセット回数閾値Crth以上行われると、駆動部30に遮断要求信号Scが出力されることにより、スロットルモータ2が停止する。さらに、監視IC20からマイコン10に遮断要求信号Scが出力されることにより、マイコン10がフェイルセーフ制御を実行する。
ところで、このような電子制御装置1では、イグニッションスイッチ4のオン及びオフが短時間に繰り返されると、マイコン監視部14から意図的なリセット要求信号が連続して出力される。これにより、リセット回数計測部23により計測されるリセット回数Crがリセット回数閾値Crth以上になると、監視IC20がマイコン10に異常が生じたと判定するおそれがある。この場合、マイコン10に異常が生じていないにも関わらず、監視IC20から遮断要求信号Scが出力されるため、マイコン10がフェイルセーフ制御を実行したり、駆動部30の動作が停止する等の不都合が生じるおそれがある。
そこで、本実施形態の電子制御装置1では、マイコン監視部14が意図的なリセット要求信号を送信している場合には、リセット回数計測部23がリセット回数Crの計測を停止する。以下、その内容について詳しく説明する。
マイコン10は、図2及び図3に示される処理を所定の周期で繰り返し実行する。図2に示されるように、マイコン10は、起動した後(ステップS1)、初期化処理を実行する(ステップS2)。ステップS2の処理に続いて、マイコン10は、監視IC20のリセット回数閾値Crthを設定するとともに(ステップS3)、リセット回数Crの計測を開始させる(ステップS4)。具体的には、マイコン監視部14がリセット回数閾値Crthを設定するとともに、当該リセット回数閾値CrthをSPI通信により監視IC20のリセット回数計測部23に送信する。その後、マイコン監視部14は、リセット回数の計測の開始をリセット回数計測部23に対して指示する。
ステップS4の処理に続いて、マイコン10は、制御信号生成部12によりスロットルモータ2のトルク制御を実行するとともに(ステップS5)、モニタ部13によりモニタ処理を実行する(ステップS6)。また、マイコン10は、マイコン監視部14によりマイコン10の監視処理を実行する(ステップS7)。
ステップS7の処理に続いて、図3に示されるように、マイコン10は、イグニッションスイッチ4の今回の検出状態がオン状態であるか否かを判断する(ステップS8)。なお、マイコン10は、イグニッションスイッチ4の状態を所定の周期で検出している。マイコン10は、イグニッションスイッチ4の今回の検出状態がオン状態である場合には(ステップS8:YES)、イグニッションスイッチ4の前回の検出状態がオン状態であるか否かを判断する(ステップS12)。マイコン10は、イグニッションスイッチ4の前回の検出状態がオン状態である場合には(ステップS12:YES)、図2のステップS5の処理に戻る。
図3に示されるように、マイコン10は、ステップS12の処理においてイグニッションスイッチ4の前回の検出状態がオフ状態であると判断した場合には(ステップS12:NO)、監視IC20によるリセット回数Crの計測を停止する処理を実行するとともに(ステップS13)、監視IC20へのウォッチドッグ信号Swdの出力を停止する(ステップS14)。なお、ステップS14の処理は無限ループ処理である。
マイコン10は、ステップS8の処理においてイグニッションスイッチ4の今回の検出状態がオン状態でない判断した場合には(ステップS8:NO)、すなわちイグニッションスイッチ4がオフ状態である場合には、シャットダウンの前処理としてRAM18のリードライトチェックを行う(ステップS9)。その後、マイコン10は、シャットダウンの前処理を終了した後(ステップS10)、停止する(ステップS11)。
なお、マイコン10は、ステップS9の処理及びステップS10の処理の実行期間中に、各々周期的にイグニッションスイッチ4の状態を検出している。マイコン10は、ステップS9の処理及びステップS10の処理の実行期間中にイグニッションスイッチ4がオンされたことを検出した場合には、監視IC20によるリセット回数Crの計測を停止する処理、並びに監視IC20へのウォッチドッグ信号Swdの出力を停止する処理を実行する。
次に、本実施形態の電子制御装置1の作用及び効果について説明する。
図4(A)に示されるようにイグニッションスイッチ4がオン状態であるときに、図4(B)に示されるようにマイコン10から監視IC20にウォッチドッグ信号Swdが正常に出力されているとする。このような状況で、図4(A)に示されるように、時刻t1でイグニッションスイッチ4がオフ操作されると、マイコン10がシャットダウンの前処理を開始する。すなわち、マイコン10は、時刻t1以降、RAM18のリードライトチェックを行う。
図4(A)に示されるようにイグニッションスイッチ4がオン状態であるときに、図4(B)に示されるようにマイコン10から監視IC20にウォッチドッグ信号Swdが正常に出力されているとする。このような状況で、図4(A)に示されるように、時刻t1でイグニッションスイッチ4がオフ操作されると、マイコン10がシャットダウンの前処理を開始する。すなわち、マイコン10は、時刻t1以降、RAM18のリードライトチェックを行う。
マイコン10がRAM18のリードライトチェックを行っている期間中の時刻t2でイグニッションスイッチ4がオン操作されると、マイコン監視部14から意図的なリセット要求信号が出力される。よって、図4(B)に示されるように、マイコン10は時刻t2でウォッチドッグ信号Swdの出力を停止する。この際、マイコン10は、監視IC20によるリセット回数Crの計測を停止させる。
その後、監視IC20が、時刻t3で、マイコン10からのウォッチドッグ信号Swdの出力が停止したと判断すると、リセット信号Srをマイコン10に出力する。よって、図4(E)に示されるように、時刻t3でマイコン10がリセットされる。この際、監視IC20によるリセット回数Crの計測が停止されているため、図4(D)に示されるように、時刻t3のマイコン10のリセットが監視IC20により計測されることはない。すなわち、監視IC20は、マイコン10の意図的なリセット要求に基づいてマイコン10のリセットが行われた場合には、リセット回数Crの計測を行わない。これにより、マイコン10の意図的なリセット要求に基づいて監視IC20がマイコン10の異常を検出することを回避できるため、監視IC20によるマイコン10の異常の誤検出を抑制することができる。結果的に、監視IC20によりマイコン10の異常をより精度良く検出することができるため、マイコン10の異常時における駆動部30の停止処理や、マイコン10のフェイルセーフ制御をより適切に実行することができる。
その後、時刻t4でマイコン10が起動すると、図4(B)に示されるように、マイコン10はウォッチドッグ信号Swdの出力を再開する。この際、マイコン10は、監視IC20のリセット回数閾値Crthを設定するとともに、リセット回数Crの計測を開始させる。これにより、監視IC20によるリセット回数Crの監視機能が適切に復帰する。
なお、上記実施形態は、以下の形態にて実施することもできる。
・電子制御装置1の構成は、スロットルモータ2の駆動を制御するものに限らず、例えばパワートレイン制御を行う電子制御装置や、トランスミッション制御などを行う電子制御装置等に適用することも可能である。
・電子制御装置1の構成は、スロットルモータ2の駆動を制御するものに限らず、例えばパワートレイン制御を行う電子制御装置や、トランスミッション制御などを行う電子制御装置等に適用することも可能である。
・本発明は上記の具体例に限定されるものではない。すなわち、上記の具体例に、当業者が適宜設計変更を加えたものも、本発明の特徴を備えている限り、本発明の範囲に包含される。例えば、前述した各具体例が備える各要素及びその配置や条件等は、例示したものに限定されるわけではなく適宜変更することができる。また、前述した実施形態が備える各要素は、技術的に可能な限りにおいて組み合わせることができ、これらを組み合わせたものも本発明の特徴を含む限り本発明の範囲に包含される。
Swd:ウォッチドッグ信号
1:電子制御装置
10:マイコン(演算部)
20:監視IC(監視部)
1:電子制御装置
10:マイコン(演算部)
20:監視IC(監視部)
Claims (3)
- 車両の電子制御装置(1)であって、
ウォッチドッグ信号(Swd)を出力する演算部(10)と、
前記ウォッチドッグ信号に基づいて前記演算部の状態を監視する監視部(20)と、を備え、
前記監視部は、
前記演算部からの前記ウォッチドッグ信号の出力が停止することに基づいて前記演算部をリセットするとともに、前記演算部のリセットが行われた回数であるリセット回数を計測し、当該リセット回数が所定のリセット回数閾値以上になることに基づいて前記演算部の異常を検出するとともに、
前記演算部のリセット要求に基づいて前記演算部をリセットするものであり、
前記演算部のリセット要求に基づいて前記演算部をリセットする際に、前記リセット回数の計測を停止することを特徴とする車両の電子制御装置。 - 請求項1に記載の車両の電子制御装置において、
前記演算部は、起動した際に初期化処理を行うものであり、
前記監視部は、前記演算部の初期化処理の際に、前記リセット回数閾値を設定するとともに、前記リセット回数の計測を開始することを特徴とする車両の電子制御装置。 - 請求項1又は2に記載の車両の電子制御装置において、
前記演算部は、
車両のイグニッションスイッチがオフ操作された後に電子制御装置がシャットダウンされるまでにシャットダウンの前処理を行うとともに、
前記シャットダウンの前処理中に前記イグニッションスイッチがオン操作された際に前記監視部に対してリセット要求を行うことを特徴とする車両の電子制御装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015086468A JP6443202B2 (ja) | 2015-04-21 | 2015-04-21 | 車両の電子制御装置 |
| DE102016206537.8A DE102016206537A1 (de) | 2015-04-21 | 2016-04-19 | Elektronische steuereinheit für ein fahrzeug |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015086468A JP6443202B2 (ja) | 2015-04-21 | 2015-04-21 | 車両の電子制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016203764A true JP2016203764A (ja) | 2016-12-08 |
| JP6443202B2 JP6443202B2 (ja) | 2018-12-26 |
Family
ID=57110711
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015086468A Active JP6443202B2 (ja) | 2015-04-21 | 2015-04-21 | 車両の電子制御装置 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP6443202B2 (ja) |
| DE (1) | DE102016206537A1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019125250A (ja) * | 2018-01-18 | 2019-07-25 | 株式会社デンソーテン | 電源管理装置および電源管理方法 |
| JP2019168835A (ja) * | 2018-03-22 | 2019-10-03 | 株式会社デンソー | 電子制御装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004362139A (ja) * | 2003-06-03 | 2004-12-24 | Hitachi Ltd | 制御装置 |
| JP2007185998A (ja) * | 2006-01-11 | 2007-07-26 | Advics:Kk | 車両用電子制御システム |
| JP2013178736A (ja) * | 2012-02-01 | 2013-09-09 | Renesas Electronics Corp | ウォッチドッグ回路、電源ic、及びウォッチドッグ監視システム |
| JP2014061793A (ja) * | 2012-09-21 | 2014-04-10 | Hitachi Automotive Systems Ltd | 自動車用電子制御装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001235598A (ja) | 2000-02-22 | 2001-08-31 | Hitachi Ltd | 放射性物質乾式貯蔵設備 |
| JP3881177B2 (ja) | 2001-02-06 | 2007-02-14 | 三菱電機株式会社 | 車両用制御装置 |
-
2015
- 2015-04-21 JP JP2015086468A patent/JP6443202B2/ja active Active
-
2016
- 2016-04-19 DE DE102016206537.8A patent/DE102016206537A1/de not_active Ceased
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004362139A (ja) * | 2003-06-03 | 2004-12-24 | Hitachi Ltd | 制御装置 |
| JP2007185998A (ja) * | 2006-01-11 | 2007-07-26 | Advics:Kk | 車両用電子制御システム |
| JP2013178736A (ja) * | 2012-02-01 | 2013-09-09 | Renesas Electronics Corp | ウォッチドッグ回路、電源ic、及びウォッチドッグ監視システム |
| JP2014061793A (ja) * | 2012-09-21 | 2014-04-10 | Hitachi Automotive Systems Ltd | 自動車用電子制御装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019125250A (ja) * | 2018-01-18 | 2019-07-25 | 株式会社デンソーテン | 電源管理装置および電源管理方法 |
| JP7000172B2 (ja) | 2018-01-18 | 2022-01-19 | 株式会社デンソーテン | 電源管理装置および電源管理方法 |
| JP2019168835A (ja) * | 2018-03-22 | 2019-10-03 | 株式会社デンソー | 電子制御装置 |
| US11010225B2 (en) | 2018-03-22 | 2021-05-18 | Denso Corporation | Electronic control unit including a break-output section configured to output a break signal to interrupt an input of a monitoring signal to an external monitoring circuit |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6443202B2 (ja) | 2018-12-26 |
| DE102016206537A1 (de) | 2016-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5739290B2 (ja) | 電子制御装置 | |
| US9058419B2 (en) | System and method for verifying the integrity of a safety-critical vehicle control system | |
| JP5967059B2 (ja) | 車両用電子制御装置 | |
| US10649487B2 (en) | Fail-safe clock monitor with fault injection | |
| JP5244981B2 (ja) | マイクロコンピュータ及びその動作方法 | |
| CN110594028B (zh) | 节气门自学习的控制方法、装置及电子控制单元 | |
| US20100174448A1 (en) | Method and device for operating a control unit | |
| JP3970196B2 (ja) | エンジン用吸気量制御装置及びエンジン用吸気量制御方法 | |
| JP6443202B2 (ja) | 車両の電子制御装置 | |
| JP2010244311A (ja) | 車載用電子制御装置 | |
| JP6153815B2 (ja) | 自動車用の電子制御装置 | |
| JP2016113968A (ja) | 車両用制御装置および制御方法 | |
| JP2016071771A (ja) | 制御装置及び監視装置 | |
| JP3923810B2 (ja) | 車両用電子制御装置 | |
| JP6428537B2 (ja) | 電子制御装置及びコンピュータプログラム | |
| JP6984512B2 (ja) | 電子制御装置 | |
| JP2002089336A (ja) | 車両用電子制御システムの故障検出装置 | |
| JP5533777B2 (ja) | プログラム群 | |
| JP2009003663A (ja) | 電源制御装置 | |
| JPH06138000A (ja) | 電子制御装置 | |
| JP2002196948A (ja) | 演算制御装置 | |
| JP2006195739A (ja) | 電子制御装置 | |
| US20180137000A1 (en) | Method of ensuring operation of calculator | |
| WO2013073009A1 (ja) | マイコンシステム、監視マイコン | |
| JP7200883B2 (ja) | 電子制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171006 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180626 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180628 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180822 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181030 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181112 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6443202 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |