JP2017199129A - On-vehicle control device - Google Patents

On-vehicle control device Download PDF

Info

Publication number
JP2017199129A
JP2017199129A JP2016088202A JP2016088202A JP2017199129A JP 2017199129 A JP2017199129 A JP 2017199129A JP 2016088202 A JP2016088202 A JP 2016088202A JP 2016088202 A JP2016088202 A JP 2016088202A JP 2017199129 A JP2017199129 A JP 2017199129A
Authority
JP
Japan
Prior art keywords
control device
ram
memory
diagnosis
vehicle control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016088202A
Other languages
Japanese (ja)
Inventor
啓人 栗原
Hiroto Kurihara
啓人 栗原
務 赤池
Tsutomu Akaike
務 赤池
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2016088202A priority Critical patent/JP2017199129A/en
Publication of JP2017199129A publication Critical patent/JP2017199129A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Techniques For Improving Reliability Of Storages (AREA)
  • For Increasing The Reliability Of Semiconductor Memories (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an on-vehicle control device capable of detecting a short-circuit failure caused from a foreign matter existing between neighboring memory cells at a stage as early as possible.SOLUTION: Disclosed on-vehicle control device diagnoses a RAM by comparing a current supplied to the RAM and a threshold level after writing bit value different from each other to neighboring memory cells.SELECTED DRAWING: Figure 1

Description

本発明は、車両が搭載する機器を制御する車載制御装置に関する。   The present invention relates to an in-vehicle control device that controls equipment mounted on a vehicle.

車両が搭載している機器を制御する車載制御装置は、制御演算を実施するマイコンを備える。マイコンは一般に、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)などを備える。RAMは、CPUが使用するデータを一時的に記憶する記憶装置である。RAMが異常になるとマイコンは正しい演算を実施することができず不具合が生じるので、車載制御装置はRAMを診断する機能を備えている。   An in-vehicle control device that controls equipment mounted on a vehicle includes a microcomputer that performs control calculation. The microcomputer generally includes a CPU (Central Processing Unit), a ROM (Read Only Memory), a RAM (Random Access Memory), and the like. The RAM is a storage device that temporarily stores data used by the CPU. If the RAM becomes abnormal, the microcomputer cannot perform a correct calculation and causes a problem, so the in-vehicle control device has a function of diagnosing the RAM.

下記特許文献1は、RAMを診断する手法を記載している。同文献においては、所定診断タイミング毎に、診断対象のRAM領域に対して所定の値を書き込み、その値を読み出すことを繰り返し実施する。書き込んだ値と読み出した値が一致しない場合、RAMが故障していると判断し、自動車が危険な状態に陥らないようにフェールセーフ処理を実施する。例えば、RAM故障による誤った制御を防止するため、ドライバーの操縦指示による変速制御は無効とし、変速比を固定とすることにより、安全側に倒した制御を実施する。   The following Patent Document 1 describes a method for diagnosing a RAM. In this document, for each predetermined diagnosis timing, a predetermined value is written into the RAM area to be diagnosed and the value is read out repeatedly. If the written value does not match the read value, it is determined that the RAM has failed, and fail-safe processing is performed so that the automobile does not fall into a dangerous state. For example, in order to prevent erroneous control due to a RAM failure, the shift control based on the driver's steering instruction is invalidated, and the control that is tilted to the safe side is performed by fixing the gear ratio.

特開2000−137501号公報JP 2000-137501 A

車載制御装置のマイコンが備えるRAMは、半導体製造工程において混入した異物により隣接するトランジスタや配線がショートすること、長期使用による劣化不良、などが原因となって、車両の走行中に故障する可能性がある。   The RAM included in the microcomputer of the in-vehicle control device may break down while the vehicle is running due to short-circuiting of adjacent transistors and wiring due to foreign matters mixed in the semiconductor manufacturing process, deterioration due to long-term use, etc. There is.

一般的に知られているRAMの故障モードとしては例えば以下のものがある。これらの故障モードが1つでも発生した場合、故障したメモリセルは、期待する値をライトもしくはリードすることが不可能となる。   Examples of generally known failure modes of RAM include the following. If any one of these failure modes occurs, the failed memory cell cannot write or read an expected value.

(故障その1)メモリセルの値が「0」または「1」に固定される縮退故障
(故障その2)あるメモリセルが格納している値が変化するのと連動して他のメモリセルの値も変化するカプリング故障
(故障その3)メモリアドレスを正しく選択できないアドレスデコーダ故障
(故障その4)あるメモリセルに隣接する上下左右のメモリセルが記憶している値の影響を受けて、当該メモリセルが記憶している値も変化する、パターンセンシティブ故障 (Failure 1) A stuck-at fault in which the value of the memory cell is fixed to “0” or “1” (Failure 2) In conjunction with the change in the value stored in a certain memory cell, Coupling fault whose value also changes (fault 3) Address decoder fault that cannot correctly select the memory address (fault 4) The memory is affected by the value stored in the upper, lower, left and right memory cells adjacent to the memory cell. Pattern sensitive failure where the value stored by the cell also changes

自動車が走行中に、上記に代表されるRAM故障が発生し、かつ故障したメモリセルが自動変速機やエンジンの制御において使用されている場合、当該制御は正常に動作することができず、その結果として自動車が意図しない挙動をする可能性がある。   If a RAM failure represented by the above occurs while the vehicle is running and the failed memory cell is used in the control of an automatic transmission or engine, the control cannot operate normally. As a result, the car may behave unintentionally.

上記特許文献1が記載しているRAM診断方法は、RAMを構成するメモリセル(1ビットのデータを記憶する記憶素子)が完全に故障し、期待する値をライトもしくはリードすることが完全に不可能となるに至った場合は、RAM不良を検知することができると考えられる。   The RAM diagnostic method described in Patent Document 1 described above completely fails to write or read an expected value because a memory cell (memory element that stores 1-bit data) constituting the RAM completely fails. When it becomes possible, it is considered that a RAM failure can be detected.

メモリセル上に異物が付着し、それが何らかの原因で移動して隣接するメモリセル間に異物が付着すると、その隣接するメモリセルが短絡し、RAM故障を引き起こす場合がある。ただし、メモリセル間の短絡状態によっては、短絡によって生じる電位変動が判定閾値に至らない程度にとどまる場合がある。この場合は短絡故障が生じていたとしても、書き込んだ値と同じ値を読み出すことができる。上記特許文献1記載の診断手法は、このような故障を検出することは困難である。   When a foreign substance adheres on a memory cell and moves for some reason and a foreign substance adheres between adjacent memory cells, the adjacent memory cell may be short-circuited to cause a RAM failure. However, depending on the short circuit state between the memory cells, the potential fluctuation caused by the short circuit may not reach the determination threshold. In this case, even if a short circuit failure has occurred, the same value as the written value can be read. The diagnostic technique described in Patent Document 1 is difficult to detect such a failure.

他方、このような短絡故障を放置すると、短絡状態が進行してメモリセル間が完全に短絡し、RAM故障として診断されることになると想定される。このように将来RAM故障として顕出する潜在的な故障は、できる限り早い時点で検出することが望ましい。   On the other hand, if such a short-circuit failure is left unattended, it is assumed that the short-circuit state proceeds and the memory cells are completely short-circuited and diagnosed as a RAM failure. Thus, it is desirable to detect a potential failure that will appear as a RAM failure in the future as soon as possible.

本発明は、上記のような課題に鑑みてなされたものであり、隣接するメモリセル間の異物によって生じる短絡故障を、できる限り早期の段階で検出することができる、車載制御装置を提供することを目的とする。   The present invention has been made in view of the problems as described above, and provides an in-vehicle control device capable of detecting a short-circuit failure caused by a foreign substance between adjacent memory cells as early as possible. With the goal.

本発明に係る車載制御装置は、隣接するメモリセルに対して互いに異なるビット値を書き込んだ上で、RAMに対して供給される電流と閾値を比較することにより、RAMを診断する。   The vehicle-mounted control device according to the present invention diagnoses the RAM by writing different bit values to adjacent memory cells and comparing the current supplied to the RAM with a threshold value.

本発明に係る車載制御装置によれば、現時点ではRAMに対して正常にデータを読み書きできるが将来的に故障する可能性があるような異常を、早期の段階で検出することができる。   According to the vehicle-mounted control apparatus according to the present invention, it is possible to detect an abnormality that can normally read / write data from / to the RAM at the present time but may fail in the future.

車載制御装置100の構成図である。1 is a configuration diagram of an in-vehicle control device 100. FIG. 車載制御装置100がスタートアップするときメインマイコン110がRAM113を診断する手順を説明するフローチャートである。It is a flowchart explaining the procedure which the main microcomputer 110 diagnoses RAM113 when the vehicle-mounted control apparatus 100 starts up. 車載制御装置100がスタートアップするときサブマイコン120がRAM113の駆動電流を診断する手順を説明するフローチャートである。5 is a flowchart for explaining a procedure for a sub-microcomputer 120 to diagnose a drive current of a RAM 113 when the in-vehicle control device 100 starts up. 車載制御装置100がシャットダウンするときメインマイコン110がRAM113を診断する手順を説明するフローチャートである。It is a flowchart explaining the procedure which the main microcomputer 110 diagnoses RAM113 when the vehicle-mounted control apparatus 100 shuts down. 車載制御装置100がシャットダウンするときサブマイコン120がRAM113を診断する手順を説明するフローチャートである。7 is a flowchart for explaining a procedure for sub-microcomputer 120 to diagnose RAM 113 when in-vehicle control device 100 shuts down. 車載制御装置100をスタートアップしたときの各部の動作を説明するタイミングチャートの1例である。It is an example of the timing chart explaining operation | movement of each part when the vehicle-mounted control apparatus 100 is started up. RAM113に対してチェッカーデータを書き込んだとき各メモリセルが格納しているビット値を示す図である。It is a figure which shows the bit value which each memory cell has stored when checker data is written with respect to RAM113. RAM113が有する記憶領域を示すアドレス図である。3 is an address diagram showing a storage area of a RAM 113. FIG.

図1は、本発明に係る車載制御装置100の構成図である。車載制御装置100は、車両が搭載する機器(例えば自動変速機、エンジンなど)を電子的に制御する装置である。車載制御装置100は、メインマイコン110、サブマイコン120、メイン電源IC(Integrated Circuit)130、サブ電源IC140、電流測定部150、外部メモリ160を備える。   FIG. 1 is a configuration diagram of an in-vehicle control device 100 according to the present invention. The in-vehicle control device 100 is a device that electronically controls equipment (for example, an automatic transmission, an engine, etc.) mounted on the vehicle. The in-vehicle control device 100 includes a main microcomputer 110, a sub microcomputer 120, a main power supply IC (Integrated Circuit) 130, a sub power supply IC 140, a current measurement unit 150, and an external memory 160.

メインマイコン110は、車両が搭載する車載機器を制御するマイクロコンピュータである。メインマイコン110は、例えばアクチュエータ230を制御することによって車載機器を制御する。また表示装置240を介してメッセージを表示することができる。メッセージは、例えば文字や画像などのメッセージ、ランプ点灯による通知など、任意の形態のものを用いることができる。   The main microcomputer 110 is a microcomputer that controls in-vehicle devices mounted on the vehicle. The main microcomputer 110 controls the in-vehicle device by controlling the actuator 230, for example. In addition, a message can be displayed via the display device 240. The message may be in any form, such as a message such as a character or an image, or a notification by lighting a lamp.

メインマイコン110は、CPU111、ROM112、RAM113を備える。CPU111は、車載機器を制御するために必要な制御演算を実施する演算装置である。ROM112は、CPU111が実行するプログラム(例えば後述の図2〜図5で説明する診断処理)などを格納する。RAM113は、CPU111が使用するデータを一時的に格納する。   The main microcomputer 110 includes a CPU 111, a ROM 112, and a RAM 113. The CPU 111 is a calculation device that performs control calculations necessary for controlling the in-vehicle device. The ROM 112 stores programs executed by the CPU 111 (for example, diagnostic processing described with reference to FIGS. 2 to 5 described later) and the like. The RAM 113 temporarily stores data used by the CPU 111.

サブマイコン120は、メインマイコン110を同様の構成を備えるので、その説明は省略する。サブマイコン120は、メインマイコン110からのリクエストにしたがってRAM113が正常であるか否かを診断し、その結果をメインマイコン110に対して通知する。   Since the sub-microcomputer 120 has the same configuration as the main microcomputer 110, the description thereof is omitted. The sub-microcomputer 120 diagnoses whether or not the RAM 113 is normal according to a request from the main microcomputer 110 and notifies the main microcomputer 110 of the result.

車載制御装置100は、車両が搭載するバッテリ220から電力の供給を受ける。メイン電源IC130は、バッテリ220から受け取った電力を昇降圧するなどした上で、メインマイコン110に対して供給する。サブ電源IC140も同様に、バッテリ220から受け取った電力をサブマイコン120に対して供給する。   The in-vehicle control device 100 is supplied with electric power from a battery 220 mounted on the vehicle. The main power supply IC 130 boosts or lowers the power received from the battery 220 and supplies it to the main microcomputer 110. Similarly, the sub power supply IC 140 supplies the power received from the battery 220 to the sub microcomputer 120.

メイン電源IC130は、CPU111、ROM112、RAM113それぞれに対して個別に電力を供給するように、内部的に回路が切り分けられている。これは後述するように、RAM113に対して供給する駆動電流がCPU111やROM112の電流変動によって受ける影響を抑制するためである。   The main power supply IC 130 is internally separated so as to supply power to the CPU 111, the ROM 112, and the RAM 113 individually. This is to suppress the influence of the drive current supplied to the RAM 113 due to current fluctuations of the CPU 111 and the ROM 112, as will be described later.

電流測定部150は、メイン電源IC130からRAM113に対して供給される駆動電流を測定し、その結果をサブマイコン120に対して出力する。サブマイコン120はその測定結果を用いて後述する手順によりRAM113を診断する。サブマイコン120が診断を実施する理由については後述する。   The current measurement unit 150 measures the drive current supplied from the main power supply IC 130 to the RAM 113 and outputs the result to the sub-microcomputer 120. The sub-microcomputer 120 diagnoses the RAM 113 by the procedure described later using the measurement result. The reason why the sub-microcomputer 120 performs diagnosis will be described later.

車両の運転者がイグニッションキーをON/OFFすると、これにともなって電源信号210が生成される。車載制御装置100は、電源信号210にしたがってスタートアップ/シャットダウンする。メイン電源IC130とサブ電源IC140は、これにともなって各マイコンに対して電力を供給し、または遮断する。   When the driver of the vehicle turns on / off the ignition key, a power signal 210 is generated accordingly. The in-vehicle control device 100 starts up / shuts down according to the power signal 210. Accordingly, the main power supply IC 130 and the sub power supply IC 140 supply power to or cut off each microcomputer.

外部メモリ160は、RAM113に対する診断結果や診断対象としたアドレス範囲などを記憶する装置である。後述するように、メインマイコン110/サブマイコン120は車載制御装置100がスタートアップやシャットダウンするごとにそれぞれ異なる記憶領域を診断するので、次回診断すべきアドレス範囲を不揮発性メモリである外部メモリ160内に格納することとした。   The external memory 160 is a device that stores a diagnosis result for the RAM 113, an address range targeted for diagnosis, and the like. As will be described later, the main microcomputer 110 / sub-microcomputer 120 diagnoses different storage areas each time the in-vehicle control device 100 is started up or shut down. Therefore, the address range to be diagnosed next time is stored in the external memory 160 which is a nonvolatile memory. It was decided to store.

図2は、車載制御装置100がスタートアップするときメインマイコン110がRAM113を診断する手順を説明するフローチャートである。以下図2の各ステップについて説明する。   FIG. 2 is a flowchart illustrating a procedure for the main microcomputer 110 to diagnose the RAM 113 when the in-vehicle control apparatus 100 starts up. Hereinafter, each step of FIG. 2 will be described.

(図2:ステップS100)
メインマイコン110は、電源が投入されたことを示す電源信号210を受信すると、本フローチャートを開始する。本フローチャートを開始する時点において、メイン電源IC130とサブ電源IC140はそれぞれ電源信号210にしたがって電力供給を開始済であるものとする。 (FIG. 2: Step S100)
When the main microcomputer 110 receives the power signal 210 indicating that the power is turned on, the main microcomputer 110 starts this flowchart. It is assumed that the main power supply IC 130 and the sub power supply IC 140 have already started supplying power according to the power supply signal 210 at the time of starting this flowchart.

(図2:ステップS101)
メインマイコン110は、外部メモリ160から前回実施したRAM113に対する診断結果と、今回診断するRAM113上の記憶領域のアドレスを読み出す。 (FIG. 2: Step S101)
The main microcomputer 110 reads from the external memory 160 the previous diagnosis result for the RAM 113 and the address of the storage area on the RAM 113 to be diagnosed this time.

(図2:ステップS102)
前回実施したRAM113に対する診断により異常と判定された場合は、ステップS109へスキップする。正常または診断未実施である場合は、ステップS103へ進む。ここでいう前回診断結果とは、例えば後述するようにスタートアップ時とシャットダウン時それぞれにおいて診断を実施する場合は、前回シャットダウン時における診断結果である。前回シャットダウン時においてRAM113が異常であったのであれば、今回スタートアップ時も異常であると考えられるので、かかる場合はステップS109へスキップすることとした。 (FIG. 2: Step S102)
If it is determined that there is an abnormality based on the previous diagnosis of the RAM 113, the process skips to step S109. If normal or not diagnosed, the process proceeds to step S103. The previous diagnosis result referred to here is, for example, a diagnosis result at the time of previous shutdown when diagnosis is performed at startup and at the time of shutdown as described later. If the RAM 113 was abnormal at the time of the previous shutdown, it is considered abnormal at the start-up this time, so in such a case, it was decided to skip to step S109.

(図2:ステップS103)
メインマイコン110は、ステップS101で読み出した診断対象アドレスに対して、診断用のチェッカーデータを書き込む。後述の図7で説明するように、チェッカーデータは隣接するメモリセルが互いに異なるビット値を格納することにより互いに異電位となるように構成されたデータである。 (FIG. 2: Step S103)
The main microcomputer 110 writes the checker data for diagnosis to the diagnosis target address read in step S101. As will be described later with reference to FIG. 7, the checker data is data configured such that adjacent memory cells have different potentials by storing different bit values.

(図2:ステップS104)
メインマイコン110は、チェッカーデータを書き込んだアドレスからデータを読み出す。読み出したデータと書き込んだチェッカーデータが一致する場合はステップS105へ進み、一致しない場合はステップS108へ進む。 (FIG. 2: Step S104)
The main microcomputer 110 reads data from the address where the checker data is written. If the read data matches the written checker data, the process proceeds to step S105, and if not, the process proceeds to step S108.

(図2:ステップS105)
メインマイコン110は、サブマイコン120に対して、RAM113の駆動電流を測定するよう指示する。サブマイコン120は、後述の図3で説明するフローチャートにしたがって駆動電流を測定し、その結果をメインマイコン110に対して通知する。 (FIG. 2: Step S105)
The main microcomputer 110 instructs the sub microcomputer 120 to measure the drive current of the RAM 113. The sub-microcomputer 120 measures the drive current according to a flowchart described later with reference to FIG. 3 and notifies the result to the main microcomputer 110.

(図2:ステップS106)
メインマイコン110は、サブマイコン120から駆動電流の測定結果を受け取る。測定結果が正常である場合はステップS107へ進み、異常である場合はステップS109へ進む。 (FIG. 2: Step S106)
The main microcomputer 110 receives the drive current measurement result from the sub-microcomputer 120. If the measurement result is normal, the process proceeds to step S107. If the measurement result is abnormal, the process proceeds to step S109.

(図2:ステップS107)
メインマイコン110は、車載制御装置100の通常制御を開始する。 (FIG. 2: Step S107)
The main microcomputer 110 starts normal control of the in-vehicle control device 100.

(図2:ステップS108〜S110)
メインマイコン110は、外部メモリ160に対して、RAM113の診断結果が異常である旨と、次回の診断における診断対象アドレスを書き込む(S108)。メインマイコン110は、RAM113の診断結果が異常であった旨のメッセージを表示装置240上に表示する(S109)。メインマイコン110は、フェールセーフモードを開始する(S110)。 (FIG. 2: Steps S108 to S110)
The main microcomputer 110 writes to the external memory 160 that the diagnosis result of the RAM 113 is abnormal and the diagnosis target address in the next diagnosis (S108). The main microcomputer 110 displays a message on the display device 240 indicating that the diagnosis result of the RAM 113 is abnormal (S109). The main microcomputer 110 starts the fail safe mode (S110).

(図2:ステップS110:補足)
フェールセーフモードとは、機能を縮退して安全側に倒した動作を実施するモードである。フェールセーフモードにおいては、RAM113の異常により車両を誤制御することを防止するため、運転者の操縦指示に基づいた自動車制御を無効とし、安全な走行モードとなるようにアクチュエータ230を制御する。 (FIG. 2: Step S110: Supplement)
The fail safe mode is a mode in which the operation is performed by degenerating the function and defeating it to the safe side. In the fail-safe mode, in order to prevent erroneous control of the vehicle due to an abnormality in the RAM 113, the vehicle control based on the driver's steering instruction is invalidated, and the actuator 230 is controlled so as to enter a safe driving mode.

図3は、車載制御装置100がスタートアップするときサブマイコン120がRAM113の駆動電流を診断する手順を説明するフローチャートである。以下図3の各ステップについて説明する。   FIG. 3 is a flowchart illustrating a procedure for the sub-microcomputer 120 to diagnose the drive current of the RAM 113 when the in-vehicle control device 100 starts up. Hereinafter, each step of FIG. 3 will be described.

(図3:ステップS200)
サブマイコン120は、電源が投入されたことを示す電源信号210を受信すると、本フローチャートを開始する。本フローチャートを開始する時点において、メイン電源IC130とサブ電源IC140はそれぞれ電源信号210にしたがって電力供給を開始済であるものとする。 (FIG. 3: Step S200)
When the sub-microcomputer 120 receives the power signal 210 indicating that the power is turned on, the sub-microcomputer 120 starts this flowchart. It is assumed that the main power supply IC 130 and the sub power supply IC 140 have already started supplying power according to the power supply signal 210 at the time of starting this flowchart.

(図3:ステップS201)
サブマイコン120は、メインマイコン110からRAM113の駆動電流を測定するよう指示する命令を受け取っているか否かを判定する。指示がある場合はステップS202へ進み、ない場合は本フローチャートを終了する。 (FIG. 3: Step S201)
The sub-microcomputer 120 determines whether or not an instruction for instructing to measure the driving current of the RAM 113 is received from the main microcomputer 110. When there is an instruction, the process proceeds to step S202, and when there is no instruction, this flowchart is ended.

(図3:ステップS202)
サブマイコン120は、電流測定部150を介して、RAM113の駆動電流を取得する。 (FIG. 3: Step S202)
The sub-microcomputer 120 acquires the drive current of the RAM 113 via the current measurement unit 150.

(図3:ステップS203)
サブマイコン120は、取得した駆動電流が閾値以下であるか否かを判定する。閾値以下である場合はRAM113が正常であると判断してステップS204へ進み、閾値超である場合は異常であると判断してステップS206へ進む。閾値は、サブマイコン120(またはメインマイコン110)が備えるROMなどにあらかじめ格納しておくことができる。 (FIG. 3: Step S203)
The sub-microcomputer 120 determines whether or not the acquired drive current is equal to or less than a threshold value. If it is equal to or less than the threshold value, it is determined that the RAM 113 is normal and the process proceeds to step S204. If it is greater than the threshold value, it is determined that the RAM 113 is abnormal and the process proceeds to step S206. The threshold value can be stored in advance in a ROM provided in the sub microcomputer 120 (or the main microcomputer 110).

(図3:ステップS203:補足)
本ステップにおいては駆動電流と閾値を比較しているので、駆動電流を正確に取得することが必要である。CPU111、ROM112などのRAM113以外の部品に対して電力を供給する電源パスと、RAM113に対して電力を供給する電源パスとが共通になっていると、他部品の電圧や電流の影響を受けてRAM113の駆動電流が変動し、正確な値を取得できない可能性がある。そこでメイン電源IC130は、これら部品に対してそれぞれ個別に電力を提供するように構成されている。 (FIG. 3: Step S203: Supplement)
In this step, since the drive current is compared with the threshold value, it is necessary to accurately acquire the drive current. If the power supply path for supplying power to the components other than the RAM 113 such as the CPU 111 and the ROM 112 and the power supply path for supplying power to the RAM 113 are common, it is affected by the voltage and current of other components. There is a possibility that the drive current of the RAM 113 fluctuates and an accurate value cannot be obtained. Therefore, the main power supply IC 130 is configured to individually provide power to these components.

(図3:ステップS204〜S205)
サブマイコン120は、外部メモリ160に対して、RAM113の診断結果が正常である旨と次回の診断における診断対象アドレスを書き込む(S204)。サブマイコン120は、メインマイコン110に対して、RAM113の駆動電流が正常である旨の測定結果を送信する(S205)。 (FIG. 3: Steps S204 to S205)
The sub-microcomputer 120 writes in the external memory 160 that the diagnosis result of the RAM 113 is normal and the diagnosis target address in the next diagnosis (S204). The sub-microcomputer 120 transmits a measurement result indicating that the drive current of the RAM 113 is normal to the main microcomputer 110 (S205).

(図3:ステップS206〜S207)
サブマイコン120は、外部メモリ160に対して、RAM113の診断結果が異常である旨と次回の診断における診断対象アドレスを書き込む(S206)。サブマイコン120は、メインマイコン110に対して、RAM113の駆動電流が異常である旨の測定結果を送信する(S207)。 (FIG. 3: Steps S206 to S207)
The sub-microcomputer 120 writes in the external memory 160 that the diagnosis result of the RAM 113 is abnormal and the diagnosis target address in the next diagnosis (S206). The sub-microcomputer 120 transmits a measurement result indicating that the drive current of the RAM 113 is abnormal to the main microcomputer 110 (S207).

図4は、車載制御装置100がシャットダウンするときメインマイコン110がRAM113を診断する手順を説明するフローチャートである。以下図4の各ステップについて説明する。   FIG. 4 is a flowchart illustrating a procedure for the main microcomputer 110 to diagnose the RAM 113 when the in-vehicle control device 100 shuts down. Hereinafter, each step of FIG. 4 will be described.

(図4:ステップS300〜S301)
メインマイコン110は、電源が遮断されたことを示す電源信号210を受信すると、本フローチャートを開始する(S300)。メインマイコン110は、車載制御装置100の通常制御を終了する(S301)。 (FIG. 4: Steps S300 to S301)
When the main microcomputer 110 receives the power signal 210 indicating that the power has been cut off, the main microcomputer 110 starts this flowchart (S300). The main microcomputer 110 ends the normal control of the in-vehicle control device 100 (S301).

(図4:ステップS302)
メインマイコン110は、外部メモリ160から前回実施したRAM113に対する診断結果と、今回診断するRAM113上の記憶領域のアドレスを読み出す。 (FIG. 4: Step S302)
The main microcomputer 110 reads from the external memory 160 the previous diagnosis result for the RAM 113 and the address of the storage area on the RAM 113 to be diagnosed this time.

(図4:ステップS303)
前回実施したRAM113に対する診断により異常と判定された場合は、本フローチャートを終了する。正常または診断未実施である場合は、ステップS304へ進む。 (FIG. 4: Step S303)
When it is determined that there is an abnormality by the diagnosis performed on the RAM 113 performed last time, this flowchart is terminated. If normal or not diagnosed, the process proceeds to step S304.

(図4:ステップS303:補足)
メインマイコン110は、RAM113のうちいずれかの記憶領域が異常であればRAM113全体として異常であると判断する。すなわち、前回診断時(スタートアップ診断時)において診断した記憶領域が異常であれば、本ステップ以後の診断を実施しなくともRAM113は異常であることが既に判明していることになる。したがって本ステップにおいて前回診断結果が異常であれば、以後のステップを実施することなく本フローチャートを終了することとした。 (FIG. 4: Step S303: Supplement)
If any storage area of the RAM 113 is abnormal, the main microcomputer 110 determines that the entire RAM 113 is abnormal. That is, if the storage area diagnosed at the time of the previous diagnosis (startup diagnosis) is abnormal, it is already known that the RAM 113 is abnormal without performing the diagnosis after this step. Therefore, if the previous diagnosis result is abnormal in this step, this flowchart is terminated without performing the subsequent steps.

(図4:ステップS304〜S307)
ステップS304〜S306は、図2のステップS103〜S105と同様である。ステップS307において、サブマイコン120は後述の図5で説明する手順にしたがってメインマイコン110の電源をOFFする。 (FIG. 4: Steps S304 to S307)
Steps S304 to S306 are the same as steps S103 to S105 in FIG. In step S307, the sub-microcomputer 120 turns off the power supply of the main microcomputer 110 according to a procedure described later with reference to FIG.

図5は、車載制御装置100がシャットダウンするときサブマイコン120がRAM113を診断する手順を説明するフローチャートである。以下図5の各ステップについて説明する。   FIG. 5 is a flowchart illustrating a procedure for the sub-microcomputer 120 to diagnose the RAM 113 when the in-vehicle control device 100 is shut down. Hereinafter, each step of FIG. 5 will be described.

(図5:ステップS400〜S405)
これらのステップは、図3のステップS200〜S204、S206と同様である。ただしステップS401において駆動電流を測定する指示がない場合は、ステップS406へスキップする点が異なる。 (FIG. 5: Steps S400 to S405)
These steps are the same as steps S200 to S204 and S206 in FIG. However, when there is no instruction to measure the drive current in step S401, the difference is that the process skips to step S406.

(図5:ステップS406〜S407)
サブマイコン120は、メイン電源IC130とサブ電源IC140に対してシャットダウン信号を送信する(S406)。これにより各電源ICは電力供給を停止するので、サブマイコン120はOFFになる(S407)。 (FIG. 5: Steps S406 to S407)
The sub-microcomputer 120 transmits a shutdown signal to the main power supply IC 130 and the sub power supply IC 140 (S406). As a result, each power supply IC stops power supply, and the sub-microcomputer 120 is turned off (S407).

図6は、車載制御装置100をスタートアップしたときの各部の動作を説明するタイミングチャートの1例である。ここではステップS106において駆動電流が異常であった場合の例を示す。対比の便宜上、図2〜図3の各ステップ番号を併記した。サブマイコン120が駆動電流を測定した結果が異常であれば、外部メモリ160に対して診断結果が書き込まれるとともにメインマイコン110に対してその結果が通知される。メインマイコン110はその診断結果にしたがって表示装置240や制御モードを制御する。   FIG. 6 is an example of a timing chart for explaining the operation of each unit when the in-vehicle control device 100 is started up. Here, an example in which the drive current is abnormal in step S106 is shown. For convenience of comparison, each step number in FIGS. If the result of measuring the drive current by the sub-microcomputer 120 is abnormal, the diagnostic result is written in the external memory 160 and the result is notified to the main microcomputer 110. The main microcomputer 110 controls the display device 240 and the control mode according to the diagnosis result.

図7は、RAM113に対してチェッカーデータを書き込んだとき各メモリセルが格納しているビット値を示す図である。RAM113が備える各メモリセル1131は、共通の電源ライン1132と接続されている。図7に示すように、チェッカーデータは隣接するメモリセル1131間で互いに異なるビット値を格納するように構成されている。メモリセル1131は一般に電位の大小によってビット値を表すので、メモリセル1131間で互いに異なるビット値を格納することにより、隣接するメモリセル1131は互いに異なる電位となる。   FIG. 7 is a diagram showing bit values stored in each memory cell when the checker data is written to the RAM 113. Each memory cell 1131 included in the RAM 113 is connected to a common power supply line 1132. As shown in FIG. 7, the checker data is configured to store different bit values between adjacent memory cells 1131. Since the memory cell 1131 generally represents a bit value depending on the magnitude of the potential, storing different bit values between the memory cells 1131 causes the adjacent memory cells 1131 to have different potentials.

RAM113を製造する半導体製造工程において混入した異物が、隣接するメモリセル1131間に残存していることを想定する。この場合、当該異物によって隣接メモリセル間が架橋される。架橋された隣接メモリセルが互いに異電位である場合、その電位差に応じて隣接メモリセル間でリーク電流が流れる。そうすると、異物が存在していない場合と比較してRAM113の駆動電流が大きくなる。サブマイコン120は、ステップS203やS403において、このことを利用してRAM113の異常を診断する。仮にメモリセル1131に対するデータ読み書きが正常に実施できるとしても、かかる異物の存在は将来において短絡故障を生じさせる可能性があるので、本手法によりこれを早期に検出してフェールセーフモードに移行することにより、車両の安全性を維持することができる。   It is assumed that foreign matter mixed in the semiconductor manufacturing process for manufacturing the RAM 113 remains between adjacent memory cells 1131. In this case, the adjacent memory cells are bridged by the foreign matter. When the bridged adjacent memory cells have different potentials, a leak current flows between the adjacent memory cells according to the potential difference. As a result, the drive current of the RAM 113 becomes larger than when no foreign matter is present. In step S203 or S403, the sub-microcomputer 120 uses this fact to diagnose an abnormality in the RAM 113. Even if data can be read / written normally from / to the memory cell 1131, the presence of such foreign matter may cause a short-circuit failure in the future. The vehicle safety can be maintained.

隣接するメモリセル1131が互いに同じビット値を格納している場合、隣接メモリセル間の電位差はほぼない。そうすると、仮に隣接メモリセル間に異物が存在して架橋されたとしても、リーク電流は流れないかまたは僅かであると考えられる。駆動電流に基づき異物の存在を顕著に検出するためには、図7に示すように隣接メモリセルが互いに異なるビット値を格納することが望ましい。   When adjacent memory cells 1131 store the same bit value, there is almost no potential difference between adjacent memory cells. Then, even if a foreign substance exists between adjacent memory cells and is cross-linked, it is considered that the leakage current does not flow or is slight. In order to significantly detect the presence of foreign matter based on the drive current, it is desirable that adjacent memory cells store different bit values as shown in FIG.

図8は、RAM113が有する記憶領域を示すアドレス図である。RAM113が有する全記憶領域を一度に診断しようとすると、診断時間が長くかかる。また、RAM113のいずれかの領域に対してデータを書き込むと当該メモリセル1131の電位が変動するので、これにともなってRAM113の駆動電流も変化し、駆動電流に基づく診断に対して少なからず影響を与える可能性がある。そこで図8に示すように診断対象アドレスを複数に分割し、スタートアップ時/シャットダウン時のいずれかまたは双方においてそれぞれ異なる記憶領域を診断することとした。メインマイコン110/サブマイコン120は診断を実施するごとに次の診断対象アドレスを外部メモリ160に書き込み、次回診断時はこれにしたがって診断対象アドレスを決定する。   FIG. 8 is an address diagram showing a storage area of the RAM 113. If it is attempted to diagnose all the storage areas of the RAM 113 at once, it takes a long time to diagnose. In addition, when data is written to any region of the RAM 113, the potential of the memory cell 1131 fluctuates. Accordingly, the drive current of the RAM 113 also changes, which has a considerable influence on the diagnosis based on the drive current. There is a possibility to give. Therefore, as shown in FIG. 8, the diagnosis target address is divided into a plurality of parts, and different storage areas are diagnosed at either or both of startup time and shutdown time. The main microcomputer 110 / sub-microcomputer 120 writes the next diagnosis target address to the external memory 160 each time diagnosis is performed, and determines the diagnosis target address according to this in the next diagnosis.

RAM113を診断している間に駆動電流を変化させない観点から、メインマイコン110はサブマイコン120がRAM113を診断している間は診断処理以外の処理を停止することが望ましい。診断処理以外の処理がRAM113に対してデータを書き込む可能性があるからである。したがって以上の説明のように、チェッカーデータを書き込んだ以降の診断処理は、サブマイコン120が実施することが望ましい。   From the viewpoint of not changing the drive current while diagnosing the RAM 113, the main microcomputer 110 desirably stops processing other than the diagnosis processing while the sub-microcomputer 120 diagnoses the RAM 113. This is because there is a possibility that a process other than the diagnostic process writes data into the RAM 113. Therefore, as described above, it is desirable that the sub-microcomputer 120 performs the diagnostic process after the checker data is written.

<本発明のまとめ>
本発明に係る車載制御装置100は、隣接メモリセル1131が互いに異なるビット値を格納するように構成されたチェッカーデータをRAM113に対して書き込み、そのときの駆動電流が閾値を超えているか否かに基づき、RAM113を診断する。これにより現時点では正常にデータを読み書きできるが将来的に故障を生じさせる可能性のあるメモリセル1131間の異物を早期の段階で検出することができる。また、異常を検出した時点でフェールセーフモードに移行することにより、車両走行中にRAM113が異常となって車両が危険状態に陥ることを抑制できる。 <Summary of the present invention>
The in-vehicle control apparatus 100 according to the present invention writes checker data configured so that adjacent memory cells 1131 store different bit values to the RAM 113, and determines whether or not the driving current at that time exceeds a threshold value. Based on this, the RAM 113 is diagnosed. As a result, data can be read / written normally at the present time, but foreign matter between the memory cells 1131 that may cause a failure in the future can be detected at an early stage. In addition, by shifting to the fail-safe mode when an abnormality is detected, it is possible to prevent the RAM 113 from becoming abnormal while the vehicle is running and causing the vehicle to fall into a dangerous state.

本発明に係る車載制御装置100は、RAM113の異常を検出すると、その旨を表示装置240上のメッセージとして通知する。これにより運転者は例えば車載制御装置100をすぐに交換するなどの措置を取ることができるので、将来的な異常が生じる前に早期対策を実施することができる。   When detecting the abnormality of the RAM 113, the in-vehicle control device 100 according to the present invention notifies that fact as a message on the display device 240. As a result, the driver can take measures such as immediately replacing the in-vehicle control device 100, so that early measures can be taken before a future abnormality occurs.

100:車載制御装置、110:メインマイコン、111:CPU、112:ROM、113:RAM、120:サブマイコン、130:メイン電源IC、140:サブ電源IC、150:電流測定部、160:外部メモリ。   100: In-vehicle control device, 110: Main microcomputer, 111: CPU, 112: ROM, 113: RAM, 120: Sub microcomputer, 130: Main power IC, 140: Sub power IC, 150: Current measuring unit, 160: External memory .

Claims (5)

車両が搭載している機器を制御する車載制御装置であって、
前記機器を制御するための制御演算を実施する演算部、
前記演算部が使用するデータを一時的に記憶するメモリ、
前記メモリに対して供給される駆動電流を測定する電流測定部、
を備え、
前記メモリは、1ビットのデータを記憶するメモリセルを複数備え、
前記演算部は、前記電流測定部から取得した前記駆動電流が判定閾値を超えているか否かに基づき前記メモリが正常であるか否かを診断し、
前記演算部は、隣接する前記メモリセルに対して互いに異なるビット値を書き込むことにより、前記隣接するメモリセルが互いに異なる電位となるようにした上で、前記診断を実施する
ことを特徴とする車載制御装置。 An in-vehicle control device that controls equipment mounted on a vehicle,
A calculation unit for performing a control calculation for controlling the device;
A memory for temporarily storing data used by the arithmetic unit;
A current measuring unit for measuring a drive current supplied to the memory;
With
The memory includes a plurality of memory cells that store 1-bit data,
The arithmetic unit diagnoses whether the memory is normal based on whether the drive current acquired from the current measurement unit exceeds a determination threshold,
The arithmetic unit performs the diagnosis after writing different bit values to adjacent memory cells so that the adjacent memory cells have different potentials. Control device. 前記演算部は、前記制御演算を実施する主演算部と、前記診断を実施する副演算部とを備え、
前記主演算部は、前記隣接するメモリセルに対して前記ビット値を書き込むとともに、前記副演算部が前記診断を実施している間は前記ビット値以外のデータを前記メモリセルに対して書き込む処理を停止する
ことを特徴とする請求項1記載の車載制御装置。 The calculation unit includes a main calculation unit that performs the control calculation, and a sub calculation unit that performs the diagnosis,
The main operation unit writes the bit value to the adjacent memory cell and writes data other than the bit value to the memory cell while the sub-operation unit performs the diagnosis The vehicle-mounted control device according to claim 1, wherein the vehicle-mounted control device is stopped. 前記車載制御装置は、前記メモリに対してのみ電力を供給する電源回路を備え、
前記電流測定部は、前記電源回路が前記メモリに対して供給する前記駆動電流を測定する
ことを特徴とする請求項1記載の車載制御装置。 The in-vehicle control device includes a power supply circuit that supplies power only to the memory,
The in-vehicle control device according to claim 1, wherein the current measuring unit measures the drive current supplied to the memory by the power supply circuit. 前記演算部は、前記演算部がスタートアップするときまたはシャットダウンするときの少なくともいずれかにおいて、前記診断を実施し、
前記演算部は、前記演算部がスタートアップするときまたはシャットダウンするときごとに、前記メモリ上のそれぞれ異なる記憶領域に対して前記診断を実施する
ことを特徴とする請求項1記載の車載制御装置。 The arithmetic unit performs the diagnosis at least when the arithmetic unit starts up or shuts down,
The in-vehicle control device according to claim 1, wherein the arithmetic unit performs the diagnosis on different storage areas on the memory every time the arithmetic unit starts up or shuts down. 前記車載制御装置は、警告メッセージを表示する表示部を備え、
前記演算部は、前記診断により前記メモリが異常であると判定した場合は、前記メモリが異常である旨の警告メッセージを前記表示部に表示させるとともに、所定のフェールセーフ処理を実施する
ことを特徴とする請求項1記載の車載制御装置。 The in-vehicle control device includes a display unit that displays a warning message,
When the arithmetic unit determines that the memory is abnormal by the diagnosis, the arithmetic unit displays a warning message indicating that the memory is abnormal on the display unit, and performs a predetermined fail-safe process. The in-vehicle control device according to claim 1.
JP2016088202A 2016-04-26 2016-04-26 On-vehicle control device Pending JP2017199129A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016088202A JP2017199129A (en) 2016-04-26 2016-04-26 On-vehicle control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016088202A JP2017199129A (en) 2016-04-26 2016-04-26 On-vehicle control device

Publications (1)

Publication Number Publication Date
JP2017199129A true JP2017199129A (en) 2017-11-02

Family

ID=60238010

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016088202A Pending JP2017199129A (en) 2016-04-26 2016-04-26 On-vehicle control device

Country Status (1)

Country Link
JP (1) JP2017199129A (en)

Similar Documents

Publication Publication Date Title
US20060247835A1 (en) Electric control unit
JP2017035980A (en) Vehicle-mounted display system, control device, and display
JP2013500548A (en) Method for diagnosing the operation of a device for disconnecting and connecting a battery and an in-vehicle power system of both vehicles
EP3225492A1 (en) Vehicular control device and vehicle control method
JPH09230929A (en) Method and device for diagnosing fault of on-vehicle controller
JPWO2019082647A1 (en) Vehicle control device
US20090037046A1 (en) Electronic control unit
JP6416718B2 (en) Fail-safe circuit
KR101428288B1 (en) Diagnosis method of side step apparatus for vehicle
JP2017199129A (en) On-vehicle control device
JP2011065402A (en) Electronic controller for vehicle
US20140025996A1 (en) Method for diagnosing a mechanism of untimely cut-offs of the power supply to a motor vehicle computer
JP5641534B2 (en) Vehicle fault diagnosis system
JP6611877B1 (en) Semiconductor integrated circuit and rotation detection device
WO2018079163A1 (en) Vehicle control unit
KR20180066608A (en) Apparatus and method for controlling cooling fan of battery of vehicle
JP6869743B2 (en) Electronic control device for automobiles
WO2019207905A1 (en) Vehicle-mounted control device
KR101887904B1 (en) An Apparatus And A Method For Detecting Short Circuit Of A Controller
JP4041216B2 (en) Abnormality detection method and abnormality detection device
JP2006242968A (en) Electronic control unit
JP6159668B2 (en) Vehicle control device
JP5672185B2 (en) In-vehicle control device
US10845429B2 (en) Electronic control device
KR20200124471A (en) Apparatus for diagnosis normal part of vehicle, system having the same and method thereof