JP2018067239A - Electronic control device - Google Patents

Electronic control device Download PDF

Info

Publication number
JP2018067239A
JP2018067239A JP2016206924A JP2016206924A JP2018067239A JP 2018067239 A JP2018067239 A JP 2018067239A JP 2016206924 A JP2016206924 A JP 2016206924A JP 2016206924 A JP2016206924 A JP 2016206924A JP 2018067239 A JP2018067239 A JP 2018067239A
Authority
JP
Japan
Prior art keywords
reset signal
unit
signal
monitoring
arithmetic device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016206924A
Other languages
Japanese (ja)
Other versions
JP6690495B2 (en
Inventor
宏紀 岡田
Hiroki Okada
宏紀 岡田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2016206924A priority Critical patent/JP6690495B2/en
Priority to DE102017218697.6A priority patent/DE102017218697A1/en
Publication of JP2018067239A publication Critical patent/JP2018067239A/en
Application granted granted Critical
Publication of JP6690495B2 publication Critical patent/JP6690495B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/0002Controlling intake air
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/022Actuator failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2710/00Output or target parameters relating to a particular sub-units
    • B60W2710/06Combustion engines, Gas turbines
    • B60W2710/0605Throttle position
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/20Output circuits, e.g. for controlling currents in command coils
    • F02D2041/202Output circuits, e.g. for controlling currents in command coils characterised by the control of the circuit
    • F02D2041/2058Output circuits, e.g. for controlling currents in command coils characterised by the control of the circuit using information of the actual current value
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Abstract

PROBLEM TO BE SOLVED: To provide an electronic control device capable of continuing normal processing without stopping driving of a load.SOLUTION: In an electronic control device 1, an arithmetic device 2 outputs a control signal for controlling driving of an actuator 5 to an actuator driving device 4. A monitoring device 3 monitors operation of the arithmetic device and outputs a reset signal RST2 to the arithmetic device through a reset signal line 24 when an abnormality has occurred in the arithmetic device. A function monitoring part 19 determines whether or not the reset signal RST2 of the reset signal line 24 is a monitoring target reset signal generated when an original abnormality of the arithmetic device occurs or a non-monitoring-target reset signal generated when an abnormality other than the original abnormality of the arithmetic device occurs.SELECTED DRAWING: Figure 1

Description

本発明は、電子制御装置に関する。   The present invention relates to an electronic control device.

監視装置が演算装置により発行されるウォッチドッグ信号を監視し、このウォッチドッグ信号に異常を生じたときに演算装置にリセット信号を出力するシステムが一般に提供されている。このとき、監視装置が演算装置に発行するリセット信号の発行回数をカウントし、所定回数に達したときにアクチュエータを駆動停止する技術が提供されている(例えば、特許文献1参照)。   There is generally provided a system in which a monitoring device monitors a watchdog signal issued by a computing device and outputs a reset signal to the computing device when an abnormality occurs in the watchdog signal. At this time, a technique is provided in which the monitoring device counts the number of reset signals issued to the arithmetic device and stops driving the actuator when a predetermined number of times is reached (see, for example, Patent Document 1).

特開2002−235598号公報JP 2002-235598 A

近年、例えばユーザによりイグニッションキーなどの電源スイッチがオフされたときに、電子制御装置の電源供給がオフされるまで、電子制御装置はアクチュエータを駆動停止するための停止信号を出力し続けることが望まれている。このような改良を施すことで、機能安全性を高めることができる。   In recent years, for example, when a power switch such as an ignition key is turned off by a user, for example, the electronic control device is expected to continue to output a stop signal for stopping driving of the actuator until the power supply of the electronic control device is turned off. It is rare. By making such improvements, functional safety can be enhanced.

この場合、演算装置が終了処理している最中に、再度ユーザにより電源スイッチがオン操作されると、演算装置をリセットするためにリセット信号がリセット信号線に発行される。しかし、このリセット信号線に入力されるリセット信号が、演算装置の初期化信号として発行されるリセット信号であるか、演算装置が暴走しているときのリセット信号であるか、を判別できないと、例えば特許文献1記載の技術を適用したときには、意図しないタイミングでリセット信号の発行回数をカウントしてしまい、直ちに所定回数に達してしまい、アクチュエータを駆動停止してしまうという問題を生じる。これにより、商品性を悪化させてしまうという課題があった。   In this case, when the power switch is turned on again by the user while the arithmetic device is being finished, a reset signal is issued to the reset signal line in order to reset the arithmetic device. However, if it is not possible to determine whether the reset signal input to the reset signal line is a reset signal issued as an initialization signal of the arithmetic device or a reset signal when the arithmetic device is running out of control, For example, when the technique described in Patent Document 1 is applied, the number of times that the reset signal is issued is counted at an unintended timing, and the predetermined number of times is immediately reached, causing the actuator to stop driving. Thereby, there existed a subject that merchantability will be deteriorated.

本発明の目的は、意図しないタイミングでリセット信号が発行されたとしても負荷を駆動停止することなく通常処理を継続できるようにした電子制御装置を提供することにある。   An object of the present invention is to provide an electronic control device that can continue normal processing without stopping driving a load even if a reset signal is issued at an unintended timing.

請求項1記載の発明によれば、判別部がリセット信号線に入力されるリセット信号が演算装置の本来の異常時に生じる監視対象リセット信号となるか又は演算装置の本来の異常時以外に生じる監視対象外リセット信号となるかを判別する。このため、リセット信号がリセット信号線に発行されたとしても、このリセット信号が演算装置の本来の異常時に生じたものであるか、本来の異常時以外で生じたものであるかを判別することができる。このとき、本来の異常時以外で生じたリセット信号であるときには、負荷を駆動停止することなく、通常処理を継続できるようになる。   According to the first aspect of the present invention, the reset signal input to the reset signal line by the determination unit becomes a monitoring target reset signal that occurs when the arithmetic device is inherently abnormal, or monitoring that occurs when the arithmetic device is not abnormally abnormal It is determined whether the reset signal is not applicable. For this reason, even if a reset signal is issued to the reset signal line, it is determined whether the reset signal is generated when the arithmetic device is originally abnormal or when it is not abnormal Can do. At this time, when the reset signal is generated at a time other than the original abnormality, the normal processing can be continued without stopping the load.

請求項2記載の発明によれば、監視対象リセット信号の発行時には計数部が監視対象リセット信号の発生回数をカウントし、駆動制御停止出力部はこの発生回数が所定値以上になると負荷の駆動制御を停止する停止信号を出力する。このため、監視対象リセット信号が所定値以上になったときには負荷の駆動制御を停止できる。また、たとえ監視対象外のリセット信号がリセット信号線に発行されたとしても、このリセット信号をカウントすることがないため負荷を駆動制御停止することはない。   According to the second aspect of the present invention, when the monitoring target reset signal is issued, the counting unit counts the number of times the monitoring target reset signal is generated, and the drive control stop output unit controls the driving of the load when the number of occurrences exceeds a predetermined value. Outputs a stop signal to stop. For this reason, when the monitoring target reset signal becomes equal to or higher than a predetermined value, the drive control of the load can be stopped. Even if a reset signal that is not monitored is issued to the reset signal line, the reset signal is not counted, so that the drive control of the load is not stopped.

一実施形態における電子制御装置の電気的構成を機能的に示す図The figure which shows the electrical structure of the electronic controller in one Embodiment functionally 処理の流れを示すタイミングチャート(その1)Timing chart showing the flow of processing (part 1) 処理内容を概略的に説明するフローチャートFlowchart explaining processing contents roughly 処理の流れを示すタイミングチャート(その2)Timing chart showing the flow of processing (part 2) 機能監視部の処理内容を概略的に説明するフローチャートFlow chart for schematically explaining the processing contents of the function monitoring unit

以下、電子制御装置の一実施形態について図面を参照しながら説明する。図1は電子制御装置の電気的構成を機能的に示している。図1に示すように、電子制御装置1は、演算装置2と、監視回路3と、アクチュエータ駆動装置(駆動装置相当)4と、を備える。アクチュエータ駆動装置4は、電子制御装置1の外部に構成されていても良い。   Hereinafter, an embodiment of an electronic control device will be described with reference to the drawings. FIG. 1 functionally shows the electrical configuration of the electronic control unit. As shown in FIG. 1, the electronic control device 1 includes an arithmetic device 2, a monitoring circuit 3, and an actuator driving device (equivalent to a driving device) 4. The actuator driving device 4 may be configured outside the electronic control device 1.

演算装置2は、例えばワンチップのマイクロコンピュータであり、図示しないが、例えばCPUや、ROM及びRAM等によるメモリ、I/O、A/D変換回路、割込制御回路、システム制御回路、並びに、通信回路等を備える。この演算装置2は、メモリに記憶されたプログラムを実行することで負荷としてのアクチュエータ5を駆動制御する。アクチュエータ5は、例えば電子スロットルなどの車両用負荷であり、例えばスロットルバルブを開閉するためのモータを一例として挙げることができる。   The arithmetic device 2 is, for example, a one-chip microcomputer, although not shown, for example, a CPU, a memory such as a ROM and a RAM, an I / O, an A / D conversion circuit, an interrupt control circuit, a system control circuit, and A communication circuit is provided. The arithmetic device 2 controls the drive of the actuator 5 as a load by executing a program stored in the memory. The actuator 5 is a vehicle load such as an electronic throttle, and a motor for opening and closing a throttle valve can be cited as an example.

演算装置2にはドライバ要求に応じた各種センサ6のセンサ信号(又はスイッチ信号(図示せず))が入力される。センサ6は、例えばアクセルポジションセンサ等である。例えばアクセルポジションセンサは、例えばドライバ要求により操作可能なアクセルペダルの操作量を電気変換するセンサである。図1に示すように、演算装置2は、前述のハードウェア構成にてCPUが非遷移的記録媒体としてのROMに記憶されたプログラムに基づいて処理を実行する。これにより演算装置2は、少なくとも、実制御部7、実制御機能監視部8、及び、自身監視制御部9、の機能ブロックの動作を実現する。   Sensor signals (or switch signals (not shown)) of various sensors 6 corresponding to the driver request are input to the arithmetic device 2. The sensor 6 is, for example, an accelerator position sensor. For example, the accelerator position sensor is a sensor that electrically converts an operation amount of an accelerator pedal that can be operated by a driver request, for example. As shown in FIG. 1, in the arithmetic device 2, the CPU executes processing based on a program stored in a ROM as a non-transitional recording medium with the above-described hardware configuration. Thereby, the arithmetic device 2 realizes at least the operation of the function blocks of the actual control unit 7, the actual control function monitoring unit 8, and the own monitoring control unit 9.

演算装置2の実制御部7は、通常時において、各種センサ6のセンサ信号を入力し、このセンサ信号に基づいてアクチュエータ5を実際に駆動制御する(図1のLevel1参照)。このとき、実制御部7はアクチュエータ駆動装置4に制御信号を出力し、アクチュエータ駆動装置4がこの制御信号に応じてアクチュエータ5を駆動制御する。   The actual control unit 7 of the arithmetic device 2 inputs sensor signals of various sensors 6 at normal times, and actually drives and controls the actuator 5 based on the sensor signals (see Level 1 in FIG. 1). At this time, the actual control unit 7 outputs a control signal to the actuator driving device 4, and the actuator driving device 4 drives and controls the actuator 5 in accordance with the control signal.

また実制御部7は、監視回路3の内部、後述するリレー駆動部14に信号線を通じて電源リレー保持信号28を出力するようになっている。この電源リレー保持信号28は、演算装置2が実制御部7によりアクチュエータ駆動装置4を通じてアクチュエータ5を駆動制御するときに、リレー駆動部14に電源リレー保持を指令するための信号であり、リレー駆動部14が、誤って電源リレー26を遮断しないようにするための指令信号を示している。この電源リレー保持信号28は、機能監視部19にも入力されている。   Further, the actual control unit 7 outputs a power relay holding signal 28 through the signal line to the inside of the monitoring circuit 3 and to a relay driving unit 14 described later. The power relay holding signal 28 is a signal for instructing the relay driving unit 14 to hold the power relay when the arithmetic device 2 drives and controls the actuator 5 through the actuator driving device 4 by the actual control unit 7. The command signal for the part 14 not to interrupt | block the power supply relay 26 accidentally is shown. The power relay holding signal 28 is also input to the function monitoring unit 19.

実制御機能監視部8は、アクチュエータ駆動装置4に通電遮断要求信号を出力するための出力線10を接続している。実制御部7がアクチュエータ駆動装置4を通じてアクチュエータ5を駆動しているときには、実制御機能監視部8は、実制御部7による実制御機能が正常に機能しているか否かを監視し、実制御機能に異常を生じたときには出力線10を通じて通電遮断要求信号をアクチュエータ駆動装置4に出力する(図1のLevel2参照)。これにより、アクチュエータ駆動装置4がアクチュエータ5の駆動制御を停止しフェールセーフ処理する。例えばアクチュエータ5が電子スロットルである場合には、フェールセーフ処理することで、センサ信号がたとえ変化したとしてもスロットルバルブの開度を僅かな一定の開度状態に保持できるようになり、例えばドライバによるアクセルの踏み込み度が変化したとしても一定速度(例えば20km/h)で車両走行できるようになる。このとき、演算装置2はフェールセーフ処理に移行したことをドライバに報知することで、ドライバは修理工場に依頼しこの状態から復旧させることが必要となる。   The actual control function monitoring unit 8 is connected to an output line 10 for outputting an energization cutoff request signal to the actuator driving device 4. When the actual control unit 7 is driving the actuator 5 through the actuator driving device 4, the actual control function monitoring unit 8 monitors whether the actual control function by the actual control unit 7 is functioning normally and performs actual control. When an abnormality occurs in the function, an energization cutoff request signal is output to the actuator driving device 4 through the output line 10 (see Level 2 in FIG. 1). Thereby, the actuator drive device 4 stops the drive control of the actuator 5 and performs fail-safe processing. For example, when the actuator 5 is an electronic throttle, the fail-safe process allows the throttle valve opening to be maintained at a slight constant opening even if the sensor signal changes. Even if the degree of depression of the accelerator changes, the vehicle can travel at a constant speed (for example, 20 km / h). At this time, the arithmetic unit 2 notifies the driver that the process has shifted to the fail-safe process, so that the driver needs to request a repair shop to recover from this state.

他方、自身監視制御部9は、外部の監視装置3との間で通信し、この通信内容に応じて演算装置2自身を監視制御するように構成され、ウォッチドッグ信号生成部11、及び、機能監視部12を備える。ウォッチドッグ信号生成部11はパルス状のウォッチドッグ信号WDを生成し監視装置3に出力する。   On the other hand, the self-monitoring control unit 9 communicates with the external monitoring device 3 and is configured to monitor and control the arithmetic device 2 itself according to the communication content. The watchdog signal generation unit 11 and the function A monitoring unit 12 is provided. The watchdog signal generation unit 11 generates a pulsed watchdog signal WD and outputs it to the monitoring device 3.

他方、監視装置3は、例えばASIC、又は、マイコン及びASICのハイブリッド回路により演算装置2と一体又は別体で構成され、その内部を機能的に記載すると、波形整形部13、リレー駆動部14、パワーオンリセット(POR:Power On Reset)回路15、電源部16、及び、監視部17としての機能を備える。   On the other hand, the monitoring device 3 is configured integrally or separately from the arithmetic device 2 by, for example, an ASIC or a hybrid circuit of a microcomputer and an ASIC, and when the inside is functionally described, the waveform shaping unit 13, the relay driving unit 14, Functions as a power-on reset (POR) circuit 15, a power supply unit 16, and a monitoring unit 17 are provided.

波形整形部13は電源スイッチ信号入力部としても機能する。監視部17は、ウォッチドッグ信号(WD)監視部18、及び、機能監視部19を備える。機能監視部19は、判別部、駆動制御停止出力部として機能し、演算装置2の機能監視部12と協調して機能を監視する(図1中のLevel3参照)。   The waveform shaping unit 13 also functions as a power switch signal input unit. The monitoring unit 17 includes a watchdog signal (WD) monitoring unit 18 and a function monitoring unit 19. The function monitoring unit 19 functions as a determination unit and a drive control stop output unit, and monitors the function in cooperation with the function monitoring unit 12 of the arithmetic device 2 (see Level 3 in FIG. 1).

監視装置3には、イグニッションキースイッチによる電源スイッチ22が接続されている。この電源スイッチ22は、自動車のエンジン始動に用いられるスイッチであり、電源スイッチ信号SWを監視装置3に出力する。電源スイッチ22は、例えばエンジン始動に用いられる電子式のプッシュスイッチであっても良いが、以下では、電源スイッチ22から出力される信号を電源スイッチ信号SWと総称して説明する。この電源スイッチ信号SWは、電源スイッチ22の切替時にノイズを生じるため、このノイズを除去するため波形整形部13に入力されている。波形整形部13は、電源スイッチ信号SWに含まれるノイズを除去することで波形整形し、電源スイッチ信号SWを監視部17中の機能監視部19に出力すると共にリレー駆動部14に出力する。   The monitoring device 3 is connected to a power switch 22 by an ignition key switch. The power switch 22 is a switch used for starting an automobile engine, and outputs a power switch signal SW to the monitoring device 3. The power switch 22 may be, for example, an electronic push switch used for starting the engine. Hereinafter, signals output from the power switch 22 will be collectively referred to as a power switch signal SW. Since the power switch signal SW generates noise when the power switch 22 is switched, the power switch signal SW is input to the waveform shaping unit 13 in order to remove the noise. The waveform shaping unit 13 shapes the waveform by removing noise included in the power switch signal SW, and outputs the power switch signal SW to the function monitoring unit 19 in the monitoring unit 17 and to the relay driving unit 14.

リレー駆動部14は、車両始動時に電源スイッチ信号SWがオフからオンに入力されると電源リレー駆動信号をオン出力することで電源リレー26を通じてバッテリ電源Vbattを内部の電源部16に通電する。電源部16は、バッテリ電源Vbattが通電されると演算装置用電源Vdを生成し演算装置2に出力する。なお演算装置2は、演算装置用電源Vdが供給されると動作を開始するようになっており、演算装置2は、演算装置用電源Vdが供給されると、自身監視制御部9による自身監視制御機能により外部の監視装置3との間で通信バス23を通じて通信処理を開始できる。   The relay drive unit 14 energizes the internal power supply unit 16 through the power relay 26 by turning on the power relay drive signal when the power switch signal SW is input from OFF to ON when the vehicle is started. When the battery power source Vbatt is energized, the power supply unit 16 generates the arithmetic device power source Vd and outputs it to the arithmetic device 2. The arithmetic device 2 starts to operate when the arithmetic device power supply Vd is supplied. When the arithmetic device power supply Vd is supplied, the arithmetic device 2 monitors itself. The communication function can be started through the communication bus 23 with the external monitoring device 3 by the control function.

監視部17のウォッチドッグ信号監視部18は、演算装置2のウォッチドッグ信号生成部11により生成されたウォッチドッグ信号WDを監視し、異常を生じたときには、リセット信号線24、及び、ORゲート27を通じてリセット信号RST2をアクティブレベルとして出力する。   The watchdog signal monitoring unit 18 of the monitoring unit 17 monitors the watchdog signal WD generated by the watchdog signal generation unit 11 of the arithmetic unit 2, and when an abnormality occurs, the reset signal line 24 and the OR gate 27 are monitored. And outputs the reset signal RST2 as an active level.

監視部17の機能監視部19は、ウォッチドッグ信号監視部18のリセット信号RST2が演算装置2の本来の異常時に生じる監視対象リセット信号となるか又は演算装置2の本来の異常時以外に生じる監視対象外リセット信号となるかを判別する判別部としての機能を備える。機能監視部19は、この判別機能を実現するため、計数部20と、フラグ記憶部21と、を備える。計数部20は、監視対象リセット信号の発生回数をカウントするカウンタ等により構成される。フラグ記憶部21はカウント禁止フラグの記憶領域を備える。   The function monitoring unit 19 of the monitoring unit 17 monitors whether the reset signal RST2 of the watchdog signal monitoring unit 18 becomes a monitoring target reset signal that occurs when the arithmetic device 2 is inherently abnormal or occurs other than when the arithmetic device 2 is inherently abnormal. It has a function as a discriminating unit that discriminates whether the reset signal is not applicable. The function monitoring unit 19 includes a counting unit 20 and a flag storage unit 21 in order to realize this discrimination function. The counting unit 20 includes a counter that counts the number of times the monitoring target reset signal is generated. The flag storage unit 21 includes a count prohibition flag storage area.

機能監視部19は、リセット信号線24に生じるリセット信号を監視し、計数部20により監視対象リセット信号の発生回数をカウントする。機能監視部19は、本来の異常時以外に生じる監視対象外リセット信号となっているときには当該監視対象外リセット信号を無視し、計数部20は監視対象リセット信号としてカウントしない。機能監視部19は、アクチュエータ駆動装置4に通電遮断要求信号を出力するための出力線25を接続している。機能監視部19は、ウォッチドッグ信号監視部18による監視結果に基づいて異常を生じたときには通電遮断要求信号を出力線25を通じてアクチュエータ駆動装置4に出力することで、アクチュエータ駆動装置4によりアクチュエータ5の駆動制御を停止可能になっている。これにより、Level2、Level3の複数段階でフェールセーフ処理可能になっている。   The function monitoring unit 19 monitors the reset signal generated on the reset signal line 24, and the counting unit 20 counts the number of occurrences of the monitoring target reset signal. The function monitoring unit 19 ignores the non-monitoring target reset signal when it is a non-monitoring target reset signal that occurs at times other than the original abnormality, and the counting unit 20 does not count as the monitoring target reset signal. The function monitoring unit 19 is connected to an output line 25 for outputting an energization cutoff request signal to the actuator driving device 4. The function monitoring unit 19 outputs an energization cut-off request signal to the actuator driving device 4 through the output line 25 when an abnormality occurs based on the monitoring result by the watchdog signal monitoring unit 18. The drive control can be stopped. As a result, fail-safe processing is possible in multiple stages of Level 2 and Level 3.

以下、本実施形態における動作を説明する。図2は、演算装置2に生じた異常が所定回に達したときにフェールセーフ処理に移行するまでのタイミングチャートを示している。図2に示すように、タイミングt1において電源スイッチ22がオンされると、この電源スイッチ信号SWのオン信号が監視装置3の波形整形部13を通じてリレー駆動部14に与えられる。監視回路3のリレー駆動部14は、電源リレー26をオン駆動することでバッテリ電源Vbattを電源部16に入力させる。この電源部16は、演算装置2用の電源Vdを生成し演算装置2に出力する。他方、電源スイッチ22がオンされると、パワーオンリセット回路15はリセット信号RST1をアクティブレベルとしてORゲート27を通じてリセットResetとして出力するものの、入力クロックが演算装置2に安定的に入力されると、タイミングt2においてリセット信号RST1をノンアクティブレベルとしてORゲート27を通じて演算装置2に印加する。これによりリセット解除する。   The operation in this embodiment will be described below. FIG. 2 shows a timing chart up to the transition to fail-safe processing when an abnormality that has occurred in the arithmetic unit 2 reaches a predetermined time. As shown in FIG. 2, when the power switch 22 is turned on at timing t <b> 1, the on signal of the power switch signal SW is given to the relay driving unit 14 through the waveform shaping unit 13 of the monitoring device 3. The relay drive unit 14 of the monitoring circuit 3 inputs the battery power Vbatt to the power supply unit 16 by turning on the power supply relay 26. The power supply unit 16 generates a power supply Vd for the arithmetic device 2 and outputs it to the arithmetic device 2. On the other hand, when the power switch 22 is turned on, the power-on reset circuit 15 outputs the reset signal RST1 as an active level as a reset Reset through the OR gate 27. However, when the input clock is stably input to the arithmetic unit 2, At timing t2, the reset signal RST1 is applied to the arithmetic unit 2 through the OR gate 27 as a non-active level. This cancels the reset.

その後、演算装置2の実制御部7は、センサ6からセンサ信号を入力しアクチュエータ駆動装置4を通じてアクチュエータ5を駆動制御する。このとき、タイミングt3において、実制御部7は信号線を通じて電源リレー保持信号28をアクティブ状態として出力するが、この電源リレー保持信号28は監視装置3のリレー駆動部14及び機能監視部19に与えられる。   Thereafter, the actual control unit 7 of the arithmetic device 2 inputs a sensor signal from the sensor 6 and controls the driving of the actuator 5 through the actuator driving device 4. At this time, at the timing t3, the actual control unit 7 outputs the power relay holding signal 28 as an active state through the signal line, and this power relay holding signal 28 is given to the relay driving unit 14 and the function monitoring unit 19 of the monitoring device 3. It is done.

この後、演算装置2のウォッチドッグ信号生成部11は、タイミングt4においてパルス状のウォッチドッグ信号WDを生成し、監視装置3に出力し始める。この後、演算装置2に何らかの異常を生じると、演算装置2の自身監視制御部9は、タイミングt5においてウォッチドッグ信号生成部11によるウォッチドッグ信号WDのパルス出力を停止する。すると、監視装置3のウォッチドッグ信号監視部18は、タイマ(図示せず)により異常判定時間を計測し、このとき異常判定時間が閾値に達したときに異常であると判定し、タイミングt6においてリセット信号線24及びORゲート27を通じてリセット信号RST2をアクティブレベルとして演算装置2に出力すると共に、リセット信号RST2のアクティブレベルを機能監視部19に出力する。演算装置2は、リセット信号RST2のアクティブレベルをORゲート27を通じてリセットResetを入力すると自身をリセットする。   Thereafter, the watchdog signal generation unit 11 of the arithmetic device 2 generates a pulse-like watchdog signal WD at timing t4 and starts to output it to the monitoring device 3. Thereafter, when any abnormality occurs in the arithmetic unit 2, the self-monitoring control unit 9 of the arithmetic unit 2 stops the pulse output of the watchdog signal WD by the watchdog signal generation unit 11 at timing t5. Then, the watchdog signal monitoring unit 18 of the monitoring device 3 measures the abnormality determination time with a timer (not shown), determines that the abnormality determination time is abnormal when the abnormality determination time reaches the threshold, and at timing t6. The reset signal RST2 is output as an active level to the arithmetic unit 2 through the reset signal line 24 and the OR gate 27, and the active level of the reset signal RST2 is output to the function monitoring unit 19. The arithmetic unit 2 resets itself when the reset level of the reset signal RST <b> 2 is input through the OR gate 27.

図3は、機能監視部19の概略的な処理内容をフローチャートにより示している。機能監視部19は、図3のS1においてウォッチドッグ信号監視部18によりリセット信号線24に発行されるリセット信号RST2を監視している。そして機能監視部19は、図2のタイミングt6において図3のS2の処理を実行し、ウォッチドッグ信号監視部18により発行されたリセット信号RST2のアクティブレベルが監視対象リセット信号であるか監視対象外リセット信号であるかを、少なくとも電源スイッチ信号SWに基づいて判別する。   FIG. 3 shows a schematic processing content of the function monitoring unit 19 in a flowchart. The function monitoring unit 19 monitors the reset signal RST2 issued to the reset signal line 24 by the watchdog signal monitoring unit 18 in S1 of FIG. Then, the function monitoring unit 19 executes the process of S2 of FIG. 3 at the timing t6 of FIG. 2, and determines whether the active level of the reset signal RST2 issued by the watchdog signal monitoring unit 18 is the monitoring target reset signal or not. Whether it is a reset signal is determined based on at least the power switch signal SW.

機能監視部19は、タイミングt6において電源スイッチ信号SWがオンされているため、ウォッチドッグ信号監視部18により発行されたリセット信号RST2を監視対象リセット信号であると判定し、図3のS3において計数部20によりリセット信号RST2の発行回数をインクリメントする。この図2のタイミングt6では、このリセット信号の発行回数が所定値(例えば2回)未満となっているため、機能監視部19は、図3のS1に処理を戻し、再度リセット信号線24のリセット信号RST2を監視し続ける。   Since the power switch signal SW is turned on at timing t6, the function monitoring unit 19 determines that the reset signal RST2 issued by the watchdog signal monitoring unit 18 is a monitoring target reset signal, and counts in S3 of FIG. The number of times the reset signal RST2 is issued is incremented by the unit 20. At the timing t6 in FIG. 2, since the number of times the reset signal is issued is less than a predetermined value (for example, twice), the function monitoring unit 19 returns the process to S1 in FIG. Continue to monitor the reset signal RST2.

また、演算装置2にはリセット信号RST2がアクティブレベルとして入力されるため、リセット機能により演算装置2は再起動する。すると演算装置2は、図2のタイミングt7においてパルス状のウォッチドッグ信号WDを再度出力し始める。またこの後、演算装置2に何らかの異常を生じると、演算装置2は、図2のタイミングt8においてウォッチドッグ信号WDのパルス出力を停止する。   Since the reset signal RST2 is input as an active level to the arithmetic device 2, the arithmetic device 2 is restarted by the reset function. Then, the arithmetic unit 2 starts to output the pulse-like watchdog signal WD again at the timing t7 in FIG. Thereafter, when any abnormality occurs in the arithmetic device 2, the arithmetic device 2 stops the pulse output of the watchdog signal WD at the timing t8 in FIG.

すると、監視装置3のウォッチドッグ信号監視部18はタイマにより異常判定時間を計測し、このとき異常判定時間が閾値に達したときに異常であると判定し、図2のタイミングt9においてリセット信号RST2のアクティブレベルをリセット信号線24に出力する。これにより、リセット信号RST2のアクティブレベルが演算装置2及び機能監視部19に入力される。演算装置2は、図2のタイミングt9においてリセット信号RST2のアクティブレベルをORゲート27を通じて入力すると、演算装置2自身をリセットする。   Then, the watchdog signal monitoring unit 18 of the monitoring device 3 measures the abnormality determination time using a timer, and determines that the abnormality is detected when the abnormality determination time reaches the threshold, and the reset signal RST2 at timing t9 in FIG. Is output to the reset signal line 24. Thereby, the active level of the reset signal RST2 is input to the arithmetic unit 2 and the function monitoring unit 19. The arithmetic unit 2 resets the arithmetic unit 2 itself when the active level of the reset signal RST2 is input through the OR gate 27 at the timing t9 in FIG.

他方、同時に、監視装置3の機能監視部19は、図2のタイミングt9において図3のS2の判別処理を実行し、ウォッチドッグ信号監視部18により発行されたリセット信号RST2が監視対象リセット信号であるか監視対象外リセット信号であるかを、少なくとも電源スイッチ信号SWに基づいて判別する。   On the other hand, at the same time, the function monitoring unit 19 of the monitoring device 3 executes the determination process of S2 of FIG. 3 at timing t9 of FIG. 2, and the reset signal RST2 issued by the watchdog signal monitoring unit 18 is the monitoring target reset signal. Whether it is a non-monitoring target reset signal is determined based on at least the power switch signal SW.

機能監視部19は、タイミングt9において電源スイッチ信号SWがオンされているため、ウォッチドッグ信号監視部18により発行されたリセット信号RST2のアクティブレベルを監視対象リセット信号であると判定し、図3のS3において計数部20によりリセット信号RST2の発行回数をインクリメントする。この図2のタイミングt9においては、このリセット信号RST2の発行回数が所定値(例えば2回)以上となるため、機能監視部19は通電遮断要求信号をアクチュエータ駆動装置4に出力する。これによりアクチュエータ5の駆動を停止できフェールセーフ処理できる。   Since the power switch signal SW is turned on at timing t9, the function monitoring unit 19 determines that the active level of the reset signal RST2 issued by the watchdog signal monitoring unit 18 is the monitoring target reset signal, and the function monitoring unit 19 of FIG. In S3, the counting unit 20 increments the number of times the reset signal RST2 is issued. At the timing t9 in FIG. 2, since the number of times the reset signal RST2 is issued is equal to or greater than a predetermined value (for example, twice), the function monitoring unit 19 outputs an energization cutoff request signal to the actuator driving device 4. Thereby, the drive of the actuator 5 can be stopped and a fail safe process can be performed.

フェールセーフ処理すると、図示しない報知装置が外部に通知する。このためドライバは車両を安全に停止し図2のタイミングt10にて電源スイッチ22をオフする。
電源スイッチ22がオフされると、監視装置3のリレー駆動部14がこの電源スイッチ信号SWのオフ信号を入力するが、電源スイッチ信号SWは波形整形部13を通じて演算装置2の実制御部7にも入力される。演算装置2の実制御部7は、この電源スイッチ信号SWのオフ信号を受け付けると、シャットダウン処理、所謂停止処理を行う。 When fail-safe processing is performed, a notification device (not shown) notifies the outside. Therefore, the driver safely stops the vehicle and turns off the power switch 22 at timing t10 in FIG.
When the power switch 22 is turned off, the relay drive unit 14 of the monitoring device 3 inputs an off signal of the power switch signal SW. The power switch signal SW is input to the actual control unit 7 of the arithmetic unit 2 through the waveform shaping unit 13. Is also entered. When the real control unit 7 of the arithmetic device 2 receives the OFF signal of the power switch signal SW, the real control unit 7 performs a shutdown process, a so-called stop process.

この演算装置2が停止処理を行っている間も、監視装置3のリレー駆動部14は、当該停止処理の終了時間よりも長く見込まれる所定時間T2の間、電源リレー26のオン制御を継続する。これにより、監視装置3の電源部16は、所定時間T2の間、演算装置用電源Vdを演算装置2に供給する。   Even while the arithmetic device 2 is performing the stop process, the relay drive unit 14 of the monitoring device 3 continues the on-control of the power relay 26 for a predetermined time T2 that is expected to be longer than the end time of the stop process. . Thereby, the power supply unit 16 of the monitoring device 3 supplies the arithmetic device power supply Vd to the arithmetic device 2 for a predetermined time T2.

同時に、電源スイッチ信号SWは、波形整形部13を通じて機能監視部19にも入力される。前述したように、演算装置2が停止処理を行っている間も、リレー駆動部14は所定時間T2の間、電源リレー26のオン制御を継続するが、この間、機能監視部19は通電遮断要求信号をアクチュエータ駆動装置4に出力し続ける。そして、図2のタイミングt11において所定時間T2を経過すると、リレー駆動部14は電源リレー26をオフする。すると、電源部16が演算装置2への電源供給を停止する。   At the same time, the power switch signal SW is also input to the function monitoring unit 19 through the waveform shaping unit 13. As described above, the relay drive unit 14 continues the on-control of the power supply relay 26 for the predetermined time T2 while the arithmetic device 2 is performing the stop process. During this time, the function monitoring unit 19 requests the energization interruption. The signal is continuously output to the actuator driving device 4. Then, when the predetermined time T2 has elapsed at the timing t11 in FIG. 2, the relay drive unit 14 turns off the power supply relay 26. Then, the power supply unit 16 stops supplying power to the arithmetic device 2.

機能監視部19は、リレー駆動部14が電源リレー26をオフし、電源部16が演算装置用電源Vdをオフするまでアクチュエータ駆動装置4への通電遮断要求信号を継続出力しているため、電源部16が電源出力オフするまでアクチュエータ駆動装置4がアクチュエータ5を駆動開始することがなくなり、機能安全性を高めることができる。   Since the function monitoring unit 19 continuously outputs the energization cutoff request signal to the actuator driving device 4 until the relay driving unit 14 turns off the power supply relay 26 and the power supply unit 16 turns off the power supply Vd for the arithmetic unit, The actuator driving device 4 does not start to drive the actuator 5 until the power output of the unit 16 is turned off, and the functional safety can be improved.

したがって、演算装置2が停止処理しているときに、たとえ電源スイッチ22がオフ操作されたとしても、このオフ操作に応じた誤動作を防止できる。その後、電源スイッチ22が再度オンされると、図2のタイミングt21以降に示すように、処理を繰り返すことになるが、この処理の説明は省略する。   Therefore, even if the power switch 22 is turned off while the arithmetic unit 2 is performing the stop process, it is possible to prevent a malfunction according to the off operation. Thereafter, when the power switch 22 is turned on again, the process is repeated as shown after the timing t21 in FIG. 2, but the description of this process is omitted.

また図4は、電源スイッチ22がオン状態からオフに切換えられた直後に再度オンに切換えられたときの各部の動作をタイミングチャートで示している。特に、演算装置2が停止処理を行っている最中に、電源スイッチ22が再度オンに切替えられたときの動作説明図を示している。この図4に示す説明では、図2に図示した内容に加えて、機能監視部19がフラグ記憶部21に保持するカウント禁止フラグ、計数部20によるカウント値も図示している。また図5は、カウント禁止フラグのオン条件をフローチャートを用いて示している。   FIG. 4 is a timing chart showing the operation of each part when the power switch 22 is turned on again immediately after it is turned off from the on state. In particular, an operation explanatory diagram when the power switch 22 is turned on again while the arithmetic unit 2 is performing the stop process is shown. In the description shown in FIG. 4, in addition to the contents shown in FIG. 2, the count prohibition flag held by the function monitoring unit 19 in the flag storage unit 21 and the count value by the counting unit 20 are also illustrated. FIG. 5 shows the ON condition of the count prohibition flag using a flowchart.

図4に示す流れにおいても、前述した図2の説明と同様に、電源スイッチ22がオンされると、演算装置2は、タイミングt1〜t5に示すようにウォッチドッグ信号WDを出力する。演算装置2は異常を生じると、当該異常に基づいて図4のタイミングt5〜t6に示すようにリセット処理する。機能監視部19は、リセット信号RST2を監視対象リセット信号と見做し、この発行回数を計数部20によりカウントする。図4のタイミングt6では1回とカウントされる。図4に示すように、このタイミングt1〜t6等の間、機能監視部19は、フラグ記憶部21にカウント禁止フラグをオフのまま保持する。   Also in the flow shown in FIG. 4, when the power switch 22 is turned on as in the description of FIG. 2 described above, the arithmetic unit 2 outputs the watch dog signal WD as shown at timings t1 to t5. If an abnormality occurs, the arithmetic unit 2 performs a reset process based on the abnormality as shown at timings t5 to t6 in FIG. The function monitoring unit 19 regards the reset signal RST2 as a monitoring target reset signal, and counts the issuance count by the counting unit 20. At timing t6 in FIG. 4, it is counted as one time. As shown in FIG. 4, during the timings t1 to t6 and the like, the function monitoring unit 19 holds the count prohibition flag in the flag storage unit 21 while being off.

その後、図4のタイミングt31において、電源スイッチ22がオフされると、演算装置2は停止処理を開始する。演算装置2は停止処理を開始するものの、そのタイミングt31から期間Ta(<T2)を経過したタイミングt32において再度電源スイッチ22がオンされたときにも、電源リレー保持信号28が入力され続けられているため、電源部16は、演算装置用電源Vdの電源供給を継続する。電源は監視装置3にも供給され続けているため、パワーオンリセット回路15はリセット信号RST1を出力しない。しかし、電源スイッチ信号SWがタイミングt32においてオフからオンになったときには、演算装置2はウォッチドッグ信号WDを意図的に停止し自身をリセット処理する。   Thereafter, when the power switch 22 is turned off at timing t31 in FIG. 4, the arithmetic unit 2 starts a stop process. Although the arithmetic unit 2 starts the stop process, the power relay holding signal 28 is continuously input even when the power switch 22 is turned on again at the timing t32 when the period Ta (<T2) has elapsed from the timing t31. Therefore, the power supply unit 16 continues to supply power to the arithmetic device power supply Vd. Since power is continuously supplied to the monitoring device 3, the power-on reset circuit 15 does not output the reset signal RST1. However, when the power switch signal SW is turned from OFF to ON at timing t32, the arithmetic unit 2 intentionally stops the watchdog signal WD and resets itself.

他方、監視装置3の機能監視部19は、図5に示すように、電源スイッチ信号SWがオフからオンしたときのタイミングt32における電源リレー保持信号28を入力し、当該電源リレー保持信号28がアクティブ状態を継続していれば、図5のステップS11、S12においてYESと判定し、図4のタイミングt32においてカウント禁止フラグをオフからオンにする。図5のS13も参照。   On the other hand, as shown in FIG. 5, the function monitoring unit 19 of the monitoring device 3 inputs the power relay holding signal 28 at the timing t32 when the power switch signal SW is turned on, and the power relay holding signal 28 is active. If the state continues, YES is determined in steps S11 and S12 in FIG. 5, and the count prohibition flag is turned from OFF to ON at timing t32 in FIG. See also S13 in FIG.

そして機能監視部19は、図4のタイミングt33において図3のS2に示す判別処理を実行すると、ウォッチドッグ信号監視部18により発行されたリセット信号RST2が監視対象リセット信号であるか監視対象外リセット信号であるかを判別する。   When the function monitoring unit 19 executes the determination process shown in S2 of FIG. 3 at timing t33 in FIG. 4, whether the reset signal RST2 issued by the watchdog signal monitoring unit 18 is a monitoring target reset signal is reset. Determine if it is a signal.

このとき機能監視部19は、フラグ記憶部21のカウント禁止フラグをオンにしているため、ウォッチドッグ信号監視部18がリセット信号RST2を出力し、機能監視部19が図3のS1においてリセット信号RST2を監視したとしても、このリセット信号RST2を監視対象外リセット信号と見做し、リセット信号RST2の発行回数をインクリメントすることなく図3のS1に処理を戻す。これにより、リセット信号RST2の発行回数は、カウントされることなく前回の発行回数(例えば1回)のまま保持されるようになる。図4のタイミングt33における計数部20のカウント値参照。   At this time, since the function monitoring unit 19 turns on the count prohibition flag of the flag storage unit 21, the watchdog signal monitoring unit 18 outputs the reset signal RST2, and the function monitoring unit 19 resets the reset signal RST2 in S1 of FIG. Even if this is monitored, the reset signal RST2 is regarded as a non-monitoring reset signal, and the process returns to S1 in FIG. 3 without incrementing the number of times the reset signal RST2 is issued. As a result, the number of issuance times of the reset signal RST2 is held as it was last time (for example, once) without being counted. Refer to the count value of the counter 20 at the timing t33 in FIG.

その後、機能監視部19は、リセット信号RST2を監視し、ノンアクティブレベル「L」が入力されたことを確認すると、図4のタイミングt34において、フラグ記憶部21のカウント禁止フラグをオフに戻す。演算装置2は、図4のタイミングt35において意図的に停止していたウォッチドッグ信号WDを復帰させることで通常動作開始する。   After that, the function monitoring unit 19 monitors the reset signal RST2 and confirms that the non-active level “L” is input, and then returns the count prohibition flag in the flag storage unit 21 to OFF at timing t34 in FIG. The arithmetic unit 2 starts normal operation by returning the watchdog signal WD that was intentionally stopped at the timing t35 in FIG.

このため、演算装置2が停止処理している間に、電源スイッチ22がオンからオフ、また再度オンされたときに、演算装置2が意図的にウォッチドッグ信号WDを停止したとしても、監視装置3は、このウォッチドッグ信号WDの停止によるリセット信号RST2を監視対象外リセット信号と見做し、計数部20によりカウントすることはない。このため、フェールセーフ処理して退避走行することなく、通常動作に復帰でき通常制御を継続できる。   For this reason, even if the arithmetic device 2 intentionally stops the watchdog signal WD when the power switch 22 is turned off and on again while the arithmetic device 2 is stopping, the monitoring device 3, the reset signal RST <b> 2 due to the stop of the watchdog signal WD is regarded as a non-monitored reset signal and is not counted by the counting unit 20. For this reason, it is possible to return to normal operation and continue normal control without fail-safe processing and retreating.

<比較例>
仮に、カウント禁止フラグを設けるなどの処理を行っていないと、電源スイッチ22がオンからオフ、再度オンされたときに、リセット回数を所定回以上カウントしてしまうことになりフェールセーフ処理に移行してしまう虞がある。 <Comparative example>
If processing such as setting a count prohibition flag is not performed, when the power switch 22 is turned off from on and turned on again, the number of resets is counted more than a predetermined number, and the process proceeds to fail safe processing. There is a risk that.

<まとめ>
本実施形態の特徴を概念的にまとめる。
演算装置2が異常を生じたときに監視装置3はリセット信号RST2のアクティブレベルをリセット信号線24を通じて演算装置2に出力する。機能監視部19は、リセット信号線24に発行されるリセット信号RST2のアクティブレベルが演算装置2の本来の異常時に生じる監視対象リセット信号となるか又は演算装置2の本来の異常時以外に生じる監視対象外リセット信号となるかを判別する。このため、リセット信号RST2のアクティブレベルがリセット信号線24に発行されたとしても、このリセット信号RST2のアクティブレベルが演算装置2の本来の異常時に生じたものであるか、本来の異常時以外で生じたものであるかを判別できる。このとき、本来の異常時以外で生じたものであるときには、フェールセーフ処理に移行することなく通常制御を継続できる。 <Summary>
The features of the present embodiment are conceptually summarized.
When abnormality occurs in the arithmetic device 2, the monitoring device 3 outputs the active level of the reset signal RST2 to the arithmetic device 2 through the reset signal line 24. The function monitoring unit 19 monitors whether the active level of the reset signal RST2 issued to the reset signal line 24 becomes a monitoring target reset signal that occurs when the arithmetic device 2 is inherently abnormal or occurs other than when the arithmetic device 2 is inherently abnormal. It is determined whether the reset signal is not applicable. For this reason, even if the active level of the reset signal RST2 is issued to the reset signal line 24, the active level of the reset signal RST2 is generated at the time of the original abnormality of the arithmetic unit 2, or other than at the time of the original abnormality. It can be determined whether it has occurred. At this time, if it occurs at a time other than the original abnormal time, normal control can be continued without shifting to the fail-safe process.

また、監視対象リセット信号RST2のアクティブレベルの発行時には、計数部20が監視対象リセット信号RST2の発生回数をカウントする。機能監視部19はこの発生回数が所定値以上になると、アクチュエータ5を駆動制御停止するための通電遮断要求信号を停止信号としてアクチュエータ駆動装置4に出力する。このため、監視対象リセット信号RST2が所定値以上になったときには、アクチュエータ5の駆動制御を停止できフェールセーフ処理に移行できる。   Further, when the active level of the monitoring target reset signal RST2 is issued, the counting unit 20 counts the number of occurrences of the monitoring target reset signal RST2. When the number of occurrences exceeds a predetermined value, the function monitoring unit 19 outputs an energization cutoff request signal for stopping the drive control of the actuator 5 to the actuator drive device 4 as a stop signal. For this reason, when the monitoring target reset signal RST2 becomes equal to or higher than the predetermined value, the drive control of the actuator 5 can be stopped and the process can be shifted to the fail-safe process.

また、たとえ監視対象外のリセット信号RST2がリセット信号線24に発行されたとしても、このリセット信号RST2のアクティブレベル「H」の発行回数をカウントすることがないため、アクチュエータ5を駆動制御停止することがなくなり、フェールセーフ処理に移行することがなくなる。   Further, even if the reset signal RST2 that is not monitored is issued to the reset signal line 24, the number of times the active level “H” of the reset signal RST2 is issued is not counted, and the drive control of the actuator 5 is stopped. And there is no transition to fail-safe processing.

機能監視部19が、通電遮断要求信号をアクチュエータ駆動装置4に出力するときには、電源部16が電源オフするまで当該通電遮断要求信号を継続するようにしているため、電源部16が電源オフするまでアクチュエータ駆動装置4がアクチュエータ5を駆動開始可能に至ることがなくなり、機能安全性を高めることができる。   When the function monitoring unit 19 outputs the energization cut-off request signal to the actuator drive device 4, the energization cut-off request signal is continued until the power supply unit 16 is turned off. Therefore, until the power supply unit 16 is turned off. The actuator driving device 4 can no longer start driving the actuator 5, and the functional safety can be improved.

機能監視部19は、演算装置2がアクチュエータ駆動装置4を通じてアクチュエータ5を駆動制御するときに電源保持を指令出力する電源リレー保持信号28を入力し、電源スイッチ信号SWがオフからオンするタイミングにおける電源リレー保持信号28に応じて、リセット信号RST2が監視対象リセット信号であるか監視対象外リセット信号であるかを判別するようにしている。これにより、監視対象リセット信号であるか監視対象外リセット信号であるかを正確に判別できる。   The function monitoring unit 19 inputs a power supply relay holding signal 28 that outputs a command to hold the power supply when the arithmetic device 2 drives and controls the actuator 5 through the actuator driving device 4, and the power supply at the timing when the power switch signal SW is turned on from off. Depending on the relay holding signal 28, it is determined whether the reset signal RST2 is a monitoring target reset signal or a non-monitoring target reset signal. Thereby, it is possible to accurately determine whether the reset signal is a monitoring target reset signal or a non-monitoring target reset signal.

具体例を詳述するならば、リセット信号RST2が発行される直前において、電源スイッチ信号SWがオフからオンするタイミングにおいて電源リレー保持信号28のアクティブ状態が継続していることを条件として、機能演算部19はカウント禁止フラグをオフからオンしてフラグ記憶部21に記憶させるようにしている。このため、その後、リセット信号RST2が発行されたとしても当該リセット信号RST2の発行回数をカウントすることがなくなる。   A specific example will be described in detail. On the condition that immediately before the reset signal RST2 is issued, the power relay holding signal 28 is in an active state at the timing when the power switch signal SW is turned on from off, the function calculation is performed. The unit 19 turns on the count prohibition flag from OFF and stores it in the flag storage unit 21. Therefore, even if the reset signal RST2 is subsequently issued, the number of times the reset signal RST2 is issued is not counted.

一旦、フェールセーフ処理に移行してしまうと、再度ディーラなどで点検、修理を施す必要を生ずることがあるが、本実施形態に示すように処理することで、フェールセーフ処理に移行する必要なく通常制御を継続できる。これにより、車両の信頼性を確保しながら、商品性の悪化を防ぐことができる。   Once the transition to fail-safe processing has occurred, it may be necessary to inspect and repair again with a dealer or the like, but by performing processing as shown in this embodiment, it is normal that there is no need to transition to fail-safe processing. Control can continue. Thereby, deterioration of merchantability can be prevented while ensuring the reliability of the vehicle.

なお図5は、カウント禁止フラグのオン条件を示しているが、図1や図4に示すタイミングt1において、通常通り車両が起動されるときに電源スイッチ22がオフからオンされS11の条件を満たしたとしても、このタイミングt1には電源リレー保持信号28はノンアクティブレベルとされているためS12の条件を満たすことはなく、カウント禁止フラグがオフからオンになることはない。   FIG. 5 shows the on condition of the count prohibition flag. However, at the timing t1 shown in FIGS. 1 and 4, the power switch 22 is turned on from the off state when the vehicle is started as usual, and the condition of S11 is satisfied. Even at this timing t1, since the power relay holding signal 28 is at the non-active level, the condition of S12 is not satisfied, and the count prohibition flag is not turned on from off.

(他の実施形態)
本発明は、前述した実施形態に限定されるものではなく、種々変形して実施することができ、その要旨を逸脱しない範囲で種々の実施形態に適用可能である。例えば以下に示す変形又は拡張が可能である。 (Other embodiments)
The present invention is not limited to the above-described embodiments, can be implemented with various modifications, and can be applied to various embodiments without departing from the gist thereof. For example, the following modifications or expansions are possible.

監視装置3の他に別途機能監視部19の機能を備える構成を設け、監視装置3の外部の機能監視部19が処理を実行するようにしても良い。
特許請求の範囲に記載した括弧内の符号は、本発明の一つの態様として前述する実施形態に記載の具体的手段との対応関係を示すものであって、本発明の技術的範囲を限定するものではない。前述実施形態の一部を、課題を解決できる限りにおいて省略した態様も実施形態と見做すことが可能である。また、特許請求の範囲に記載した文言によって特定される発明の本質を逸脱しない限度において、考え得るあらゆる態様も実施形態と見做すことが可能である。 In addition to the monitoring device 3, a configuration having the function of the function monitoring unit 19 may be provided separately, and the function monitoring unit 19 outside the monitoring device 3 may execute the process.
The reference numerals in parentheses described in the claims indicate the correspondence with the specific means described in the embodiment described above as one aspect of the present invention, and limit the technical scope of the present invention. It is not a thing. An aspect in which a part of the above-described embodiment is omitted as long as the problem can be solved can be regarded as the embodiment. In addition, any conceivable aspect can be regarded as an embodiment as long as it does not depart from the essence of the invention specified by the words described in the claims.

また本発明は、前述した実施形態に準拠して記述したが、本発明は当該実施形態や構造に限定されるものではないと理解される。本発明は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、さらには、それらに一要素、それ以上、あるいはそれ以下、を含む他の組み合わせや形態をも、本開示の範畴や思想範囲に入るものである。   Moreover, although this invention was described based on embodiment mentioned above, it understands that this invention is not limited to the said embodiment and structure. The present invention includes various modifications and modifications within an equivalent range. In addition, various combinations and forms, as well as other combinations and forms including one element, more or less, are within the scope and spirit of the present disclosure.

図面中、1は電子制御装置、2は演算装置、3は監視装置、5はアクチュエータ(負荷)、13は波形整形部(電源スイッチ信号入力部)、16は電源部、19は機能監視部(判別部、駆動制御停止出力部)、20は計数部、24はリセット信号線、を示す。   In the drawings, 1 is an electronic control device, 2 is a computing device, 3 is a monitoring device, 5 is an actuator (load), 13 is a waveform shaping unit (power switch signal input unit), 16 is a power supply unit, and 19 is a function monitoring unit ( (Determination unit, drive control stop output unit), 20 is a counting unit, and 24 is a reset signal line.

Claims (5)

負荷(5)を駆動制御するための制御信号を駆動装置(4)に出力する演算装置(2)と、
前記演算装置の動作を監視し当該演算装置が異常を生じたときにリセット信号(RST2)をリセット信号線(24)を通じて前記演算装置に出力する監視装置(3)と、
前記リセット信号線のリセット信号が前記演算装置の本来の異常時に生じる監視対象リセット信号となるか又は前記演算装置の本来の異常時以外に生じる監視対象外リセット信号となるかを判別する判別部(19)と、
を備える電子制御装置。 An arithmetic unit (2) that outputs a control signal for driving and controlling the load (5) to the driving unit (4);
A monitoring device (3) that monitors the operation of the arithmetic device and outputs a reset signal (RST2) to the arithmetic device through a reset signal line (24) when the arithmetic device is abnormal;
A determination unit that determines whether a reset signal of the reset signal line is a monitoring target reset signal that is generated when the arithmetic device is abnormal or a non-monitoring reset signal that is generated when the arithmetic device is not abnormal. 19)
An electronic control device comprising: 前記監視対象リセット信号の発行時には当該監視対象リセット信号の発生回数をカウントする計数部(20)と、
前記計数部によりカウントされた監視対象リセット信号の発生回数が所定値以上になると前記負荷の駆動制御を停止する停止信号を出力する駆動制御停止出力部(19)と、
をさらに備える請求項1記載の電子制御装置。 A counter (20) for counting the number of occurrences of the monitoring target reset signal when issuing the monitoring target reset signal;
A drive control stop output unit (19) for outputting a stop signal for stopping the drive control of the load when the number of occurrences of the monitoring target reset signal counted by the counting unit exceeds a predetermined value;
The electronic control device according to claim 1, further comprising: 前記演算装置に演算装置用電源を供給するための電源部(16)をさらに備え、
前記駆動制御停止出力部は、前記停止信号を出力するときには前記電源部が演算装置用電源をオフするまで当該停止信号を継続する請求項2記載の電子制御装置。 A power supply unit (16) for supplying power to the arithmetic device to the arithmetic device;
The electronic control device according to claim 2, wherein the drive control stop output unit continues the stop signal until the power supply unit turns off the power supply for the arithmetic device when outputting the stop signal. 電源スイッチ信号(SW)を入力する電源スイッチ信号入力部(13)をさらに備え、
前記判別部は、前記演算装置が負荷を駆動制御するときに電源保持を指令出力する電源リレー保持信号(28)を入力し、前記電源スイッチ信号がオフからオンするタイミングにおける前記電源リレー保持信号に応じて、前記リセット信号が前記監視対象リセット信号であるか前記監視対象外リセット信号であるかを判別する請求項1から3の何れか一項に記載の電子制御装置。 A power switch signal input unit (13) for inputting a power switch signal (SW);
The determination unit inputs a power relay holding signal (28) that outputs a power holding command when the arithmetic device controls driving of the load, and sets the power relay holding signal at a timing at which the power switch signal is turned on. 4. The electronic control device according to claim 1, wherein the electronic control device determines whether the reset signal is the monitoring target reset signal or the non-monitoring target reset signal. 前記監視対象リセット信号の発行時には当該監視対象リセット信号の発生回数をカウントする計数部(20)を備え、
前記判別部により前記リセット信号線に入力される信号が前記監視対象外リセット信号であると判別されたときには、前記計数部は、前記監視対象リセット信号の発生回数をカウントしないようにする請求項4記載の電子制御装置。
A counter (20) for counting the number of occurrences of the monitoring target reset signal when issuing the monitoring target reset signal;
5. The counting unit does not count the number of occurrences of the monitoring target reset signal when the determination unit determines that the signal input to the reset signal line is the non-monitoring reset signal. The electronic control device described.
JP2016206924A 2016-10-21 2016-10-21 Electronic control unit Active JP6690495B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016206924A JP6690495B2 (en) 2016-10-21 2016-10-21 Electronic control unit
DE102017218697.6A DE102017218697A1 (en) 2016-10-21 2017-10-19 Electronic control unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016206924A JP6690495B2 (en) 2016-10-21 2016-10-21 Electronic control unit

Publications (2)

Publication Number Publication Date
JP2018067239A true JP2018067239A (en) 2018-04-26
JP6690495B2 JP6690495B2 (en) 2020-04-28

Family

ID=61866372

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016206924A Active JP6690495B2 (en) 2016-10-21 2016-10-21 Electronic control unit

Country Status (2)

Country Link
JP (1) JP6690495B2 (en)
DE (1) DE102017218697A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013064385A (en) * 2011-09-20 2013-04-11 Denso Corp Starter control device
JP2014048070A (en) * 2012-08-29 2014-03-17 Denso Corp Electronic control device
JP2015217911A (en) * 2014-05-21 2015-12-07 株式会社デンソー Electronic control apparatus
JP2016130511A (en) * 2015-01-08 2016-07-21 株式会社デンソー Electronic control device

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3881177B2 (en) 2001-02-06 2007-02-14 三菱電機株式会社 Vehicle control device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013064385A (en) * 2011-09-20 2013-04-11 Denso Corp Starter control device
JP2014048070A (en) * 2012-08-29 2014-03-17 Denso Corp Electronic control device
JP2015217911A (en) * 2014-05-21 2015-12-07 株式会社デンソー Electronic control apparatus
JP2016130511A (en) * 2015-01-08 2016-07-21 株式会社デンソー Electronic control device

Also Published As

Publication number Publication date
JP6690495B2 (en) 2020-04-28
DE102017218697A1 (en) 2018-04-26

Similar Documents

Publication Publication Date Title
US8996927B2 (en) Electronic control device with watchdog timer and processing unit to diagnose malfunction of watchdog timer
CN111164577B (en) Vehicle-mounted electronic control device and abnormal time processing method thereof
US9477542B2 (en) Electronic control unit
JP6153815B2 (en) Electronic control unit for automobile
JP6323296B2 (en) Control device
JP2016172502A (en) Vehicular control device
US10978986B2 (en) Electric power steering device
JP5555472B2 (en) Electronic control system for vehicles
JP6683104B2 (en) Electronic control unit
JP6428537B2 (en) Electronic control device and computer program
JP6690495B2 (en) Electronic control unit
JP6332048B2 (en) Electronic control unit
JP6443202B2 (en) Electronic control device for vehicle
JP5942963B2 (en) Microcomputer monitoring equipment
JP5934456B2 (en) Vehicle control apparatus and vehicle control system
JP6620688B2 (en) Electronic control unit
JP5962441B2 (en) Electronic control unit
JP4375105B2 (en) Microcomputer monitoring device failure diagnosis method and vehicle electronic control device
JP7127575B2 (en) electronic controller
JP7200883B2 (en) electronic controller
JP7127574B2 (en) electronic controller
JP6887277B2 (en) Electronic control device for automobiles
JPH0331065A (en) Fail safe circuit for electrically-driven power steering
JP6447268B2 (en) Electronic control unit
JP2016070265A (en) Electronic control device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190123

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200221

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200310

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200323

R151 Written notification of patent or utility model registration

Ref document number: 6690495

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250