JP2018078682A - Electronic control device - Google Patents

Electronic control device Download PDF

Info

Publication number
JP2018078682A
JP2018078682A JP2016217505A JP2016217505A JP2018078682A JP 2018078682 A JP2018078682 A JP 2018078682A JP 2016217505 A JP2016217505 A JP 2016217505A JP 2016217505 A JP2016217505 A JP 2016217505A JP 2018078682 A JP2018078682 A JP 2018078682A
Authority
JP
Japan
Prior art keywords
power supply
supply circuit
microcomputer
abnormality detection
detection unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016217505A
Other languages
Japanese (ja)
Other versions
JP6683104B2 (en
Inventor
陽人 伊東
Haruhito Ito
陽人 伊東
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2016217505A priority Critical patent/JP6683104B2/en
Priority to DE102017219390.5A priority patent/DE102017219390A1/en
Publication of JP2018078682A publication Critical patent/JP2018078682A/en
Application granted granted Critical
Publication of JP6683104B2 publication Critical patent/JP6683104B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/03Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/28Supervision thereof, e.g. detecting power-supply failure by out of limits supervision
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/30Means for acting in the event of power-supply failure or interruption, e.g. power-supply fluctuations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2015Redundant power supplies
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J1/00Circuit arrangements for dc mains or dc distribution networks
    • H02J1/06Two-wire systems
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J1/00Circuit arrangements for dc mains or dc distribution networks
    • H02J1/10Parallel operation of dc sources
    • H02J1/102Parallel operation of dc sources being switching converters
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3058Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J2310/00The network for supplying or distributing electric power characterised by its spatial reach or by the load
    • H02J2310/40The network being an on-board power network, i.e. within a vehicle
    • H02J2310/46The network being an on-board power network, i.e. within a vehicle for ICE-powered road vehicles
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J9/00Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting
    • H02J9/04Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source
    • H02J9/06Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source with automatic change-over, e.g. UPS systems
    • H02J9/062Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source with automatic change-over, e.g. UPS systems for AC powered loads

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Mechanical Engineering (AREA)
  • Quality & Reliability (AREA)
  • Direct Current Feeding And Distribution (AREA)
  • Debugging And Monitoring (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an electronic control device capable of reducing an execution frequency of fail-safe processing with a failure of a power supply circuit.SOLUTION: An ECU 1 comprises a main microcomputer 11, a sub microcomputer 12, a first power supply circuit 15, a second power supply circuit 16 and an abnormality detection part 20. Output voltages of the first power supply circuit 15 and the second power supply circuit 16 are supplied to the main microcomputer 11 and the sub microcomputer 12 via an internal power supply line Ln that is constructed inside the ECU 1. The first power supply circuit 15 is activated in a case where an ignition switch 8 is turned on, and starts outputting a predetermined target application voltage. The abnormality detection part 20 successively monitors the output voltage of the first power supply circuit 15. In a case where the output voltage of the first power supply circuit 15 is out of a normal range, the abnormality detection part 20 outputs an abnormality detection signal indicating that the first power supply circuit 15 is under an abnormal operation. In a case where the abnormality detection part 20 outputs the abnormality detection signal, the first power supply circuit 15 is stopped, and the second power supply circuit 16 is activated instead.SELECTED DRAWING: Figure 2

Description

本発明は、自動車に搭載される電子制御装置であって、当該電子制御装置内に設けられている電源回路が故障した場合に所定のフェールセーフ処理を実行する電子制御装置に関する。   The present invention relates to an electronic control device that is mounted on an automobile and that performs a predetermined fail-safe process when a power supply circuit provided in the electronic control device fails.

車両に搭載された所定のアクチュエータを制御するための装置(いわゆる電子制御装置)は、車載センサから入力されるデータに基づいて種々の演算処理が実行するマイクロコンピュータ(以降、制御マイコン)や電源回路を備える。電源回路は、車載バッテリなどの車載電源から提供される電力に基づいて制御マイコン等の動作に適した電力を生成する回路である。   A device (so-called electronic control device) for controlling a predetermined actuator mounted on a vehicle is a microcomputer (hereinafter referred to as a control microcomputer) or a power supply circuit that executes various arithmetic processes based on data input from an in-vehicle sensor. Is provided. The power supply circuit is a circuit that generates electric power suitable for the operation of the control microcomputer or the like based on electric power provided from an in-vehicle power source such as an in-vehicle battery.

また、この種の電子制御装置は、制御マイコンや電源回路等が正常に動作しているか否かを監視する異常検出機能を備えていることが一般的である。仮に異常検出機能が所定の異常事象を検出した場合、制御マイコン等は、その異常事象に応じたフェールセーフ処理を実行する。   Also, this type of electronic control device generally has an abnormality detection function for monitoring whether a control microcomputer, a power supply circuit, and the like are operating normally. If the abnormality detection function detects a predetermined abnormal event, the control microcomputer or the like executes fail-safe processing corresponding to the abnormal event.

例えば異常監視機能によって電源回路の異常が検出された場合には、制御マイコン等はフェールセーフ処理として、制御対象とするアクチュエータの動作を停止させたり、アクチュエータの出力を所定のレベル以下に制限したりする。   For example, when an abnormality in the power supply circuit is detected by the abnormality monitoring function, the control microcomputer or the like stops the operation of the actuator to be controlled or limits the output of the actuator to a predetermined level or less as fail-safe processing. To do.

また、特許文献1では、電源回路の故障に伴って電子制御装置が提供する機能が急に停止してしまうことを防止するため、電源回路やマイコン等を2重化する構成が提案されている。   Patent Document 1 proposes a configuration in which a power supply circuit, a microcomputer, and the like are duplicated in order to prevent the function provided by the electronic control device from suddenly stopping due to a failure of the power supply circuit. .

特開2016−128308号公報Japanese Patent Laid-Open No. 2006-128308

電源回路は、車載電源から供給される電力を取り扱うため、大きい電力に耐えることができる部品(以降、大電力部品)が多数必要となる。一般的に、大電力部品は、相対的に小さい電力を取り扱う部品(以降、小電力部品)に比べて故障しやすい。そのため、特許文献1に開示されているように電源回路を2重化した場合、電源回路部品(特に大電力部品)の増加により、故障率の増加が懸念される。   Since the power supply circuit handles the power supplied from the in-vehicle power supply, a large number of components (hereinafter referred to as high power components) that can withstand large power are required. Generally, a high-power component is more likely to fail than a component that handles relatively small power (hereinafter referred to as a low-power component). Therefore, when the power supply circuit is duplicated as disclosed in Patent Document 1, there is a concern about an increase in failure rate due to an increase in power supply circuit components (particularly high power components).

電源回路の故障率が増加した場合には、異常検知に伴うフェールセーフ処理が実行される頻度もまた増加する。車両の機能(例えば駆動源の出力トルク)を制限するようなフェールセーフ処理の実行頻度が増加した場合、ユーザに違和感や煩わしさを与えてしまう恐れがある。   When the failure rate of the power supply circuit increases, the frequency at which fail-safe processing accompanying abnormality detection is also increased. When the execution frequency of the fail-safe process that restricts the function of the vehicle (for example, the output torque of the drive source) increases, there is a possibility that the user may feel uncomfortable or bothered.

本発明は、この事情に基づいて成されたものであり、その目的とするところは、電源回路の故障に伴うフェールセーフ処理の実行頻度を低減可能な電子制御装置を提供することにある。   The present invention has been made based on this situation, and an object of the present invention is to provide an electronic control device capable of reducing the frequency of execution of fail-safe processing accompanying a failure of a power supply circuit.

その目的を達成するための本発明は、車両に搭載されたセンサから入力されるデータに基づいて車両に搭載されている所定のアクチュエータの動作を制御するマイクロコンピュータである制御マイコン(11、12)と、車両に搭載されている電源装置から供給される電圧から制御マイコンを駆動するための電圧を生成して制御マイコンに供給する電源回路としての第1電源回路(15)と、第1電源回路が出力する電圧に基づいて第1電源回路の異常動作を検出する異常検出部(20)と、第1電源回路とは異なる電源回路であって、異常検出部の検出結果に応じて起動し、制御マイコンへの電力供給を行う第2電源回路(16)と、を備え、第1電源回路は、所定の信号源から制御を開始するための信号である起動信号が入力されたことをトリガとして制御マイコンへの電力供給を開始するものであり、第2電源回路は、異常検出部によって第1電源回路の異常動作が検出されていない場合には停止しており、異常検出部によって第1電源回路の異常動作が検出された場合に起動することを特徴とする。   In order to achieve the object, the present invention provides a control microcomputer (11, 12) which is a microcomputer for controlling the operation of a predetermined actuator mounted on a vehicle based on data input from a sensor mounted on the vehicle. A first power supply circuit (15) as a power supply circuit that generates a voltage for driving the control microcomputer from a voltage supplied from a power supply device mounted on the vehicle and supplies the voltage to the control microcomputer; and a first power supply circuit An abnormality detection unit (20) for detecting an abnormal operation of the first power supply circuit based on the voltage output from the power supply circuit, and a power supply circuit different from the first power supply circuit, activated according to the detection result of the abnormality detection unit A second power supply circuit (16) for supplying power to the control microcomputer, and the first power supply circuit receives a start signal that is a signal for starting control from a predetermined signal source The power supply to the control microcomputer is started as a trigger, and the second power supply circuit is stopped when the abnormal operation of the first power supply circuit is not detected by the abnormality detection unit. 1 Power supply circuit is activated when an abnormal operation is detected.

以上の構成では異常検出部によって第1電源回路の異常動作が検出されていない場合(以降、通常時)、第2電源回路は動作していない。その為、通常時において仮に第2電源回路が故障していても、その故障が不具合として発現する(換言すれば検出される)ことはない。故に、電源回路の故障に伴うフェールセーフ処理の実行頻度を低減することができる。   In the above configuration, when the abnormal operation of the first power supply circuit is not detected by the abnormality detection unit (hereinafter, normal), the second power supply circuit is not operating. Therefore, even if the second power supply circuit is out of order at the normal time, the failure does not appear as a malfunction (in other words, is detected). Therefore, it is possible to reduce the frequency of execution of fail-safe processing accompanying a failure of the power supply circuit.

なお、特許請求の範囲に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本発明の技術的範囲を限定するものではない。   In addition, the code | symbol in the parenthesis described in the claim shows the correspondence with the specific means as described in embodiment mentioned later as one aspect, Comprising: The technical scope of this invention is limited is not.

本実施形態に係るECU1を含む車両システムの構成を示す図である。It is a figure which shows the structure of the vehicle system containing ECU1 which concerns on this embodiment. 本実施形態にかかるECU1の概略的な構成を示すブロック図である。It is a block diagram showing a schematic structure of ECU1 concerning this embodiment. 第1電源回路15の構成の一例を示す図である。2 is a diagram illustrating an example of a configuration of a first power supply circuit 15. FIG. 第2電源回路16の構成の一例を示す図である。3 is a diagram illustrating an example of a configuration of a second power supply circuit 16. FIG. ECU1起動時の各部の作動を示すタイムチャートである。It is a time chart which shows the action | operation of each part at the time of ECU1 starting. 第1電源回路15故障時の各部の作動を示すタイムチャートである。It is a time chart which shows the operation | movement of each part at the time of the 1st power supply circuit 15 failure. 第1電源回路15の故障が発生した場合のIGSW8オフ時の作動を示すタイムチャートである。4 is a time chart showing an operation when the IGSW 8 is turned off when a failure of the first power supply circuit 15 occurs. 第1電源回路15が正常に動作している場合のIGSW8オフ時の作動を示すタイムチャートである。It is a time chart which shows the operation | movement at the time of IGSW8 OFF when the 1st power supply circuit 15 is operate | moving normally. ECU1の変形例を示した図である。It is the figure which showed the modification of ECU1. ECU1の変形例を示した図である。It is the figure which showed the modification of ECU1. ECU1の変形例を示した図である。It is the figure which showed the modification of ECU1.

以下、本発明が適用された電子制御装置(以降、ECU:Electronic Control Unit)1について図を用いて説明する。本実施形態におけるECU1は、車両に搭載されているセンサ(つまり車載センサ)から入力されるデータに基づいて、車両の駆動源(例えばエンジン)の出力を制御する。   Hereinafter, an electronic control device (hereinafter referred to as an ECU: Electronic Control Unit) 1 to which the present invention is applied will be described with reference to the drawings. ECU1 in this embodiment controls the output of the drive source (for example, engine) of a vehicle based on the data input from the sensor (namely, vehicle-mounted sensor) mounted in the vehicle.

もちろん、他の態様として、ECU1は操舵アクチュエータや、制動システムを制御するものであってもよい。また、ECU1は駆動源としてのモータの動作や、バッテリの充放電を制御するものであってもよい。ECU1の制御対象や、ECU1の役務は適宜設計されればよい。また、ECU1は、駆動源としてエンジンとモータの両方を備える車両(つまりハイブリッドカー)や、モータのみを駆動源として備える車両(つまり電気自動車)で用いられてもよい。   Of course, as another aspect, the ECU 1 may control a steering actuator or a braking system. Moreover, ECU1 may control operation | movement of the motor as a drive source, and charging / discharging of a battery. The control object of ECU1 and the service of ECU1 should just be designed suitably. Further, the ECU 1 may be used in a vehicle (that is, a hybrid car) that includes both an engine and a motor as a drive source, or a vehicle (that is, an electric vehicle) that includes only a motor as a drive source.

本実施形態にかかるECU1は、駆動源としてエンジンを備える車両に搭載されており、車載バッテリ2と電気的に接続されている。また、ECU1は、図1に示すように、電子スロットル3、アクセルセンサ4、スロットルセンサ5、及び警告灯6のそれぞれと、車両内に構築されている通信ネットワーク(以降、LAN:Local Area Network)7を介して接続されている。   The ECU 1 according to this embodiment is mounted on a vehicle including an engine as a drive source, and is electrically connected to the in-vehicle battery 2. Further, as shown in FIG. 1, the ECU 1 includes an electronic throttle 3, an accelerator sensor 4, a throttle sensor 5, and a warning light 6, and a communication network built in the vehicle (hereinafter referred to as LAN: Local Area Network). 7 is connected.

車載バッテリ2は、ECU1に対して所定のバッテリ電圧Vbを供給する二次電池である。車載バッテリ2が請求項に記載の電源装置に相当する。なお、車両には車載バッテリ2の出力電圧(以降、バッテリ電圧Vb)が常時印加されている電源ライン(以降、Bライン)と、ユーザによってイグニッションスイッチ(以下、IGSW)8がオンに設定された場合にバッテリ電圧Vbが印加される電源ライン(以降、IG電源ライン)がある。ECU1は、BラインとIG電源ラインのそれぞれと接続されている。   The in-vehicle battery 2 is a secondary battery that supplies a predetermined battery voltage Vb to the ECU 1. The in-vehicle battery 2 corresponds to the power supply device described in the claims. In addition, the power supply line (hereinafter referred to as B line) to which the output voltage of the in-vehicle battery 2 (hereinafter referred to as battery voltage Vb) is constantly applied to the vehicle and the ignition switch (hereinafter referred to as IGSW) 8 are set to ON by the user. In some cases, there is a power line to which the battery voltage Vb is applied (hereinafter referred to as an IG power line). The ECU 1 is connected to each of the B line and the IG power line.

電子スロットル3は、エンジンへの吸入空気量を調節するスロットル弁31と、スロットル弁31を動かすためのアクチュエータとしてのモータ(以降、スロットルモータ)32とを、1つの製品としてまとめたものである。スロットルモータ32の出力トルクは、ECU1によって制御される。なお、電子スロットル3は、LAN7を介さずに、ECU1の制御信号が入力されるようにECU1と電気的に接続されていてもよい。   The electronic throttle 3 is a combination of a throttle valve 31 that adjusts the amount of intake air to the engine and a motor (hereinafter referred to as a throttle motor) 32 as an actuator for moving the throttle valve 31 as one product. The output torque of the throttle motor 32 is controlled by the ECU 1. Note that the electronic throttle 3 may be electrically connected to the ECU 1 so that the control signal of the ECU 1 is input without going through the LAN 7.

アクセルセンサ4は、運転者によるアクセルペダルの操作位置をアクセル操作量として検出するセンサである。スロットルセンサ5は、スロットル弁31の位置(換言すれば回転角度)をスロットル開度として検出するセンサである。アクセルセンサ4やスロットルセンサ5の検出結果はECU1に逐次提供される。   The accelerator sensor 4 is a sensor that detects an operation position of an accelerator pedal by a driver as an accelerator operation amount. The throttle sensor 5 is a sensor that detects the position of the throttle valve 31 (in other words, the rotation angle) as the throttle opening. Detection results of the accelerator sensor 4 and the throttle sensor 5 are sequentially provided to the ECU 1.

警告灯6は、ECU1の電源回路に所定の不具合が生じていることを乗員に通知するための装置であって、例えばLED等を用いて実現されている。警告灯6は、ECU1からの指示に基づき動作(すなわち点灯又は点滅)する。   The warning light 6 is a device for notifying an occupant that a predetermined malfunction has occurred in the power supply circuit of the ECU 1, and is realized by using, for example, an LED or the like. The warning light 6 operates (that is, lights or blinks) based on an instruction from the ECU 1.

ECU1は、アクセルセンサ4やスロットルセンサ5から入力されるデータに基づいてスロットルモータ32を制御する。これにより、エンジンの出力トルクを間接的に制御する。ECU1は、図2に示すように、メインマイコン11、サブマイコン12、第1通信ドライバ13、第2通信ドライバ14、第1電源回路15、第2電源回路16、駆動維持部17、第1電源起動部18、第2電源起動部19、異常検出部20、安定化フィルタ21、及び遅延フィルタ22を備える。   The ECU 1 controls the throttle motor 32 based on data input from the accelerator sensor 4 and the throttle sensor 5. This indirectly controls the engine output torque. As shown in FIG. 2, the ECU 1 includes a main microcomputer 11, a sub-microcomputer 12, a first communication driver 13, a second communication driver 14, a first power supply circuit 15, a second power supply circuit 16, a drive maintaining unit 17, a first power supply. An activation unit 18, a second power supply activation unit 19, an abnormality detection unit 20, a stabilization filter 21, and a delay filter 22 are provided.

メインマイコン11やサブマイコン12は、中央演算装置としてのCPU、不揮発性の記憶媒体であるROM、揮発性の記憶媒体であるRAM、レジスタなどを用いて実現されているマイクロコンピュータ(以降、マイコン)である。メインマイコン11は所定の電圧範囲で動作するように構成されている。つまり、動作電圧としての下限値及び上限値が規定されている。   The main microcomputer 11 and the sub-microcomputer 12 are a microcomputer (hereinafter referred to as a microcomputer) realized by using a CPU as a central processing unit, a ROM that is a nonvolatile storage medium, a RAM that is a volatile storage medium, a register, and the like. It is. The main microcomputer 11 is configured to operate in a predetermined voltage range. That is, a lower limit value and an upper limit value as operating voltages are defined.

ここでは一例として、メインマイコン11は4.0V〜5.5Vの電圧で動作するように構成されているものとする。サブマイコン12も同様に4.0V〜5.5Vの電圧で動作するように構成されている。便宜上、メインマイコン11やサブマイコン12が動作する電圧範囲のことを以降ではマイコン動作範囲と称する。マイコン動作範囲が請求項に記載の動作電圧範囲に相当する。   Here, as an example, it is assumed that the main microcomputer 11 is configured to operate at a voltage of 4.0V to 5.5V. Similarly, the sub-microcomputer 12 is configured to operate at a voltage of 4.0V to 5.5V. For convenience, the voltage range in which the main microcomputer 11 and the sub microcomputer 12 operate is hereinafter referred to as a microcomputer operation range. The microcomputer operating range corresponds to the operating voltage range described in the claims.

メインマイコン11とサブマイコン12は、双方向通信可能に接続されている。また、メインマイコン11は第1通信ドライバ13と双方向通信可能に接続されている。サブマイコン12は第2通信ドライバ14と双方向通信可能に接続されている。メインマイコン11はリセット信号の入力端子としてリセット入力端子を備えている。   The main microcomputer 11 and the sub microcomputer 12 are connected so as to be capable of bidirectional communication. The main microcomputer 11 is connected to the first communication driver 13 so as to be capable of bidirectional communication. The sub-microcomputer 12 is connected to the second communication driver 14 so as to be capable of bidirectional communication. The main microcomputer 11 has a reset input terminal as an input terminal for a reset signal.

サブマイコン12は、異常検出部20の出力信号が入力される入力端子を備える。また、サブマイコン12は、信号の出力端子として、第1電源保持端子、第2電源保持端子、及びクリア信号出力端子を備える。サブマイコン12は書き換え可能な不揮発性の記憶媒体である不揮発性メモリ121を備える。メインマイコン11及びサブマイコン12の作動については別途後述する。   The sub-microcomputer 12 includes an input terminal to which an output signal from the abnormality detection unit 20 is input. The sub-microcomputer 12 includes a first power holding terminal, a second power holding terminal, and a clear signal output terminal as signal output terminals. The sub-microcomputer 12 includes a nonvolatile memory 121 that is a rewritable nonvolatile storage medium. The operation of the main microcomputer 11 and the sub microcomputer 12 will be described later separately.

メインマイコン11及びサブマイコン12のそれぞれが請求項に記載の制御マイコンに相当する。特に、メインマイコン11が請求項に記載の第1マイコンに相当し、サブマイコン12が請求項に記載の第2マイコンに相当する。   Each of the main microcomputer 11 and the sub microcomputer 12 corresponds to the control microcomputer described in the claims. In particular, the main microcomputer 11 corresponds to the first microcomputer described in the claims, and the sub-microcomputer 12 corresponds to the second microcomputer described in the claims.

以降では一例としてECU1が備える各部は正論理で動作するように構成されているものとする。もちろん、他の態様としてECU1が備える各部は、負論理で動作するように構成されていても良い。駆動維持部17や、第1電源起動部18、第2電源起動部19、異常検出部20等は、ローレベルとハイレベルと2レベルの信号を出力するように構成されている。   Hereinafter, as an example, it is assumed that each unit included in the ECU 1 is configured to operate in positive logic. Of course, each part with which ECU1 is provided as another mode may be constituted so that it may operate by negative logic. The drive maintaining unit 17, the first power supply activation unit 18, the second power supply activation unit 19, the abnormality detection unit 20, and the like are configured to output low level, high level, and two level signals.

第1通信ドライバ13は、メインマイコン11がLAN7に接続している他のデバイス(例えばECUやセンサ等)と通信するためのドライバ回路である。第2通信ドライバ14は、サブマイコン12がLAN7に接続している他のデバイス(例えばECUやセンサ等)と通信するためのドライバ回路である。なお、本実施形態ではメインマイコン11用の通信ドライバとサブマイコン12用の通信ドライバを別々に設けた構成を採用しているがこれに限らない。メインマイコン11とサブマイコン12とで1つの通信ドライバを共用しても良い。   The first communication driver 13 is a driver circuit for the main microcomputer 11 to communicate with other devices (for example, ECUs, sensors, etc.) connected to the LAN 7. The second communication driver 14 is a driver circuit for the sub-microcomputer 12 to communicate with other devices (for example, ECUs and sensors) connected to the LAN 7. In the present embodiment, a configuration in which a communication driver for the main microcomputer 11 and a communication driver for the sub-microcomputer 12 are separately provided is adopted, but the present invention is not limited to this. The main microcomputer 11 and the sub microcomputer 12 may share one communication driver.

第1電源回路15は、車載バッテリ2から入力されるバッテリ電圧Vbを、メインマイコン11等の動作に適した所定の電圧に変換して出力する回路モジュールである。ここでは一例としてメインマイコン11やサブマイコン12に入力する電圧の目標値(以降、目標印加電圧)は5Vに設定されているものとする。すなわち、本実施形態の第1電源回路15は、バッテリ電圧Vb=12Vを目標印加電圧としての5Vに変換して出力する。   The first power supply circuit 15 is a circuit module that converts the battery voltage Vb input from the in-vehicle battery 2 into a predetermined voltage suitable for the operation of the main microcomputer 11 and outputs the voltage. Here, as an example, it is assumed that the target value (hereinafter referred to as target applied voltage) of the voltage input to the main microcomputer 11 and the sub-microcomputer 12 is set to 5V. That is, the first power supply circuit 15 of the present embodiment converts the battery voltage Vb = 12V into 5V as the target applied voltage and outputs it.

また、第1電源回路15は、車載バッテリ2から入力される電力に基づいて、550mAの電流を出力可能に構成されている。つまり、第1電源回路15は、5V、550mAの電力をメインマイコン11等に供給する内部電源として機能する。図2中に示すV1は、第1電源回路15の出力電圧(以降、第1出力電圧)を表している。第1電源回路15は、第1出力電圧V1が4.95Vから5.05Vまでの範囲に収まるように構成されている。   The first power supply circuit 15 is configured to be able to output a current of 550 mA based on the electric power input from the in-vehicle battery 2. That is, the first power supply circuit 15 functions as an internal power supply for supplying 5V, 550 mA of power to the main microcomputer 11 and the like. V1 shown in FIG. 2 represents the output voltage of the first power supply circuit 15 (hereinafter referred to as the first output voltage). The first power supply circuit 15 is configured such that the first output voltage V1 falls within the range of 4.95V to 5.05V.

図3は第1電源回路15の具体的な回路構成の一例を示す図である。図3に示すように第1電源回路15は、電力変換回路151aと電圧制御回路151bとが実装された第1電源IC151と、変換用付加回路152と、制御用付加回路153と、を備える。   FIG. 3 is a diagram illustrating an example of a specific circuit configuration of the first power supply circuit 15. As shown in FIG. 3, the first power supply circuit 15 includes a first power supply IC 151 on which a power conversion circuit 151 a and a voltage control circuit 151 b are mounted, a conversion additional circuit 152, and a control additional circuit 153.

変換用付加回路152にはバッテリ電圧Vb=12Vが入力される。変換用付加回路152は、電力変換回路151aと協働して、出力電圧が所定の中間電圧V1aとなるようにバッテリ電圧Vbを電力変換する。中間電圧V1aは、目標印加電圧としての5Vよりも高く、かつ、バッテリ電圧Vbよりも低い値であればよい。ここでは一例として中間電圧V1aは6Vに設定されている。   The battery voltage Vb = 12V is input to the conversion additional circuit 152. The conversion additional circuit 152 converts the battery voltage Vb into power so that the output voltage becomes a predetermined intermediate voltage V1a in cooperation with the power conversion circuit 151a. The intermediate voltage V1a may be a value higher than the target applied voltage 5V and lower than the battery voltage Vb. Here, as an example, the intermediate voltage V1a is set to 6V.

制御用付加回路153には、変換用付加回路152の出力電圧である中間電圧V1aが入力される。前述の第1出力電圧V1とは、制御用付加回路153の出力電圧である。制御用付加回路153は、電圧制御回路151bと協働して、第1出力電圧V1が目標印加電圧となるように中間電圧V1aを変換する。   The control additional circuit 153 receives an intermediate voltage V1a that is an output voltage of the conversion additional circuit 152. The aforementioned first output voltage V1 is the output voltage of the control additional circuit 153. The additional control circuit 153 cooperates with the voltage control circuit 151b to convert the intermediate voltage V1a so that the first output voltage V1 becomes the target applied voltage.

なお、電力変換回路や定電圧回路は周知であるため、これらの詳細な説明は省略する。また、第1電源回路15は、図3に示す構成以外の構成によって実現されていてもよい。第1電源回路15は周知の回路構成を援用して実現されれば良い。   In addition, since a power converter circuit and a constant voltage circuit are known, these detailed description is abbreviate | omitted. Further, the first power supply circuit 15 may be realized by a configuration other than the configuration shown in FIG. The first power supply circuit 15 may be realized with the aid of a known circuit configuration.

上述した第1電源回路15は、信号入力端子として、第1電源起動部18の出力端子と接続されている端子(以降、第1起動入力端子)を備える。第1電源回路15は、第1電源起動部18からハイレベルの信号が入力されている場合に駆動し、出力電圧V1として5Vを出力する。第1電源起動部18から入力されている信号がハイレベルではない場合、つまり、ローレベル信号が入力されている場合、第1電源回路15は停止する。第1電源回路15が停止している場合の第1出力電圧V1は0Vである。第1電源起動部18が出力するハイレベル信号が、第1電源回路15にとっての駆動信号として機能する。   The first power supply circuit 15 described above includes a terminal connected to the output terminal of the first power supply activation unit 18 (hereinafter referred to as a first activation input terminal) as a signal input terminal. The first power supply circuit 15 is driven when a high-level signal is input from the first power supply activation unit 18, and outputs 5V as the output voltage V1. When the signal input from the first power supply activation unit 18 is not at a high level, that is, when a low level signal is input, the first power supply circuit 15 stops. When the first power supply circuit 15 is stopped, the first output voltage V1 is 0V. The high level signal output from the first power supply activation unit 18 functions as a drive signal for the first power supply circuit 15.

第1電源回路15の出力端子は、電源線である内部電源ラインLnと接続されている。故に、第1電源回路15が正常に動作している場合、内部電源ラインLnには5Vが印加される。内部電源ラインLnは、メインマイコン11及びサブマイコン12のそれぞれの電源用端子と接続されている。さらに、内部電源ラインLnは異常検出部20とも接続されている。また、内部電源ラインLnには、第2電源回路16の出力端子とも接続されている。   The output terminal of the first power supply circuit 15 is connected to an internal power supply line Ln that is a power supply line. Therefore, when the first power supply circuit 15 is operating normally, 5V is applied to the internal power supply line Ln. The internal power supply line Ln is connected to the power supply terminals of the main microcomputer 11 and the sub-microcomputer 12. Furthermore, the internal power supply line Ln is also connected to the abnormality detection unit 20. Further, the output terminal of the second power supply circuit 16 is also connected to the internal power supply line Ln.

第2電源回路16は、車載バッテリ2から入力されるバッテリ電圧Vbを目標印加電圧に変換して出力する回路モジュールである。すなわち、本実施形態の第2電源回路16は、バッテリ電圧Vb=12Vを目標印加電圧としての5Vに変換して出力する。   The second power supply circuit 16 is a circuit module that converts the battery voltage Vb input from the in-vehicle battery 2 into a target applied voltage and outputs the target applied voltage. That is, the second power supply circuit 16 of the present embodiment converts the battery voltage Vb = 12V into 5V as the target applied voltage and outputs it.

また、第2電源回路16は、車載バッテリ2から入力される電力に基づいて、50mAまでの電流を出力可能に構成されている。つまり、第2電源回路16は、5V、50mAの電力を供給する内部電源として機能する。図2中に示すV2は、第2電源回路16の出力電圧(以降、第2出力電圧)を表している。   The second power supply circuit 16 is configured to be able to output a current of up to 50 mA based on the electric power input from the in-vehicle battery 2. That is, the second power supply circuit 16 functions as an internal power supply that supplies 5V and 50 mA of power. V2 shown in FIG. 2 represents the output voltage of the second power supply circuit 16 (hereinafter, the second output voltage).

図4は第2電源回路16の具体的な回路構成の一例を示す図である。図4に示すように第2電源回路16は、電圧制御回路161aが実装された第2電源用IC161と、制御用付加回路162と、を備える。   FIG. 4 is a diagram illustrating an example of a specific circuit configuration of the second power supply circuit 16. As shown in FIG. 4, the second power supply circuit 16 includes a second power supply IC 161 on which the voltage control circuit 161a is mounted, and a control additional circuit 162.

制御用付加回路162には、バッテリ電圧Vbが入力される。前述の第2出力電圧V2は、制御用付加回路162の出力電圧である。制御用付加回路162は、電圧制御回路161aと協働して、第2出力電圧V2が目標印加電圧となるようにバッテリ電圧Vbを変換する。なお、第2電源回路16は、図4に示す構成以外の構成によって実現されていてもよい。第2電源回路16は周知の回路構成を援用して実現されれば良い。   The battery voltage Vb is input to the control additional circuit 162. The second output voltage V2 described above is an output voltage of the control additional circuit 162. The control additional circuit 162 cooperates with the voltage control circuit 161a to convert the battery voltage Vb so that the second output voltage V2 becomes the target applied voltage. The second power supply circuit 16 may be realized by a configuration other than the configuration shown in FIG. The second power supply circuit 16 may be realized with the aid of a known circuit configuration.

上述した第2電源回路16は、入力端子として、第2電源起動部19の出力端子と接続されている端子(以降、第2起動入力端子)を備えている。第2電源回路16は、第2電源起動部19からハイレベル信号が入力されている場合に駆動し、第2出力電圧V2として5Vを出力する。第2電源起動部19からハイレベル信号が入力されていない場合、換言すれば第2電源起動部19からローレベル信号が出力されている場合、第2電源回路16は停止する。第2電源回路16が停止している場合、第2出力電圧V2は0Vとなる。第2電源起動部19が出力するハイレベル信号が第2電源回路16にとっての駆動信号として機能する。   The second power supply circuit 16 described above includes a terminal connected to the output terminal of the second power supply activation unit 19 (hereinafter referred to as a second activation input terminal) as an input terminal. The second power supply circuit 16 is driven when a high level signal is input from the second power supply starting unit 19 and outputs 5 V as the second output voltage V2. When a high level signal is not input from the second power supply activation unit 19, in other words, when a low level signal is output from the second power supply activation unit 19, the second power supply circuit 16 stops. When the second power supply circuit 16 is stopped, the second output voltage V2 is 0V. The high level signal output from the second power supply activation unit 19 functions as a drive signal for the second power supply circuit 16.

第2電源回路16の出力端子は、内部電源ラインLnと接続されている。故に、第2電源回路16が正常に動作している場合、内部電源ラインLnには5Vが印加される。ただし、後述するように第2電源回路16は、第1電源回路15が正常に動作している間は、動作しないように構成されている。   The output terminal of the second power supply circuit 16 is connected to the internal power supply line Ln. Therefore, when the second power supply circuit 16 is operating normally, 5V is applied to the internal power supply line Ln. However, as will be described later, the second power supply circuit 16 is configured not to operate while the first power supply circuit 15 is operating normally.

駆動維持部17は、2つの入力端子と1つの出力端子を備えており、2つの入力端子の一方はIG電源ラインと接続されている。また、他方の入力端子は、サブマイコン12が備える第1電源保持端子と接続されている。   The drive maintaining unit 17 includes two input terminals and one output terminal, and one of the two input terminals is connected to the IG power line. The other input terminal is connected to a first power holding terminal included in the sub-microcomputer 12.

駆動維持部17は、2つの入力信号の論理和を出力する構成であり、周知のOR回路を用いて実現されれば良い。周知のOR回路には、ワイヤードORも含まれる。IGSW8がオンに設定されている場合、IG電源ラインには所定の閾値以上の電圧信号(すなわちハイレベル信号)が入力される。   The drive maintaining unit 17 is configured to output a logical sum of two input signals, and may be realized using a known OR circuit. The known OR circuit includes a wired OR. When the IGSW 8 is set to ON, a voltage signal (that is, a high level signal) equal to or higher than a predetermined threshold is input to the IG power line.

駆動維持部17は、IGSW8がオンに設定されているか、若しくは、サブマイコン12からハイレベル信号が入力された場合に、ハイレベルの信号を出力する。IGSW8がオンに設定されておらず、かつ、サブマイコン12から第1保持信号が入力されていない場合には、ローレベルの信号を出力する。駆動維持部17の出力信号は、第1電源起動部18及び遅延フィルタ22に入力される。IGSW8のオンに伴ってIG電源ラインから駆動維持部17に入力されるハイレベル信号が請求項に記載の起動信号に相当する。また、IGSW8が請求項に記載の信号源に相当する。   The drive maintaining unit 17 outputs a high level signal when the IGSW 8 is turned on or when a high level signal is input from the sub-microcomputer 12. When the IGSW 8 is not set to ON and the first holding signal is not input from the sub-microcomputer 12, a low level signal is output. The output signal of the drive maintaining unit 17 is input to the first power supply starting unit 18 and the delay filter 22. A high level signal input from the IG power supply line to the drive maintaining unit 17 when the IGSW 8 is turned on corresponds to the activation signal described in the claims. The IGSW 8 corresponds to the signal source recited in the claims.

第1電源起動部18は、2つの入力端子と1つの出力端子を備えており、2つの入力端子の一方は、駆動維持部17の出力端子と接続されている。つまり、第1電源起動部18には、駆動維持部17の出力信号が入力される。また、他方の入力端子には、第2電源起動部19の出力信号を反転した信号が入力される。つまり、第2電源起動部19の出力信号がハイレベルである場合にはローレベルが入力される一方、第2電源起動部19の出力信号がローレベルである場合にはハイレベルが入力される。   The first power supply activation unit 18 includes two input terminals and one output terminal, and one of the two input terminals is connected to the output terminal of the drive maintaining unit 17. That is, the output signal of the drive maintaining unit 17 is input to the first power supply starting unit 18. The other input terminal receives a signal obtained by inverting the output signal of the second power supply starting unit 19. That is, a low level is input when the output signal of the second power supply activation unit 19 is at a high level, while a high level is input when the output signal of the second power supply activation unit 19 is at a low level. .

第1電源起動部18は、2入力の論理積を出力する構成であり、周知のAND回路を用いて実現されればよい。第1電源起動部18は、駆動維持部17の出力がハイレベルであり、かつ、第2電源起動部19の出力がローレベルである場合に、ハイレベル信号を出力する。その他の場合、すなわち、駆動維持部17の出力がローレベルであるか、若しくは、第2電源起動部19の出力がハイレベルである場合には、ローレベル信号を出力する。   The first power supply activation unit 18 is configured to output a logical product of two inputs and may be realized using a well-known AND circuit. The first power supply activation unit 18 outputs a high level signal when the output of the drive maintaining unit 17 is at a high level and the output of the second power supply activation unit 19 is at a low level. In other cases, that is, when the output of the drive maintaining unit 17 is at a low level or when the output of the second power supply starting unit 19 is at a high level, a low level signal is output.

第2電源起動部19は、2つの入力端子と1つの出力端子を備えており、2つの入力端子の一方は異常検出部20の出力端子と接続されている。また、他方の入力端子は、サブマイコン12が備える第2電源保持端子と接続されている。   The second power supply activation unit 19 includes two input terminals and one output terminal, and one of the two input terminals is connected to the output terminal of the abnormality detection unit 20. The other input terminal is connected to a second power holding terminal included in the sub-microcomputer 12.

第2電源起動部19は、2つの入力信号の論理和を出力する構成であり、周知のOR回路を用いて実現されれば良い。第2電源起動部19は、異常検出部20がハイレベル信号を出力しているか、若しくは、サブマイコン12からハイレベル信号が入力された場合に、ハイレベル信号を出力する。第2電源起動部19は、異常検出部20がハイレベル信号を出力されておらず、かつ、サブマイコン12から第2電源保持信号が入力されていない場合には、ローレベルの信号を出力する。   The second power supply starting unit 19 is configured to output a logical sum of two input signals, and may be realized using a known OR circuit. The second power supply activation unit 19 outputs a high level signal when the abnormality detection unit 20 outputs a high level signal or when a high level signal is input from the sub-microcomputer 12. The second power supply activation unit 19 outputs a low level signal when the abnormality detection unit 20 does not output a high level signal and the second power supply holding signal is not input from the sub-microcomputer 12. .

第2電源起動部19の出力信号は、第2電源回路16に入力される。また、第2電源起動部19の出力端子は、メインマイコン11が備えるリセット入力端子とも接続されている。故に、第2電源起動部19がハイレベル信号を出力している間は、メインマイコン11がリセット状態で保持され、動作を停止することになる。さらに、第2電源起動部19の出力信号は、ハイレベル/ローレベルが反転されて第1電源起動部18に入力される。   The output signal of the second power supply activation unit 19 is input to the second power supply circuit 16. Further, the output terminal of the second power supply starting unit 19 is also connected to a reset input terminal provided in the main microcomputer 11. Therefore, while the second power supply starting unit 19 outputs the high level signal, the main microcomputer 11 is held in the reset state, and the operation is stopped. Further, the output signal of the second power supply activation unit 19 is input to the first power supply activation unit 18 with the high level / low level inverted.

異常検出部20は、内部電源ラインLnと接続されており、異常検出部20は起動している間、内部電源ラインLnに印加されている電圧の値を逐次取得する。そして、内部電源ラインLnに印加されている電圧が所定の正常範囲外の値となった場合に、当該事象を第1電源回路15の異常動作として検出する。つまり、異常検出部20は、内部電源ラインLnに印加されている電圧が所定の正常範囲外の値となった場合に、第1電源回路15が正常に動作していない(換言すれば異常が生じた)と判定する構成に相当する。   The abnormality detection unit 20 is connected to the internal power supply line Ln. While the abnormality detection unit 20 is activated, the value of the voltage applied to the internal power supply line Ln is sequentially acquired. Then, when the voltage applied to the internal power supply line Ln becomes a value outside the predetermined normal range, the event is detected as an abnormal operation of the first power supply circuit 15. That is, the abnormality detection unit 20 does not operate normally when the voltage applied to the internal power supply line Ln becomes a value outside the predetermined normal range (in other words, the abnormality is detected). This corresponds to a configuration for determining that it has occurred.

なお、後述するようにIGSW8がオンとなってから第1電源回路15の異常動作が検出されるまでは、第2電源回路16を動作させず、第1電源回路15のみの出力電圧が内部電源ラインLnに印加される。したがって、内部電源ラインLnに印加されている電圧を監視することは、第1電源回路15の出力電圧を監視することに相当する。   As described later, until the abnormal operation of the first power supply circuit 15 is detected after the IGSW 8 is turned on, the second power supply circuit 16 is not operated, and the output voltage of only the first power supply circuit 15 is the internal power supply. Applied to line Ln. Therefore, monitoring the voltage applied to the internal power supply line Ln corresponds to monitoring the output voltage of the first power supply circuit 15.

つまり、異常検出部20は、第1電源回路15の出力電圧に基づいて第1電源回路15の異常動作を検出する構成である。なお、第1電源回路15の異常動作を検出することは、第1電源回路15が正常に動作しているか否かを判定することに相当する。ここでの正常範囲の下限値はマイコン動作範囲の下限値よりも高く、かつ、正常範囲の上限値はマイコン動作範囲の上限値よりも低く設定されているものとする。例えば正常範囲は4.5V〜5.2Vなどとすれば良い。正常範囲が請求項に記載の正常電圧範囲に相当する。   That is, the abnormality detection unit 20 is configured to detect an abnormal operation of the first power supply circuit 15 based on the output voltage of the first power supply circuit 15. Note that detecting an abnormal operation of the first power supply circuit 15 corresponds to determining whether or not the first power supply circuit 15 is operating normally. Here, it is assumed that the lower limit value of the normal range is higher than the lower limit value of the microcomputer operation range, and the upper limit value of the normal range is set lower than the upper limit value of the microcomputer operation range. For example, the normal range may be 4.5V to 5.2V. The normal range corresponds to the normal voltage range described in the claims.

異常検出部20は、第1電源回路15の出力電圧が正常範囲内(境界値を含む)に収まっている場合には、ローレベル信号を出力する。また、異常検出部20は第1電源回路15の出力電圧が正常範囲外の値となっている場合にはハイレベル信号を出力する。異常検出部20が出力するハイレベル信号は、第1電源回路15に異常が生じていることを示す信号として機能する。そのため、異常検出部20が出力するハイレベル信号のことを異常検出信号とも称する。異常検出部20は、コンパレータやAND回路等を用いて実現されれば良い。もちろん他の態様として異常検出部20はCPUによるソフトウェアの実行によって実現されても良い。   The abnormality detection unit 20 outputs a low level signal when the output voltage of the first power supply circuit 15 is within the normal range (including the boundary value). In addition, the abnormality detection unit 20 outputs a high level signal when the output voltage of the first power supply circuit 15 is outside the normal range. The high level signal output from the abnormality detection unit 20 functions as a signal indicating that an abnormality has occurred in the first power supply circuit 15. Therefore, the high level signal output by the abnormality detection unit 20 is also referred to as an abnormality detection signal. The abnormality detection unit 20 may be realized using a comparator, an AND circuit, or the like. Of course, as another aspect, the abnormality detection unit 20 may be realized by executing software by the CPU.

異常検出部20は、上述した入力端子以外に加えて、サブマイコン12が出力するクリア信号が入力される入力端子(以降、クリア信号入力端子)を備える。異常検出部20は、いったん第1電源回路15の異常動作を検出した場合、サブマイコン12からクリア信号が入力されるまでハイレベル信号を出力し続ける。つまり、異常検出部20は、いったんハイレベル信号を出力した場合には、クリア信号が入力されるまで出力レベルをハイレベルで保持(換言すればラッチ)する。異常検出部20の出力信号は、第2電源起動部19及びサブマイコン12に入力される。なお、異常検出部20がハイレベル信号を出力し続けることは、換言すれば、第1電源回路15が正常に動作していないという判定結果を保持することに相当する。   In addition to the input terminals described above, the abnormality detection unit 20 includes an input terminal (hereinafter referred to as a clear signal input terminal) to which a clear signal output from the sub-microcomputer 12 is input. Once the abnormality detection unit 20 detects an abnormal operation of the first power supply circuit 15, it continues to output a high level signal until a clear signal is input from the sub-microcomputer 12. In other words, once the high level signal is output, the abnormality detection unit 20 holds the output level at a high level (in other words, latches) until the clear signal is input. An output signal from the abnormality detection unit 20 is input to the second power supply activation unit 19 and the sub-microcomputer 12. In addition, the fact that the abnormality detection unit 20 continues to output the high level signal corresponds to holding the determination result that the first power supply circuit 15 is not operating normally.

この異常検出部20は、図2に示すように遅延フィルタ22及び安定化フィルタ21を介して駆動維持部17の出力端子と接続されている。つまり、駆動維持部17の出力信号は、安定化フィルタ21及び遅延フィルタ22を介して異常検出部20に入力される。異常検出部20は、遅延フィルタ22からハイレベル信号が入力された場合に起動して、第1電源回路15の出力電圧の監視を開始する。   The abnormality detection unit 20 is connected to the output terminal of the drive maintaining unit 17 through a delay filter 22 and a stabilization filter 21 as shown in FIG. That is, the output signal of the drive maintaining unit 17 is input to the abnormality detection unit 20 via the stabilization filter 21 and the delay filter 22. The abnormality detection unit 20 is activated when a high level signal is input from the delay filter 22 and starts monitoring the output voltage of the first power supply circuit 15.

安定化フィルタ21は、遅延フィルタ22への入力レベルを安定させるためのフィルタである。IG電源ラインに印加される電圧は、オルタネータやIG電源ラインに接続する他の電子機器(例えば他のECU)の動作状態等によって変動しやすい。そのような電圧変動によって、駆動維持部17の出力レベルが振動すると、異常検出部20が誤動作する恐れがある。駆動維持部17と異常検出部20との間に安定化フィルタ21を介在させることによって、駆動維持部17の出力を安定化し、異常検出部20が誤作動する恐れを低減することができる。   The stabilization filter 21 is a filter for stabilizing the input level to the delay filter 22. The voltage applied to the IG power line is likely to fluctuate depending on the operating state of the alternator and other electronic devices (for example, other ECUs) connected to the IG power line. If the output level of the drive maintaining unit 17 vibrates due to such voltage fluctuation, the abnormality detection unit 20 may malfunction. By interposing the stabilization filter 21 between the drive maintaining unit 17 and the abnormality detecting unit 20, the output of the drive maintaining unit 17 can be stabilized and the possibility that the abnormality detecting unit 20 malfunctions can be reduced.

遅延フィルタ22は、第1電源回路15が起動した後(換言すれば目標印加電圧としての5Vを出力し始めた後)に異常検出部20が起動するように、異常検出部20の起動タイミングを調整するためのフィルタである。異常検出部20の起動タイミングを調整することは、安定化フィルタ21を介して駆動維持部17から入力されるハイレベル信号を異常検出部20に伝達するタイミングを調整することに相当する。遅延フィルタ22は、コンデンサや抵抗を用いて実現されれば良い。   The delay filter 22 sets the activation timing of the abnormality detection unit 20 so that the abnormality detection unit 20 is activated after the first power supply circuit 15 is activated (in other words, after starting to output 5 V as the target applied voltage). It is a filter for adjusting. Adjusting the activation timing of the abnormality detection unit 20 corresponds to adjusting the timing of transmitting the high level signal input from the drive maintaining unit 17 to the abnormality detection unit 20 via the stabilization filter 21. The delay filter 22 may be realized using a capacitor or a resistor.

遅延フィルタ22を導入する意義は次の通りである。IGSW8がオンとなってから第1出力電圧V1が5Vまで立ち上がるまでの間には所定時間Taの遅延が存在する。仮に遅延フィルタ22が存在しない場合には、第1電源回路15の起動完了前に異常検出部20が起動し、その結果、第1電源回路15の起動完了前の電圧低下状態を第1電源回路15の異常動作として誤検出してしまう恐れがある。一方、この遅延フィルタ22を設けることによって、第1電源回路15が立ち上がってから異常検出部20が起動するようになる。そのため、上記の誤作動が生じる恐れを低減することができる。   The significance of introducing the delay filter 22 is as follows. There is a delay of a predetermined time Ta from when the IGSW 8 is turned on until the first output voltage V1 rises to 5V. If the delay filter 22 does not exist, the abnormality detection unit 20 is activated before the completion of the activation of the first power supply circuit 15, and as a result, the voltage drop state before the activation of the first power supply circuit 15 is changed to the first power supply circuit. There is a risk of erroneous detection as 15 abnormal operations. On the other hand, by providing the delay filter 22, the abnormality detection unit 20 is activated after the first power supply circuit 15 is started up. Therefore, the possibility of the above malfunction can be reduced.

つまり、異常検出部20は、IG電源ラインからECU1にハイレベル信号が入力された時点を起算時点として、当該起算時点から所定時間経過したタイミングで起動するように構成されている。遅延フィルタ22は、第1電源回路15の起動完了前の電圧低下状態と、第1電源回路15の故障時の電圧低下状態とを切り分ける役割を担う。   That is, the abnormality detection unit 20 is configured to start at a timing when a predetermined time has elapsed from the time when the high-level signal is input to the ECU 1 from the IG power supply line. The delay filter 22 plays a role of separating a voltage drop state before the completion of the startup of the first power supply circuit 15 and a voltage drop state at the time of failure of the first power supply circuit 15.

メインマイコン11は、第1通信ドライバ13から提供されるアクセル踏込量などのデータに基づいて、所定の制御対象(ここでは電子スロットル3)についての制御目標量を算出するマイコンである。例えば、メインマイコン11は、アクセルセンサ4によって検出されるアクセル操作量から、スロットルモータ32の制御量を算出し、当該制御量を、第1通信ドライバ13及びLAN7を介して電子スロットル3に出力する。   The main microcomputer 11 is a microcomputer that calculates a control target amount for a predetermined control target (here, the electronic throttle 3) based on data such as an accelerator depression amount provided from the first communication driver 13. For example, the main microcomputer 11 calculates the control amount of the throttle motor 32 from the accelerator operation amount detected by the accelerator sensor 4 and outputs the control amount to the electronic throttle 3 via the first communication driver 13 and the LAN 7. .

また、メインマイコン11は、サブマイコン12との双方向通信によってサブマイコン12が正常に動作しているか否かを監視する。サブマイコン12が正常に動作しているか否かは、ウォッチドッグタイマ方式や宿題回答方式などといった、周知の方法を用いて判定することができる。ウォッチドッグタイマ方式とは、ウォッチドッグタイマがサブマイコン12から入力されるウォッチドッグパルスによってクリアされずに満了した場合に、サブマイコン12が異常動作していると判定する方式である。   Further, the main microcomputer 11 monitors whether or not the sub-microcomputer 12 is operating normally by bidirectional communication with the sub-microcomputer 12. Whether or not the sub-microcomputer 12 is operating normally can be determined using a known method such as a watchdog timer method or a homework answering method. The watchdog timer method is a method for determining that the sub-microcomputer 12 is operating abnormally when the watchdog timer expires without being cleared by the watchdog pulse input from the sub-microcomputer 12.

また、宿題回答方式とは、メインマイコン11が予め定められた監視用の信号をサブマイコン12に送るとともに、サブマイコン12から返送されてきた回答が正解であるか否かによってサブマイコン12が正常であるか否かを判定する方式である。宿題回答方式においてサブマイコン12は、メインマイコン11から入力される監視用信号に応じた応答信号を生成してメインマイコン11に返送する。メインマイコン11は、サブマイコン12から受け取った応答信号の内容が、送信した監視用信号に対応するデータと異なる場合、あるいは所定の制限時間内でメインマイコン11から応答信号が返送されてこない場合に、サブマイコン12は正常に動作していない(つまり異常動作している)と判定する。なお、メインマイコン11は、サブマイコン12の異常動作を検知した場合には、サブマイコン12にリセットをかけるなどの所定の復帰処理を実行する。   In the homework answering method, the main microcomputer 11 sends a predetermined monitoring signal to the sub-microcomputer 12, and the sub-microcomputer 12 is normal depending on whether the answer returned from the sub-microcomputer 12 is correct. This is a method for determining whether or not. In the homework answering method, the sub-microcomputer 12 generates a response signal corresponding to the monitoring signal input from the main microcomputer 11 and returns it to the main microcomputer 11. When the content of the response signal received from the sub-microcomputer 12 is different from the data corresponding to the transmitted monitoring signal, or when the response signal is not returned from the main microcomputer 11 within a predetermined time limit. It is determined that the sub-microcomputer 12 is not operating normally (that is, operating abnormally). When the main microcomputer 11 detects an abnormal operation of the sub-microcomputer 12, the main microcomputer 11 executes a predetermined return process such as resetting the sub-microcomputer 12.

メインマイコン11の電源用端子は、内部電源ラインLnと接続されており、第1電源回路15又は第2電源回路16から供給される電力に基づいて動作する。また、メインマイコン11のリセット入力端子は、第2電源起動部19の出力端子と接続されている。リセット入力端子は、リセット信号としてのハイレベル信号が入力された場合に、メインマイコン11の動作を停止させて初期状態に戻すための入力端子である。   The power supply terminal of the main microcomputer 11 is connected to the internal power supply line Ln and operates based on the power supplied from the first power supply circuit 15 or the second power supply circuit 16. The reset input terminal of the main microcomputer 11 is connected to the output terminal of the second power supply starting unit 19. The reset input terminal is an input terminal for stopping the operation of the main microcomputer 11 and returning to the initial state when a high level signal as a reset signal is input.

したがって、第2電源起動部19の出力信号がハイレベルとなっている場合にはメインマイコン11は動作を停止する。なお、第2電源起動部19の出力信号がハイレベルとなる場合とは、例えば第1電源回路15の異常動作等に起因して第2電源回路16が駆動する場合である。そのため、第2電源回路16が動作する場合にはメインマイコン11は停止状態となる。   Therefore, the main microcomputer 11 stops its operation when the output signal of the second power supply starting unit 19 is at a high level. Note that the case where the output signal of the second power supply activation unit 19 is at a high level is a case where the second power supply circuit 16 is driven due to, for example, an abnormal operation of the first power supply circuit 15. Therefore, when the second power supply circuit 16 operates, the main microcomputer 11 is stopped.

サブマイコン12は、メインマイコン11との双方向通信により、メインマイコン11が正常に動作しているか否かの監視(つまり状態監視)を実施する。メインマイコン11が正常に動作しているか否かは、前述の通り周知の方法を援用して判定することができる。サブマイコン12は、メインマイコン11の異常動作を検出した場合には、メインマイコン11にリセットをかけるなどの所定の処理を実行する。   The sub-microcomputer 12 performs monitoring (that is, status monitoring) as to whether or not the main microcomputer 11 is operating normally by bidirectional communication with the main microcomputer 11. Whether or not the main microcomputer 11 is operating normally can be determined by using a known method as described above. When the sub-microcomputer 12 detects an abnormal operation of the main microcomputer 11, the sub-microcomputer 12 executes a predetermined process such as resetting the main microcomputer 11.

また、サブマイコン12は、異常検出部20の出力信号が入力される入力端子(以降、モニタ端子)を備える。サブマイコン12は、異常検出部20からハイレベル信号がモニタ端子に入力されている場合、換言すれば異常検出部20が第1電源回路15の異常動作を検出した場合、所定のフェールセーフ処理を実行する。   Further, the sub-microcomputer 12 includes an input terminal (hereinafter referred to as a monitor terminal) to which the output signal of the abnormality detection unit 20 is input. The sub-microcomputer 12 performs a predetermined fail-safe process when a high level signal is input to the monitor terminal from the abnormality detection unit 20, in other words, when the abnormality detection unit 20 detects an abnormal operation of the first power supply circuit 15. Run.

例えばサブマイコン12は、フェールセーフ処理としてスロットルモータ32の駆動を停止させることによって、エンジンの動作を退避走行モードへと移行させる。退避走行モードは、エンジンの出力トルクを所定の抑制レベル以下に制限する動作モードである。退避走行モードによって、ユーザは車両を安全な場所まで退避させることができる。なお、サブマイコン12が駆動回路を介してスロットルモータ32と接続されている場合は、当該駆動回路の出力を遮断することで退避走行を実現してもよい。   For example, the sub-microcomputer 12 shifts the operation of the engine to the retreat travel mode by stopping the drive of the throttle motor 32 as fail-safe processing. The retreat travel mode is an operation mode in which the output torque of the engine is limited to a predetermined suppression level or less. The retreat travel mode allows the user to retreat the vehicle to a safe place. If the sub-microcomputer 12 is connected to the throttle motor 32 via a drive circuit, the retreat travel may be realized by cutting off the output of the drive circuit.

また、サブマイコン12は、フェールセーフ処理として、当該ECU1に不具合が生じたことをLAN7に接続している他のECUに通知する。その他、サブマイコン12は、フェールセーフ処理として、警告灯6を点灯させてもよい。警告灯6を点灯させることにより、ユーザに対してECU1に不具合が生じたことを通知できる。その他、第1電源回路15に異常が生じた時の状況を示す情報(例えば日時等)を不揮発性メモリ121に記録してもよい。   In addition, the sub-microcomputer 12 notifies other ECUs connected to the LAN 7 that a failure has occurred in the ECU 1 as fail-safe processing. In addition, the sub-microcomputer 12 may turn on the warning lamp 6 as fail-safe processing. By turning on the warning lamp 6, it is possible to notify the user that a problem has occurred in the ECU 1. In addition, information (for example, date and time) indicating a situation when an abnormality occurs in the first power supply circuit 15 may be recorded in the nonvolatile memory 121.

サブマイコン12は、IGSW8がオフとなった場合には、所定のシャットダウン処理を実行する。例えばサブマイコン12は、シャットダウン処理として、次回起動時に必要なデータを不揮発性メモリ121に書き込んだり、RAMをクリアしたりする。   The sub-microcomputer 12 executes a predetermined shutdown process when the IGSW 8 is turned off. For example, the sub-microcomputer 12 writes data necessary for the next startup to the nonvolatile memory 121 or clears the RAM as a shutdown process.

また、サブマイコン12は、第1電源回路15が正常に動作したままIGSW8がオフになった時のシャットダウン処理として、第2電源回路16が正常に動作するか否かを検査する処理(以降、検査処理)を実施し、その検査結果を不揮発性のメモリに書き込む。第2電源回路16の検査手順については別途後述する。検査処理の結果、第2電源回路16が正常に動作していることが確認できた場合には、第2電源回路16が正常であること不揮発性メモリ121に書きこむ。便宜上、第2電源回路16が正常であることを示すデータのことを動作確認データと称する。   In addition, the sub-microcomputer 12 checks whether or not the second power supply circuit 16 operates normally as a shutdown process when the IGSW 8 is turned off while the first power supply circuit 15 is operating normally (hereinafter referred to as “the first power supply circuit 15”). (Inspection processing) is performed, and the inspection result is written in the nonvolatile memory. The inspection procedure for the second power supply circuit 16 will be described later separately. As a result of the inspection process, when it is confirmed that the second power supply circuit 16 is operating normally, the fact that the second power supply circuit 16 is normal is written in the nonvolatile memory 121. For convenience, data indicating that the second power supply circuit 16 is normal is referred to as operation confirmation data.

さらにサブマイコン12は、起動後、異常検出部20によって第1電源回路15の異常が検出されるまでは、第1電源保持端子からハイレベル信号を出力する。また、第1電源回路15の異常動作が異常検出部20によって検出された場合には、第1電源保持端子からの出力レベルをローレベルに移行させる。   Further, the sub-microcomputer 12 outputs a high level signal from the first power supply holding terminal until the abnormality detection unit 20 detects the abnormality of the first power supply circuit 15 after the activation. Further, when an abnormal operation of the first power supply circuit 15 is detected by the abnormality detection unit 20, the output level from the first power supply holding terminal is shifted to a low level.

第1電源保持端子からハイレベル信号が出力されている間は、駆動維持部17の出力もハイレベルで維持される。そのため、車両走行中に不意にユーザがIGSW8に切り替えた場合であっても、メインマイコン11やサブマイコン12による車両制御を継続させることができる。第1電源保持端子から出力されるハイレベル信号は、第1電源回路15が駆動している状態を維持する信号として機能する。そのため、第1電源保持端子から出力されるハイレベル信号のことを第1電源保持信号とも称する。   While the high level signal is output from the first power supply holding terminal, the output of the drive maintaining unit 17 is also maintained at the high level. Therefore, even when the user unexpectedly switches to the IGSW 8 while the vehicle is running, the vehicle control by the main microcomputer 11 and the sub-microcomputer 12 can be continued. The high level signal output from the first power supply holding terminal functions as a signal for maintaining the state where the first power supply circuit 15 is driven. Therefore, the high level signal output from the first power holding terminal is also referred to as a first power holding signal.

また、サブマイコン12は、異常検出部20が第1電源回路15の異常動作を検出されていない場合、第2電源保持端子からローレベル信号を出力する。異常検出部20が第1電源回路15の異常動作を検出した場合には、第2電源保持端子からハイレベル信号を出力し始める。いったん第2電源保持端子からハイレベル信号を出力し始めた場合には、IGSW8がオフとなって所定のシャットダウン処理が完了するまでその状態を維持する。   Further, the sub-microcomputer 12 outputs a low level signal from the second power supply holding terminal when the abnormality detection unit 20 does not detect the abnormal operation of the first power supply circuit 15. When the abnormality detection unit 20 detects an abnormal operation of the first power supply circuit 15, it starts to output a high level signal from the second power supply holding terminal. Once the high level signal starts to be output from the second power holding terminal, the state is maintained until the IGSW 8 is turned off and a predetermined shutdown process is completed.

第2電源保持端子からハイレベル信号が出力されている間は、第2電源起動部19の出力もハイレベルで維持される。そのため、第2電源回路16が動作し続ける一方、第1電源回路15は停止する。第2電源起動部19の出力がハイレベルである場合には第1電源起動部18の出力がローレベルとなるためである。   While the high level signal is output from the second power supply holding terminal, the output of the second power supply starting unit 19 is also maintained at the high level. Therefore, while the second power supply circuit 16 continues to operate, the first power supply circuit 15 stops. This is because when the output of the second power supply activation unit 19 is at a high level, the output of the first power supply activation unit 18 is at a low level.

第2電源保持端子から出力されるハイレベル信号は、第2電源回路16が駆動している状態を維持する信号として機能する。そのため、第2電源保持端子から出力されるハイレベル信号のことを第2電源保持信号とも称する。   The high level signal output from the second power supply holding terminal functions as a signal for maintaining the state where the second power supply circuit 16 is driven. Therefore, the high level signal output from the second power holding terminal is also referred to as a second power holding signal.

また、サブマイコン12は、第2電源保持端子からハイレベル信号を出力している状態において、IGSW8がオフになった場合には、クリア信号出力端子からクリア信号としてのハイレベル信号を出力する。これにより異常検出部20の出力レベルはローレベルへ移行する。   In addition, the sub-microcomputer 12 outputs a high level signal as a clear signal from the clear signal output terminal when the IGSW 8 is turned off while the high level signal is being output from the second power supply holding terminal. As a result, the output level of the abnormality detection unit 20 shifts to a low level.

なお、サブマイコン12はメインマイコン11に比べて実行すべき演算処理が少なく設計されている。そのため、サブマイコン12の駆動に必要な電流は、メインマイコン11の駆動に必要な電流よりも少ない。また、第1電源回路15の故障時にはメインマイコン11は動作を停止するため、メインマイコン11は電流を消費しない。よって、第2電源回路16の電流供給能力を第1電源回路15の電流供給能力よりも低く設計することができる。本実施形態ではECU1による制御処理を終了する条件(以降、終了条件)として、IGSW8がオフとなることを採用するが、これに限らない。終了条件は、ECU1の役務に応じて適宜設計されれば良い。   Note that the sub-microcomputer 12 is designed to have less arithmetic processing to be executed than the main microcomputer 11. Therefore, the current required for driving the sub-microcomputer 12 is less than the current required for driving the main microcomputer 11. Further, when the first power supply circuit 15 fails, the main microcomputer 11 stops its operation, so that the main microcomputer 11 does not consume current. Therefore, the current supply capability of the second power supply circuit 16 can be designed to be lower than the current supply capability of the first power supply circuit 15. In the present embodiment, it is adopted that the IGSW 8 is turned off as a condition for terminating the control process by the ECU 1 (hereinafter referred to as an ending condition), but is not limited thereto. The termination condition may be appropriately designed according to the service of the ECU 1.

<ECU1起動時の作動について>
次に図5に示すタイムチャートを用いてIGSW8がオンとなってECU1が起動した時の各構成要素の作動について説明する。図5に示すT10は、IGSW8がオンとなったタイミングを表している。 <Operation when ECU 1 is started>
Next, the operation of each component when the IGSW 8 is turned on and the ECU 1 is activated will be described using the time chart shown in FIG. T10 shown in FIG. 5 represents the timing when the IGSW 8 is turned on.

図5中の(A)はIG電源ラインの印加電圧を表している。(B)〜(H)は駆動維持部17、第1電源起動部18、第1電源回路15、遅延フィルタ22、異常検出部20、第2電源起動部19、及び第2電源回路16の出力を表している。(I)は内部電源ラインLnに印加されている電圧を表しており、(J)、(K)はメインマイコン11、サブマイコン12の動作状態を表している。   (A) in FIG. 5 represents the voltage applied to the IG power supply line. (B) to (H) are outputs of the drive maintaining unit 17, the first power supply activation unit 18, the first power supply circuit 15, the delay filter 22, the abnormality detection unit 20, the second power supply activation unit 19, and the second power supply circuit 16. Represents. (I) represents a voltage applied to the internal power supply line Ln, and (J) and (K) represent operating states of the main microcomputer 11 and the sub-microcomputer 12.

図5の(L)、(M)は、第1電源保持端子及び第2電源保持端子の出力レベルを表している。(N)は動作確認データの記録内容を示している。ここでは一例として前回の検査処理によって、不揮発性メモリ121には第2電源回路16は正常であることを示すデータが動作確認データとして記録されているものとする。   (L) and (M) in FIG. 5 represent output levels of the first power holding terminal and the second power holding terminal. (N) shows the recorded contents of the operation check data. Here, as an example, it is assumed that data indicating that the second power supply circuit 16 is normal is recorded as operation confirmation data in the nonvolatile memory 121 by the previous inspection process.

IGSW8がオンに設定されると、駆動維持部17にバッテリ電圧Vbが印加されるため、(B)に示すように駆動維持部17の出力レベルはハイレベルとなる。また、ECU1起動時においては、第2電源保持端子の出力レベル及び異常検出部20の出力はローレベルであるため、第2電源起動部19の出力レベルはローレベルである。そのため、(C)に示すように第1電源起動部18の出力レベルもハイレベルとなり、第1電源回路15が起動し始める。つまり、第1電源回路15は、IGSW8がオンとなったことをトリガとしてメインマイコン11等への電力供給を開始する。   When the IGSW 8 is set to ON, the battery voltage Vb is applied to the drive maintaining unit 17, so that the output level of the drive maintaining unit 17 is high as shown in (B). Further, when the ECU 1 is activated, the output level of the second power source holding unit 19 and the output level of the abnormality detection unit 20 are low level, and therefore the output level of the second power source activation unit 19 is low level. Therefore, as shown in (C), the output level of the first power supply starting unit 18 also becomes high level, and the first power supply circuit 15 starts to start. That is, the first power supply circuit 15 starts supplying power to the main microcomputer 11 and the like with the IGSW 8 turned on as a trigger.

図5の(D)に示すTaは、第1電源回路15が起動し始めてから出力電圧が目標印加電圧に収束するまでに要する時間(つまり立ち上がり時間)を表している。また、(E)に示す時間Tbは、遅延フィルタ22において、ハイレベル信号が入力されてからハイレベル信号を出力するまでの遅延時間を表している。遅延フィルタ22は、遅延時間Tbが第1電源回路15の立ち上がり時間よりも長くなるように構成されている。   Ta shown in (D) of FIG. 5 represents the time required for the output voltage to converge to the target applied voltage after starting the first power supply circuit 15 (that is, the rise time). A time Tb shown in (E) represents a delay time from when the high level signal is input to when the high level signal is output in the delay filter 22. The delay filter 22 is configured such that the delay time Tb is longer than the rise time of the first power supply circuit 15.

第1電源回路15の立ち上がりが完了すると、内部電源ラインLnにも5Vが印加されるため、メインマイコン11及びサブマイコン12が起動する。サブマイコン12は、起動に伴う初期化処理の過程において、第1電源保持端子からハイレベル信号を出力し始める。サブマイコン12は、起動すると(N)に示すように、動作確認データをクリアする。つまり、第2電源回路16が正常であることを示すデータを削除する。   When the rising of the first power supply circuit 15 is completed, 5V is applied also to the internal power supply line Ln, so that the main microcomputer 11 and the sub microcomputer 12 are activated. The sub-microcomputer 12 starts to output a high level signal from the first power supply holding terminal in the course of the initialization process associated with activation. When activated, the sub-microcomputer 12 clears the operation confirmation data as shown in (N). That is, data indicating that the second power supply circuit 16 is normal is deleted.

なお、第1電源回路15が正常に動作している場合、換言すれば、第1出力電圧V1が正常範囲に収まっている場合には、異常検出部20の出力レベルはローレベルである。また、サブマイコン12が第2電源保持端子から出力する信号のレベルもローレベルである。そのため、第2電源起動部19は停止した状態が維持される。故に、第2出力電圧V2は0Vである。   When the first power supply circuit 15 is operating normally, in other words, when the first output voltage V1 is within the normal range, the output level of the abnormality detection unit 20 is at a low level. The level of the signal output from the second power supply holding terminal by the sub-microcomputer 12 is also low. Therefore, the second power supply activation unit 19 is maintained in a stopped state. Therefore, the second output voltage V2 is 0V.

<第1電源回路故障時の作動について>
次に、図6に示すタイムチャートを用いて第1電源回路15が異常動作(例えば電圧低下)した時の各構成要素の作動について説明する。図6に示すT20は、第1電源回路15の電圧が正常範囲の下限値を下回ったタイミングを表している。 <Operation when the first power supply circuit fails>
Next, the operation of each component when the first power supply circuit 15 performs an abnormal operation (for example, a voltage drop) will be described using the time chart shown in FIG. T20 shown in FIG. 6 represents the timing when the voltage of the first power supply circuit 15 falls below the lower limit value of the normal range.

なお、図6の(A)はIG電源ラインの印加電圧、換言すればIGSW8のオン/オフ状態を表している。(B)〜(F)は第1電源起動部18、第1電源回路15、異常検出部20、第2電源起動部19、第2電源回路16の出力を表している。(G)は内部電源ラインLnに印加されている電圧を表しており、(H)、(I)は、第1電源保持端子及び第2電源保持端子の出力レベルを表している。(J)(K)は、メインマイコン11、サブマイコン12の動作状態を表している。なお、少なくともIGSW8がオンとなっている限り、駆動維持部17や遅延フィルタ22の出力はハイレベルで維持される。そのため、それらの出力についてはここでは図示を省略している。   FIG. 6A shows the voltage applied to the IG power line, in other words, the on / off state of the IGSW 8. (B) to (F) represent the outputs of the first power supply activation unit 18, the first power supply circuit 15, the abnormality detection unit 20, the second power supply activation unit 19, and the second power supply circuit 16. (G) represents the voltage applied to the internal power supply line Ln, and (H) and (I) represent the output levels of the first power holding terminal and the second power holding terminal. (J) and (K) represent the operating states of the main microcomputer 11 and the sub-microcomputer 12. Note that the outputs of the drive maintaining unit 17 and the delay filter 22 are maintained at a high level as long as at least the IGSW 8 is on. Therefore, the illustration of these outputs is omitted here.

第1電源回路15が故障し、第1出力電圧V1が正常範囲の下限値を下回ると、異常検出部20は、当該電圧挙動を、第1電源回路15の異常動作として検出する。そのため、(C)に示すように時刻T20より異常検出部20はハイレベル信号を出力し始める。   When the first power supply circuit 15 fails and the first output voltage V1 falls below the lower limit value of the normal range, the abnormality detection unit 20 detects the voltage behavior as an abnormal operation of the first power supply circuit 15. Therefore, as shown in (C), the abnormality detection unit 20 starts to output a high level signal from time T20.

また、異常検出部20の出力レベルがハイレベルに遷移したことに伴い、第2電源起動部19の出力レベルもハイレベルに遷移する。そのため、第1電源起動部18はAND条件が成立しなくなり、ローレベル信号を出力し始める。   Further, as the output level of the abnormality detection unit 20 transitions to a high level, the output level of the second power supply activation unit 19 also transitions to a high level. For this reason, the first power supply activation unit 18 does not satisfy the AND condition and starts outputting a low level signal.

第2電源回路16は、第2電源起動部19からハイレベル信号が入力されていることを受けて起動し、5Vを出力し始める。また、第1電源回路15は第1電源起動部18の出力レベルがローレベルになったため、動作を停止する。つまり、第1電源回路15が故障した場合には、第1電源回路15に代わって第2電源回路16が内部電源ラインLnに5Vを供給する。そのため、図6に示すように、種々のマイコンへの電力供給は維持される。なお、(H)(I)に示すようにサブマイコン12は、第2電源保持信号の出力に伴って、第1電源保持信号の出力を停止する。   The second power supply circuit 16 is activated in response to the input of the high level signal from the second power supply activation unit 19, and starts to output 5V. Further, the first power supply circuit 15 stops its operation because the output level of the first power supply activation unit 18 has become low level. That is, when the first power supply circuit 15 fails, the second power supply circuit 16 supplies 5V to the internal power supply line Ln instead of the first power supply circuit 15. Therefore, as shown in FIG. 6, power supply to various microcomputers is maintained. As shown in (H) and (I), the sub-microcomputer 12 stops the output of the first power supply holding signal with the output of the second power supply holding signal.

また、本実施形態では第1電源回路15の故障時にはメインマイコン11にリセット信号を入力されたままとなる。これにより、第1電源回路15の故障時には実質的にメインマイコン11は動作を停止した状態となる。   In the present embodiment, when the first power supply circuit 15 fails, the reset signal is still input to the main microcomputer 11. Thereby, when the first power supply circuit 15 fails, the main microcomputer 11 substantially stops operating.

このような構成によれば、第1電源回路15の異常検出以降においては、ECU1内において電力を必要とする構成が減る。そのため、第2電源回路16の電流供給能力を第1電源回路15の電流供給能力よりも低く設計することができる。その結果、第2電源回路16の導入コストを低減することができる。なお、メインマイコン11が停止しても、種々のフェールセーフ処理はサブマイコン12によって実行されるため、従来と同様の安全性を担保することができる。   According to such a configuration, after the abnormality detection of the first power supply circuit 15, the configuration that requires electric power in the ECU 1 is reduced. Therefore, the current supply capability of the second power supply circuit 16 can be designed to be lower than the current supply capability of the first power supply circuit 15. As a result, the introduction cost of the second power supply circuit 16 can be reduced. Even when the main microcomputer 11 is stopped, various fail-safe processes are executed by the sub-microcomputer 12, so that the same safety as in the prior art can be ensured.

<第1電源故障時のシャットダウン処理について>
次に、図7に示すタイムチャートを用いて第2電源回路16が駆動している状態において、IGSW8がオフとなった場合の、各構成要素の作動について説明する。IGSW8がオフに設定された以降においてもサブマイコン12は一定時間(例えば1秒)動作し続けて、所定のシャットダウン処理(例えばデータの退避等)を実施する。図7に示すT30は、IGSW8がオフになったタイミングを表しており、T31は、サブマイコン12のシャットダウン処理が完了したタイミングを表している。 <About the shutdown process when the first power supply fails>
Next, the operation of each component when the IGSW 8 is turned off in the state where the second power supply circuit 16 is driven will be described using the time chart shown in FIG. Even after the IGSW 8 is set to OFF, the sub-microcomputer 12 continues to operate for a fixed time (for example, 1 second) and performs a predetermined shutdown process (for example, data saving). T30 shown in FIG. 7 represents a timing when the IGSW 8 is turned off, and T31 represents a timing when the shutdown process of the sub-microcomputer 12 is completed.

図7の(A)はIG電源ラインの印加電圧を表している。(B)はサブマイコン12の動作状態を表している。(C)〜(H)は、異常検出部20、第2電源保持端子、第2電源起動部19、第2電源回路16の出力を表している。(G)は、内部電源ラインLnへの印加電圧を表している。   FIG. 7A shows the voltage applied to the IG power supply line. (B) represents the operating state of the sub-microcomputer 12. (C) to (H) represent outputs of the abnormality detection unit 20, the second power supply holding terminal, the second power supply activation unit 19, and the second power supply circuit 16. (G) represents the voltage applied to the internal power supply line Ln.

サブマイコン12は、IGSW8がオフとなった場合、異常検出部20に対してクリア信号を出力する。そのため、(C)に示すように異常検出部20の出力信号はローレベルとなる。一方、サブマイコン12は、時刻T31でシャットダウン処理が完了するまで、(D)に示すように第2電源保持信号を出力し続ける。そのため、第2電源起動部19の出力レベルは、時刻T31までハイレベルに維持される。よって、IGSW8がオフになった以降も所定時間、第2電源回路16は動作を継続し、5Vを出力し続ける。   The sub-microcomputer 12 outputs a clear signal to the abnormality detection unit 20 when the IGSW 8 is turned off. Therefore, as shown in (C), the output signal of the abnormality detection unit 20 is at a low level. On the other hand, the sub-microcomputer 12 continues to output the second power holding signal as shown in (D) until the shutdown process is completed at time T31. Therefore, the output level of the second power supply starting unit 19 is maintained at a high level until time T31. Therefore, even after the IGSW 8 is turned off, the second power supply circuit 16 continues to operate for a predetermined time and continues to output 5V.

サブマイコン12は、このようにして第2電源回路16から供給される電力を用いて、シャットダウン処理を完了させ、最後に第2電源保持信号の出力を停止する。   The sub-microcomputer 12 uses the power supplied from the second power supply circuit 16 in this way to complete the shutdown process, and finally stops outputting the second power supply holding signal.

<第1電源健全時のシャットダウン処理について>
次に、図8に示すタイムチャートを用いて、第1電源回路15が正常に動作している状態で(つまり異常が発生せずに)IGSW8がオフになった場合の各構成要素の作動について説明する。IGSW8がオフに設定された以降においてもメインマイコン11及びサブマイコン12のそれぞれは一定時間(例えば1秒)動作し続けて、所定のシャットダウン処理(例えばデータの退避等)を実施する。また、IGSW8がオンとなってから第1電源回路15に異常が発生しないままIGSW8がオフとなった場合には、サブマイコン12はシャットダウン処理の一環として検査処理を実行する。 <Shutdown process when the first power supply is healthy>
Next, with reference to the time chart shown in FIG. 8, the operation of each component when the IGSW 8 is turned off while the first power supply circuit 15 is operating normally (that is, without an abnormality). explain. Even after the IGSW 8 is set to OFF, the main microcomputer 11 and the sub-microcomputer 12 continue to operate for a predetermined time (for example, 1 second), and perform a predetermined shutdown process (for example, data saving). When the IGSW 8 is turned off without any abnormality in the first power supply circuit 15 after the IGSW 8 is turned on, the sub-microcomputer 12 executes an inspection process as part of the shutdown process.

図7に示すT40は、IGSW8がオフになったタイミングを表しており、T41は、メインマイコン11のシャットダウン処理が完了したタイミングを表している。T42は、サブマイコン12でのシャットダウン処理が完了したタイミングを表している。   7 represents the timing when the IGSW 8 is turned off, and T41 represents the timing when the shutdown process of the main microcomputer 11 is completed. T42 represents the timing when the shutdown process in the sub-microcomputer 12 is completed.

サブマイコン12は、IGSW8がなった以降においても(D)に示すように第1電源保持信号を出力し続ける。そのため、第1電源起動部18の出力もハイレベルで維持される。その結果、内部電源ラインLnには第1電源回路15が生成する5Vが印加された状態が継続する。この第1電源回路15が供給する電力によって、メインマイコン11及びサブマイコン12は、それぞれシャットダウン処理を実行する。   Even after the IGSW 8 is turned on, the sub-microcomputer 12 continues to output the first power holding signal as shown in (D). Therefore, the output of the first power supply activation unit 18 is also maintained at a high level. As a result, the state where 5V generated by the first power supply circuit 15 is applied to the internal power supply line Ln continues. The main microcomputer 11 and the sub-microcomputer 12 each execute a shutdown process with the power supplied by the first power supply circuit 15.

メインマイコン11は、自身のシャットダウン処理が完了するとその旨を示す信号(以降、終了通知)をサブマイコン12に出力する。サブマイコン12は、メインマイコン11からの終了通知を受信すると、第2電源保持信号を出力するとともに、第1電源保持信号の出力を停止する。   When the main microcomputer 11 completes its own shutdown process, the main microcomputer 11 outputs a signal indicating that fact (hereinafter, an end notification) to the sub-microcomputer 12. When receiving the end notification from the main microcomputer 11, the sub-microcomputer 12 outputs the second power holding signal and stops outputting the first power holding signal.

これにより、第1電源回路15が停止する。また、第2電源保持信号によって第2電源起動部19がハイレベルとなるため、第2電源回路16が健全である場合、第2電源回路16は起動して5Vを出力し始める。サブマイコン12は、第2電源保持信号を出力してから所定時間Tchk経過したタイミングでサブマイコン12が動作できている場合には、第2電源回路16は正常であることを、第2電源データとして不揮発性メモリ121に記録する。最後に第2電源保持信号の出力を停止して、第2電源回路16を停止させる。   Thereby, the 1st power supply circuit 15 stops. In addition, since the second power supply activation unit 19 becomes high level by the second power supply holding signal, when the second power supply circuit 16 is healthy, the second power supply circuit 16 is activated and starts to output 5V. If the sub-microcomputer 12 is operating at the timing when the predetermined time Tchk has elapsed since the output of the second power supply holding signal, the sub-microcomputer 12 indicates that the second power supply circuit 16 is normal and the second power supply data Is recorded in the nonvolatile memory 121. Finally, the output of the second power holding signal is stopped, and the second power circuit 16 is stopped.

このようにサブマイコン12がIGSW8のオフ後に検査処理を実行することで、第2電源回路16が正常に動作する場合には、不揮発性メモリ121に第2電源回路16が正常であることを示すデータを残すことができる。また、第2電源回路16が故障しており、第2電源回路16が正常に起動しなかった場合には、不揮発性メモリ121において第2電源データが記録されるべきアドレス(以降、検査結果記録アドレス)には何も記録されない。つまり、第2電源データがクリアされた状態のままとなる。   As described above, when the sub-microcomputer 12 performs the inspection process after the IGSW 8 is turned off, when the second power supply circuit 16 operates normally, the nonvolatile memory 121 indicates that the second power supply circuit 16 is normal. You can leave data. Further, when the second power supply circuit 16 has failed and the second power supply circuit 16 has not started up normally, an address (hereinafter referred to as a test result record) where the second power supply data is to be recorded in the nonvolatile memory 121. Nothing is recorded in (Address). That is, the second power supply data remains cleared.

したがって以上の構成によれば、サブマイコン12は次回IGSW8がオンとなって起動時に、不揮発性メモリ121の検査結果記録アドレスを参照することで、第2電源回路16が正常に動作するか否かを認識することができる。仮に第2電源回路16が故障している場合には、警告灯6を点灯したり、他のECUにECU1に不具合が生じていることを通知したりする。   Therefore, according to the above configuration, whether the second power supply circuit 16 operates normally by referring to the test result recording address of the nonvolatile memory 121 when the sub-microcomputer 12 is turned on next time when the IGSW 8 is turned on. Can be recognized. If the second power supply circuit 16 is out of order, the warning lamp 6 is turned on, or other ECUs are notified that a malfunction has occurred in the ECU 1.

<実施形態のまとめ>
以上の構成では異常検出部20によって第1電源回路15の異常動作が検出されていない場合(以降、通常時)、第2電源回路16は動作しない。その為、通常時において仮に第2電源回路が故障していても、その故障が不具合として発現する(換言すれば検出される)ことはない。故に、電源回路の故障に伴うフェールセーフ処理の実行頻度を低減することができる。 <Summary of Embodiment>
In the above configuration, when the abnormal operation of the first power supply circuit 15 is not detected by the abnormality detection unit 20 (hereinafter, normal), the second power supply circuit 16 does not operate. Therefore, even if the second power supply circuit is out of order at the normal time, the failure does not appear as a malfunction (in other words, is detected). Therefore, it is possible to reduce the frequency of execution of fail-safe processing accompanying a failure of the power supply circuit.

また、第2電源回路16が動作する場合とは、検査処理実行時と、第1電源回路15が故障した場合だけである。つまり、第2電源回路16の動作時間は、第1電源回路15の動作時間に比べて短くなる。そのため、通算動作時間の増加に由来して第2電源回路16が故障してしまう確率を抑制することができる。   The case where the second power supply circuit 16 operates is only when the inspection process is executed and when the first power supply circuit 15 fails. That is, the operation time of the second power supply circuit 16 is shorter than the operation time of the first power supply circuit 15. Therefore, it is possible to suppress the probability that the second power supply circuit 16 will fail due to the increase in the total operation time.

さらに、第1電源回路15が故障した場合には第2電源回路16が起動してサブマイコン12に電力を供給する。サブマイコン12は、第2電源回路16から供給される電力によって動作し、例えば退避走行の実現などのフェールセーフ処理を実行する。そのため、特許文献1に開示される従来技術と同様の安全性・利便性を提供することができる。   Further, when the first power supply circuit 15 fails, the second power supply circuit 16 is activated to supply power to the sub-microcomputer 12. The sub-microcomputer 12 operates with power supplied from the second power supply circuit 16 and executes fail-safe processing such as realization of retreat travel. Therefore, it is possible to provide the same safety and convenience as the prior art disclosed in Patent Document 1.

また、上記の構成では正常範囲をマイコン動作範囲内に設定している。このような構成によれば、各種マイコンが停止する前に、電力源を第2電源回路16に切り替えることができる。   In the above configuration, the normal range is set within the microcomputer operation range. According to such a configuration, the power source can be switched to the second power supply circuit 16 before the various microcomputers are stopped.

さらに、上記構成では正常範囲として下限値だけでなく上限値も規定している。そのため、電圧低下だけでなく、第1出力電圧V1が異常に高くなった場合も、異常動作として検出することができる。また、第1電源回路15の出力電圧が正常範囲の上限値を超過する値になった場合には第1電源回路15を停止させる。このような構成によれば、メインマイコン11やサブマイコン12にマイコン動作範囲の上限値を超えた電圧(つまり過電圧)を印加してしまう恐れを低減できる。したがって、第1電源回路15の故障に起因して、メインマイコン11やサブマイコン12が故障してしまう恐れを低減することができる。   Further, in the above configuration, not only the lower limit value but also the upper limit value is defined as the normal range. Therefore, not only the voltage drop but also the case where the first output voltage V1 becomes abnormally high can be detected as an abnormal operation. Further, when the output voltage of the first power supply circuit 15 becomes a value exceeding the upper limit value of the normal range, the first power supply circuit 15 is stopped. According to such a configuration, it is possible to reduce the risk of applying a voltage exceeding the upper limit value of the microcomputer operating range (that is, overvoltage) to the main microcomputer 11 and the sub-microcomputer 12. Therefore, it is possible to reduce the risk that the main microcomputer 11 and the sub-microcomputer 12 will fail due to the failure of the first power supply circuit 15.

ところで、他の態様としては第1電源回路15の異常動作検出後も第1電源回路15を停止させずに、第2電源回路16を動作させる構成も考えられる。そのような構成において第1電源回路15に、第2電源回路16の出力電圧(ここでは5V)よりも高い電圧を出力するタイプの故障が生じた場合、第2電源回路16が実質的に機能しなくなる。第1電源回路15と第2電源回路16は共通の電源ライン(つまり、内部電源ラインLn)に電圧を出力するためである。そのような課題に対し、上記構成では、第1電源回路15の異常動作を検出した場合には、第1電源回路15を停止させるため、第2電源回路16の出力電圧を機能させることができる。   By the way, as another aspect, a configuration in which the second power supply circuit 16 is operated without stopping the first power supply circuit 15 even after the abnormal operation of the first power supply circuit 15 is detected is conceivable. In such a configuration, when a failure occurs in the first power supply circuit 15 that outputs a voltage higher than the output voltage (here, 5V) of the second power supply circuit 16, the second power supply circuit 16 substantially functions. No longer. This is because the first power supply circuit 15 and the second power supply circuit 16 output a voltage to a common power supply line (that is, the internal power supply line Ln). In response to such a problem, in the above configuration, when an abnormal operation of the first power supply circuit 15 is detected, the first power supply circuit 15 is stopped, so that the output voltage of the second power supply circuit 16 can function. .

また、上記構成では異常検出部20の出力と、サブマイコン12の第2電源保持端子の出力の少なくとも何れか一方がハイレベルである場合には、第2電源回路16は動作し続ける。したがって、異常検出部20の出力信号が流れる信号線が断線した場合であっても、電力供給を継続することができる。つまり、ECU1による車両制御を継続することができる。   In the above configuration, when at least one of the output of the abnormality detection unit 20 and the output of the second power holding terminal of the sub-microcomputer 12 is at a high level, the second power supply circuit 16 continues to operate. Therefore, even when the signal line through which the output signal of the abnormality detection unit 20 flows is disconnected, the power supply can be continued. That is, the vehicle control by the ECU 1 can be continued.

また、上記構成によれば走行等の重要な制御実施中に一本の信号線の故障によって電源がオフとなり、制御停止となることを抑制できる。その結果、信頼性を向上することができる。   Moreover, according to the said structure, it can suppress that a power supply is turned off by the failure of one signal wire | line during execution of important control, such as driving | running | working, and it stops control. As a result, reliability can be improved.

以上、本発明の実施形態を説明したが、本発明は上述の実施形態に限定されるものではなく、以降で述べる種々の変形例も本発明の技術的範囲に含まれ、さらに、下記以外にも要旨を逸脱しない範囲内で種々変更して実施することができる。   As mentioned above, although embodiment of this invention was described, this invention is not limited to the above-mentioned embodiment, The various modifications described below are also contained in the technical scope of this invention, and also in addition to the following However, various modifications can be made without departing from the scope of the invention.

なお、前述の実施形態で述べた部材と同一の機能を有する部材については、同一の符号を付し、その説明を省略する。また、構成の一部のみに言及している場合、他の部分については先に説明した実施形態の構成を適用することができる。   In addition, about the member which has the same function as the member described in the above-mentioned embodiment, the same code | symbol is attached | subjected and the description is abbreviate | omitted. In addition, when only a part of the configuration is mentioned, the configuration of the above-described embodiment can be applied to the other portions.

[変形例1]
上述した実施形態では、正常範囲をマイコン動作範囲内に設定した態様を開示したがこれに限らない。マイコン動作範囲を含むように、正常範囲をマイコン動作範囲よりも大きく設定しても良い。例えばマイコン動作範囲(4.0〜5.5V)に対して正常範囲を3.9V〜5.6Vに設定してもよい。 [Modification 1]
In the above-described embodiment, the mode in which the normal range is set within the microcomputer operation range is disclosed, but the present invention is not limited to this. The normal range may be set larger than the microcomputer operating range so as to include the microcomputer operating range. For example, the normal range may be set to 3.9 V to 5.6 V with respect to the microcomputer operating range (4.0 to 5.5 V).

[変形例2]
第2電源回路16をより安価に実現するために、第2電源回路16を動作時にはメインマイコン11の停止させる制御態様を開示した。メインマイコン11を停止されれば第2電源回路16に要求される電流供給能力を低く設計できるためである。 [Modification 2]
In order to realize the second power supply circuit 16 at a lower cost, a control mode in which the main microcomputer 11 is stopped during the operation of the second power supply circuit 16 has been disclosed. This is because the current supply capability required for the second power supply circuit 16 can be designed low if the main microcomputer 11 is stopped.

一方、他の態様として第2電源回路16を動作時においてもメインマイコン11とサブマイコン12の両方を動作させてもよい。その場合、第2電源回路16は、メインマイコン11とサブマイコン12の両方を駆動させるために必要な電流を供給しうる能力を備えるように構成されているものとする。図9は、第2電源回路16動作時においてもメインマイコン11が動作可能な回路構成の一例を示している。   On the other hand, as another mode, both the main microcomputer 11 and the sub-microcomputer 12 may be operated even when the second power supply circuit 16 is operated. In that case, it is assumed that the second power supply circuit 16 is configured to have a capability of supplying a current necessary for driving both the main microcomputer 11 and the sub-microcomputer 12. FIG. 9 shows an example of a circuit configuration in which the main microcomputer 11 can operate even when the second power supply circuit 16 operates.

[変形例3]
以上では、異常検出部20が第1電源回路15の異常を検出した場合には、第1電源回路15が停止する構成を開示したがこれに限らない。例えば図10に示すような、異常検出部20が第1電源回路15の異常を検出した以降においても第1電源回路15が動作し続ける構成を採用しても良い。 [Modification 3]
In the above description, the configuration in which the first power supply circuit 15 stops when the abnormality detection unit 20 detects an abnormality in the first power supply circuit 15 is disclosed, but is not limited thereto. For example, as shown in FIG. 10, a configuration in which the first power supply circuit 15 continues to operate even after the abnormality detection unit 20 detects an abnormality in the first power supply circuit 15 may be adopted.

なお、図10に示す構成では、第2電源起動部19の出力端子とメインマイコン11のリセット入力端子とが接続されているため、第1電源回路15の異常を検出した以降においては、メインマイコン11は停止する。図11は、第1電源回路15の異常を検出した以降においても、メインマイコン11と第1電源回路15の両方共動作を継続する構成を示している。   In the configuration shown in FIG. 10, since the output terminal of the second power supply starting unit 19 and the reset input terminal of the main microcomputer 11 are connected, the main microcomputer is detected after the abnormality of the first power supply circuit 15 is detected. 11 stops. FIG. 11 shows a configuration in which both the main microcomputer 11 and the first power supply circuit 15 continue to operate even after the abnormality of the first power supply circuit 15 is detected.

[変形例4]
上述した実施形態では、サブマイコン12は、退避走行などの限定的な車両制御機能のみを備えるものとしたが、これに限らない。サブマイコン12は、メインマイコン11と同様の車両制御を実行する機能を備えるものであってもよい。その他、以上ではIGSW8がオンとなった場合に、ECU1が起動する態様を開示したが、ECU1の起動トリガは、これに限らない。ECU1は、充電プラグが接続されたことを示す信号が入力された場合に起動しても良いし、内部のタイマの満了等によって自発的に起動してもよい。メインマイコン11による電力供給を開始させるためのトリガとして機能する信号及び当該信号の出力元(すなわち信号源)は適宜設計されれば良い。 [Modification 4]
In the embodiment described above, the sub-microcomputer 12 has only a limited vehicle control function such as retreat travel, but is not limited thereto. The sub-microcomputer 12 may have a function for executing vehicle control similar to that of the main microcomputer 11. In addition, although the aspect in which the ECU 1 is activated when the IGSW 8 is turned on has been disclosed above, the activation trigger of the ECU 1 is not limited thereto. The ECU 1 may be activated when a signal indicating that the charging plug is connected is input, or may be activated spontaneously upon expiration of an internal timer or the like. A signal that functions as a trigger for starting power supply by the main microcomputer 11 and an output source (that is, a signal source) of the signal may be appropriately designed.

1 ECU(電子制御装置)、2 車載バッテリ、3 電子スロットル、8 イグニッションスイッチ、11 メインマイコン、12 サブマイコン、13 第1通信ドライバ、14 第2通信ドライバ、15 第1電源回路、16 第2電源回路、17 駆動維持部、18 第1電源起動部、19 第2電源起動部、20 異常検出部、21 安定化フィルタ、22 遅延フィルタ、Ln 内部電源ライン DESCRIPTION OF SYMBOLS 1 ECU (electronic control apparatus), 2 vehicle-mounted battery, 3 electronic throttle, 8 ignition switch, 11 main microcomputer, 12 sub microcomputer, 13 1st communication driver, 14 2nd communication driver, 15 1st power supply circuit, 16 2nd power supply Circuit, 17 Drive maintenance unit, 18 First power supply startup unit, 19 Second power supply startup unit, 20 Abnormality detection unit, 21 Stabilization filter, 22 Delay filter, Ln Internal power supply line

Claims (10)

車両に搭載されたセンサから入力されるデータに基づいて前記車両に搭載されている所定のアクチュエータの動作を制御するマイクロコンピュータである制御マイコン(11、12)と、
前記車両に搭載されている電源装置から供給される電圧から前記制御マイコンを駆動するための電圧を生成して前記制御マイコンに供給する電源回路としての第1電源回路(15)と、
前記第1電源回路が出力する電圧に基づいて前記第1電源回路の異常動作を検出する異常検出部(20)と、
前記第1電源回路とは異なる前記電源回路であって、前記異常検出部の検出結果に応じて起動し、前記制御マイコンへの電力供給を行う第2電源回路(16)と、を備え、
前記第1電源回路は、所定の信号源から前記制御を開始するための信号である起動信号が入力されたことをトリガとして前記制御マイコンへの電力供給を開始するものであり、
前記第2電源回路は、
前記異常検出部によって前記第1電源回路の異常動作が検出されていない場合には停止しており、
前記異常検出部によって前記第1電源回路の異常動作が検出された場合に起動することを特徴とする電子制御装置。 A control microcomputer (11, 12) that is a microcomputer that controls the operation of a predetermined actuator mounted on the vehicle based on data input from a sensor mounted on the vehicle;
A first power supply circuit (15) as a power supply circuit for generating a voltage for driving the control microcomputer from a voltage supplied from a power supply device mounted on the vehicle and supplying the control microcomputer;
An abnormality detector (20) for detecting an abnormal operation of the first power supply circuit based on a voltage output from the first power supply circuit;
A second power supply circuit (16) that is different from the first power supply circuit and that is activated in accordance with a detection result of the abnormality detection unit and supplies power to the control microcomputer;
The first power supply circuit starts power supply to the control microcomputer triggered by the input of a start signal that is a signal for starting the control from a predetermined signal source,
The second power supply circuit includes:
When the abnormal operation of the first power supply circuit is not detected by the abnormality detection unit, it is stopped,
The electronic control device is activated when an abnormal operation of the first power supply circuit is detected by the abnormality detection unit. 請求項1において、
前記制御マイコンには、当該制御マイコンが動作する電圧の下限値及び上限値が動作電圧範囲として設定されており、
前記第1電源回路の出力電圧に対して、前記異常検出部が前記第1電源回路の出力電圧は正常であると見なす範囲である正常電圧範囲が予め設定されており、
前記正常電圧範囲は、前記動作電圧範囲に含まれるように設定されており、
前記異常検出部は、前記第1電源回路の出力電圧が前記正常電圧範囲外の値となっていることを、前記第1電源回路の異常動作として検出することを特徴とする電子制御装置。 In claim 1,
In the control microcomputer, a lower limit value and an upper limit value of a voltage at which the control microcomputer operates are set as an operating voltage range,
A normal voltage range that is a range in which the abnormality detection unit considers that the output voltage of the first power supply circuit is normal with respect to the output voltage of the first power supply circuit is preset,
The normal voltage range is set to be included in the operating voltage range,
The electronic control device, wherein the abnormality detection unit detects that the output voltage of the first power supply circuit is a value outside the normal voltage range as an abnormal operation of the first power supply circuit. 請求項2において、
前記第1電源回路は、前記異常検出部によって前記第1電源回路の異常動作が検出された場合には、動作を停止することを特徴とする電子制御装置。 In claim 2,
The electronic control device according to claim 1, wherein the first power supply circuit stops operation when an abnormal operation of the first power supply circuit is detected by the abnormality detection unit. 請求項1から3の何れか1項において、
前記制御マイコンとして第1マイコンと第2マイコンを備え、
前記異常検出部によって前記第1電源回路の異常動作が検出されていない場合には、前記第1マイコンと前記第2マイコンの両方が動作する一方、
前記異常検出部によって前記第1電源回路の異常動作が検出された場合には、前記制御マイコンは動作を停止することを特徴とする電子制御装置。 In any one of Claims 1-3,
The control microcomputer includes a first microcomputer and a second microcomputer,
When the abnormal operation of the first power supply circuit is not detected by the abnormality detection unit, both the first microcomputer and the second microcomputer operate,
The electronic control device according to claim 1, wherein the control microcomputer stops the operation when the abnormality detection unit detects an abnormal operation of the first power supply circuit. 請求項4において、
前記第2マイコンは、
前記第1電源回路からの電力供給がされていない場合においてもデータを保持可能なメモリ(121)を備え、
前記第1電源回路及び前記第2電源回路のそれぞれの動作状態を制御するものであって、
前記第2マイコンは、
前記信号源から前記制御を開始するための所定の信号が入力されてから、前記制御を終了するための所定の終了条件が充足されるまでの間に前記第1電源回路の異常動作が検出されなかった場合には、前記終了条件の充足に伴って前記第1電源回路を停止させるとともに、前記第2電源回路を起動させ、
前記第2電源回路を起動させてから一定時間経過した時点においてまだ前記第2マイコンが動作できている場合には前記第2電源回路は正常であることを示す動作確認データを前記メモリに記録することを特徴とする電子制御装置。 In claim 4,
The second microcomputer is
A memory (121) capable of holding data even when power is not supplied from the first power supply circuit;
Controlling the respective operating states of the first power supply circuit and the second power supply circuit,
The second microcomputer is
Abnormal operation of the first power supply circuit is detected after a predetermined signal for starting the control is input from the signal source until a predetermined end condition for ending the control is satisfied. If not, the first power supply circuit is stopped as the termination condition is satisfied, and the second power supply circuit is started,
When the second microcomputer is still operating at a point in time after the second power supply circuit is activated, operation confirmation data indicating that the second power supply circuit is normal is recorded in the memory. An electronic control device characterized by that. 請求項5において、
前記第2マイコンは、起動する度に前記メモリに記録されている前記動作確認データを削除することを特徴とする電子制御装置。 In claim 5,
The electronic control device according to claim 2, wherein the second microcomputer deletes the operation confirmation data recorded in the memory each time the second microcomputer is activated. 請求項5又は6において、
前記異常検出部は、いったん前記第1電源回路の異常動作を検出した場合には、前記第1電源回路に異常が生じているという判定結果を、前記第2マイコンから所定のクリア信号が入力されるまで維持し、
前記第1電源回路に異常が生じていると判定している間は、前記第1電源回路に異常が生じていることを示す異常検出信号を出力するものであり、
前記第2マイコンは、第2電源保持信号を出力することによって前記第2電源回路を動作させるものであって、
前記第2電源回路は、前記異常検出部が前記異常検出信号を出力しているか、又は、前記第2マイコンが前記第2電源保持信号を出力している場合に動作することを特徴とする電子制御装置。 In claim 5 or 6,
The abnormality detection unit, once detecting an abnormal operation of the first power supply circuit, receives a determination result that an abnormality has occurred in the first power supply circuit and a predetermined clear signal from the second microcomputer. Until
While determining that an abnormality has occurred in the first power supply circuit, an abnormality detection signal indicating that an abnormality has occurred in the first power supply circuit is output,
The second microcomputer operates the second power supply circuit by outputting a second power holding signal,
The second power supply circuit operates when the abnormality detection unit outputs the abnormality detection signal, or when the second microcomputer outputs the second power holding signal. Control device. 請求項4から7の何れか1項において、
前記第2マイコンは、前記異常検出部によって前記第1電源回路の異常動作が検出された場合、所定のフェールセーフ処理を実行することを特徴とする電子制御装置。 In any one of Claims 4-7,
The electronic control device according to claim 2, wherein the second microcomputer executes a predetermined fail-safe process when an abnormal operation of the first power supply circuit is detected by the abnormality detection unit. 請求項4から8の何れか1項において、
前記第2電源回路は、前記第1マイコンと前記第2マイコンの両方を駆動させる電力を出力可能に構成されていることを特徴とする電子制御装置。 In any one of Claims 4-8,
The electronic control device according to claim 2, wherein the second power supply circuit is configured to be able to output electric power for driving both the first microcomputer and the second microcomputer. 請求項1から9の何れか1項において、
前記異常検出部は、前記起動信号が入力された時点を起算時点として、前記起算時点から所定時間経過したタイミングで起動するように構成されていることを特徴とする電子制御装置。 In any one of Claim 1 to 9,
The electronic controller according to claim 1, wherein the abnormality detection unit is configured to start at a timing when a predetermined time has elapsed from the calculation time, with a time when the activation signal is input as a calculation time.
JP2016217505A 2016-11-07 2016-11-07 Electronic control unit Active JP6683104B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016217505A JP6683104B2 (en) 2016-11-07 2016-11-07 Electronic control unit
DE102017219390.5A DE102017219390A1 (en) 2016-11-07 2017-10-27 ELECTRONIC CONTROL UNIT

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016217505A JP6683104B2 (en) 2016-11-07 2016-11-07 Electronic control unit

Publications (2)

Publication Number Publication Date
JP2018078682A true JP2018078682A (en) 2018-05-17
JP6683104B2 JP6683104B2 (en) 2020-04-15

Family

ID=62003316

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016217505A Active JP6683104B2 (en) 2016-11-07 2016-11-07 Electronic control unit

Country Status (2)

Country Link
JP (1) JP6683104B2 (en)
DE (1) DE102017219390A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019214312A (en) * 2018-06-13 2019-12-19 株式会社オートネットワーク技術研究所 On-vehicle power source control device and on-vehicle power source system
WO2020129523A1 (en) * 2018-12-19 2020-06-25 日立オートモティブシステムズ株式会社 Electronic control device and in-vehicle device

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022118073A1 (en) 2022-07-19 2024-01-25 Zf Active Safety Gmbh Control unit for powering an electrical component in a vehicle and a braking system

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10297395A (en) * 1997-04-22 1998-11-10 Toyota Motor Corp Electronic control device
JP2005208939A (en) * 2004-01-22 2005-08-04 Denso Corp System for monitoring power supply voltage of microcomputer
JP2007213137A (en) * 2006-02-07 2007-08-23 Denso Corp Electronic controller
JP2009040348A (en) * 2007-08-10 2009-02-26 Toyota Motor Corp Power source control device
JP2012060841A (en) * 2010-09-13 2012-03-22 Denso Corp Electronic control device for vehicle
JP2014058290A (en) * 2012-09-19 2014-04-03 Denso Corp Battery pack controller
WO2015194407A1 (en) * 2014-06-18 2015-12-23 日立オートモティブシステムズ株式会社 Vehicle-mounted control device or vehicle-mounted control system
JP2016032989A (en) * 2014-07-31 2016-03-10 株式会社オートネットワーク技術研究所 Load controller
JP2016128308A (en) * 2015-01-09 2016-07-14 トヨタ自動車株式会社 Electric power unit
JP2016159672A (en) * 2015-02-27 2016-09-05 日立オートモティブシステムズ株式会社 Mutual monitoring module for vehicle

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10297395A (en) * 1997-04-22 1998-11-10 Toyota Motor Corp Electronic control device
JP2005208939A (en) * 2004-01-22 2005-08-04 Denso Corp System for monitoring power supply voltage of microcomputer
JP2007213137A (en) * 2006-02-07 2007-08-23 Denso Corp Electronic controller
JP2009040348A (en) * 2007-08-10 2009-02-26 Toyota Motor Corp Power source control device
JP2012060841A (en) * 2010-09-13 2012-03-22 Denso Corp Electronic control device for vehicle
JP2014058290A (en) * 2012-09-19 2014-04-03 Denso Corp Battery pack controller
WO2015194407A1 (en) * 2014-06-18 2015-12-23 日立オートモティブシステムズ株式会社 Vehicle-mounted control device or vehicle-mounted control system
JP2016032989A (en) * 2014-07-31 2016-03-10 株式会社オートネットワーク技術研究所 Load controller
JP2016128308A (en) * 2015-01-09 2016-07-14 トヨタ自動車株式会社 Electric power unit
JP2016159672A (en) * 2015-02-27 2016-09-05 日立オートモティブシステムズ株式会社 Mutual monitoring module for vehicle

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019214312A (en) * 2018-06-13 2019-12-19 株式会社オートネットワーク技術研究所 On-vehicle power source control device and on-vehicle power source system
WO2019239842A1 (en) * 2018-06-13 2019-12-19 株式会社オートネットワーク技術研究所 In-vehicle power supply control device and in-vehicle power supply system
CN112218788A (en) * 2018-06-13 2021-01-12 株式会社自动网络技术研究所 In-vehicle power supply control device and in-vehicle power supply system
US11338748B2 (en) 2018-06-13 2022-05-24 Autonetworks Technologies, Ltd. In-vehicle power source control device and in-vehicle power source system
WO2020129523A1 (en) * 2018-12-19 2020-06-25 日立オートモティブシステムズ株式会社 Electronic control device and in-vehicle device
US11787425B2 (en) 2018-12-19 2023-10-17 Hitachi Astemo, Ltd. Electronic control device and in-vehicle device

Also Published As

Publication number Publication date
JP6683104B2 (en) 2020-04-15
DE102017219390A1 (en) 2018-05-09

Similar Documents

Publication Publication Date Title
JP4518150B2 (en) Electronic control device for vehicle
JP4525762B2 (en) Electronic control device for vehicle
JP5853099B2 (en) Battery control device
JP2006316639A (en) Main relay failure diagnosing method and electronic control device
US9566920B2 (en) Circuit arrangement comprising a monitoring device
KR20210073705A (en) Vehicle control system according to failure of autonomous driving vehicle and method thereof
JP6683104B2 (en) Electronic control unit
US20180345947A1 (en) Method for Operating a Parking Brake and Control Device for Operating a Parking Brake
JP6416718B2 (en) Fail-safe circuit
WO2016147793A1 (en) Vehicular control device and method for controlling same
JP5483475B2 (en) Load control device
JP4680032B2 (en) Vehicle power supply
US20150100811A1 (en) Electronic control unit
US10633018B2 (en) External watchdog with integrated backward regeneration support
JP4538852B2 (en) Vehicle control device
JP2007291989A (en) Abnormality diagnosing device of load drive system
JP6631473B2 (en) Electronic control unit
KR102163663B1 (en) Apparatus for driving warning light and method for driving the same
JP4281805B2 (en) Vehicle power generation control device and vehicle power generation system
JP2020202662A (en) Electronic control device
US11254328B2 (en) Apparatus and method for using components of a vehicle
CN109690333B (en) Electronic control device and method for diagnosing connection state of electronic control device
WO2022044432A1 (en) Electronic control device
WO2020054271A1 (en) Electronic control unit
JP2004098958A (en) Electric control braking system for vehicle

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190123

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191016

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191112

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200108

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200225

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200309

R151 Written notification of patent or utility model registration

Ref document number: 6683104

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250