JP2023074564A - Control device - Google Patents

Control device Download PDF

Info

Publication number
JP2023074564A
JP2023074564A JP2021187535A JP2021187535A JP2023074564A JP 2023074564 A JP2023074564 A JP 2023074564A JP 2021187535 A JP2021187535 A JP 2021187535A JP 2021187535 A JP2021187535 A JP 2021187535A JP 2023074564 A JP2023074564 A JP 2023074564A
Authority
JP
Japan
Prior art keywords
mcu
circuit
failure
output
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021187535A
Other languages
Japanese (ja)
Other versions
JP7329579B2 (en
Inventor
慧 秋山
Kei Akiyama
祐希 岩上
Yuuki Iwagami
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2021187535A priority Critical patent/JP7329579B2/en
Publication of JP2023074564A publication Critical patent/JP2023074564A/en
Application granted granted Critical
Publication of JP7329579B2 publication Critical patent/JP7329579B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

To provide a control device capable of improving the reliability of control by preventing damage to the control device quickly and with minimal effect when a failure occurs, while reducing the number of ports required for an MCU and a processing load.SOLUTION: The control device is provided with an MCU (14) and a supervisory control circuit (19) which are interconnected. When the supervisory control circuit (19) detects an abnormality in the MCU (14), the supervisory control circuit (19) initializes the MCU (14) and controls output circuits for driving electrical loads. When the MCU (14) receives failure information from the supervisory control circuit (19), the MCU reads out components affected by the failure indicated by the failure information and the degree of influence from previously stored dependent failure analysis results, and restricts functions of the components.SELECTED DRAWING: Figure 1

Description

本願は、制御装置に関するものである。 The present application relates to a control device.

マイクロコントローラユニット(Micro Controller Unit)(以下、「MCU」と称する)を搭載した制御装置において、その信頼性を向上させるために、当該MCUが正常に動作しているか否かを常時確認するための監視回路を設け、この監視回路と制御装置との間でシリアル通信を行うことで、MCUの故障および電気負荷を駆動する出力回路の故障を検知し、出力回路を停止させるようにした技術は周知である。 In a control device equipped with a microcontroller unit (hereinafter referred to as "MCU"), in order to improve its reliability, there is a system for constantly checking whether the MCU is operating normally. It is well known that a monitoring circuit is provided and serial communication is performed between the monitoring circuit and the control device to detect a failure of the MCU and a failure of the output circuit that drives the electric load, and to stop the output circuit. is.

たとえば、特許文献1に開示された従来の制御装置によれば、入出力インターフェース(以下、「入出力I/F」と称する)と出力回路を制御する制御部とを有するMCUと、入出力I/Fを有する監視制御回路とがシリアル接続され、監視制御回路は、定期的に質問情報をMCU側の制御部に送信し、MCU側では、その質問に対する回答情報と制御部自身の設定定数および制御出力情報とに基づく通信情報を監視制御回路に送信し、監視制御回路では、あらかじめ備えている正解情報と、MCU側の制御部から送信された回答情報を含む通信情報と、を比較することで、MCUの故障の有無を判定するようにしている。 For example, according to the conventional control device disclosed in Patent Document 1, an MCU having an input/output interface (hereinafter referred to as "input/output I/F") and a control unit for controlling an output circuit; /F is serially connected, and the monitor and control circuit periodically transmits question information to the control unit on the MCU side. communication information based on the control output information is transmitted to the monitor control circuit, and the monitor control circuit compares the correct answer information provided in advance with the communication information including the answer information transmitted from the control unit on the MCU side. , it is determined whether or not there is a failure in the MCU.

また、特許文献2に開示された従来の制御装置によれば、複数の出力回路を有し、出力回路の故障検出時に当該出力回路のみを停止させる「第1の停止モード」と、すべての出力回路に共通する電源を遮断することで出力回路全体を停止させる「第2の停止モード」とを有することで、制御装置の信頼性を向上させるようにしている。 Further, according to the conventional control device disclosed in Patent Document 2, there are a plurality of output circuits, a "first stop mode" that stops only the output circuit when a failure of the output circuit is detected, and a "first stop mode" that stops only the output circuit. The reliability of the control device is improved by having a "second stop mode" in which the entire output circuit is stopped by shutting off the power supply common to the circuits.

特許第4476320号公報Japanese Patent No. 4476320 特許第6205725号公報Japanese Patent No. 6205725

特許文献1に開示された従来の制御装置は、MCUと監視制御回路とのシリアル通信を介して相互監視を行なうように構成されているが、特許文献1には、故障検出時にどのような処置を取るかについては明らかではない。また、特許文献2に開示された制御装置は、出力回路の故障検出時に当該出力回路のみを停止させる「第1の停止モード」と、共通電源遮断により出力回路全体を停止させる「第2の停止モード」を有しているが、出力回路の故障しか検出できず、MCUの故障、もしくは電源回路の故障は検出することができない。 The conventional control device disclosed in Patent Document 1 is configured to perform mutual monitoring through serial communication between the MCU and the supervisory control circuit. It is not clear whether to take Further, the control device disclosed in Patent Document 2 has a "first stop mode" that stops only the output circuit when a failure is detected in the output circuit, and a "second stop mode" that stops the entire output circuit by shutting off the common power supply. However, it can only detect failures in the output circuit, and cannot detect failures in the MCU or in the power supply circuit.

本願は、従来の制御装置における前述のような課題を解決するための技術を開示するものであり、MCUの必要ポートならびに処理負荷を削減しつつ、故障発生に対し迅速かつ最小限の影響で制御装置の損傷を防止して制御の信頼性の向上を実現できる制御装置を提供することを目的とする。 The present application discloses a technique for solving the above-mentioned problems in the conventional control device, and while reducing the necessary ports and processing load of the MCU, it is possible to control quickly and with minimal impact on occurrence of failure. It is an object of the present invention to provide a control device capable of preventing damage to the device and improving control reliability.

本願に開示される制御装置は、
電気負荷を駆動する出力回路を制御するMCU側出力回路制御部と、故障情報処理部と、を有するMCUと、
前記MCUとシリアル通信を介して接続され、前記MCUの異常状態を検出するMCU異常情報処理部と、前記MCUを初期化し得るMCU初期化回路と、前記MCUの異常時に前記電気負荷を駆動する出力回路を制御する監視制御回路側出力回路制御部と、を有する監視制御回路と、
前記MCUに供給する電圧を生成するMCU用電圧生成部と、前記MCU用電圧生成部の故障を検出するMCU用電圧監視部と、を有するMCU用電源生成部と、
前記監視制御回路に供給する電圧を生成する監視制御回路用電圧生成部と、前記監視制御回路用電圧生成部の故障を検出する監視制御回路用電圧監視部と、を有する監視制御回路用電源生成部と、
外部から受診した入力信号を前記MCU又は前記監視制御回路に送信し、前記MCU側出力回路制御部又は前記監視制御回路側出力回路制御部から受信した制御信号を前記出力回路に送信するように構成されるとともに、前記出力回路の故障を検出する故障検出回路を有する入出力I/Fと、
前記MCU用電圧生成部の故障と、前記監視制御回路用電圧生成部の故障と、前記出力回路の故障と、のうちの少なくとも一つの故障に従属して影響を受ける構成要素と、前記影響の度合いと、に関してあらかじめ分析した結果を格納した従属故障分析結果格納部と、
を備え、
前記MCU異常情報処理部が前記MCUの異常状態を検出したとき、前記MCU初期化回路により前記MCUを初期化するとともに、前記監視制御回路側出力回路制御部により前記電気負荷を制御するように構成され、
前記MCU用電圧監視部と、前記監視制御回路用電圧監視部と、前記故障検出回路と、のうちの何れかが前記故障を検出したとき、その故障情報を前記監視制御回路に送信するように構成され、
前記監視制御回路は、受信した前記故障情報を前記MCUに対して、前記シリアル通信、又はバス通信、により送信するように構成され、
前記MCUは、受信した前記故障情報に基づいて前記従属故障分析結果格納部から前記分析の結果を読み出し、前記故障の影響を受ける構成要素の少なくとも一部の機能を制限するように構成されている、
ことを特徴とする。 The control device disclosed in the present application is
an MCU having an MCU-side output circuit control section that controls an output circuit that drives an electric load; and a failure information processing section;
An MCU abnormality information processing unit connected to the MCU via serial communication and detecting an abnormal state of the MCU, an MCU initialization circuit capable of initializing the MCU, and an output for driving the electrical load when the MCU is abnormal. a monitoring control circuit having a monitoring control circuit side output circuit control section for controlling the circuit;
an MCU power generation unit including an MCU voltage generation unit that generates a voltage to be supplied to the MCU; and an MCU voltage monitoring unit that detects a failure of the MCU voltage generation unit;
A supervisory control circuit power supply generator comprising: a supervisory control circuit voltage generator that generates a voltage to be supplied to the supervisory control circuit; and a supervisory control circuit voltage monitor that detects a failure of the supervisory control circuit voltage generator. Department and
An input signal received from the outside is transmitted to the MCU or the monitor control circuit, and a control signal received from the MCU side output circuit control section or the monitor control circuit side output circuit control section is transmitted to the output circuit. and an input/output I/F having a failure detection circuit that detects a failure of the output circuit;
a component affected by at least one of a failure of the MCU voltage generator, a failure of the supervisory control circuit voltage generator, and a failure of the output circuit; a dependent failure analysis result storage unit storing pre-analyzed results regarding the degree and
with
When the MCU abnormality information processing section detects an abnormal state of the MCU, the MCU initialization circuit initializes the MCU, and the monitor control circuit side output circuit control section controls the electric load. is,
When any one of the MCU voltage monitoring unit, the monitoring control circuit voltage monitoring unit, and the failure detection circuit detects the failure, the failure information is transmitted to the monitoring control circuit. configured,
The monitoring and control circuit is configured to transmit the received failure information to the MCU through the serial communication or bus communication,
The MCU is configured to read the result of the analysis from the dependent failure analysis result storage unit based on the received failure information, and to limit the functions of at least a part of the components affected by the failure. ,
It is characterized by

本願に開示される監視制御回路を有する制御装置によれば、MCUの必要ポートならびに処理負荷を削減しつつ、故障発生に対し迅速かつ最小限の影響で制御装置の損傷を防止して制御の信頼性の向上を実現する制御装置が得られる。 According to the control device having the monitoring control circuit disclosed in the present application, while reducing the number of ports required for the MCU and the processing load, damage to the control device can be prevented quickly and with minimal impact in the event of failure, thereby increasing the reliability of control. A control device that realizes an improvement in performance is obtained.

実施の形態1による制御装置およびその周辺回路を示す構成図である。1 is a configuration diagram showing a control device and its peripheral circuits according to Embodiment 1; FIG. 実施の形態1による制御装置における、故障検出回路の自己診断機能を示す構成図である。4 is a configuration diagram showing a self-diagnostic function of a failure detection circuit in the control device according to Embodiment 1; FIG. 実施の形態2による制御装置およびその周辺回路を示す構成図である。FIG. 7 is a configuration diagram showing a control device and its peripheral circuits according to Embodiment 2; 実施の形態3による制御装置およびその周辺回路を示す構成図である。FIG. 10 is a configuration diagram showing a control device and its peripheral circuits according to Embodiment 3; 実施の形態4による制御装置およびその周辺回路を示す構成図である。FIG. 12 is a configuration diagram showing a control device and its peripheral circuits according to Embodiment 4; 実施の形態5による制御装置およびその周辺回路を示す構成図である。FIG. 12 is a configuration diagram showing a control device and its peripheral circuits according to Embodiment 5;

以下、実施の形態1から5による制御装置について、図に基づいて説明する。各図に於いて、同一符号は同一又は相当部分を示す。また、図1、図3から図6において、細線で示す矢印は電源供給経路を示し、白抜きの太い矢印は制御信号送信経路又は入力信号送信経路を示し、斜線入りの太い矢印はシリアル通信経路を示し、黒塗りの太い矢印は故障情報送信経路を示し、縦線入りの太い矢印はシリアル通信経路又はバス経路を示している。 Hereinafter, control devices according to Embodiments 1 to 5 will be described with reference to the drawings. In each figure, the same reference numerals denote the same or corresponding parts. 1 and 3 to 6, thin arrows indicate power supply paths, thick white arrows indicate control signal transmission paths or input signal transmission paths, and thick hatched arrows indicate serial communication paths. , a thick black arrow indicates a failure information transmission path, and a thick arrow with a vertical line indicates a serial communication path or a bus path.

実施の形態1.
以下、実施の形態1による制御装置について、図に基づいて説明する。図1は、実施の形態1による制御装置およびその周辺回路を示す構成図である。図1において、車載電子制御装置として構成された制御装置5は、MCU14と、MCU用電源生成部10と、監視制御回路19と、監視制御回路用電源生成部6と、入出力I/F25と、を備えている。 Embodiment 1.
The control device according to Embodiment 1 will be described below with reference to the drawings. FIG. 1 is a block diagram showing a control device and its peripheral circuits according to Embodiment 1. FIG. In FIG. 1, the control device 5 configured as an in-vehicle electronic control device includes an MCU 14, an MCU power generation unit 10, a monitoring control circuit 19, a monitoring control circuit power generation unit 6, and an input/output I/F 25. , is equipped with

監視制御回路用電源生成部6は、監視制御回路用基準電源生成回路7と、監視制御回路用電圧生成部8と、監視制御回路用電圧監視部9と、により構成されている。監視制御回路用電圧生成部8は、外部電源1から電源の供給を受け、監視制御回路用基準電源生成回路7から入力される基準電圧に基づいてあらかじめ定められた電圧を生成し、その電圧を監視制御回路19と入出力I/F25に供給する。 The monitor control circuit power source generator 6 is composed of a monitor control circuit reference power source generator 7 , a monitor control circuit voltage generator 8 , and a monitor control circuit voltage monitor 9 . The monitor control circuit voltage generation unit 8 receives power from the external power supply 1, generates a predetermined voltage based on the reference voltage input from the monitor control circuit reference power supply generation circuit 7, and converts the voltage to It is supplied to the monitor control circuit 19 and the input/output I/F 25 .

MCU用電源生成部10は、MCU用基準電源生成回路11と、MCU用電圧生成部12と、MCU用電圧監視部13と、により構成されている。MCU用電源生成部10は、外部電源1から電源の供給を受け、MCU用基準電源生成回路11から入力される基準電圧に基づいてあらかじめ定められた電圧を生成し、その電圧をMCU14に供給する。 The MCU power supply generator 10 is configured by an MCU reference power supply generator 11 , an MCU voltage generator 12 , and an MCU voltage monitor 13 . The MCU power generation unit 10 receives power from the external power supply 1, generates a predetermined voltage based on the reference voltage input from the MCU reference power generation circuit 11, and supplies the voltage to the MCU 14. .

MCU14は、MCU用電圧生成部12から供給される電圧に基づいて動作するように構成され、MCU側シリアルI/F15と、外部に設けられている電気負荷群4を駆動する後述の出力回路を制御するMCU側出力回路制御部16と、故障情報処理部17と、従属故障分析結果格納部18と、を備えている。従属故障分析結果格納部18は、あらかじめ各故障に対する従属分析結果を格納している。MCU14と監視制御回路19とは、相互にシリアル通信、又は、バス通信、により接続されている。 The MCU 14 is configured to operate based on the voltage supplied from the MCU voltage generator 12, and includes an MCU-side serial I/F 15 and an output circuit (described later) for driving the electric load group 4 provided outside. It has an MCU-side output circuit control unit 16 for control, a failure information processing unit 17 and a dependent failure analysis result storage unit 18 . The dependent failure analysis result storage unit 18 stores the dependent analysis result for each failure in advance. The MCU 14 and the monitor control circuit 19 are connected to each other by serial communication or bus communication.

従属故障分析結果格納部18に格納されている従属分析結果は、故障により影響が及ぶ制御装置5の内部の構成要素とその影響の度合いなどを分析して特定したものであって、たとえば基準電源生成回路の故障に起因して全出力電圧の異常につながる共通原因故障、あるいは出力回路の故障に起因して制御装置5の破壊につながるカスケード故障などのように、故障の種類ごとに、その故障よる影響が及ぶ制御装置5の内部の構成要素とその影響の度合いなどを示すものである。 The dependent analysis result stored in the dependent failure analysis result storage unit 18 is specified by analyzing the internal components of the control device 5 that are affected by the failure and the degree of their influence. For each type of failure, such as a common cause failure that leads to an abnormality in the total output voltage due to a failure of the generation circuit, or a cascade failure that leads to the destruction of the control device 5 due to a failure of the output circuit. It shows the internal components of the control device 5 that are affected by the noise and the degree of the influence.

監視制御回路19は、監視制御回路用電圧生成部8から供給される電圧に基づいて動作するように構成され、クロック生成回路20と、MCU異常情報処理部21と、監視制御回路側出力回路制御部22と、監視制御回路側シリアルI/F23と、MCU初期化回路24と、を備えている。監視制御回路19とMCU14とは、監視制御回路側シリアルI/F23とMCU側シリアルI/F15とを介して、シリアル通信経路によりシリアル通信を行なうように構成されている。 The monitor control circuit 19 is configured to operate based on the voltage supplied from the monitor control circuit voltage generation unit 8, and includes a clock generation circuit 20, an MCU abnormality information processing unit 21, and a monitor control circuit side output circuit control circuit. A unit 22 , a monitoring control circuit side serial I/F 23 and an MCU initialization circuit 24 are provided. Monitoring control circuit 19 and MCU 14 are configured to perform serial communication through a serial communication path via monitoring control circuit side serial I/F 23 and MCU side serial I/F 15 .

監視制御回路19におけるMCU異常情報処理部21が、シリアル通信経路を介して送信されたMCU14からの情報に基づいてMCU14の異常を検知すると、MCU初期化回路24は、制御信号送信経路を介してMCU14に初期化信号を送信し、MCU14の初期化を行うとともに、入出力I/F25における後述の出力回路に制御信号送信経路を介して制御信号を送信し、一部もしくはすべての出力回路の制御を行う。 When the MCU abnormality information processing unit 21 in the monitor control circuit 19 detects abnormality of the MCU 14 based on the information from the MCU 14 transmitted through the serial communication path, the MCU initialization circuit 24 transmits the An initialization signal is transmitted to the MCU 14 to initialize the MCU 14, and a control signal is transmitted to the output circuit described later in the input/output I/F 25 via a control signal transmission path to control some or all of the output circuits. I do.

入出力I/F25は、入力回路としてのアナログ信号入力回路およびデジタル信号入力回路(何れも図示せず)と、出力回路としてのアナログ信号出力回路およびデジタル信号出力回路(何れも図示せず)と、故障検出回路26と、を有している。なお、出力回路としてのアナログ信号出力回路およびデジタル信号出力回路は、入出力I/F25以外の制御装置5の内部に設けられていてもよい。 The input/output I/F 25 includes an analog signal input circuit and a digital signal input circuit (both not shown) as input circuits, and an analog signal output circuit and a digital signal output circuit (both not shown) as output circuits. , and a fault detection circuit 26 . Note that the analog signal output circuit and the digital signal output circuit as output circuits may be provided inside the control device 5 other than the input/output I/F 25 .

入出力I/F25におけるアナログ信号入力回路は、制御装置5の外部に設けられた各種センサ群からなるアナログ入力群2からのアナログ信号が制御信号送信経路を介して入力され、この入力されたアナログ信号を、制御信号送信経路を介してMCU14に送信する。入出力I/F25におけるデジタル信号入力回路は、制御装置5の外部に設けられたスイッチの入力信号などのデジタル入力群3からのデジタル信号が入力され、この入力されたデジタル信号を、制御信号送信経路を介してMCU14に送信する。 An analog signal input circuit in the input/output I/F 25 receives an analog signal from an analog input group 2 composed of various sensors provided outside the control device 5 via a control signal transmission path, and outputs the input analog signal. A signal is sent to the MCU 14 via the control signal transmission path. A digital signal input circuit in the input/output I/F 25 receives a digital signal from the digital input group 3 such as an input signal of a switch provided outside the control device 5, and transmits the input digital signal as a control signal. Send to MCU 14 via path.

入出力I/F25における出力回路としてのアナログ信号出力回路およびデジタル信号出力回路は、MCU14におけるMCU側出力回路制御部16又は監視制御回路19における監視制御回路側出力回路制御部22により、制御信号送信経路を介して制御され、制御装置5の外部に設けられた第1の電気負荷群4aを駆動する駆動信号を出力し、第1の電気負荷群4aを駆動する。 The analog signal output circuit and the digital signal output circuit as output circuits in the input/output I/F 25 are controlled by the MCU side output circuit control unit 16 in the MCU 14 or the monitor control circuit side output circuit control unit 22 in the monitor control circuit 19, and the control signal is transmitted. It outputs a drive signal for driving the first electric load group 4a, which is controlled via the path and provided outside the control device 5, to drive the first electric load group 4a.

入出力I/F25における故障検出回路26は、出力回路としてのアナログ信号出力回路およびデジタル信号出力回路の端子状態をモニタリングしており、その出力回路の天絡、地絡、断線、などの故障の発生を検出し、その故障情報を故障情報送信経路261を介して監視制御回路19に送信する。また、故障検出回路26は、後述するように自己診断機能を備えている。 The failure detection circuit 26 in the input/output I/F 25 monitors the terminal states of the analog signal output circuit and the digital signal output circuit as output circuits, and detects failures such as power supply faults, ground faults, and disconnection of the output circuits. The occurrence is detected, and the failure information is transmitted to the monitor control circuit 19 via the failure information transmission path 261 . Further, the failure detection circuit 26 has a self-diagnostic function as will be described later.

監視制御回路側出力回路制御部22は、MCU14の故障時に、制御信号送信経路を介して入出力I/F25における出力回路を制御し、制御装置5の外部に設けられたリレーもしくはソレノイドなどからなる電気負荷群を駆動することができる。 The monitor control circuit side output circuit control unit 22 controls the output circuit in the input/output I/F 25 via the control signal transmission path when the MCU 14 fails, and is composed of a relay or solenoid provided outside the control device 5. It can drive electrical loads.

監視制御回路用電源生成部6における監視制御回路用電圧監視部9は、監視制御回路用基準電源生成回路7および監視制御回路用電圧生成部8の出力電圧をモニタリングしており、それぞれの出力電圧値を閾値と比較器により比較し、それらの出力電圧値があらかじめ定められた電圧範囲から外れた場合に、その故障情報を、故障情報送信経路91を介して監視制御回路19に送信する。 The monitor control circuit voltage monitor 9 in the monitor control circuit power supply generator 6 monitors the output voltages of the monitor control circuit reference power supply generator 7 and the monitor control circuit voltage generator 8. The value is compared with a threshold value by a comparator, and if the output voltage value deviates from a predetermined voltage range, the failure information is transmitted to the monitor control circuit 19 via the failure information transmission path 91 .

MCU用電源生成部10におけるMCU用電圧監視部13は、MCU用基準電源生成回路11およびMCU用電圧生成部12の出力電圧をモニタリングしており、それぞれの出力電圧値を閾値と比較器により比較し、それらの出力電圧値があらかじめ定められた電圧範囲から外れた場合に、その故障情報を、故障情報送信経路131を介して監視制御回路19に送信する。 The MCU voltage monitoring unit 13 in the MCU power supply generation unit 10 monitors the output voltages of the MCU reference power supply generation circuit 11 and the MCU voltage generation unit 12, and compares the respective output voltage values with a threshold using a comparator. However, when their output voltage values deviate from a predetermined voltage range, the failure information is transmitted to the monitor control circuit 19 via the failure information transmission path 131 .

監視制御回路19は、あらかじめ定められた周期でMCU14に送信されるシリアル通信に前述の故障情報を含めることで、MCU14に制御装置5の内部の故障を知らせる。なお、このとき、入出力I/F25からMCU14に直接故障情報が送信されるようにしても良い。 The monitor control circuit 19 notifies the MCU 14 of the internal failure of the control device 5 by including the failure information in the serial communication sent to the MCU 14 at predetermined intervals. At this time, the failure information may be transmitted directly from the input/output I/F 25 to the MCU 14 .

MCU14には、前述のように、あらかじめ各故障に対する従属分析結果を格納した従属故障分析結果格納部18が設けられており、受信した故障情報をもとに、その故障により影響を受ける制御装置5の回路などの構成要素の一部、もしくは回路などの構成要素のすべて、に動作などの制限もしくは抑制を行うことで、制御装置5の信頼性を向上させ、制御システムに対する影響を抑制する。この場合、制御装置5の外部に設けられた外部制御装置27にシリアル通信またはバスを介して、前述の故障情報を送信するようにしてもよい。 As described above, the MCU 14 is provided with the dependent failure analysis result storage unit 18 that stores the dependent analysis result for each failure in advance. The reliability of the control device 5 is improved and the influence on the control system is suppressed by restricting or suppressing the operation of some of the components such as the circuits, or all of the components such as the circuits. In this case, the aforementioned failure information may be transmitted to an external control device 27 provided outside the control device 5 via serial communication or a bus.

図2は、実施の形態1による制御装置における、故障検出回路の自己診断機能を示す構成図であって、図1における故障検出回路26の自己診断機能を示している。図2において、通常時は、入出力I/F25における故障検出回路26は、出力回路の端子状態200をモニタリングしており、出力回路の端子状態200を、マルチプレクサ28を介して比較器29に入力して判定値31と比較する。判定器30は、比較器29の出力に基づいて、出力回路に天絡、地絡、断線、などの故障が発生しているか否かを判定し、出力回路に天絡、地絡、断線、などの故障が発生していると判定したときは、後述するように、その事故情報を、故障情報送信経路261を介して監視制御回路19に送信する。監視制御回路19は、シリアル通信経路を介してその故障情報をMCU14に送信する。故障検出回路26は、たとえば制御装置5の起動時に、自己診断機能により自己診断されるように構成されている。 FIG. 2 is a block diagram showing the self-diagnosis function of the fault detection circuit in the control device according to the first embodiment, and shows the self-diagnosis function of the fault detection circuit 26 in FIG. In FIG. 2, normally, the failure detection circuit 26 in the input/output I/F 25 monitors the terminal state 200 of the output circuit, and inputs the terminal state 200 of the output circuit to the comparator 29 via the multiplexer 28. Then, it is compared with the judgment value 31. Based on the output of the comparator 29, the determiner 30 determines whether or not a failure such as a power fault, ground fault, disconnection, or the like has occurred in the output circuit. When it is determined that such a failure has occurred, the accident information is transmitted to the monitor and control circuit 19 via the failure information transmission path 261, as will be described later. The monitor control circuit 19 transmits the failure information to the MCU 14 via the serial communication path. The failure detection circuit 26 is configured to perform self-diagnosis by a self-diagnosis function, for example, when the control device 5 is activated.

故障検出回路26の自己診断を行なうときは、MCU14は、監視制御回路19の診断制御出力32に、あらかじめ定められた信号を送ることで、あえて出力回路の端子異常状態をマルチプレクサ28に入力する。このとき、マルチプレクサ28は、診断制御出力32からの信号を比較器29に送る。比較器29は、診断制御出力32と判定値31とを比較し、その比較結果を判定器30に送る。判定器30は、故障情報を確定させたのち、監視制御回路19を介してMCU14に故障情報を送信する。MCU14は、診断制御出力32と判定器30からの故障情報の結果とに基づいて、故障検出回路26自身が故障しているか否かを判断する。 When self-diagnosing the failure detection circuit 26, the MCU 14 sends a predetermined signal to the diagnosis control output 32 of the monitor control circuit 19, thereby intentionally inputting the terminal abnormal state of the output circuit to the multiplexer 28. At this time, multiplexer 28 sends the signal from diagnostic control output 32 to comparator 29 . Comparator 29 compares diagnostic control output 32 with decision value 31 and sends the comparison result to decider 30 . After confirming the failure information, the determiner 30 transmits the failure information to the MCU 14 via the monitoring control circuit 19 . Based on the diagnosis control output 32 and the result of the failure information from the determiner 30, the MCU 14 determines whether the failure detection circuit 26 itself has failed.

つぎに、以上のように構成された実施の形態1による制御装置の動作について説明する。図1において、制御装置5の外部に設けられたアナログ入力群2からのアナログ信号は、入出力I/F25におけるアナログ信号入力回路を経由してMCU14に入力される。また、制御装置5の外部に設けられたデジタル入力群3からのデジタル信号は、入出力I/Fにおけるデジタル信号入力回路を経由してMCU14に入力される。MCU14は、入力された前述のアナログ信号とデジタル信号に基づいて、MCU側出力回路制御部16により入出力I/F25における出力回路を制御し、電気負荷群4を駆動する。 Next, the operation of the control device according to Embodiment 1 configured as described above will be described. In FIG. 1 , analog signals from analog input group 2 provided outside control device 5 are input to MCU 14 via an analog signal input circuit in input/output I/F 25 . A digital signal from a digital input group 3 provided outside the control device 5 is input to the MCU 14 via a digital signal input circuit in the input/output I/F. The MCU 14 drives the electric load group 4 by controlling the output circuit in the input/output I/F 25 by the MCU side output circuit control unit 16 based on the analog signal and the digital signal that have been input.

監視制御回路19は、MCU異常情報処理部21により常にMCU14の動作状態を監視しており、MCU14の動作状態の異常を検知したとき、MCU初期化回路24によりMCU14の初期化を行うとともに、監視制御回路側出力回路制御部22により一部もしくはすべての出力回路の制御を行ない、電気負荷群4の駆動を行なう。 The monitor control circuit 19 constantly monitors the operating state of the MCU 14 by means of the MCU abnormality information processing section 21, and when an abnormality in the operating state of the MCU 14 is detected, the MCU initialization circuit 24 initializes the MCU 14 and monitors the MCU 14. A part or all of the output circuits are controlled by the control circuit side output circuit control section 22 to drive the electric load group 4 .

前述のように、監視制御回路用電源生成部6における監視制御回路用電圧監視部9は、監視制御回路用基準電源生成回路7および監視制御回路用電圧生成部8の出力電圧を常にモニタリングしており、それぞれの出力電圧値を閾値と比較器により比較し、それらの出力電圧値があらかじめ定められた電圧範囲から外れた場合に、その故障情報を、故障情報送信経路91を介して監視制御回路19に送信する。 As described above, the monitor control circuit voltage monitor 9 in the monitor control circuit power supply generator 6 constantly monitors the output voltages of the monitor control circuit reference power supply generator 7 and the monitor control circuit voltage generator 8 . Each output voltage value is compared with a threshold value by a comparator, and if the output voltage value deviates from a predetermined voltage range, the failure information is sent to the monitor and control circuit via the failure information transmission path 91. 19.

また、MCU用電源生成部10におけるMCU用電圧監視部13は、MCU用基準電源生成回路11およびMCU用電圧生成部12の出力電圧を常にモニタリングしており、それぞれの出力電圧値を閾値と比較器により比較し、それらの出力電圧値があらかじめ定められた電圧範囲から外れた場合に、その故障情報を故障情報送信経路131を介して監視制御回路19に送信する。 In addition, the MCU voltage monitoring unit 13 in the MCU power supply generation unit 10 constantly monitors the output voltages of the MCU reference power supply generation circuit 11 and the MCU voltage generation unit 12, and compares the respective output voltage values with the threshold values. When these output voltage values deviate from a predetermined voltage range, the failure information is transmitted to the monitor control circuit 19 via the failure information transmission path 131 .

さらに、入出力I/F25における故障検出回路26が出力回路に天絡、地絡、断線、などの故障が発生したことを検出したとき、その故障情報を故障情報送信経路261を介して監視制御回路19に送信する。 Furthermore, when the failure detection circuit 26 in the input/output I/F 25 detects that a failure such as a power fault, ground fault, disconnection, etc. has occurred in the output circuit, the failure information is monitored and controlled via the failure information transmission path 261. Send to circuit 19 .

監視制御回路19は、シリアル通信経路、又は、バス通信経路、を介して、あらかじめ定められた周期でMCU14に送信されるシリアル通信に、MCU異常情報処理部21、又は監視制御回路用電源生成部6、又はMCU用電源生成部10、又は入出力I/F25、から受信した故障情報を含めることで、制御装置5の内部の故障をMCU14に送信する。 The supervisory control circuit 19 receives serial communication transmitted to the MCU 14 at predetermined intervals via the serial communication path or the bus communication path, and sends it to the MCU anomaly information processing unit 21 or the supervisory control circuit power supply generation unit. 6, or by including the failure information received from the MCU power generation unit 10 or the input/output I/F 25, the internal failure of the control device 5 is transmitted to the MCU 14.

監視制御回路19から故障情報の送信を受けたMCU14は、シリアル通信により故障情報を受信するときは、あらかじめ定められた回数以上、故障情報を受信したときに前記故障情報を確定させ、バス通信より前記故障情報を受信するときは、あらかじめ定められた時間以上、連続して前記故障情報を受信したときに前記故障情報を確定させるように構成されている。MCU14は、確定した故障情報をもとに、従属故障分析結果格納部18からその故障により影響を受ける制御装置5の内部の回路などの構成要素の一部もしくはすべてを抽出し、その抽出した制御装置5の内部の構成要素の一部もしくはすべての動作を停止又は動作の制限もしくは抑制を行なう。これにより制御装置5の信頼性を向上させ、制御システムに対する故障の影響を抑制する。この場合、制御装置5の外部に設けられた外部制御装置27に、シリアル通信経路又はバス経路271を介して、前述の故障情報を送信するようにしてもよい。 When the MCU 14 receives the failure information from the monitoring control circuit 19, the MCU 14 receives the failure information a predetermined number of times or more. When receiving the failure information, the failure information is determined when the failure information is continuously received for a predetermined time or longer. Based on the determined failure information, the MCU 14 extracts from the dependent failure analysis result storage unit 18 some or all of the components such as the internal circuits of the control device 5 that are affected by the failure, and controls the extracted components. The operation of some or all of the components inside the device 5 is stopped, or the operation is restricted or suppressed. This improves the reliability of the control device 5 and suppresses the influence of the failure on the control system. In this case, the aforementioned failure information may be transmitted to the external control device 27 provided outside the control device 5 via the serial communication path or bus path 271 .

以上述べた実施の形態1による制御装置によれば、制御装置の内部の各故障、たとえば基準電源の故障から全出力電圧異常につながる共通原因故障、あるいは出力回路の故障から制御装置の破壊につながるカスケード故障について、あらかじめ従属故障分析結果が格納されていることにより、故障情報受信後ただちに制御にフィードバックを行うことができ、一部またはすべての機能を制限もしくは抑制することにより制御装置の信頼性を向上させることが可能となる。また、すべての故障情報を監視制御回路が受信し、シリアル通信でMCUに送信することで、MCUのピン数の削減、処理負荷を軽減することが可能となる。 According to the control device according to the first embodiment described above, each failure inside the control device, for example, a common cause failure that leads to an abnormality in the total output voltage due to a failure in the reference power supply, or a failure in the output circuit that leads to destruction of the control device. With respect to cascade failures, by storing dependent failure analysis results in advance, it is possible to provide feedback to the control immediately after receiving failure information. can be improved. In addition, by having the monitor and control circuit receive all the failure information and transmit it to the MCU through serial communication, it is possible to reduce the number of pins of the MCU and reduce the processing load.

実施の形態2.
図3は、実施の形態2による制御装置およびその周辺回路を示す構成図である。以下、実施の形態1による制御装置との相違点を中心に説明する。図3に示す実施の形態2による制御装置5は、第1の入出力I/F25aと、第2の入出力I/F25bと、を備えている。 Embodiment 2.
FIG. 3 is a configuration diagram showing a control device and its peripheral circuits according to a second embodiment. In the following, differences from the control device according to Embodiment 1 will be mainly described. The control device 5 according to the second embodiment shown in FIG. 3 includes a first input/output I/F 25a and a second input/output I/F 25b.

第1の入出力I/F25aは、第1の入力回路としての第1のアナログ信号入力回路および第1のデジタル信号入力回路(何れも図示せず)と、第1の出力回路としての第1のアナログ信号出力回路および第1のデジタル信号出力回路(何れも図示せず)と、第1の故障検出回路26aと、を有している。なお、第1の出力回路としての第1のアナログ信号出力回路および第1のデジタル信号出力回路は、第1の入出力I/F25a以外の制御装置5の内部に設けられていてもよい。 The first input/output I/F 25a includes a first analog signal input circuit and a first digital signal input circuit (both not shown) as a first input circuit, and a first analog signal input circuit as a first output circuit. analog signal output circuit, a first digital signal output circuit (neither is shown), and a first failure detection circuit 26a. The first analog signal output circuit and the first digital signal output circuit as the first output circuit may be provided inside the control device 5 other than the first input/output I/F 25a.

第1の入出力I/F25aにおける第1のアナログ信号入力回路は、制御装置5の外部に設けられた各種センサ群からなる第1のアナログ入力群2aからのアナログ信号が制御信号送信経路を介して入力され、この入力されたアナログ信号を、制御信号送信経路を介してMCU14に送信する。第1の入出力I/F25aにおける第1のデジタル信号入力回路は、制御装置5の外部に設けられたスイッチの入力信号などの第1のデジタル入力群3aからのデジタル信号が入力され、この入力されたデジタル信号を、制御信号送信経路を介してMCU14に送信する。 The first analog signal input circuit in the first input/output I/F 25a receives analog signals from the first analog input group 2a consisting of various sensor groups provided outside the control device 5 via the control signal transmission path. The input analog signal is transmitted to the MCU 14 via the control signal transmission path. A first digital signal input circuit in the first input/output I/F 25a receives a digital signal from the first digital input group 3a such as an input signal of a switch provided outside the control device 5, and this input The resulting digital signal is transmitted to the MCU 14 via the control signal transmission path.

第1の入出力I/F25aにおける第1の出力回路としての第1のアナログ信号出力回路および第1のデジタル信号出力回路は、MCU14におけるMCU側出力回路制御部16又は監視制御回路19における監視制御回路側出力回路制御部22により、制御信号送信経路を介して制御され、制御装置5の外部に設けられた第1の電気負荷群4aを駆動する駆動信号を出力する。 The first analog signal output circuit and the first digital signal output circuit as the first output circuit in the first input/output I/F 25a are controlled by the MCU side output circuit control unit 16 or the monitor control circuit 19 in the MCU 14. It is controlled by the circuit-side output circuit control unit 22 via the control signal transmission path, and outputs a drive signal for driving the first electric load group 4 a provided outside the control device 5 .

第1の入出力I/F25aにおける第1の故障検出回路26aは、第1の出力回路としての第1のアナログ信号出力回路および第1のデジタル信号出力回路の端子状態をモニタリングしており、その第1の出力回路の天絡、地絡、断線、などの故障の発生を検出し、その故障情報を第1の故障情報送信経路261aを介して監視制御回路19に送信する。また、第1の故障検出回路26aは、実施の形態1における故障検出回路26と同様の自己診断機能を備えている。 The first failure detection circuit 26a in the first input/output I/F 25a monitors the terminal states of the first analog signal output circuit and the first digital signal output circuit as the first output circuit. It detects the occurrence of failures such as power supply faults, ground faults, disconnections, etc. of the first output circuit, and transmits the failure information to the monitor control circuit 19 via the first failure information transmission path 261a. Further, the first failure detection circuit 26a has the same self-diagnosis function as the failure detection circuit 26 in the first embodiment.

第2の入出力I/F25bは、第2の入力回路としての第2のアナログ信号入力回路および第2のデジタル信号入力回路(何れも図示せず)と、第2の出力回路としての第2のアナログ信号出力回路および第2のデジタル信号出力回路(何れも図示せず)と、第2の故障検出回路26bと、を有している。なお、第2の出力回路としての第2のアナログ信号出力回路および第2のデジタル信号出力回路は、第2の入出力I/F25b以外の制御装置5の内部に設けられていてもよい。 The second input/output I/F 25b includes a second analog signal input circuit and a second digital signal input circuit (both not shown) as a second input circuit, and a second analog signal input circuit as a second output circuit. analog signal output circuit, a second digital signal output circuit (both not shown), and a second failure detection circuit 26b. The second analog signal output circuit and the second digital signal output circuit as the second output circuit may be provided inside the control device 5 other than the second input/output I/F 25b.

第2の入出力I/F25bにおける第2のアナログ信号入力回路は、制御装置5の外部に設けられた各種センサ群からなる第2のアナログ入力群2bからのアナログ信号が制御信号送信経路を介して入力され、この入力されたアナログ信号を、制御信号送信経路を介して監視制御回路19に送信する。第2の入出力I/F25bにおける第2のデジタル信号入力回路は、制御装置5の外部に設けられたスイッチの入力信号などの第2のデジタル入力群3bからのデジタル信号が入力され、この入力されたデジタル信号を、制御信号送信経路を介して監視制御回路19に送信する。 The second analog signal input circuit in the second input/output I/F 25b receives analog signals from the second analog input group 2b consisting of various sensor groups provided outside the control device 5 via the control signal transmission path. The input analog signal is transmitted to the monitor control circuit 19 via the control signal transmission path. A second digital signal input circuit in the second input/output I/F 25b receives a digital signal from the second digital input group 3b such as an input signal of a switch provided outside the control device 5, and this input The resulting digital signal is transmitted to the monitor control circuit 19 via the control signal transmission path.

第2の入出力I/F25bにおける第2の出力回路としての第2のアナログ信号出力回路および第2のデジタル信号出力回路は、監視制御回路19における監視制御回路側出力回路制御部22又はMCU14におけるMCU側出力回路制御部16により、制御信号送信経路を介して制御され、制御装置5の外部に設けられた第2の電気負荷群4bを駆動する駆動信号を出力し、第2の電気負荷群4bを駆動する。
する。 A second analog signal output circuit and a second digital signal output circuit as second output circuits in the second input/output I/F 25b are provided in the monitor control circuit side output circuit control section 22 in the monitor control circuit 19 or in the MCU 14 It is controlled by the MCU-side output circuit control unit 16 via the control signal transmission path, outputs a drive signal for driving the second electric load group 4b provided outside the control device 5, and outputs the second electric load group 4b. 4b.
do.

第2の入出力I/F25bにおける第2の故障検出回路26bは、第2の出力回路としての第2のアナログ信号出力回路および第2のデジタル信号出力回路の端子状態をモニタリングしており、その第2の出力回路の天絡、地絡、断線、などの故障の発生を検出し、その故障情報を第2の故障情報送信経路261bを介して監視制御回路19に送信する。また、第1の故障検出回路26aは、実施の形態1における故障検出回路26と同様の自己診断機能を備えている。 The second failure detection circuit 26b in the second input/output I/F 25b monitors the terminal states of the second analog signal output circuit and the second digital signal output circuit as the second output circuit. It detects the occurrence of a fault such as a power supply fault, ground fault, disconnection, etc. of the second output circuit, and transmits the fault information to the monitor control circuit 19 via the second fault information transmission path 261b. Further, the first failure detection circuit 26a has the same self-diagnosis function as the failure detection circuit 26 in the first embodiment.

以上のように構成された実施の形態2による制御装置の動作について説明する。監視制御回路用電源生成部6における監視制御回路用電圧監視部9は、監視制御回路用基準電源生成回路7および監視制御回路用電圧生成部8の出力電圧を常にモニタリングしており、それぞれの出力電圧値を閾値と比較器により比較し、それらの出力電圧値があらかじめ定められた電圧範囲から外れた場合に、その故障情報を、故障情報送信経路91を介して監視制御回路19に送信する。 The operation of the control device according to Embodiment 2 configured as described above will be described. The monitor control circuit voltage monitor 9 in the monitor control circuit power supply generator 6 constantly monitors the output voltages of the monitor control circuit reference power supply generator 7 and the monitor control circuit voltage generator 8. The voltage value is compared with a threshold value by a comparator, and if the output voltage value deviates from a predetermined voltage range, the failure information is transmitted to the monitor control circuit 19 via the failure information transmission path 91 .

また、MCU用電源生成部10におけるMCU用電圧監視部13は、MCU用基準電源生成回路11およびMCU用電圧生成部12の出力電圧を常にモニタリングしており、それぞれの出力電圧値を閾値と比較器により比較し、それらの出力電圧値があらかじめ定められた電圧範囲から外れた場合に、その故障情報を故障情報送信経路131を介して監視制御回路19に送信する。 In addition, the MCU voltage monitoring unit 13 in the MCU power supply generation unit 10 constantly monitors the output voltages of the MCU reference power supply generation circuit 11 and the MCU voltage generation unit 12, and compares the respective output voltage values with the threshold values. When these output voltage values deviate from a predetermined voltage range, the failure information is transmitted to the monitor control circuit 19 via the failure information transmission path 131 .

さらに、第1の入出力I/F25aにおける第1の故障検出回路26aが第1の出力回路に天絡、地絡、断線、などの故障が発生したことを検出したとき、その故障情報を第1の故障情報送信経路261aを介して監視制御回路19に送信する。 Furthermore, when the first failure detection circuit 26a in the first input/output I/F 25a detects that a failure such as a power supply fault, ground fault, disconnection, or the like has occurred in the first output circuit, the failure information is sent to the first output circuit. 1 to the monitor control circuit 19 via the failure information transmission path 261a.

また、第2の入出力I/F25bにおける第2の故障検出回路26bが第2の出力回路に天絡、地絡、断線、などの故障が発生したことを検出したとき、その故障情報を第2の故障情報送信経路261bを介して監視制御回路19に送信する。 Further, when the second failure detection circuit 26b in the second input/output I/F 25b detects that a failure such as a power fault, ground fault, disconnection, or the like has occurred in the second output circuit, the failure information is sent to the second output circuit. 2 to the monitor control circuit 19 via the failure information transmission path 261b.

監視制御回路19は、シリアル通信経路を介して、あらかじめ定められた周期でMCU14に送信されるシリアル通信に、MCU異常情報処理部21、又は監視制御回路用電源生成部6、又はMCU用電源生成部10、又は第1の入出力I/F25a、又は第2の入出力I/F25b、から受信した故障情報を含めることで、制御装置5の内部の故障をMCU14に送信する。 The supervisory control circuit 19 receives the serial communication transmitted to the MCU 14 at a predetermined cycle via the serial communication path from the MCU abnormality information processing unit 21, the supervisory control circuit power supply generation unit 6, or the MCU power supply generation unit. By including the failure information received from the unit 10, the first input/output I/F 25a, or the second input/output I/F 25b, the failure inside the control device 5 is transmitted to the MCU .

監視制御回路19から故障情報の送信を受けたMCU14は、受信した故障情報をもとに、従属故障分析結果格納部18からその故障により影響を受ける制御装置5の内部の回路などの構成要素の一部もしくはすべてを抽出し、その抽出した制御装置5の内部の構成要素の一部もしくはすべての動作を停止又は動作の制限もしくは抑制を行なう。これにより制御装置5の信頼性を向上させ、制御システムに対する故障の影響を抑制する。この場合、制御装置5の外部に設けられた外部制御装置27に、シリアル通信経路又はバス経路271を介して、前述の故障情報を送信するようにしてもよい。 The MCU 14, which has received the failure information transmitted from the monitoring control circuit 19, determines from the dependent failure analysis result storage unit 18, based on the received failure information, the components such as the internal circuits of the control device 5 that are affected by the failure. A part or all of them are extracted, and some or all of the extracted internal components of the control device 5 are stopped or restricted or suppressed. This improves the reliability of the control device 5 and suppresses the influence of the failure on the control system. In this case, the aforementioned failure information may be transmitted to the external control device 27 provided outside the control device 5 via the serial communication path or bus path 271 .

その他の構成及び動作は、実施の形態1における制御装置と同様である。 Other configurations and operations are the same as those of the control device in the first embodiment.

以上述べた実施の形態2による制御装置によれば、実施の形態1による制御装置と同様に、制御装置の内部の各故障、たとえば基準電源の故障から全出力電圧異常につながる共通原因故障、あるいは出力回路の故障から制御装置の破壊につながるカスケード故障について、あらかじめ従属故障分析結果が格納されていることにより、故障情報受信後ただちに制御にフィードバックを行うことができ、一部またはすべての機能を制限もしくは抑制することにより制御装置の信頼性を向上させることが可能となる。また、すべての故障情報を監視制御回路が受信し、シリアル通信でMCUに送信することで、MCUのピン数の削減、処理負荷を軽減することが可能となる。 According to the control device according to the second embodiment described above, similarly to the control device according to the first embodiment, each failure inside the control device, for example, a common cause failure that leads to an abnormality in the total output voltage from a failure of the reference power supply, or Pre-stored dependent failure analysis results for cascading failures that lead to destruction of the control device due to failures in the output circuit, enabling immediate feedback to the control after receiving the failure information, limiting some or all of the functions. Alternatively, by suppressing it, it becomes possible to improve the reliability of the control device. In addition, by having the monitor and control circuit receive all the failure information and transmit it to the MCU through serial communication, it is possible to reduce the number of pins of the MCU and reduce the processing load.

さらに、MCUのI/O端子を増加させることなく入出力回路を増やすことができ、同一のMCUのまま外部接続回路を増やすことが可能、又は信号用ピンの少ないMCUを採用することで、安価に制御装置を構成することが可能となる。 Furthermore, it is possible to increase the number of input/output circuits without increasing the number of I/O terminals of the MCU, and it is possible to increase the number of external connection circuits while maintaining the same MCU. It is possible to configure the control device in

実施の形態3.
つぎに、実施の形態3による制御装置について説明する。図4は、実施の形態3による制御装置およびその周辺回路を示す構成図である。図4に示す実施の形態3による制御装置5では、MCU14は、入出力I/Fを介して外部のアナログ入力群、デジタル入力群、および電気負荷群とは接続されておらず、制御装置5は、監視制御回路19に接続された入出力I/F25を介してのみ外部のアナログ入力群2、デジタル入力群3、および電気負荷群4と接続されている。その他の構成及び動作は、実施の形態2における制御装置と同様である。 Embodiment 3.
Next, a control device according to Embodiment 3 will be described. FIG. 4 is a configuration diagram showing a control device and its peripheral circuits according to a third embodiment. In the control device 5 according to Embodiment 3 shown in FIG. are connected to external analog input group 2 , digital input group 3 , and electric load group 4 only through input/output I/F 25 connected to monitor control circuit 19 . Other configurations and operations are the same as those of the control device in the second embodiment.

図4において、入出力I/F25は、入力回路としてのアナログ信号入力回路およびデジタル信号入力回路(何れも図示せず)と、出力回路としてのアナログ信号出力回路およびデジタル信号出力回路(何れも図示せず)と、故障検出回路26と、を有している。なお、出力回路としてのアナログ信号出力回路およびデジタル信号出力回路は、入出力I/F25以外の制御装置5の内部に設けられていてもよい。 4, the input/output I/F 25 includes an analog signal input circuit and a digital signal input circuit (both not shown) as input circuits, and an analog signal output circuit and a digital signal output circuit (both shown) as output circuits. not shown) and a failure detection circuit 26 . Note that the analog signal output circuit and the digital signal output circuit as output circuits may be provided inside the control device 5 other than the input/output I/F 25 .

入出力I/F25におけるアナログ信号入力回路は、制御装置5の外部に設けられた各種センサ群からなるアナログ入力群2からのアナログ信号が制御信号送信経路を介して入力され、この入力されたアナログ信号を、制御信号送信経路を介して監視制御回路19に送信する。入出力I/F25におけるデジタル信号入力回路は、制御装置5の外部に設けられたスイッチの入力信号などのデジタル入力群3からのデジタル信号が入力され、この入力されたデジタル信号を、制御信号送信経路を介して監視制御回路19に送信する。 An analog signal input circuit in the input/output I/F 25 receives an analog signal from an analog input group 2 composed of various sensors provided outside the control device 5 via a control signal transmission path, and outputs the input analog signal. A signal is sent to the supervisory control circuit 19 via the control signal transmission path. A digital signal input circuit in the input/output I/F 25 receives a digital signal from the digital input group 3 such as an input signal of a switch provided outside the control device 5, and transmits the input digital signal as a control signal. It is transmitted to the monitor control circuit 19 via the path.

入出力I/F25における出力回路としてのアナログ信号出力回路およびデジタル信号出力回路は、監視制御回路19における監視制御回路側出力回路制御部22又はMCU14におけるMCU側出力回路制御部16により、制御信号送信経路を介して制御され、制御装置5の外部に設けられた電気負荷群4を駆動する駆動信号を出力し、電気負荷群4を駆動する。
する。 The analog signal output circuit and the digital signal output circuit as output circuits in the input/output I/F 25 are controlled by the monitor control circuit side output circuit control section 22 in the monitor control circuit 19 or the MCU side output circuit control section 16 in the MCU 14, and control signal transmission is performed. It outputs a drive signal for driving the electric load group 4 which is controlled via the path and provided outside the control device 5 to drive the electric load group 4 .
do.

入出力I/F25における故障検出回路26は、出力回路としてのアナログ信号出力回路およびデジタル信号出力回路の端子状態をモニタリングしており、その出力回路の天絡、地絡、断線、などの故障の発生を検出し、その故障情報を故障情報送信経路261を介して監視制御回路19に送信する。また、故障検出回路26は、実施の形態1における故障検出回路26と同様の自己診断機能を備えている。 The failure detection circuit 26 in the input/output I/F 25 monitors the terminal states of the analog signal output circuit and the digital signal output circuit as output circuits, and detects failures such as power supply faults, ground faults, and disconnection of the output circuits. The occurrence is detected, and the failure information is transmitted to the monitor control circuit 19 via the failure information transmission path 261 . Further, the failure detection circuit 26 has the same self-diagnosis function as the failure detection circuit 26 in the first embodiment.

以上のように構成された実施の形態3による制御装置の動作について説明する。監視制御回路用電源生成部6における監視制御回路用電圧監視部9は、監視制御回路用基準電源生成回路7および監視制御回路用電圧生成部8の出力電圧を常にモニタリングしており、それぞれの出力電圧値を閾値と比較器により比較し、それらの出力電圧値があらかじめ定められた電圧範囲から外れた場合に、その故障情報を、故障情報送信経路91を介して監視制御回路19に送信する。 The operation of the control device according to Embodiment 3 configured as described above will be described. The monitor control circuit voltage monitor 9 in the monitor control circuit power supply generator 6 constantly monitors the output voltages of the monitor control circuit reference power supply generator 7 and the monitor control circuit voltage generator 8. The voltage value is compared with a threshold value by a comparator, and if the output voltage value deviates from a predetermined voltage range, the failure information is transmitted to the monitor control circuit 19 via the failure information transmission path 91 .

また、MCU用電源生成部10におけるMCU用電圧監視部13は、MCU用基準電源生成回路11およびMCU用電圧生成部12の出力電圧を常にモニタリングしており、それぞれの出力電圧値を閾値と比較器により比較し、それらの出力電圧値があらかじめ定められた電圧範囲から外れた場合に、その故障情報を故障情報送信経路131を介して監視制御回路19に送信する。 In addition, the MCU voltage monitoring unit 13 in the MCU power supply generation unit 10 constantly monitors the output voltages of the MCU reference power supply generation circuit 11 and the MCU voltage generation unit 12, and compares the respective output voltage values with the threshold values. When these output voltage values deviate from a predetermined voltage range, the failure information is transmitted to the monitor control circuit 19 via the failure information transmission path 131 .

さらに、入出力I/F25における故障検出回路26が出力回路に天絡、地絡、断線、などの故障が発生したことを検出したとき、その故障情報を故障情報送信経路261を介して監視制御回路19に送信する。 Furthermore, when the failure detection circuit 26 in the input/output I/F 25 detects that a failure such as a power fault, ground fault, disconnection, etc. has occurred in the output circuit, the failure information is monitored and controlled via the failure information transmission path 261. Send to circuit 19 .

監視制御回路19は、シリアル通信経路を介して、あらかじめ定められた周期でMCU14に送信されるシリアル通信に、MCU異常情報処理部21、又は監視制御回路用電源生成部6、又はMCU用電源生成部10、又は入出力I/F25、から受信した故障情報を含めることで、制御装置5の内部の故障をMCU14に送信する。 The supervisory control circuit 19 receives the serial communication transmitted to the MCU 14 at a predetermined cycle via the serial communication path from the MCU abnormality information processing unit 21, the supervisory control circuit power supply generation unit 6, or the MCU power supply generation unit. By including the failure information received from the unit 10 or the input/output I/F 25 , the failure inside the control device 5 is transmitted to the MCU 14 .

監視制御回路19から故障情報の送信を受けたMCU14は、受信した故障情報をもとに、従属故障分析結果格納部18からその故障により影響を受ける制御装置5の内部の回路などの構成要素の一部もしくはすべてを抽出し、その抽出した制御装置5の内部の構成要素の一部もしくはすべての動作を停止又は動作の制限もしくは抑制を行なう。これにより制御装置5の信頼性を向上させ、制御システムに対する故障の影響を抑制する。この場合、制御装置5の外部に設けられた外部制御装置27に、シリアル通信経路又はバス経路271を介して、前述の故障情報を送信するようにしてもよい。 The MCU 14, which has received the failure information transmitted from the monitoring control circuit 19, determines from the dependent failure analysis result storage unit 18, based on the received failure information, the components such as the internal circuits of the control device 5 that are affected by the failure. A part or all of them are extracted, and some or all of the extracted internal components of the control device 5 are stopped or restricted or suppressed. This improves the reliability of the control device 5 and suppresses the influence of the failure on the control system. In this case, the aforementioned failure information may be transmitted to the external control device 27 provided outside the control device 5 via the serial communication path or bus path 271 .

以上述べた実施の形態3による制御装置によれば、実施の形態1および2による制御装置と同様に、制御装置の内部の各故障、たとえば基準電源の故障から全出力電圧異常につながる共通原因故障、あるいは出力回路の故障から制御装置の破壊につながるカスケード故障について、あらかじめ従属故障分析結果が格納されていることにより、故障情報受信後ただちに制御にフィードバックを行うことができ、一部またはすべての機能を制限もしくは抑制することにより制御装置の信頼性を向上させることが可能となる。また、より少ないI/O端子で安価なMCUを使用することが可能となる。 According to the control device according to the third embodiment described above, similarly to the control devices according to the first and second embodiments, each failure inside the control device, for example, a common cause failure that leads to all output voltage abnormalities due to failure of the reference power supply Or, for cascade failures that lead to destruction of the control device due to failures in the output circuit, the dependent failure analysis results are stored in advance, so that feedback can be given to the control immediately after receiving the failure information, and some or all functions can be controlled. By limiting or suppressing , the reliability of the control device can be improved. Also, it is possible to use an inexpensive MCU with fewer I/O terminals.

実施の形態4.
つぎに、実施の形態4による制御装置について説明する。図5は、実施の形態4による制御装置およびその周辺回路を示す構成図である。図5に示す実施の形態4による制御装置5では、MCU14以外の全ての回路、つまり監視制御回路用電源生成部6と、MCU用電源生成部10と、監視制御回路19と、それに接続される入出力I/F25と、が1つの集積回路280により構成されている点で、実施の形態3による制御装置と相違する。その他の構成及び動作は実施の形態3による制御装置と同様である。その他の構成及び動作は、実施の形態3における制御装置と同様である。 Embodiment 4.
Next, a control device according to Embodiment 4 will be described. FIG. 5 is a configuration diagram showing a control device and its peripheral circuits according to a fourth embodiment. In the control device 5 according to the fourth embodiment shown in FIG. 5, all the circuits other than the MCU 14, that is, the monitor control circuit power supply generation unit 6, the MCU power supply generation unit 10, the monitor control circuit 19, and the It differs from the control device according to the third embodiment in that the input/output I/F 25 and are configured by one integrated circuit 280 . Other configurations and operations are the same as those of the control device according to the third embodiment. Other configurations and operations are the same as those of the control device in the third embodiment.

なお、MCU以外のすべての回路を集積回路化しているが、MCU14以外の一部の構成要素のみを集積回路化してもよい。また、実施の形態2の制御装置と同様に、第1の入出力I/Fと第2の入出力I/Fとを設けるようにしてもよい。この場合でも、MCU以外のすべての回路を集積回路化してもよく、あるいはMCU14以外の一部の構成要素のみを集積回路化してもよい。 Although all circuits other than the MCU are integrated, only some components other than the MCU 14 may be integrated. Also, as in the control device of the second embodiment, a first input/output I/F and a second input/output I/F may be provided. Even in this case, all circuits other than the MCU may be integrated, or only some components other than the MCU 14 may be integrated.

以上述べた実施の形態4による制御装置によれば、実施の形態1から3による制御装置と同様に、制御装置の内部の各故障、たとえば基準電源の故障から全出力電圧異常につながる共通原因故障、あるいは出力回路の故障から制御装置の破壊につながるカスケード故障について、あらかじめ従属故障分析結果が格納されていることにより、故障情報受信後ただちに制御にフィードバックを行うことができ、一部またはすべての機能を制限もしくは抑制することにより制御装置の信頼性を向上させることが可能となる。また、すべての故障情報を監視制御回路が受信し、シリアル通信でMCUに送信することで、MCUのピン数の削減、処理負荷を軽減することが可能となる。 According to the control device according to the fourth embodiment described above, as with the control devices according to the first to third embodiments, each failure inside the control device, for example, a common cause failure that leads to an abnormality in all output voltages from a failure in the reference power supply Or, for cascade failures that lead to destruction of the control device due to failures in the output circuit, the dependent failure analysis results are stored in advance, so that feedback can be given to the control immediately after receiving the failure information, and some or all functions can be controlled. By limiting or suppressing , the reliability of the control device can be improved. In addition, by having the monitor and control circuit receive all the failure information and transmit it to the MCU through serial communication, it is possible to reduce the number of pins of the MCU and reduce the processing load.

さらに、実施の形態4による制御回路によれば、電子部品の実装面積を削減することができ、制御装置を小型化することが可能となる。 Furthermore, according to the control circuit according to the fourth embodiment, it is possible to reduce the mounting area of the electronic components, and it is possible to reduce the size of the control device.

実施の形態5.
つぎに、実施の形態5による制御装置について説明する。図5は、実施の形態5による制御装置およびその周辺回路を示す構成図である。図5に示す実施の形態5による制御装置5では、MCU14に接続された外部メモリ33に従属故障分析結果が格納されており、故障情報を受信したMCU14は、外部メモリ33に格納された分析結果を読み込み、故障情報処理部17で処理を行うことで、出力回路の一部又は出力回路の全体の制限もしくは抑制を行う。その他の構成は、実施の形態1による制御装置と同様である。 Embodiment 5.
Next, a control device according to Embodiment 5 will be described. FIG. 5 is a configuration diagram showing a control device and its peripheral circuits according to a fifth embodiment. In the control device 5 according to Embodiment 5 shown in FIG. is read and processed by the failure information processing unit 17 to limit or suppress a part of the output circuit or the entire output circuit. Other configurations are the same as those of the control device according to the first embodiment.

以上述べた実施の形態5による制御装置によれば、実施の形態1から4による制御装置と同様に、制御装置の内部の各故障、たとえば基準電源の故障から全出力電圧異常につながる共通原因故障、あるいは出力回路の故障から制御装置の破壊につながるカスケード故障について、あらかじめ従属故障分析結果が格納されていることにより、故障情報受信後ただちに制御にフィードバックを行うことができ、一部またはすべての機能を制限もしくは抑制することにより制御装置の信頼性を向上させることが可能となる。また、すべての故障情報を監視制御回路が受信し、シリアル通信でMCUに送信することで、MCUのピン数の削減、処理負荷を軽減することが可能となる。 According to the control device according to the fifth embodiment described above, as with the control devices according to the first to fourth embodiments, each failure inside the control device, for example, a common cause failure that leads to an abnormality in all output voltages from a failure in the reference power supply Or, for cascade failures that lead to destruction of the control device due to failures in the output circuit, the dependent failure analysis results are stored in advance, so that feedback can be given to the control immediately after receiving the failure information, and some or all functions can be controlled. By limiting or suppressing , the reliability of the control device can be improved. In addition, by having the monitor and control circuit receive all the failure information and transmit it to the MCU through serial communication, it is possible to reduce the number of pins of the MCU and reduce the processing load.

また、実施の形態5による制御装置によれば、大容量メモリを持たない、たとえばSoC(System on Chip)のような集積回路でも実施の形態1による制御装置と同様の制御を行うことが可能となる。 Further, according to the control device according to the fifth embodiment, it is possible to perform the same control as the control device according to the first embodiment even in an integrated circuit such as SoC (System on Chip) which does not have a large-capacity memory. Become.

以上述べた実施の形態1から5による制御装置によれば、あらかじめMCU、又はMCUに接続された外部メモリに、各種故障発生時の従属故障分析結果を格納し、各故障検出信号を監視制御回路で一元化したうえでMCUにシリアル通信のより送ることで、MCUの必要ポート並びに処理負荷を削減しつつ、故障発生に対し迅速かつ最小限の影響で制御装置の損傷を防ぎ、制御の信頼性を向上させることができる。 According to the control apparatus according to the first to fifth embodiments described above, the dependent failure analysis results when various failures occur are stored in advance in the MCU or in an external memory connected to the MCU, and each failure detection signal is monitored and controlled by the control circuit. By centralizing the data and sending it to the MCU through serial communication, it is possible to reduce the number of ports required for the MCU and the processing load. can be improved.

本願は、様々な例示的な実施の形態及び実施例が記載されているが、1つ、または複数の実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。したがって、例示されていない無数の変形例が、本願に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。 While this application describes various exemplary embodiments and examples, various features, aspects, and functions described in one or more embodiments may not apply to particular embodiments. can be applied to the embodiments singly or in various combinations. Therefore, countless modifications not illustrated are envisioned within the scope of the technology disclosed in the present application. For example, modification, addition or omission of at least one component, extraction of at least one component, and combination with components of other embodiments shall be included.

1 外部電源、2 アナログ入力群、2a 第1のアナログ入力群、
2b 第2のアナログ入力群、3 デジタル入力群、3a 第1のデジタル入力群、
3b 第2のデジタル入力群、4 電気負荷群、4a 第1の電気負荷群、
4b 第2の電気負荷群、5 制御装置、6 監視制御回路用電源生成部、
7 監視制御回路用基準電源生成回路、8 監視制御回路用電圧生成部、
9 監視制御回路用電圧監視部、10 MCU用電源生成部、
11 MCU用基準電源生成回路、12 MCU用電圧生成部、
13 MCU用電圧監視部、14 MCU、15 MCU側シリアルI/F、
16 MCU側出力回路制御部、17 故障情報処理部、18 従属故障分析結果格納部、
19 監視制御回路、20 クロック生成回路、21 MCU異常情報処理部、
22 監視制御回路側出力回路制御部、23 監視制御回路側シリアルI/F、
24 MCU初期化回路、25 入出力I/F、25a 第1の入出力I/F、
25b 第2の入出力I/F、26 故障検出回路、26a 第1の故障検出回路、
26b 第2の故障検出回路、27 外部制御装置、28 マルチプレクサ、
29 比較器、30 判定器、31 判定値、32 診断制御出力、33 外部メモリ、
280 集積回路。 1 external power supply, 2 analog input group, 2a first analog input group,
2b second group of analog inputs; 3 group of digital inputs; 3a first group of digital inputs;
3b second group of digital inputs; 4 group of electrical loads; 4a first group of electrical loads;
4b second electrical load group, 5 control device, 6 power generation unit for monitoring control circuit,
7 reference power supply generation circuit for monitoring control circuit, 8 voltage generation unit for monitoring control circuit,
9 voltage monitoring unit for monitoring control circuit, 10 power generation unit for MCU,
11 reference power supply generation circuit for MCU, 12 voltage generation unit for MCU,
13 MCU voltage monitoring unit, 14 MCU, 15 MCU side serial I/F,
16 MCU side output circuit control unit, 17 failure information processing unit, 18 dependent failure analysis result storage unit,
19 monitor control circuit, 20 clock generation circuit, 21 MCU abnormality information processing unit,
22 monitor control circuit side output circuit control unit, 23 monitor control circuit side serial I/F,
24 MCU initialization circuit, 25 input/output I/F, 25a first input/output I/F,
25b second input/output I/F, 26 failure detection circuit, 26a first failure detection circuit,
26b second fault detection circuit, 27 external controller, 28 multiplexer,
29 comparator, 30 determiner, 31 determination value, 32 diagnostic control output, 33 external memory,
280 integrated circuits.

本願に開示される制御装置は、
電気負荷を駆動する出力回路を制御するMCU側出力回路制御部と、故障情報処理部と、を有するMCUを搭載した制御装置であって
前記MCUとシリアル通信を介して接続され、前記MCUの異常状態を検出するMCU異常情報処理部と、前記MCUを初期化し得るMCU初期化回路と、前記MCUの異常時に前記電気負荷を駆動する前記出力回路を制御する監視制御回路側出力回路制御部と、を有する監視制御回路と、
前記MCUに供給する電圧を生成するMCU用電圧生成部と、前記MCU用電圧生成部の故障を検出するMCU用電圧監視部と、を有するMCU用電源生成部と、
前記監視制御回路に供給する電圧を生成する監視制御回路用電圧生成部と、前記監視制御回路用電圧生成部の故障を検出する監視制御回路用電圧監視部と、を有する監視制御回路用電源生成部と、
外部から受診した入力信号を前記MCU又は前記監視制御回路に送信し、前記MCU側出力回路制御部又は前記監視制御回路側出力回路制御部から受信した制御信号を前記出力回路に送信するように構成されるとともに、前記出力回路の故障を検出する故障検出回路を有する入出力I/Fと、
前記MCU用電圧生成部の故障と、前記監視制御回路用電圧生成部の故障と、前記出力回路の故障と、のうちの少なくとも一つの故障に従属して影響を受ける構成要素と、前記影響の度合いと、に関してあらかじめ分析した結果を格納した従属故障分析結果格納部と、
を備え、
前記MCU異常情報処理部が前記MCUの異常状態を検出したとき、前記MCU初期化回路により前記MCUを初期化するとともに、前記監視制御回路側出力回路制御部により前記電気負荷を制御するように構成され、
前記MCU用電圧監視部と、前記監視制御回路用電圧監視部と、前記故障検出回路と、のうちの何れかが前記故障を検出したとき、その故障情報を前記監視制御回路に送信するように構成され、
前記監視制御回路は、受信した前記故障情報を前記MCUに対して、前記シリアル通信、又はバス通信、により送信するように構成され、
前記MCUは、受信した前記故障情報に基づいて前記従属故障分析結果格納部から前記分析の結果を読み出し、前記故障の影響を受ける構成要素の少なくとも一部の機能を制限するように構成され、
前記入出力I/Fにおける前記故障検出回路は、自己診断機能により自己診断されるように構成され、
前記自己診断は、
前記MCUが前記監視制御回路の診断制御出力にあらかじめ定められた信号を送信し、
前記故障検出回路は、前記あらかじめ定められた信号が送信された前記診断制御出力に基づいて判定した故障情報を前記MCUに送信し、前記MCUは、前記診断制御出力と前記故障情報とに基づいて、前記故障検出回路の故障の有無を判断する、
ように構成されている、
ことを特徴とする。

The control device disclosed in the present application is
A controller equipped with an MCU having an MCU-side output circuit control unit that controls an output circuit that drives an electric load, and a failure information processing unit,
An MCU abnormality information processing unit connected to the MCU via serial communication and detecting an abnormal state of the MCU; an MCU initialization circuit capable of initializing the MCU ; a monitor control circuit side output circuit control section for controlling the output circuit;
an MCU power generation unit including an MCU voltage generation unit that generates a voltage to be supplied to the MCU; and an MCU voltage monitoring unit that detects a failure of the MCU voltage generation unit;
A supervisory control circuit power supply generator comprising: a supervisory control circuit voltage generator that generates a voltage to be supplied to the supervisory control circuit; and a supervisory control circuit voltage monitor that detects a failure of the supervisory control circuit voltage generator. Department and
An input signal received from the outside is transmitted to the MCU or the monitor control circuit, and a control signal received from the MCU side output circuit control section or the monitor control circuit side output circuit control section is transmitted to the output circuit. and an input/output I/F having a failure detection circuit that detects a failure of the output circuit;
a component affected by at least one of a failure of the MCU voltage generator, a failure of the supervisory control circuit voltage generator, and a failure of the output circuit; a dependent failure analysis result storage unit storing pre-analyzed results regarding the degree and
with
When the MCU abnormality information processing unit detects an abnormal state of the MCU, the MCU initialization circuit initializes the MCU, and the monitor control circuit side output circuit control unit controls the electric load. is,
When any one of the MCU voltage monitoring unit, the monitoring control circuit voltage monitoring unit, and the failure detection circuit detects the failure, the failure information is transmitted to the monitoring control circuit. configured,
The monitoring and control circuit is configured to transmit the received fault information to the MCU through the serial communication or bus communication,
The MCU is configured to read the result of the analysis from the dependent failure analysis result storage unit based on the received failure information, and to limit the function of at least a part of the components affected by the failure ;
The failure detection circuit in the input/output I/F is configured to be self-diagnosed by a self-diagnosis function,
The self-diagnosis is
said MCU sending a predetermined signal to a diagnostic control output of said supervisory control circuit;
The failure detection circuit transmits failure information determined based on the diagnostic control output to which the predetermined signal is transmitted to the MCU, and the MCU receives the failure information based on the diagnostic control output and the failure information. , determining the presence or absence of a failure in the failure detection circuit;
configured as
It is characterized by

Claims (8)

電気負荷を駆動する出力回路を制御するMCU側出力回路制御部と、故障情報処理部と、を有するMCUと、
前記MCUとシリアル通信を介して接続され、前記MCUの異常状態を検出するMCU異常情報処理部と、前記MCUを初期化し得るMCU初期化回路と、前記MCUの異常時に前記電気負荷を駆動する出力回路を制御する監視制御回路側出力回路制御部と、を有する監視制御回路と、
前記MCUに供給する電圧を生成するMCU用電圧生成部と、前記MCU用電圧生成部の故障を検出するMCU用電圧監視部と、を有するMCU用電源生成部と、
前記監視制御回路に供給する電圧を生成する監視制御回路用電圧生成部と、前記監視制御回路用電圧生成部の故障を検出する監視制御回路用電圧監視部と、を有する監視制御回路用電源生成部と、
外部から受診した入力信号を前記MCU又は前記監視制御回路に送信し、前記MCU側出力回路制御部又は前記監視制御回路側出力回路制御部から受信した制御信号を前記出力回路に送信するように構成されるとともに、前記出力回路の故障を検出する故障検出回路を有する入出力I/Fと、
前記MCU用電圧生成部の故障と、前記監視制御回路用電圧生成部の故障と、前記出力回路の故障と、のうちの少なくとも一つの故障に従属して影響を受ける構成要素と、前記影響の度合いと、に関してあらかじめ分析した結果を格納した従属故障分析結果格納部と、
を備え、
前記MCU異常情報処理部が前記MCUの異常状態を検出したとき、前記MCU初期化回路により前記MCUを初期化するとともに、前記監視制御回路側出力回路制御部により前記電気負荷を制御するように構成され、
前記MCU用電圧監視部と、前記監視制御回路用電圧監視部と、前記故障検出回路と、のうちの何れかが前記故障を検出したとき、その故障情報を前記監視制御回路に送信するように構成され、
前記監視制御回路は、受信した前記故障情報を前記MCUに対して、前記シリアル通信、又はバス通信、により送信するように構成され、
前記MCUは、受信した前記故障情報に基づいて前記従属故障分析結果格納部から前記分析の結果を読み出し、前記故障の影響を受ける構成要素の少なくとも一部の機能を制限するように構成されている、
ことを特徴とする制御装置。 an MCU having an MCU-side output circuit control section that controls an output circuit that drives an electric load; and a failure information processing section;
An MCU abnormality information processing unit connected to the MCU via serial communication and detecting an abnormal state of the MCU, an MCU initialization circuit capable of initializing the MCU, and an output for driving the electrical load when the MCU is abnormal. a monitoring control circuit having a monitoring control circuit side output circuit control section for controlling the circuit;
an MCU power generation unit including an MCU voltage generation unit that generates a voltage to be supplied to the MCU; and an MCU voltage monitoring unit that detects a failure of the MCU voltage generation unit;
A supervisory control circuit power supply generator comprising: a supervisory control circuit voltage generator that generates a voltage to be supplied to the supervisory control circuit; and a supervisory control circuit voltage monitor that detects a failure of the supervisory control circuit voltage generator. Department and
An input signal received from the outside is transmitted to the MCU or the monitor control circuit, and a control signal received from the MCU side output circuit control section or the monitor control circuit side output circuit control section is transmitted to the output circuit. and an input/output I/F having a failure detection circuit that detects a failure of the output circuit;
a component affected by at least one of a failure of the MCU voltage generator, a failure of the supervisory control circuit voltage generator, and a failure of the output circuit; a dependent failure analysis result storage unit storing pre-analyzed results regarding the degree and
with
When the MCU abnormality information processing section detects an abnormal state of the MCU, the MCU initialization circuit initializes the MCU, and the monitor control circuit side output circuit control section controls the electric load. is,
When any one of the MCU voltage monitoring unit, the monitoring control circuit voltage monitoring unit, and the failure detection circuit detects the failure, the failure information is transmitted to the monitoring control circuit. configured,
The monitoring and control circuit is configured to transmit the received failure information to the MCU through the serial communication or bus communication,
The MCU is configured to read the result of the analysis from the dependent failure analysis result storage unit based on the received failure information, and to limit the functions of at least a part of the components affected by the failure. ,
A control device characterized by: 前記入出力I/Fは、第1の入出力I/Fと、第2の入出力I/Fと、からなり、
前記第1の入出力I/Fは、前記外部から受診した入力信号を前記MCUに直接送信するように構成され、
第2の入出力I/Fは、前記外部から受診した入力信号を前記監視制御回路を介して前記MCUに送信するように構成されている、
ことを特徴とする請求項1に記載の制御装置。 The input/output I/F comprises a first input/output I/F and a second input/output I/F,
The first input/output I/F is configured to directly transmit the input signal received from the outside to the MCU,
The second input/output I/F is configured to transmit the input signal received from the outside to the MCU via the monitoring control circuit,
2. The control device according to claim 1, characterized in that: 前記MCU以外の構成要素のうちの少なくとも一部は、単一の集積回路により構成されている、
ことを特徴とする請求項1又は2に記載の制御装置。 At least some of the components other than the MCU are configured by a single integrated circuit,
3. The control device according to claim 1 or 2, characterized in that: 前記従属故障分析結果格納部は、前記MCUに格納されている、
ことを特徴とする請求項1から3のうちの何れか一項に記載の制御装置。 The dependent failure analysis result storage unit is stored in the MCU,
The control device according to any one of claims 1 to 3, characterized in that: 前記従属故障分析結果格納部は、前記MCUに外付けされたメモリに格納されている、
ことを特徴とする請求項1から3のうちの何れか一項に記載の制御装置。 The dependent failure analysis result storage unit is stored in a memory externally attached to the MCU,
The control device according to any one of claims 1 to 3, characterized in that: 前記MCUは、
前記シリアル通信により前記故障情報を受信するときは、あらかじめ定められた回数以上前記故障情報を受信したときに前記故障情報を確定させ、
前記バス通信より前記故障情報を受信するときは、あらかじめ定められた時間以上、連続して前記故障情報を受信したときに前記故障情報を確定させる
ように構成されている、
ことを特徴とする請求項1から5のうちの何れか一項に記載の制御装置。 The MCU is
when the failure information is received by the serial communication, determining the failure information when the failure information is received a predetermined number of times or more;
When receiving the failure information through the bus communication, the failure information is determined when the failure information is continuously received for a predetermined time or longer.
The control device according to any one of claims 1 to 5, characterized in that: 前記入出力I/Fにおける前記故障検出回路は、自己診断機能を有する、
ことを特徴とする請求項1から6のうちの何れか一項に記載の制御装置。 The failure detection circuit in the input/output I/F has a self-diagnostic function,
The control device according to any one of claims 1 to 6, characterized in that: 前記故障検出回路は、起動時に前記自己診断機能により自己診断されるように構成されている、
ことを特徴とする請求項7に記載の制御装置。 The failure detection circuit is configured to be self-diagnosed by the self-diagnosis function at startup,
8. The control device according to claim 7, characterized in that:
JP2021187535A 2021-11-18 2021-11-18 Control device Active JP7329579B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021187535A JP7329579B2 (en) 2021-11-18 2021-11-18 Control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021187535A JP7329579B2 (en) 2021-11-18 2021-11-18 Control device

Publications (2)

Publication Number Publication Date
JP2023074564A true JP2023074564A (en) 2023-05-30
JP7329579B2 JP7329579B2 (en) 2023-08-18

Family

ID=86541496

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021187535A Active JP7329579B2 (en) 2021-11-18 2021-11-18 Control device

Country Status (1)

Country Link
JP (1) JP7329579B2 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4476320B2 (en) 2007-11-26 2010-06-09 三菱電機株式会社 On-vehicle electronic control device having a supervisory control circuit
JP5943706B2 (en) 2012-05-23 2016-07-05 三菱電機株式会社 Power supply
JP6205725B2 (en) 2013-01-15 2017-10-04 オムロン株式会社 Control system, control apparatus, control system control method, and control program
JP2019121033A (en) 2017-12-28 2019-07-22 株式会社東芝 Control device for aircrafts and mutual diagnosis method
JP7057168B2 (en) 2018-03-08 2022-04-19 Necプラットフォームズ株式会社 Failure detection device and failure analysis method

Also Published As

Publication number Publication date
JP7329579B2 (en) 2023-08-18

Similar Documents

Publication Publication Date Title
US11360145B2 (en) Relay fault diagnosis device
KR100296984B1 (en) Monitoring System For Electronic Control System
KR101773315B1 (en) Electronic control device having power supply voltage monitoring function and vehicle steering control device equipped with same
WO2015194282A1 (en) Motor control device
US20220091177A1 (en) Method and device for monitoring gate signal of power semiconductor
JP2013521437A (en) Engine control apparatus and engine control method for operating current circuit
US11336281B2 (en) Output module for industrial control system
US8274771B2 (en) Safety switching device and modular failsafe control system
JP2983532B2 (en) Electronic control unit for internal combustion engine
JP7329579B2 (en) Control device
JP2014204570A (en) Power supply monitoring device and power supply monitoring method
US20050225173A1 (en) Electrical system, and control module and smart power supply for electrical system
US6870372B2 (en) Abnormality detection apparatus of comparator
US20040199824A1 (en) Device for safety-critical applications and secure electronic architecture
US8831912B2 (en) Checking of functions of a control system having components
JP6267232B2 (en) Load drive circuit
KR20170114827A (en) Fail-safety circuit of smart power relay assembly
JP2008108196A (en) Output device
KR100402757B1 (en) Signal Processing Method and Module for Reliable System Considering Safety
JP4415384B2 (en) DIGITAL OUTPUT DEVICE AND DIAGNOSIS METHOD USING DIGITAL OUTPUT DEVICE
JP3630824B2 (en) Auxiliary relay drive circuit
JP6625964B2 (en) Lift control device and lift control method
JP4613019B2 (en) Computer system
JP6702175B2 (en) Load drive
JP2023122184A (en) electronic controller

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221213

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230418

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230607

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230711

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230807

R151 Written notification of patent or utility model registration

Ref document number: 7329579

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151