JP3908020B2 - Electronic control device for vehicle - Google Patents

Electronic control device for vehicle Download PDF

Info

Publication number
JP3908020B2
JP3908020B2 JP2001366974A JP2001366974A JP3908020B2 JP 3908020 B2 JP3908020 B2 JP 3908020B2 JP 2001366974 A JP2001366974 A JP 2001366974A JP 2001366974 A JP2001366974 A JP 2001366974A JP 3908020 B2 JP3908020 B2 JP 3908020B2
Authority
JP
Japan
Prior art keywords
cpu
reset
main cpu
monitoring
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001366974A
Other languages
Japanese (ja)
Other versions
JP2003167601A (en
Inventor
啓晴 竹内
剛博 城向
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Toyota Motor Corp
Original Assignee
Denso Corp
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp, Toyota Motor Corp filed Critical Denso Corp
Priority to JP2001366974A priority Critical patent/JP3908020B2/en
Priority to US10/242,697 priority patent/US6775609B2/en
Publication of JP2003167601A publication Critical patent/JP2003167601A/en
Application granted granted Critical
Publication of JP3908020B2 publication Critical patent/JP3908020B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Description

【0001】
【発明の属する技術分野】
本発明は、車両用電子制御装置に関するものである。
【0002】
【従来の技術】
車載エンジンの制御を司る車両用電子制御装置(エンジンECU)として、例えば図7に示す構成が知られている。図7において、エンジンECU20はメイン及びサブの2つのCPUを有しており、メインCPU21は噴射制御及び点火制御を実施し、サブCPU22は電子スロットル制御を実施する。WD回路23はメインCPU21の動作を監視するものであり、メインCPU21から出力されるウオッチドッグパルス(WDパルス)を入力し、該WDパルスの周期性が崩れるとメインCPU21にリセットをかける。
【0003】
また、メインCPU21は、サブCPU22の動作(すなわち、スロットル制御の状態)を監視する。つまり、メインCPU21は、サブCPU22から出力されるWDパルスを入力し、このWDパルスの周期性が崩れるとサブCPU22にリセットをかける。サブCPU22がリセットされる時、メインCPU21は所定のフェイルセーフ処理を実施する。フェイルセーフ処理として具体的には、車両の退避走行(リンプホーム)を実現すべく、一部の気筒の燃料噴射を休止させる減筒制御や点火時期を遅らせる点火遅角制御等を実施する。
【0004】
要するに、メインCPU21はWD回路23によりリセットされ、サブCPU22はメインCPU21によりリセットされる構成となっている。また、WD回路23がメインCPU21にリセットをかける時、それに引き続きメインCPU21がサブCPU22にリセットをかけるようになっている。しかしながら、WD回路23によるリセット後、メインCPU21が正常復帰すると、過去にリセットがかかったこと(すなわち、異常が発生したこと)に関係なく通常制御が実施される。そのため、リセット復帰後にも所定のフェイルセーフ処理を継続させたい場合等において、本来行うべきフェイルセーフ処理が実施されないという不都合を招く。
【0005】
ところで近年では、CPUの高機能・大容量化に伴い、従来2つのCPUを使用して実現してきたエンジン制御(噴射・点火制御)と電子スロットル制御とを1つの制御CPUに集約し、エンジンECUのコストダウンを図ることが考えられる。このような1CPU構成のエンジンECUでは、やはりWD回路により制御CPUがリセットされる。しかしながら、前述の通りWD回路によるリセット後、制御CPUが正常復帰すると、本来行うべきフェイルセーフ処理が実施されないという不都合を招く。
【0006】
【発明が解決しようとする課題】
本発明は、上記問題に着目してなされたものであって、その目的とするところは、CPUに関する過去の異常情報を適正に記憶保持することができる車両用電子制御装置を提供することである。
【0007】
【課題を解決するための手段】
本発明の車両用電子制御装置では、互いに通信可能に接続されたメインCPU及びサブCPUと、メインCPUの動作を監視する監視回路とを備えることを前提としている。すなわち、監視回路は、メインCPUより所定周期で反転するウオッチドッグパルスを入力し、その周期性が崩れるとメインCPUに対してリセット信号を出力する。そして特に、請求項1に記載の発明では、サブCPUは、メインCPUから監視回路に出力されるウオッチドッグパルスをモニタし、その周期性が崩れた際、遅くとも監視回路からリセット信号が出力されるまでにメインCPUのリセット履歴をメモリに記憶する。
【0008】
本請求項1の構成によれば、サブCPUにおいて、メインCPUがリセットされたこと、すなわちメインCPUに異常が発生したことが確実に判断できる。また本発明では、メインCPUのリセット時にはサブCPUが引き続きリセットされる構成となっているが、監視回路によるメインCPUのリセットと同時又はそれよりも早くサブCPUがリセット履歴を記憶するため、リセット履歴が確実に記憶保持できる。その結果、CPUに関する過去の異常情報を適正に記憶保持することができるようになる。
【0009】
請求項2に記載の発明では、サブCPUは、ウオッチドッグパルスの所定エッジの有無を確認し、ウオッチドッグパルスの所定エッジが無いとメインCPUにリセットがかかる旨予測してリセット履歴をメモリに記憶し、その後、監視回路によるリセット信号の出力前にウオッチドッグパルスの所定エッジが確認されると、前記記憶したリセット履歴を消去する。
【0010】
つまり、ウオッチドッグパルスの出力停止時において、サブCPUによるメインCPUの異常判定が先に行われ、監視回路によるメインCPUの異常判定(リセット出力)が後に行われる場合、先にサブCPUで異常時と判定されても、その直後に異常状態が解消され、監視回路では異常時と判定されない場合が考えられる。ウオッチドッグパルスの出力が一時的に停止された後、監視回路によるリセット出力前に復帰する場合がそれである。かかる場合、請求項2の発明によれば、一旦記憶されたリセット履歴が消去されるため、リセット履歴が誤って記憶されるという不都合が回避できる。
【0012】
上記請求項1又は2の発明では、請求項に記載したように、サブCPUは、リセット履歴がn回記憶された時点でメインCPUが異常である旨判定すると良い。この場合、CPU異常判定の信頼性が向上する。
【0013】
請求項に記載の発明では、メインCPUは、リセット後の再起動時においてサブCPUで記憶したリセット履歴に基づき所定のフェイルセーフ処理を実施する。この場合、CPU異常後のフェイルセーフ処理を適正に実施することができる。
【0014】
メインCPUのリセット時にそれに引き続きメインCPUがサブCPUにリセットをかける場合、サブCPUでリセット履歴を記憶する時間的な余裕があまりないことも考えられる。そこで、請求項に記載したように、監視回路からメインCPUにリセット信号が出力された後、一定時間遅らせてメインCPUからサブCPUにリセット信号を出力すると良い。これにより、サブCPUにおいてより確実にリセット履歴が記憶保持できるようになる。
【0015】
請求項に記載の発明では、メインCPUは、車両におけるエンジン制御機能並びに電子スロットル制御機能を集約したものであり、サブCPUは、少なくともメインCPUの電子スロットル制御の状態を監視するものである。この場合、コストダウンを図るべく制御機能を集約化した車両用電子制御装置において、上記の優れた効果を奏することができる。
【0016】
【発明の実施の形態】
以下、この発明を具体化した一実施の形態を図面に従って説明する。本実施の形態では、車両用電子制御装置としてのエンジンECUに本発明を具体化しており、図1にはエンジンECUの構成を示す。
【0017】
図1において、エンジンECU10は、エンジンの噴射制御、点火制御及び電子スロットル制御を実施するための制御CPU(メインCPU)11と、電子スロットル制御に関する監視制御を実施するための監視CPU(サブCPU)12と、制御CPU11の動作を監視するためのWD回路13とを備える。制御CPU11は、エンジン回転数、吸気管内圧力、スロットル開度等々のエンジン運転情報を各種センサより随時入力し、当該運転情報に基づき図示しないインジェクタ、イグナイタ、スロットルアクチュエータ等の駆動を制御する。また、制御CPU11は、監視CPU12の動作を監視するための監視制御を実施する。すなわち、監視CPU12は制御CPU11に対して所定周期で反転するWDパルスを出力し、制御CPU11は監視CPU12からのWDパルスが所定時間以上反転しなかった場合に監視CPU12に対してリセット信号を出力する。
【0018】
制御CPU11と監視CPU12とは相互に通信可能に接続されており、制御CPU11は、監視CPU12に対してスロットル開度、アクセル開度、フェイルセーフ実施フラグ等、スロットル制御に関するデータを送信する。このとき、監視CPU12は、スロットル制御の監視処理として、例えばA/D変換器(図示略)を通じて入力したスロットル開度やアクセル開度のデータと、制御CPU11より受信した同じくスロットル開度やアクセル開度のデータとを比較し、それらが一致するかどうかによりスロットル制御状態の異常を検出する。そして、その監視結果を制御CPU11に対して返信する。
【0019】
制御CPU11は、監視CPU12での監視結果に従い、電子スロットル制御の異常発生時に所定のフェイルセーフ処理を実施する。フェイルセーフ処理として具体的には、車両の退避走行(リンプホーム)を実現すべく、一部の気筒の燃料噴射を休止させる減筒制御や点火時期を遅角させる点火遅角制御等を実施する。
【0020】
また、制御CPU11は、WD回路13に対して所定周期で反転するWDパルスを出力する。WD回路13は「監視回路」を構成するものであり、制御CPU11からのWDパルスが所定時間以上反転しなかった場合に制御CPU11に対してリセット信号を出力する。
【0021】
ここで、制御CPU11からWD回路13に出力されるWDパルスは監視CPU12にも入力される。監視CPU12では、WDパルスの所定エッジ(例えば立ち下がりエッジ)の有無を判別し、所定エッジが所定時間以上検出されない場合、すなわちWDパルスが所定時間以上反転しない場合に、制御CPU11のリセット履歴をメモリ12aに記憶する。なお、メモリ12aは、EEPROMやスタンバイRAM等、電源遮断時にも内容を記憶保持できるメモリであり、リセット履歴の他に、各種カウンタの値も記憶保持する。
【0022】
次に、WDパルスにより制御CPU11を監視する手順について詳しく説明する。図2は、監視CPU12により2msec毎に実施される処理を示すフローチャートである。
【0023】
図2において、先ずステップ101では、WDパルスの立ち下がりエッジの有無を検出する。具体的には、今現在のWDパルスの信号レベルがLO(ロー)であり、且つ前回の同信号レベルがHI(ハイ)であるか否かを判別し、YESであれば、今回WDパルスの立ち下がりエッジを検出したと判別する。YESの場合、ステップ102でWD監視カウンタを0にクリアすると共に、ステップ103でリセット履歴をクリアする。また、NOの場合、ステップ104でWD監視カウンタを1インクリメントする。
【0024】
その後、ステップ105では、WD監視カウンタの値が所定値以上であるか否かを判別する。ここで、前記所定値に相当する時間は、WD回路13によりWDパルスの出力停止が判定される時間よりも短い時間であり、WD回路13による異常判定時間が例えば24msecである場合、監視CPU12による異常判定時間を16msecとし、所定値=8とする。ステップ105がYESの場合ステップ106に進み、制御CPU11がリセットされたことを表すリセット履歴をメモり12aに記憶する。
【0025】
また、図3は、監視CPU12のイニシャル時(起動時)に実施されるイニシャル処理を示すフローチャートである。
図3において、先ずステップ201では、メモリ12a内のリセット履歴の有無を判別する。リセット履歴有りの場合ステップ202に進み、異常カウンタを1インクリメントする。また、ステップ203では、メモリ12a内のリセット履歴をクリアする。
【0026】
その後、ステップ204では、異常カウンタが所定値(本実施の形態では2)以上であるか否かを判別する。そして、YESの場合ステップ205に進み、制御CPU11が異常である旨をメモリ12aに記憶する。このとき、所定のフェイルセーフ処理を行わせるべく、制御CPU11に対して異常情報が通知される。
【0027】
なお、処理フローの図示は省略するが、エンジンの運転停止に伴うイグニッションスイッチのOFF操作時には、異常カウンタがクリアされるようになっている。これにより、車両走行の1トリップ中にリセットが2回発生した時にCPU異常が判定されることとなる。
【0028】
図4は、上記図2及び図3の処理をより具体的に説明するためのタイムチャートである。図4において、タイミングt1以前は制御CPU11が正常動作している状態を示し、タイミングt1以後は制御CPU11に異常が発生した状態を示す。
【0029】
タイミングt1以前、WDパルスは所定の一定周期(8msec周期)で出力されている。この場合、WD監視カウンタは2msec毎にインクリメントされ、WDパルスの立ち下がりエッジが検出される都度、0にクリアされる。
【0030】
そして、タイミングt1以降、WDパルスの出力が停止されると、WD監視カウンタが0にクリアされないために、タイミングt2で同カウンタが所定値(=8)に達する。このとき、監視CPU12のメモリ12aにリセット履歴が記憶される。その後、WDパルスの出力停止から24msecが経過したタイミングt3では、WD回路13から制御CPU11にリセット信号が出力される。またこのとき、制御CPU11から監視CPU12に対してリセット信号が出力される。
【0031】
その後、タイミングt4では、制御CPU11及び監視CPU12が再起動され、監視CPU12のイニシャル処理において、メモリ12a内に記憶保持されているリセット履歴により異常カウンタが1インクリメントされる。このとき、異常カウンタが2以上であれば、制御CPU11が異常と判定され、所定のフェイルセーフ処理が実施される。
【0032】
因みに、タイミングt2〜t3の間にWDパルスの出力が再開された場合、すなわち、WDパルスの出力が一時的に停止された後、WD回路13によるリセット出力前にWDパルスの出力が正常復帰した場合、WDパルスの立ち下がりエッジが来た時点でメモり12a内のリセット履歴がクリア(消去)される。そのため、実際にはWD回路13によるリセットが行われないのにリセット履歴だけが残るという不都合が回避できる。
【0033】
以上詳述した本実施の形態によれば、以下に示す効果が得られる。
制御CPU11からWD回路13に出力されるWDパルスを監視CPU12でモニタし、そのモニタ結果に応じてリセット履歴を記憶するので、制御CPU11のリセットが確実に判断できる。従って、CPU異常後のフェイルセーフ処理を適正に実施することができる。
【0034】
また、WD回路13によるリセット出力よりも早く監視CPU12がリセット履歴を記憶するため、リセット履歴が確実に記憶保持できる。その結果、CPUに関する過去の異常情報を適正に記憶保持することができるようになる。
【0035】
監視CPU12がリセット履歴を記憶した後にWDパルスの出力が正常復帰した場合、リセット履歴が消去されるので、リセット履歴が誤って記憶されるという不都合が回避できる。
【0036】
エンジン制御機能並びに電子スロットル制御機能を制御CPU11に集約したエンジンECU10において、コストダウンを図りつつ、上記の優れた効果を奏することができる。
【0037】
(第2の実施の形態)
次に、本発明における第2の実施の形態について、上述した第1の実施の形態との相違点を中心に説明する。本実施の形態におけるエンジンECU10の構成を図5に示す。
【0038】
図5では、前記図1との相違点として、WD回路13から制御CPU11に出力されるリセット信号が監視CPU12にも入力される。すなわち、監視CPU12は、WD回路13から制御CPU11へのリセットラインをモニタする。そして、監視CPU12は、リセット信号の入力の都度、制御CPU11のリセット履歴をメモリ12aに記憶する。
【0039】
図6は、監視CPU12による各種処理を示すフローチャートであり、(a)はリセットエッジ割り込み処理、(b)はイニシャル処理をそれぞれ示す。
すなわち、監視CPU12は、リセット信号のエッジ入力毎に図6(a)の割り込み処理を起動し、その都度異常カウンタを1インクリメントする(ステップ301)。本実施の形態の場合、異常カウンタのカウント値が「リセット履歴」に相当する。
【0040】
また、監視CPU12は、CPU起動に伴うイニシャル時に図6(b)の処理を起動し、先ず異常カウンタが所定値(本実施の形態では2)以上であるか否かを判別する(ステップ401)。そして、異常カウンタ≧2であれば、制御CPU11が異常である旨をメモリ12aに記憶する(ステップ402)。このとき、所定のフェイルセーフ処理を行わせるべく、制御CPU11に対して異常情報が通知される。
【0041】
以上第2の実施の形態によれば、上述した第1の実施の形態と同様に、制御CPU11のリセットが確実に判断できる。従って、CPU異常後のフェイルセーフ処理を適正に実施することができる。
【0042】
本実施の形態において、制御CPU11のリセット時にそれに引き続き制御CPU11が監視CPU12にリセットをかける場合、監視CPU12でリセット履歴を記憶する時間的な余裕があまりないことも考えられる。そこで、制御CPU11から監視CPU12へのリセットラインに、コンデンサ等からなる遅延回路を設けると良い。これにより、WD回路13から制御CPU11にリセット信号が出力された後、一定時間遅らせて制御CPU11から監視CPU12にリセット信号が出力されるようになる。従って、監視CPU12においてより確実にリセット履歴が記憶保持できるようになる。
【0043】
なお本発明は、上記以外に次の形態にて具体化できる。
上記第1の実施の形態では、WD回路13の異常判定時間よりも短い時間で監視CPU12がWDパルスの所定エッジを判定したが、WD回路13と監視CPU12とでWDパルス判定時間を同一にしても良い。要は、遅くともWD回路13からリセット信号が出力されるまでに、監視CPU12が制御CPU11のリセット履歴を記憶する構成であれば良い。但し、WD回路13と監視CPU12とでWDパルス判定時間を同一にする場合、制御CPU11から監視CPU12へのリセットラインに、コンデンサ等からなる遅延回路を設けると良い。
【0044】
上記各実施の形態では、1トリップ中の2回のリセット履歴で制御CPU異常を判定したが、1回のリセット履歴で直ちに制御CPU異常を判定することも可能である。勿論、3回以上のリセット履歴で判定することも可能である。
【0045】
監視CPU12とWD回路13とを一つのICに集約し一体化することも可能である。この場合、エンジンECU10としてのコスト削減を図ることができる。
【0046】
上記各実施の形態では、制御CPU11として、車両におけるエンジン制御機能と電子スロットル制御機能とを集約したものを用いたが、この構成を変更する。例えば、エンジン制御用のCPU(メインCPU)と電子スロットル制御用のCPU(サブCPU)とを個別に設ける構成であっても良い(図7参照)。この場合、メインCPUからWD回路に出力されるWDパルスをサブCPUがモニタし、その周期性が崩れた際、サブCPUは、遅くともWD回路からリセット信号が出力されるまでにメインCPUのリセット履歴をメモリに記憶する。或いは、WD回路からメインCPUに出力されるリセット信号をサブCPUがモニタし、リセット信号出力の際、サブCPUはそのリセット履歴をメモリに記憶する。
【図面の簡単な説明】
【図1】第1の実施の形態におけるエンジンECUの概要を示す構成図。
【図2】監視CPUによる2msec処理を示すフローチャート。
【図3】監視CPUによるイニシャル処理を示すフローチャート。
【図4】異常検出動作を示すタイムチャート。
【図5】第2の実施の形態におけるエンジンECUを示す構成図。
【図6】監視CPUによる各種処理を示すフローチャート。
【図7】従来技術におけるエンジンECUの構成を示すブロック図。
【符号の説明】
10…エンジンECU、11…制御CPU、12…監視CPU、12a…メモリ、13…監視回路。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an electronic control device for a vehicle.
[0002]
[Prior art]
For example, a configuration shown in FIG. 7 is known as a vehicle electronic control device (engine ECU) that controls an in-vehicle engine. In FIG. 7, the engine ECU 20 has two main and sub CPUs, the main CPU 21 performs injection control and ignition control, and the sub CPU 22 performs electronic throttle control. The WD circuit 23 monitors the operation of the main CPU 21, receives a watchdog pulse (WD pulse) output from the main CPU 21, and resets the main CPU 21 when the periodicity of the WD pulse is lost.
[0003]
The main CPU 21 monitors the operation of the sub CPU 22 (that is, the throttle control state). That is, the main CPU 21 inputs the WD pulse output from the sub CPU 22, and resets the sub CPU 22 when the periodicity of the WD pulse is lost. When the sub CPU 22 is reset, the main CPU 21 performs a predetermined fail safe process. Specifically, as the fail-safe process, in order to realize retreat travel (limp home) of the vehicle, reduction cylinder control for stopping fuel injection of some cylinders, ignition delay angle control for delaying ignition timing, and the like are performed.
[0004]
In short, the main CPU 21 is reset by the WD circuit 23 and the sub CPU 22 is reset by the main CPU 21. Further, when the WD circuit 23 resets the main CPU 21, the main CPU 21 resets the sub CPU 22 subsequently. However, when the main CPU 21 returns to normal after resetting by the WD circuit 23, normal control is performed regardless of whether resetting has occurred in the past (that is, abnormality has occurred). Therefore, when it is desired to continue the predetermined failsafe process even after resetting, the inconvenience that the failsafe process that should be performed is not performed is caused.
[0005]
By the way, in recent years, with the increase in CPU functionality and capacity, engine control (injection / ignition control) and electronic throttle control, which have been realized using two CPUs in the past, have been integrated into a single control CPU. It is conceivable to reduce costs. In such an engine ECU of 1 CPU configuration, the control CPU is also reset by the WD circuit. However, if the control CPU returns to normal after resetting by the WD circuit as described above, there is a disadvantage that fail-safe processing that should be performed is not performed.
[0006]
[Problems to be solved by the invention]
The present invention has been made paying attention to the above problems, and an object of the present invention is to provide a vehicular electronic control device capable of appropriately storing and holding past abnormal information related to a CPU. .
[0007]
[Means for Solving the Problems]
The vehicle electronic control device of the present invention is premised on including a main CPU and a sub CPU that are communicably connected to each other, and a monitoring circuit that monitors the operation of the main CPU. That is, the monitoring circuit inputs a watchdog pulse that is inverted at a predetermined cycle from the main CPU, and outputs a reset signal to the main CPU when the periodicity is lost. In particular, in the first aspect of the invention, the sub CPU monitors the watchdog pulse output from the main CPU to the monitoring circuit, and when the periodicity is lost, the reset signal is output from the monitoring circuit at the latest. Until then, the reset history of the main CPU is stored in the memory.
[0008]
According to the configuration of the first aspect of the present invention, the sub CPU can reliably determine that the main CPU has been reset, that is, that an abnormality has occurred in the main CPU. In the present invention, the sub CPU is continuously reset when the main CPU is reset. However, since the sub CPU stores the reset history simultaneously with or earlier than the reset of the main CPU by the monitoring circuit, the reset history Can be reliably retained. As a result, it is possible to properly store and hold past abnormality information related to the CPU.
[0009]
According to the second aspect of the present invention, the sub CPU confirms the presence or absence of a predetermined edge of the watchdog pulse, predicts that the main CPU will be reset if there is no predetermined edge of the watchdog pulse, and stores the reset history in the memory. Thereafter, when the predetermined edge of the watchdog pulse is confirmed before the reset signal is output by the monitoring circuit, the stored reset history is erased.
[0010]
In other words, when the output of the watchdog pulse is stopped, when the abnormality determination of the main CPU by the sub CPU is performed first and the abnormality determination (reset output) of the main CPU by the monitoring circuit is performed later, when the abnormality occurs in the sub CPU first Even if it is determined, the abnormal state is resolved immediately after that, and the monitoring circuit may not be determined to be abnormal. In this case, the watchdog pulse output is temporarily stopped and then returned to the reset output by the monitoring circuit. In such a case, according to the invention of claim 2, since the reset history once stored is erased, the inconvenience that the reset history is erroneously stored can be avoided.
[0012]
In the first or second aspect , as described in the third aspect , the sub CPU may determine that the main CPU is abnormal when the reset history is stored n times. In this case, the reliability of CPU abnormality determination is improved.
[0013]
In the invention according to claim 4 , the main CPU performs a predetermined fail-safe process based on the reset history stored in the sub CPU at the time of restart after reset. In this case, the fail safe process after CPU abnormality can be implemented appropriately.
[0014]
When the main CPU subsequently resets the sub CPU when the main CPU is reset, it may be considered that there is not enough time to store the reset history in the sub CPU. Therefore, as described in claim 5 , after the reset signal is output from the monitoring circuit to the main CPU, the reset signal may be output from the main CPU to the sub CPU with a delay of a predetermined time. As a result, the reset history can be stored and held more reliably in the sub CPU.
[0015]
According to the sixth aspect of the present invention, the main CPU integrates the engine control function and the electronic throttle control function in the vehicle, and the sub CPU monitors at least the electronic throttle control state of the main CPU. In this case, the above-described excellent effect can be achieved in the vehicle electronic control device in which the control functions are integrated in order to reduce the cost.
[0016]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, an embodiment of the present invention will be described with reference to the drawings. In the present embodiment, the present invention is embodied in an engine ECU as a vehicle electronic control device, and FIG. 1 shows a configuration of the engine ECU.
[0017]
In FIG. 1, an engine ECU 10 includes a control CPU (main CPU) 11 for executing engine injection control, ignition control, and electronic throttle control, and a monitoring CPU (sub CPU) for executing monitoring control related to electronic throttle control. 12 and a WD circuit 13 for monitoring the operation of the control CPU 11. The control CPU 11 inputs engine operation information such as engine speed, intake pipe pressure, throttle opening, etc. from various sensors as needed, and controls driving of an injector, an igniter, a throttle actuator, etc. (not shown) based on the operation information. Further, the control CPU 11 performs monitoring control for monitoring the operation of the monitoring CPU 12. That is, the monitoring CPU 12 outputs a WD pulse that is inverted at a predetermined cycle to the control CPU 11, and the control CPU 11 outputs a reset signal to the monitoring CPU 12 when the WD pulse from the monitoring CPU 12 is not inverted for a predetermined time or more. .
[0018]
The control CPU 11 and the monitoring CPU 12 are connected so as to be able to communicate with each other, and the control CPU 11 transmits data related to throttle control, such as a throttle opening, an accelerator opening, and a fail safe execution flag, to the monitoring CPU 12. At this time, the monitoring CPU 12 performs the throttle control monitoring process, for example, the throttle opening and accelerator opening data input through an A / D converter (not shown) and the throttle opening and accelerator opening received from the control CPU 11. Is compared with the degree data, and an abnormality in the throttle control state is detected depending on whether or not they match. Then, the monitoring result is returned to the control CPU 11.
[0019]
The control CPU 11 performs a predetermined fail-safe process when an abnormality occurs in the electronic throttle control according to the monitoring result of the monitoring CPU 12. Specifically, as the fail-safe process, in order to realize retreat travel (limp home) of the vehicle, reduction cylinder control for stopping fuel injection of some cylinders, ignition delay control for delaying ignition timing, and the like are performed. .
[0020]
Further, the control CPU 11 outputs a WD pulse that is inverted at a predetermined cycle to the WD circuit 13. The WD circuit 13 constitutes a “monitoring circuit”, and outputs a reset signal to the control CPU 11 when the WD pulse from the control CPU 11 is not inverted for a predetermined time or more.
[0021]
Here, the WD pulse output from the control CPU 11 to the WD circuit 13 is also input to the monitoring CPU 12. The monitoring CPU 12 determines the presence or absence of a predetermined edge (for example, a falling edge) of the WD pulse, and stores the reset history of the control CPU 11 when the predetermined edge is not detected for a predetermined time or more, that is, when the WD pulse is not reversed for a predetermined time or more Store in 12a. The memory 12a is a memory such as an EEPROM or a standby RAM that can store and retain the contents even when the power is turned off, and stores and holds various counter values in addition to the reset history.
[0022]
Next, the procedure for monitoring the control CPU 11 with the WD pulse will be described in detail. FIG. 2 is a flowchart showing processing performed by the monitoring CPU 12 every 2 msec.
[0023]
In FIG. 2, first, at step 101, the presence or absence of a falling edge of the WD pulse is detected. Specifically, it is determined whether or not the current signal level of the WD pulse is LO (low) and the previous signal level is HI (high). It is determined that a falling edge has been detected. If YES, the WD monitoring counter is cleared to 0 in step 102 and the reset history is cleared in step 103. If NO, in step 104, the WD monitoring counter is incremented by one.
[0024]
Thereafter, in step 105, it is determined whether or not the value of the WD monitoring counter is equal to or greater than a predetermined value. Here, the time corresponding to the predetermined value is shorter than the time when the output stop of the WD pulse is determined by the WD circuit 13, and when the abnormality determination time by the WD circuit 13 is, for example, 24 msec, the monitoring CPU 12 The abnormality determination time is 16 msec, and a predetermined value = 8. If step 105 is YES, the process proceeds to step 106, and a reset history indicating that the control CPU 11 has been reset is stored in the memory 12a.
[0025]
FIG. 3 is a flowchart showing an initial process performed when the monitoring CPU 12 is initialized (at the time of activation).
In FIG. 3, first, in step 201, it is determined whether or not there is a reset history in the memory 12a. If there is a reset history, the process proceeds to step 202, and the abnormality counter is incremented by one. In step 203, the reset history in the memory 12a is cleared.
[0026]
Thereafter, in step 204, it is determined whether or not the abnormality counter is greater than or equal to a predetermined value (2 in the present embodiment). If YES, the process proceeds to step 205 and the control CPU 11 stores in the memory 12a that the control CPU 11 is abnormal. At this time, abnormality information is notified to the control CPU 11 in order to perform a predetermined fail-safe process.
[0027]
Although illustration of the processing flow is omitted, the abnormality counter is cleared when the ignition switch is turned off when the engine is stopped. Thus, the CPU abnormality is determined when the reset occurs twice during one trip of the vehicle travel.
[0028]
FIG. 4 is a time chart for more specifically explaining the processing of FIG. 2 and FIG. In FIG. 4, the control CPU 11 is operating normally before the timing t1, and the control CPU 11 is abnormal after the timing t1.
[0029]
Before timing t1, the WD pulse is output at a predetermined constant cycle (8 msec cycle). In this case, the WD monitoring counter is incremented every 2 msec and cleared to 0 each time a falling edge of the WD pulse is detected.
[0030]
After the timing t1, when the output of the WD pulse is stopped, the WD monitoring counter is not cleared to 0, so that the counter reaches a predetermined value (= 8) at the timing t2. At this time, the reset history is stored in the memory 12a of the monitoring CPU 12. Thereafter, at a timing t3 when 24 msec has elapsed from the output stop of the WD pulse, a reset signal is output from the WD circuit 13 to the control CPU 11. At this time, a reset signal is output from the control CPU 11 to the monitoring CPU 12.
[0031]
Thereafter, at timing t4, the control CPU 11 and the monitoring CPU 12 are restarted, and in the initial process of the monitoring CPU 12, the abnormality counter is incremented by 1 due to the reset history stored in the memory 12a. At this time, if the abnormality counter is 2 or more, the control CPU 11 is determined to be abnormal, and a predetermined fail-safe process is performed.
[0032]
Incidentally, when the output of the WD pulse is resumed between the timings t2 and t3, that is, after the output of the WD pulse is temporarily stopped, the output of the WD pulse returns to the normal state before the reset output by the WD circuit 13. In this case, the reset history in the memory 12a is cleared (erased) when the falling edge of the WD pulse comes. Therefore, inconvenience that only the reset history remains even though the reset by the WD circuit 13 is not actually performed can be avoided.
[0033]
According to the embodiment described in detail above, the following effects can be obtained.
Since the WD pulse output from the control CPU 11 to the WD circuit 13 is monitored by the monitoring CPU 12, and the reset history is stored according to the monitoring result, the reset of the control CPU 11 can be reliably determined. Therefore, fail-safe processing after CPU abnormality can be properly implemented.
[0034]
Further, since the monitoring CPU 12 stores the reset history earlier than the reset output by the WD circuit 13, the reset history can be reliably stored and held. As a result, it is possible to properly store and hold past abnormality information related to the CPU.
[0035]
When the monitoring CPU 12 stores the reset history and the output of the WD pulse returns to normal, the reset history is erased, so that the inconvenience of erroneously storing the reset history can be avoided.
[0036]
In the engine ECU 10 in which the engine control function and the electronic throttle control function are integrated in the control CPU 11, the above-described excellent effects can be achieved while reducing costs.
[0037]
(Second Embodiment)
Next, a second embodiment of the present invention will be described focusing on the differences from the first embodiment described above. FIG. 5 shows the configuration of engine ECU 10 in the present embodiment.
[0038]
In FIG. 5, as a difference from FIG. 1, a reset signal output from the WD circuit 13 to the control CPU 11 is also input to the monitoring CPU 12. That is, the monitoring CPU 12 monitors the reset line from the WD circuit 13 to the control CPU 11. The monitoring CPU 12 stores the reset history of the control CPU 11 in the memory 12a every time the reset signal is input.
[0039]
FIG. 6 is a flowchart showing various processes performed by the monitoring CPU 12, where (a) shows reset edge interrupt processing and (b) shows initial processing.
That is, the monitoring CPU 12 starts the interrupt process of FIG. 6A every time the reset signal is input, and increments the abnormality counter by 1 each time (step 301). In this embodiment, the count value of the abnormality counter corresponds to “reset history”.
[0040]
The monitoring CPU 12 activates the process of FIG. 6B at the time of initializing the CPU activation, and first determines whether or not the abnormality counter is greater than or equal to a predetermined value (2 in the present embodiment) (step 401). . If the abnormality counter ≧ 2, the control CPU 11 stores an abnormality in the memory 12a (step 402). At this time, abnormality information is notified to the control CPU 11 in order to perform a predetermined fail-safe process.
[0041]
As described above, according to the second embodiment, it is possible to reliably determine that the control CPU 11 is reset, as in the first embodiment described above. Therefore, fail-safe processing after CPU abnormality can be properly implemented.
[0042]
In the present embodiment, when the control CPU 11 subsequently resets the monitoring CPU 12 when the control CPU 11 is reset, it is conceivable that the monitoring CPU 12 does not have much time to store the reset history. Therefore, it is preferable to provide a delay circuit composed of a capacitor or the like on the reset line from the control CPU 11 to the monitoring CPU 12. As a result, after the reset signal is output from the WD circuit 13 to the control CPU 11, the reset signal is output from the control CPU 11 to the monitoring CPU 12 after a certain delay. Therefore, the monitoring CPU 12 can more reliably store and hold the reset history.
[0043]
In addition to the above, the present invention can be embodied in the following forms.
In the first embodiment, the monitoring CPU 12 determines the predetermined edge of the WD pulse in a time shorter than the abnormality determination time of the WD circuit 13, but the WD pulse determination time is made the same in the WD circuit 13 and the monitoring CPU 12. Also good. The point is that the monitoring CPU 12 may store the reset history of the control CPU 11 before the reset signal is output from the WD circuit 13 at the latest. However, when the WD pulse determination time is the same between the WD circuit 13 and the monitoring CPU 12, it is preferable to provide a delay circuit composed of a capacitor or the like on the reset line from the control CPU 11 to the monitoring CPU 12.
[0044]
In each of the above embodiments, the control CPU abnormality is determined based on the two reset histories during one trip, but it is also possible to immediately determine the control CPU abnormality based on the one reset history. Of course, it is also possible to make a determination based on the reset history three times or more.
[0045]
It is also possible to integrate the monitoring CPU 12 and the WD circuit 13 into one IC. In this case, cost reduction as the engine ECU 10 can be achieved.
[0046]
In each of the above-described embodiments, the control CPU 11 is a combination of the engine control function and the electronic throttle control function in the vehicle, but this configuration is changed. For example, an engine control CPU (main CPU) and an electronic throttle control CPU (sub CPU) may be provided separately (see FIG. 7). In this case, the sub CPU monitors the WD pulse output from the main CPU to the WD circuit, and when the periodicity is lost, the sub CPU resets the main CPU until the reset signal is output at the latest. Is stored in the memory. Alternatively, the sub CPU monitors the reset signal output from the WD circuit to the main CPU, and when the reset signal is output, the sub CPU stores the reset history in the memory.
[Brief description of the drawings]
FIG. 1 is a configuration diagram showing an outline of an engine ECU in a first embodiment.
FIG. 2 is a flowchart showing 2 msec processing by a monitoring CPU.
FIG. 3 is a flowchart showing initial processing by a monitoring CPU.
FIG. 4 is a time chart showing an abnormality detection operation.
FIG. 5 is a configuration diagram showing an engine ECU in a second embodiment.
FIG. 6 is a flowchart showing various processes performed by the monitoring CPU.
FIG. 7 is a block diagram showing a configuration of an engine ECU in the prior art.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 10 ... Engine ECU, 11 ... Control CPU, 12 ... Monitoring CPU, 12a ... Memory, 13 ... Monitoring circuit.

Claims (6)

車両制御を実施するメインCPUと、該メインCPUより所定周期で反転するウオッチドッグパルスを入力し、その周期性が崩れるとメインCPUに対してリセット信号を出力する監視回路と、メインCPUに対して通信可能に接続されたサブCPUとを備え、メインCPUのリセット時にはそれに引き続きメインCPUがサブCPUにリセットをかける構成とした車両用電子制御装置において、
サブCPUは、メインCPUから監視回路に出力されるウオッチドッグパルスをモニタし、その周期性が崩れた際、遅くとも監視回路からリセット信号が出力されるまでにメインCPUのリセット履歴をメモリに記憶することを特徴とする車両用電子制御装置。A main CPU that performs vehicle control, a watchdog pulse that is inverted at a predetermined cycle from the main CPU, and a monitoring circuit that outputs a reset signal to the main CPU when the periodicity is lost. A vehicular electronic control device including a sub CPU connected so as to be communicable, and the main CPU resetting the sub CPU subsequently when the main CPU is reset,
The sub CPU monitors the watchdog pulse output from the main CPU to the monitoring circuit, and stores the reset history of the main CPU in the memory until the reset signal is output from the monitoring circuit at the latest when the periodicity is lost. An electronic control device for a vehicle. サブCPUは、ウオッチドッグパルスの所定エッジの有無を確認し、ウオッチドッグパルスの所定エッジが無いとメインCPUにリセットがかかる旨予測してリセット履歴をメモリに記憶し、その後、監視回路によるリセット信号の出力前にウオッチドッグパルスの所定エッジが確認されると、前記記憶したリセット履歴を消去する請求項1記載の車両用電子制御装置。The sub CPU confirms the presence or absence of a predetermined edge of the watch dog pulse, predicts that the main CPU will be reset if there is no predetermined edge of the watch dog pulse, and stores the reset history in the memory. The vehicle electronic control device according to claim 1, wherein the stored reset history is erased when a predetermined edge of the watchdog pulse is confirmed before the output of. サブCPUは、リセット履歴がn回記憶された時点でメインCPUが異常である旨判定する請求項1又は2に記載の車両用電子制御装置。 The vehicular electronic control device according to claim 1, wherein the sub CPU determines that the main CPU is abnormal when the reset history is stored n times . メインCPUは、リセット後の再起動時においてサブCPUで記憶したリセット履歴に基づき所定のフェイルセーフ処理を実施する請求項1乃至3の何れかに記載の車両用電子制御装置。The vehicular electronic control device according to any one of claims 1 to 3, wherein the main CPU performs a predetermined fail-safe process based on a reset history stored in the sub CPU when restarting after reset . 監視回路からメインCPUにリセット信号が出力された後、一定時間遅らせてメインCPUからサブCPUにリセット信号を出力するよう構成した請求項1乃至4の何れかに記載の車両用電子制御装置。 5. The vehicular electronic control device according to claim 1 , wherein after the reset signal is output from the monitoring circuit to the main CPU, the reset signal is output from the main CPU to the sub CPU with a delay of a predetermined time . メインCPUは、車両におけるエンジン制御機能並びに電子スロットル制御機能を集約したものであり、サブCPUは、少なくともメインCPUの電子スロットル制御の状態を監視するものである請求項1乃至5の何れかに記載の車両用電子制御装置。 6. The main CPU is a combination of an engine control function and an electronic throttle control function in a vehicle, and the sub CPU monitors at least an electronic throttle control state of the main CPU. Vehicle electronic control device.
JP2001366974A 2001-09-27 2001-11-30 Electronic control device for vehicle Expired - Fee Related JP3908020B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2001366974A JP3908020B2 (en) 2001-11-30 2001-11-30 Electronic control device for vehicle
US10/242,697 US6775609B2 (en) 2001-09-27 2002-09-13 Electronic control unit for vehicle having operation monitoring function and fail-safe function

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001366974A JP3908020B2 (en) 2001-11-30 2001-11-30 Electronic control device for vehicle

Publications (2)

Publication Number Publication Date
JP2003167601A JP2003167601A (en) 2003-06-13
JP3908020B2 true JP3908020B2 (en) 2007-04-25

Family

ID=19176798

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001366974A Expired - Fee Related JP3908020B2 (en) 2001-09-27 2001-11-30 Electronic control device for vehicle

Country Status (1)

Country Link
JP (1) JP3908020B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170105343A (en) * 2016-03-09 2017-09-19 한국전자통신연구원 System on chip comprising core controller and core management method thereof

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4859803B2 (en) * 2007-10-01 2012-01-25 日立オートモティブシステムズ株式会社 Electric actuator control device
JP5240260B2 (en) * 2010-09-13 2013-07-17 株式会社デンソー Electronic control device for vehicle
JP6131906B2 (en) * 2014-04-08 2017-05-24 富士電機株式会社 Limp home system, its safety control device

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02250124A (en) * 1989-03-24 1990-10-05 Akebono Brake Ind Co Ltd Malfunction preventing method for on-vehicle electronic controller
JPH0599061A (en) * 1991-10-01 1993-04-20 Nippondenso Co Ltd Controller for automobile
JP3520662B2 (en) * 1996-04-09 2004-04-19 日産自動車株式会社 Monitoring device for electronic control unit
JP3817855B2 (en) * 1997-08-29 2006-09-06 株式会社デンソー Electronic control device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170105343A (en) * 2016-03-09 2017-09-19 한국전자통신연구원 System on chip comprising core controller and core management method thereof
KR102018541B1 (en) * 2016-03-09 2019-09-06 한국전자통신연구원 System on chip comprising core controller and core management method thereof

Also Published As

Publication number Publication date
JP2003167601A (en) 2003-06-13

Similar Documents

Publication Publication Date Title
US6775609B2 (en) Electronic control unit for vehicle having operation monitoring function and fail-safe function
US6892129B2 (en) Vehicle electronic control system and method having fail-safe function
JP4692318B2 (en) Electronic control unit
US6230094B1 (en) Electronic control system and method having monitor program
US7584310B2 (en) Signal processing device
US9477542B2 (en) Electronic control unit
US6820000B2 (en) Electronic control device having control and monitoring cpus
US8164214B2 (en) Vehicle control apparatus having function for preventing erroneous operation due to delay in activation of other vehicle control apparatus
JP3883842B2 (en) Electronic control device for vehicle
JP2006327217A (en) Program for vehicle control and electronic control device for vehicle
JP3923810B2 (en) Electronic control device for vehicle
JP3908020B2 (en) Electronic control device for vehicle
US6168321B1 (en) Electronic control unit having user breakable function
JP2002323902A (en) Electronic controller
JP3901987B2 (en) Electronic control device for vehicle
JP2003155954A (en) Electronic control device for vehicle
JP3804454B2 (en) Electronic control device
JP4375105B2 (en) Microcomputer monitoring device failure diagnosis method and vehicle electronic control device
JP2003097345A (en) Electronic control device for vehicle
US7103459B2 (en) Vehicular abnormality detecting device
EP1424479A1 (en) Electronic device architecture for determining the angular position of an engine shaft in internal combustion engines
JP6887277B2 (en) Electronic control device for automobiles
JP3732064B2 (en) Ignition timing control device
JP2019164579A (en) Electronic control device
JPH1082340A (en) Throttle control integrated engine control device and medium for recording engine control program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040720

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060512

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060523

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060724

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070116

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070117

R150 Certificate of patent or registration of utility model

Ref document number: 3908020

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110126

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120126

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120126

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130126

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140126

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees