JP3923810B2 - Electronic control device for vehicle - Google Patents

Electronic control device for vehicle Download PDF

Info

Publication number
JP3923810B2
JP3923810B2 JP2002021060A JP2002021060A JP3923810B2 JP 3923810 B2 JP3923810 B2 JP 3923810B2 JP 2002021060 A JP2002021060 A JP 2002021060A JP 2002021060 A JP2002021060 A JP 2002021060A JP 3923810 B2 JP3923810 B2 JP 3923810B2
Authority
JP
Japan
Prior art keywords
abnormality
control cpu
monitoring
cpu
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002021060A
Other languages
Japanese (ja)
Other versions
JP2003222053A (en
Inventor
啓晴 竹内
剛博 城向
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Toyota Motor Corp
Original Assignee
Denso Corp
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp, Toyota Motor Corp filed Critical Denso Corp
Priority to JP2002021060A priority Critical patent/JP3923810B2/en
Priority to US10/242,697 priority patent/US6775609B2/en
Publication of JP2003222053A publication Critical patent/JP2003222053A/en
Application granted granted Critical
Publication of JP3923810B2 publication Critical patent/JP3923810B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Combined Controls Of Internal Combustion Engines (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、制御CPUと監視CPUとを備える車両用電子制御装置であって、特に制御CPUの異常を適切に監視するための処理に関するものである。
【0002】
【従来の技術】
車載エンジン等の制御を司る車両用電子制御装置(車載ECU)として、車両制御を実施する制御CPUと、この制御CPUの動作を監視するための監視CPUとを具備するものがある。例えば、近年ではCPUの高機能・大容量化により、1つの制御CPUでエンジン制御(噴射・点火制御)と電子スロットル制御とを実施する構成が提案されており、この場合、制御CPUに通信可能に接続された監視CPUは、制御CPUを監視して電子スロットル制御等が正常に機能しているかどうかを判定する。
【0003】
また、上記構成の車両用電子制御装置では、制御CPUと監視CPUとの間で定期的に通信が行われる。そして、監視CPUでは制御CPUからの通信が所定時間途絶えた場合に通信異常である旨判定され、その異常発生の履歴が記憶される。また一般には、制御CPUの動作はウオッチドッグ監視回路で監視されており、通信異常時にはこのウオッチドッグ監視回路からのリセット出力により制御CPUがリセットされる。つまり、通信異常であることを受けて制御CPUが監視CPUを繰り返しリセットし、それでも通信が回復しないとWDパルス(ウオッチドッグパルス)の出力を停止する。すると、ウオッチドッグ監視回路により制御CPUがリセットされる。しかしこれでは、通信異常の発生からCPUリセットまでに時間を要するため、通信異常時には、監視CPUにより制御CPUがリセットされる機能を付与することが考えられている。
【0004】
更に、制御CPUからウオッチドッグ監視回路に発信されるWDパルスを監視CPUにも取り込み、監視CPUでWDパルス、すなわち制御CPUの状態を監視することも考えられている。この場合、制御CPUの暴走時にWDパルスが停止すると、その異常発生が監視CPUで検出され、その異常の履歴が記憶される。
【0005】
しかしながら、上記の構成の電子制御装置において、仮に制御CPUの暴走時を想定すると、制御CPUでは通信異常とWDパルスの出力異常とが共に発生し、これらの異常情報が適切に記憶保持できないという問題が生じる。具体的には、先に通信異常が検出されると、その時点で監視CPUにより制御CPUがリセットされ、WDパルスの出力異常である旨記憶できない。故に、CPU暴走時にも通信異常であるとしか認識できない場合が生じる。
【0006】
【発明が解決しようとする課題】
本発明は、上記問題に着目してなされたものであって、その目的とするところは、異常内容の特定を適正に行うことができる車両用電子制御装置を提供することである。
【0007】
【課題を解決するための手段】
本発明の車両用電子制御装置において、監視CPUは、制御CPUとの通信状態を監視し通信異常時にはその旨を記憶すると共に該制御CPUにリセットをかける(第1の異常検出手段)。また、同監視CPUは、制御CPUから出力され所定周期で反転するウオッチドッグパルスをモニタして該ウオッチドッグパルスが所定時間以上反転しない場合に、ウオッチドッグパルス異常としてこれを記憶する(第2の異常検出手段)。かかる場合、請求項1に記載の発明では、第1の異常検出手段による異常検出時間をX、第2の異常検出手段による異常検出時間をYとしたとき、
X≧Y
の関係を満たすよう異常検出時間X,Yが規定される。
【0008】
上記構成によれば、仮に制御CPUが異常状態(暴走状態)となり、通信もウオッチドッグパルス出力も停止した場合、異常検出時間Yが経過した時に先にウオッチドッグパルス異常の発生が検出されその旨記憶される。その後、異常検出時間Xが経過した時に通信異常の発生が検出されてその旨記憶され、制御CPUにリセットがかかる。つまり、ウオッチドッグパルス異常と通信異常とが各々確実に記憶され、異常内容の特定を適正に行うことができる。因みに、CPU暴走時には、通信異常であることよりもウオッチドッグパルス異常であることが優先的に検出されるのが望ましい。
【0009】
また、請求項2に記載の発明では、ウオッチドッグ監視回路は、制御CPUよりウオッチドッグパルスを入力し該ウオッチドッグパルスが所定の監視時間Zだけ途絶えると制御CPUに対してリセット信号を出力する。この構成において、第1の異常検出手段による異常検出時間Xとウオッチドッグ監視回路による監視時間Zとが、
X≦Z
の関係を満たすよう規定される。
【0010】
かかる場合、制御CPUの暴走に伴い通信及びウオッチドッグパルス出力が共に停止した際、遅くともウオッチドッグ監視回路によるリセット出力までに監視CPUにより通信異常の発生が検出され、その旨が記憶される。故に、制御CPUの異常情報が確実に記憶保持できる。
【0011】
また、請求項3に記載の発明では、前記同様に第1の異常検出手段による異常検出時間をX、第2の異常検出手段による異常検出時間をYとしたとき、
X<Y
の関係を満たすよう異常検出時間X,Yを規定し、監視CPUは、前記第1の異常検出手段による通信異常の検出時にその時点で制御CPUへのリセット出力の適否を判断し、その結果に応じてリセット出力を制限するようにした。
【0012】
本請求項3の発明では、異常検出時間X,Yの規定が請求項1とは逆であるが、通信異常検出時に無条件で制御CPUがリセットされるのではなく、その都度の適否に応じてリセット出力が制限される。故に、例えば制御CPUが暴走して通信もウオッチドッグパルス出力も停止した場合、通信異常検出時におけるリセット出力が制限され、結果としてウオッチドッグパルス異常と通信異常とが各々確実に記憶されるようになる。
【0013】
上記請求項3の発明では請求項4に記載したように、監視CPUは、前記第1の異常検出手段による通信異常の検出時にその時点でウオッチドッグパルスの正常/異常を推測して異常と推測される場合には制御CPUにリセットをかけないようにすると良い。要するに、通信異常の検出時にウオッチドッグパルスが異常と推測される場合には、その後の異常検出時間Yの経過時にウオッチドッグパルス異常の旨が記憶される可能性があり、故に制御CPUのリセットが制限される。これにより、ウオッチドッグパルス異常と通信異常とが各々確実に記憶されるようになる。
【0014】
請求項5に記載の発明では、第2の異常検出手段による異常検出時間Yとウオッチドッグ監視回路による監視時間Zとが、
Y≦Z
の関係を満たすよう規定される。かかる場合、ウオッチドッグパルスの停止時において、遅くともウオッチドッグ監視回路によるリセット出力までに監視CPUによりウオッチドッグパルス異常の発生が検出され、その旨が記憶される。故に、制御CPUの異常情報が確実に記憶保持できる。
【0015】
【発明の実施の形態】
(第1の実施の形態)
以下、この発明を具体化した第1の実施の形態を図面に従って説明する。本実施の形態では、車両用電子制御装置としてのエンジンECUに本発明を具体化しており、図1にはエンジンECUの構成を示す。
【0016】
図1において、エンジンECU10は、エンジンの噴射制御、点火制御及び電子スロットル制御を実施するための制御CPU(メインCPU)11と、電子スロットル制御を含む制御CPU11の動作に関する監視制御を実施するための監視CPU(サブCPU)12と、制御CPU11の動作を監視するためのWD回路13とを備える。制御CPU11は、エンジン回転数、吸気管内圧力、スロットル開度等々のエンジン運転情報を各種センサより随時入力し、当該運転情報に基づき図示しないインジェクタ、イグナイタ、スロットルアクチュエータ等の駆動を制御する。また、制御CPU11は、監視CPU12の動作を監視するための監視制御を実施する。すなわち、監視CPU12は制御CPU11に対して所定周期で反転するWDパルスを出力し、制御CPU11は監視CPU12からのWDパルスが所定時間以上反転しなかった場合に監視CPU12に対してリセット信号を出力する。
【0017】
制御CPU11と監視CPU12とは相互に通信可能に接続されており、制御CPU11は、監視CPU12に対してスロットル開度、アクセル開度、フェイルセーフ実施フラグ等、スロットル制御に関するデータを送信する。このとき、制御CPU11から監視CPU12に対しては通常一定の周期でデータが送信され、監視CPU12は制御CPU11からの通信状態を監視する。またその他に、監視CPU12は受信データの内容に基づいてスロットル制御状態を監視する。そして、それらの監視結果を制御CPU11に対して返信する。
【0018】
制御CPU11は、監視CPU12での監視結果に従い、異常発生時に所定のフェイルセーフ処理を実施する。フェイルセーフ処理として具体的には、車両の退避走行(リンプホーム)を実現すべく、一部の気筒の燃料噴射を休止させる減筒制御や点火時期を遅角させる点火遅角制御等を実施する。
【0019】
また、制御CPU11は、WD回路13に対して所定周期で反転するWDパルスを出力する。WD回路13は「ウオッチドッグ監視回路」を構成するものであり、制御CPU11からのWDパルスが所定時間以上反転しなかった場合に制御CPU11に対してリセット信号を出力する。
【0020】
制御CPU11からWD回路13に出力されるWDパルスは監視CPU12にも入力される。監視CPU12は、WDパルスの所定エッジ(例えば立ち下がりエッジ)の有無を判別し、所定エッジが所定時間以上検出されない場合、すなわちWDパルスが所定時間以上反転しない場合に、制御CPU11のWDパルス出力が停止した旨判定する。
【0021】
監視CPU12にはメモリ12aが設けられており、制御CPU11の通信異常やWDパルスの出力異常(WD異常)が検出された際、その履歴情報がメモリ12aに記憶されるようになっている。なお、メモリ12aは、EEPROMやスタンバイRAM等、電源遮断時にも内容を記憶保持できるメモリである。
【0022】
本実施の形態では特に、監視CPU12が制御CPU11に対して直接リセットをかけることが可能な構成としており、制御CPU11との通信が正しく行われない場合、監視CPU12が制御CPU11に対してリセット信号を出力する。また、WD回路13又は監視CPU12の何れかにより制御CPU11がリセットされる場合、それに連動して監視CPU12もリセットされるよう構成されている。
【0023】
また本実施の形態では、監視CPU12が制御CPU11の通信異常を検出する異常検出時間をX(ms)、監視CPU12が制御CPU11のWD異常を検出する異常検出時間をY(ms)、WD回路13が制御CPU11のWD異常を検出する異常検出時間をZ(ms)として規定している。この場合、各異常検出時間X,Y,ZがY<Z<Xの関係となるよう各時間が設定されている。具体的には、本実施の形態においてX=100ms、Y=16ms、Z=24msとしている。
【0024】
次に、上記構成のエンジンECU10について制御CPU11の動作監視の概要を説明する。以下、図2〜図5のフローチャートは何れも監視CPU12の処理であり、これらの処理により制御CPU11の動作が監視される。
【0025】
図2は制御CPU11の通信異常を検出する通信異常検出処理を示すフローチャートであり、この処理は監視CPU12により例えば2ms毎に実施される。なおこの処理が特許請求の範囲に記載した「第1の異常検出手段」に相当する。
【0026】
図2において、先ずステップ101では、制御CPU11から通信データを受信したか否かを判別し、受信していれば、ステップ102で通信監視カウンタを0にクリアする。また、受信していなければ、ステップ103で通信監視カウンタを1インクリメントする。
【0027】
その後、ステップ104では、通信監視カウンタがX(ms)相当の値よりも大きくなったか否かを判別し、NOであればそのまま本処理を終了する。また、YESである場合、ステップ105で通信異常履歴をメモリ(スタンバイRAM)12aに記憶し、続くステップ106で制御CPU11をリセットする。
【0028】
また、図3はWDパルス異常の検出処理を示すフローチャートであり、この処理は監視CPU12により例えば2ms毎に実施される。なおこの処理が特許請求の範囲に記載した「第2の異常検出手段」に相当する。
【0029】
図3において、先ずステップ201では、WDパルスの立ち下がりエッジを検出したか否かを判別する。検出していれば、ステップ202でWD監視カウンタを0にクリアすると共にステップ203でWD異常履歴をクリアする。また、WDパルスの立ち下がりエッジを検出していなければ、ステップ204でWD監視カウンタを1インクリメントする。
【0030】
その後、ステップ205では、WD監視カウンタがY(ms)相当の値よりも大きくなったか否かを判別し、NOであればそのまま本処理を終了する。また、YESである場合、ステップ206でWD異常履歴をメモリ(スタンバイRAM)12aに記憶する。
【0031】
図4は監視CPU12によるイニシャル処理を示すフローチャートである。図4において、先ずステップ301では、メモリ12a内のWD異常履歴の有無を判別し、WD異常履歴有りの場合、ステップ302〜305の処理を実施する。すなわち、ステップ302では、WD異常カウンタを1インクリメントし、続くステップ303では、WD異常履歴をクリアする。また、ステップ304では、WD異常カウンタが所定値(本実施の形態では2)よりも大きいか否かを判別し、YESの場合のみステップ305に進み、WD異常(CPU異常)を表すダイアグ出力を実施する。
【0032】
その後、ステップ306では、メモリ12a内の通信異常履歴の有無を判別し、通信異常履歴有りの場合、ステップ307〜310の処理を実施する。すなわち、ステップ307では、通信異常カウンタを1インクリメントし、続くステップ308では、通信異常履歴をクリアする。また、ステップ309では、通信異常カウンタが所定値(本実施の形態では2)よりも大きいか否かを判別し、YESの場合のみステップ310に進み、通信異常を表すダイアグ出力を実施する。
【0033】
通信異常及びWD異常のカウンタ値等はIGスイッチのOFF時に消去される。すなわち、監視CPU12はIGスイッチのOFF時に図5の処理を実施する。この場合監視CPU12は、ステップ401で通信異常カウンタをクリアし、ステップ402でWD異常カウンタをクリアする。また、ステップ403で通信異常履歴をクリアし、ステップ404でWD異常履歴をクリアする。
【0034】
要するに上記図4及び図5の処理によれば、1トリップ(IGスイッチのON〜OFFまでの間)にWD異常又は通信異常が2回以上発生した場合にダイアグ出力が実施される。ダイアグ出力時には、制御CPU11が所定のフェイルセーフ処理を実施する。つまり、退避走行を行うべく減筒制御や点火遅角制御等が実施される。
【0035】
次に、異常監視の様子を図6のタイムチャートを用いてより具体的に説明する。図6は制御CPU11が暴走状態になる場合を想定したものであり、図中のタイミングt1以降、制御CPU11が暴走する。
【0036】
図6において、タイミングt1以前は制御CPU11から監視CPU12に対して定期的(4ms毎)に通信データが送信されると共に、一定周期(8ms周期)でWDパルスが反転される。このとき、WD監視カウンタ及び通信監視カウンタは0付近の値で推移する。勿論、異常履歴が記憶されることはない。
【0037】
タイミングt1では制御CPU11の暴走に伴い通信及びWDパルス出力が停止される。これにより、WD監視カウンタ及び通信監視カウンタが次第にカウントアップされ、異常検出時間Yが経過したタイミングt2ではWD異常履歴がメモリ12aに記憶される。
【0038】
またその後、異常検出時間Zが経過したタイミングt3ではWD回路13から制御CPU11に対してリセット信号が出力される。これにより、制御CPU11がリセットされ、それに引き続き監視CPU12もリセットされる。その後、タイミングt4で各CPU11,12が再起動すると、メモリ12a内のWD異常履歴がクリアされると共に、WD異常カウンタが1カウントアップされる。なおタイミングt4以降、図示の通り制御CPU11が正常に復帰すると、WD監視カウンタ及び通信監視カウンタが再び0付近の値で推移するようになる。
【0039】
上記図6では、Y<Zの関係にあることから、WD回路13によるリセット出力の前に監視CPU12でWD異常履歴が確実に記憶保持できる。また、Y<Xの関係にあることから、WD異常履歴の記憶前に通信異常に伴い制御CPU11がリセットされるという不都合は生じない。このことからも、WD異常履歴が確実に記憶保持できることが言える。
【0040】
図示は省略するが、制御CPU11において通信停止で且つWDパルス正常となる場合には、通信監視カウンタのみが次第にカウントアップされる。そして、通信監視カウンタの値がX相当の値になった時に、通信異常履歴がメモリ12aに記憶されると共に監視CPU12により制御CPU11がリセットされる。
【0041】
また逆に、制御CPU11においてWDパルス停止で且つ通信正常となる場合には、WD監視カウンタのみが次第にカウントアップされる。そして、上記図6と同様に、WD監視カウンタの値がY相当の値になった時に、WD異常履歴がメモリ12aに記憶される。更に、WD異常から異常検出時間Zが経過した時にWD回路13により制御CPU11がリセットされる。
【0042】
以上詳述した本実施の形態によれば、各異常検出時間X,Y,Zを「Y<Z<X」の関係に規定したため、制御CPU11の暴走時にもWDパルス異常と通信異常とが各々確実に記憶され、異常内容の特定を適正に行うことができる。
【0043】
異常内容の特定が適正に行われることにより、その後のフェイルセーフ処理も適正に実施できる。つまり、通信異常かWDパルス異常(CPU異常)かに応じた適切な処置が可能となる。
【0044】
上記構成では、各異常検出時間X,Y,Zを「Y<Z<X」の関係に規定したがこれを変更し、「Y<X<Z」の関係に規定することも可能である。つまり、異常検出時間X,Zの大小関係を逆にする(X<Zとする)。この場合のタイムチャートを図7に示す。図7には前記図6と同様、制御CPU11の暴走時の動作を示す。
【0045】
図7では、前記図6と同様にタイミングt11で制御CPU11の通信及びWDパルス出力が停止される。これにより、WD監視カウンタ及び通信監視カウンタが次第にカウントアップされ、異常検出時間Yが経過したタイミングt12ではWD異常履歴がメモリ12aに記憶される。
【0046】
その後、異常検出時間Xが経過したタイミングt13では通信異常履歴がメモリ12aに記憶される。そして、このタイミングt13で監視CPU12により制御CPU11がリセットされる。その後、タイミングt14で各CPU11,12が再起動すると、メモリ12a内のWD異常履歴及び通信異常履歴がクリアされると共に、WD異常カウンタ及び通信異常フラグが各々1カウントアップされる。
【0047】
上記の如く「Y<X<Z」の関係を規定した場合、制御CPU11の暴走により通信及びWDパルス出力が共に停止した際にWD異常と通信異常の履歴が両方共確実に記憶できる。
【0048】
(第2の実施の形態)
次に、本発明における第2の実施の形態について、上述した第1の実施の形態との相違点を中心に説明する。本実施の形態では、異常検出時間X,Yを「X>Y」に規定したがこの大小関係を逆する(X<Yとする)。この場合、X<Yとすることで、前述の通り制御CPU11の暴走時において先に通信異常が検出され、WD異常履歴を記憶する前にリセットがかかることが懸念されるが、本実施の形態では通信異常の検出時にその時点で制御CPU11にリセットをかけて良いかどうかが判断される。つまり、その判断の結果に結果に応じてリセット出力が許可又は禁止される。これにより、異常内容の特定を適正に行うことを実現する。
【0049】
図8は本実施の形態における通信異常検出処理を示すフローチャートであり、この処理は前記図2に置き換えて実施される。図8の処理は、前記図2の処理に対してステップ501を追加したものである。
【0050】
要するに図8では、通信監視カウンタがX(ms)相当の値よりも大きくなった場合、通信異常履歴をメモリ12aに記憶する(ステップ104,105)。そして、ステップ501では、その時点でWDパルスが正常であるがどうかを推測する。このとき、WDパルスのエッジの確認によりWDパルスの正常/異常が推測される。WDパルスが正常でないと推測される場合にはそのまま本処理を終了する。また、WDパルスが正常であると推測される場合にはステップ106に進み、制御CPU11をリセットする。
【0051】
上記図8の処理に対応するタイムチャートを図9に示す。図9には前記図6等と同様、制御CPU11の暴走時の動作を示す。
図9では、前記図6等と同様にタイミングt21で制御CPU11の通信及びWDパルス出力が停止され、WD監視カウンタ及び通信監視カウンタが次第にカウントアップされる。そして、異常検出時間Xが経過したタイミングt22で通信異常履歴がメモリ12aに記憶される。このとき、WDパルスの正常/異常が推測され、WD異常と推測されると監視CPU12による制御CPU11のリセットが行われない(図示の状態)。
【0052】
その後、異常検出時間Yが経過したタイミングt23でWD異常履歴がメモリ12aに記憶され、更に異常検出時間Zが経過したタイミングt24でWD回路13により制御CPU11がリセットされる。その後、タイミングt25で各CPU11,12が再起動すると、メモリ12a内のWD異常履歴及び通信異常履歴がクリアされると共に、WD異常カウンタ及び通信異常フラグが各々1カウントアップされる。
【0053】
但し、タイミングt22でWDパルスが正常であると推測される場合には、そのタイミングt22で制御CPU11がリセットされる。因みに、タイミングt22でWDパルス異常が誤って推測された場合、その時点では制御CPU11がリセットされないが、次に通信異常が検出された時に制御CPU11がリセットされることとなる。
【0054】
要するに、通信異常の検出時にWDパルスが異常と推測される場合には、その後の異常検出時間Yの経過時にWDパルス異常の旨が記憶される可能性があり、故に制御CPU11のリセットが制限される。これにより、WDパルス異常と通信異常とが各々確実に記憶されるようになる。
【0055】
上記第2の実施の形態では、通信異常の検出時にWDパルスの正常/異常を推測しその結果に応じて制御CPU11へのリセット出力を制限したが、この構成を変更する。例えば、通信異常の検出時に過去の異常履歴(通信又はWDの異常履歴)等に応じて制御CPU11へのリセット出力を制限しても良い。
【0056】
各異常検出時間X,Y,Zを規定する場合に、X≧Y、X≦Z、Y≦Zとする等、イコールを含むよう大小関係を規定しても良い。要は、異常検出時間が同一であっても、異常履歴等の情報が確実に記憶できさえすれば良い。
【0057】
監視CPU12とWD回路13とを一つのICに集約し一体化することも可能である。この場合、エンジンECU10としてのコスト削減を図ることができる。
【0058】
上記各実施の形態では、制御CPU11として、車両におけるエンジン制御機能と電子スロットル制御機能とを集約したものを用いたが、この構成を変更する。例えば、エンジン制御用のCPU(メインCPU)と電子スロットル制御用のCPU(サブCPU)とを個別に設ける構成であっても良い。この場合にも上記の如く各異常検出時間を規定することで、所望の効果が得られることとなる。
【図面の簡単な説明】
【図1】発明の実施の形態におけるエンジンECUの概要を示す構成図。
【図2】監視CPUによる通信異常検出処理を示すフローチャート。
【図3】監視CPUによるWD異常検出処理を示すフローチャート。
【図4】監視CPUによるイニシャル処理を示すフローチャート。
【図5】監視CPUによるIGSWOFF時の処理を示すフローチャート。
【図6】制御CPUの暴走時の動作を示すタイムチャート。
【図7】制御CPUの暴走時の動作を示すタイムチャート。
【図8】第2の実施の形態において監視CPUによる通信異常検出処理を示すフローチャート。
【図9】制御CPUの暴走時の動作を示すタイムチャート。
【符号の説明】
10…エンジンECU、11…制御CPU、12…監視CPU、12a…メモリ、13…WD回路。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a vehicular electronic control device including a control CPU and a monitoring CPU, and particularly relates to a process for appropriately monitoring an abnormality of the control CPU.
[0002]
[Prior art]
2. Description of the Related Art Some vehicle electronic control devices (vehicle-mounted ECUs) that control a vehicle-mounted engine and the like include a control CPU that performs vehicle control and a monitoring CPU that monitors the operation of the control CPU. For example, in recent years, a configuration has been proposed in which engine control (injection / ignition control) and electronic throttle control are performed by a single control CPU due to the high function and large capacity of the CPU. In this case, communication with the control CPU is possible. The monitoring CPU connected to the CPU monitors the control CPU to determine whether the electronic throttle control or the like is functioning normally.
[0003]
In the vehicle electronic control device having the above-described configuration, communication is periodically performed between the control CPU and the monitoring CPU. The monitoring CPU determines that there is a communication abnormality when communication from the control CPU is interrupted for a predetermined time, and stores the history of the occurrence of the abnormality. In general, the operation of the control CPU is monitored by a watchdog monitoring circuit, and the control CPU is reset by a reset output from the watchdog monitoring circuit when communication is abnormal. In other words, the control CPU repeatedly resets the monitoring CPU in response to the communication abnormality, and if communication is not recovered, output of the WD pulse (watchdog pulse) is stopped. Then, the control CPU is reset by the watchdog monitoring circuit. However, in this case, since it takes time from the occurrence of the communication abnormality to the CPU reset, it is considered to provide a function for resetting the control CPU by the monitoring CPU when the communication abnormality occurs.
[0004]
Furthermore, it is also considered that the WD pulse transmitted from the control CPU to the watchdog monitoring circuit is also taken into the monitoring CPU, and the monitoring CPU monitors the WD pulse, that is, the state of the control CPU. In this case, when the WD pulse is stopped during the runaway of the control CPU, the abnormality occurrence is detected by the monitoring CPU, and the abnormality history is stored.
[0005]
However, in the electronic control device having the above configuration, assuming that the control CPU is out of control, both the communication abnormality and the WD pulse output abnormality occur in the control CPU, and the abnormality information cannot be properly stored and held. Occurs. Specifically, when a communication abnormality is detected first, the control CPU is reset by the monitoring CPU at that time, and it cannot be stored that the output abnormality of the WD pulse. Therefore, there may be a case where it can be recognized only that the communication is abnormal even when the CPU runs away.
[0006]
[Problems to be solved by the invention]
The present invention has been made paying attention to the above problems, and an object of the present invention is to provide an electronic control device for a vehicle that can appropriately specify the content of an abnormality.
[0007]
[Means for Solving the Problems]
In the vehicular electronic control device of the present invention, the monitoring CPU monitors the communication state with the control CPU, stores the fact when communication is abnormal, and resets the control CPU (first abnormality detecting means). Also, the monitoring CPU, when the watchdog pulse monitoring the watchdog pulse you inverted at a predetermined period is output from the control CPU is not inverted for a predetermined time or more, stores it as a watchdog pulse abnormal (second Anomaly detection means). In such a case, in the first aspect of the invention, when the abnormality detection time by the first abnormality detection means is X and the abnormality detection time by the second abnormality detection means is Y,
X ≧ Y
The abnormality detection times X and Y are defined so as to satisfy the relationship.
[0008]
According to the above configuration, if the control CPU is in an abnormal state (runaway state) and communication and watchdog pulse output are stopped, the occurrence of the watchdog pulse abnormality is detected first when the abnormality detection time Y elapses. Remembered. Thereafter, when the abnormality detection time X has elapsed, the occurrence of a communication abnormality is detected and stored, and the control CPU is reset. That is, the watchdog pulse abnormality and the communication abnormality are reliably stored, and the abnormality content can be specified appropriately. Incidentally, it is desirable that when the CPU is out of control, the watchdog pulse abnormality is detected preferentially over the communication abnormality.
[0009]
According to a second aspect of the present invention, the watchdog monitoring circuit inputs a watchdog pulse from the control CPU and outputs a reset signal to the control CPU when the watchdog pulse is interrupted for a predetermined monitoring time Z. In this configuration, the abnormality detection time X by the first abnormality detection means and the monitoring time Z by the watchdog monitoring circuit are:
X ≦ Z
It is prescribed to satisfy the relationship.
[0010]
In such a case, when both the communication and the watchdog pulse output are stopped due to the runaway of the control CPU, the monitoring CPU detects the occurrence of the communication abnormality by the reset output by the watchdog monitoring circuit at the latest, and stores that fact. Therefore, the abnormal information of the control CPU can be reliably stored and held.
[0011]
In the invention according to claim 3, when the abnormality detection time by the first abnormality detection means is X and the abnormality detection time by the second abnormality detection means is Y as in the above,
X <Y
The abnormality detection times X and Y are defined so as to satisfy the above relationship. When the communication abnormality is detected by the first abnormality detection means, the monitoring CPU determines whether or not the reset output to the control CPU is appropriate at that time. The reset output is limited accordingly.
[0012]
In the invention of claim 3, the regulation of the abnormality detection times X and Y is opposite to that of claim 1, but the control CPU is not reset unconditionally when a communication abnormality is detected. This limits the reset output. Therefore, for example, if the control CPU runs away and communication and watchdog pulse output stop, the reset output when communication abnormality is detected is limited, and as a result, watchdog pulse abnormality and communication abnormality are reliably stored. Become.
[0013]
According to the third aspect of the present invention, as described in the fourth aspect, the monitoring CPU estimates the normality / abnormality of the watchdog pulse at the time when the communication abnormality is detected by the first abnormality detecting means and estimates that it is abnormal. In this case, it is preferable not to reset the control CPU. In short, if it is estimated that the watchdog pulse is abnormal when a communication abnormality is detected, the fact that the watchdog pulse is abnormal may be stored when the abnormality detection time Y elapses thereafter. Limited. As a result, the watchdog pulse abnormality and the communication abnormality are reliably stored.
[0014]
In the invention according to claim 5, the abnormality detection time Y by the second abnormality detection means and the monitoring time Z by the watchdog monitoring circuit are:
Y ≦ Z
It is prescribed to satisfy the relationship. In such a case, when the watchdog pulse is stopped, the monitoring CPU detects the occurrence of the watchdog pulse abnormality until the reset output by the watchdog monitoring circuit at the latest, and stores that fact. Therefore, the abnormal information of the control CPU can be reliably stored and held.
[0015]
DETAILED DESCRIPTION OF THE INVENTION
(First embodiment)
Hereinafter, a first embodiment of the present invention will be described with reference to the drawings. In the present embodiment, the present invention is embodied in an engine ECU as a vehicle electronic control device, and FIG. 1 shows a configuration of the engine ECU.
[0016]
In FIG. 1, an engine ECU 10 performs a monitoring control related to an operation of a control CPU (main CPU) 11 for performing engine injection control, ignition control and electronic throttle control, and a control CPU 11 including electronic throttle control. A monitoring CPU (sub CPU) 12 and a WD circuit 13 for monitoring the operation of the control CPU 11 are provided. The control CPU 11 inputs engine operation information such as engine speed, intake pipe pressure, throttle opening, etc. from various sensors as needed, and controls driving of an injector, an igniter, a throttle actuator, etc. (not shown) based on the operation information. Further, the control CPU 11 performs monitoring control for monitoring the operation of the monitoring CPU 12. That is, the monitoring CPU 12 outputs a WD pulse that is inverted at a predetermined cycle to the control CPU 11, and the control CPU 11 outputs a reset signal to the monitoring CPU 12 when the WD pulse from the monitoring CPU 12 is not inverted for a predetermined time or more. .
[0017]
The control CPU 11 and the monitoring CPU 12 are connected so as to be able to communicate with each other, and the control CPU 11 transmits data related to throttle control, such as a throttle opening, an accelerator opening, and a fail safe execution flag, to the monitoring CPU 12. At this time, data is normally transmitted from the control CPU 11 to the monitoring CPU 12 at a constant cycle, and the monitoring CPU 12 monitors the communication state from the control CPU 11. In addition, the monitoring CPU 12 monitors the throttle control state based on the content of the received data. Then, those monitoring results are returned to the control CPU 11.
[0018]
The control CPU 11 performs a predetermined fail-safe process when an abnormality occurs according to the monitoring result of the monitoring CPU 12. Specifically, as the fail-safe process, in order to realize retreat travel (limp home) of the vehicle, reduction cylinder control for stopping fuel injection of some cylinders, ignition delay control for delaying ignition timing, and the like are performed. .
[0019]
Further, the control CPU 11 outputs a WD pulse that is inverted at a predetermined cycle to the WD circuit 13. The WD circuit 13 constitutes a “watchdog monitoring circuit”, and outputs a reset signal to the control CPU 11 when the WD pulse from the control CPU 11 is not inverted for a predetermined time or more.
[0020]
The WD pulse output from the control CPU 11 to the WD circuit 13 is also input to the monitoring CPU 12. The monitoring CPU 12 determines the presence / absence of a predetermined edge (for example, a falling edge) of the WD pulse. When the predetermined edge is not detected for a predetermined time or more, that is, when the WD pulse is not inverted for a predetermined time or more, the WD pulse output of the control CPU 11 is Judge that it has stopped.
[0021]
The monitoring CPU 12 is provided with a memory 12a, and when a communication abnormality of the control CPU 11 or a WD pulse output abnormality (WD abnormality) is detected, the history information is stored in the memory 12a. Note that the memory 12a is a memory that can store and retain the contents even when the power is turned off, such as an EEPROM or a standby RAM.
[0022]
In the present embodiment, in particular, the monitoring CPU 12 is configured to be able to directly reset the control CPU 11. When the communication with the control CPU 11 is not performed correctly, the monitoring CPU 12 sends a reset signal to the control CPU 11. Output. Further, when the control CPU 11 is reset by either the WD circuit 13 or the monitoring CPU 12, the monitoring CPU 12 is also reset in conjunction therewith.
[0023]
In the present embodiment, the monitoring CPU 12 detects an abnormality detection time for detecting the communication abnormality of the control CPU 11 as X (ms), the monitoring CPU 12 sets the abnormality detection time for detecting the WD abnormality of the control CPU 11 as Y (ms), and the WD circuit 13. Defines the abnormality detection time for detecting the WD abnormality of the control CPU 11 as Z (ms). In this case, each time is set so that each abnormality detection time X, Y, Z has a relationship of Y <Z <X. Specifically, in this embodiment, X = 100 ms, Y = 16 ms, and Z = 24 ms.
[0024]
Next, an outline of operation monitoring of the control CPU 11 for the engine ECU 10 having the above configuration will be described. Hereinafter, the flowcharts of FIGS. 2 to 5 are all processes of the monitoring CPU 12, and the operation of the control CPU 11 is monitored by these processes.
[0025]
FIG. 2 is a flowchart showing a communication abnormality detection process for detecting a communication abnormality of the control CPU 11. This process is performed by the monitoring CPU 12 every 2 ms, for example. This process corresponds to “first abnormality detection means” recited in the claims.
[0026]
In FIG. 2, first, in step 101, it is determined whether or not communication data has been received from the control CPU 11, and if received, the communication monitoring counter is cleared to 0 in step 102. If not received, the communication monitoring counter is incremented by 1 in step 103.
[0027]
Thereafter, in step 104, it is determined whether or not the communication monitoring counter has become larger than a value corresponding to X (ms). If NO, this processing is terminated as it is. If YES, the communication abnormality history is stored in the memory (standby RAM) 12a in step 105, and the control CPU 11 is reset in step 106.
[0028]
FIG. 3 is a flowchart showing a WD pulse abnormality detection process. This process is executed by the monitoring CPU 12 every 2 ms, for example. This process corresponds to “second abnormality detection means” recited in the claims.
[0029]
In FIG. 3, first, in step 201, it is determined whether or not the falling edge of the WD pulse has been detected. If detected, the WD monitoring counter is cleared to 0 in step 202 and the WD abnormality history is cleared in step 203. If the falling edge of the WD pulse is not detected, the WD monitoring counter is incremented by 1 in step 204.
[0030]
Thereafter, in step 205, it is determined whether or not the WD monitoring counter has become larger than a value corresponding to Y (ms). If NO, this processing is terminated as it is. If YES, in step 206, the WD abnormality history is stored in the memory (standby RAM) 12a.
[0031]
FIG. 4 is a flowchart showing the initial processing by the monitoring CPU 12. In FIG. 4, first, in step 301, it is determined whether or not there is a WD abnormality history in the memory 12a. If there is a WD abnormality history, the processing in steps 302 to 305 is performed. That is, in step 302, the WD abnormality counter is incremented by 1, and in the subsequent step 303, the WD abnormality history is cleared. In step 304, it is determined whether or not the WD abnormality counter is larger than a predetermined value (2 in the present embodiment). Only in the case of YES, the process proceeds to step 305, and a diagnosis output indicating WD abnormality (CPU abnormality) is output. carry out.
[0032]
Thereafter, in step 306, it is determined whether or not there is a communication abnormality history in the memory 12a. If there is a communication abnormality history, the processing in steps 307 to 310 is performed. That is, in step 307, the communication abnormality counter is incremented by 1, and in the subsequent step 308, the communication abnormality history is cleared. In Step 309, it is determined whether or not the communication abnormality counter is larger than a predetermined value (2 in the present embodiment). Only in the case of YES, the process proceeds to Step 310, and a diagnosis output indicating communication abnormality is performed.
[0033]
Counter values for communication abnormality and WD abnormality are deleted when the IG switch is turned off. That is, the monitoring CPU 12 performs the process of FIG. 5 when the IG switch is OFF. In this case, the monitoring CPU 12 clears the communication abnormality counter in step 401 and clears the WD abnormality counter in step 402. In step 403, the communication abnormality history is cleared, and in step 404, the WD abnormality history is cleared.
[0034]
In short, according to the processing of FIGS. 4 and 5 described above, diagnosis output is performed when a WD abnormality or a communication abnormality occurs twice or more in one trip (between ON and OFF of the IG switch). At the time of diagnosis output, the control CPU 11 performs a predetermined fail-safe process. That is, reduction cylinder control, ignition delay control, and the like are performed to perform retreat travel.
[0035]
Next, the state of abnormality monitoring will be described more specifically with reference to the time chart of FIG. FIG. 6 assumes a case where the control CPU 11 is in a runaway state, and the control CPU 11 runs away after timing t1 in the figure.
[0036]
In FIG. 6, before timing t1, communication data is transmitted periodically (every 4 ms) from the control CPU 11 to the monitoring CPU 12, and the WD pulse is inverted at a constant cycle (8 ms cycle). At this time, the WD monitoring counter and the communication monitoring counter change with values near zero. Of course, no abnormality history is stored.
[0037]
At timing t1, communication and WD pulse output are stopped as the control CPU 11 runs away. Accordingly, the WD monitoring counter and the communication monitoring counter are gradually counted up, and the WD abnormality history is stored in the memory 12a at the timing t2 when the abnormality detection time Y has elapsed.
[0038]
Thereafter, at timing t3 when the abnormality detection time Z has elapsed, a reset signal is output from the WD circuit 13 to the control CPU 11. As a result, the control CPU 11 is reset and subsequently the monitoring CPU 12 is also reset. Thereafter, when the CPUs 11 and 12 are restarted at timing t4, the WD abnormality history in the memory 12a is cleared and the WD abnormality counter is incremented by one. After the timing t4, when the control CPU 11 returns to normal as shown in the figure, the WD monitoring counter and the communication monitoring counter again shift to values near zero.
[0039]
In FIG. 6 above, since Y <Z, the monitoring CPU 12 can reliably store and hold the WD abnormality history before the reset output by the WD circuit 13. Further, since Y <X, there is no inconvenience that the control CPU 11 is reset due to communication abnormality before storing the WD abnormality history. This also indicates that the WD abnormality history can be reliably stored.
[0040]
Although illustration is omitted, when the communication is stopped and the WD pulse is normal in the control CPU 11, only the communication monitoring counter is gradually counted up. When the value of the communication monitoring counter becomes a value corresponding to X, the communication abnormality history is stored in the memory 12a and the control CPU 11 is reset by the monitoring CPU 12.
[0041]
Conversely, when the control CPU 11 stops the WD pulse and communication is normal, only the WD monitoring counter is gradually incremented. As in FIG. 6, when the value of the WD monitoring counter becomes a value corresponding to Y, the WD abnormality history is stored in the memory 12a. Further, the control CPU 11 is reset by the WD circuit 13 when the abnormality detection time Z elapses from the WD abnormality.
[0042]
According to the present embodiment described in detail above, since each abnormality detection time X, Y, Z is defined as “Y <Z <X”, a WD pulse abnormality and a communication abnormality occur even when the control CPU 11 runs out of control. It is surely stored and the abnormal content can be specified appropriately.
[0043]
If the abnormality content is properly specified, the subsequent fail-safe process can be appropriately executed. That is, it is possible to take appropriate measures according to whether the communication is abnormal or the WD pulse is abnormal (CPU abnormality).
[0044]
In the above configuration, the abnormality detection times X, Y, and Z are defined as a relationship of “Y <Z <X”, but this can be changed and defined as a relationship of “Y <X <Z”. That is, the magnitude relationship between the abnormality detection times X and Z is reversed (X <Z). A time chart in this case is shown in FIG. FIG. 7 shows the operation of the control CPU 11 during runaway as in FIG.
[0045]
In FIG. 7, similarly to FIG. 6, the communication of the control CPU 11 and the WD pulse output are stopped at the timing t11. As a result, the WD monitoring counter and the communication monitoring counter are gradually counted up, and the WD abnormality history is stored in the memory 12a at the timing t12 when the abnormality detection time Y has elapsed.
[0046]
Thereafter, at the timing t13 when the abnormality detection time X has elapsed, the communication abnormality history is stored in the memory 12a. The control CPU 11 is reset by the monitoring CPU 12 at this timing t13. Thereafter, when the CPUs 11 and 12 are restarted at timing t14, the WD abnormality history and the communication abnormality history in the memory 12a are cleared, and the WD abnormality counter and the communication abnormality flag are each incremented by one.
[0047]
When the relationship of “Y <X <Z” is defined as described above, both the WD abnormality and the communication abnormality history can be reliably stored when both the communication and the WD pulse output are stopped due to the runaway of the control CPU 11.
[0048]
(Second Embodiment)
Next, a second embodiment of the present invention will be described focusing on the differences from the first embodiment described above. In this embodiment, the abnormality detection times X and Y are defined as “X> Y”, but this magnitude relationship is reversed (X <Y). In this case, by setting X <Y, there is a concern that a communication abnormality is detected first when the control CPU 11 runs away as described above, and resetting is performed before the WD abnormality history is stored. Then, when a communication abnormality is detected, it is determined whether or not the control CPU 11 can be reset at that time. That is, the reset output is permitted or prohibited depending on the result of the determination. As a result, it is possible to appropriately identify the abnormality content.
[0049]
FIG. 8 is a flowchart showing communication abnormality detection processing in the present embodiment, and this processing is performed in place of FIG. The process in FIG. 8 is obtained by adding step 501 to the process in FIG.
[0050]
In short, in FIG. 8, when the communication monitoring counter becomes larger than the value corresponding to X (ms), the communication abnormality history is stored in the memory 12a (steps 104 and 105). In step 501, it is estimated whether the WD pulse is normal at that time. At this time, normality / abnormality of the WD pulse is estimated by checking the edge of the WD pulse. If it is estimated that the WD pulse is not normal, this process is terminated. If it is estimated that the WD pulse is normal, the process proceeds to step 106 and the control CPU 11 is reset.
[0051]
FIG. 9 shows a time chart corresponding to the processing of FIG. FIG. 9 shows the operation of the control CPU 11 during runaway as in FIG.
In FIG. 9, the communication and WD pulse output of the control CPU 11 are stopped at the timing t21 as in FIG. 6 and the like, and the WD monitoring counter and the communication monitoring counter are gradually counted up. Then, the communication abnormality history is stored in the memory 12a at the timing t22 when the abnormality detection time X has elapsed. At this time, normality / abnormality of the WD pulse is estimated, and if it is estimated that the WD is abnormal, the monitoring CPU 12 does not reset the control CPU 11 (the state shown in the figure).
[0052]
Thereafter, the WD abnormality history is stored in the memory 12a at the timing t23 when the abnormality detection time Y has elapsed, and the control CPU 11 is reset by the WD circuit 13 at the timing t24 when the abnormality detection time Z has elapsed. Thereafter, when the CPUs 11 and 12 are restarted at timing t25, the WD abnormality history and the communication abnormality history in the memory 12a are cleared, and the WD abnormality counter and the communication abnormality flag are each incremented by one.
[0053]
However, when it is estimated that the WD pulse is normal at timing t22, the control CPU 11 is reset at timing t22. Incidentally, when a WD pulse abnormality is erroneously estimated at timing t22, the control CPU 11 is not reset at that time, but the control CPU 11 is reset the next time a communication abnormality is detected.
[0054]
In short, if it is estimated that the WD pulse is abnormal when a communication abnormality is detected, there is a possibility that the abnormality of the WD pulse may be stored after the abnormality detection time Y has elapsed, so that the reset of the control CPU 11 is limited. The Thereby, each of the WD pulse abnormality and the communication abnormality is surely stored.
[0055]
In the second embodiment, the normality / abnormality of the WD pulse is estimated when a communication abnormality is detected, and the reset output to the control CPU 11 is limited according to the result, but this configuration is changed. For example, the reset output to the control CPU 11 may be limited according to a past abnormality history (communication or WD abnormality history) or the like when a communication abnormality is detected.
[0056]
When defining each abnormality detection time X, Y, Z, the magnitude relationship may be defined so as to include equals, such as X ≧ Y, X ≦ Z, and Y ≦ Z. In short, even if the abnormality detection time is the same, it is only necessary to reliably store information such as abnormality history.
[0057]
It is also possible to integrate the monitoring CPU 12 and the WD circuit 13 into one IC. In this case, cost reduction as the engine ECU 10 can be achieved.
[0058]
In each of the above-described embodiments, the control CPU 11 is a combination of the engine control function and the electronic throttle control function in the vehicle, but this configuration is changed. For example, an engine control CPU (main CPU) and an electronic throttle control CPU (sub CPU) may be provided separately. In this case as well, a desired effect can be obtained by defining each abnormality detection time as described above.
[Brief description of the drawings]
FIG. 1 is a configuration diagram showing an outline of an engine ECU in an embodiment of the invention.
FIG. 2 is a flowchart showing communication abnormality detection processing by a monitoring CPU.
FIG. 3 is a flowchart showing WD abnormality detection processing by a monitoring CPU.
FIG. 4 is a flowchart showing initial processing by the monitoring CPU.
FIG. 5 is a flowchart showing processing when the monitoring CPU performs IGSW OFF.
FIG. 6 is a time chart showing the operation of the control CPU during runaway.
FIG. 7 is a time chart showing the operation of the control CPU during runaway.
FIG. 8 is a flowchart showing communication abnormality detection processing by a monitoring CPU in the second embodiment.
FIG. 9 is a time chart showing the operation of the control CPU during runaway.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 10 ... Engine ECU, 11 ... Control CPU, 12 ... Monitoring CPU, 12a ... Memory, 13 ... WD circuit.

Claims (5)

車両制御を実施する制御CPUと、該制御CPUに対して通信可能に接続された監視CPUとを備える車両用電子制御装置において、
監視CPUは、制御CPUとの通信状態を監視し通信異常時にはその旨を記憶すると共に該制御CPUにリセットをかける第1の異常検出手段と、制御CPUから出力され所定周期で反転するウオッチドッグパルスをモニタして該ウオッチドッグパルスが所定時間以上反転しない場合に、ウオッチドッグパルス異常としてこれを記憶する第2の異常検出手段とを備え、前記第1の異常検出手段による異常検出時間をX、前記第2の異常検出手段による異常検出時間をYとしたとき、
X≧Y
の関係を満たすよう異常検出時間X,Yを規定したことを特徴とする車両用電子制御装置。In a vehicle electronic control device comprising: a control CPU that performs vehicle control; and a monitoring CPU that is communicably connected to the control CPU.
Monitoring the CPU watchdog during monitors the communication status between the control CPU communication abnormality in the first abnormality detecting means for resetting to the control CPU stores the fact, you inverted at a predetermined period is output from the control CPU if the watchdog pulse monitors the pulse is not inverted for a predetermined time or more, and a second abnormality detection means for storing as a watchdog pulse abnormality, the abnormality detection time by the first abnormality detecting means X When the abnormality detection time by the second abnormality detection means is Y,
X ≧ Y
An abnormality control time X, Y is defined so as to satisfy the above relationship. 制御CPUよりウオッチドッグパルスを入力し該ウオッチドッグパルスが所定の監視時間Zだけ途絶えると制御CPUに対してリセット信号を出力するウオッチドッグ監視回路を更に備え、前記第1の異常検出手段による異常検出時間Xと前記ウオッチドッグ監視回路による監視時間Zとを、
X≦Z
の関係を満たすよう規定した請求項1記載の車両用電子制御装置。A watchdog monitoring circuit for inputting a watchdog pulse from the control CPU and outputting a reset signal to the control CPU when the watchdog pulse is interrupted for a predetermined monitoring time Z, and detecting abnormality by the first abnormality detecting means. Time X and monitoring time Z by the watchdog monitoring circuit,
X ≦ Z
The vehicle electronic control device according to claim 1, wherein the vehicle electronic control device is defined to satisfy the relationship. 車両制御を実施する制御CPUと、該制御CPUに対して通信可能に接続された監視CPUとを備える車両用電子制御装置において、
監視CPUは、制御CPUとの通信状態を監視し通信異常時にはその旨を記憶すると共に該制御CPUにリセットをかける第1の異常検出手段と、制御CPUから出力され所定周期で反転するウオッチドッグパルスをモニタして該ウオッチドッグパルスが所定時間以上反転しない場合に、ウオッチドッグパルス異常としてこれを記憶する第2の異常検出手段とを備え、前記第1の異常検出手段による異常検出時間をX、前記第2の異常検出手段による異常検出時間をYとしたとき、
X<Y
の関係を満たすよう異常検出時間X,Yを規定し、監視CPUは、前記第1の異常検出手段による通信異常の検出時にその時点で制御CPUへのリセット出力の適否を判断し、その結果に応じてリセット出力を制限することを特徴とする車両用電子制御装置。In a vehicle electronic control device comprising: a control CPU that performs vehicle control; and a monitoring CPU that is communicably connected to the control CPU.
Monitoring the CPU watchdog during monitors the communication status between the control CPU communication abnormality in the first abnormality detecting means for resetting to the control CPU stores the fact, you inverted at a predetermined period is output from the control CPU if the watchdog pulse monitors the pulse is not inverted for a predetermined time or more, and a second abnormality detection means for storing as a watchdog pulse abnormality, the abnormality detection time by the first abnormality detecting means X When the abnormality detection time by the second abnormality detection means is Y,
X <Y
The abnormality detection times X and Y are defined so as to satisfy the above relationship. When the communication abnormality is detected by the first abnormality detection means, the monitoring CPU determines whether or not the reset output to the control CPU is appropriate at that time. Accordingly, the vehicle electronic control device limits the reset output accordingly. 監視CPUは、前記第1の異常検出手段による通信異常の検出時にその時点でウオッチドッグパルスの正常/異常を推測して異常と推測される場合には制御CPUにリセットをかけないようにした請求項3記載の車両用電子制御装置。The monitoring CPU estimates that the watchdog pulse is normal / abnormal at that time when the first abnormality detection means detects a communication abnormality, and does not reset the control CPU when the abnormality is estimated. Item 4. The vehicle electronic control device according to Item 3. 制御CPUよりウオッチドッグパルスを入力し該ウオッチドッグパルスが所定の監視時間Zだけ途絶えると制御CPUに対してリセット信号を出力するウオッチドッグ監視回路を備え、前記第2の異常検出手段による異常検出時間Yと前記ウオッチドッグ監視回路による監視時間Zとを、
Y≦Z
の関係を満たすよう規定した請求項1乃至4の何れかに記載の車両用電子制御装置。A watchdog monitoring circuit for inputting a watchdog pulse from the control CPU and outputting a reset signal to the control CPU when the watchdog pulse is interrupted for a predetermined monitoring time Z, and an abnormality detection time by the second abnormality detection means Y and the monitoring time Z by the watchdog monitoring circuit,
Y ≦ Z
The vehicle electronic control device according to claim 1, wherein the vehicle electronic control device is defined to satisfy the relationship.
JP2002021060A 2001-09-27 2002-01-30 Electronic control device for vehicle Expired - Fee Related JP3923810B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2002021060A JP3923810B2 (en) 2002-01-30 2002-01-30 Electronic control device for vehicle
US10/242,697 US6775609B2 (en) 2001-09-27 2002-09-13 Electronic control unit for vehicle having operation monitoring function and fail-safe function

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002021060A JP3923810B2 (en) 2002-01-30 2002-01-30 Electronic control device for vehicle

Publications (2)

Publication Number Publication Date
JP2003222053A JP2003222053A (en) 2003-08-08
JP3923810B2 true JP3923810B2 (en) 2007-06-06

Family

ID=27744395

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002021060A Expired - Fee Related JP3923810B2 (en) 2001-09-27 2002-01-30 Electronic control device for vehicle

Country Status (1)

Country Link
JP (1) JP3923810B2 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006271703A (en) * 2005-03-29 2006-10-12 Sun Corp Game parlor management system
FR2894548B1 (en) * 2005-12-13 2008-02-01 Renault Sas METHOD FOR CONTROLLING THE OPERATION OF A VEHICLE BASED ON AN ON-BOARD DIAGNOSTIC STRATEGY DEFINING DIFFERENT TYPES OF FAULTS
JP2008195255A (en) * 2007-02-14 2008-08-28 Toyota Motor Corp Vehicular power supply system
JP4725539B2 (en) * 2007-03-14 2011-07-13 株式会社デンソー Electronic control unit
JP5392058B2 (en) * 2009-12-23 2014-01-22 株式会社オートネットワーク技術研究所 Processing apparatus and control method
JP5246230B2 (en) * 2010-09-13 2013-07-24 株式会社デンソー Electronic control device for vehicle
JP5240260B2 (en) 2010-09-13 2013-07-17 株式会社デンソー Electronic control device for vehicle
JP5683041B2 (en) * 2010-11-12 2015-03-11 ボッシュ株式会社 Engine control device for cars equipped with power take-off mechanism
JP5664493B2 (en) * 2011-08-04 2015-02-04 株式会社デンソー Abnormality judgment device for fuel pressure detection command
JP2016057888A (en) * 2014-09-10 2016-04-21 株式会社デンソー Electronic control device and communication system

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0599061A (en) * 1991-10-01 1993-04-20 Nippondenso Co Ltd Controller for automobile
DE4438714A1 (en) * 1994-10-29 1996-05-02 Bosch Gmbh Robert Method and device for controlling the drive unit of a vehicle
JPH09212388A (en) * 1996-01-31 1997-08-15 Hitachi Cable Ltd Method for monitoring operation of cpu
JP3097580B2 (en) * 1996-12-18 2000-10-10 株式会社デンソー Electronic control unit

Also Published As

Publication number Publication date
JP2003222053A (en) 2003-08-08

Similar Documents

Publication Publication Date Title
US6775609B2 (en) Electronic control unit for vehicle having operation monitoring function and fail-safe function
JP4803168B2 (en) Vehicle information storage device
JP3967599B2 (en) Electronic control device for vehicle
US8527137B2 (en) Vehicle behavior data recording control system and recording apparatus
EP1571600B1 (en) Data recording apparatus and shut-down method for data recording apparatus
EP2230502B1 (en) Vehicle control system
JP3255693B2 (en) Automotive multi-computer system
JP3923810B2 (en) Electronic control device for vehicle
JP3939961B2 (en) Electronic control device for vehicle
US9477542B2 (en) Electronic control unit
EP1712424B1 (en) Vehicle control apparatus
JP2009253736A (en) Network system
JP3883842B2 (en) Electronic control device for vehicle
CN110147090A (en) Controller Area Network BUS closing fault processing method and system
JP3883849B2 (en) Electronic control device for vehicle
JP3901987B2 (en) Electronic control device for vehicle
JP6345447B2 (en) Electronic control unit for automobile
JP3908020B2 (en) Electronic control device for vehicle
JP2010113419A (en) Multicore controller
JP6443202B2 (en) Electronic control device for vehicle
CN111026093B (en) Method and system for judging abnormal power-off of ECU
JP2003294129A (en) Electronic control device for vehicle
JP3883840B2 (en) Electronic control device for vehicle
JP3623492B2 (en) Vehicle control system
JP6887277B2 (en) Electronic control device for automobiles

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040622

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060721

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060725

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060919

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070220

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070222

R150 Certificate of patent or registration of utility model

Ref document number: 3923810

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110302

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120302

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130302

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140302

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees