JP4254577B2 - 制御装置 - Google Patents
制御装置 Download PDFInfo
- Publication number
- JP4254577B2 JP4254577B2 JP2004060410A JP2004060410A JP4254577B2 JP 4254577 B2 JP4254577 B2 JP 4254577B2 JP 2004060410 A JP2004060410 A JP 2004060410A JP 2004060410 A JP2004060410 A JP 2004060410A JP 4254577 B2 JP4254577 B2 JP 4254577B2
- Authority
- JP
- Japan
- Prior art keywords
- microcomputer
- control
- monitoring
- signal
- high load
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000012544 monitoring process Methods 0.000 claims description 126
- 238000012545 processing Methods 0.000 claims description 55
- 238000000034 method Methods 0.000 claims description 41
- 230000008569 process Effects 0.000 claims description 40
- 230000005856 abnormality Effects 0.000 claims description 30
- 230000002159 abnormal effect Effects 0.000 claims description 16
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000000903 blocking effect Effects 0.000 claims 1
- 238000012790 confirmation Methods 0.000 description 10
- 238000001994 activation Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 230000004913 activation Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000007423 decrease Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Debugging And Monitoring (AREA)
- Safety Devices In Control Systems (AREA)
Description
本発明は、マイクロコンピュータの異常を監視する異常監視装置を備えた制御装置に関する。
従来、車載用電子制御装置では、装置の誤動作を防ぐため、制御部をなすマイクロコンピュータ(以下、マイコンとも言う)が正常に動作しているかを監視するシステムが備えられ、車両の安全が確保されている。このようなマイコン用の監視システムは、例えば、マイコンからの入力クロックをカウントすることにより時間を計時し、その計時時間が異常監視時間に達したときに、リセット信号を発生することで、マイコンを再起動させるウォッチドッグタイマ方式や、予め定められた監視用の信号(宿題)をマイコンに入力し、その信号をマイコン内の回路で演算させた後に、その演算結果(解答)がマイコン正常動作時に得られるべき演算結果と同じであるか否かを判定し、異なる場合にはマイコンが異常状態にあると判断して、リセット信号を発生させて、マイコンを再起動させる宿題解答方式などが既に知られている。
特に、上記宿題解答方式に基づく監視システムでは、マイコンに出力する監視用のデータ(以下、宿題データと言う)を発信する宿題発信部と、マイコンがその信号を演算処理した演算結果データ(以下、解答データと言う)の入力を受け、演算結果が正しいか否かを判定する解答判定部とを備えて構成される。
この場合、監視システムに備えられたRAMやROM等の記憶部に記憶された宿題データ、またはカウンタ回路等を用いて作成された宿題データを宿題発信部がマイコンに発信し、宿題データの入力を受けたマイコンは、自身が有する演算回路によってその宿題データを演算処理する。その演算結果は解答データとして監視システムに備えられた解答判定部に入力され、解答データと正解データとの比較がなされ、両者が一致すればマイコンを正常、一致しなければマイコンを異常と判定する。また、宿題データの発信から解答データの受信までの時間をカウントし、所定時間が経過してなお解答データが得られない場合も、マイコンは異常と判定される。
このようなマイコンの正常/異常を監視する監視処理は、例えば車両用電子制御装置に備えられるマイコンの監視処理であれば、イグニッションON直後から宿題データの発信が始まり、マイコンの正常/異常判断処理が開始される。
ところが、近年の車両用電子制御装置では、イグニッション(以下、IGとも言う)ON直後に、マイコンが正常であるにもかかわらず、監視システムがこれを異常と判定する可能性が高くなりつつある。この誤判定は、イグニッションON直後の車両用電子制御装置の起動時に、車両の各種制御対象の初期状態チェック用プログラムが走り、同時に制御対象の制御用プログラムの読み出しや書き込みがなされるため、該制御装置のマイコンへの負荷が極めて高く、監視システムから宿題信号が入力されても、所定の時間内に解答信号を出力できないために生じる。近年、こうした制御装置の制御対象は増加傾向にあるとともに、その制御用プログラムの容量も大きくなる傾向にあり、マイコンへの負荷はいっそう高くなることが予想され、上記のような問題がより発生しやすくなる。
また、こうしたマイコンの処理能力の不足による問題は、処理能力の高いマイコンを備えさせることで回避可能である。ところが、これは制御部の大型化につながり、配置スペースの問題を生じる可能性がある。また、搭載した車両の価格の高騰にもつながる。また、マイコンに高処理能力が要求されるのは、IGON時などの通常制御以外の状態であるため、できるだけ通常制御に見合った処理能力を持つマイコンを選択することが、制御装置としての魅力向上となる。
従って、本発明は、上記課題に鑑みてなされたものであり、起動直後等、マイコンが負荷の高い状態にある時に、マイコンが監視システムにより異常であると誤判定しないように構成された制御装置の提供である。
上記課題を解決するために、本発明の制御装置は、記憶手段に記憶された制御プログラムとに基づいて、制御対象を制御するための制御信号を演算によって生成するマイクロコンピュータと、前記マイクロコンピュータに所定の監視信号を出力して該監視信号を演算処理させ、その演算結果と演算処理時間とに基づいて演算が正常になされたか否かを判定する演算結果判定処理を行うことで、前記マイクロコンピュータが異常であるか否かを監視する異常監視処理を行う監視手段とを備えた制御装置であって、前記マイクロコンピュータが自身への起動要求を受けた直後及び自身の記憶部へのプログラムの書き換え時のいずれかである通常制御以外の状態にあるときに、前記マイクロコンピュータに対し前記記憶手段に記憶された所定の高負荷プログラムの処理を要求する高負荷プログラム処理要求信号を出力する高負荷プログラム処理要求手段と、前記高負荷プログラム処理要求信号の入力に基づいて、前記マイクロコンピュータの制御信号が前記制御対象に伝達されることを遮断することで、前記制御対象を安全側で停止させる制御禁止手段と、前記制御対象が停止された場合に、前記高負荷プログラム処理要求信号の入力に基づいて、前記監視手段に前記異常監視処理を停止させる監視停止手段と、を備え、前記高負荷プログラム処理要求手段によって、前記マイクロコンピュータに前記高負荷プログラムの処理要求がなされた時には、前記制御禁止手段が、前記マイクロコンピュータによる前記制御対象への制御を禁止し、前記監視停止手段が、前記監視手段による前記異常監視処理を停止した上で、前記マイクロコンピュータは前記高負荷プログラム処理を行い、前記高負荷プログラムの処理が終了した時には、前記監視手段による前記マイクロコンピュータの前記異常監視処理が復帰して、前記マイクロコンピュータの正常動作が確認されたのち、前記制御禁止手段が前記マイクロコンピュータによる前記制御対象の制御禁止を解除して、その制御を再開することを特徴とする。
本発明においては、監視手段がマイクロコンピュータに監視信号を入力し、その演算結果と演算処理時間に基づいて、マイクロコンピュータの異常を監視するとともに、高負荷プログラム処理要求信号が入力されたときには、マイクロコンピュータによる制御を禁止した後、その監視を停止させることを特徴としている。このとき、高負荷プログラムとは、通常制御以外の状態にあるときに、処理要求されるプログラムのことである。高負荷プログラム処理中は、マイクロコンピュータが正しく動作していても、演算処理に時間がかかり、監視手段がマイクロコンピュータを異常と誤判定する可能性がある。通常、マイクロコンピュータが異常と判定されると、マイクロコンピュータはリセットされ、これまでの演算処理は初期化される。場合によっては再度、演算処理が開始される場合もあるが、マイクロコンピュータはリセット前と同様の高負荷状態となっているため、再度リセットされ、演算処理を終えることができなくなる可能性がある。ところが、本発明においては、上記でも述べたように、高負荷プログラム処理時には異常監視処理がされないため、誤判定によるマイクロコンピュータのリセットが行われることはない。従って、マイクロコンピュータは、高負荷状態にあっても処理中のプログラム処理を完了するまで継続して実行することができる。また、マイクロコンピュータの異常監視処理がされていない時には、マイクロコンピュータからの制御対象への制御が禁止されているため、もしこの異常監視停止中にマイクロコンピュータが異常となった場合にも、車両の安全が確保される。
ここで、マイクロコンピュータの予め定められた通常制御以外の状態とは、特にマイクロコンピュータが起動要求を受けた直後や、制御装置開発段階等におけるマイクロコンピュータの記憶部へのプログラムの書き換え時のことを指す。例えば、本発明の制御装置が車両用制御装置である場合は、車両のイグニッションON時や、車両メーカーにて車載用マイクロコンピュータの記憶部に記憶されたプログラムを書き換える時等である。車両のイグニッションON直後は、マイクロコンピュータは、制御対象を制御するための制御プログラムの読み出しや、制御対象の初期状態を確認するためのシステムチェック、制御対象の初期設定などの各処理を並列して行っている。また、マイクロコンピュータの記憶部に記憶された車両制御用プログラムの書き換え時にも、外部からの通信により多量のプログラムデータが入力され、記憶部への書き込みがなされている。こうした状況下では、マイクロコンピュータにかかる負荷は極めて高く、その処理速度が遅くなり、上記のような誤判定がなされる可能性がある。本発明では、これらの状況下において処理すべきプログラムを予め定めておき、そのプログラムの処理要求のあった場合には異常監視処理を停止させることができるため、上記のような誤判定を防ぐことができる。なお、本発明に適用できる高負荷プログラムとは、上記のようなマイクロコンピュータの起動直後やプログラム書き換え時などのような、予め予測されうるマイクロコンピュータの高負荷状態において、その際に必ず処理されるプログラムであれば良く、上記以外の場合においても適用可能である。
従って、上述したように、本発明の制御装置は、車両用制御装置であり、前記通常制御以外の状態とは、車両のイグニッションスタート直後に前記マイクロコンピュータによって行われる初期制御状態であることを特徴とするものであっても良く、また、本発明の制御装置は、車両用制御装置であり、前記高負荷プログラムは、車両停止時において前記マイクロコンピュータの記憶部に記憶されたプログラムの書き換えを行う制御状態であることを特徴するものであっても良い。
また、本発明の制御装置は、監視手段がマイクロコンピュータに監視用の信号(監視信号)を入力し、その演算結果と演算処理時間とに基づいてマイクロコンピュータの異常監視を行う。ここで、マイクロコンピュータの演算結果とは、マイクロコンピュータにより監視信号を演算処理して得られた演算結果データである。また演算処理時間とは、監視手段がマイクロコンピュータに監視信号を入力し、その演算結果データを監視手段が得るまでにかかった時間を反映するものである。このとき、この監視処理時間を長くすることで上記誤判定を防ぐことも可能ではあるが、車両を安全に制御する観点を考慮し、上記演算処理時間は、通常制御状態の演算処理時間をベースとして設けることが望ましい。本発明では、異常監視停止状態を例外状態として通常制御状態とは別に定めておくことで、通常制御状態における異常監視条件を緩めることなく設定することができる。
また、本発明では、マイクロコンピュータが上記のような通常制御以外の状態にあり、かつ高負荷プログラムの処理要求がある場合には、マイクロコンピュータの異常監視を停止し、さらにマイクロコンピュータによる制御対象の制御を禁止することを特徴としている。マイクロコンピュータが上記のような高負荷プログラム処理状態にある場合、本発明では異常監視を行わない。これによって、処理負荷が高いことに起因する誤判定を防ぐことができることは既に述べたが、こうした異常監視が行われていない状態では、マイクロコンピュータが正常に動作しているかを把握する手段がなく、マイクロコンピュータが正しく機能していることを保証することができない。従って、異常監視を行っていない場合には、マイクロコンピュータによる各種の制御対象の制御を禁止することで、制御対象に誤った信号を入力させないようにすることができる。
また、本発明の制御装置において、前記監視手段は、前記高負荷プログラム処理要求信号の入力に基づいて、前記演算結果判定処理を停止させることを特徴とするものであっても良い。また、前記高負荷プログラム処理要求信号の入力に基づいて前記監視信号の出力を停止させることを特徴とするものであっても良く、両者を同時に実行するものであっても良い。これにより、監視手段を停止することができる。監視停止時における監視手段内での信号処理は不要であり、従って、監視信号の出力の停止や、演算結果判定処理の停止はマイクロコンピュータに余計な負荷を与えることが無いため有効である。また、これらの監視停止処理は、例えば、図1のような監視手段(監視ブロック)に備えられた監視処理を行うための構成ブロック3,5,6に対し、リセット信号を入力することで停止させることもでき、簡易に行うことが可能である。
また、本発明の制御装置において、前記高負荷プログラム処理要求手段は、前記マイクロコンピュータの外部から前記マイクロコンピュータに対して、前記高負荷プログラムを処理させるための処理要求信号が出力されたことに基づいて、前記高負荷プログラム処理要求信号を出力することを特徴とするものであっても良い。高負荷プログラム処理要求手段は、高負荷プログラム処理要求信号をマイクロコンピュータ及び制御禁止手段に出力できればよいため、マイクロコンピュータの内部または外部のいずれに設けられていても良く、例えば、車両用制御装置におけるIGONによる監視手段の停止を行う場合であれば、監視手段及び制御禁止手段がイグニッションからのON信号を直接入力できるように構成されていても良い。このとき監視手段及び制御禁止手段は、このON信号の入力に基づいて、マイクロコンピュータの所定の高負荷プログラムの処理が開始したと推定し、マイクロコンピュータからの制御対象への制御を禁止したり、異常監視処理を停止することができる。
また本発明の制御装置において、前記制御禁止手段は、前記マイクロコンピュータによる前記制御対象の制御を禁止させるために、前記マイクロコンピュータおよび前記制御対象と電気的に接続される出力制御部に設けられた回路であることを特徴とするものであっても良い。本発明を構成する制御禁止手段は、回路として構成することができる。
以下、本発明の制御装置を図面を用いて説明する。図1は、本発明の制御装置のブロック図であり、車両用電子制御装置のブロック図を概略的に示している。図1の制御装置は、各種車載機器40の制御信号を出力する周知のマイクロコンピュータ(マイコン)20とそのマイコン20の動作を監視する監視ブロック(監視手段)1とマイコン20からの制御信号を受け、各種車載機器(制御対象)40を実際に制御する出力制御ブロック(出力ドライバ)24とからなる。マイコン20は、図示しないCPU、RAM、ROM、I/Oポート等を備え、RAMやROM等の記憶部に記憶された各種プログラムに基づいて、車載機器(制御対象)40の制御信号を出力ドライバ24に出力するものである。なお、このとき車載機器40を制御する制御信号は、マイコン20が有する所定の演算回路によって生成される。
マイコン20は、イグニッションスイッチ(以下、IGスイッチともいう)30のONにより起動し、起動と同時に、IGスイッチONの信号を受けた高負荷プログラム処理要求部31がマイコン20に処理要求信号(本発明の高負荷プログラム処理要求信号)を出力するため、上記記憶部から起動用プログラムが読み出され、実行される。これにより、マイコン20は車載機器40等を制御するための各種制御プログラムの読み出がなされ、車載機器40に対して制御を開始する。この起動用プログラムの実行時には、初期状態確認のためのシステムチェックや各制御対象の制御のための初期設定等の処理がなされ、これらの処理が完了したことに基づいて起動用プログラムは終了し、通常走行状態における制御が開始される。本発明では、このマイコン20の起動処理時には、マイコン20(監視停止手段を兼ねる)から監視ブロック1の監視処理を停止させる宿題解答禁止信号(本発明のマイコン20が高負荷プログラム処理要求部31からの信号に基づいて出力する)が監視ブロック1に出力される。この場合、監視ブロック1は、上記のようにマイコン20から宿題解答禁止信号の入力を受けるように構成されるが、本発明はこれに限られるものではない。宿題解答禁止信号の入力は、他の構成機器、この場合で言えばイグニッションスイッチ30等からマイコン20を介することなく、直接入力を受けるものであっても良い。
以下、図1に示すの車両用電子制御装置の監視ブロック1について、その構成と動作の説明を行う。監視ブロック1は、マイコン20に対しシリアル通信部2を介してシリアル通信可能に接続されており、マイコン20の動作を監視するための監視信号として所定ビットの宿題データをマイコン20に送信し、マイコン20の演算回路にて演算処理させるとともに、その演算結果を解答データとして受信し、その解答データが正しいか否かを判定し、マイコン20が異常状態にあるか否かを監視している。なお、このような宿題解答方式のマイコン監視と並列して、上記で述べたウォッチドックタイマ方式のマイコン監視が同時に行われていても問題はない。
また、宿題データ選択部3は、監視ブロック1が有するカウンタ回路(図示なし)を利用し宿題データとし、マイコン20にこれを送信する。このとき宿題データは、マイコン20のシステム・クロックに同期して読み出しを行い、読み出した宿題データはシリアル通信部2を介することで、シリアル通信によって順次マイコン20に送信される。マイコン20は、この宿題データを自身が備える演算回路にて演算処理し、その演算結果を解答データとして、シリアル通信により比較判定部4に送信する。この演算回路をマイコン20が異常では演算できないような複雑な処理とすることで、今回の実施例のように該宿題データはカウンタ回路を利用した簡単な回路にて実現されている。
比較判定部4は、マイコン20の所定クロック周期に応じて受信する解答データと、その解答データに対する正解データとを比較演算し、両者が一致すればこれを正解と判定し、異なる場合を不正解(NG)と判定する。不正解と判定された場合は、NG判定部5に論理ハイレベル信号(以下、H信号と略す)を出力する。正解と判定された場合は、NG判定部5への論理ローレベル信号(以下、L信号と略す)を出力する。なお、これらの宿題データ、解答データ、および正解データは、所定ビット数のデジタルデータからなるものである。
また、比較判定部4からNG判定部5にH信号が出力されると、宿題データ選択部3はインバータ10を介してL信号の入力を受ける。宿題データ選択部3はカウンタ回路で構成されており、入力信号のH信号(宿題更新信号)の回数をカウントしている。宿題データ選択部3は、前記カウンタのカウント数の増加によって、マイコン20に送信する宿題データが変更されて、これまでとは異なる宿題データ(前回の宿題データに1を加えたデータ)がマイコン20に送信される。なお、本発明は上記実施形態のようにNG判定が所定の回数(今回の実施例では、3回)行われるまでは、宿題データを更新しないものであってもよいが、NG判定が行われるごとに、宿題データを更新するものであってもよい。
NG判定部5は、比較判定部4において判定結果がNGであった場合にH信号の入力を受ける。比較判定処理は繰り返し行われるが、NG判定部は比較判定処理による結果が所定回数連続でNGとなった場合(例えば3回連続でNGでとなった場合)、マイコン20をNG状態(異常状態)と判定し、NG判定部5がリセット信号の入力を受けるまでH信号をオア回路11に出力し続ける。なお、OK時にはL信号を出力している。
また、解答更新確認部6は、カウンタ・タイマを備えて構成されており、比較判定部4が解答データを受信した後、次の解答データが受信されるまで時間(マイコンの演算処理時間を含んでいる)を計測している。この更新時間が所定の時間(例えば30ms)を超えた場合は、マイコン20をNG状態(異常状態)と判定し、NG判定部5がリセット信号の入力を受けるまでH信号を出力し続ける。なお、OK時にはL信号を出力している。
NG判定部5および解答更新確認部6からの出力信号は、オア回路11に入力され、いずれか一方からNG信号、すなわちH信号が入力されると、オア回路11はH信号をリセットパルス発生回路7に出力する。リセットパルス発生回路7は、入力されたH信号を所定幅のパルス信号に変換し、これをオア回路12とインバータ13に出力する。なお、NG判定部5および解答更新確認部6のいずれもがL信号を出力していた場合、すなわち双方がOK判定を行っている場合は、リセットパルス発生回路7ではパルス信号は生成されない。
リセットパルス発生回路7においてパルス信号が生成された場合、オア回路12にはパルス信号が入力される。このときオア回路12は、マイコン20が通常制御を行っている場合、マイコン20からL信号の入力を受けている。したがって、オア回路12の出力部からは、パルス信号が宿題データ選択部3、NG判定部5、および解答更新確認部6に出力される。これにより、これら3者はHレベルのパルス信号の入力を受けてリセットされ、初期化される。また、リセットパルス発生回路7においてパルス信号が生成された場合、インバータ13にも同様のパルス信号が入力される。インバータ13は、このパルス信号を反転し、反転したパルス信号をマイコン20に出力する。これによりマイコン20は、反転したパルス信号によるLレベルの信号を受けてリセットされ、初期化される。これにより、監視ブロックと異常発生したマイコン20とはリセットされ、初期化される。
ただし、マイコン20はリセットによって必ずしも異常状態から正常状態に復帰するとは限らない。従って、本発明の制御装置では、異常監視手段によりマイコンの正常動作が確認できるまでは、制御禁止回路により、その制御対象への制御を禁止する。図1のマイコン20の場合、マイコン20は車両制御用のマイコンであるため、車載機器40の制御を停止することとなる。例えば、図1のマイコン20が、電動パワーステアリング装置のパワーアシストモータを制御対象として制御している場合は、そのモータ制御を停止することとなる。従って、運転者は、以降、モータによるアシストの無い状態でハンドル操作を行うこととなる。また、ABS装置のブレーキ油圧コントロールを制御対象としている場合はブレーキ油圧コントロールが停止し、通常のブレーキ操作を行うこととなる。なお、これらの車両制御が停止されても、車両の走行に関して問題は無い。通常、こうした車両用制御部の異常の場合は、運転者に対して安全側に働くように構成されており(該実施例の出力ドライバも同様)、これらの技術に関しては既に周知となっている。
上記車両用電子制御装置が通常制御以外の状態、すなわちマイコン20は正常状態にありつつも負荷が高い状態にある場合は、マイコン20の処理能力が低くなり、上記監視処理における宿題データの受信から解答データの送信までの時間が長くなり、解答更新確認部6でNG判定を受けてしまう。この場合、マイコン20は正常に動作しているにも関わらず、リセットされ、該制御装置による車載機器40の制御は以後行われなくなる。従って、本発明では、IGスイッチ30ON直後に関しては、監視ブロック1によるマイコン20の異常監視処理を停止するとともに、監視機能が働いていない状態で車両機器40の制御を行わないよう、マイコン20による車両機器40への出力を、制御禁止回路(本発明の制御禁止手段)により遮断可能なように構成されている。なお、このような制御対象の制御を禁止させるための制御禁止回路は、図1のように出力制御部に設けられていても良いが、出力制御部の外部に独立した回路として構成されていても良い。
以下、監視ブロック1によるマイコン20の監視停止処理について、図1を用いて説明を行う。車両用電子制御装置に備えられるマイコン20(本発明の監視停止手段を兼ねる)は、IGスイッチ30がONされると、高負荷プログラム処理要求部31により、マイコン20に起動用プログラムの処理要求信号が出されるため、宿題解答禁止信号(本発明の監視停止信号)を監視ブロック1に送信する。宿題解答禁止信号は、H信号として、シリアル通信部を介してOR回路12に送信される。OR回路12は、この宿題解答禁止信号であるH信号が入力されると、宿題データ選択部3、NG判定部5、解答更新確認部6に対してH信号を出力し、3者を絶えずリセットされた状態に保つ。これにより、監視ブロック1によるマイコン20の監視は停止する。
なお、この場合、この3者すべてを停止する必要はない。例えば、NG判定部5と解答更新確認部6とを絶えずリセット状態にしておき、宿題データ選択部3が宿題データをマイコン20に送っても、その解答データに対してNG判定が行われないように回路が構成されていても良い。この場合、NG判定部と解答更新確認部とから出力される信号は絶えずL信号となり、従ってリセットパルス発生回路7でリセットパルス信号が発生することは無く、マイコン20がリセットされることはない。この場合、回路a,bのみ必要となり、回路cは不要となる。このように図1に示す回路構成は、本発明を実施する一例に過ぎず、本発明は上記回路構成に限定されるものではない。
以下、上記した車両用電子制御装置の異常監視停止処理について、その処理を実行するためのフローを説明する。
図2は、IGスイッチONに基づくマイコン停止処理のフローチャートである。S101では、マイコン20に対して起動要求があるか否かを判定する。高負荷プログラム処理要求部31(本発明の高負荷プログラム処理要求手段)がIGスイッチのON信号を検出すると、マイコン20に起動要求信号を出力するため、S102に進む。逆にIGスイッチがOFFのままである場合は、起動要求が無いため、再びS101に戻る。
S102では、制御禁止回路25により、マイコン20による各種車両機器40の制御を禁止する。具体的には、例えばスイッチ回路を用いて直接的に車両機器40への制御信号を遮断する方法がある。S103では、監視ブロック1によるマイコンの異常監視処理を停止する。これにより、S103の監視停止処理によって異常監視されていない状況下にある場合に、マイコン20により、車両機器40が制御されることはない。S103のマイコン監視処理の停止は、マイコン20から監視ブロック1のオア回路12への宿題解答禁止信号の入力をトリガーとしてなされる。なお、宿題解答禁止信号は必ずしもマイコン20から出力される必要は無い。この場合ならば、マイコン20を介せず、IGスイッチ30から直接的なH信号の入力を受けるように構成されても良い。
S104では、S103でマイコン監視が停止したことを受けて、起動処理を開始する。S105では、その起動処理が完了したか否かを判定し、終了した場合はS106に進む。起動処理の終了により、マイコン20には通常走行時の処理負担分の負荷がかかり、起動時ほどの負荷はかかっていない。S106では、マイコン20が通常走行時の制御状態になったことを受けて、監視処理を開始する。S107では、マイコン20が監視ブロック1による監視状態となったことを受けて、制御禁止回路25を制御禁止状態を解除し、各種車載機器40に対して制御を開始するとともに、本処理を終了する。
なお、本発明のマイコン監視停止処理は、車両のIGスイッチON直後のマイコン高負荷時においてのみ、適用されるものではない。例えば、車両メーカーにおいて、マイコン20のROM・RAMに記憶されたプログラムの書換が行われている際は、マイコン20にはIGスイッチON時と同様、高い負荷がかかり処理速度が低下する。この場合、図3に示すフローチャートを基にしたマイコン監視停止処理を行うことができる。
図3のS201では、プログラムの書き込み要求(高負荷プログラム処理要求の一種)をマイコン20が受けたか否かを判定する。書き込み要求は、例えば外部より高負荷プログラム要求部31に、プログラム書換モードへの移行を促す信号を送り、該要求部31よりマイコン20に、プログラム書換処理要求信号(本発明の高負荷プログラム処理要求信号の一種)を入力することでプログラム書換プログラムの処理要求をすることができる。S201で書き込み要求があればS202からS203へと進み、無ければS207の直後まで進んで本処理を終了する。S202、S203では、図2のS102,103と同様に、マイコン20による各種車載機器40の制御を禁止し、その後にマイコン監視を停止する。これらの停止を確認した後、S204では、マイコン20の記憶部へのプログラムの書き込み処理が開始する。書き込み処理が終了すると、S205からS206、S207に進み、S106,S107と同様に、マイコンの監視を開始するとともに、各種車載機器40に対して制御を開始し、本プログラムを終了する。なお、本処理は、既にマイコン監視が開始している状態からでも行うことが可能であり、車両が通常走行時にないプログラム書換モードにあることを認識した上で行うものである。
また、図2のIGスイッチON直後に、図3のマイコンへのプログラム書き込み要求があるか否かを判定する処理であっても良い。この場合のフローチャートを図4に示す。図4のS301では、S101と同様にIGスイッチがONに伴うマイコン20の起動要求があったか否かを判定する。起動要求が有った場合は、S302〜S305までの処理を実行する。起動要求が無い場合はS306に進む。なお、S302〜S305までの処理は、図2のS102〜S105までと同様であるためここでの説明は省略する。S305にて起動処理が終了すると、S306に進む。S306では、マイコン20へのプログラム書き込み要求があるか否かを判定し、あればS307〜S310までの処理を行う。無ければS311に進む。なお、S307〜S310間での処理は、図3のS202〜205までの処理と同様であるため説明は省略する。S310でマイコンへのプログラム書き込み処理が終了すると、S311にてマイコン監視が開始され、S312にてマイコン20による各種車載機器の制御が開始される。
なお、これらのフローは、あくまで例示的に示すものであり、本発明はこれらの実施形態に限定されるものではない。本発明は、請求項の記載に基づく技術的範囲を逸脱しない限り、種々の変形ないし改良を付加することができる。
1 監視ブロック(監視手段)
2 シリアル通信部
3 宿題データ選択部(カウンタ)
4 比較判定部
5 NG判定部
6 解答更新確認部(カウンタ・タイマ)
7 リセットパルス発生回路
8 監視停止手段(宿題解答禁止信号)
20 マイクロコンピュータ(監視停止手段)
24 出力ドライバ(出力制御ブロック)
25 制御禁止回路(制御禁止手段)
30 イグニッションスイッチ
31 高負荷プログラム処理要求部(高負荷プログラム処理要求手段)
40 車載機器
2 シリアル通信部
3 宿題データ選択部(カウンタ)
4 比較判定部
5 NG判定部
6 解答更新確認部(カウンタ・タイマ)
7 リセットパルス発生回路
8 監視停止手段(宿題解答禁止信号)
20 マイクロコンピュータ(監視停止手段)
24 出力ドライバ(出力制御ブロック)
25 制御禁止回路(制御禁止手段)
30 イグニッションスイッチ
31 高負荷プログラム処理要求部(高負荷プログラム処理要求手段)
40 車載機器
Claims (7)
- 記憶手段に記憶された制御プログラムに基づいて、制御対象を制御するための制御信号を演算によって生成するマイクロコンピュータと、前記マイクロコンピュータに所定の監視信号を出力して該監視信号を演算処理させ、その演算結果と演算処理時間とに基づいて演算が正常になされたか否かを判定する演算結果判定処理を行うことで、前記マイクロコンピュータが異常であるか否かを監視する異常監視処理を行う監視手段とを備えた制御装置であって、
前記マイクロコンピュータが自身への起動要求を受けた直後及び自身の記憶部へのプログラムの書き換え時のいずれかである通常制御以外の状態にあるときに、前記マイクロコンピュータに対して、前記記憶手段に記憶された所定の高負荷プログラムの処理を要求する高負荷プログラム処理要求信号を出力する高負荷プログラム処理要求手段と、前記高負荷プログラム処理要求信号の入力に基づいて、前記マイクロコンピュータの制御信号が前記制御対象に伝達されることを遮断することで、前記制御対象を安全側で停止させる制御禁止手段と、前記制御対象が停止された場合に、前記高負荷プログラム処理要求信号の入力に基づいて、前記監視手段に前記異常監視処理を停止させる監視停止手段と、を備え、
前記高負荷プログラム処理要求手段によって、前記マイクロコンピュータに前記高負荷プログラムの処理要求がなされた時には、前記制御禁止手段が、前記マイクロコンピュータによる前記制御対象への制御を禁止し、前記監視停止手段が、前記監視手段による前記異常監視処理を停止した上で、前記マイクロコンピュータは前記高負荷プログラム処理を行い、前記高負荷プログラムの処理が終了した時には、前記監視手段による前記マイクロコンピュータの前記異常監視処理が復帰して、前記マイクロコンピュータの正常動作が確認されたのち、前記制御禁止手段が前記マイクロコンピュータによる前記制御対象の制御禁止を解除して、その制御を再開することを特徴とする制御装置。 - 前記監視手段は、前記高負荷プログラム処理要求信号に基づいて、前記演算結果判定処理を停止させることを特徴とする請求項1に記載の制御装置。
- 前記監視手段は、前記高負荷プログラム処理要求信号の入力に基づいて、前記監視信号の出力を停止させることを特徴とする請求項2に記載の制御装置。
- 前記高負荷プログラム処理要求手段は、前記マイクロコンピュータの外部から前記マイクロコンピュータに対して、前記高負荷プログラムを処理させるための処理要求信号が出力されたことに基づいて、前記高負荷プログラム処理要求信号を出力することを特徴とする請求項1ないし3のいずれか1項に記載の制御装置。
- 前記制御禁止手段は、前記マイクロコンピュータによる前記制御対象の制御を禁止させるために、前記マイクロコンピュータおよび前記制御対象と電気的に接続される出力制御部に設けられた回路であることを特徴とする請求項1ないし4のいずれか1項に記載の制御装置。
- 前記制御装置は、車両用制御装置であり、
前記通常制御以外の状態は、車両のイグニッションスタート直後に前記マイクロコンピュータによって行われる初期制御状態であることを特徴とする請求項1ないし5のいずれか1項に記載の制御装置。 - 前記制御装置は、車両用制御装置であり、
前記高負荷プログラムは、車両停止時において前記マイクロコンピュータの記憶部に記憶されたプログラムの書き換えを行う制御状態であることを特徴とする請求項1ないし6のいずれか1項に記載の制御装置。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004060410A JP4254577B2 (ja) | 2004-03-04 | 2004-03-04 | 制御装置 |
| US11/071,047 US7457988B2 (en) | 2004-03-04 | 2005-03-02 | Electronic control system and method having microcomputer monitoring prohibiting function |
| KR1020050017661A KR100711850B1 (ko) | 2004-03-04 | 2005-03-03 | 마이크로컴퓨터 감시 금지 기능을 갖는 전자 제어 시스템및 방법 |
| DE102005009813.4A DE102005009813B4 (de) | 2004-03-04 | 2005-03-03 | Elektronisches Steuerungssystem und -Verfahren mit Microcomputerüberwachungs-Unterdrückungsfunktion |
| CNB2005100529942A CN100394396C (zh) | 2004-03-04 | 2005-03-04 | 具有微型计算机监视禁止功能的电子控制系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004060410A JP4254577B2 (ja) | 2004-03-04 | 2004-03-04 | 制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005250854A JP2005250854A (ja) | 2005-09-15 |
| JP4254577B2 true JP4254577B2 (ja) | 2009-04-15 |
Family
ID=34879847
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004060410A Expired - Fee Related JP4254577B2 (ja) | 2004-03-04 | 2004-03-04 | 制御装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7457988B2 (ja) |
| JP (1) | JP4254577B2 (ja) |
| KR (1) | KR100711850B1 (ja) |
| CN (1) | CN100394396C (ja) |
| DE (1) | DE102005009813B4 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4595637B2 (ja) | 2005-04-11 | 2010-12-08 | 株式会社デンソー | 車両用制御装置および車両用制御装置に用いるプログラム |
| US9981684B2 (en) | 2011-12-05 | 2018-05-29 | Mitsubishi Electric Corporation | Vehicle power steering control apparatus |
| JP5549685B2 (ja) * | 2012-01-10 | 2014-07-16 | 株式会社デンソー | スイッチング素子の駆動装置 |
| JP6207238B2 (ja) * | 2013-05-31 | 2017-10-04 | 富士通テン株式会社 | 車両用装置、通信システム、及び、アプリケーションの実行方法 |
| JP6226676B2 (ja) * | 2013-10-01 | 2017-11-08 | アイホン株式会社 | ナースコールシステム |
| JP6723941B2 (ja) * | 2017-02-15 | 2020-07-15 | 株式会社デンソーテン | 制御装置および制御プログラム更新方法 |
| JP7131431B2 (ja) * | 2019-02-25 | 2022-09-06 | トヨタ自動車株式会社 | 制御装置およびそのリセット方法 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS60105974A (ja) * | 1983-11-14 | 1985-06-11 | Nissan Motor Co Ltd | 車両用制御装置の点検方法 |
| JP2574892B2 (ja) * | 1989-02-15 | 1997-01-22 | 株式会社日立製作所 | 自動車における負荷分担制御方法 |
| JP2768791B2 (ja) * | 1990-03-09 | 1998-06-25 | 三菱自動車工業株式会社 | 車載用電子制御装置 |
| JPH04160539A (ja) | 1990-10-24 | 1992-06-03 | Mitsubishi Electric Corp | マイクロコンピュータ |
| DE4112334A1 (de) | 1991-04-16 | 1992-10-22 | Bosch Gmbh Robert | Mehrrechnersystem in einem kraftfahrzeug |
| JPH07291091A (ja) * | 1994-04-28 | 1995-11-07 | Nippondenso Co Ltd | 制御用コンピュータの誤動作防止回路 |
| JP3752022B2 (ja) * | 1995-08-25 | 2006-03-08 | 株式会社デンソー | 故障診断機能付き電子制御装置 |
| JPH0991210A (ja) * | 1995-09-21 | 1997-04-04 | Hitachi Ltd | マイクロコンピュータ及びモータ駆動装置 |
| CN1153348A (zh) * | 1995-12-25 | 1997-07-02 | 合泰半导体股份有限公司 | 微处理器旗标设定电路 |
| JP3633092B2 (ja) * | 1996-03-18 | 2005-03-30 | 日産自動車株式会社 | マイコン故障監視装置 |
| JP3991384B2 (ja) * | 1996-07-15 | 2007-10-17 | 株式会社デンソー | 電子制御装置 |
| JP3234772B2 (ja) | 1996-08-22 | 2001-12-04 | 三菱電機株式会社 | 車載パワートレイン制御装置 |
| US6144887A (en) * | 1996-12-09 | 2000-11-07 | Denso Corporation | Electronic control unit with reset blocking during loading |
| JP3488086B2 (ja) | 1998-05-26 | 2004-01-19 | 株式会社日立製作所 | エンジン制御装置および制御方法 |
| JP2001195267A (ja) | 2000-01-07 | 2001-07-19 | Hitachi Ltd | 制御計算機システム及びタスク実行制御方法 |
| JP2002009321A (ja) | 2000-06-23 | 2002-01-11 | Honda Motor Co Ltd | 太陽電池モジュールの外部引出し用配線 |
| JP2002041493A (ja) | 2000-07-28 | 2002-02-08 | Denso Corp | マイクロコンピュータ |
| US7206733B1 (en) * | 2000-10-26 | 2007-04-17 | Cypress Semiconductor Corporation | Host to FPGA interface in an in-circuit emulation system |
| JP2002366374A (ja) | 2001-06-11 | 2002-12-20 | Nissan Motor Co Ltd | 電子制御装置 |
| JP2003004132A (ja) | 2001-06-25 | 2003-01-08 | Aisin Seiki Co Ltd | 負荷駆動装置 |
| JP3983619B2 (ja) | 2002-07-30 | 2007-09-26 | 大日本印刷株式会社 | 並列処理システム、サーバ、並列処理方法、プログラム、及び、記録媒体 |
| JP4677876B2 (ja) * | 2005-10-11 | 2011-04-27 | 株式会社デンソー | 車両診断装置 |
| US8112185B2 (en) * | 2006-11-15 | 2012-02-07 | Dei Headquarters, Inc. | Remote engine start confirmation and vehicle monitoring and control system |
-
2004
- 2004-03-04 JP JP2004060410A patent/JP4254577B2/ja not_active Expired - Fee Related
-
2005
- 2005-03-02 US US11/071,047 patent/US7457988B2/en active Active
- 2005-03-03 KR KR1020050017661A patent/KR100711850B1/ko active IP Right Grant
- 2005-03-03 DE DE102005009813.4A patent/DE102005009813B4/de not_active Expired - Fee Related
- 2005-03-04 CN CNB2005100529942A patent/CN100394396C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US7457988B2 (en) | 2008-11-25 |
| KR100711850B1 (ko) | 2007-05-02 |
| CN1664788A (zh) | 2005-09-07 |
| KR20060043374A (ko) | 2006-05-15 |
| DE102005009813B4 (de) | 2017-01-05 |
| US20050210326A1 (en) | 2005-09-22 |
| JP2005250854A (ja) | 2005-09-15 |
| CN100394396C (zh) | 2008-06-11 |
| DE102005009813A1 (de) | 2005-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7251551B2 (en) | On-vehicle electronic control device | |
| JP6754743B2 (ja) | 車載電子制御装置およびその異常時処理方法 | |
| US7831678B2 (en) | Electronic control apparatus | |
| KR100711850B1 (ko) | 마이크로컴퓨터 감시 금지 기능을 갖는 전자 제어 시스템및 방법 | |
| JPH0319571B2 (ja) | ||
| JP5094777B2 (ja) | 車載用電子制御装置 | |
| JP4784311B2 (ja) | 車両用電子制御システム | |
| JP2008055980A (ja) | 自動車の電子制御装置 | |
| JP3491358B2 (ja) | 電源遮断検出装置 | |
| JP4692514B2 (ja) | 電子制御装置 | |
| JP6869743B2 (ja) | 自動車用電子制御装置 | |
| JP3915411B2 (ja) | 車両用電子制御装置 | |
| JP2016126692A (ja) | 電子制御装置 | |
| JP6946954B2 (ja) | 監視システム | |
| JP2010049367A (ja) | 制御装置、及び、その制御方法 | |
| JP2002041493A (ja) | マイクロコンピュータ | |
| JP6172040B2 (ja) | 電子制御装置 | |
| JP6624005B2 (ja) | 相互監視システム | |
| JP6524989B2 (ja) | 演算器の動作保証方法 | |
| US20230398955A1 (en) | In-vehicle use control system | |
| JP5392058B2 (ja) | 処理装置及び制御方法 | |
| JP6887277B2 (ja) | 自動車用電子制御装置 | |
| JP2024047214A (ja) | 制御装置 | |
| JP2006046073A (ja) | 電子制御装置のプログラム書換えシステム | |
| JP6716429B2 (ja) | 電子制御装置及びその診断方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060412 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071018 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071023 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071217 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080625 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090106 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090119 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120206 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4254577 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130206 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140206 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |