JP4396588B2 - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP4396588B2
JP4396588B2 JP2005183831A JP2005183831A JP4396588B2 JP 4396588 B2 JP4396588 B2 JP 4396588B2 JP 2005183831 A JP2005183831 A JP 2005183831A JP 2005183831 A JP2005183831 A JP 2005183831A JP 4396588 B2 JP4396588 B2 JP 4396588B2
Authority
JP
Japan
Prior art keywords
monitoring
value
expected value
function
monitor module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005183831A
Other languages
English (en)
Other versions
JP2007002758A (ja
Inventor
正人 矢野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2005183831A priority Critical patent/JP4396588B2/ja
Priority to US11/472,425 priority patent/US7612464B2/en
Priority to DE102006028695.2A priority patent/DE102006028695B4/de
Publication of JP2007002758A publication Critical patent/JP2007002758A/ja
Application granted granted Critical
Publication of JP4396588B2 publication Critical patent/JP4396588B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Electrical Control Of Air Or Fuel Supplied To Internal-Combustion Engine (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Control Of Throttle Valves Provided In The Intake System Or In The Exhaust System (AREA)

Description

この発明は、例えばスロットルバルブを開閉駆動するアクチュエータなど、車載アクチュエータの駆動制御を電子的に行う電子制御装置に関し、特にマイクロコンピュータから車載アクチュエータの駆動回路に対して発せられる駆動指令を自己監視しつつ、該監視機能をさらにモニタモジュールを通じて監視する機能を有する電子制御装置に関する。
従来、この種の電子制御装置としては、例えば特許文献1に見られるような制御装置が知られている。図22に、この特許文献1に記載されている電子制御装置も含めて、この種の電子制御装置として従来一般に採用されている電子制御装置の構成をブロック図として示す。
この電子制御装置は、例えばスロットルバルブを開閉駆動するアクチュエータ(モータ)の駆動制御を行うものであり、同図22に示されるように、大きくは、マイクロコンピュータ10やモニタモジュール20、駆動回路30等を備えて構成されている。
ここで、上記マイクロコンピュータ10は、上記モータの駆動制御を行うための各種演算処理を行う部分であり、機能的には図22に模式的に示す態様のブロック構成を有している。すなわち、この電子制御装置にあって、上記モータの駆動制御に際しては、同マイクロコンピュータ10として制御部12を構成する部分がまず、該制御部12と外部のセンサや装置との間での情報の授受を仲介する入力部11を通じて、例えばアクセルペダル操作量などの情報を示す外部信号を取り込む。そして、こうした外部信号に基づいて上記スロットルバルブ(モータ)に対する制御量(駆動量)を演算し、その演算結果(駆動指令)を上記駆動回路30に出力する。
また、同マイクロコンピュータ10において、上記外部信号は、上記制御部12による駆動指令を監視してその妥当性を判断する部分を構成する自己監視部13にも取り込まれる。この自己監視部13では、上記外部信号に対して上記制御部12による上述の演算処理に準じたかたちでの演算処理が行われる。その後、こうした演算処理の結果と例えば上記制御部12から取り込まれる駆動指令とが比較され、その比較の結果が、上記制御部12による駆動指令の妥当性を示す情報(信号)として上記駆動回路30に出力される。
また、同マイクロコンピュータ10は、上記自己監視部13の異常の有無を監視するための監視プログラムを上記モニタモジュール20との協働のもとに実行する部分を構成するプログラム実行部14を備えている。このプログラム実行部14は、マイクロコンピュータ10内の第1の通信部15を通じて上記モニタモジュール20から取り込まれる上記監視プログラムの実行を指示するテスト信号に基づき、上記監視プログラムの実行を開始する。ちなみに、該監視プログラムの実行に際しては、同プログラム実行部14がまず、上記監視プログラムにより指示される所定のデータを上記自己監視部13に出力してこれを演算させる。その後、該自己監視部13による演算結果を取り込み、該演算結果を上記通信部15を通じて上記モニタモジュール20に出力する。なお、このマイクロコンピュータ10において、上記通信部15は、以下に説明するモニタモジュール20の通信部22との間でシリアル通信による情報の授受を行う部分である。
一方、上記モニタモジュール20は、上記プログラム実行部14から上記通信部15及び通信部22を介して取り込まれる情報をもとに上記自己監視部13の異常の有無を監視するハードウェア(専用IC)もしくはバックアップコンピュータである。
すなわち、このモニタモジュール20にあって、上記自己監視部13の監視に際しては、該モニタモジュール20を構成する異常判定回路21がまず、上記通信部22を通じて、上記マイクロコンピュータ10(プログラム実行部14)から出力される上記所定のデータの演算結果を取り込む。そして、この演算結果と自らが有する期待値とを比較し、その比較の結果を、上記自己監視部13の監視結果として上記駆動回路30に出力する。なお、このモニタモジュール20において、上記異常判定回路21は、上記プログラム実行部14に対する上記テスト信号を例えば所定期間毎に上記マイクロコンピュータ10に出力する部分でもある。
また一方、上記駆動回路30は、上記モータを通じて上記スロットルバルブの開閉駆動を行う部分である。
上述の通り、この駆動回路30には上記制御部12及び自己監視部13及び異常判定回路21からの信号が取り込まれるものの、同駆動回路30は基本的に、これら信号のうち、上記制御部12による駆動指令に基づいて上記スロットルバルブの開閉駆動を行う。ただし、上記自己監視部13から出力される信号が例えば上記制御部12による駆動指令と上記自己監視部13による演算結果との不一致を示している場合や上記異常判定回路21から出力される信号が上記所定のデータの演算結果及びその期待値の不一致を示している場合などには、同駆動回路30に取り込まれる上記駆動指令としての信頼性が低い。したがってこの場合、同駆動回路30は、車両の安全性を確保すべく、上記制御部12による駆動指令を無効として、上記スロットルバルブに対するフェールセーフ処理を行うようにしている。
特表平11−505587号公報
このように、上記従来の電子制御装置では、上記駆動回路30に取り込まれる駆動指令の自己監視はもとより、該自己監視機能の正常/異常をモニタモジュールを通じて監視するようにしているため、このような監視を実施しない装置に比べて上記スロットルバルブの駆動制御等にかかる信頼性は確かに向上する。
ただし、この電子制御装置では上述のように、モニタモジュール20からのテスト信号に基づき上記自己監視部13の異常の有無を監視するに際し、同自己監視部13による上記制御部12の監視、すなわち上記駆動指令の監視がプログラム実行部14によって一時的に中断されるかたちとなる。このため、このモニタモジュール20による監視期間に上記制御部12から駆動回路30に付与されている駆動指令についてはその妥当性を判断することができず、上記信頼性の面で改善の余地を残すものとなっている。また、上記自己監視部13による監視機能を重視して、上記判定回路21によるテスト信号の出力頻度を低く抑えることも考えられるが、これでは上記モニタモジュール20による同自己監視部13の監視が十分に実施されず、逆に上記スロットルバルブの駆動制御等にかかる信頼性の低下が避けられない。
本発明は、こうした実情に鑑みてなされたものであり、その目的は、モニタモジュールを通じてマイクロコンピュータの自己監視機能をさらに監視する場合であれ、それら監視状態を適正に維持して、車載アクチュエータの駆動制御にかかる信頼性のさらなる向上を図ることのできる電子制御装置を提供することにある。
こうした目的を達成するため、請求項1に記載の電子制御装置では、車両の運転状態を示す入力信号に基づき車載アクチュエータを駆動制御する制御機能と、同一入力信号をもとにこの制御機能が適正に機能しているか否かを監視する監視機能とを有するマイクロコンピュータに対し、前記監視機能が適正に機能しているか否かを専用のディジタル回路を通じてさらに監視するモニタモジュールが通信可能に接続されてなる電子制御装置にあって、前記監視機能は、前記マイクロコンピュータが内蔵する読み出し専用のプログラムメモリに格納されているデータを前記制御機能が演算した演算結果と、本来得られるべきその演算結果として予め登録されている期待値とを一致比較することで、前記プログラムメモリに格納されているこの制御機能によって実行される制御プログラムおよび前記データの少なくとも一方を監視対象の1つとして前記制御機能の適正性の監視を行うとともに、前記マイクロコンピュータは、その一致比較が行われる前記演算結果およびその期待値を前記モニタモジュールに送信し、前記モニタモジュールは、該送信される演算結果とその期待値との一致比較に基づいて前記監視機能が適正に機能しているか否かを監視することとした(ROMチェック)そして、請求項1に記載の電子制御装置において、請求項2に記載の電子制御装置では、前記マイクロコンピュータは、前記監視機能としてさらに、当該マイクロコンピュータが内蔵するデータRAM及びミラーRAMにそれぞれ格納された前記制御機能による演算値をそれぞれ演算結果及び期待値として一致比較することで前記制御機能の監視を行うとともに、これら一致比較した演算結果と期待値とを前記モニタモジュールに送信し、前記モニタモジュールは、該送信される演算結果とその期待値との一致比較に基づいて前記監視機能が適正に機能しているか否かを監視することとした(RAMチェック)。また、請求項1または2に記載の電子制御装置において、請求項3に記載の電子制御装置では、前記マイクロコンピュータは、前記監視機能としてさらに、検査用に予め登録されている固定値からなる入力信号を前記制御機能を通じて演算した演算結果とこの演算結果に対応して予め登録されている期待値とを一致比較することで前記制御機能の監視を行うとともに、これら一致比較した演算結果と期待値とを前記モニタモジュールに送信し、前記モニタモジュールは、該送信される演算結果とその期待値との一致比較に基づいて前記監視機能が適正に機能しているか否かを監視することとした(インストラクション検査)。さらに、請求項1〜3のいずれか一項に記載の電子制御装置において、請求項4に記載の電子制御装置では、前記マイクロコンピュータは、前記監視機能としてさらに、当該マイクロコンピュータが内蔵するプログラムメモリに格納されている関数を前記制御機能が規定された順序で読み出すことによって順次演算される演算結果とこの演算結果に対応して予め登録されている期待値とを一致比較することで前記制御機能の監視を行うとともに、これら一致比較した演算結果と期待値とを前記モニタモジュールに送信し、前記モニタモジュールは、該送信される演算結果とその期待値との一致比較に基づいて前記監視機能が適正に機能しているか否かを監視することとした(フロー検査)。さらにまた、請求項1〜4のいずれか一項に記載の電子制御装置において、請求項5に記載の電子制御装置では、前記マイクロコンピュータは、前記監視機能としてさらに、当該マイクロコンピュータが内蔵するプログラムメモリに格納されているマップに基づき前記制御機能が前記入力信号に応じて前記車載アクチュエータの制御値を演算した演算結果と、この制御値の上限値である期待値とを大小比較することで前記制御機能の監視を行うとともに、これら大小比較した演算結果と期待値とを前記モニタモジュールに送信し、前記モニタモジュールは、該送信される演算結果とその期待値との大小比較に基づいて前記監視機能が適正に機能しているか否かを監視することとした(システムチェック)。このような構成では、上記監視機能によって上記制御機能の監視が行われるとともに、上記モニタモジュールによる上記マイクロコンピュータの監視機能の監視が別途実行される。したがって、モニタモジュールを通じてマイクロコンピュータの自己監視機能をさらに監視する場合であれ、それら監視状態を適正に維持して、車載アクチュエータの駆動制御にかかる信頼性のさらなる向上を図ることができるようになる。
また、これらの場合には特に、請求項に記載の電子制御装置によるように、前記モニタモジュールが、前記送信された前記演算結果とその期待値との比較の結果、前記演算結果が期待される結果となっていない期間が所定の判定期間を超えることに基づいて前記監視機能が適正に機能していない旨を判定するようにすることが望ましい。このような構成では、上記演算結果偶発的に期待される結果となっていないことによって上記マイクロコンピュータの監視機能が異常と判定されることが回避されるようになり、該マイクロコンピュータの監視機能をより適切に監視することができるようになる。
そして具体的には、請求項に記載の電子制御装置によるように、前記モニタモジュールが、前記ディジタル回路の動作基準となるクロックに基づきカウントアップされるとともに、前記送信された前記演算結果とその期待値との比較の結果、前記演算結果が期待される結果となっていることに基づいてクリアされるデータ異常カウンタを備え、該データ異常カウンタによるカウンタ値が所定の判定値を超えることに基づいて前記演算結果が期待される結果となっていない期間が所定の判定期間を超えた旨を判断するようにすることが、車載アクチュエータの駆動制御にかかる信頼性のさらなる向上を図る上で実用上望ましい。
ところで、マイクロコンピュータに上記モニタモジュールが通信可能に接続されてなる上記請求項1〜のいずれか一項に記載の電子制御装置では、マイクロコンピュータとモニタモジュールとの間の通信機能に異常がある場合、上記モニタモジュールが、上記マイクロコンピュータの監視機能を監視することは困難となる。すなわちこの場合、同モニタモジュールによる上記マイクロコンピュータの監視機能の監視が十分に実施されず、逆に車載アクチュエータの駆動制御等にかかる信頼性の低下が避けられない。したがって、上記請求項1〜のいずれか一項に記載の電子制御装置においては、請求項に記載の電子制御装置によるように、前記モニタモジュールが、前記演算結果とその期待値とが受信されない期間が所定の判定期間を超えることに基づいて前記マイクロコンピュータとの通信機能が適正に機能していない旨を判定するようにして、マイクロコンピュータとモニタモジュールとの間の通信機能を併せて監視するようにすることが望ましい。
そして具体的には、請求項に記載の電子制御装置によるように、前記モニタモジュー
ルが、前記ディジタル回路の動作基準となるクロックに基づきカウントアップされるとともに前記演算結果とその期待値とが受信されることに基づいてクリアされる通信異常カウンタを備え、該通信異常カウンタによるカウンタ値が所定の判定値を超えることに基づいて前記マイクロコンピュータとの通信機能が適正に機能していない旨を判定するようにすることが、上記通信機能を監視する上で実用上望ましい。
ただしここで、モニタモジュールを利用して上記マイクロコンピュータの監視機能を監視するこのような電子制御装置では、同モニタモジュール自体が監視不能な状態に陥るようなことがあると、車載アクチュエータの駆動制御等にかかる信頼性の低下が避けられない。そこで、請求項またはに記載の電子制御装置において、請求項10に記載の電子制御装置では、前記モニタモジュールが、前記ディジタル回路の動作基準となるクロックに基づきカウントアップされる基準カウンタをさらに備え、前記マイクロコンピュータが、この基準カウンタによるカウンタ値を取り込んで前記モニタモジュールが適正に機能しているか否かを監視するモジュール監視部をさらに備えるようにしている。すなわちこのような基準カウンタは、上述のデータ異常カウンタや通信異常カウンタと同様、上記ディジタル回路の動作基準となるクロックに基づいてカウントアップされる。したがって、上記モジュール監視部が該基準カウンタによるカウンタ値を監視する上記構成では、上記モニタモジュールのデータ異常カウンタや通信異常カウンタのいわば擬似的な監視を通じて、同モニタモジュール自体が監視不能な状態にあるか否かの判定を行うことができるようになる。
また、請求項10に記載の電子制御装置において、請求項11に記載の電子制御装置によるように、前記モジュール監視部が、前記基準カウンタによるカウンタ値を定期的に取り込み、該取り込んだカウンタ値の変化しない期間が所定の判定期間を超えることに基づいて前記モニタモジュールが適正に機能していない旨を判定するようにすれば、同モニタモジュールをより適切に監視することができるようになる。
また、請求項1〜11に記載の電子制御装置にあって、モニタモジュールが複数の監視対象を有する場合には、該電子制御装置として、例えば、請求項12、あるいは請求項14、あるいは請求項17に記載の電子制御装置を採用するようにすることが実用上望ましい。
ちなみに、請求項12に記載の電子制御装置では、前記監視機能が、前記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素を監視対象としてその監視を行うとともに、前記マイクロコンピュータが、それら監視対象の別に識別子を付与して前記演算結果とその期待値とを前記モニタモジュールに送信するものであるとき、前記モニタモジュールが、前記監視対象にそれぞれ対応した複数のディジタル回路ブロックを一体に有し、前記送信される演算結果とその期待値とを前記識別子に基づき分類して各対応するディジタル回路ブロックに与えつつ、それら各ディジタル回路ブロックにて各別に前記演算結果とその期待値との比較に基づく監視を行うこととしている。
このような構成では、上記モニタモジュールが、上記監視対象の別に送信される演算結果とその期待値とを、各々対応する専用のディジタル回路ブロックにて各別に比較することとなる。このため、モニタモジュールが複数の監視対象を有する場合であれ、上記演算結果とその期待値との比較に基づく監視を的確に実行することができるようになる。
なお、このようにモニタモジュールが複数の監視対象を有する場合には、それら監視対象の比較態様として、一致比較あるいは大小比較が要求されることが多い。したがって、上記請求項12に記載の電子制御装置では、請求項13に記載の電子制御装置によるように、前記モニタモジュールの前記複数のディジタル回路ブロックとして、前記演算結果とその期待値の一致比較を行う第1のブロックと、前記演算結果とその期待値との大小比較を行う第2のブロックとを用意するようにすることが実用上望ましい。
一方、上記請求項14に記載の電子制御装置では、前記監視機能が、前記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素を監視対象としてその監視を行うとともに、前記マイクロコンピュータは、それら監視対象の比較態様の別に識別子を付与して前記演算結果とその期待値とを前記モニタモジュールに送信するものであるとき、前記モニタモジュールが、前記演算結果とその期待値との一致比較を行う第1のブロックと、前記演算結果とその期待値との大小比較を行う第2のブロックとを有し、前記監視対象のうち、前記比較態様の共通する監視対象の演算結果とその期待値については、前記識別子に基づきそれらブロックの一方を共用して該当する演算結果とその期待値との比較に基づく監視を行うこととしている。
このような構成では、上記モニタモジュールが、複数の監視対象のうち、上記比較態様の共通する監視対象の演算結果とその期待値については、上記識別子に基づき上記第1及び第2のブロックの一方を共用して該当する演算結果とその期待値との比較に基づく監視を行うこととなる。したがって、多くの監視対象を有するモニタモジュールを専用のディジタル回路によって実現する場合であれ、その回路規模の好適な抑制を図ることができるようになる。またこれにより、モニタモジュールの製造コストの低減が図られるようにもなる。
また、この請求項14に記載の電子制御装置において、請求項15に記載の電子制御装置によるように、前記マイクロコンピュータが、前記比較態様が一致比較として共通する監視対象についてはそれら各監視対象の演算結果の合算値と該合算値として本来得られるべき値である期待値とを前記モニタモジュールに送信し、前記モニタモジュールが、これら送信される合算値とその期待値とを前記第1のブロックを通じて一致比較することにより前記比較態様が一致比較として共通する監視対象の適否を一括して監視するようにすれば、モニタモジュールにかかる演算負荷の低減とその回路規模のより好適な抑制とを併せ
て図ることができるようになる。また、請求項14または15に記載の電子制御装置として、例えば、請求項17に記載の電子制御装置を採用するようにすることも実用上望ましい。
また、請求項1215のいずれか一項に記載の電子制御装置においては、請求項16に記載の電子制御装置によるように、前記監視機能の監視対象となる前記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素として、前記マイクロコンピュータが内蔵する読み出し専用のプログラムメモリに格納されている前記制御機能によって実行される制御プログラムの適正性、及び前記マイクロコンピュータが内蔵するデータRAMに前記制御機能による演算結果として格納されているデータの適正性、及び固定値として予め登録されているシミュレーション用データの前記制御機能による演算値の適正性、及び前記制御機能によって読み出し要求される関数の順序の適正性、及び前記車両の運転状態を示す入力信号に基づき前記制御機能によって演算された演算値の適正性の少なくとも2つの要素を採用するようにすることが実用上望ましい。
他方、上記請求項17に記載の電子制御装置では、前記監視機能が、前記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素を監視対象としてその監視を行うとともに、前記マイクロコンピュータが、それら監視対象の演算周期の別に識別子を付与して前記演算結果とその期待値とを前記モニタモジュールに送信するものであるとき、前記モニタモジュールが、前記監視対象のうちの演算周期の相対的に短い監視対象について前記演算結果とその期待値との一致比較を行う高速用ブロックと、同監視対象のうちの演算周期の相対的に長い監視対象について前記演算結果とその期待値との一致比較を行う低速用ブロックとを有し、前記監視対象のうち、前記演算周期の近似する監視対象の演算結果とその期待値については、前記識別子に基づきそれらブロックの一方を共用して該当する演算結果とその期待値との比較に基づく監視を行うこととした。
このような構成でも、上記モニタモジュールが、上記複数の監視対象のうち、上記演算周期の近似する監視対象の演算結果とその期待値については、上記識別子に基づき上記高速用及び低速用ブロックの一方を共用して該当する演算結果とその期待値との比較に基づく監視を行うこととなる。したがって、多くの監視対象を有するモニタモジュールを専用のディジタル回路によって実現する場合であれ、その回路規模の好適な抑制を図ることができるようになる。またこれにより、モニタモジュールの製造コストの低減が図られるようにもなる。
しかも、上記複数の監視対象をこのように演算周期ごとに分類するようにしたことで、遅い演算周期の監視対象の監視によって、早い演算周期の監視対象の監視が妨げられることも回避されるようになり、監視対象の異常をより早期に検出、判定することができるようになる。
また、この請求項17に記載の電子制御装置においても、請求項18に記載の電子制御装置によるように、前記マイクロコンピュータが、前記演算周期の相対的に短い監視対象として共通する監視対象についてはそれら各監視対象の演算結果の合算値と該合算値として本来得られるべき値である期待値とを前記モニタモジュールに送信し、前記モニタモジュールが、これら送信される合算値とその期待値とを前記高速用ブロックを通じて一致比較することにより前記演算周期の相対的に短い監視対象として共通する監視対象の適否を一括して監視するようにすれば、モニタモジュールにかかる演算負荷の低減とその回路規模のより好適な抑制とを併せて図ることができるようになる。
また、請求項17または18に記載の電子制御装置においては、請求項19に記載の電子制御装置によるように、前記監視機能の監視対象となる前記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素として、前記マイクロコンピュータが内蔵するデータRAMに前記制御機能による演算結果として格納されているデータの適正性、及び固定値として予め登録されているシミュレーション用データの前記制御機能による演算値の適正性、及び前記制御機能によって読み出し要求される関数の順序の適正性、及び前記車両の運転状態を示す入力信号に基づき前記制御機能によって演算された演算値の適正性の少なくとも1つの要素と、前記マイクロコンピュータが内蔵する読み出し専用のプログラムメモリに格納されている前記制御機能によって実行される制御プログラムの適正性を採用するようにすることが実用上望ましい。
また一方、請求項1〜19のいずれか一項に記載の電子制御装置において、請求項20に記載の電子制御装置では前記マイクロコンピュータは、前記監視機能を通じて前記演算結果のみを前記モニタモジュールに送信するものであり、前記モニタモジュールは、前記期待値を予め保持し、前記送信される演算結果とこの期待値との比較に基づいて前記監視機能が適正に機能しているか否かを監視することとした
このような構成でも、上記監視機能による上記制御機能の監視と、上記モニタモジュールによる上記マイクロコンピュータの監視機能の監視とが並行して実行されるため、モニタモジュールを通じてマイクロコンピュータの自己監視機能をさらに監視する場合であれ、それら監視状態を適正に維持して、車載アクチュエータの駆動制御にかかる信頼性のさらなる向上を図ることができるようになる。
ただしこのように、上記監視対象となる内容に応じた演算結果としてその本来得られるべき値である期待値をモニタモジュールに保持するようにしたことで、前記監視対象となる内容によっては、請求項21に記載の電子制御装置によるように、前記マイクロコンピュータが、前記演算結果が前記モニタモジュールに保持されている期待値に見合う値となるように前記監視対象となる内容に応じた演算結果を操作し、この操作した値を前記演算結果として前記モニタモジュールに送信するようにすることがより望ましい場合もある。このような監視対象としては、例えばデータRAMに格納されているスロットルバルブの開度指令値を示すデューティ値の適正性など、機関の運転状態とともに演算結果の値がその都度変化する監視対象等が該当する。
また、請求項1〜21のいずれか一項に記載の電子制御装置は、請求項22に記載の電子制御装置、具体的には、前記車載アクチュエータがスロットルバルブの開度を調量するモータであるときに、該モータを駆動する駆動回路と、前記マイクロコンピュータの監視
機能及び前記モニタモジュールの少なくとも一方を通じてその監視対象となる機能が適正に機能していない旨が判定されることに基づき前記駆動回路に対する給電を停止する手段とをさらに備える電子制御装置として構成することが特に有効である。すなわち、このような電子制御装置では、上記駆動回路に対する給電が停止されるときに、上記スロットルバルブが自ずとフェールセーフ状態に保持されるようになる。
(第1の実施の形態)
以下、この発明にかかる電子制御装置の第1の実施の形態について図1〜図18を参照して詳細に説明する。
はじめに、スロットルバルブを駆動制御する制御機能と該制御機能が適正に機能しているか否かを監視する監視機能とを有するマイクロコンピュータ、及びその監視機能が適正に機能しているか否かを専用のディジタル回路を通じてさらに監視するモニタモジュールを互いに通信可能に接続して有する一般的な電子制御装置について説明する。
前述のように、このような電子制御装置では、上記モニタモジュールが、上記マイクロコンピュータから送信される情報に基づき同マイクロコンピュータの監視機能が適正に機能しているか否かを監視することとなる。ただし、このような電子制御装置においては、先の従来の電子制御装置のように、上記モニタモジュールが上記マイクロコンピュータの監視機能の異常の有無を監視するに際し、同監視機能による上記制御機能の監視が一時的に中断され、ひいてはスロットルバルブの駆動制御等にかかる信頼性が低下する懸念がある。
そこで、このような電子制御装置として、
・上記モニタモジュールによる監視に際しては、マイクロコンピュータの監視機能がまず、上記制御機能の監視(自己監視)を実施する。
且つ、
・上記監視機能による監視が実施されたとき、上記マイクロコンピュータが、その監視対象となる内容に応じて演算された値である演算結果と該演算結果として本来得られるべき値である期待値とをモニタモジュールに送信する。
且つ、
・上記モニタモジュールが、上記マイクロコンピュータから送信される演算結果とその期待値との比較に基づき上記マイクロコンピュータの監視機能が適正に機能しているか否かを監視する。
といった監視構造をさらに採用するようにした装置が以下に説明するこの実施の形態にかかる電子制御装置である。このような電子制御装置によれば、上記監視機能による制御機能の監視と、上記モニタモジュールによる同監視機能の監視とが並行して実行されるようになり、スロットルバルブの駆動制御にかかる信頼性のさらなる向上を図ることができるようになる。
図1は、スロットルバルブを駆動するモータとの電気的な関係も含めて、このような監視構造を採用するこの実施の形態にかかる電子制御装置についてその全体構成をブロック図として示したものである。以下、同図1を参照して、この実施の形態にかかる電子制御装置の構成、並びにその動作について更に詳述する。
同図1に示すように、この電子制御装置100は、スロットルバルブ(図示略)を駆動するモータMの駆動制御を出力端子T1及びT2を介して行う装置として、大きくは、マイクロコンピュータ110と、モニタモジュール120と、駆動回路130とを備えて構成されている。なお、この電子制御装置100やモータMは、電源端子T3及び接地端子T4を介して車載バッテリからの給電を受ける構成となっている。
ここで、上記マイクロコンピュータ110は、上記モータMの駆動制御を行うための各種演算処理を行う部分であり、機能的には図1に模式的に示す態様のブロック構成を有している。
すなわち、この電子制御装置にあって、上記モータMの駆動制御に際しては、上述の制御機能を構成する部分である制御部112がまず、該制御部112と外部のセンサや装置との間での情報の授受を仲介する入力部111を通じて、例えばアクセルペダル操作量などの情報を示す外部信号を取り込む。そして、こうした外部信号に基づいて上記スロットルバルブ(モータM)に対する制御量(駆動量)を演算し、その演算結果(駆動指令)を上記駆動回路130に出力する。これにより、上記駆動回路130が、この駆動指令によって示される上記スロットルバルブに対する制御量に対応するかたちで上記モータMを駆動するようになる。
また、同マイクロコンピュータ110は、上記制御部112が適正に機能しているか否かを監視する上述の監視機能を構成する部分である自己監視部113を備えている。本実施の形態において、この自己監視部113は、上記制御部112としての機能を実行する上でその適正な実行を保証する以下の5つの要素を監視対象としてその監視を行うことで、上記制御部112としての機能を間接的に監視する。次に、この自己監視部113の監視対象となる要素及びその監視の具体態様について詳述する。
<プログラムメモリの監視(ROMチェック)>
自己監視部113は、マイクロコンピュータ110が内蔵する読み出し専用のプログラムメモリ(ROM)1121に格納されている上記制御部112によって実行される各種制御プログラムやそれら制御で用いられる制御データの適正性を監視対象としている。そして、同自己監視部113は、このプログラムメモリの監視(ROMチェック)を以下の態様にて実行する。
例えば、プログラムメモリ1121の上記スロットルバルブに対する制御量を演算するための領域(ROM領域)112aには、図2に示されるように、該ROM領域112aに格納されているデータを加算したとき、その加算値(ROMサム値)が所定の固定値(例えば「5AA5」)となるように上述の各種データが配列されている。こうしたプログラムメモリ1121に対して、当該自己監視部113はまず、上記スロットルバルブに対する制御量を演算するための領域112aに格納されているデータの加算値(ROMサム値)を得る。そしてこの演算結果としての加算値と、該加算値として本来得られるべき値として予めメモリ等に登録されている期待値(例えば「5AA5」)との間での一致比較に基づき、当該監視を実行する。
<データRAMの監視(RAMチェック)>
また、自己監視部113は、スロットルバルブの開度を示すデューティ値など、上記制御部112による演算結果として上記マイクロコンピュータ110が内蔵するデータRAMに格納されたデータの適正性を監視対象としており、このデータRAMの監視(RAMチェック)を以下の態様にて実行する。
例えば、図3(a)及び(b)に例示されるように、上記制御部112は、各種の演算結果を得る都度、該演算結果を、上記データRAMの一部の領域112bのほか、上記マイクロコンピュータ110が内蔵するミラーRAMの一部の領域112cに格納する。こうしたデータRAM及びミラーRAMに対して、当該自己監視部113はまず、互いに対応するアドレス毎に上記データRAMの記憶値(演算結果)及びミラーRAMの記憶値(期待値)を読み出す。そして、それら演算結果及びその期待値の一致比較に基づき、当該監視を実行する。
<制御部による命令動作等の監視(インストラクション検査)>
また、自己監視部113は、上記制御部112による演算結果として出力される該制御部112による命令動作の適正性や、該動作に関わる各種要素(レジスタ、アドレスバス、データバス等)を監視対象としている。そして、同自己監視部113は、この制御部112による命令動作等の監視(インストラクション検査)を以下の態様にて実行する。
この命令動作等の監視に際しては、例えば、図4に例示するように、上記入力部111を介して取得される外部信号に基づいて上記スロットルバルブの開度量を演算する上記制御部112の制御機能の一部112dがまず、固定値として予め登録されているシミュレーション用データを読み込む。そして、該シミュレーション用データを演算してその演算値を所定のレジスタに格納する。そしてその後に、自己監視部113が、このレジスタに格納されている上記制御機能の一部112dによるシミュレーション用データの演算値と、該演算値として本来得られるべき値「A」として予めメモリ等に登録されている期待値との間での一致比較に基づき、当該監視を実行する。
<関数のCALL順序の監視(フロー検査)>
また、自己監視部113は、上記制御部112によって読み出し要求される関数の順序(関数のCALL順序)を監視対象としており、この関数のCALL順序の監視(フロー検査)を以下の態様にて実行する。
例えば、マイクロコンピュータ110が内蔵するプログラムメモリ1121の制御プログラム格納領域112eには、図5に例示する制御プログラム(フローチャート)が格納(規定)されている。なお、この制御プログラム(フローチャート)には、ステップS1〜S4の順序に従って適宜の第1〜第4の関数を上記制御部112が読み出し要求すべき旨が規定されている。また、同制御プログラム(フローチャート)には、上記第1〜第4の関数の読み出し要求に先立って、ステップS0の処理としてまず、所定のプログラムカウンタのカウンタ値を「0」とすることが規定されている。また、上記ステップS1〜S4の処理毎に、同カウンタのカウンタ値をカウントアップすること、及び上記ステップS1〜S4の処理の後に、ステップS5の処理として、関数のCALL順序が適正であったか否かの検査(フロー検査)を行うことも併せて規定されている。
このように規定されている手順に基づき、自己監視部113は、上記ステップS5の処理として、上記制御部112によって読み出し要求される関数の順序の適正性を監視する。具体的には、このステップS5の処理において本来得られるべきカウンタ値「4」として予めメモリ等に登録されている期待値を読み出し、上記プログラムカウンタのカウンタ値(演算結果)とこの期待値との一致比較に基づき、当該監視を実行する。
<制御部による演算値の監視(システムチェック)>
また、自己監視部113は、スロットルバルブの開度指令値を示すデューティ値など、上記入力部111を介して取得される上記外部信号に基づき上記制御部112によって演算された演算値を監視対象としており、このデューティ値(演算値)の監視(システムチェック)を以下の態様にて実行する。
例えば、マイクロコンピュータ110が内蔵する所定のメモリ(図示略)には、スロットルバルブの開度指令値を示すデューティ値、及び該デューティ値にそれぞれ関連して上記スロットルバルブの開度制御上取得され得る上限値が、当該車両の運転状態に対応してそれぞれ関連付けされたマップM(図示略)として記憶されている。そして、上記制御部112は、該マップMに基づいてその都度の外部信号(車両の運転状態)に応じた上記デューティ値を演算しており、こうして演算されたデューティ値が、図6に示されるように、マイクロコンピュータ110が内蔵するデータRAM1122のデューティ値記憶(保持)領域112fに格納されている。
こうしたデータRAM1122に対して、当該自己監視部113はまず、上記制御部112によって演算された上記デューティ値(演算結果)を読み出す。次いで、該読み出したデューティ値に対応して予め設定されている上記上限値を同様に上記マップMに基づいて算出する。そして、該算出したデューティ値の上限値「x%」をその都度の期待値として、該期待値と上記読み出した演算結果との大小比較に基づき、当該監視を実行する。
このように、この実施の形態の自己監視部113は、監視対象となるこれら5つの要素を各別に監視し、それら監視が終了する都度、該監視の結果を、上記制御部112による駆動指令の妥当性を示す情報(信号)として上記駆動回路130に出力する。具体的には、一致比較が用いられる監視項目(ROMチェック、RAMチェック、インストラクション検査、フロー検査)については、その監視の内容に応じて演算された演算結果とその期待値とが不一致を示している場合に、当該自己監視部113が、上記制御部112による駆動指令に妥当性がない旨の情報(信号)を出力する。また、大小比較が用いられる監視項目(システムチェック)については、その監視の内容に応じて演算された演算結果がその期待値よりも大きい場合に、当該自己監視部113が、上記制御部112による駆動指令に妥当性がない旨の情報(信号)を出力する。すなわち後述するが、こうした情報(信号)が上記駆動回路130に出力されることで、該駆動回路130が、上記モータMを通じて上記スロットルバルブの開閉駆動をより高い信頼性の下で行うようになる。
なお、同自己監視部113は、上記監視が終了したときには、その監視に用いられた演算結果とその期待値とを、上記5つの監視項目(ROMチェック、RAMチェック、インストラクション検査、フロー検査、システムチェック)の別に所定のメモリに格納する。またこのとき、同自己監視部113は、上記監視が終了したことを示す監視終了フラグを、これら5つの監視項目の別に所定のメモリに登録(セット)することも併せ行う。
また、同マイクロコンピュータ110において、通信部114は、以下に説明するモニタモジュール120の通信部122との間で通信による情報の授受を行う部分である。すなわち、同マイクロコンピュータ110にあっては、この通信部114が、上記制御部112の監視が実施されるときにその監視対象の内容に応じて演算された値である上記演算結果と該演算結果として本来得られるべき値である上記期待値とを上記モニタモジュール120に送信する上述の部分となる。
図7〜図11は、上記演算結果及びその期待値の送信制御について、この通信部114が実行する制御手順をフローチャートとして示したものであり、次に、この図7〜図11に基づいて、同制御手順を説明する。なお、この送信制御は、上記5つの監視項目の別に、例えばシリアル通信やパラレル通信によって実行される。また、同送信制御では、データ送信に際して他のデータが送信中である場合にはそのデータ送信を遅延させるなどの適宜のタイムシェアリングが用いられる。
ここで、図7は、上述の5つの監視項目のうち、プログラムメモリの監視(ROMチェック)が実施されるときに用いられた演算結果及びその期待値の送信処理をフローチャートとして示したものである。なお、この送信処理は、所定期間ごとに繰り返し実行される。
同図7に示されるように、この送信処理に際しては、上記通信部114がまず、プログラムメモリの監視(ROMチェック)が終了したことを示す監視終了フラグが上記自己監視部113によってセットされているか否かを確認する(ステップS11)。そしてその結果、同監視終了フラグがセットされている場合には、プログラムメモリの監視(ROMチェック)が既に終了しているとして、次にステップS12の処理に移行する。
このステップS12の処理では、先の図2に例示した演算結果(ROMサム値)とその期待値(例えば「5AA5」)とを上述の所定のメモリから読み出し、上記モニタモジュール120への送信データとして上記マイクロコンピュータ110が内蔵する第1のレジスタ(図示略)にセット(更新)する。ただしこのとき、このデータには、図12に例示するように、該データが上記ROMチェックに対応するデータであることを示す識別子(ID)を付与しておく。そして、同通信部114は、ステップS13の処理として、こうして作成した送信データ(図12)を上記モニタモジュール120に送信する。そしてその後に、ステップS14の処理として、上記ROMチェックが終了したことを示す監視終了フラグをリセット(クリア)する。
他方、上記ステップS11の処理において、上述の監視終了フラグがセットされていない場合には、上記ROMチェックは未だ終了していないとして、上記ステップS12の処理に移行することなく、次に上記ステップS13の処理を行う。すなわちこの場合、上記通信部114は、上記第1のレジスタに格納されている前回送信したデータを上記モニタモジュール120に再度送信することとなる。そしてその後に、ステップS14の処理として、上記ROMチェックが終了したことを示す監視終了フラグをリセット(クリア)する。
また、図8は、上述の5つの監視項目のうち、データRAMの監視(RAMチェック)が実施されるときに用いられた演算結果及びその期待値の送信処理をフローチャートとして示したものである。なお、この送信処理も、基本的には、先の図7に示した送信処理とほぼ同様の手順にて、所定期間ごとに繰り返し実行される。
すなわち、同図8に示されるように、この送信処理に際しても、上記通信部114はまず、上記RAMチェックが終了したことを示す監視終了フラグが上記自己監視部113によってセットされているか否かを確認し(ステップS21)、その結果、該監視終了フラグがセットされている場合に次のステップS22の処理に移行する。
ただし、このステップS22の処理では、先の図3に例示した演算結果(データRAMの記憶値)とその期待値(ミラーRAMの記憶値)とを上述の所定のメモリから読み出し、これを上記モニタモジュール120への送信データとして上記マイクロコンピュータ110が内蔵する第2のレジスタ(図示略)にセット(更新)する。またこのとき、このデータには、図12に例示するように、該データが上記RAMチェックに対応するデータであることを示す識別子(ID)を付与しておく。そしてその後に、こうして作成した送信データ(図12)を上記モニタモジュール120に送信するとともに(ステップS23)、該RAMチェックが終了したことを示す監視終了フラグをリセット(クリア)する(ステップS24)。
他方、上記ステップS21の処理において、上述の監視終了フラグがセットされていない場合には、RAMチェックは未だ終了していないとして、上記ステップS22の処理に移行することなく、次に上記ステップS23の処理を行う。すなわちこの場合、上記通信部114は、上記第2のレジスタに格納されている前回送信したデータを上記モニタモジュール120に再度送信することとなる。そしてその後に、ステップS24の処理として、上記RAMチェックが終了したことを示す監視終了フラグをリセット(クリア)する。
また、図9は、上述の5つの監視項目のうち、上記制御部112による命令動作等の監視(インストラクション検査)が実施されるときに用いられた演算結果及びその期待値の送信処理をフローチャートとして示したものである。なお、この送信処理も、基本的には、先の図7に示した送信処理とほぼ同様の手順にて、所定期間ごとに繰り返し実行される。
すなわち、同図9に示されるように、この送信処理に際しても、上記通信部114はまず、上記インストラクション検査が終了したことを示す監視終了フラグが上記自己監視部113によってセットされているか否かを確認し(ステップS31)、その結果、該監視終了フラグがセットされている場合に次のステップS32の処理に移行する。
ただし、このステップS32の処理では、先の図4に例示した演算結果(シミュレーション用データの演算値)とその期待値(例えば演算値「A」)とを上述の所定のメモリから読み出し、これを上記モニタモジュール120への送信データとして上記マイクロコンピュータ110が内蔵する第3のレジスタ(図示略)にセット(更新)する。またこのとき、このデータには、図12に例示するように、該データが上記インストラクション検査に対応するデータであることを示す識別子(ID)を付与しておく。そしてその後に、こうして作成した送信データ(図12)を上記モニタモジュール120に送信するとともに(ステップS33)、上記インストラクション検査が終了したことを示す監視終了フラグをリセット(クリア)する(ステップS34)。
他方、上記ステップS31の処理において、上述の監視終了フラグがセットされていない場合には、上記インストラクション検査は未だ終了していないとして、上記ステップS32の処理に移行することなく、次に上記ステップS33の処理を行う。すなわちこの場合、上記通信部114は、上記第3のレジスタに格納されている前回送信したデータを上記モニタモジュール120に再度送信することとなる。そしてその後に、ステップS34の処理として、上記インストラクション検査が終了したことを示す監視終了フラグをリセット(クリア)する。
また、図10は、上述の5つの監視項目のうち、関数のCALL順序の監視(フロー検査)が実施されるときに用いられた演算結果及びその期待値の送信処理をフローチャートとして示したものである。なお、この送信処理も、基本的には、先の図7に示した送信処理とほぼ同様の手順にて、所定期間ごとに繰り返し実行される。
すなわち、同図10に示されるように、この送信処理に際しても、上記通信部114はまず、上記フロー検査が終了したことを示す監視終了フラグがセットされているか否かを確認し(ステップS41)、その結果、該監視終了フラグがセットされている場合に次のステップS42の処理に移行する。
ただし、このステップS42の処理では、先の図5に例示した演算結果(カウンタ値)とその期待値(例えばカウンタ値「4」)とを上述の所定のメモリから読み出し、これを上記モニタモジュール120への送信データとして上記マイクロコンピュータ110が内蔵する第4のレジスタ(図示略)にセット(更新)する。またこのとき、このデータには、図12に例示するように、該データが上記フロー検査に対応するデータであることを示す識別子(ID)を付与しておく。そしてその後に、こうして作成した送信データ(図12)を上記モニタモジュール120に送信するとともに(ステップS43)、上記フロー検査が終了したことを示す監視終了フラグをリセット(クリア)する(ステップS44)。
他方、上記ステップS41の処理において、上述の監視終了フラグがセットされていない場合には、上記フロー検査は未だ終了していないとして、上記ステップS42の処理に移行することなく、次に上記ステップS43の処理を行う。すなわちこの場合、上記通信部114は、上記第4のレジスタに格納されている前回送信したデータを上記モニタモジュール120に再度送信することとなる。そしてその後に、ステップS44の処理として、上記フロー検査が終了したことを示す上述の監視終了フラグをリセット(クリア)する。
また、図11は、上述の5つの監視項目のうち、上記制御部112による演算値の監視(システムチェック)が実施されるときに用いられた演算結果及びその期待値の送信処理をフローチャートとして示したものである。なお、この送信処理も、基本的には、先の図7に示した送信処理とほぼ同様の手順にて、所定期間ごとに繰り返し実行される。
すなわち、同図11に示されるように、この送信処理に際しても、上記通信部114はまず、上記システムチェックが終了したことを示す監視終了フラグがセットされているか否かを確認し(ステップS51)、その結果、該監視終了フラグがセットされている場合に次のステップS52の処理に移行する。
ただし、このステップS52の処理では、先の図6に例示した演算結果(デューティ値)とその期待値「x%」とを上述の所定のメモリから読み出し、これを上記モニタモジュール120への送信データとして上記マイクロコンピュータ110が内蔵する第5のレジスタ(図示略)にセット(更新)する。またこのとき、このデータには、図12に例示するように、該データが上記システムチェックに対応するデータであることを示す識別子(ID)を付与しておく。そしてその後に、こうして作成した送信データ(図12)を上記モニタモジュール120に送信するとともに(ステップS53)、上記システムチェックが終了したことを示す監視終了フラグをリセット(クリア)する(ステップS54)。
他方、上記ステップS51の処理において、上述の監視終了フラグがセットされていない場合には、上記システムチェックは未だ終了していないとして、上記ステップS52の処理に移行することなく、次に上記ステップS53の処理を行う。すなわちこの場合、上記通信部114は、上記第5のレジスタに格納されている前回送信したデータを上記モニタモジュール120に再度送信することとなる。そしてその後に、ステップS54の処理として、上記システムチェックが終了したことを示す上述の監視終了フラグをリセット(クリア)する。
このように、この実施の形態では、自己監視部113による監視に用いられる上記演算結果とその期待値とが、上記5つの監視項目の別に、上記モニタモジュール120に送信される。そして後述するが、上記モニタモジュール120が、こうして送信されるデータに基づき、上記自己監視部113が適正に機能しているか否かを監視する。これにより、上記自己監視部113による制御部112の監視と、上記モニタモジュール120による該自己監視部113の監視とが並行して実行されるようになり、スロットルバルブの駆動制御にかかる信頼性のさらなる向上を図ることができるようになる。
また、同マイクロコンピュータ110において、モジュール監視部115は、上記通信部114を介して上記モニタモジュール120から送信される情報に基づき、該モニタモジュールが適正に機能しているか否かを監視する部分である。このモジュール監視部115については、後述することとする。
一方、上記モニタモジュール120は、上記マイクロコンピュータ110から送信される情報、具体的には先の図12に例示したデータをもとに上記自己監視部113の異常の有無を監視するハードウェア(専用IC)である。
すなわち上述の通り、このモニタモジュール120では、上記マイクロコンピュータ110から送信されるデータ(図12)をまず、上記通信部122に取り込む。そしてこのデータ(図12)のうち、上記演算結果とその期待値とを、該モニタモジュール120を構成する異常判定回路121にさらに取り込み、該異常判定回路121にて比較することによって上記自己監視部113の異常の有無を監視する。なお後述するが、同異常判定回路121は、クロック発生器125にて生成されるクロックを動作基準として用いている。
ただし、この実施の形態では、同モニタモジュール120は、上記自己監視部113の異常の有無を上述した5つの監視項目の別に監視すべく、上記異常判定回路121が、それら監視項目にそれぞれ対応した5つのディジタル回路ブロック121a〜121eを有している。そして、これらディジタル回路ブロック121a〜121eの切替制御を行うブロック切替部123を用いて、上記送信されるデータに付与される上記識別子(ID)に基づき、同データに含まれる上記演算結果とその期待値とを各対応するディジタル回路ブロックに与えるようにしている。このような構成によれば、上述した5つの監視項目の別に送信される上記演算結果とその期待値とが、各々対応する専用のディジタル回路ブロック121a〜121eにて各別に比較されるようになる。
図13は、当該モニタモジュール120について、ここでは特にディジタル回路ブロック121aについてその内部構造をブロック図として示したものであり、次に、同図13を参照して、このディジタル回路ブロック121aの構造、並びにその動作について更に詳述する。
いま、このモニタモジュール120において、上記ブロック切替部123が、上記通信部122を介して取り込まれる上述の識別子(ID)に基づき、上記演算結果とその期待値とを当該ディジタル回路ブロック121aに与えたとする。このような場合、当該ディジタル回路ブロック121aは、それら演算結果及びその期待値をまず、Aレジスタ151及びBレジスタ152にそれぞれ格納する。そして次に、第1の比較器153に取り込み、この第1の比較器153においてそれら演算結果とその期待値との間での一致比較を行う。具体的には、この第1の比較器153では、上記ROMチェックの実施に用いられた先の図2に例示した演算結果(ROMサム値)とその期待値(例えば「5AA5」)とを一致比較する。そしてこの一致比較の結果に基づき、上記自己監視部113による上記ROMチェックが適正に実施されたか否かを監視する。
ただし、この実施の形態のディジタル回路ブロック121aでは、上記演算結果とその期待値とが偶発的に不一致となることによって上記マイクロコンピュータ110の監視機能が異常と判定されることを回避すべく、同図13に示すように、以下の構成をさらに備えることとしている。
・クロック発生器125によるクロックに基づきカウントアップされるとともに上記演算結果とその期待値とが一致した旨を示す上記第1の比較器153による出力に基づいてクリアされるデータ異常カウンタ154。
・データ異常カウンタ154によるカウンタ値と、メモリ155に予め格納されている所定の判定値との間での大小比較を行うとともに、その比較の結果を、上記自己監視部113の異常の有無の監視結果としてこのディジタル回路ブロック121aから出力する第2の比較器156。
このような構成では、データ異常カウンタ154によるカウンタ値がメモリ155に予め登録されている所定の判定値を超えるとき、すなわち上記演算結果とその期待値とが不一致となっている期間が所定の判定期間を超えるときに、上記第2の比較器156が、上記自己監視部113が適正に機能していない旨を判定するようになる。このため、上記自己監視部113の異常の有無をより適切に監視することができるようになる。
また、このような電子制御装置100では、マイクロコンピュータ110とモニタモジュール120との間の通信機能に異常がある場合、同モニタモジュール120による上記マイクロコンピュータ110の監視機能の監視が十分に実施されず、スロットルバルブの駆動制御等にかかる信頼性が逆に低下する懸念がある。そこで、この実施の形態のディジタル回路ブロック121aでは、同図13に示すように、以下の構成をさらに備えることとしている。
・クロック発生器125によるクロックに基づきカウントアップされるとともに上記マイクロコンピュータ110からの情報を上記通信部122が受信したときの該通信部122による出力に基づいてクリアされる通信異常カウンタ157。
・通信異常カウンタ157によるカウンタ値と、メモリ158に予め格納されている所定の判定値との間での大小比較を行うとともに、その比較の結果を、上記マイクロコンピュータ110とモニタモジュール120との間の通信機能の異常の有無の監視結果としてこのディジタル回路ブロック121aから出力する第3の比較器159。
このような構造では、通信異常カウンタ157によるカウンタ値がメモリ158に予め登録されている所定の判定値を超えるとき、すなわち上記演算結果とその期待値とが受信されない期間が所定の判定期間を超えるときに、上記第3の比較器159が、上記通信機能が適正に機能していない旨を判定するようになる。このため、上記自己監視部113の異常の有無をより適切に監視することができるようになる。
図14は、このディジタル回路ブロック121aによって行われる上記自己監視部113の異常判定処理についてその処理手順を示したフローチャートであり、次に同図14を併せ参照して該異常判定処理について更に説明する。
同図14に示されるように、この異常判定処理に際してはまず、ディジタル回路ブロック121aの上記レジスタ151、152に格納されているデータ(演算結果及びその期待値)が更新記憶されたか否かを確認する(ステップS101)。その結果、同更新が確認された場合には、上記通信異常カウンタ157のカウンタ値をクリアし(ステップS102)、次いでステップS103の処理に移行する。一方、同ステップS101の処理において、データの更新が確認されなかった場合には、上記通信異常カウンタ157のカウンタ値をクリアすることなく(ステップS102の処理を行うことなく)、ステップS103の処理に移行する。
このステップS103の処理では、上記第1の比較器153において、上記レジスタ151、152に各々格納されている演算結果とその期待値との一致比較を行う。その結果、これら演算結果とその期待値とが一致したと判断された場合には、上記データ異常カウンタ154のカウンタ値をクリアし(ステップS104)、次いでステップS105の処理に移行する。一方、上記ステップS103の処理において、上記演算結果とその期待値とが不一致であった場合には、上記データ異常カウンタ154のカウンタ値をクリアすることなく(ステップS104の処理を行うことなく)、ステップS105の処理に移行する。
そして、このように通信異常カウンタ157及びデータ異常カウンタ154の各カウンタ値を操作した上で、それらカウンタ値の適否を順次監視する(ステップS105及びS107)。
すなわち、上記ステップS105の処理においては、上記通信異常カウンタ157のカウンタ値と、上記メモリ158に格納されている所定の判定値との大小関係を判断する。そして、このステップS105の処理において、上記通信異常カウンタ157のカウンタ値が上記所定の判定値を超えたと判断されると、上記演算結果とその期待値とが受信されない期間が所定の判定期間を超えたとして、上記通信機能が異常である旨の判定が行われる(ステップS106)。
また、上記ステップS107の処理では、上記データ異常カウンタ154のカウンタ値と、上記メモリ155に格納されている所定の判定値との大小関係を判断する。そして、このステップS107の処理において、上記データ異常カウンタ154のカウンタ値が上記所定の判定値を超えたと判断されると、上記演算結果とその期待値とが不一致となっている期間が所定の判定期間を超えたとして、上記自己監視部113の判定機能に異常がある旨の判定が行われる(ステップS108)。
一方、便宜上、図示は割愛するが、上記ディジタル回路ブロック121bは、上記ディジタル回路ブロック121aの上述した構造(図13)とほぼ同様である。したがって、このディジタル回路ブロック121bにおいて行われる上記自己監視部113の異常判定の処理手順も、基本的には、上記ディジタル回路ブロック121aにおけるこうした処理手順(図14)とほぼ同様である。
ただし、このディジタル回路ブロック121bでは、上記レジスタ151、152に相当する2つのレジスタに、先の図3に例示した演算結果(データRAMの記憶値)とその期待値(ミラーRAMの記憶値)とがそれぞれ格納される。このため、同ディジタル回路ブロック121bが有する上記第1の比較器153に相当する比較器では、それら演算結果(データRAMの記憶値)とその期待値(ミラーRAMの記憶値)との一致比較が行われることとなる。
また、上記ディジタル回路ブロック121cでは、上記レジスタ151、152に相当する2つのレジスタに、先の図4に例示した演算結果(シミュレーション用データの演算値)とその期待値(例えば演算値「A」)とがそれぞれ格納される。このため、同ディジタル回路ブロック121cが有する上記第1の比較器153に相当する比較器では、それら演算結果(シミュレーション用データの演算値)とその期待値(例えば演算値「A」)との一致比較が行われることとなる。
また、上記ディジタル回路ブロック121dでは、上記レジスタ151、152に相当する2つのレジスタに、先の図5に例示した演算結果(カウンタ値)とその期待値(例えばカウンタ値「4」)とがそれぞれ格納される。このため、同ディジタル回路ブロック121dが有する上記第1の比較器153に相当する比較器では、それら演算結果(カウンタ値)と期待値(例えばカウンタ値「4」)との一致比較が行われることとなる。
また一方、上記ディジタル回路ブロック121eも、基本的には、上記ディジタル回路ブロック121aの上述した構造(図13)とほぼ同様である。ただし、該ディジタル回路ブロック121eでは、上記第1の比較器153に相当する比較器にて、上記演算結果(デューティ値)とその期待値(上限値「x%」)との大小比較を行うことにより上記自己監視部113の異常判定を行うこととなる。
図15は、こうしたディジタル回路ブロック121eによって行われる上記自己監視部113の異常判定処理についてその処理手順を示したフローチャートであり、次に同図15を併せ参照して該ディジタル回路ブロック121eによる異常判定処理について説明する。
同図15に示されるように、この異常判定処理に際してはまず、ディジタル回路ブロック121eにおいて上記レジスタ151、152に相当する2つのレジスタに格納されているデータ(演算結果及びその期待値)が更新記憶されたか否かを確認する(ステップS201)。その結果、同更新が確認された場合には、上記通信異常カウンタ157に相当するカウンタのカウンタ値をクリアし(ステップS202)、次いでステップS203の処理に移行する。一方、同ステップS201の処理において、データの更新が確認されなかった場合には、上記通信異常カウンタ157に相当するカウンタのカウンタ値をクリアすることなく(ステップS202の処理を行うことなく)、ステップS203の処理に移行する。
このステップS203の処理では、上記第1の比較器153に相当する比較器において、上記レジスタ151、152に相当する2つのレジスタに各々格納されている演算結果とその期待値との大小比較を行う。その結果、演算結果(デューティ値)がその期待値(上限値「x%」)以下である場合には、上記データ異常カウンタ154に相当するカウンタのカウンタ値をクリアし(ステップS204)、次いでステップS205の処理に移行する。一方、上記ステップS203の処理において、上記演算結果(デューティ値)がその期待値(上限値「x%」)を超えている場合には、上記データ異常カウンタ154に相当するカウンタのカウンタ値をクリアすることなく(ステップS204の処理を行うことなく)、次のステップS205の処理に移行する。
そして、このように通信異常カウンタ157及びデータ異常カウンタ154にそれぞれ相当するカウンタの各カウンタ値を操作した上で、それらカウンタ値の適否を順次監視する(ステップS205及びS207)。なお、これら2つのカウンタ値も、上記クロック発生器125によるクロックに基づきその都度カウントアップされている。
すなわち、上記ステップS205の処理においては、上記通信異常カウンタ157に相当するカウンタのカウンタ値と、上記メモリ158に相当するメモリに格納されている所定の判定値との大小関係を判断する。そして、このステップS205の処理において、上記通信異常カウンタ157に相当するカウンタのカウンタ値が上記所定の判定値を超えたと判断されると、上記演算結果とその期待値とが受信されない期間が所定の判定期間を超えたとして、上記通信機能が異常である旨の判定が行われる(ステップS206)。
また、上記ステップS207の処理では、上記データ異常カウンタ154に相当するカウンタのカウンタ値と、上記メモリ155に相当するメモリに格納されている所定の判定値との大小関係を判断する。そして、このステップS207の処理において、上記データ異常カウンタ154に相当するカウンタのカウンタ値が上記所定の判定値を超えたと判断されると、上記演算結果がその期待値を超えている期間が所定の判定期間を超えたとして、上記自己監視部113の判定機能に異常がある旨の判定が行われる(ステップS208)。
ちなみに、このモニタモジュール120にあって、これらディジタル回路ブロック121a〜121eの第2の比較器156に相当する各比較器による出力、及び上記第3の比較器159に相当する各比較器による出力は、異常判定回路121による監視の結果として、当該モニタモジュール120が内蔵するOR回路124に取り込まれる。そして、上記ディジタル回路ブロック121a〜121eのいずれか1つでも、上記通信機能が異常である旨を判定し、若しくは上記自己監視部113の判定機能に異常がある旨を判定した場合には、このOR回路124がその旨を示す信号を上記駆動回路130に出力する。そして後述するが、こうした監視の結果が上記駆動回路130に出力されることで、該駆動回路130が、この監視の結果に基づき、上記モータMを通じて上記スロットルバルブの開閉駆動をより高い信頼性の下で行うようになる。
また、同モニタモジュール120において、基準カウンタ126は、上記クロック発生器125によるクロックに基づきカウントアップされるカウンタを構成する部分である。この基準カウンタ126によるカウンタ値は、上記通信部122と上記マイクロコンピュータ110の通信部114とを介して上記モジュール監視部115(図1)に取り込まれ、該モジュール監視部115によって監視される。
すなわち、同モニタモジュール120にあって、この基準カウンタ126は、上記各ディジタル回路ブロック121a〜121eにおける上述のデータ異常カウンタ154に相当するカウンタや通信異常カウンタ157に相当するカウンタと同様、上記クロック発生器125によるクロックに基づきカウントアップされる。したがって、上記モジュール監視部115がこの基準カウンタ126によるカウンタ値を監視するこのような構成では、上記データ異常カウンタ154や通信異常カウンタ157に相当するカウンタのいわば擬似的な監視を通じて、同モニタモジュール120自体が監視不能な状態にあるか否かの判定を行うことができるようになる。そして、このモジュール監視部115において、上記モニタモジュール120自体が監視不能な状態にあると判断された場合には、このモジュール監視部115がその旨を示す信号を上記駆動回路130に出力する。すなわち後述するが、こうした監視の結果が上記駆動回路130に出力されることで、該駆動回路130が、この監視の結果に基づき、上記モータMを通じて上記スロットルバルブの開閉駆動をより高い信頼性の下で行うようになる。
なお、このモジュール監視部115は、図1に示されるように、上記モニタモジュール120による出力を取り込む構成ともなっている。すなわち、このモジュール監視部115は、上記モニタモジュール120による出力が上記自己監視部113に異常がある旨、若しくは上記通信機能に異常がある旨を示したときにはその旨を記憶し、上記駆動回路130に対するその出力状態を的確に維持するための処理も併せ行う。
図16は、このモジュール監視部115によって行われる上記モニタモジュール120の異常判定処理についてその処理手順を示したフローチャートであり、次に同図16を併せ参照して該モジュール監視部115による異常判定処理についてその構造と併せて説明する。なお、この処理は、所定期間毎に繰り返し実行される。
同図16に示されるように、この異常判定処理に際してはまず、ステップS301の処理として、上記基準カウンタ126のカウンタ値を、上記モニタモジュール120の通信部122及び通信部114を介して取得する。次いで、該取得したカウンタ値と所定のメモリに登録されている前回取得したカウンタ値とに基づき、該カウンタ値の変動量を算出し(ステップS302)、この変動量が予め設定されている許容範囲内にあるか否かの判断を行う(ステップS303)。
そして、このステップS303の処理において、上記カウンタ値の変動量が予め設定されている許容範囲内にあると判断されると、次にステップS304の処理として、上記マイクロコンピュータ110が有する正常判定カウンタ(図示略)のカウンタ値をカウントアップする。また併せて、ステップS305の処理として、同マイクロコンピュータ110が有する異常判定カウンタ(図示略)のカウンタ値をクリアする。そして、こうして各カウンタ値を操作した後に、ステップS306の処理として、上記正常判定カウンタのカウンタ値が予め設定されている上限値を超えるか否かを判断する。その結果、該カウンタ値が該上限値を超えている場合には、上記モニタモジュール120が正常である旨の信号を上記モニタモジュール120に対して出力するとともに(ステップS307)、上記取得した基準カウンタ126のカウンタ値を所定のメモリに登録した時点で(ステップS308)、この制御を終了する。
一方、上記ステップS306の処理において、上記正常判定カウンタのカウンタ値が該上限値以下である場合には、上記駆動回路130に対する出力を保持し、上記取得した基準カウンタ126のカウンタ値を上記所定のメモリに登録した時点で(ステップS308)、この制御を終了する。
他方、上記ステップS303の処理において、上記カウンタ値の変動量が予め設定されている許容範囲外にあると判断された場合には、次にステップS309の処理として、上記マイクロコンピュータ110が有する異常判定カウンタ(図示略)のカウンタ値をカウントアップする。また併せて、ステップS310の処理として、上記マイクロコンピュータ110が有する正常判定カウンタ(図示略)のカウンタ値をクリアする。そして、こうして各カウンタ値を操作した後に、ステップS311の処理として、上記異常判定カウンタのカウンタ値が予め設定されている上限値を超えるか否かを判断する。その結果、該カウンタ値が該上限値を超えている場合には、上記モニタモジュール120が異常である旨の信号を上記モニタモジュール120に対して出力するとともに(ステップS312)、上記取得した基準カウンタ126のカウンタ値を所定のメモリに登録した時点で(ステップS312)、この制御を終了する。
一方、上記ステップS311の処理において、上記異常判定カウンタのカウンタ値が該上限値以下である場合には、上記駆動回路130に対する出力を保持し、上記取得した基準カウンタ126のカウンタ値を上記所定のメモリに登録した時点で(ステップS308)、この制御を終了する。
また、当該電子制御装置100にあって、上記駆動回路130は、上記モータMを通じて上記スロットルバルブの開閉駆動を行う部分である。
上述の通り、この駆動回路130には上記制御部112及び自己監視部113及びモジュール監視部115及び異常判定回路121からの信号が取り込まれるものの、同駆動回路130は基本的に、これら信号のうち、上記制御部112による駆動指令に基づいて上記スロットルバルブの開閉駆動を行う。ただし、上記制御部112による駆動指令に妥当性がない旨の信号が上記自己監視部113から出力された場合には、同駆動回路130に取り込まれる上記駆動指令としての信頼性が低い。また、上記異常判定回路121によって上記自己監視部113に異常がある旨の信号が出力された場合や、上記モジュール監視部115によって上記モニタモジュール120自体が監視不能な状態にある旨の信号が出力された場合なども同様、同駆動回路130に取り込まれる上記駆動指令としての信頼性は低くなる。したがって、これらいずれかの信号が入力されるときには、同駆動回路130は、車両の安全性を確保すべく、上記制御部112による駆動指令を無効として、上記スロットルバルブに対するフェールセーフ処理を行う。具体的には、上記電源端子T3を通じた上記車載バッテリによる給電を停止することにより、上記スロットルバルブをフェールセーフ状態に保持する。
図17及び図18は、当該電子制御装置100が行う上記スロットルバルブのフェールセーフ処理についてその処理態様をタイミングチャートとして示したものであり、次に、同図17及び図18を参照してこのスロットルバルブのフェールセーフ処理について総括的に説明する。なお、ここでは特に、上記モニタモジュール120自体が監視不能な状態にある旨の信号が上記モジュール監視部115によって出力された場合を想定している。
いま、上記制御部112による上記スロットルバルブ(モータM)に対する制御量(駆動量)の演算処理が実行中であるとすると、上記自己監視部113は、所定の演算周期にて、上述したROMチェック、RAMチェック、インストラクション検査、フロー検査、システムチェックをそれぞれ実行する。そして、該自己監視部113による監視が終了した監視項目については、その監視が終了したことを示す監視終了フラグを、図17(a)〜(e)に示すように、それら5つの監視項目の別に所定のメモリに登録(セット)する。なお、上記ROMチェックの演算周期(図17(e))は、他の監視項目(図17(a)〜(d))と比較して遅い周期となっている。
そして、こうしてセットされる各監視終了フラグに基づき、上記通信部114が、図17(f)〜(j)に示されるように、先の図12に例示した送信データを上記監視項目の別に上記モニタモジュール120に送信する。ただし上述の通り、同送信制御では、データ送信に際して他のデータの送信処理が実行中である場合にはその送信処理を遅延させるなどの適宜のタイムシェアリングが用いられる。
こうして送信されたデータ(図12)は、上記モニタモジュール120において、該データに付与されている識別子(ID)に基づき、その対応するディジタル回路ブロックに与えられる。そして通常は、図18(a)〜(j)に示されるように、その与えられたディジタル回路ブロックが有する上記データ異常カウンタ154、通信異常カウンタ157に相当する2つのカウンタの各カウンタ値をそれぞれクリアするように機能する。
例えば、図17(f)に示されるように、上述のRAMチェックに対応するデータが上記通信部114から送信されるタイミングt11及びt21においては、同データは、上記モニタモジュール120のディジタル回路ブロック121bに与えられる。したがって、このタイミングt11及びt21では、図18(a)及び(f)に示されるように、該ディジタル回路ブロック121bが有する上記データ異常カウンタ154に相当するカウンタと、通信異常カウンタ157に相当するカウンタとの各カウンタ値がそれぞれクリアされることとなる。
また、図17(g)に示されるように、上述のインストラクション検査に対応するデータが上記通信部114から送信されるタイミングt12及びt22においては、同データが、上記モニタモジュール120のディジタル回路ブロック121cに与えられる。したがって、このタイミングt12及びt22では、図18(b)及び図18(g)に示されるように、該ディジタル回路ブロック121cが有する上記データ異常カウンタ154に相当するカウンタと、通信異常カウンタ157に相当するカウンタとの各カウンタ値がそれぞれクリアされることとなる。
また、図17(h)に示されるように、上述のフロー検査に対応するデータが上記通信部114から送信されるタイミングt13及びt23においては、同データが、上記モニタモジュール120のディジタル回路ブロック121dに与えられる。したがって、このタイミングt13及びt23では、図18(c)及び図18(h)に示されるように、該ディジタル回路ブロック121dが有する上記データ異常カウンタ154に相当するカウンタと、通信異常カウンタ157に相当するカウンタとの各カウンタ値がそれぞれクリアされることとなる。
また、図17(i)に示されるように、上述のシステムチェックに対応するデータが上記通信部114から送信されるタイミングt14及びt24においては、同データが、上記モニタモジュール120のディジタル回路ブロック121eに与えられる。したがって、このタイミングt14及びt24では、図18(d)及び図18(i)に示されるように、該ディジタル回路ブロック121eが有する上記データ異常カウンタ154に相当するカウンタと、通信異常カウンタ157に相当するカウンタとの各カウンタ値がそれぞれクリアされることとなる。
また、図17(j)に示されるように、上述のROMチェックに対応するデータが上記通信部114から送信されるタイミングt25においては、同データが、上記モニタモジュール120のディジタル回路ブロック121aに与えられる。したがって、このタイミングt25では、図18(e)及び図18(j)に示されるように、該ディジタル回路ブロック121aが有する上記データ異常カウンタ154と、通信異常カウンタ157との各カウンタ値がそれぞれクリアされることとなる。
そして上述の通り、このように推移するカウンタ値を出力する上記モニタモジュール120に対し、上記モジュール監視部115は、上記基準カウンタ126のカウンタ値(図18(k))を監視することによって、同モニタモジュール120自体が監視不能な状態にあるか否かを判定する。
具体的には、図18(l)及び(m)及び(n)に示すように、上記基準カウンタ126によるカウンタ値を所定期間毎に取得するとともに前回取得したカウンタ値からの変動量を監視する。そして、その変動量が予め設定された許容範囲外となるタイミングt100以降は、上記ディジタル回路ブロック121a〜121eが有する上記データ異常カウンタ154、通信異常カウンタ157に相当する各カウンタ(図18(a)〜(j))に異常があるとして、上記マイクロコンピュータ110が内蔵する異常判定カウンタのカウンタ値をカウントアップする。そしてその結果、そのカウンタ値が上限値を超えるタイミングt200になると、同モジュール監視部115は、上記モニタモジュール120自体が監視不能な状態にあると判定してその旨を示す信号を上記駆動回路130に出力する。そして、該信号を受けた該駆動回路130が、上記車載バッテリによる給電を停止することにより上記スロットルバルブをフェールセーフ状態に保持する。すなわち、当該電子制御装置100では、上記駆動回路130に対する給電が停止されるときに、上記スロットルバルブが自ずとフェールセーフ状態に保持されるようになる。
以上説明したように、この実施の形態にかかる電子制御装置によれば、以下に記載するような多くの優れた効果が得られるようになる。
(1)マイクロコンピュータ110が、上記自己監視部113による上記制御部112の監視と並行して、その監視対象となる内容に応じて演算した値である演算結果と該演算結果として本来得られるべき値である期待値とを上記モニタモジュール120に送信することとした。また、モニタモジュール120が、該送信される演算結果とその期待値との比較に基づいて上記自己監視部113が適正に機能しているか否かを監視することとした。このため、モニタモジュール120を通じて自己監視部113を監視する当該マイクロコンピュータ110として、それら監視状態を適正に維持して、車載アクチュエータ(スロットルバルブ)の駆動制御にかかる信頼性のさらなる向上を図ることができるようになる。
(2)上記モニタモジュール120が、上記送信される演算結果とその期待値との比較の結果、それら両者が不一致となっている期間が所定の判定期間を超えることに基づいて上記自己監視部113が適正に機能していない旨を判定するようにした。このため、上記自己監視部113を適切に監視することができるようになる。
(3)上記モニタモジュール120が、上記送信される演算結果とその期待値とが受信されない期間が所定の判定期間を超えることに基づいて上記マイクロコンピュータ110との通信機能が適正に機能していない旨を判定するようにした。このため、上記自己監視部113をより適切に監視することができるようになる。
(4)上記モジュール監視部115が、上記モニタモジュール120の基準カウンタ126によるカウンタ値を監視するようにした。このため、上記モニタモジュール120のデータ異常カウンタや通信異常カウンタのいわば擬似的な監視を通じて、同モニタモジュール120自体が監視不能な状態にあるか否かの判定を行うことができるようになる。
(5)上記モジュール監視部115は、上記基準カウンタ126によるカウンタ値を定期的に取り込み、該取り込んだカウンタ値の変化しない期間が所定の判定期間を超えることに基づいて上記モニタモジュール120が適正に機能していない旨を判定するようにした。このため、同モニタモジュール120をより適切に監視することができるようになる。
(6)上記モニタモジュール120として、上記自己監視部113によって実施される5つの監視項目(ROMチェック、RAMチェック、インストラクション検査、フロー検査、システムチェック)にそれぞれ対応した複数のディジタル回路ブロック121a〜121eを一体に有するものを採用することとした。そして、上記送信される演算結果とその期待値とを上記識別子に基づき分類して各対応するディジタル回路ブロック121a〜121eに与えつつ、それら各ディジタル回路ブロック121a〜121eにて各別に上記演算結果とその期待値との比較に基づく監視を行うようにした。このため、上記5つの監視項目毎に、上記自己監視部113の適否を監視することができるようになる。
(第2の実施の形態)
次に、この発明にかかる電子制御装置についてその第2の実施の形態を示す。なお、この実施の形態の電子制御装置も、先の第1の実施の形態の電子制御装置(図1)とほぼ同様、スロットルバルブを駆動するモータの駆動制御を行う装置として、大きくは、マイクロコンピュータと、モニタモジュールと、駆動回路とを備えて構成されている。また、このような電子制御装置として、
・上記モニタモジュールによる監視に際しては、マイクロコンピュータの監視機能がまず、上記制御機能の監視(自己監視)を実施する。
且つ、
・上記監視機能による監視が実施されたとき、上記マイクロコンピュータが、その監視対象となる内容に応じて演算された値である演算結果と該演算結果として本来得られるべき値である期待値とをモニタモジュールに送信する。
且つ、
・上記モニタモジュールが、上記マイクロコンピュータから送信される演算結果とその期待値との比較に基づき上記マイクロコンピュータの監視機能が適正に機能しているか否かを監視する。
といった監視構造を採用している点についても、先の第1の実施の形態の場合とほぼ同様である。
ただし、この実施の形態では、図19に示されるように、マイクロコンピュータ210の通信部214が、自己監視部113によって実行される上述の5つの監視項目をそれらの監視態様の別に3つに分類し、該分類した監視態様の別に上記演算結果及びその期待値を送信するようにしている。また、モニタモジュール220は、上記分類された監視項目の別に上記自己監視部113の異常の有無を監視すべく、異常判定回路221として、3つのディジタル回路ブロック221a〜221cを備えるようにしている。このような構成では、監視態様の共通する監視項目に対応した演算結果及びその期待値については、上記モニタモジュール220が、上記ディジタル回路ブロック221a〜221cの1つを共用して該当する演算結果とその期待値との比較に基づく監視を行うようになる。このため、多くの監視機能を備えるモニタモジュール220を専用のディジタル回路によって実現する場合であれ、その回路規模の好適な抑制を図ることができるようになる。またこれにより、モニタモジュール220の製造コストの低減が図られるようにもなる。
ここで具体的には、この実施の形態の通信部214は、上記自己監視部113によって実行される上述の5つの監視項目をその比較態様の別に、すなわち一致比較を用いるROMチェック、RAMチェック、インストラクション検査、フロー検査と、大小比較を用いるシステムチェックとに分類している。また、一致比較を用いる点で監視態様が共通する4つの監視項目については、その演算周期の相対的に短い監視項目(RAMチェック、インストラクション検査、フロー検査)と、演算周期の相対的に長い監視項目(ROMチェック)とにさらに分類している。そして、同通信部214は、こうした分類に基づき上記演算結果及びその期待値を上記モニタモジュール220に送信するようにしている。
これに対し、上記モニタモジュール220は、上記送信される演算結果及びその期待値を相対的に短い演算周期で一致比較するブロックとしてディジタル回路ブロック221aを備えている。また、同モニタモジュール220は、上記送信される演算結果及びその期待値を相対的に長い演算周期で一致比較するブロックとしてディジタル回路ブロック221bを、上記送信される演算結果及びその期待値を大小比較するブロックとしてディジタル回路ブロック221cをそれぞれ備えている。なお、上記自己監視部113の監視に一致比較を用いるディジタル回路ブロック221a及び221bの各回路構成は、先の図13に例示したディジタル回路ブロック121aとほぼ同様であり、同監視に大小比較を用いるディジタル回路ブロック221cの回路構成は、先の第1の実施の形態のディジタル回路ブロック121eとほぼ同様である。
このような構成では、演算周期の相対的に短い監視項目(RAMチェック、インストラクション検査、フロー検査)については、ブロック切替部223がその対応する演算結果とその期待値とを上記ディジタル回路ブロック221aに与え、このブロック221aを共用してそれらの一致比較を行うようになる。このため、モニタモジュール220の回路規模の好適な抑制を図ることができるようになる。
また、演算周期の相対的に長い監視項目(ROMチェック)については、ブロック切替部223がその対応する演算結果とその期待値とを上記ディジタル回路ブロック221bに与えてそれらの一致比較を行うようになる。このため、演算周期の相対的に長い監視項目の適正性の監視によって、演算周期の相対的に短い監視項目の適正性の監視が妨げられるようなこともなくなり、自己監視部113の異常をより早期に検出、判定することができるようになる。
なおこの場合、大小比較が用いられる上記システムチェックについては、ブロック切替部223がその対応する演算結果とその期待値とを上記ディジタル回路ブロック221cに与えてそれらの大小比較を行うこととなる。
また、この実施の形態では、一致比較を用いるとともに相対的に処理速度の早い先の図3〜図5にそれぞれ例示したRAMチェック、インストラクション検査、フロー検査に対応する演算結果とその期待値との送信処理に際しては、上記通信部214がまず、それら監視項目の実行に用いられる各演算結果の合算値を得る。そして、その合算値と該合算値として本来得られるべき値として予めメモリ等に登録されている期待値とを上記モニタモジュール220の通信部222に送信する。そして、モニタモジュール220において、上記ブロック切替部223が、これら送信される合算値とその期待値とを上記ディジタル回路ブロック221aに与えて一致比較することにより、それら3つの監視項目が上記自己監視部113によって適正に実行されたか否かを一括して監視するようにしている。
図20は、マイクロコンピュータ210の通信部214によって行われるそれら3つの監視項目の実行に用いられた演算結果の合算値とその期待値の送信処理をフローチャートとして示したものである。なお、この送信処理は、所定期間ごとに繰り返し実行される。
同図20に示されるように、この送信処理に際しては、上記通信部214がまず、上記RAMチェックが終了したことを示す監視終了フラグが上記自己監視部113によってセットされているか否かを確認する(ステップS401)。その結果、同監視終了フラグがセットされている場合には、該RAMチェックが既に終了しているとして、次にステップS402の処理に移行する。
このステップS402の処理では、先の図3に例示した演算結果(データRAMの記憶値)を所定のメモリから読み出し、上記モニタモジュール220に送信する演算結果として上記マイクロコンピュータ210が内蔵するレジスタ(図示略)にセット(更新)する。そしてその後に、ステップS403の処理として、RAMチェックが終了したことを示す監視終了フラグをリセット(クリア)する。
そして次に、ステップS404の処理として、インストラクション検査が終了したことを示す監視終了フラグが上記自己監視部113によってセットされているか否かを確認する。その結果、該監視終了フラグがセットされている場合には、次いで、ステップS405の処理として、先の図4に例示した演算結果(シミュレーション用データの演算値)を所定のメモリから読み出す。そして、該演算結果と上記モニタモジュール120への送信データとして上記レジスタにセットされている演算結果とを加算するかたちで同レジスタに格納されているデータを更新記憶する。そしてその後に、ステップS406の処理として、インストラクション検査が終了したことを示す監視終了フラグをリセット(クリア)する。
そして次に、ステップS407の処理として、フロー検査が終了したことを示す監視終了フラグが上記自己監視部113によってセットされているか否かを確認する。そしてその結果、該監視終了フラグがセットされている場合には、次いで、ステップS408の処理として、先の図5に例示した演算結果(カウンタ値)を所定のメモリから読み出す。そして、該演算結果と上記モニタモジュール120への送信データとして上記レジスタにセットされている演算結果とを加算するかたちで該レジスタに格納されているデータを更新記憶する。そしてその後に、ステップS409の処理として、フロー検査が終了したことを示す監視終了フラグをリセット(クリア)する。
そして、こうしたステップS401〜S409の処理の後に、ステップS410の処理として、上記レジスタにセットされている3つの演算結果の合算値に、その合算値として本来得られるべき値としてメモリ等に予め格納されている期待値とその識別子(ID)とを付与して、先の図12に例示したデータ構造の送信データを作成する。そして、次のステップS411の処理において、こうして作成した送信データを例えばシリアル通信やパラレル通信にて上記モニタモジュール220の通信部222に送信する。
ただし、上記ステップS401、S404、S407のいずれかの処理において、各対応する監視終了フラグがセットされていない場合には、上記ステップS410の処理において、上記演算結果(合算値)とその合算値としての期待値とが一致しないかたちで上記送信データが作成される。そして、次のステップS411の処理において、こうしたデータが上記モニタモジュール220の通信部222に送信されることで、このモニタモジュール220が、その旨を示す信号をOR回路224を通じて上記駆動回路130に出力することとなる。
こうした送信処理では、上記送信される合算値と期待値との一致比較に基づき、上記モニタモジュール220が、上述の3つの監視項目(RAMチェック、インストラクション検査、フロー検査)が上記自己監視部113によって適正に実行されたか否かを一括して監視することとなる。このため、モニタモジュール120にかかる演算負荷の低減とその回路規模のより好適な抑制とを併せて図ることができるようになる。
なお、上記ROMチェックの実行に用いられた先の図2に例示した演算結果(ROMサム値)とその期待値(例えば「5AA5」)との送信処理は、先の図7に例示した手順に準じたかたちで行われる。また、上記システムチェックの実行に用いられた先の図6に例示した演算結果(デューティ値)とその期待値(上限値「x%」)との送信処理は、先の図11に例示した手順に準じたかたちで行われる。
以上説明したように、この第2の実施の形態にかかる電子制御装置によっても、基本的には先の第1の実施の形態の前記(1)〜(5)の効果と同等、あるいはそれに準じた効果を得ることができるとともに、以下の効果を新たに得ることができるようになる。
(7)モニタモジュール220は、演算周期が相対的に長く、且つ、その実行に一致比較を用いる3つの監視項目については、上記ディジタル回路ブロック221aを共用することによりそれら監視項目が上記自己監視部113によって適正に実行されたか否かを監視することとした。このため、モニタモジュール220の回路規模の好適な抑制とともにその製造コストの低減を図ることができるようになる。
(8)マイクロコンピュータ210の通信部214は、演算周期が相対的に長く、且つ、その実行に一致比較を用いる3つの監視項目についてはそれら監視項目にて用いられた各演算結果の合算値を得ることとした。そして、その合算値と該合算値として本来得られるべき値として予めメモリ等に登録されている期待値とを上記モニタモジュール220の通信部222に送信することとした。そして、モニタモジュール220において、こうした合算値とその期待値とを上記ディジタル回路ブロック221aにて一致比較することにより、それら監視項目が上記自己監視部113によって適正に実行されたか否かを一括して監視することとした。このため、モニタモジュール220にかかる演算負荷の低減とその回路規模のより好適な抑制とを併せて図ることができるようになる。
(9)その実行に一致比較を用いる4つの監視項目については、演算周期の相対的に短い監視対象と、演算周期の相対的に長い監視対象とにさらに分類することとした。そしてこうした分類に基づき、相対的に演算周期の短い監視項目の実行に用いられた演算結果とその期待値との一致比較を行うディジタル回路ブロック(高速用ブロック)221a、及び相対的に演算周期の長い監視対象の実行に用いられた演算結果とその期待値との一致比較を行うディジタル回路ブロック(低速用ブロック)221bを用意することとした。このため、自己監視部113の異常をより早期に検出、判定することができるようになる。
(他の実施の形態)
なお、上記各実施の形態は、以下のように変更して実施することもできる。
・第2の実施の形態では、演算周期が相対的に長く、且つ、その実行に一致比較を用いる3つの監視項目が上記自己監視部113によって適正に実行されたか否かの監視を、それら監視項目の別に実施するようにしてもよい。なおこの場合、通信部214では、それら監視項目の実行に用いられた各演算結果とその期待値とを、適宜のタイムシェアリングによって、上記モニタモジュール220に各別に送信することとなる。
・第2の実施の形態では、その実行に一致比較を用いる4つの監視項目について、1つのディジタル回路ブロックを共用して該当する演算結果とその期待値との一致比較を行うようにすることも可能である。このような場合、相対的に遅い演算周期の監視項目の監視によって、相対的に早い演算周期の監視項目の監視が妨げられる懸念があるものの、その回路規模のより好適な抑制を図ることができるようになる。
・自己監視部113によって実行される監視項目として、5つの監視項目を例示したが、その内容や項目数については任意である。例えば、その実行に一致比較を用いる複数の監視項目のみを上記自己監視部113が実行するようにしてもよい。このような場合であれ、演算周期の近似する監視項目ごとに上記ディジタル回路ブロックを用意するようにすれば、監視対象の異常をより早期に検出、判定することができるようになる。また、ディジタル回路ブロックにて上記マイクロコンピュータから送信される演算結果の合算値とその期待値とを一致比較するようにすれば、モニタモジュールにかかる演算負荷の低減を図ることができるようになる。
・モジュール監視部115は、取り込んだ基準カウンタ126のカウンタ値に変化がなかった時点で、モニタモジュールが適正に機能していない旨を判定するようにしてもよい。
・モニタモジュールは、演算結果とその期待値とを定期的に受信するものであり、その受信がなかった時点で、マイクロコンピュータとの通信機能が適正に機能していない旨を判定するようにしてもよい。
・モニタモジュールは、演算結果とその期待値との一致比較の結果、それら両者が不一致となった時点で、上記マイクロコンピュータの監視機能が適正に機能していない旨を判定するようにしてもよい。
・マイクロコンピュータが、自己監視部113による制御部112の監視と並行して監視対象となる内容に応じた演算結果をモニタモジュールに送信し、モニタモジュールが、この送信される演算結果として本来得られるべき値である期待値を予め保持するようにしてもよい。ただしこの場合、図21に示すように、モニタモジュールのディジタル回路ブロック321は、図13に例示したBレジスタ152に代えて、期待値が予め固定値として保持される期待値レジスタ352を備えることとなる。そして、該ディジタル回路ブロック321の第1の比較器353において、Aレジスタ151に格納される演算結果と期待値レジスタ352に保持されている期待値との比較を行うこととなる。このような場合であれ、上記自己監視部113による制御部112の監視と並行して、自己監視部113が適正に機能しているか否かを監視することはできる。ただし、このような場合には、例えば上記第2の実施の形態のように、演算結果が予め登録されている期待値に見合う値となるように監視対象となる内容に応じた演算結果を操作し、この操作した値を演算結果としてモニタモジュールに送信するようにすることが望ましいことが多い。
・上記自己監視部113による制御部112の監視と並行して、自己監視部113が適正に機能しているか否かを監視する電子制御装置であれば、上記通信機能が適正か否かの判断や、モジュール監視部115によるモニタモジュール120の異常判定については、必ずしも行わなくてもよい。
・監視対象としては、機関の運転状態とともに演算結果の値がその都度変化する監視対象等、適宜の対象を設定することができる。
この発明の第1の実施の形態にかかる電子制御装置について、制御対象となるモータとの関係も含め、その全体構成を示すブロック図。 同実施の形態の自己監視部によって行われるROMチェックの具体態様について示すブロック図。 (a)及び(b)は、同実施の形態の自己監視部によって行われるRAMチェックの具体態様について示すブロック図。 同実施の形態の自己監視部によって行われるインストラクション検査の具体態様について示すブロック図。 同実施の形態の自己監視部によって行われるフロー検査の具体態様について示すブロック図。 同実施の形態の自己監視部によって行われるシステムチェックの具体態様について示すブロック図。 ROMチェックが実施されるときに演算された値である演算結果及びその期待値の送信処理を示すフローチャート。 RAMチェックが実施されるときに演算された値である演算結果及びその期待値の送信処理を示すフローチャート。 インストラクション検査が実施されるときに演算された値である演算結果及びその期待値の送信処理を示すフローチャート。 フロー検査が実施されるときに演算された値である演算結果及びその期待値の送信処理を示すフローチャート。 システムチェックが実施されるときに演算された値である演算結果及びその期待値の送信処理を示すフローチャート。 同実施の形態のマイクロコンピュータの通信部が送信するデータのデータ構造。 同実施の形態のモニタモジュール(ディジタル回路ブロック)についてその内部構造を示すブロック図。 一致比較を用いて監視するディジタル回路ブロックによって行われる自己監視部の異常判定処理についてその処理手順を示すフローチャート。 大小比較を用いて監視するディジタル回路ブロックによって行われる自己監視部の異常判定処理についてその処理手順を示すフローチャート。 同実施の形態のモジュール監視部によって行われるモニタモジュールの異常判定処理についてその処理手順を示すフローチャート。 (a)〜(j)は、当該電子制御装置が行うスロットルバルブのフェールセーフ処理についてその処理態様を示すタイミングチャート。 (a)〜(n)は、当該電子制御装置が行うスロットルバルブのフェールセーフ処理についてその処理態様を示すタイミングチャート。 この発明の第2の実施の形態にかかる電子制御装置について、制御対象となるモータとの関係も含め、その全体構成を示すブロック図。 RAMチェック、インストラクション検査、フロー検査の各実行に用いられた演算結果の合算値とその期待値の送信処理を示すフローチャート。 ディジタル回路ブロックの別例を示すブロック図。 従来の電子制御装置についてその全体構成を示すブロック図。
符号の説明
100…電子制御装置、110、210…マイクロコンピュータ、111…入力部、112…制御部、1121…プログラムメモリ、1122…データRAM、112a〜112f…領域、113…自己監視部、114、122、214、222…通信部、115…モジュール監視部、120、220…モニタモジュール、121、221…異常判定回路、121a〜121e、221a〜221c、321…ディジタル回路ブロック、123、223…ブロック切替部、124、224…OR回路、125…クロック発生器、126…基準カウンタ、130…駆動回路、151…Aレジスタ、152…Bレジスタ、153、353…第1の比較器、154…データ異常カウンタ、155、158…メモリ、156…第2の比較器、157…通信異常カウンタ、159…第3の比較器、352…期待値レジスタ、T1、T2…出力端子、T3…電源端子、T4…接地端子、M…モータ。

Claims (22)

  1. 車両の運転状態を示す入力信号に基づき車載アクチュエータを駆動制御する制御機能と、同一入力信号をもとにこの制御機能が適正に機能しているか否かを監視する監視機能とを有するマイクロコンピュータに対し、前記監視機能が適正に機能しているか否かを専用のディジタル回路を通じてさらに監視するモニタモジュールが通信可能に接続されてなる電子制御装置であって、
    前記マイクロコンピュータは、前記監視機能として、前記制御機能を実現すべく当該マイクロコンピュータが内蔵する読み出し専用のプログラムメモリの制御量を演算するための領域に格納されている値の演算結果とこの演算結果に対応して予め登録されている期待値とを一致比較することで前記制御機能の監視を行うとともに、これら一致比較した演算結果と期待値とを前記モニタモジュールに送信し、前記モニタモジュールは、該送信される演算結果と期待値との一致比較に基づいて前記監視機能が適正に機能しているか否かを監視する
    ことを特徴とする電子制御装置。
  2. 前記マイクロコンピュータは、前記監視機能としてさらに、当該マイクロコンピュータが内蔵するデータRAM及びミラーRAMにそれぞれ格納された前記制御機能による演算値をそれぞれ演算結果及び期待値として一致比較することで前記制御機能の監視を行うとともに、これら一致比較した演算結果と期待値とを前記モニタモジュールに送信し、前記モニタモジュールは、該送信される演算結果とその期待値との一致比較に基づいて前記監視機能が適正に機能しているか否かを監視する
    請求項1に記載の電子制御装置。
  3. 前記マイクロコンピュータは、前記監視機能としてさらに、検査用に予め登録されている固定値からなる入力信号を前記制御機能を通じて演算した演算結果とこの演算結果に対応して予め登録されている期待値とを一致比較することで前記制御機能の監視を行うとともに、これら一致比較した演算結果と期待値とを前記モニタモジュールに送信し、前記モニタモジュールは、該送信される演算結果とその期待値との一致比較に基づいて前記監視機能が適正に機能しているか否かを監視する
    請求項1または2に記載の電子制御装置。
  4. 前記マイクロコンピュータは、前記監視機能としてさらに、当該マイクロコンピュータが内蔵するプログラムメモリに格納されている関数を前記制御機能が規定された順序で読み出すことによって順次演算される演算結果とこの演算結果に対応して予め登録されている期待値とを一致比較することで前記制御機能の監視を行うとともに、これら一致比較した演算結果と期待値とを前記モニタモジュールに送信し、前記モニタモジュールは、該送信される演算結果とその期待値との一致比較に基づいて前記監視機能が適正に機能しているか否かを監視する
    請求項1〜3のいずれか一項に記載の電子制御装置。
  5. 前記マイクロコンピュータは、前記監視機能としてさらに、当該マイクロコンピュータが内蔵するプログラムメモリに格納されているマップに基づき前記制御機能が前記入力信号に応じて前記車載アクチュエータの制御値を演算した演算結果と、この制御値の上限値である期待値とを大小比較することで前記制御機能の監視を行うとともに、これら大小比較した演算結果と期待値とを前記モニタモジュールに送信し、前記モニタモジュールは、該送信される演算結果とその期待値との大小比較に基づいて前記監視機能が適正に機能しているか否かを監視する
    請求項1〜のいずれか一項に記載の電子制御装置。
  6. 前記モニタモジュールは、前記送信された前記演算結果とその期待値との比較の結果、前記演算結果が期待される結果となっていない期間が所定の判定期間を超えることに基づいて前記監視機能が適正に機能していない旨を判定す
    請求項1〜のいずれか一項に記載の電子制御装置。
  7. 前記モニタモジュールは、前記ディジタル回路の動作基準となるクロックに基づきカウントアップされるとともに、前記送信された前記演算結果とその期待値との比較の結果、前記演算結果が期待される結果となっていることに基づいてクリアされるデータ異常カウンタを備え、該データ異常カウンタによるカウンタ値が所定の判定値を超えることに基づいて前記演算結果が期待される結果となっていない期間が所定の判定期間を超えた旨を判断する
    請求項6に記載の電子制御装置。
  8. 前記モニタモジュールは、前記演算結果とその期待値とが受信されない期間が所定の判定期間を超えることに基づいて前記マイクロコンピュータとの通信機能が適正に機能していない旨を判定する
    請求項1〜7のいずれか一項に記載の電子制御装置。
  9. 前記モニタモジュールは、前記ディジタル回路の動作基準となるクロックに基づきカウントアップされるとともに前記演算結果とその期待値とが受信されることに基づいてクリアされる通信異常カウンタを備え、該通信異常カウンタによるカウンタ値が所定の判定値を超えることに基づいて前記マイクロコンピュータとの通信機能が適正に機能していない旨を判定す
    請求項8に記載の電子制御装置。
  10. 前記モニタモジュールは、前記ディジタル回路の動作基準となるクロックに基づきカウントアップされる基準カウンタをさらに備え、前記マイクロコンピュータは、この基準カウンタによるカウンタ値を取り込んで前記モニタモジュールが適正に機能しているか否かを監視するモジュール監視部をさらに備える
    請求項7または9に記載の電子制御装置。
  11. 前記モジュール監視部は、前記基準カウンタによるカウンタ値を定期的に取り込み、該取り込んだカウンタ値の変化しない期間が所定の判定期間を超えることに基づいて前記モニタモジュールが適正に機能していない旨を判定する
    請求項10に記載の電子制御装置。
  12. 前記監視機能は、前記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素を監視対象としてその監視を行うとともに、前記マイクロコンピュータは、それら監視対象の別に識別子を付与して前記演算結果とその期待値とを前記モニタモジュールに送信するものであり、前記モニタモジュールは、前記監視対象にそれぞれ対応した複数のディジタル回路ブロックを一体に有し、前記送信される演算結果とその期待値とを前記識別子に基づき分類して各対応するディジタル回路ブロックに与えつつ、それら各ディジタル回路ブロックにて各別に前記演算結果とその期待値との比較に基づく監視を行う
    請求項〜11のいずれか一項に記載の電子制御装置。
  13. 前記モニタモジュールは、前記複数のディジタル回路ブロックとして、前記演算結果とその期待値の一致比較を行う第1のブロックと、前記演算結果とその期待値との大小比較を行う第2のブロックとを有してなる
    請求項12に記載の電子制御装置。
  14. 前記監視機能は、前記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素を監視対象としてその監視を行うとともに、前記マイクロコンピュータは、それら監視対象の比較態様の別に識別子を付与して前記演算結果とその期待値とを前記モニタモジュールに送信するものであり、前記モニタモジュールは、前記演算結果とその期待値との一致比較を行う第1のブロックと、前記演算結果とその期待値との大小比較を行う第2のブロックとを有し、前記監視対象のうち、前記比較態様の共通する監視対象の演算結果とその期待値については、前記識別子に基づきそれらブロックの一方を共用して該当する演算結果とその期待値との比較に基づく監視を行う
    請求項1〜11のいずれか一項に記載の電子制御装置。
  15. 前記マイクロコンピュータは、前記比較態様が一致比較として共通する監視対象についてはそれら各監視対象の演算結果の合算値と該合算値として本来得られるべき値である期待値とを前記モニタモジュールに送信し、前記モニタモジュールは、これら送信される合算値とその期待値とを前記第1のブロックを通じて一致比較することにより前記比較態様が一致比較として共通する監視対象の適否を一括して監視する
    請求項14に記載の電子制御装置。
  16. 前記監視機能の監視対象となる前記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素が、前記マイクロコンピュータが内蔵する読み出し専用のプログラムメモリに格納されている前記制御機能によって実行される制御プログラムの適正性、及び前記マイクロコンピュータが内蔵するデータRAMに前記制御機能による演算結果として格納されているデータの適正性、及び固定値として予め登録されているシミュレーション用データの前記制御機能による演算値の適正性、及び前記制御機能によって読み出し要求される関数の順序の適正性、及び前記車両の運転状態を示す入力信号に基づき前記制御機能によって演算された演算値の適正性の少なくとも2つの要素である
    請求項12〜15のいずれか一項に記載の電子制御装置。
  17. 前記監視機能は、前記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素を監視対象としてその監視を行うとともに、前記マイクロコンピュー
    タは、それら監視対象の演算周期の別に識別子を付与して前記演算結果とその期待値とを前記モニタモジュールに送信するものであり、前記モニタモジュールは、前記監視対象のうちの演算周期の相対的に短い監視対象について前記演算結果とその期待値との一致比較を行う高速用ブロックと、同監視対象のうちの演算周期の相対的に長い監視対象について前記演算結果とその期待値との一致比較を行う低速用ブロックとを有し、前記監視対象のうち、前記演算周期の近似する監視対象の演算結果とその期待値については、前記識別子に基づきそれらブロックの一方を共用して該当する演算結果とその期待値との比較に基づく監視を行う
    請求項1〜11または14〜15のいずれか一項に記載の電子制御装置。
  18. 前記マイクロコンピュータは、前記演算周期の相対的に短い監視対象として共通する監視対象についてはそれら各監視対象の演算結果の合算値と該合算値として本来得られるべき値である期待値とを前記モニタモジュールに送信し、前記モニタモジュールは、これら送信される合算値とその期待値とを前記高速用ブロックを通じて一致比較することにより前記演算周期の相対的に短い監視対象として共通する監視対象の適否を一括して監視する
    請求項17に記載の電子制御装置。
  19. 前記監視機能の監視対象となる前記制御機能としての機能を実行する上でその適正な実行を保証するいくつかの特定の要素が、前記マイクロコンピュータが内蔵するデータRAMに前記制御機能による演算結果として格納されているデータの適正性、及び固定値として予め登録されているシミュレーション用データの前記制御機能による演算値の適正性、及び前記制御機能によって読み出し要求される関数の順序の適正性、及び前記車両の運転状態を示す入力信号に基づき前記制御機能によって演算された演算値の適正性の少なくとも1つの要素と、前記マイクロコンピュータが内蔵する読み出し専用のプログラムメモリに格納されている前記制御機能によって実行される制御プログラムの適正性である
    請求項17または18に記載の電子制御装置。
  20. 前記マイクロコンピュータは、前記監視機能を通じて前記演算結果のみを前記モニタモジュールに送信するものであり、前記モニタモジュールは、前記期待値を予め保持し、前記送信される演算結果とこの期待値との比較に基づいて前記監視機能が適正に機能しているか否かを監視する
    請求項1〜19のいずれか一項に記載の電子制御装置。
  21. 前記マイクロコンピュータは、前記演算結果が前記モニタモジュールに予め保持されている期待値に見合う値となるように前記監視対象となる内容に応じた演算結果を操作し、この操作した値を前記演算結果として前記モニタモジュールに送信する
    請求項20に記載の電子制御装置。
  22. 請求項1〜21のいずれか一項に記載の電子制御装置において、
    前記車載アクチュエータがスロットルバルブの開度を調量するモータであり、当該電子制御装置は、該モータを駆動する駆動回路と、前記マイクロコンピュータの監視機能及び前記モニタモジュールの少なくとも一方を通じてその監視対象となる機能が適正に機能していない旨が判定されることに基づき前記駆動回路に対する給電を停止する手段とをさらに備える
    ことを特徴とする電子制御装置。
JP2005183831A 2005-06-23 2005-06-23 電子制御装置 Expired - Fee Related JP4396588B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2005183831A JP4396588B2 (ja) 2005-06-23 2005-06-23 電子制御装置
US11/472,425 US7612464B2 (en) 2005-06-23 2006-06-22 Electronic control system with malfunction monitor
DE102006028695.2A DE102006028695B4 (de) 2005-06-23 2006-06-22 Elektronisches Steuersystem mit Fehlfunktionsüberwachung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005183831A JP4396588B2 (ja) 2005-06-23 2005-06-23 電子制御装置

Publications (2)

Publication Number Publication Date
JP2007002758A JP2007002758A (ja) 2007-01-11
JP4396588B2 true JP4396588B2 (ja) 2010-01-13

Family

ID=37688602

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005183831A Expired - Fee Related JP4396588B2 (ja) 2005-06-23 2005-06-23 電子制御装置

Country Status (1)

Country Link
JP (1) JP4396588B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2513455B1 (de) * 2009-12-18 2017-01-11 Conti Temic microelectronic GmbH Überwachungskonzept in einem steuergerät
JP6149797B2 (ja) * 2014-05-09 2017-06-21 株式会社デンソー 車載電子制御装置
JP6341069B2 (ja) * 2014-11-21 2018-06-13 株式会社デンソー 電子制御装置
JP6428537B2 (ja) * 2015-09-01 2018-11-28 株式会社デンソー 電子制御装置及びコンピュータプログラム
JP6620688B2 (ja) * 2016-06-29 2019-12-18 株式会社デンソー 電子制御装置
JP6631452B2 (ja) 2016-09-23 2020-01-15 株式会社デンソー 電子制御装置

Also Published As

Publication number Publication date
JP2007002758A (ja) 2007-01-11

Similar Documents

Publication Publication Date Title
JP4483720B2 (ja) 電子制御装置
JP4396588B2 (ja) 電子制御装置
US7612464B2 (en) Electronic control system with malfunction monitor
US7251551B2 (en) On-vehicle electronic control device
US10431015B2 (en) Remote vehicle data collection system
KR101581403B1 (ko) 2개 이상의 마이크로 컨트롤러의 모니터링 방법
JP7173039B2 (ja) 情報処理装置、移動装置、および方法、並びにプログラム
KR20160071681A (ko) 전자제어장치의 업데이트 시스템 및 그 방법
US20140379954A1 (en) Relay device, communication harness, and communication system
EP1712424B1 (en) Vehicle control apparatus
JP4906286B2 (ja) ソフトウェア開発環境システム
JPH08503802A (ja) マイクロコンピュータ
EP2479672B1 (en) Vehicle electronic control device
US7424362B2 (en) Apparatus and method for reading adaptive values out of motor vehicle control devices
JP2007002759A (ja) 電子制御装置
JP2003172199A (ja) 車両用電子制御装置のプログラム書き換えシステム
US10421419B2 (en) Electronic control device for vehicles
KR101601074B1 (ko) Ecu 업데이트 장치, ecu 업데이트 방법 및 이를 이용한 ecu 업데이트 네트워크
JP2007038816A (ja) ネットワークシステム及びその管理方法
KR101018541B1 (ko) 전기 기기 및 전기 기기에 있어서의 통신 기능 정상 판정 방법
JP3979202B2 (ja) 車載通信システム
JP6717184B2 (ja) 車載制御装置
JP4401207B2 (ja) 識別情報設定方法、識別情報設定装置及び制御機能付きコネクタ装置
JP2011252805A (ja) 車両評価システム
US9020686B2 (en) Control apparatus for vehicular electric component

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070719

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090430

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090512

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090710

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090929

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091012

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121030

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 4396588

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121030

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131030

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees