JP4437812B2 - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP4437812B2
JP4437812B2 JP2006341980A JP2006341980A JP4437812B2 JP 4437812 B2 JP4437812 B2 JP 4437812B2 JP 2006341980 A JP2006341980 A JP 2006341980A JP 2006341980 A JP2006341980 A JP 2006341980A JP 4437812 B2 JP4437812 B2 JP 4437812B2
Authority
JP
Japan
Prior art keywords
reset
microcomputer
runaway
electronic control
arithmetic device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006341980A
Other languages
English (en)
Other versions
JP2008152678A (ja
Inventor
尚幸 高石
和弘 小松
知秀 笠目
雅憲 赤座
伸一郎 高冨
一陽 山口
朋子 里見
めぐみ 福田
貴志 松井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Ten Ltd
Original Assignee
Denso Ten Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Ten Ltd filed Critical Denso Ten Ltd
Priority to JP2006341980A priority Critical patent/JP4437812B2/ja
Priority to US12/000,639 priority patent/US8042009B2/en
Priority to EP07123352A priority patent/EP1953644A3/en
Publication of JP2008152678A publication Critical patent/JP2008152678A/ja
Application granted granted Critical
Publication of JP4437812B2 publication Critical patent/JP4437812B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs

Description

本発明は、ウォッチドッグタイマ回路を有するマイクロコンピュータ(以下、マイコンと記す)などの演算装置を含む電子制御装置に関し、より詳細には、マイコンの異常を監視する技術に関する。
従来、低消費電力化のために、マイコンは、通常動作時は高速のクロックで動作するモード(高速モード)と、高速クロックよりも遅いクロックで動作するか又は動作を停止するモード(低消費電力モード)とを備えている。このようなマイコンの異常を監視する技術としては、例えば特許文献1に記載がある。特許文献1に記載の異常監視装置は、マイコンの通常動作中の異常を検出するウォッチドッグタイマ監視部と、マイコンのスタンバイ動作中の異常を検出するスタンバイ監視部とを、マイコンの外部に設けた構成である。いずれの監視部も、マイコンが出力するウォッチドッグパルスを監視している。マイコンの通常動作中、ウォッチドッグパルスは一定の周期性を示すが、異常時にはこの周期性が破壊される。また、マイコンのスタンバイ動作時、正常であればウォッチドッグパルスは出力されないが、異常時にはウォッチドッグパルスが出力される場合がある。よって、ウォッチドッグパルスを監視することで、通常動作時及びスタンバイ動作時での異常を検出することができる。
特開2004−326629号公報
しかしながら、上記異常監視装置は、マイコンの外部に2つの異なる監視部を設ける構成のため、装置が大型化し、コストアップの要因となる。
本発明は、上記課題を解決するためになされたものであり、小型かつ低コストで実現できる監視機能を備えた電子制御装置を提供することを目的とする。
本発明は、CPUと、該CPUのソフトウェア処理によるタイマ動作許可の書き込みによりカウント動作を開始後、ソフトウェア処理によりカウンタ値がリセットされるとともに、前記カウンタ値がリセットされずに第1の所定値を超えてオーバフローした場合には内部リセット信号を生成するウォッチドッグタイマ回路とを有する演算装置と、該演算装置の外部に設けられ、前記演算装置が正常動作時に出力し暴走時に出力しないパルスを入力して前記演算装置の異常動作を監視するものであり、前記演算装置の動作状態を示す指示信号が第1のレベルにある場合にカウント動作を行い、カウンタ値が第2の所定値を超えるとオーバーフローするとともに、前記演算装置からの前記パルスによってリセットされるタイマカウンタと、該タイマカウンタがリセットされずにオーバフローした場合には、前記演算装置をリセットするリセット信号を出力するリセット出力回路とを有する暴走監視回路とを備えた電子制御装置であって、前記指示信号は、前記演算装置が電源に接続され、前記演算装置によって、低消費電力モードであることを示す第2のレベルに設定されていない状態にあるときは、前記第1のレベルに設定され、前記演算装置が電源に接続され、前記指示信号が前記第1のレベルに設定された後であって、前記ソフトウェア処理により前記タイマ動作許可が前記ウォッチドッグタイマ回路に書き込まれる前に前記演算装置が暴走した場合は、暴走しなかった場合に行われる前記演算装置による前記指示信号を前記第2のレベルに設定する動作と、前記パルスを出力する動作が行われないので、前記暴走監視回路の前記リセット出力回路は前記リセット信号を前記演算装置に出力して当該演算装置をリセットすることを特徴とする電子制御装置である。。
また、本発明は、CPUと、該CPUのソフトウェア処理によるタイマ動作許可の書き込みによりカウント動作を開始後、ソフトウェア処理によりカウンタ値がリセットされるとともに、前記カウンタ値がリセットされずに第1の所定値を超えてオーバフローした場合には内部リセット信号を生成するウォッチドッグタイマ回路とを有する演算装置と、該演算装置の外部に設けられ、前記演算装置が正常動作時に出力し暴走時に出力しないパルスを入力して前記演算装置の異常動作を監視するものであり、前記演算装置の動作状態を示す指示信号が第1のレベルにある場合にカウント動作を行い、カウンタ値が第2の所定値を超えるとオーバーフローするとともに、前記演算装置からの前記パルスによってリセットされるタイマカウンタと、該タイマカウンタがリセットされずにオーバフローした場合には、前記演算装置をリセットするリセット信号を出力するリセット出力回路とを有する暴走監視回路とを備えた電子制御装置における制御方法において、前記指示信号は、前記演算装置が電源に接続され、前記演算装置によって、低消費電力モードであることを示す第2のレベルに設定されていない状態にあるときは、前記第1のレベルに設定され、前記演算装置が電源に接続され、前記指示信号が前記第1のレベルに設定された後であって、前記ソフトウェア処理により前記タイマ動作許可が前記ウォッチドッグタイマ回路に書き込まれる前に前記演算装置が暴走した場合は、暴走しなかった場合に行われる前記演算装置による前記指示信号を前記第2のレベルに設定する動作と、前記パルスを出力する動作が行われないので、前記暴走監視回路の前記リセット出力回路は前記リセット信号を前記演算装置に出力して当該演算装置をリセットするステップを有することを特徴とする電子制御装置の制御方法である。
本発明によれば、小型かつ低コストで実現できる監視機能を備えた電子制御装置を提供することができる。
以下、本発明の実施例につき図面を参照に説明する。
図1は、本発明の一実施例による車載用電子制御装置を示すブロック図である。同図において、車載用電子制御装置100は、電子装置の一形態である汎用マイコン(以下、単にマイコンと称す)10及びマイコン10と外部との信号の授受を扱うインタフェース装置20とを含む。インタフェース装置20は例えば、後述する様々な信号を扱う1つのICである。以下、インタフェース装置20を統合IC20と呼ぶ。電子制御装置100には、バッテリ41、イグニッションスイッチ(IG SW)42、スタータスイッチ(ST SW)43、スタータオン/オフ信号44、エンジン回転信号45、スタータリレー46、アクセサリカットリレー47及び通信バス48が接続されている。これらの信号や構成部品は一例であって、電子制御装置100は他の部品や信号に接続可能である。
統合IC20内は、電源回路21、入力回路22、出力回路23、通信ドライバ24及び暴走監視回路25を内部に有している。電源回路21は、バッテリ41の出力電圧を降圧し、生成した出力電圧VOMを汎用マイコン10に出力する。入力回路22は、イグニッションスイッチ42、スタータスイッチ43、スタータオン/オフ信号44及びエンジン回転信号45を入力し、マイコン10が入力可能な信号に変換してマイコン10に出力する。出力回路23は、マイコン10が出力する制御信号を受け取り、スタータリレー46及びアクセサリカットリレー47を駆動する信号を生成して、これらに出力する。スタータリレー46が駆動されると、スタータオン/オフ信号がオフ状態のレベルからオン状態のレベルに変化する。通信ドライバ24は、マイコン10と通信バス48に接続された図示しない装置との間で信号を授受する。暴走監視回路25は、マイコン10の異常動作(暴走)を監視する。暴走監視回路25はWakeup信号及びWDC(ウォッチドッグタイマカウンタ)パルスを入力し、リセット信号INITを出力する。暴走監視回路25の詳細な構成と動作は後述する。
マイコン10は、内部にCPU、RAM、ROMなどを備えた演算装置である。図1の例では、バッテリ41、イグニッションスイッチ42、スタータスイッチ43、スタータオン/オフ信号44及びエンジン回転信号45を入力し、スタータリレー46及びアクセサリカットリレー47を制御するための制御を行う。スタータリレー46やアクセサリカットリレー47の具体的な制御シーケンスは本発明の本質ではないので、ここでの説明を省略する。また、マイコン10は複数の動作モードを持っている。例えば、マイコン10は高速モード(起動している状態)と、低消費電力モード(停止している状態)の、2つの動作状態とを有している。マイコン10は、高速モードにおいて高速のクロックで動作し、低消費電力モードでは高速クロックよりも遅いクロックで動作するか又は動作を停止する。また、マイコン10はウォッチドックタイマ回路(WDT)11を有する。ウォッチドックタイマ回路11は、マイコン10内部のCPUによるソフトウェア処理によりリセットされ、内部リセット信号12を生成する。
前述の暴走監視回路25とウォッチドッグタイマ回路11とで、異常監視装置30が構成される。暴走監視回路25は、電源が投入されると動作を開始し、マイコン10が低消費電力モードになると動作を停止する。異常監視装置30の暴走監視回路25が後述するようにしてマイコン10の暴走を検出すると、リセット信号INITをマイコン10に出力して、マイコン10をリセットする。また、ウォッチドッグタイマ回路11が後述するようにしてマイコン10の暴走を検出すると、内部リセット信号12を生成してマイコン10をリセットする。マイコン10が低消費電力モードのときには、ウォッチドッグタイマ回路11はカウント動作を停止する。
図2(A)は暴走監視回路25の構成例を示すブロック図、図2(B)は暴走監視回路25の動作タイミングチャートである。暴走監視回路25は、タイマカウンタ251とリセット出力回路252とを有している。タイマカウンタ251は所定値をカウントするタイマで、リセット信号INITがハイレベル(オフ)で、かつマイコン10の動作状態を示す指示信号であるWakeup信号はハイレベル(オン)の状態のときにカウント動作を行うとともに、WDCパルスの立ち上がりエッジに同期してカウンタ値をクリアする。マイコン10が高速モードにあるとき(通常動作時)に、マイコン10はWDCパルスを一定の周期で出力する。マイコン10が低消費電力モードにあるときは、マイコン10はWDCパルスを出力しない。マイコン10が暴走してWDCパルスが停止すると、タイマカウンタ251が前記所定値を超えてオーバーフローし、オーバーフロー信号をリセット出力回路252に出力する。リセット出力回路252は、オーバーフロー信号を受けると、一定時間ローレベルのリセット信号INITをマイコン10に出力する。また、タイマカウンタ251はWakeup信号がローレベル(オフ)、又はリセット信号INITがローレベル(オン)の時にはカウント動作を停止する。
Wakeup信号は、バッテリ41が接続された後、図1に示すプルアップ抵抗Rの機能により、Vcc(ハイレベル)に固定される。プルアップ抵抗Rの一端はバッテリ41が出力する(又はこれを降圧した)電源電圧Vccに接続され、他端はマイコン10と暴走監視回路25とを接続する配線(以下、Wakeup信号線という)に接続されている。後述するように、マイコン10はWakeup信号線をフローティング状態とするか又はグランドに接続することにより、Wakeup信号を強制的にハイレベル又はローレベルに設定することができる。
図3(A)はウォッチドッグタイマ回路11の構成例を示すブロック図、図3(B)はウォッチドッグタイマ回路11の動作タイミングチャートである。ウォッチドッグタイマ回路11は、ウォッチドッグタイマ111、リセット出力回路112及びウォッチドッグタイマ制御レジスタ113を有している。ウォッチドッグタイマ111は、所定値をカウントするタイマで、ウォッチドッグタイマ制御レジスタ113へのソフトウェア処理によるタイマ動作許可の書き込みによりカウント動作を開始し、マイコン10の内部で生成されるクリアパルスの立ち上がりエッジに同期してカウンタ値をクリアする。マイコン10が暴走してクリアパルスが停止すると、ウォッチドッグタイマ111が前記所定値を超えてオーバーフローし、オーバーフロー信号をリセット出力回路112に出力する。リセット出力回路112は、オーバーフロー信号を受けると、一定時間ローレベルの内部リセット信号12をマイコン10の内部で生成する。
図4は、図1に示す異常監視装置30の動作を記述するフローチャートである。図4中、ステップS14とS15は暴走監視回路25の動作を示し、残りのステップS11〜S13、S16〜S19はマイコン10の動作を示す。ステップS11のイニシャル処理で、マイコン10はウォッチドッグタイマ回路11をセットする。具体的には、マイコン10内部のCPUが図3(A)に示すウォッチドッグタイマ制御レジスタ113にタイマ動作許可をソフトウェア処理により書き込む。次に、マイコン10はステップS12のイニシャル処理を行う。具体的には、CPUがマイコン10内部のRAMを初期化するとともに、各種ポートの設定を行う。各種ポートとは、例えば図1の要素41〜48が接続される電子制御装置100の端子部分である。次に、マイコン10はステップS13で、イグニッションスイッチ42の出力信号IGINがハイレベルかどうか(オンしているかどうか)をチェックする。ステップS13の判断結果がYESの場合、つまりイグニッションスイッチ42がオンしている場合には、ステップS14及びS15からなる暴走監視回路25を選択し、NOの場合、つまりイグニッションスイッチ42がオフしている場合には、ステップS17〜S19からなるウォッチドッグタイマ回路11を選択する。
イグニッションスイッチ42がオンの場合、マイコン10が暴走していなければWakeup信号はハイレベルにある。ステップS14で、暴走監視回路25はWDCパルスに異常があるかどうかを監視する。異常があると、ステップS15にて、暴走監視回路25は図2(A)、(B)を参照して説明したようにしてリセット信号INITを一定期間出力する。マイコン10はこのリセット信号INITに応答してリセットされることで、ステップS16にて正常に復帰する。ステップS14の判断結果がNOの場合には、マイコン10は正常である(ステップS16)。
イグニッションスイッチ42がオフの場合、ステップS17で、マイコン10はWakeup信号がハイレベル(オン)にあるかどうかをチェックする。ステップS17の判断結果がYESの場合には、ステップS14に進む。ステップS17の判断結果がNOの場合には、マイコン10はステップS18で、ウォッチドッグタイマ回路11のウォッチドッグタイマ111(図3(A))のカウンタ値がオーバーフローしたかどうかを判断する。ステップS18の判断結果がNOであれば、マイコン10は正常である(ステップS16)。YESならば、ステップS19で、マイコン10のウォッチドッグタイマ回路11は内部リセット信号12を出力する。マイコン10はこの内部リセット信号に応答してリセットされることで、ステップS16にて正常に復帰する。
次に、異常監視装置30の動作の具体例について説明する。以下の具体例は、イグニッションスイッチ42がオンされる前、及びイグニッションスイッチ42がオフにされた後は、マイコン10は低消費電力モードに移行することが求められている場合である。
図5は、図1に示すバッテリ41を電子制御装置100に接続した後、リセット信号INITのパワーオンリセットが解除された直後であって、図4のステップS11で行うウォッチドッグタイマ回路11の初期設定前にマイコン10が暴走した場合のタイミング図である。バッテリ41が電子制御装置100に接続されると、電源電圧Vccにプルアップされた抵抗Rで生成されるWakeup信号はVccに立ち上がる(ハードウェアでプルアップされる)。図2(A)に示すリセット出力回路252は、タイマカウンタ251がオーバーフローした場合以外にも、パワーオンリセット機能を持つ。つまり、図5に示すように、リセット信号INITはバッテリ電圧VOMが立ち上がった後一定期間リセット信号INITをローレベルに保ち、その後ハイレベルに立ち上がる(リセット解除)。図5の黒丸のタイミングでマイコン10は暴走したので、マイコン10はWDCパルスを生成しない。よって、図2(A)に示すタイマカウンタ251はオーバーフローし、リセット出力回路252はリセット信号INITをハイレベルからローレベルに立ち下げ、一定時間保持する。このように、マイコン10は統合IC20でリセットされるので、バッテリ41を電子制御装置100に接続した後、リセット信号INITのパワーオンリセットが解除された直後であって、図4のステップS11で行うウォッチドッグタイマ回路11の設定前にマイコン10が暴走しても、マイコン10を確実にリセットすることができる。
上記制御は図4のシーケンスにおいて、ステップS13、S17、S14、S15及びS16の処理により実行される。
以上のようにしてマイコン10がリセットされるとマイコン10は正常動作に復帰し、WDCパルスを生成する。図5の例では、1発のWDCパルスを生成した後、マイコン10は正常動作にあるので、イグニッションスイッチ信号IGINがオフ状態であることを検出すると、図1に示すWakeup信号線をローレベルに設定した後、低消費電力モード(図5ではSTOPと表示)に移行する。その後、イグニッションスイッチ信号IGINがオンとなり、このタイミングでリセット出力回路252はリセット信号INITを所定時間だけオンする(ローレベルに設定)。また、上記タイミングで、ウォッチドッグタイマ回路11はカウント動作を開始し、WDCパルスが生成される毎にリセットされる。図5以降のタイミング図では、ウォッチドッグタイマ111は所定のカウント値をデクリメントし、カウント値が0を超えた場合にオーバーフローとなる。
なお、図5のマイコンのモードを示す部分においてOCOとあるのはOn-Chip-Oscillatorの意味であって、マイコン10内部に設けられた図示しない発振器がリセット期間中に動作してクロックを生成する期間を示している。
図6は、バッテリ41を電子制御装置100に接続した後、パワーオンリセット処理完了後(ウォッチドッグタイマ回路11の設定後)にマイコン10が暴走した場合であって、暴走したマイコン10がWakeup信号をソフトウェア処理によりハイレベルに保持してしまった場合のタイミング図である。リセット信号INITによるリセットが解除された後、ウォッチドッグタイマ回路11はカウント動作を開始する。その後、マイコン10が暴走した場合、WDCパルスは生成されないので、暴走監視回路25がリセット信号INITをローレベルに設定して、マイコン10をリセットする。このように、図6に示すような暴走が起こっても、暴走監視回路25の働きによりマイコン10を確実にリセットすることができる。
上記制御は図4のシーケンスにおいて、ステップS13、S17、S14、S15及びS16の処理により実行される。
図7は、バッテリ41を電子制御装置100に接続した後、パワーオンリセット処理完了後(ウォッチドッグタイマ回路11の設定後)にマイコン10が暴走した場合であって、暴走したマイコン10がWakeup信号をソフトウェア処理によりローレベルに保持してしまった場合のタイミング図である。暴走によりWakeup信号がローレベルに保持されている間は、暴走監視回路25は動作を停止している。また、WDC信号も生成されない。よって、ウォッチドッグタイマ回路11は図3に示すクリアパルスが生成されないのでリセットされず、カウント値をデクリメントしていく。その後、ウォッチドッグタイマ回路11はオーバーフローし、内部リセット信号12を出力する。これにより、マイコン10はリセットされる。このように、図7に示すような暴走が起こっても、マイコン10のウォッチドッグタイマ機能により、マイコン10を確実にリセットすることができる。
上記制御は図4のシーケンスにおいて、ステップS13、S17、S18、S19及びS16の処理により実行される。
ここで、マイコン10がWakeup信号をローレベルに設定することで定義される低消費電力モード(STOP)の時には、ウォッチドッグタイマ回路11はカウント動作を停止するので、このモードに移行する直前のカウント値が保持される。これに対し、マイコン10の暴走でWakeup信号がローレベルに設定された場合には、ウォッチドッグタイマ回路11のカウント動作は停止せず、オーバーフローする。よって、ウォッチドッグタイマ回路11のリセット動作があるかどうかに応じて、マイコン10が低消費電力モードに移行したかどうかを確実に検知することができる。
図8は、バッテリ41を電子制御装置100に接続した後、マイコン10の暴走のためWakeup信号がハイレベルに保持されてしまい、この結果マイコン10が低消費電力モードに移行できない場合のタイミング図である。前述した図6に示す動作と同様にして、暴走監視回路25がリセット信号INITをマイコン10に出力する。これにより、マイコン10は正常動作に復帰でき、その後Wakeup信号線をローレベルに設定することで、低消費電力モード(STOP)に移行することができる。
上記制御は図4のシーケンスにおいて、ステップS13、S17、S14、S15及びS16の処理により実行される。
図9は、バッテリ41を電子制御装置100に接続した後、マイコン10の暴走のためWakeup信号がローレベルに保持されてしまい、この結果マイコン10が低消費電力モードに移行できない場合のタイミング図である。前述した図7に示す動作と同様にして、ウォッチドッグタイマ回路11が内部リセット信号12を生成する。これにより、マイコン10は正常動作に復帰でき、その後Wakeup信号線をローレベルに設定することで、低消費電力モード(STOP)に移行することができる。
上記制御は図4のシーケンスにおいて、ステップS13、S17、S18、S19及びS16の処理により実行される。
図10は、イグニッションスイッチ42をオンし、その後に行われるイニシャル処理が完了する前(ウォッチドッグタイマ回路11の設定が完了する前)にマイコン10が暴走した場合のタイミング図である。イグニッションスイッチ信号IGINがオンし、リセット信号INITがローレベルに立ち下がることでマイコン10がリセットされた後にマイコン10が暴走すると、ウォッチドッグタイマ回路11のカウント動作は行われず、またWDC信号も出力されない。Wakeup信号はプルアップ抵抗Rにより生成されるのでハイレベルに保持されており、よって暴走監視回路25の動作が確保されている。そして、暴走監視回路25がリセット信号INITをマイコン10に出力することで、マイコン10はリセットされる。このように、図10に示すような暴走が起こっても、暴走監視回路25の働きによりマイコン10を確実にリセットすることができる。
上記制御は図4のシーケンスにおいて、ステップS13、S17、S14、S15及びS16の処理により実行される。
図11は、イグニッションスイッチ42をオンし、その後に行われるイニシャル処理が完了した後にマイコン10が暴走して、Wakeup信号がハイレベルに保持されたままとなった場合のタイミング図である。イニシャル処理が完了しているので、ウォッチドッグタイマ回路11はカウント動作を開始している。マイコン10の暴走によりWDC信号は生成されないので、ウォッチドッグタイマ回路11はリセットされない。しかし、Wakeup信号がハイレベルにあるので暴走監視回路25が動作しており、タイマカウンタ251がオーバーフローした時点でリセット信号INITがローレベルとなり、マイコン10がリセットされる。このように、図11に示すような暴走が起こっても、暴走監視回路25の働きによりマイコン10を確実にリセットすることができる。
上記制御は図4のシーケンスにおいて、ステップS13、S17、S14、S15及びS16の処理により実行される。
図12は、イグニッションスイッチ42をオンし、その後に行われるイニシャル処理が完了した後にマイコン10が暴走して、Wakeup信号がローレベルに保持されたままとなった場合のタイミング図である。イニシャル処理が完了しているので、ウォッチドッグタイマ回路11はカウント動作を開始している。マイコン10の暴走によりWDC信号は生成されないので、ウォッチドッグタイマ回路11はリセットされない。他方、Wakeup信号がローレベルにあるので暴走監視回路25は動作を停止している。その後、ウォッチドッグタイマ111はオーバーフローし、内部リセット信号12が生成される。このように、図11に示すような暴走が起こっても、ウォッチドッグタイマ回路11の働きによりマイコン10を確実にリセットすることができる。
上記制御は図4のシーケンスにおいて、ステップS13、S17、S18、S19及びS16の処理により実行される。
図13は、イグニッションスイッチ42をオフした後にマイコン10が暴走して、Wakeup信号がハイレベルに保持されたままとなった場合のタイミング図である。マイコン10が暴走するとWDCパルスの出力を停止する。Wakeup信号がプルアップ抵抗Rの作用によりハイレベルに保持されているので、暴走監視回路25は動作する。そして、WDCパルスが停止することでタイマカウンタ251がオーバーフローし、暴走監視回路25はリセット信号INITをマイコン10に出力する。これによりマイコン10はリセットされる。このように、図13に示すような暴走が起こっても、暴走監視回路25の働きによりマイコン10を確実にリセットすることができる。
上記制御は図4のシーケンスにおいて、ステップS13、S17、S14、S15及びS16の処理により実行される。
図14は、イグニッションスイッチ42をオフした後にマイコン10が暴走して、Wakeup信号がローレベルに保持されたままとなった場合のタイミング図である。マイコン10が暴走するとWDCパルスの出力を停止する。暴走によりWakeup信号がローレベルに保持されているので、暴走監視回路25は動作を停止する。そして、WDCパルスが停止することでウォッチドッグタイマ回路11はオーバーフローし、内部リセット信号12を出力する。これによりマイコン10はリセットされる。このように、図14に示すような暴走が起こっても、ウォッチドッグタイマ回路11の働きによりマイコン10を確実にリセットすることができる。
上記制御は図4のシーケンスにおいて、ステップS13、S17、S18、S19及びS16の処理により実行される。
図15は、イグニッションスイッチ42をオフした後にマイコン10の暴走によりWakeup信号がハイレベルに保持されてしまい、この結果マイコン10が低消費電力モードに移行できない場合のタイミング図である。Wakeup信号がハイレベルの保持されるので暴走監視回路25が動作し、リセット信号INITをマイコン10に出力する。これにより、マイコン10は正常動作に復帰でき、その後Wakeup信号線をローレベルに設定することで、低消費電力モード(STOP)に移行することができる。
上記制御は図4のシーケンスにおいて、ステップS13、S17、S14、S15及びS16の処理により実行される。
図16は、イグニッションスイッチ42をオフした後にマイコン10の暴走によりWakeup信号がローレベルに保持されてしまい、この結果マイコン10が低消費電力モードに移行できない場合のタイミング図である。Wakeup信号がローレベルの保持されるので暴走監視回路25は動作しない。そして、WDCパルスが停止することでウォッチドッグタイマ回路11はオーバーフローし、内部リセット信号12を出力する。これによりマイコン10はリセットされる。このように、図16に示すような暴走が起こっても、ウォッチドッグタイマ回路11の働きによりマイコン10を確実にリセットすることができる。
上記制御は図4のシーケンスにおいて、ステップS13、S17、S18、S19及びS16の処理により実行される。
本発明の電子制御装置の構成によれば、マイコン外部に設けた1つの監視部とマイコン内の回路とにより異常を監視することができるため、装置を小型化することができ、また低コストで実現することができる。
また、上記構成とすることにより、正常に低消費電力モードに入ったことが確実に監視できるため、暗電流消費を抑えてマイコン監視をすることができ、車両における暗電流の消費を低減し、バッテリ上がりを防止することができる。
以上、本発明の実施例を説明した。本発明は上記実施例に限定されるものではない。
本発明の一実施例による電子制御装置の構成を示すブロック図である。 図1に示す暴走監視回路25の構成例及び動作タイミング図である。 図1に示すウォッチドッグタイマ回路11の構成例及び動作タイミング図を示す図である。 図1に示す異常監視装置30の動作を記述するフローチャートである。 異常監視装置30の第1の動作例を示すタイミング図である。 異常監視装置30の第2の動作例を示すタイミング図である。 異常監視装置30の第3の動作例を示すタイミング図である。 異常監視装置30の第4の動作例を示すタイミング図である。 異常監視装置30の第5の動作例を示すタイミング図である。 異常監視装置30の第6の動作例を示すタイミング図である。 異常監視装置30の第7の動作例を示すタイミング図である。 異常監視装置30の第8の動作例を示すタイミング図である。 異常監視装置30の第9の動作例を示すタイミング図である。 異常監視装置30の第10の動作例を示すタイミング図である。 異常監視装置30の第11の動作例を示すタイミング図である。 異常監視装置30の第12の動作例を示すタイミング図である。
符号の説明
10 汎用マイコン
11 ウォッチドッグタイマ回路(WDT)
12 内部リセット信号
20 統合IC
21 電源回路
22 入力回路
23 出力回路
24 通信ドライバ
25 暴走監視回路
30 暴走監視装置
100 電子制御装置

Claims (5)

  1. CPUと、該CPUのソフトウェア処理によるタイマ動作許可の書き込みによりカウント動作を開始後、ソフトウェア処理によりカウンタ値がリセットされるとともに、前記カウンタ値がリセットされずに第1の所定値を超えてオーバフローした場合には内部リセット信号を生成するウォッチドッグタイマ回路とを有する演算装置と、
    該演算装置の外部に設けられ、前記演算装置が正常動作時に出力し暴走時に出力しないパルスを入力して前記演算装置の異常動作を監視するものであり、前記演算装置の動作状態を示す指示信号が第1のレベルにある場合にカウント動作を行い、カウンタ値が第2の所定値を超えるとオーバーフローするとともに、前記演算装置からの前記パルスによってリセットされるタイマカウンタと、該タイマカウンタがリセットされずにオーバフローした場合には、前記演算装置をリセットするリセット信号を出力するリセット出力回路とを有する暴走監視回路と
    を備えた電子制御装置であって、
    前記指示信号は、前記演算装置が電源に接続され、前記演算装置によって、低消費電力モードであることを示す第2のレベルに設定されていない状態にあるときは、前記第1のレベルに設定され、
    前記演算装置が電源に接続され、前記指示信号が前記第1のレベルに設定された後であって、前記ソフトウェア処理により前記タイマ動作許可が前記ウォッチドッグタイマ回路に書き込まれる前に前記演算装置が暴走した場合は、暴走しなかった場合に行われる前記演算装置による前記指示信号を前記第2のレベルに設定する動作と、前記パルスを出力する動作が行われないので、前記暴走監視回路の前記リセット出力回路は前記リセット信号を前記演算装置に出力して当該演算装置をリセットすることを特徴とする電子制御装置。
  2. 前記電子制御装置は車載用電子制御装置であって、前記電源は、当該電子制御装置が設けられた車両に搭載されたバッテリが出力する電源電圧又は当該電源電圧を降下した電源電圧を有することを特徴とする請求項1記載の電子制御装置。
  3. 前記電子制御装置は車載用電子制御装置であり、前記演算装置が電源に接続された後であって、前記第1の所定値が前記ウォッチドッグタイマ回路に設定された後に、イグニッションスイッチがオンしているかオフしているかどうかを判断し、オンしている場合には前記暴走監視回路を選択し、オフしている場合には前記ウォッチドッグタイマ回路を選択する手段を有することを特徴とする請求項1に記載の電子制御装置。
  4. 前記指示信号を前記暴走監視回路に入力する信号線は、前記電源に接続されていることを特徴とする請求項1から3のいずれか一項に記載の電子制御装置。
  5. CPUと、該CPUのソフトウェア処理によるタイマ動作許可の書き込みによりカウント動作を開始後、ソフトウェア処理によりカウンタ値がリセットされるとともに、前記カウンタ値がリセットされずに第1の所定値を超えてオーバフローした場合には内部リセット信号を生成するウォッチドッグタイマ回路とを有する演算装置と、
    該演算装置の外部に設けられ、前記演算装置が正常動作時に出力し暴走時に出力しないパルスを入力して前記演算装置の異常動作を監視するものであり、前記演算装置の動作状態を示す指示信号が第1のレベルにある場合にカウント動作を行い、カウンタ値が第2の所定値を超えるとオーバーフローするとともに、前記演算装置からの前記パルスによってリセットされるタイマカウンタと、該タイマカウンタがリセットされずにオーバフローした場合には、前記演算装置をリセットするリセット信号を出力するリセット出力回路とを有する暴走監視回路と
    を備えた電子制御装置における制御方法において、
    前記指示信号は、前記演算装置が電源に接続され、前記演算装置によって、低消費電力モードであることを示す第2のレベルに設定されていない状態にあるときは、前記第1のレベルに設定され、
    前記演算装置が電源に接続され、前記指示信号が前記第1のレベルに設定された後であって、前記ソフトウェア処理により前記タイマ動作許可が前記ウォッチドッグタイマ回路に書き込まれる前に前記演算装置が暴走した場合は、暴走しなかった場合に行われる前記演算装置による前記指示信号を前記第2のレベルに設定する動作と、前記パルスを出力する動作が行われないので、前記暴走監視回路の前記リセット出力回路は前記リセット信号を前記演算装置に出力して当該演算装置をリセットするステップを有することを特徴とする電子制御装置の制御方法。
JP2006341980A 2006-12-19 2006-12-19 電子制御装置 Expired - Fee Related JP4437812B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2006341980A JP4437812B2 (ja) 2006-12-19 2006-12-19 電子制御装置
US12/000,639 US8042009B2 (en) 2006-12-19 2007-12-14 Electronic control device
EP07123352A EP1953644A3 (en) 2006-12-19 2007-12-17 Electronic control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006341980A JP4437812B2 (ja) 2006-12-19 2006-12-19 電子制御装置

Publications (2)

Publication Number Publication Date
JP2008152678A JP2008152678A (ja) 2008-07-03
JP4437812B2 true JP4437812B2 (ja) 2010-03-24

Family

ID=39509640

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006341980A Expired - Fee Related JP4437812B2 (ja) 2006-12-19 2006-12-19 電子制御装置

Country Status (3)

Country Link
US (1) US8042009B2 (ja)
EP (1) EP1953644A3 (ja)
JP (1) JP4437812B2 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103095309A (zh) * 2007-08-16 2013-05-08 瑞萨电子株式会社 微型计算机系统
JP5284943B2 (ja) * 2009-12-24 2013-09-11 富士通テン株式会社 制御装置、及び、制御方法
JP5539080B2 (ja) * 2010-07-15 2014-07-02 キヤノン株式会社 情報処理装置、情報処理システム、情報処理装置の制御方法、通信状態確認方法、及びプログラム
JPWO2012053110A1 (ja) * 2010-10-22 2014-02-24 富士通株式会社 障害監視装置、障害監視方法及びプログラム
JP5796452B2 (ja) * 2011-10-25 2015-10-21 住友電装株式会社 電子制御装置
US9278746B1 (en) * 2013-03-15 2016-03-08 Brunswick Corporation Systems and methods for redundant drive-by-wire control of marine engines
JP5962697B2 (ja) 2014-03-26 2016-08-03 株式会社デンソー 電子制御装置
JP6068388B2 (ja) * 2014-05-07 2017-01-25 京楽産業.株式会社 遊技機
DE112017000868T5 (de) * 2016-03-28 2018-11-15 Hitachi Automotive Systems, Ltd. Elektronische Steuervorrichtung
KR101655282B1 (ko) * 2016-04-11 2016-09-07 (주)넥스챌 신재생 에너지 관리 시스템을 위한 마이크로 그리드 게이트웨이의 이중 수준 리셋 관리 장치 및 그 방법
JP6812737B2 (ja) * 2016-10-07 2021-01-13 オムロン株式会社 演算装置および制御装置
JP6524989B2 (ja) * 2016-11-15 2019-06-05 トヨタ自動車株式会社 演算器の動作保証方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04205152A (ja) 1990-11-29 1992-07-27 Omron Corp 制御装置の監視装置
DE4332769C1 (de) * 1993-09-25 1994-12-15 Bosch Gmbh Robert Mikrorechner
JP3357514B2 (ja) * 1995-09-20 2002-12-16 シャープ株式会社 暴走検出復帰方式
JPH1063544A (ja) * 1996-08-20 1998-03-06 Toshiba Corp タイムアウト監視方式
JP3462048B2 (ja) * 1996-08-30 2003-11-05 株式会社東海理化電機製作所 コンピュータ監視装置及びパワーウィンドウシステム
JP4313858B2 (ja) 1998-03-31 2009-08-12 株式会社東芝 計算機
JP2002026305A (ja) * 2000-07-12 2002-01-25 Matsushita Electric Ind Co Ltd 固体撮像装置の製造方法
JP3616367B2 (ja) * 2001-10-24 2005-02-02 三菱電機株式会社 電子制御装置
JP4397621B2 (ja) 2003-04-28 2010-01-13 富士通テン株式会社 異常監視装置
US20070050687A1 (en) * 2005-08-16 2007-03-01 Disser Robert J Watchdog monitoring circuit and method for controlling energization of the load using the watchdog monitoring circuit
US7797586B2 (en) * 2005-11-18 2010-09-14 Kyocera Mita Corp. Image forming apparatus with memory properly error-checked

Also Published As

Publication number Publication date
EP1953644A2 (en) 2008-08-06
US20080148107A1 (en) 2008-06-19
JP2008152678A (ja) 2008-07-03
EP1953644A3 (en) 2009-04-22
US8042009B2 (en) 2011-10-18

Similar Documents

Publication Publication Date Title
JP4437812B2 (ja) 電子制御装置
US20180057008A1 (en) Vehicular control device, method of controlling vehicular control device, and vehicular control system
JP2010277303A (ja) 半導体装置及び異常検出方法
JP2009166549A (ja) 車両用電子制御装置
JP4665846B2 (ja) マイクロコンピュータ及び電子制御装置
JP2009202822A (ja) 制御装置
JP5374295B2 (ja) 車両用電子制御装置
CN107804172B (zh) 电机控制器唤醒系统故障处理方法及电机控制器
WO2016147793A1 (ja) 車両用制御装置及びその制御方法
CN110936908A (zh) 一种基于操作系统的车载显示系统的快速响应方法及装置
JP5555472B2 (ja) 車両用電子制御システム
JP5928358B2 (ja) 情報処理装置、監視装置、制御装置
JP5465799B2 (ja) 制御装置
US9145100B2 (en) In-vehicle ECU
JP2000172384A (ja) 車載用コンピュータ及びその制御方法
JP2011065402A (ja) 車両用電子制御装置
JP4812699B2 (ja) 電源制御装置
JP2010258635A (ja) 制御装置
JP2008290658A (ja) 車両制御装置
CN111897763A (zh) 控制方法、控制装置、电子设备
KR20130003976A (ko) 전자 제어 조향장치 전자 제어 유닛 및 이를 이용한 러닝 리셋 처리 방법
JP2005186770A (ja) 車載装置及びその電源制御方法
JP5392058B2 (ja) 処理装置及び制御方法
JP2009015613A (ja) 監視回路、電子制御装置、及び監視回路の制御方法
CN112141121A (zh) 电子控制装置和车辆控制系统

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081028

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090331

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090529

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090901

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091021

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091222

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091224

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130115

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140115

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150115

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees