JP4486653B2 - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP4486653B2
JP4486653B2 JP2007007096A JP2007007096A JP4486653B2 JP 4486653 B2 JP4486653 B2 JP 4486653B2 JP 2007007096 A JP2007007096 A JP 2007007096A JP 2007007096 A JP2007007096 A JP 2007007096A JP 4486653 B2 JP4486653 B2 JP 4486653B2
Authority
JP
Japan
Prior art keywords
program rewrite
program
condition
mode
rewrite
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007007096A
Other languages
English (en)
Other versions
JP2008176393A (ja
Inventor
チン エイク エン
浩二 江端
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2007007096A priority Critical patent/JP4486653B2/ja
Publication of JP2008176393A publication Critical patent/JP2008176393A/ja
Application granted granted Critical
Publication of JP4486653B2 publication Critical patent/JP4486653B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)
  • Microcomputers (AREA)

Description

本発明は、マイコンを備えた電子制御装置にかかり、特に複数のプログラム書き換え条件判定回路の中からある特定のプログラム書き換え条件判定回路のみを動作可能(イネーブル)にするプログラム書き換え条件セレクタを備えたオンボード書き換え可能な電子制御装置に関する。
書き換え可能不揮発性メモリを構成要素とするマイコンを備え、前記書き換え可能不揮発性メモリに記憶された制御プログラムや制御データを装置の完成状態で書き換えることができるオンボード書き換え可能な電子制御装置は既に提案されている(特許文献1,2参照)。
この種の電子制御装置は、通常モード時、マイコンは書き換え可能不揮発性メモリに記憶された制御プログラムを実行し、制御対象をコントロールするための制御処理を行う。
また、プログラム書き換えモード時には、制御装置外部からの入力信号を判定回路で判定し、その判定結果にしたがって、マイコンの動作状態をプログラム書き換えモードに切り換え、プログラム書き換えが実行される。
プログラム書き換えのための制御装置外部からの入力信号は、アプリケーションごとに異なるため、その判定回路もアプリケーションごとに用意されている。
特開平11−272498号公報 特開平12−284892号公報
単一の電子制御装置を各々のアプリケーションに適用する場合、アプリケーションごとに異なるプログラム書き換え条件判定回路が必要とされる。このような場合、生産性の低下を防止するためには、適用されるアプリケーションごとの製造工程に変更を加えないことが望ましい。
このため、複数のプログラム書き換え条件判定回路(前記異なるプログラム書き換え条件を判定する回路)を共存させるような製品設計が行われる。この場合、入力信号として実制御に使用する信号(センサの検出信号等)を用いると、次のような問題が発生する。
すなわち、複数のプログラム書き換え条件判定回路が存在すると、アプリケーションとして、書き換えモードを許可してはならない場合において、他のプログラム書き換え条件判定回路により、プログラム書き換えモードが許可される場合が発生する。このような場合には制御プログラムのセキュリティ上の問題が発生する。
書き換え条件判定回路がプログラム書き換え条件が成立したと判定した場合、判定信号はマイコンの動作モードを書き換えモードにセレクトする。また、前記判定信号は、制御装置内部のシステムリセット信号を書き換え動作中に発生させないため、リセット回路に対しリセット信号の発生をディセイブル(無効)する。
前記書き換え条件の判定に用いる入力信号は、実制御においても使用される信号であるため、アプリケーションとして仕様上書き換えモードを許可しない条件においても、リセット信号の発生をディセイブルさせてしまう。このため、ウォッチドッグタイマがその機能を停止させてしまい、マイコンの暴走を監視することが不可能となることがある。
本発明はこれらの問題点に鑑みてなされたもので、プログラム書き換え条件が誤って成立した場合においても、マイコンの誤動作を防止することのできる電子制御装置を提供するものである。
本発明は上記課題を解決するため、次のような手段を採用した。
入力された複数の外部入力信号の組み合わせにしたがって動作するマイコンと、前記複数の外部入力信号の組み合わせにしたがってそれぞれプログラム書き換え条件の成立を判定するプログラム書き換え条件判定回路を複数備えた複数プログラム書き換え条件判定回路と、前記複数プログラム書き換え条件判定回路出力にしたがって前記マイコンにプログラムの書き換えを指示するプログラム書き換えモード出力回路と、プログラム書き換え条件セレクタを備え、該プログラム書き換え条件セレクタは、自己の特定入力端子に入力されるプログラム書き換え条件選定用電圧のレベルを取得し、取得した電圧のレベルに応じて前記複数のプログラム書き換え条件判定回路のうち対応付けられたプログラム書き換え条件判定回路をイネイブル状態とし、他のプログラム書き換え条件の判定回路をディセイブル状態とする。
本発明は、以上の構成を備えるため、プログラム書き換え条件が誤って成立した場合においても、マイコンの誤動作を防止することのできる電子制御装置を提供することができる。
以下、最良の実施形態を添付図面を参照しながら説明する。図1は、本発明の実施形態にかかる電子制御装置20を説明する図である。図において、マイコン9は、電子制御装置20の外部スイッチ14からの入力信号BS1、BS2、BS3にしたがって制御対象をコントロールする。
入力信号BS1、BS2、BS3は実制御信号として用いられるほか、プログラム書き換え条件としても用いられる。入力信号BS1、BS2、BS3によりプログラム書き換えを実行する際には、複数プログラム書き換え条件判定回路5において、ユーザがプログラム書き換えを行おうとしている可否かを判断し、判断結果にしたがってプログラム書き換えモード出力回路8から出力されるプログラム書き換えモード信号PMの論理をコントロールする。
プログラム書き換えモード信号PMがプログラム書き換えモードを示す場合、マイコン9は書き換え許可モードとなり、ブート領域12からプログラムを起動する。このプログラムは、ユーザ領域11に格納されているプログラムとは異なり、リセット回路13にウォッチドッグタイマ用のパルスPRを出力し続けることができない。
リセット回路13は、前記パルスが入力されない場合システムリセット信号を発生するように設定されている。なお、このシステムリセット信号は、プログラム書き換えモード出力回路8からリセット回路13にプログラム書き換えモード信号PMを供給することにより抑制することができる。これにより、プログラム書き換え時にマイコン9がリセットされることなく、プログラム書き換えが可能となる。
ところで、単一の電子制御装置20を、例えば複数(3個)のアプリケーションに適用する場合、アプリケーションごとに異なるプログラム書き換え条件が必要となる。このため、本実施形態ではプログラム書き換え条件判定回路を複数(5−1〜5−3)備える。
なお、異なるアプリケーションごとに部品実装仕様を変更した電子制御装置を制作することは、製品の生産性を低下させる要因となる。このため、図1に示すように、アプリケーションごとの製造工程を変更することなく同一の電子制御装置を制作し、制作した各電子制御装置のそれぞれに、複数プログラム書き換え条件判定回路5(複数の異なるプログラム書き換え条件を判定する書き換え条件判定回路5−1ないし5−3)を実装し、共存させる。これにより生産性を上げることができる。
前述のように、プログラム書き換え条件は、電子制御装置20の各アプリケーションによって異なる。また、入力信号BS1、BS2、BS3は常時変化する。このため、ある特定のアプリケーションとして仕様上書き換えモードに移行することを許可してはならない場合において、他のアプリケーション用のプログラム書き換え条件の判定回路により、プログラム書き換えモード信号PMがプログラム書き換えモードの論理になることがあり得る。すなわち、生産性向上のため複数プログラム書き換え条件の判定回路を共存させることは、マイコン9の動作モードおよびウォッチドッグタイマの抑制を誤って設定してしまう可能性があると言える。
そこで、本実施形態では、プログラム書き換え条件セレクタ4を用い、セレクタ4で設定した閾値電圧とプログラム書き換え条件選定用電圧V2とを比較し、比較結果にしたがって複数のプログラム書き換え条件判定回路のうちのいずれか一つを選択し、選択した書き換え条件判定回路のみを動作可能とする。
図2は、プログラム書き換え条件セレクタ4の構成を示す図である。図に示すように、電源電圧Vccを抵抗R1、R2、R3で分圧し、その分圧比に基づいて、コンパレータCP1、CP2の判定閾値を設定する。図2の例では、コンパレータCP1の閾値Vc1はVcc*(R2+R3)/(R1+R2+R3)であり、コンパレータCP2の閾値Vc2はVcc*R3/(R1+R2+R3)である。
これによりプログラム書き換えセレクタ4は、プログラム書き換え条件選定用電圧V2が、Vc1以上、Vc1以下でVc2以上、Vc2以下のいずれの電圧範囲内にあるかを判定することができる。例えば、プログラム書き換え条件選定用電圧V2がVc1以上と判定された場合、プログラム書き換え条件Iの判定回路5−1がオン(動作可能)にされると同時に、プログラム書き換え条件IIの判定回路5−2とプログラム書き換え条件IIIの判定回路5−3の判定回路がオフ(動作不能)にされることになる。
このとき、入力信号BS1とBS3の信号がプログラム書き換え条件Iを満足すると、複数プログラム書き換え条件判定回路5のセレクタ4によりオンとされたプログラム書き換え条件判定回路5−1で判定されたプログラム書き換えモードのみが許可される。
このように、プログラム書き換え条件セレクタ4のエンコード結果により選択された判定回路のみが機能し、選択されない判定回路は機能しないようにした。このため、他のプログラム書き換え条件判定回路によりプログラム書き換えモードが許可されることを防止することができる。
ところで、前記プログラム書き換え条件セレクタ4の追加によっても回避することができない問題がある。
すなわち、通常動作モード時、前記プログラム書き換え条件セレクタ4により、当該アプリケーションに適用されるプログラム書き換え条件判定回路5−1〜5−3のいずれか一つのみをオン(動作可能)にし、適用されない残りの判定回路をオフ(動作不能)にしても、制御上常時変化する入力信号BS1、BS2、BS3の組み合せが、前記オンとされた判定回路の条件を満足した場合、プログラム書き換えモード出力回路8はプログラム書き換えモード信号PMを出力してしまう。
マイコン9は、起動時のみ動作モード端子の論理(プログラム書き換えモード信号PMの論理)にしたがって、ユーザ領域11またはブート領域12のプログラムを選択して起動する。なお、起動後はプログラム書き換えモード信号PMの論理が変化しても、この変化はマイコン9の機能上、キャンセルされる。しかし、リセット回路13中のウォッチドッグタイマの機能は停止されるため、マイコン9のプログラム暴走監視は不可能となる。
このため、本実施形態では、通常動作モードで実行されるユーザ領域11内のプログラムに、プログラム書き換えモード出力回路8に対して書き換えモード信号PMの出力をキャンセルする書き換えモード出力キャンセル信号C1を出力する機能を付加する。これにより、通常動作モード時にプログラム書き換えモード出力回路8の機能を停止させることができる。
これにより、通常動作モード時に何れかのアプリケーションに適用されるプログラム書き換え条件が入力信号BS1〜BS3の何れかの組み合せで成立しても、ウォッチドッグタイマの機能が誤って停止されることない。このため、マイコン9の暴走を監視することができ、電子制御装置として正規かつ安全な動作を果たすことが可能となる。
以上説明したように、本実施形態によれば、プログラム書き換え条件の選定用信号(プログラム書き換え条件選定用電圧)をプログラム書き換え条件セレクタに入力し、該プログラム書き換え条件セレクタは前記選定信号を判断し、その判断結果に基づいてある特定のアプリケーションのプログラム書き換え条件判定回路のみイネイブルする。これによって、他のプログラム書き換え条件によるプログラム書き換えモードの発生が抑止することが可能である。
また、マイコンが通常動作モードにおいて制御プログラムを実行している場合、マイコンからプログラム書き換えモード出力回路に対して常時、書き換えモード信号PMをディセイブルする信号(キャンセル信号C1)を送信する。このため、通常動作モードにおいてプログラム書き換え条件が成立して書き換えモードが許可されても、プログラム書き換えモード信号PMがマイコンやリセット回路に出力されることはない。このため、ウォッチドッグタイマの機能が誤って停止されることを避けることができる。
実施形態にかかる電子制御装置20を説明する図である。 プログラム書き換え条件セレクタ4の構成を示す図である。
符号の説明
4 プログラム書き換え条件セレクタ
5 複数プログラム書き換え条件判定回路
5−1 プログラム書き換え条件Iの判定回路
5−2 プログラム書き換え条件IIの判定回路
5−3 プログラム書き換え条件IIIの判定回路
8 プログラム書き換えモード出力回路
9 マイコン
10 CPU
11 ユーザ領域
12 ブート領域
13 リセット回路
14 外部スイッチ
20 電子制御装置
PM プログラム書き換えモード信号
C1 キャンセル信号
V2 プログラム書き換え条件選定用電圧

Claims (3)

  1. 入力された複数の外部入力信号の組み合わせにしたがって動作するマイコンと、
    前記複数の外部入力信号の組み合わせにしたがってそれぞれプログラム書き換え条件の成立を判定するプログラム書き換え条件判定回路を複数備えた複数プログラム書き換え条件判定回路と、
    前記複数プログラム書き換え条件判定回路出力にしたがって前記マイコンにプログラムの書き換えを指示するプログラム書き換えモード出力回路と、
    プログラム書き換え条件セレクタを備え、
    該プログラム書き換え条件セレクタは、自己の特定入力端子に入力されるプログラム書き換え条件選定用電圧のレベルを取得し、取得した電圧のレベルに応じて前記複数のプログラム書き換え条件判定回路のうち対応付けられたプログラム書き換え条件判定回路をイネイブル状態とし、他のプログラム書き換え条件の判定回路をディセイブル状態とすることを特徴とする電子制御装置。
  2. 請求項1記載の電子制御装置において、
    前記プログラム書き換え条件セレクタによってイネイブルにされたプログラム書き換え条件判定回路がプログラム書き換え条件の成立を表す判定信号をプログラム書き換えモード出力回路に出力したとき、
    プログラム書き換えモード出力回路は、プログラム書き換えモード信号を前記マイコンに送信し、前記マイコンの動作モードをプログラム書き換えモードに切り換えるとともに、前記プログラム書き換えモード信号を用いてウオッチドッグタイマ機能を停止させ、プログラム書き換えモードを許可する条件でリセット信号が発生しないようにしたことを特徴とする電子制御装置。
  3. 請求項1記載の電子制御装置において、
    前記マイコンは、通常動作モードにあるとき前記プログラム書き換えモード出力回路の機能を停止させ、プログラム書き換え条件判定回路の出力が入力されても、前記プログラム書き換えモード出力回路がプログラム書き換えモード信号を出力しないようにしたことを特徴とする電子制御装置。
JP2007007096A 2007-01-16 2007-01-16 電子制御装置 Active JP4486653B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007007096A JP4486653B2 (ja) 2007-01-16 2007-01-16 電子制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007007096A JP4486653B2 (ja) 2007-01-16 2007-01-16 電子制御装置

Publications (2)

Publication Number Publication Date
JP2008176393A JP2008176393A (ja) 2008-07-31
JP4486653B2 true JP4486653B2 (ja) 2010-06-23

Family

ID=39703392

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007007096A Active JP4486653B2 (ja) 2007-01-16 2007-01-16 電子制御装置

Country Status (1)

Country Link
JP (1) JP4486653B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5439661B2 (ja) 2009-01-06 2014-03-12 三菱電機株式会社 半導体装置
JP5653507B1 (ja) * 2013-10-31 2015-01-14 三菱電機株式会社 プログラムツールが接続される電子制御装置
JP6540518B2 (ja) * 2016-01-08 2019-07-10 トヨタ自動車株式会社 電子制御装置

Also Published As

Publication number Publication date
JP2008176393A (ja) 2008-07-31

Similar Documents

Publication Publication Date Title
JP4665846B2 (ja) マイクロコンピュータ及び電子制御装置
US20130131837A1 (en) Prioritized Controller Arbitration
JP5374295B2 (ja) 車両用電子制御装置
US10496062B2 (en) Programmable controller for controlling automatic machines, having CPU to received control with respect to own apparatus, when external storage is authenticated based on authentication information
JP4486653B2 (ja) 電子制御装置
KR20190058310A (ko) 반도체 장치
JP5318284B2 (ja) 安全装置および故障検出方法
JP6726300B2 (ja) 電源回路
JP5944243B2 (ja) プラント安全装置およびその動作方法
JP4294503B2 (ja) 動作モード制御回路、動作モード制御回路を含むマイクロコンピュータ及びそのマイクロコンピュータを利用した制御システム
JP6322434B2 (ja) 負荷制御用バックアップ信号発生回路
JP4606881B2 (ja) 物理的動作パラメータを検知する集積センサを具備する境界スキャン回路
JP5584527B2 (ja) 電圧検出システム及びその制御方法
JP5769403B2 (ja) 監視装置及び電子装置
JP7143797B2 (ja) 車載カメラモジュールの電源制御装置
US20070150217A1 (en) Low-voltage detection device and low-voltage detection method
US20060065751A1 (en) Method for locking a wake-up signal
JP2000155140A (ja) 電圧検出回路
JP2012207745A (ja) ポジショナ
WO2014188764A1 (ja) 機能安全制御装置
US20200174545A1 (en) Information processing apparatus
JP5392058B2 (ja) 処理装置及び制御方法
JP7545597B1 (ja) 車両の制御システム
JP2010068369A (ja) スイッチ入力回路
JP2006276947A (ja) 電源制御装置および電源制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081021

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20100114

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100301

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100309

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100326

R150 Certificate of patent or registration of utility model

Ref document number: 4486653

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130402

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140402

Year of fee payment: 4

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350