JP4776610B2 - 監視制御回路を有する車載電子制御装置 - Google Patents

監視制御回路を有する車載電子制御装置 Download PDF

Info

Publication number
JP4776610B2
JP4776610B2 JP2007304814A JP2007304814A JP4776610B2 JP 4776610 B2 JP4776610 B2 JP 4776610B2 JP 2007304814 A JP2007304814 A JP 2007304814A JP 2007304814 A JP2007304814 A JP 2007304814A JP 4776610 B2 JP4776610 B2 JP 4776610B2
Authority
JP
Japan
Prior art keywords
value
information
abnormality
control circuit
circuit unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007304814A
Other languages
English (en)
Other versions
JP2009129268A (ja
Inventor
祐希 岩上
学 山下
光司 橋本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2007304814A priority Critical patent/JP4776610B2/ja
Priority to US12/118,279 priority patent/US8234035B2/en
Publication of JP2009129268A publication Critical patent/JP2009129268A/ja
Application granted granted Critical
Publication of JP4776610B2 publication Critical patent/JP4776610B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Description

この発明は、マイクロプロセッサを内蔵した車載電子制御装置、特に制御の安全性を向上するために当該マイクロプロセッサに対してシリアル接続された監視制御回路を有するエンジン制御装置などの車載電子制御装置の改良に関するものである。
マイクロプロセッサを搭載した車載電子制御装置に於いて、当該マイクロプロセッサが正常に動作しているかどうかを常時監視するために監視制御回路部を設けて、当該監視制御回路部が主制御回路部となるマイクロプロセッサに対して質問情報を送信し、マイクロプロセッサがこの質問情報に対する回答情報を返信し、監視制御回路部は予め提供されている正解情報と比較して正常な回答が得られたかどうかを確認する、所謂Q&A方式の異常判定手段を用いることは公知である。
例えば、複数のデータ処理装置が正常に動作しているか否かを相互に監視するための方法であって、複数の質問用コードを予め用意しておき、第1のデータ処理装置から第2のデータ処理装置に前記複数の質問用コードのうちのいずれか1つを送り、前記第2のデータ処理装置に於いて受け取った受信質問用コードに対応して予め定められている所定の演算を実行し、得られた実演算結果を前記第1のデータ処理装置に送り返し、前記第1のデータ処理装置に於いて所定の回答期間内に該実演算結果を受け取ることができたか否かの結果及び該実演算結果の内容と前記受信質問用コードに対応して予め用意されている正解演算結果との比較結果に従って前記第1及び第2のデータ処理装置の動作の監視を行うことを特徴とする複数データ処理装置間相互監視方法は、従来既に提案されている(例えば、特許文献1参照)。
特許文献1に示された従来の方法に於いて、前記質問用コードは質問番号であり、第2のデータ処理装置で実行されるべき演算は、質問番号をnとすると、[n+25+27+29+(n*210)+214+215]と定められている。このように演算データとしてnが含まれており、質問番号に対応した正解情報は予め第1のデータ処理装置に於いて既知情報として格納されている。前記実演算結果が前記所定の回答期間内に得られたか否か及び前記実演算結果が正解であったか否かに応じてエラーカウンタの値を増減させ、該エラーカウンタの値が所定の値を越えたときに所定の命令を出力するように構成されている。
又、別の従来の装置として、マイクロプロセッサを内蔵する電子制御装置に於いて、制御プログラムの一部を定期的に代替実行して運転中に動作点検を行うものであって、不揮発プログラムメモリの内容と入力センサ群の動作状態に応動して電気負荷群を制御するマイクロプロセッサに対して、監視制御回路部は照会パケットによって多数の質問事項を順次送信し、マイクロプロセッサからの応答内容と正解情報とを比較して異常判定を行い、マイクロプロセッサは照会パケットの受信間隔を診断して監視制御回路部の監視動作を逆監視するものが開示されている。(例えば、特許文献2参照)
特許文献2に示された従来の装置に於いて述べられたQ&Aによる異常判定手段の概要は図16に示すとおりである。図16に於いて、電子制御装置1はマイクロプロセッサ2aを包含した主制御回路部2と、この主制御回路部2に対してシリアル接続された監視制御回路部3によって構成されている。主制御回路部2は入力信号A、B、Cを含むその他の多数の入力信号の動作状態に応動して、出力信号Yを含むその他の多数の出力信号を発生して電気負荷を駆動制御するように構成されていて、その制御仕様はマイクロプロセッサ2aと協働するプログラムメモリ2bの内容によって決定されるように構成されている。
監視対象プログラム2cは、一例として入力信号A、B、Cとプログラムメモリ2bに予め格納されている制御定数Kを基にして、[出力信号Y=K×(A−B)+C]を算出するように構成されている。プログラムメモリ2bには模擬演算用データ2fが格納されていて、当該模擬演算用データ2fのデータテーブル1、2、・・nを代表するテーブルnは制御定数Kと入力信号A、B、Cに対応した模擬定数An、Bn、Cnによって構成されているが、どのテーブル番号のものを模擬演算用として使用するのかは監視制御回路部3からの質問情報によってランダムに更新指定されるように構成されている。
入力情報選択切換え手段2dは監視対象プログラム2cに対して入力信号A、B、Cに代わってデータテーブルnを定期的に指定し、その演算結果である[Yn=K×(An−Bn)+Cn]は、出力先の選択切換え手段2eを介して回答情報として監視制御回路部3へ定期的に送信されるように構成されている。監視制御回路部3には質問情報(模擬演算用のデータテーブル番号)に対応した正解情報が正解情報格納メモリ3bに予め格納されており、異常判定手段3aは主制御回路部2から得られた回答情報と当該正解情報とを比較して異常の有無を判定するように構成されている。尚、データテーブルを用いた模擬演算を行なうときの制御プログラムは、監視対象プログラム2cがそのまま使用されるか、又は当該監視対象プログラム2cをプログラムメモリ2bの異なるアドレス領域に書込んだコピープログラム2gを用いることもある。
又、更に別の従来の装置として、加減算集計手段を用いた通信異常の検出に関する技術が開示されている。この従来の電子制御装置によれば、シリアル通信回路を介して相互交信する第一、第二の制御回路部は、それぞれ第一、第二の加減算手段を備え、各制御回路部で受信エラーが発生すると受信側の加減算手段は変分値3が加算され、正常受信すると変分値1が減算されるように構成されている。加減算手段の初期値は9に設定され、現在値が11を超過すると第一、第二の異常検出信号が発生して警報表示や初期化と相手制御回路部の初期化、再起動を行う。従って、正常通信継続状態で受信エラーが継続発生すると再送処理は3回まで行えるが、過去の状況が悪くて十分な減算処理が行われていない時は、1回の受信エラーであっても異常検出信号が発生するので、散発的な通信エラーの発生に対しては過敏な異常判定を回避すると共に、致命的、継続的な通信障害を速やかに検出する(例えば、特許文献3参照)。
特許文献3に示された第二の制御回路部は、第二の加減算手段で扱われる第一の変分値、第二の変分値、正常側限界値、異常側限界値、初期値等の各種制御定数の一部又は全部、あるいは上記第二の通信エラー判定手段に於いて使用される受信間隔時間の許容値等の各種制御定数の一部又は全部が格納される第二の設定データメモリを備え、上記各種制御定数の一部又は全部は、上記第一の制御回路部に設けられたプログラムメモリから定期送信手段によって送信書込みされるように構成されている。
特開2001−350735号公報 特開2005−031865号公報 特開2005−031993号公報
特許文献1に示された従来の相互監視方法は、Q&Aによる回答情報の異常と通信異常とが分離されておらず、通信異常であってもQ&Aの回答異常として処理されるだけであるので、異常検出時の処理が適切に行なえない問題点がある。又、模擬演算される演算算式は入出力制御に関連したものではないので、入出力制御のタイミングと通信のタイミングに関する配慮が示されていない。
又、特許文献2に示された電子制御装置では、Q&Aによる回答情報の異常と通信異常とが合成されてエラーカウンタに入力されているので、通信周期が質問周期よりも速い場合には通信異常に重点をおいた異常検出が行われる問題点がある。又、特許文献2に示された電子制御装置に於ける監視制御回路部との通信は、数バイト単位で送受信される調歩同期方式が採用されていて、入出力監視情報とQ&A情報とは適時に分割して送受信されるように構成されている。従って、入出力監視情報の送受信の周期とQ&A情報の送受信の周期は自由に変更することができるが、送受信データとしてはデータの格納先を指定するためのアドレス情報と送受信データの内容を識別するためのコマンド情報が必要となって、送受信データ量が増大し、高速通信には適さないという問題点がある。又、Q&A通信に関する異常は検出されているが、入出力監視情報の通信については論及されていない。
更に、特許文献3に示された電子制御装置では、Q&Aによる異常判定については論及されておらず、異常判定特性を決定する各種の定数が第一の制御回路部に格納されているので、運転開始時にこれ等の定数を第二の制御回路部へ送信する必要があり、初回動作に遅れが発生する問題がある。
この発明の目的は、質疑回答異常と通信異常を分離して検出することができて、しかも過敏な異常判定を回避するための異常判定特性を決定する各種の定数について、その多くを固定制御定数として監視制御回路部側に格納しておくことができるようにすると共に、適用車種に応じて手軽に異常判定特性を変更することができる車載電子制御装置を提供することである。
この発明による監視制御回路を有する車載電子制御装置は、
不揮発プログラムメモリと、演算処理用RAMメモリと、第一の入力センサ群が接続された第一の入力インタフェース回路と、第一の電気負荷群が接続された第一の出力インタフェース回路と、前記不揮発プログラムメモリに格納された制御プログラムの内容と前記第一の入力センサ群の動作状態に応動して、前記第一の電気負荷群を制御するマイクロプロセッサとを備えた主制御回路部と、
前記マイクロプロセッサに対してシリアル通信回路によって接続され、複数の質問情報を定期的に前記主制御回路部へ順次選択送信する質問情報生成手段と、前記質問情報に対する正解情報を格納する正解情報格納メモリと、前記質問情報に基づく前記主制御回路部からの回答情報と前記正解情報格納メモリに格納されている前記正解情報とを比較して前記主制御回路部の異常の有無を判定する異常判定手段と、前記回答情報を包含する前記主制御回路部からの下り通信により送信された下り通信情報に対する符号誤り検出手段とを有する監視制御回路部と
を備えた車載電子制御装置であって、
前記監視制御回路部は、更に、
前記異常判定手段に応動する第一の加減算集計手段と、
前記異常判定手段に応動する第一の異常発生確定手段と、
前記異常判定手段に応動する第一の判定数値選択手段と、
前記第一の加減算集計手段と前記第一の異常発生確定手段とに適用される第一の設定定数集団と、
前記符号誤り検出手段に応動する第二の加減算集計手段と、
前記符号誤り検出手段に応動する第二の異常発生確定手段と、
前記符号誤り検出手段に応動する第二の判定数値選択手段と、
前記第二の加減算集計手段と前記第二の異常発生確定手段に適用される第二の設定定数集団と、
を備え、
前記第一の設定定数集団は、第一の変分値Δ1と、前記第一の変分値Δ1よりも大きな値である第四の変分値Δ4と、異常判定閾値Njと連続異常検出時間Teとのうちの少なくとも前記連続異常検出時間Teを含み、前記異常判定閾値Njと連続異常検出時間Teとのうちの少なくとも一方の値が異なる複数の設定定数集団を車種に応じて選択可能に構成され、
前記第一の判定数値選択手段は、前記異常判定閾値Njと連続異常検出時間Teとのうちの少なくとも一方の値が異なる前記複数の設定定数集団のうちの何れか一つを、前記車種に対応して前記第一の設定定数集団から選択適用し、
前記第一の加減算集計手段は、前記下り通信により送信された下り通信情報に通信異常が検出されていない状態に於いて、前記異常判定手段が前記回答情報と前記正解情報とが不一致であるとの異常判定をしたときには前記第四の変分値Δ4を加算又は減算すると共に、前記回答情報と前記正解情報とが一致するとの正常判定をしたときには前記第一の変分値Δ1を減算又は加算して相互に減殺するように第一の現在値メモリに対する加減算補正を行い、前記異常なしとの判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止し、
前記第一の異常発生確定手段は、前記第一の変分値Δ1及び前記第四の変分値Δ4の累積によって前記第一の加減算集計手段の現在値が異常側限界値に達したときに、第一の異常検出信号を発生し、
前記異常判定閾値Njは、前記第一の加減算集計手段に於ける前記異常側限界値と前記
正常側限界値との差分値に相当し、
前記第一の異常発生確定手段による実際の連続異常検出時間は、質問更新周期Tqで順
次発生する前記質問情報に対する前記回答情報が全て前記正解情報とは異なる内容であったときに、前記第一の現在値メモリの値が前記第一の加減算集計手段に於ける前記正常側限界値にあった状態から前記第一の加減算集計手段に於ける前記異常側限界値に達するまでの時間であって、
前記実際の連続異常検出時間は、前記異常判定閾値Njを前記第四の変分値Δ4で除し
た値と、前記質問更新周期Tqとの積に相当し、当該実際の連続異常検出時間は前記設定
された連続異常検出時間Te以下の値となるように、前記設定された連続異常検出時間Teに関連して前記異常判定閾値Njが算出され、
前記第二の設定定数集団は、前記第一の変分値Δ1と、前記第一の変分値Δ1よりも大きな値である第二の変分値Δ2と、異常判定閾値Nkと連続異常検出時間Teとのうちの少なくとも前記連続異常検出時間Teを含み、前記異常判定閾値Nkと前記連続異常検出時間Teとのうちの少なくとも一方の値が異なる複数の設定定数集団を前記車種に応じて選択可能に構成され、
前記第二の判定数値選択手段は、前記異常判定閾値Nkと前記連続異常検出時間Teとのうちの少なくとも一方の値が異なる前記複数の設定定数集団のうちの何れか一つを、前記車種に対応して前記第二の設定定数集団から選択適用し、
前記第二の加減算集計手段は、前記符号誤り検出手段が前記下り通信に異常ありとの判定を行なったときには前記第二の変分値Δ2を加算又は減算すると共に、前記下り通信に異常なしとの判定を行なったときには前記第一の変分値Δ1を減算又は加算して相互に減殺するように第二の現在値メモリに対する加減算補正を行い、前記異常なしとの判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止し、
前記第二の異常発生確定手段は、前記第一の変分値Δ1及び前記第二の変分値Δ2の累積によって前記第二の加減算集計手段の現在値が異常側限界値に達したときに、第二の異常検出信号を発生し、
前記異常判定閾値Nkは、前記第二の加減算集計手段に於ける前記異常側限界値と前記
第二の加減算集計手段に於ける前記正常側限界値との差分に相当し、
前記第二の異常発生確定手段による実際の連続異常検出時間は、通信周期Tcで順次発
生する前記下り通信情報の通信誤り率が所定値以上である状態が持続したときに、前記第二の現在値メモリの値が前記第二の加減算集計手段に於ける前記正常側限界値にあった状態から前記第二の加減算集計手段に於ける前記異常側限界値に達するまでの時間であって、
前記実際の連続異常検出時間は、前記異常判定閾値Nkと前記第一及び第二の変分値Δ
1、Δ2と前記所定の通信誤り率とに関連して算出される交信回数と前記通信周期Tcと
の積に相当し、当該実際の連続異常検出時間は前記設定された連続異常検出時間Te以下
の値となるように、前記設定された連続異常検出時間Teに関連して前記異常判定閾値Nkが算出され、
前記主制御回路部は、更に、
前記質問情報に対応した回答情報を生成する回答情報生成手段を備えるとともに、
前記監視制御回路部に関する異常判定手段となる逆監視情報監視手段と、前記質問情報と前記監視制御回路部に対する逆監視情報とを包含した前記監視制御回路部からの上り通信情報に対する符号誤り検出手段と、のうちの少なくとも一方と、
前記逆監視情報監視手段に応動する第三の判定数値選択手段と、前記上り通信情報に対する符号誤り検出手段に応動する第四の判定数値選択手段と、のうちの少なくとも一方と、
前記逆監視情報監視手段に応動する第三の加減算集計手段と、前記上り通信情報に対する符号誤り検出手段に応動する第四の加減算集計手段と、のうちの少なくとも一方と、
前記逆監視情報監視手段に応動する第三の異常発生確定手段と、前記上り通信情報に対する符号誤り検出手段に応動する第四の異常発生確定手段と、のうちの少なくとも一方と、
前記第三の加減算集計手段と第三の異常発生確定手段とに適用される第三の設定定数集団と、前記第四の加減算集計手段と前記第四の異常発生確定手段とに適用される第四の設定定数集団と、のうちの少なくとも一方と、
を備え、
前記第三の設定定数集団は、前記第一の変分値Δ1と、前記第一の変分値Δ1よりも大きな値である第三の変分値Δ3と、異常判定閾値Niと連続異常検出時間Teとのうちの少なくとも前記連続異常検出時間Teを含み、前記異常判定閾値Niと前記連続異常検出時間Teとのうちの少なくとも一方の値が異なる複数の設定定数集団を前記車種に応じて選択可能に構成され、
前記第三の判定数値選択手段は、前記異常判定閾値Niと前記連続異常検出時間Teとのうちの少なくとも一方の値が異なる前記複数の設定定数集団のうちの何れか一つを、前記車種に対応して前記第三の設定定数集団から選択適用し、
前記第三の加減算集計手段は、前記監視制御回路部から前記主制御回路部に送信された上り通信情報に通信異常が検出されていない状態に於いて、前記逆監視情報監視手段が前記監視制御回路部の異常判定を行なったときには、前記第三の変分値Δ3を加算又は減算すると共に、正常判定をしたときには前記第一の変分値Δ1を減算又は加算して相互に減殺するように第三の現在値メモリに対する加減算補正を行い、異常なし判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止し、
前記第三の異常発生確定手段は、前記第一及び第三の変分値の累積によって前記第三の加減算集計手段の現在値が異常側限界値に達したときに、前記第三の異常検出信号を発生し、
前記異常判定閾値Niは、前記第三の加減算集計手段に於ける前記異常側限界値と前記
第三の加減算集計手段に於ける前記正常側限界値との差分に相当し、
前記第三の異常発生確定手段による実際の連続異常検出時間は、前記誤答送信周期Tq
で順次発生する誤答情報に対する前記逆監視情報が全て異常であったときに、前記第三の現在値メモリの値が正常側限界値にあった状態から異常側限界値に達するまでの時間であって、
前記実際の連続異常検出時間は、前記異常判定閾値Niを前記第三の変分値Δ3で除し
た値と、前記誤答送信周期Tqとの積に相当し、当該実際の連続異常検出時間は前記設定
された連続異常検出時間Te以下の値となるように前記設定された連続異常検出時間Teに関連して前記異常判定閾値Niが算出され、
前記第四の設定定数集団は、前記第二の設定定数集団と同様に構成され、
前記第四の判定数値選択手段は、前記異常判定閾値Nkと前記連続異常検出時間Teとのうちの少なくとも一方の値が異なる前記複数の設定定数集団のうちの何れか一つを、前記車種に対応して前記第四の設定定数集団から選択適用し、
前記第四の加減算集計手段は、前記符号誤り検出手段が上り通信異常ありの判定を行なったときには第二の変分値Δ2を加算又は減算すると共に、上り通信異常なしの判定を行なったときには第一の変分値Δ1を減算又は加算して相互に減殺するように第四の現在値メモリに対する加減算補正を行い、異常なしの判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止し、
前記第四の異常発生確定手段は、前記第一及び第二の変分値の累積によって前記第四の加減算集計手段の現在値が異常側限界値に達したときに、前記第四の異常検出信号を発生し、
前記第四の加減算集計手段に於ける前記異常側限界値と前記正常側限界値との差分値は異常判定閾値Nkとなり、
前記第四の異常発生確定手段による実際の連続異常検出時間は、通信周期Tcで順次発
生する前記上り通信情報の通信誤り率が所定値以上である状態が持続したときに、前記第四の現在値メモリの値が前記第四の加減算集計手段に於ける前記正常側限界値にあった状態から前記第四の加減算集計手段に於ける前記異常側限界値に達するまでの時間であって、
前記実際の連続異常検出時間は、前記異常判定閾値Nkと前記第一及び第二の変分値Δ
1、Δ2と前記所定の通信誤り率とに関連して算出される交信回数と前記通信周期Tcと
の積に相当し、当該実際の連続異常検出時間は前記設定された連続異常検出時間Te以下
の値となるように、前記設定された連続異常検出時間Teに関連して前記異常判定閾値Nkが算出され、
前記第一及び第二の設定定数集団は、出荷調整時に外部ツールから前記不揮発プログラムメモリに格納された前記選択情報を、前記シリアル通信回路を介して前記監視制御回路部の補助RAMメモリ又は不揮発データメモリに送信した選択情報であるか、若しくは前記車載電子制御装置を構成する電子回路基板の印刷パターンによって構成されたパターンスイッチによる選択情報に基づいて選択設定され、
前記第三及び第四の設定定数集団は、出荷調整時に外部ツールから前記不揮発プログラムメモリに格納された前記選択情報であるか、若しくは前記車載電子制御装置を構成する電子回路基板の印刷パターンによって構成されたパターンスイッチによる選択情報に基づいて選択設定される
ことを特徴とするものである。
この発明による監視制御回路を有する車載電子制御装置は、主制御回路部と監視制御回路部間で質問情報と回答情報を定期交信し、監視制御回路部が正解情報と回答情報とを対比して主制御回路部の異常診断を行なうようにした車載電子制御装置に於いて、
前記監視制御回路部は、更に、
前記異常判定手段に応動する第一の加減算集計手段と、
前記異常判定手段に応動する第一の異常発生確定手段と、
前記異常判定手段に応動する第一の判定数値選択手段と、
前記第一の加減算集計手段と前記第一の異常発生確定手段とに適用される第一の設定定数集団と、
前記符号誤り検出手段に応動する第二の加減算集計手段と、
前記符号誤り検出手段に応動する第二の異常発生確定手段と、
前記符号誤り検出手段に応動する第二の判定数値選択手段と、
前記第二の加減算集計手段と前記第二の異常発生確定手段に適用される第二の設定定数集団と、
を備え、
前記第一の設定定数集団は、第一の変分値Δ1と、前記第一の変分値Δ1よりも大きな値である第四の変分値Δ4と、異常判定閾値Njと連続異常検出時間Teとのうちの少なくとも前記連続異常検出時間Teを含み、前記異常判定閾値Njと連続異常検出時間Teとのうちの少なくとも一方の値が異なる複数の設定定数集団を車種に応じて選択可能に構成され、
前記第一の判定数値選択手段は、前記異常判定閾値Njと連続異常検出時間Teとのうちの少なくとも一方の値が異なる前記複数の設定定数集団のうちの何れか一つを、前記車種に対応して前記第一の設定定数集団から選択適用し、
前記第一の加減算集計手段は、前記下り通信により送信された下り通信情報に通信異常が検出されていない状態に於いて、前記異常判定手段が前記回答情報と前記正解情報とが不一致であるとの異常判定をしたときには前記第四の変分値Δ4を加算又は減算すると共に、前記回答情報と前記正解情報とが一致するとの正常判定をしたときには前記第一の変分値Δ1を減算又は加算して相互に減殺するように第一の現在値メモリに対する加減算補正を行い、前記異常なしとの判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止し、
前記第一の異常発生確定手段は、前記第一の変分値Δ1及び前記第四の変分値Δ4の累積によって前記第一の加減算集計手段の現在値が異常側限界値に達したときに、第一の異常検出信号を発生し、
前記異常判定閾値Njは、前記第一の加減算集計手段に於ける前記異常側限界値と前記
正常側限界値との差分値に相当し、
前記第一の異常発生確定手段による実際の連続異常検出時間は、質問更新周期Tqで順
次発生する前記質問情報に対する前記回答情報が全て前記正解情報とは異なる内容であったときに、前記第一の現在値メモリの値が前記第一の加減算集計手段に於ける前記正常側限界値にあった状態から前記第一の加減算集計手段に於ける前記異常側限界値に達するまでの時間であって、
前記実際の連続異常検出時間は、前記異常判定閾値Njを前記第四の変分値Δ4で除し
た値と、前記質問更新周期Tqとの積に相当し、当該実際の連続異常検出時間は前記設定
された連続異常検出時間Te以下の値となるように、前記設定された連続異常検出時間Teに関連して前記異常判定閾値Njが算出され、
前記第二の設定定数集団は、前記第一の変分値Δ1と、前記第一の変分値Δ1よりも大きな値である第二の変分値Δ2と、異常判定閾値Nkと連続異常検出時間Teとのうちの少なくとも前記連続異常検出時間Teを含み、前記異常判定閾値Nkと前記連続異常検出時間Teとのうちの少なくとも一方の値が異なる複数の設定定数集団を前記車種に応じて選択可能に構成され、
前記第二の判定数値選択手段は、前記異常判定閾値Nkと前記連続異常検出時間Teとのうちの少なくとも一方の値が異なる前記複数の設定定数集団のうちの何れか一つを、前記車種に対応して前記第二の設定定数集団から選択適用し、
前記第二の加減算集計手段は、前記符号誤り検出手段が前記下り通信に異常ありとの判定を行なったときには前記第二の変分値Δ2を加算又は減算すると共に、前記下り通信に異常なしとの判定を行なったときには前記第一の変分値Δ1を減算又は加算して相互に減殺するように第二の現在値メモリに対する加減算補正を行い、前記異常なしとの判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止し、
前記第二の異常発生確定手段は、前記第一の変分値Δ1及び前記第二の変分値Δ2の累積によって前記第二の加減算集計手段の現在値が異常側限界値に達したときに、第二の異常検出信号を発生し、
前記異常判定閾値Nkは、前記第二の加減算集計手段に於ける前記異常側限界値と前記
第二の加減算集計手段に於ける前記正常側限界値との差分に相当し、
前記第二の異常発生確定手段による実際の連続異常検出時間は、通信周期Tcで順次発
生する前記下り通信情報の通信誤り率が所定値以上である状態が持続したときに、前記第二の現在値メモリの値が前記第二の加減算集計手段に於ける前記正常側限界値にあった状態から前記第二の加減算集計手段に於ける前記異常側限界値に達するまでの時間であって、 前記実際の連続異常検出時間は、前記異常判定閾値Nkと前記第一及び第二の変分値Δ1、Δ2と前記所定の通信誤り率とに関連して算出される交信回数と前記通信周期Tcとの積に相当し、当該実際の連続異常検出時間は前記設定された連続異常検出時間Te以下の値となるように、前記設定された連続異常検出時間Teに関連して前記異常判定閾値Nkが算出され、
前記主制御回路部は、更に、
前記質問情報に対応した回答情報を生成する回答情報生成手段を備えるとともに、
前記監視制御回路部に関する異常判定手段となる逆監視情報監視手段と、前記質問情報と前記監視制御回路部に対する逆監視情報とを包含した前記監視制御回路部からの上り通信情報に対する符号誤り検出手段と、のうちの少なくとも一方と、
前記逆監視情報監視手段に応動する第三の判定数値選択手段と、前記上り通信情報に対する符号誤り検出手段に応動する第四の判定数値選択手段と、のうちの少なくとも一方と、
前記逆監視情報監視手段に応動する第三の加減算集計手段と、前記上り通信情報に対する符号誤り検出手段に応動する第四の加減算集計手段と、のうちの少なくとも一方と、
前記逆監視情報監視手段に応動する第三の異常発生確定手段と、前記上り通信情報に対する符号誤り検出手段に応動する第四の異常発生確定手段と、のうちの少なくとも一方と、
前記第三の加減算集計手段と第三の異常発生確定手段とに適用される第三の設定定数集団と、前記第四の加減算集計手段と前記第四の異常発生確定手段とに適用される第四の設定定数集団と、のうちの少なくとも一方と、
を備え、
前記第三の設定定数集団は、前記第一の変分値Δ1と、前記第一の変分値Δ1よりも大きな値である第三の変分値Δ3と、異常判定閾値Niと連続異常検出時間Teとのうちの少なくとも前記連続異常検出時間Teを含み、前記異常判定閾値Niと前記連続異常検出時間Teとのうちの少なくとも一方の値が異なる複数の設定定数集団を前記車種に応じて選択可能に構成され、
前記第三の判定数値選択手段は、前記異常判定閾値Niと前記連続異常検出時間Teとのうちの少なくとも一方の値が異なる前記複数の設定定数集団のうちの何れか一つを、前記車種に対応して前記第三の設定定数集団から選択適用し、
前記第三の加減算集計手段は、前記監視制御回路部から前記主制御回路部に送信された上り通信情報に通信異常が検出されていない状態に於いて、前記逆監視情報監視手段が前記監視制御回路部の異常判定を行なったときには、前記第三の変分値Δ3を加算又は減算すると共に、正常判定をしたときには前記第一の変分値Δ1を減算又は加算して相互に減殺するように第三の現在値メモリに対する加減算補正を行い、異常なし判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止し、
前記第三の異常発生確定手段は、前記第一及び第三の変分値の累積によって前記第三の加減算集計手段の現在値が異常側限界値に達したときに、前記第三の異常検出信号を発生し、
前記異常判定閾値Niは、前記第三の加減算集計手段に於ける前記異常側限界値と前記
第三の加減算集計手段に於ける前記正常側限界値との差分に相当し、
前記第三の異常発生確定手段による実際の連続異常検出時間は、前記誤答送信周期Tq
で順次発生する誤答情報に対する前記逆監視情報が全て異常であったときに、前記第三の現在値メモリの値が正常側限界値にあった状態から異常側限界値に達するまでの時間であって、
前記実際の連続異常検出時間は、前記異常判定閾値Niを前記第三の変分値Δ3で除し
た値と、前記誤答送信周期Tqとの積に相当し、当該実際の連続異常検出時間は前記設定
された連続異常検出時間Te以下の値となるように前記設定された連続異常検出時間Teに関連して前記異常判定閾値Niが算出され、
前記第四の設定定数集団は、前記第二の設定定数集団と同様に構成され、
前記第四の判定数値選択手段は、前記異常判定閾値Nkと前記連続異常検出時間Teとのうちの少なくとも一方の値が異なる前記複数の設定定数集団のうちの何れか一つを、前記車種に対応して前記第四の設定定数集団から選択適用し、
前記第四の加減算集計手段は、前記符号誤り検出手段が上り通信異常ありの判定を行なったときには第二の変分値Δ2を加算又は減算すると共に、上り通信異常なしの判定を行なったときには第一の変分値Δ1を減算又は加算して相互に減殺するように第四の現在値メモリに対する加減算補正を行い、異常なしの判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止し、
前記第四の異常発生確定手段は、前記第一及び第二の変分値の累積によって前記第四の加減算集計手段の現在値が異常側限界値に達したときに、前記第四の異常検出信号を発生し、
前記第四の加減算集計手段に於ける前記異常側限界値と前記正常側限界値との差分値は異常判定閾値Nkとなり、
前記第四の異常発生確定手段による実際の連続異常検出時間は、通信周期Tcで順次発
生する前記上り通信情報の通信誤り率が所定値以上である状態が持続したときに、前記第四の現在値メモリの値が前記第四の加減算集計手段に於ける前記正常側限界値にあった状態から前記第四の加減算集計手段に於ける前記異常側限界値に達するまでの時間であって、
前記実際の連続異常検出時間は、前記異常判定閾値Nkと前記第一及び第二の変分値Δ
1、Δ2と前記所定の通信誤り率とに関連して算出される交信回数と前記通信周期Tcと
の積に相当し、当該実際の連続異常検出時間は前記設定された連続異常検出時間Te以下
の値となるように、前記設定された連続異常検出時間Teに関連して前記異常判定閾値Nkが算出され、
前記第一及び第二の設定定数集団は、出荷調整時に外部ツールから前記不揮発プログラムメモリに格納された前記選択情報を、前記シリアル通信回路を介して前記監視制御回路部の補助RAMメモリ又は不揮発データメモリに送信した選択情報であるか、若しくは前記車載電子制御装置を構成する電子回路基板の印刷パターンによって構成されたパターンスイッチによる選択情報に基づいて選択設定され、
前記第三及び第四の設定定数集団は、出荷調整時に外部ツールから前記不揮発プログラムメモリに格納された前記選択情報であるか、若しくは前記車載電子制御装置を構成する電子回路基板の印刷パターンによって構成されたパターンスイッチによる選択情報に基づいて選択設定される
ように構成されているので、ノイズ誤動作による散発的な異常動作については妄りに異常検出信号を発生しないように安定制御される一方で、ハードウエア故障によって発生する連続的異常動作に対しては速やかに異常検出信号を発生して安全制御が行なわれる効果があると共に、異常検出時間は適用車種対応で定められた制御仕様に基づいて可変設定することができて、車載電子制御装置の標準化による価格低減を図ることができる効果がある。特に、多様な各種の設定定数によって構成される第一の設定定数集団のうち、異常判定閾値又は連続異常検出時間のいずれかに注目して判定数値の選択を行なうことによって、可変設定定数の項目を削減し、多数の設定定数の多くを固定制御定数として簡単に記憶保存することができる効果がある。又、回答情報に対する異常判定は通信異常が検出されないときに行なわれるので、回答異常と通信異常とは分離して処理することができる効果がある。
実施の形態1.
(1)実施の形態1による車載電子制御装置の構成
以下、この発明の実施の形態1に係る車載電子制御装置の構成について詳細に説明する。図1は、この発明の実施の形態1に係る監視制御回路を有する車載電子制御装置の全体構成図である。図1に於いて、車載電子制御装置10Aは、マイクロプロセッサ20を主体として構成された主制御回路部20Aと、論理回路部30aを主体として構成された監視制御回路部30Aを備えており、車載バッテリである外部電源13から電源スイッチ14を介して給電されて動作するように構成されている。
先ず、電子制御装置10Aの外部に接続される第一の入力センサ群11aは、例えばエンジン回転センサやクランク角センサなどのエンジン回転と同期してON/OFF動作する高速開閉信号や、アクセルペダルの踏込み度合を検出するアクセルポジションセンサ、吸気スロットルの弁開度を検出するスロットルポジションセンサ、エンジンに対する吸気量を検出するエアフローセンサ、排気ガスの酸素濃度を検出する排気ガスセンサなどのエンジンの駆動制御を行なうためのアナログセンサによって構成されている。
電子制御装置10Aによって駆動される第一の電気負荷群12aは、例えば燃料噴射用電磁弁、点火コイル(ガソリンエンジンの場合)、吸気弁開度制御用モータなど、エンジン回転と連動して動作したり、エンジンの駆動に直接関連する電気負荷によって構成されている。第二の入力センサ群11bは、例えば変速機用シフトレバーの選択スイッチ、アクセルペダルスイッチ、ブレーキペダルスイッチなどの操作スイッチ、或いはエンジンの冷却水温センサ、油圧センサ、気圧センサなどのアナログセンサによって構成されている。
第二の電気負荷群12bは、負荷給電用の電源リレー、エアコン駆動用の電磁クラッチ、警報・表示機器などのエンジンの駆動とは直接的に関係しない補機類の電気負荷によって構成されている。第二の電気負荷群12bの一部である負荷電源リレー15は、第一の電気負荷群12aの中の吸気弁開度制御用モータに対する電源リレーとなっていて、負荷電源リレー15が消勢されているときには吸気弁開度は所定のデフォルト位置に復帰して、車両の退避運転が行えるように構成されている。
外部ツール19は、製品出荷時又は保守点検時に前記電子制御装置10Aに対して図示しない脱着コネクタを介して接続され、シリアルインタフェース回路29を介してマイクロプロセッサ20と交信することによって後述の不揮発プログラムメモリ25Aに制御プログラムや制御定数を転送書込みするためのものである。
次に、電子制御装置10Aの内部の構成として、主制御回路部20Aは、32ビットのマイクロプロセッサ20を主体として構成され、このマイクロプロセッサ20は、例えばフラッシュメモリである不揮発プログラムメモリ25Aと演算処理用のRAMメモリ24と協働するように構成されている。更に、主制御回路部20Aは、第一の入力センサ群11aの中のアナログセンサに対する多チャンネルAD変換器26を包含している。
第一の入力インタフェース回路21は、第一の入力センサ群11aとマイクロプロセッサ20の入力ポート間に接続され、信号電圧レベルの変換や信号ノイズを抑制するためのローパスフィルタによって構成されている。第一の出力インタフェース回路22は、第一の電気負荷群12aとマイクロプロセッサ20の出力ポート間に接続され、各種電気負荷を駆動するためのパワートランジスタによって構成されている。尚、不揮発プログラムメモリ25Aには通信制御プログラムや入出力制御プログラムに加えて、図4、図6、図9により後述する制御プログラムや制御定数が格納されている。
監視制御回路部30Aは、例えばゲートアレーによって構成された論理回路部30aを主体として構成されており、この論理回路部30aは、演算処理用の補助RAMメモリ34と、不揮発EPROMメモリ又は図5で後述するパターンメモリ等により構成されたデータメモリ35Aと、第二の入力センサ群11bの中のアナログセンサに対する多チャンネルAD変換器36と協働するように構成されている。
第二の入力インタフェース回路31は、第二の入力センサ群11bと論理回路部30aの入力ポート間に接続され、信号電圧レベルの変換や信号ノイズを抑制するためのローパスフィルタにより構成されている。第二の出力インタフェース回路32は、第二の電気負荷群12bと論理回路部30aの出力ポートとの間に接続され、各種電気負荷を駆動するためのパワートランジスタによって構成されている。尚、論理回路部30aは、入出力信号や質問情報及び回答情報の通信制御に加えて、図7、図8により後述するフローチャートに対応した監視制御をハードウエアにより行なうものである。
電源回路33は、外部電源13から給電されて、DC5[V]、DC3.3[V]等の安定化電圧を生成し、主制御回路部20Aや監視制御回路部30A及び各入出力インタフェース回路に給電するように構成されている。
一対のシリアル通信回路によって構成されたシリアル通信回路27、37は、全二重ブロック通信回路を構成し、主制御回路部20Aから監視制御回路部30Aに対する下り通信情報DNDと、監視制御回路部30Aから主制御回路部20Aに対する上り通信情報UPDとを同時に送受信することができるように構成されている。主制御回路部20Aが発生する通信許可信号ALTと、監視制御回路部30Aが発生する通信同期信号CLKについては図2により後述する。
上り通信情報UPDは、主制御回路部20AのRAMメモリ24に格納される通信情報データであり、図4の(B)により一覧表示したとおり、Q&A用の質問データ(以下、質問情報と称する)、第二の入力センサ群11bから得られた入力データ(以下、入力信号情報と称する)、後述の設定済データ(以下、設定済情報と称する)、後述の第一の現在値メモリの現在値情報である現在値データ(以下、監視集計情報と称する)、第一のフラグ(以下、第一のフラグ情報と称する)、及び符号点検データ(以下、符号点検情報と称する)がある。
下り通信情報DNDは、監視制御回路部30Aの補助RAMメモリ34に格納される通信情報データであり、図4の(E)により一覧表示されたとおり、Q&A用の回答データ(以下、回答情報と称する)、監視制御回路部30Aで必要とされる制御定数などの設定データ(以下、設定情報と称する)、第二の電気負荷群12bに対する出力データ(以下、出力信号情報と称する)、後述の第二のフラグ(以下、第二のフラグ情報と称する)、及び符号点検データ(以下、符号点検情報と称する)がある。
尚、主回路制御部20AのRAMメモリ24に格納された上り通信情報UPDの中の設定済情報は、下り通信情報DNDとして補助RAMメモリ34に格納された設定情報と出力信号情報と同一の情報であり、この設定済情報によって、監視制御回路部30Aからの設定情報と出力信号情報が正しく送信されているかどうかを、主制御回路部20A側で確認することができるように構成されている。
又、監視制御回路30Aのデータメモリ35Aには、質問情報に対応した正解情報が製品出荷段階で予め格納されていて、論理回路部30aはランダムに質問情報を主制御回路部20Aに送信し、マイクロプロセッサ20から返信された回答情報と、予め格納されている正解情報とを比較することによって、主回路制御部20Aのマイクロプロセッサ20の動作状態を監視する。又、主制御回路部20Aのマイクロプロセッサ20は、意図的な誤答を監視制御回路部30Aへ回答してみて、監視制御回路部30Aが適正な監視制御を行なっているかどうかを逆監視するように構成されている。
前述の動作の結果、監視制御回路部30Aが主制御回路部20Aの異常を検出すると、リセット出力信号RST2によって主制御回路部20Aを初期化して再起動し、主制御回路部20Aが監視制御回路部30Aの異常を検出すると、リセット出力信号RST1によって監視制御回路部30Aを初期化して再起動するように構成されている。
印刷パターン42は、車載電子制御装置10Aを構成する図示しない印刷配線基板面に設けられ、複数の電極端子をジャンパ素子によって電源線又はグランド線に半田接続することによって後述の選択情報を生成し、この選択情報をパターンスイッチ情報としてデータセレクタを介して論理回路部30aに入力するように構成されている。
ウォッチドッグタイマ40は、主制御回路部20Aのマイクロプロセッサ20が発生するパルス列信号であるウォッチドッグ信号WDを監視して、そのパルス幅が所定値以上の値になるとリセット出力信号RST0を発生して、マイクロプロセッサ20と監視制御回路部30Aを初期化して再起動するように構成されている。尚、マイクロプロセッサ20は、例えばアクセルポジションセンサ、スロットルポジションセンサ、吸気弁開度制御用モータの断線及び短絡異常を検出して故障検出出力信号ERを発生するように構成されている。
出力禁止カウンタ41aは、パルス信号により構成されたリセット出力信号RST0の発生回数を計数し、出力禁止カウンタ41bは、パルス信号により構成されたリセット出力信号RST1の発生回数を計数し、出力禁止カウンタ41cは、パルス信号により構成されたリセット出力信号RST2の発生回数を計数し、出力禁止カウンタ41dは、パルス信号により構成された故障検出出力信号ERの発生回数を計数し、各計数信号の動作回数がそれぞれに定められた所定の禁止閾値に達すると禁止出力信号INHを発生するように構成されている。ゲート素子38は、監視制御回路部30Aが発生する負荷電源リレー駆動出力信号DRと負荷電源リレー15との間に接続され、出力禁止カウンタ41a〜41dのいずれかが禁止出力信号INHを発生しているときには、負荷電源リレー15の付勢が行えないように構成されている。電源検出回路39は、電源スイッチ14が投入されたときに、立上り検出パルス信号を発生して出力禁止カウンタ41a〜41dの現在値をゼロに初期化するように構成されている。
次に、図1に示すこの発明の実施の形態1に係る車載電子制御装置に於けるシリアル通信について説明する。図2は、そのシリアル通信を説明するタイムチャートである。図2の(A)に示す通信許可信号ALTは、独立した制御信号線によって主制御回路部20Aから監視制御回路部30Aに対して定期送信され、主制御回路部20Aが全二重ブロック通信の開始を許可するための信号である。この実施の形態1に於ける通信許可信号ALTは、通信許可時点で論理レベルが変化する交番信号となっている。
従って、通信許可信号ALTの論理レベルが変化する都度、新たな通信ブロックの送信開始が許可される。通信許可信号ALTのパルス幅Tcは、通信許可周期(通信周期)に相当することになるが、一定論理レベルが維持されているときには所定ビット数の通信が完了すると今回の通信は完了し、所定ビット数の通信が完了する前に論理レベルが反転すると通信データの中断処理が行なわれるように構成されている。
図2の(B)に示す通信同期信号CLKは、独立した制御信号線によって監視制御回路部30Aから主制御回路部20Aに対して送信され、少なくとも通信情報のビット数に応じた数のパルスを発生するように構成されている。この通信同期信号CLKは、監視制御回路部30Aが通信許可信号ALTを受信してから所定の待機時間τの経過後に発生を開始して、シリアル通信信号が歩進移動するするパルス列信号である。
この通信同期信号CLKは、送受信ビット数に対応した所定量のパルス数を発生してからパルス発生を停止するか、又は所定量のパルスの発生を完了してもなおパルス発生を持続して、次回の通信許可信号ALTの発生に伴ってパルス発生を一旦停止して前記待機時間τを置いて再びパルス発生を開始するものであって、所定量のパルス発生が完了するまでに次回の通信許可信号ALTが早期に発生した場合には残りのパルスの発生を省略し、前記待機時間τを置いて再びパルス発生を開始するように構成されている。
図2の(C)に示す上り通信情報UPDは、監視制御回路部30Aに対する入力信号情報、或いは主制御回路部20Aから得られた設定定数又は制御出力の記憶情報である報告情報と、今回の質問情報と符号点検情報とを包含していて、データ長としては例えば500ビットとなっている。
図2の(D)に示す下り通信情報DNDは、主制御回路部20Aから監視制御回路部30Aに送信されて、監視制御回路部30Aに於いて必要とされる設定定数或いは制御出力である指令情報と、前回の上り通信情報UPDで得られた質問情報に対する回答情報と符号点検情報とを包含していて、データ長としては例えば100ビットとなっている。
従って、全データの送受信を行なうためには、通信同期信号CLKは少なくとも500個のパルスを発生する必要がある。尚、通信許可信号ALTの通信許可周期Tcは例えば5[msec]であるのに対して、500ビットのデータを送受信するのに必要な時間は例えば0.5[msec]となっている。又、待機時間τは数100[μsec]の時間であり、この待機時間τの間に多チャンネルAD変換器36に対するAD変換指令が発生し、全チャンネルのAD変換が完了しているように構成されている。
次に、図1に示すこの発明の実施の形態1に係る車載電子制御装置に於ける、質問、回答情報について説明する。図3は、質問、回答情報の変遷を説明する説明図である。図3に於いて、上り通信情報UPDに含まれる質問情報Qn-1、Qn、Q1、・・・は、通信許可信号ALTが複数回の通信許可を行なう延長周期(質問更新周期)Tq(例えば40[msec])の間に於いて同一質問情報が送信されるように構成されている。
質問情報がQn-1からQn、QnからQ1などに変化したときには、2ビット構成の第一のフラグfが0→1→2→3→0に変化する。下り通信情報DNDに含まれる回答情報An-2、An-1、An、・・・・は、質問情報が変化してから例えば通信許可周期Tcの2回目で同一番号の回答が得られるように図示されているが、実際には数回分の遅れを置いてから質問情報Qnに適合した回答情報Anが送信されるように構成されている。回答情報がAn-2からAn-1、An-1からAnなどに変化したときには、2ビット構成の第二のフラグFが0→1→2→3→0に変化するように構成されている。
次に、図1に示すこの発明の実施の形態1に係る車載電子制御装置の各種メモリと論理ブロックの内容について説明する。図4は、各種メモリと論理ブロックの内容を示す一覧表である。
図4の(A)は、不揮発プログラムメモリ25Aに格納されている制御プログラムと制御定数を一覧にした表であり、その詳細は図6、図9に示すフローチャートにより後述する。図4の(B)は、RAMメモリ24に格納される上り通信情報の一覧表であると共に、後述の第三、第四の加減算集計手段に於ける第三、第四の現在値メモリを包含している。図4の(C)は、ハードウエアによって構成されている論理回路部30aの論理ブロックを表にしたものであり、その詳細機能は図7、図8に示す動作説明用の等価フローチャートにより後述する。
図4の(D)は、監視制御回路部30Aに設けられたデータメモリ35Aの内容を示した表である。図4の(E)は、補助RAMメモリ34に格納される下り通信情報の表であると共に、後述の第一、第二の加減算集計手段に於ける第一、第二の現在値メモリを包含している。図4の(F)は、質問情報Qn(n=0、1、2、・・・F)に対応した正解情報Rnを示す表であり、質問情報Qnは16個以下の入力テーブル番号n=1〜Fが指定され、各入力テーブルは図4の(A)で示した不揮発プログラムメモリ25Aに格納されている。各正解情報Rnは例えば16ビット以下の数値データであり、この正解情報は図4の(D)で示したデータメモリ35Aに格納されている。
図4の(G)は、図4の(D)で示したデータメモリ35Aに格納される第一の設定定数集団TBL1の項目を示した表であり、この第一の設定定数集団TBL1の内容は、後述する連続異常検出時間Te又は異常判定閾値Njが複数種類の可変定数として扱われているのに対し、第一、第四、第五の変分値Δ1、Δ4、Δ5と質問更新周期Tqの代表値とが固定定数として扱われ、初期設定値Nsjは、例えば[Nj−Δ4]として算出される可変定数として扱われている。
尚、複数種類の値を選択使用することができる連続異常検出時間Te又は異常判定閾値Njは、どちらか一方を指定すれば、他方は所定算式によって算出されるものであり、例えば連続異常検出時間Teを基準にして第一の設定定数集団TBL1が編成され、印刷パターン42によって生成された選択情報によって連続異常検出時間Teの実際の値が選択されるように構成されている。
図4の(H)は、図4の(D)で示したデータメモリ35Aに格納される第二の設定定数集団TBL2の項目を示した表であり、この第二の設定定数集団TBL2の内容は後述する連続異常検出時間Te又は異常判定閾値Nkが複数種類の可変定数として扱われているのに対し、第一、第二の変分値Δ1、Δ2と通信周期Tcの代表値と、初期設定値N0が固定定数として扱われている。
尚、複数種類の値を選択使用することができる連続異常検出時間Te又は異常判定閾値Nkはどちらか一方を指定すれば、他方は所定算式によって算出されるものであり、例えば連続異常検出時間Teを基準にして第二の設定定数集団TBL2が編成され、印刷パターン42によって生成された選択情報によって連続異常検出時間Teの実際の値が選択されるように構成されている。又、設定初期値N0は実態としてはゼロの値となっている。
図4の(J)は、図4の(A)で示した不揮発プログラムメモリ25Aに格納される第三の設定定数集団TBL3の項目を示した表であり、この第三の設定定数集団TBL3の内容は、後述する連続異常検出時間Te又は異常判定閾値Niが複数種類の可変定数として扱われているのに対し、第一、第三の変分値Δ1、Δ3と質問更新周期Tqの代表値とが固定数値として扱われ、初期設定値Nsiは例えば[Ni−Δ3]として算出される可変定数として扱われている。
尚、複数種類の値を選択使用することができる連続異常検出時間Te又は異常判定閾値Niはどちらか一方を指定すれば、他方は所定算式によって算出されるものであり、例えば連続異常検出時間Teを基準にして第三の設定定数集団TBL3が編成され、不揮発プログラムメモリ25Aに格納された判定数値選択情報によって連続異常検出時間Teの実際の値が選択されるように構成されている。
図4の(K)は、図4の(A)で示した不揮発プログラムメモリ25Aに格納される第四の設定定数集団TBL4の項目を示した表であり、この第四の設定定数集団TBL4の内容は、後述する連続異常検出時間Te又は異常判定閾値Nkが複数種類の可変定数として扱われているのに対し、第一、第二の変分値Δ1、Δ2と通信周期Tcの代表値と、初期設定値N0が固定定数として扱われている。
尚、複数種類の値を選択使用することができる連続異常検出時間Te又は異常判定閾値Nkはどちらか一方を指定すれば、他方は所定算式によって算出されるものであり、例えば連続異常検出時間Teを基準にして第四の設定定数集団TBL4が編成され、不揮発プログラムメモリ25Aに格納された判定数値選択情報によって連続異常検出時間Teの実際の値が選択されるように構成されている。又、設定初期値N0は実態としてはゼロの値となっている。
以上の説明では、データメモリ35Aは不揮発性のEEPROMメモリとして説明したが、実態としては集積回路素子内の配線パターンに基づく固定メモリが使用されている。
次に、図1に示すこの発明の実施の形態1に係る車載電子制御装置のパターンメモリについて説明する。図5は、そのパターンメモリの概念図である。図5に於いて、論理回路部30aは、データセレクタを介して選択線CS0〜CSmのどれか一つの論理レベルを「H」にする。論理回路部30aの信号入力線b0〜b15の中の一部の信号入力線は、選択線CS0〜CSmのどれかに対してダイオード結合されていて、論理レベルが「H」となった選択線CS0〜CSmのどれか一つから「H」レベルの論理信号が入力される。選択線CS0〜CSmは、正解情報R0〜RF、第一、第二、第四、第五の変分値Δ1、Δ2、Δ4、Δ5、設定初期値Nsj、N0、質問更新周期Tq、通信周期Tc、各種の連続異常検出時間Te1〜Te4に割り付けられている。
従って、論理回路部30aは、選択線CS0〜CSmを順次選択して、各設定定数の値を補助RAMメモリ34に取り込むことができる。選択線CS0〜CSmと信号入力線b0〜b15の交差位置に選択接続されたダイオードの集団によって、固定メモリとなるデータメモリ35Aが構成される。
尚、連続異常検出時間Te1〜Te4のどれを選択するのかは、印刷パターン42による選択情報によって決定される。又、設定初期値Nsjは削除してもよいし、逆に異常判定閾値Njを追加して於いてもよい。
(2)実施の形態1による車載電子制御装置の動作
次に、この発明の実施の形態1に係る車載電子制御装置の動作について詳細に説明する。図1に於いて、電源スイッチ14を介して電子制御装置10Aに対して外部電源13が接続されると、マイクロプロセッサ20は、第一、第二の入力センサ群11a、11bの動作状態と不揮発プログラムメモリ25A内の制御プログラムの内容に応動して第一、第二の電気負荷群12a、12bの駆動制御を行なう。
車両の運転中にウォッチドッグタイマ40が主制御回路部20Aのウォッチドッグ信号の異常を検出すると、ウォッチドッグタイマ40はリセット出力信号RST0を発生して主制御回路部20Aと監視制御回路部30Aとを初期化し、再起動させる。又、車両の運転中に監視制御回路部30Aが主制御回路部20Aの異常を検出すると、監視制御回路部30Aはリセット出力信号RST2を発生して主制御回路部20Aを初期化し、再起動させる。
車両の運転中に主制御回路部20Aが監視制御回路部30Aの異常を検出すると、主制御回路部20Aはリセット出力信号RST1を発生して監視制御回路部30Aを初期化し、再起動させる。リセット出力信号RST0、RST1、RST2の発生回数や主制御回路部20Aが発生する故障検出出力信号ERの発生回数は、出力禁止カウンタ41a〜41dで計数され、計数値が所定閾値以上になると出力禁止信号INHを発生して負荷電源リレー15が消勢され、固定スロットル弁開度による退避運転が行われるように構成されている。
次に、図1に示す主制御回路部20Aの送信動作を説明する。図6は、主制御回路部20Aの送信動作を説明するフローチャートである。図6に於いて、ステップ600は、マイクロプロセッサ20が監視制御回路部30Aに対する送信動作を開始するステップである。続くステップ601aでは、後述のステップ919a、919b(図9参照)に於いて第三、第四の異常検出信号ER3、ER4が発生したかどうかを判定し、検出信号が発生しておればYESとなってステップ601bへ移行し、第三、第四の異常検出信号ER3、ER4が発生していなければNOとなってステップ602aへ移行する。
ステップ601bでは、リセット出力信号RST1を発生して監視制御回路部30Aを初期化して再起動し、続くステップ601cでは、後述の第三、第四の加減算集計手段917d、914d(図9参照)による逆監視異常集計結果をリセットすることによって、第三、第四の異常検出信号ER3、ER4とリセット出力信号RST1を停止してからステップ602aへ移行する。
第三、第四の判定数値選択手段となるステップ602aでは、不揮発プログラムメモリ25Aに格納されている第三、第四の判定数値選択情報を読み出し、続くステップ602bでは、ステップ602aで読み出された第三、第四の判定数値選択情報に基づいて第三、第四の設定定数集団TBL3、TBL4の値を決定する。続くステップ603aでは、意図的な誤答送信のタイミングであるかどうかを判定し、誤答送信を行なうときにはYESとなってステップ603bへ移行し、誤答送信を行なわないときにはNOとなってステップ603cへ移行する。
尚、ステップ603aは、複数回の更新質問情報当たりで1回のYESの判定を行なうが、後述のステップ717e(図7参照)による監視異常集計結果が第一の異常検出信号ER1を発生する直前状態にあるときには、NOとなって、誤答送信によりリセットパルスRST2の発生が生じないように構成されている。又、後述のステップ917a(図9参照)が誤答処理異常を検出したときには、引き続いてYESとなって意図的な誤答送信を行なうように構成されている。
誤答情報生成手段となるステップ603bでは、今回の回答情報として意図的な誤答を選択決定し、回答情報生成手段となるステップ603cでは、既に受信している質問情報に対する回答情報の生成を継続する。ステップ604では、ステップ603b、603cに続いて実行され、ステップ603cによる回答生成が完了しているかどうか、或いはステップ603bによる誤答選択が決定されているかどうかを判定して、回答生成、誤答選択が完了しておればYESとなってステップ605aへ移行し、回答生成、誤答選択が未完了であればNOとなってステップ605bへ移行する。
更新回答生成手段となるステップ605aでは、今回の回答情報を決定すると共に、第二のフラグ情報Fの内容を更新する。ステップ605bでは、今回の回答情報として前回の回答情報をそのまま援用し、第二のフラグ情報Fは更新しないように決定する。
ステップ610aは、ステップ605a又はステップ605bに続いて実行され、通信許可信号である交番信号ALTの論理反転を行なう時期であるかどうかを判定し、反転時期であればYESとなってステップ610bへ移行し、反転時期でなければNOとなってステップ610aへ復帰する待機ステップとなっている。尚、ステップ610aは、例えば約5[msec]の周期で反転動作を行うが、マイクロプロセッサ20が入出力制御のための割込み制御動作を行うことによって、その周期は例えば3〜5[msec]の間で変動するように構成されている。
ステップ610bでは、通信許可信号ALTの論理レベルを反転させてからステップ611aへ移行する。ステップ611aでは、監視制御回路部30Aが発生する通信同期信号CLKを受信したかどうかを判定し、未受信であればNOとなってステップ611bへ移行し、受信すればYESとなってステップ612へ移行する。ステップ611bでは、監視制御回路部30Aへ送信する設定データや出力信号データを編集し、図2の待機時間τ以内にステップ611aへ復帰するように構成されている。
ステップ612では、例えば8ビット単位で下り通信情報DNDの送信データをRAMメモリ24からシリアル通信回路であるシリアル通信回路27へ順次転送する。続くステップ613では、図示しないクロックカウンタによって通信同期信号CLKの発生回数を計数して所定ビット数の送信が完了したかどうかを判定し、送信が未完了であればNOとなってステップ612へ復帰し、送信が完了していればYESとなって動作終了ステップ620へ移行する。
尚、ステップ612では、送信された全データに関して、CRCチェック又はサムチェックで代表される符合点検手段を用いて受信側に於いてビット情報の混入(論理「0」が誤って論理「1」に変化)又は欠落(論理「1」が誤って論理「0」に変化)の発生を検出するための符合点検情報が、最終情報として送信データに付加される。動作終了ステップ620では、他の制御動作を実行し、所定時間内には再度動作開始ステップ600へ循環移行するように構成されている。
次に、図1に示す監視制御回路部30Aの受信動作について説明する。図7は、監視制御回路部30Aの受信動作について説明するフロ−チャ−トである。図7に於いて、ステップ700は、監視制御回路部30Aの論理回路部30aの受信論理動作をフローチャートで代替表現した場合の動作開始ステップである。続くステップ701aでは、後述のステップ719a、719bに於いて第一、第二の異常検出信号ER1、ER2が発生したかどうかを判定し、検出信号が発生しておればYESとなってステップ701bへ移行し、第一、第二の異常検出信号ER1、ER2が発生していなければNOとなってステップ710へ移行する。
ステップ701bでは、リセット出力信号RST2を発生してマイクロプロセッサ20を初期化して再起動し、続くステップ701cでは、後述の第一、第二の加減算集計手段717e、714dによる監視異常集計結果をリセットすることによって第一、第二の異常検出信号ER1、ER2とリセット出力信号RST2を停止してからステップ710へ移行するように構成されている。
ステップ710は、主制御回路部20Aから送信された交番信号である通信許可信号ALTが論理反転したかどうかを判定し、論理反転すればYESとなってステップ711へ移行し、論理反転していなければNOとなってステップ710へ復帰する待機ステップである。ステップ711は、後述のステップ811c(図8参照)による通信同期信号CLKが発生開始したかどうかを判定し、発生開始すればYESとなってステップ712へ移行し、発生開始していなければNOとなってステップ711へ復帰する待機ステップとなっている。
ステップ712では、例えば8ビット単位で下り通信情報DNDの受信データをシリアル通信回路37からRAMメモリ34へ順次転送して仮格納する。続くステップ713では、図示しないクロックカウンタによって通信同期信号CLKの発生回数を計数して所定ビット数の受信が完了したかどうかを判定し、受信未完了であればNOとなってステップ712へ復帰移行し、受信完了であればYESとなってステップ714aへ移行する。
下り通信情報DNDの符号誤り検出手段となるステップ714aでは、前述のステップ612によって付加された符号点検情報を用いて、受信した下り通信情報DNDの中にビット情報の混入、欠落の異常が発生していないかどうかをサムチェック又はCRCチェックによって点検し、異常であればYESとなってステップ714cへ移行し、異常が発見できなければNOとなってステップ714bへ移行する。
ステップ714bでは、第二の現在値メモリから第一の変分値Δ1(例えば1)を減算し、第二の現在値メモリの値が正常側限界値であるゼロにまで下降しておればそれ以降の減算処理を停止する。ステップ714cでは、第二の現在値メモリに対して第二の変分値Δ2(例えば2)を加算し、第二の現在値メモリの値が異常側限界値である17まで上昇していればそれ以降の加減算処理を停止する。ステップ714bとステップ714cで構成されたステップブロック714dは、第二の加減算集計手段となるものであり、第二の加減算集計手段714dの第二の現在値メモリは、下り通信情報の異常監視集計値を示すものとなっている。
ステップ714bに続くステップ715aでは、ステップ712で仮格納された受信データを有効データとして格納し、設定情報、出力信号情報として転送してからステップ716へ移行する。ステップ714cに続くステップ715bでは、ステップ712で仮格納された受信データを無効データとして消去し、前回に受信した設定情報、出力信号情報を保持したままでステップ718bへ移行する。応答遅延判定手段となるステップ716では、後述のステップ805a(図8参照)に於いて質問情報が更新生成されてから、所定時間以内に当該質問情報に対応した回答情報がステップ715aで受信格納されたかどうか、つまり回答情報が遅延して受信格納されたかどうかを判定し、回答情報が遅延して受信格納されていればYESとなってステップ717dへ移行し、回答情報が遅延して受信格納されていなければNOとなってステップ717aへ移行する。
回答情報の異常判定手段となるステップ717aでは、ステップ715aに格納された回答情報Anが、予めデータメモリ35Aに格納されている正解情報Rnと合致しているかどうかを判定し、不一致であればYESとなってステップ717cへ移行し、一致しておればNOとなってステップ717bへ移行する。ステップ717bでは、第一の現在値メモリから第一の変分値Δ1(例えば1)を減算し、第一の現在値メモリの値が正常側限界値であるゼロにまで下降していればそれ以降の減算処理を停止する。
ステップ717cでは、第一の現在値メモリに対して第四の変分値Δ4(例えば4)を加算し、第一の現在値メモリの値が異常側限界値である16まで上昇していればそれ以降の加減算処理を停止する。ステップ717dでは、第一の現在値メモリに対して第五の変分値Δ5(例えば5)を加算し、第一の現在値メモリの値が異常側限界値である16まで上昇していればそれ以降の加減算処理を停止する。
ステップ717b、717c、717dにより構成されたステップブロック717eは、第一の加減算集計手段となるものであり、第一の加減算集計手段717eの第一の現在値メモリは、回答情報の異常監視集計値を示すものとなっている。ステップ717c又はステップ717dに続くステップ718aは、第一の現在値メモリの値が判定閾値Nj(=16)に達したかどうかを判定し、判定閾値Nj以上であればYESとなってステップ719aへ移行し、判定閾値Nj未満であればNOとなって動作終了ステップ720へ移行する。ステップ718aは、第一の異常発生確定手段となるものである。
ステップ715bに続くステップ718bでは、第二の現在値メモリの値が[判定閾値Nk=17]に達したかどうかを判定し、判定閾値Nk以上であればYESとなってステップ719bへ移行し、判定閾値Nk未満であればNOとなって動作終了ステップ720へ移行する。ステップ718bは、第二の異常発生確定手段となるものである。第一の初期化手段となるステップ719aでは、第一の異常検出信号ER1が発生し、第二の初期化手段となるステップ719bでは、第二の異常検出信号ER2が発生し、ステップ717b、719a、719bに続いて動作終了ステップ720へ移行する。動作終了ステップ720では、他の制御動作を実行し、所定時間内には再度動作開始ステップ700へ循環移行するように構成されている。
尚、ステップ719aによって第一の異常検出信号ER1が発生したときは、ステップ701b、801bにてリセット出力信号RST2が発生してマイクロプロセッサ20が初期化されて再起動されると共に、出力禁止カウンタ41cが加算動作を行い、ステップ701c、801cに於いて第一の現在値メモリが初期化されて設定初期値Nsj(=12)が格納され、第一の異常検出信号ER1とリセット出力信号RST2が解除されるように構成されている。
又、ステップ719bによって第二の異常検出信号ER2が発生したときは、ステップ701b、801bでリセット出力信号RST2が発生してマイクロプロセッサ20が初期化されて再起動されると共に、出力禁止カウンタ41cが加算動作を行い、ステップ701c、801cに於いて第一の現在値メモリと第二の現在値メモリとが初期化されて、設定初期値Nsj(=12)、N0(=0)が格納され、第一の異常検出信号ER2とリセット出力信号RST2が解除されるように構成されている。
次に、図1に示す監視制御回路部30Aの送信動作について説明する。図8は、監視制御回路部30Aの送信動作について説明するフロ−チャ−トである。図8に於いて、ステップ800は、監視制御回路部30Aの論理回路部30aの送信論理動作をフローチャートで代替表現した場合の動作開始ステップである。続くステップ801aでは、前述のステップ719a、719bに於いて第一、第二の異常検出信号ER1、ER2が発生したかどうかを判定し、第一、第二の異常検出信号ER1、ER2が発生していればYESとなってステップ801bへ移行し、第一、第二の異常検出信号ER1、ER2が発生していなければNOとなってステップ802aへ移行する。
ステップ801bでは、リセット出力信号RST2を発生してマイクロプロセッサ20を初期化して再起動し、続くステップ801cでは、前述の第一、第二の加減算集計手段717e、714dによる監視異常集計結果をリセットすることによって第一、第二の異常検出信号ER1、ER2とリセット出力信号RST2を停止してからステップ802aへ移行するようになっている。第一、第二の判定数値選択手段となるステップ802aでは、印刷パターン42で生成された第一、第二の判定数値選択情報を読み出す。続くステップ802bでは、ステップ802aで読み出された第一、第二の判定数値選択情報に基づいて第一、第二の設定定数集団TBL1、TBL2の値を決定する。
ステップ803では、前述のステップ712による前回の受信が完了しているかどうかを判定し、受信が完了していなければNOとなってステップ803へ移行し、受信が完了していればYESとなってステップ804へ移行する。質問情報更新手段となるステップ804では、質問情報の内容を更新する時期であるかどうかを判定し、更新時期であればYESとなってステップ805aへ移行し、更新時期でなければNOとなってステップ805bへ移行する。当該ステップ804は、例えば質問更新周期Tqとして約40[msec]毎に1回のYESの判定を行なうように構成されている。
質問情報生成手段となるステップ805aでは、今回の送信情報として前述のステップ715aで確定格納された設定情報や出力信号情報などの記憶情報と、今回の更新された質問情報Qnと、前述の第一の加減算集計手段717eによって集計された監視異常集計値(第一の現在値メモリの現在値)と、前回とは異なる値に変更された第一のフラグ情報の内容を定められた送信順序に編集する。
ステップ805bでは、今回の送信情報として前述のステップ715aで確定格納された設定情報や出力信号情報などの記憶情報と、前回の質問情報Qn-1と、第一の現在値メモリの現在値と、前回と同じ第一のフラグ情報の内容を定められた送信順序に編集する。
ステップ805a又はステップ805bに続いて実行されるステップ810では、通信許可信号ALT
が論理反転したかどうかを判定し、論理反転していないときにはNOとなってステップ810へ復帰して送信待機し、論理反転した場合にはYESとなってステップ811aへ移行する。ステップ811aでは、通信同期信号CLKの発生時期であるかどうかを判定し、ステップ810で通信許可信号ALTの論理が反転してから所定の待機時間τを経過していなければNOとなってステップ811bへ移行し、待機時間τを経過していればYESとなってステップ811cへ移行する。
ステップ811bでは、多チャンネルAD変換器36に対してAD変換指令を発生し、得られた最新のAD変換情報を主制御回路部20Aへ送信する入力データとして編集開始し、図2の待機時間τ以内にステップ811aへ復帰する。尚、多チャンネルAD変換器36からAD変換完了信号を受信したこと、又は全チャンネルのAD変換所要時間を経過したこと、又はAD変換された入力信号を送信開始するまでにはAD変換が完了している頃合の遅延時間を於いて待機時間τが完了して、ステップ811cへ移行して監視制御回路部30Aが通信同期信号CLKの発生を開始する。
ステップ811cでは、通信同期信号CLKの発生を開始し、続くステップ812では、上り通信情報UPDの送信データを補助RAMメモリ34からシリアル通信回路37へ順次転送する。続くステップ813では、図示しないクロックカウンタによって通信同期信号CLKの発生回数を計数して所定ビット数の送信が完了したかどうかを判定し、送信未完了であればNOとなってステップ811cへ復帰移行し、送信完了であればYESとなって動作終了ステップ820へ移行する。
尚、ステップ812では、送信された全データに関して、CRCチェック又はサムチェックで代表される符合点検手段を用いて、受信側に於いてビット情報の混入(論理「0」が誤って論理「1」に変化)又は欠落(論理「1」が誤って論理「0」に変化)の発生を検出するための符合点検情報が最終情報として付加される。動作終了ステップ820では、他の制御動作を実行し、所定時間内には再度動作開始ステップ800へ循環移行するように構成されている。
次に、図1に示す主制御回路部20Aの受信動作について説明する。図9は、主制御回路部20Aの受信動作を説明するためのフロ−チャ−トである。図9に於いて、ステップ900は、マイクロプロセッサ20が監視制御回路部30Aからの受信動作を開始するステップである。続くステップ901aでは、後述のステップ919a、919bに於いて第三、第四の異常検出信号ER3、ER4が発生したかどうかを判定し、第三、第四の異常検出信号ER3、ER4が発生していればYESとなってステップ901bへ移行し、第三、第四の異常検出信号ER3、ER4が発生していなければNOとなってステップ910へ移行する。
ステップ901bでは、リセット出力信号RST1を発生して監視制御回路部30Aを初期化して再起動し、続くステップ901cでは、後述の第三、第四の加減算集計手段917d、914dによる逆監視異常集計結果をリセットすることによって、第三、第四の異常検出信号ER3、ER4とリセット出力信号RST1を停止してからステップ910へ移行する。ステップ910は待機ステップであって、前述のステップ610bによって交番信号ALTが論理反転したかどうかを判定し、論理反転すればYESとなってステップ911へ移行し、論理反転していなければNOとなってステップ910へ復帰する。
ステップ911は、前述のステップ811cによる通信同期信号CLKが発生を開始したかどうかを判定し、発生を開始すればYESとなってステップ912へ移行し、発生が開始していなければNOとなってステップ911へ復帰する待機ステップとなっている。ステップ912では、例えば8ビット単位で上り通信情報UPDの受信データをシリアル通信回路27からRAMメモリ24へ順次転送仮格納する。続くステップ913では、図示しないクロックカウンタによって通信同期信号CLKの発生回数を計数して所定ビット数の受信が完了したかどうかを判定し、受信が未完了であればNOとなってステップ912移行し、受信が完了していればYESとなってステップ914aへ移行する。
符号誤り検出手段となるステップ914aでは、前述のステップ812によって付加された符号点検情報を用いて、受信した上り通信情報UPDの中にビット情報の混入、欠落異常が発生していないかどうかをサムチェック又はCRCチェックによって点検し、異常であればYESとなってステップ914cへ移行し、異常が発見できなければNOとなってステップ914bへ移行する。ステップ914bでは、第四の現在値メモリから第一の変分値Δ1(例えば「1」)を減算し、第四の現在値メモリの値が正常側限界値であるゼロにまで下降していればそれ以降の減算処理を停止する。
ステップ914cでは、第四の現在値メモリに対して第二の変分値Δ2(例えば「2「)を加算し、第四の現在値メモリの値が異常側限界値である17まで上昇していればそれ以降の加減算処理を停止する。ステップ914bとステップ914cで構成されたステップブロック914dは第四の加減算集計手段となるものであり、第四の加減算集計手段914dの第四の現在値メモリは上り通信情報の異常監視集計値を示すものとなっている。
ステップ914bに続くステップ915aでは、ステップ912で仮格納された受信データを有効データとして確定格納してから、ステップ917aへ移行する。ステップ914cに続くステップ915bでは、ステップ912で仮格納された受信データを無効データとして消去し、前回に受信した入力情報を保持したままでステップ918bへ移行する。現在値情報監視手段となるステップ917aでは、ステップ915aに格納された第一の現在値メモリの値がステップ603bに基づく意図的な誤答送信に対応して適切に変化したかどうかを判定し、正常変化であればNOとなってステップ917bへ移行し、異常変化であればYESとなってステップ917cへ移行する。
ステップ917bでは、第三の現在値メモリから第一の変分値Δ1(例えば「1」)を減算し、第三の現在値メモリの値が正常側限界値であるゼロにまで下降していればそれ以降の減算処理を停止する。ステップ917cでは、第三の現在値メモリに対して第三の変分値Δ3(例えば「5」)を加算し、第三の現在値メモリの値が異常側限界値である20まで上昇していればそれ以降の加減算処理を停止する。ステップ917b、917cで構成されたステップブロック917dは、第三の加減算集計手段となるものであり、第三の加減算集計手段917dの第三の現在値メモリは回答情報の逆監視集計値を示すものとなっている。
ステップ917cに続くステップ918aは、第三の現在値メモリの値が判定閾値Ni=20に達したかどうかを判定し、判定閾値Ni以上であればYESとなってステップ919aへ移行し、判定閾値Ni未満であればNOとなって動作終了ステップ920へ移行するステップであり第三の異常発生確定手段となるものである。ステップ915bに続くステップ918bでは、第四の現在値メモリの値が判定閾値Nk=17に達したかどうかを判定し、判定閾値Nk以上であればYESと判定っしてステップ919bへ移行し、判定閾値Nk未満であればNOとなって動作終了ステップ920へ移行する。ステップ918bは第四の異常発生確定手段となるものである。
第三の初期化手段となるステップ919aでは、第三の異常検出信号ER3が発生し、第四の初期化手段となるステップ919bでは、第四の異常検出信号ER4が発生し、ステップ917b、919a、919bに続いて動作終了ステップ920へ移行する。動作終了ステップ920では、他の制御動作を実行し、所定時間内には再度動作開始ステップ900へ循環移行するように構成されている。
尚、ステップ919aによって第三の異常検出信号ER3が発生したときは、ステップ601b、901bによりリセット出力信号RST1が発生して監視制御回路部30Aが初期化され再起動されると共に、出力禁止カウンタ41bが加算動作を行い、ステップ601c、901cに於いて第三の現在値メモリが初期化されて設定初期値Nsi(=15)が格納され、第三の異常検出信号ER3とリセット出力信号RST1が解除されるように構成されている。
又、ステップ919bによって第四の異常検出信号ER4が発生したときは、ステップ601b、901bによりリセット出力信号RST1が発生して監視制御回路部30Aが初期化され再起動されると共に、出力禁止カウンタ41bが加算動作を行い、ステップ601c、901cに於いて第三の現在値メモリと第四の現在値メモリとが初期化されて、設定初期値Nsi(=15)、N0(=0)が格納され、第四の異常検出信号ER4とリセット出力信号RST1が解除されるように構成されている。
次に、図7に示す第一の加減算集計手段717eの動作について説明する。図10は、第一の加減算集計手段717eの動作を説明する特性線図である。図10に於いて、縦軸は第一の加減算集計手段717eに於ける第一の現在値メモリの現在値を示し、横軸は質問更新周期Tq(=40[msec])を最小単位とする時間軸である。第一の現在値メモリの正常側限界値は「0」、異常側限界値は「16」に設定されており、その差分値である異常判定閾値Njは「16」となっている。
第一の現在値メモリの初期設定値Nsjは「12」に設定されており、回答情報と正解情報とが一致していれば第一の変分値Δ1(=1)が順次減算され、やがて正常側限界値「0」に達してこれを維持するように構成されている。回答情報と正解情報とが不一致であれば第四の変分値Δ4=4が順次加算され、この異常状態が連続すると、{(Nj/Δ4)×Tq=(16/4)×40=160[msec]}の後に第一の異常検出信号ER1を発生する。
前記160[msec]が連続異常検出時間Teに相当するものであるが、回答情報と正解情報が一致したり、不一致であったり混在していると、異常検出時間は160[msec]を越えた時間となる。又、回答情報の遅延異常が発生した場合には第五の変分値Δ5(=5)が加算されるので、第一の現在値メモリの現在値の上昇率は高くなる。
次に、図7及び図9に示す第二、第四の加減算集計手段714d、914dの動作について説明する。図11は、第二、第四の加減算集計手段714d、914dの動作を説明するための特性線図である。図11に於いて、縦軸は、第二の加減算集計手段714dに於ける第二の現在値メモリの現在値、又は第四の加減算集計手段914dに於ける第四の現在値メモリの現在値を示し、横軸は通信周期Tc=5[msec]を最小単位とする時間軸である。
第二、第四の現在値メモリの正常側限界値は「0」、異常側限界値は「17」に設定されており、その差分値である異常判定閾値Nkは「17」となっている。第二、第四の現在値メモリの初期設定値N0は「0」となっていて、通信異常があれば第二の変分値Δ2(=2)が加算され、正常通信であれば第一の変分値Δ1(=1)が減算される。
図11に示す実線特性は、通信異常と正常通信が交互に反復した場合、つまり通信誤り率50[%]の場合の現在値の変化特性を示しており、この通信誤り率50[%]に於ける連続異常検出時間Teは、目標時間である160[msec]以下の155[msec]になっており、この時間に達した時点で第二、第四の異常検出信号ER2、ER4が発生する。図11に示す点線特性は、通信異常が連続した場合、つまり通信誤率100[%]の場合の現在値の変化特性を示しており、この通信誤率100[%]に於ける連続異常検出時間Teは大幅に短縮されて45[msec]になっており、この時間に達した時点で第二、第四の異常検出信号ER2、ER4が発生する。
次に、図9に示す第三の加減算集計手段917dの動作について説明する。図12は、第三の加減算集計手段917dの動作を説明するための特性線図である。図12に於いて、縦軸は、第三の加減算集計手段917dに於ける第三の現在値メモリの現在値を示し、横軸は、質問更新周期Tq(=40[msec])を最小単位とする時間軸である。第三の現在値メモリの正常側限界値は「0」、異常側限界値は「20」に設定されており、その差分値である異常判定閾値Niは「20」となっている。
第三の現在値メモリの初期設定値Nsiは「15」となっており、意図的な誤答送信に対応した逆監視情報である第一の現在値メモリの挙動が正であれば第一の変分値Δ1(=1)が順次減算され、やがて正常側限界値「0」に達してその値を維持するようになっている。逆監視情報の挙動が異常であれば第三の変分値Δ3(=5)が順次加算され、連続異常検出時間Teとなる160[msec]後に第三の異常検出信号ER3を発生する。但し、逆監視情報が正常であったり、異常であったりと混在していると、異常検出時間は160[msec]を越えた時間となる。
以上の説明に於いて、符号誤り検出手段714aによる下り通信異常の第二の変分値Δ2に関しては、通信遅延異常が含まれていないことになるが、実際には通信異常遅延が発生すれば回答情報の応答遅延異常が発生することになる。従って、回答情報の応答遅延異常に対する第五の変分値Δ5は、回答情報と正解情報が不一致であったことによる回答異常に対する第四の変分値Δ4に比べて大きな値となっており、Δ4<Δ5≦Δ4+Δ2の配分にするのが適当である。
同様に、符号誤り検出手段914aによる上り通信異常の第二の変分値Δ2に関しても、通信遅延異常が含まれていないことになるが、実際には通信異常遅延が発生すれば意図的な誤答情報に対する逆監視情報の挙動異常が発生することになる。従って、第三の変分値Δ3についても、Δ4<Δ3≦Δ4+Δ2の配分にしておくのが適当である。
又、第一、第三の現在値メモリに対する初期設定値Nsj、Nsiは、異常側限界値に接近した値が使用されていて、リセット処理後に引き続いて異常が発生すると直ちに第一、第三の異常検出信号ER1、ER3が発生するように安全側に設定されている。これに対し、第二、第四の現在値メモリに対する初期設定値N0は正常側限界値に接近した値が使用されているが、これは通信周期Tcが質問更新周期Tqよりも小さな値であって、しかも通信誤り率が100[%]であれば急速に現在値が上昇して第二、第四の異常検出信号ER2、ER4が発生するようになっているためである。
更に、第二、第四の異常検出信号が発生したときには、第二、第四の現在値メモリが初期化されるだけでなく、第一、第三の現在値メモリも初期化されていることによって安全性が維持されているものである。
一方、判定閾値Nj(=16)と第四の変分値Δ4(=4)との比率Nj/Δ4(=4)の値は、第二の変分値Δ4と第一の変分値Δ1との比率Δ4/Δ1(=4)と等しくなっている。判定閾値Njの値を変更した場合であっても、比率Δ4/Δ1の平均値は比率Nj/Δ4の最小値と最大値との間の値となるのが理想的である。若しも、比率Δ4/Δ1と比率Nj/Δ4が一致しておれば、1回の異常発生があった後に正常状態が持続して正常側限界値に到達する判定回数と、異常発生が連続して正常側限界値から異常側限界値に達する判定回数が一致するので、バランスのよい増減特性が得られることになる。
尚、以上の説明では、各加減算集計手段に於ける正常側限界値は「0」として、異常が検出されたときには第二から第五の変分値Δ2〜Δ5のどれかが加算されるように構成されているが、異常検出時に現在値メモリに対する減算処理を行い、正常時に加算処理を行うようにすることもできる。又、正常側限界値も「0」以外の値を適用し、異常側限界値と正常側限界値との差分値の絶対値を判定閾値として扱うことが可能である。
(3)実施の形態1による車載電子制御装置の要点と特徴
以上の説明で明らかなとおり、この発明の実施の形態1による車載電子制御装置10Aは、不揮発プログラムメモリ25Aと、演算処理用RAMメモリ24と、第一の入力センサ群11aが接続された第一の入力インタフェース回路21と、第一の電気負荷群12aが接続された第一の出力インタフェース回路22と、前記不揮発プログラムメモリ25Aに格納された制御プログラムの内容と前記第一の入力センサ群11aの動作状態に応動して前記第一の電気負荷群12aを制御するマイクロプロセッサ20とを備えた主制御回路部20Aと、
前記マイクロプロセッサ20に対してシリアル通信回路27、37によって接続され、複数の質問情報Qnを定期的に順次選択送信する質問情報生成手段805aと、前記質問情報に対する正解情報を格納する正解情報格納メモリ35Aと、前記質問情報Qnに基づく前記主制御回路部20Aからの回答情報Anと前記正解情報格納メモリ35Aに格納されている正解情報Rnとを比較して異常の有無を判定する異常判定手段717aとを有する監視制御回路部30Aとを備えた車載電子制御装置10Aであって、
前記監視制御回路部30Aは、更に、第一の加減算集計手段717eと第一の異常発生確定手段718aと第一の判定数値選択手段802aを備えている。
前記第一の加減算集計手段717eは、前記主制御回路部20Aから監視制御回路部30Aに送信された下り通信情報DNDに通信異常が検出されていない状態に於いて、前記異常判定手段717aが前記回答情報Anと正解情報Qnとが不一致であると判定したときには第四の変分値Δ4を加算又は減算すると共に、一致判定をしたときには前記第四の変分値Δ4よりも小さな値である第一の変分値Δ1を減算又は加算して相互に減殺するように第一の現在値メモリに対する加減算補正を行い、異常なし判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止するように構成されている。
前記第一の異常発生確定手段718aは、前記第一、第四の変分値Δ1、Δ4の累積によって前記第一の加減算集計手段717eの現在値が異常側限界値に達したときに、第一の異常検出信号ER1を発生し、当該異常側限界値と前記正常側限界値との差分値は異常判定閾値Njとなっている。前記第一の判定数値選択手段802aは、前記第一及び第四の変分値Δ1、Δ4と、前記異常判定閾値Nj又は連続異常検出時間Teの一方を含む第一の設定定数集団TBL1(Δ1、Δ4、Nj又はTe)に於いて、少なくとも前記異常判定閾値Nj又は連続異常検出時間Teの値が異なる複数の設定定数集団のいずれか一つを選択適用するものである。
前記連続異常検出時間Teは、質問更新周期Tqで順次発生する前記質問情報Qnに対する回答情報Anが全て前記正解情報Rnとは異なる内容であったときに、前記第一の現在値メモリの値が正常側限界値にあった状態から異常側限界値に達するまでの時間である。前記異常判定閾値Njを前記第四の変分値Δ4で割った連続異常発生回数と前記質問更新周期Tqとの積は、前記連続異常検出時間Te以下の値となるように連続異常検出時間Teに関連して設定され、前記第一の設定定数集団TBL1の中の一部の設定定数(Nj又はTe)は、適用される車種に対応して異なる値が選択適用され、異常判定が連続したときに発生する前記第一の異常検出信号ER1の発生時間は選択適用された設定定数に基づいて可変設定される。
前記質問情報Qnは、前記不揮発プログラムメモリ25Aに包含された一部の演算命令に対応した制御プログラム、又は当該演算命令の少なくとも一部を包含した内容の代替プログラムであって、同じ不揮発プログラムメモリ25Aの異なるアドレス領域に格納されているコピープログラムを被試験プログラムとして指定すると共に、当該被試験プログラムに於いて適用される入力データに対応した入力定数テーブル番号を指定するものであって、当該入力定数テーブルの実数値は前記不揮発プログラムメモリ25Aに格納されている。前記主制御回路部20Aは回答情報生成手段603cを備え、当該回答情報生成手段603cは、前記質問情報Qnによって指定された被試験プログラムと入力定数とに基づいて回答情報Anを生成して前記監視制御回路部30Aへ送信する。
以上のとおり、この発明の実施の形態1に係る車載電子制御装置によれば、質問情報は、所定の被試験プログラムに対する入力定数テーブル番号を指定するものであって、当該入力定数テーブルの実数値は不揮発プログラムメモリに格納されている。従って、短い質問情報によって複雑な試験動作を行わせることができると共に、入力定数テーブルには監視制御回路部側の正解情報と合致した回答情報となるように逆算された実数値を外部ツールから書込んでおくことによって、被試験プログラムが変更されても正解情報を変更する必要がないので、監視制御回路部側の正解情報格納メモリを固定メモリにして於いても自由度を損なうことがない特徴がある。
前記監視制御回路部30Aは、更に第一の初期化手段719aを備え、前記第一の初期化手段719aは、前記第一の異常検出信号ER1の発生に伴って前記マイクロプロセッサ20を初期化し再起動すると共に、前記第一の現在値メモリの値を初期設定値Nsjに設定する手段である。前記第一の設定定数集団TBL1は、更に、当該初期設定値Nsjを包含するものであって、当該初期設定値Nsjの値は前記異常判定値Njに接近した値であり、前記マイクロプロセッサ20の初期化及び再起動回数は出力禁止カウンタ41cによって計数され、当該出力禁止カウンタ41cの計数現在値が所定閾値に達すると特定電気負荷の駆動を停止した退避運転モードに移行し、電源スイッチが一旦遮断されて再投入されると前記出力禁止カウンタ41cの現在値はリセットされるものである。
以上のとおり、この発明の実施の形態1に係る車載電子制御装置によれば、監視制御回路部30Aは、第一の異常検出信号の発生に伴って、マイクロプロセッサを初期化及び再起動すると共に、第一の現在値メモリに初期設定値を書込む第一の初期化手段を備え、初期化及び再起動回数が過大になると退避運転モードに移行するように構成されている。従って、散発的なノイズ誤動作が偶然に集中したような場合には、マイクロプロセッサを初期化及び再起動して正常運転を続行することができると共に、ノイズ誤動作が続発していた場合には、初期設定値を異常判定値に接近させておくことによって再度第一の異常検出信号が発生し、速やかに退避運転モードに移行することができる特徴がある。
前記第一の設定定数集団TBL1に於ける異常判定閾値Njと第四の変分値Δ4との比率Nj/Δ4の平均値は、前記第二の変分値Δ4と第一の変分値Δ1との比率Δ4/Δ1の平均値と略等しくなっていて、少なくとも前記比率Δ4/Δ1の平均値は前記比率Nj/Δ4の最小値と最大値との間の値となっている。
以上のとおり、この発明の実施の形態1に係る車載電子制御装置によれば、(異常判定閾値/第四の変分値)の比率と(第四の変分値/第一の変分値)の比率とがかけ離れた値とならないような異常判定閾値が適用されるように構成されている。従って、異常判定が継続した場合に第一の現在値メモリの値が正常側限界値から異常側限界値に達する連続異常検出時間と、異常判定が1度だけ発生して正常判定が持続した場合に第一の現在値メモリの値が第四の変分値に対応した値から正常側限界値に達するまでの浄化処理時間とのバランスが保たれて、加減算処理による異常判定効果を損なわない特徴がある。
前記監視制御回路部30Aは、更に、符号誤り検出手段714aと第二の加減算集計手段714dと第二の異常発生確定手段718bと第二の判定数値選択手段802aを備えている。前記符号誤り検出手段714aは、前記主制御回路部20Aから監視制御回路部30Aに送信された下り通信情報DNDの受信データに関して、サムチェック又はCRCチェックで代表される符号点検手段によってビット情報の混入又は欠落の有無を検出する。
前記第二の加減算集計手段714dは、前記符号誤り検出手段714aが下り通信に異常ありとの判定を行なったときには第二の変分値Δ2を加算又は減算すると共に、下り通信に異常なしとの判定を行なったときには第一の変分値Δ1を減算又は加算して相互に減殺するように第二の現在値メモリに対する加減算補正を行い、異常なしの判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止する。
前記第二の異常発生確定手段718bは、前記第一、第二の変分値Δ1、Δ2の累積によって前記第二の加減算集計手段714dの現在値が異常側限界値に達したときに、第二の異常検出信号ER2を発生し、当該異常側限界値と前記正常側限界値との差分値は異常判定閾値Nkとなる。前記第二の判定数値選択手段802aは、前記第一及び第二の変分値Δ1、Δ2と、前記異常判定閾値Nk又は連続異常検出時間Teの一方を含む第二の設定定数集団TBL2(Δ1、Δ2、Nk又はTe)に於いて、少なくとも前記異常判定閾値Nk又は連続異常検出時間Teの値が異なる複数の設定定数集団のいずれか一つを選択適用する。
前記連続異常検出時間Teは、通信周期Tcで順次発生する下り通信データの通信誤り率が所定値以上である状態が持続したときに、前記第二の現在値メモリの値が正常側限界値にあった状態から異常側限界値に達するまでの時間である。前記異常判定閾値Nkは、前記第一、第二の変分値Δ1、Δ2と前記通信誤り率とに関連して算出される交信回数と前記通信周期Tcとの積が、前記連続異常検出時間Te以下の値となるように、連続異常検出時間Teに関連して設定される。前記第二の設定定数集団TBL2の中の一部の設定定数(Te又はNk)は、適用される車種に対応して異なる値が選択適用され、所定の通信誤り率が連続したときに発生する前記第二の異常検出信号ER2の発生時間は選択適用された設定定数に基づいて可変設定されるうに構成されている。
以上のとおり、この発明の実施の形態1に係る車載電子制御装置によれば、監視制御回路部30Aは、更に、第二の設定定数集団で設定された定数に基づいて通信異常判定経過を集計する第二の加減算集計手段と、当該第二の加減算集計手段の異常集計結果に応動して第二の異常検出信号を発生する第二の異常発生確定手段を備え、第二の設定定数集団の中の一部の設定定数は、第二の判定数値選択手段によって適用される車種に対応して異なる値が選択適用されるようになっている。従って、ノイズに基づく誤動作による散発的な通信異常動作については、妄りに異常検出信号を発生しないように安定制御される一方で、ハードウエア故障によって発生する連続的異常動作に対しては速やかに異常検出信号を発生して安全制御が行なわれる特徴があると共に、異常検出時間は適用車種対応で定められた制御仕様に基づいて可変設定することができて、車載電子制御装置の標準化による価格低減を図ることができる特徴がある。特に、多様な各種の設定定数によって構成される第二の設定定数集団のうち、異常判定閾値又は連続異常検出時間のいずれかに注目して判定数値の選択を行なうことによって、可変設定定数の項目を削減し、多数の設定定数の多くを固定制御定数として簡単に記憶保存することができる特徴がある。又、連続異常検出時間に注目して判定数値の選択を行なうようにすれば、第一、第二の判定数値選択手段は共通の選択手段を適用することができる特徴がある。
前記監視制御回路部30Aは、前記シリアル通信回路27、37を介して前記マイクロプロセッサ20に対する一部の入出力信号となる第二の入力センサ群11bと第二の電気負荷群12bとの入出力信号の交信を行なう。前記主制御回路部20Aから監視制御回路部30Aに対して送信される下り通信情報DNDは、当該監視制御回路部30Aに於いて必要とされる設定定数又は制御出力と、前回の上り通信情報で得られた前記質問情報Qnに対する回答情報Anと第二のフラグ情報Fと符号点検情報とを包含している。
前記監視制御回路部30Aから主制御回路部20Aに対して送信される上り通信情報UPDは、当該監視制御回路部30Aに対する入力信号情報、或いは前記主制御回路部20Aから得られた前記設定定数又は前記制御出力の記憶情報と、今回の質問情報Qnと第一のフラグ情報fと符号点検情報とを包含している。前記第一のフラグ情報fは、前記監視制御回路部30Aに於いて前記質問情報Qnの内容が更新変更された時点に於いて変化して、質問情報の変化を通報する1ビット又は複数ビットの識別信号となるものである。前記第二のフラグ情報Fは、前記質問情報Qnの内容が更新変更されたことに伴って、前記主制御回路部20Aが前記回答情報Anの内容を更新させた時点に於いて変化して、回答情報Anの更新を通報する1ビット又は複数ビットの識別信号となるものである。
以上のとおり、この発明の実施の形態1に係る車載電子制御装置によれば、質問情報の変化、又は回答情報の変化を知らせるための第一、第二のフラグ情報が送信されるように構成されている。従って、質問情報を受信した主制御回路部、又は回答情報を受信した監視制御回路部は、前回の質問情報や回答情報と今回の質問情報や回答情報を比較して変化を検出する必要がないので、フラグ変化のない質問情報や回答情報は無視することができる特徴がある。
前記監視制御回路部30Aは、更に、質問情報更新手段804と応答遅延判定手段716を備えている。前記質問情報更新手段804は、前記上り通信情報UPDに包含される質問情報Qn-1が複数の通信回数に於いて同一質問情報となるように反復送信し、所定期間Tq以上の送信を行なってから新たな質問情報Qnに更新する。前記応答遅延判定手段716は、前記監視制御回路部30Aが前記第一のフラグ情報fの内容を変化させてから、第二のフラグ情報Fの受信データが変化するまでの時間が所定時間Tqを超過していたときに前記主制御回路部20Aの異常であると判定する手段である。前記第一の加減算手段717eは、前記応答遅延判定手段716が異常判定を行なったときに、前記第四の変分値Δ4よりも大きな値である第五の変分値Δ5による加減算補正を行なうものである。
以上のとおり、この発明の実施の形態1に係る車載電子制御装置によれば、同一質問情報を反復送信することができる質問情報更新手段と、質問情報の内容変化に対応した回答情報の内容変化の応答遅れを監視するように構成されている。従って、主制御回路部20Aと監視制御回路部30Aとの間の入出力信号の交信周期に比べて、質問情報の更新周期を延長して、主制御回路部20Aが主機回答情報を生成するための所要時間を確保して、主制御回路部の制御負担を軽減することができる特徴がある。
前記監視制御回路部30Aは、更に第二の初期化手段719bを備えている。前記第二の初期化手段719bは、前記第二の異常検出信号ER2の発生に伴って前記マイクロプロセッサ20を初期化、及び再起動を行うと共に、前記第一、第二の現在値メモリの値を所定の初期設定値Nsj、N0に設定する手段である。前記第二の設定定数集団TBL2は、更に、前記第二の現在値メモリに対する初期設定値N0を包含するものであって、当該初期設定値N0の値は前記第二の加減算集計手段714dに於ける正常側限界値に接近した値である。前記マイクロプロセッサ20の初期化、再起動の回数は、出力禁止カウンタ41cによって計数され、当該出力禁止カウンタ41cの計数現在値が所定閾値に達すると特定電気負荷の駆動を停止した退避運転モードに移行し、電源スイッチが一旦遮断されて再投入されると前記出力禁止カウンタ41cの現在値はリセットされるものである。
以上のとおり、この発明の実施の形態1に係る車載電子制御装置によれば、第二の異常検出信号の発生に伴って、マイクロプロセッサを初期化して再起動すると共に、第一、第二の現在値メモリに初期設定値を書込む第二の初期化手段を備え、初期化及び再起動回数が過大になると退避運転モードに移行するように構成されている。従って、散発的ノイズによる通信異常が偶然に集中したような場合には、マイクロプロセッサを初期化し再起動して正常運転を続行することができると共に、通信異常に付随して質問、回答情報に異常が発生していることを想定して第一、第二の現在値メモリが初期化されているので、ノイズ誤動作が続発していた場合には、再度第一又は第二の異常検出信号が発生し、速やかに退避運転モードに移行することができる特徴がある。
前記不揮発プログラムメモリ25Aは、更に、誤答情報生成手段603bと現在値情報監視手段917aと第三の加減算集計手段917dと第三の異常発生確定手段918aと第三の判定数値選択手段602aとなる制御プログラムを備えると共に、前記上り通信情報UPDには前記監視制御回路部30Aに於ける第一の現在値メモリの値である現在値情報が包含されている。前記誤答情報生成手段603bは、前記質問情報Qnに対して意図的に不正解情報を回答情報として送信する手段である。当該誤答情報生成手段603bによって意図的に誤答送信するタイミングは、前記第一の加減算集計手段717eによる異常監視の集計値に余裕があって、1回の誤答回答によっては前記第一の異常発生確定手段718aが前記第一の異常検出信号ER1を発生しない時点に設定されている。
前記現在値情報監視手段917aは、前記上り通信情報UPDである現在値情報を監視することによって監視制御回路部30Aが正常に動作していることを主制御回路部20Aによって逆監視して、監視制御回路部30Aの異常の有無を判定する手段であり、前記誤答情報生成手段603bは、誤答送信したにも関わらず前記現在値情報監視手段917aが前記第一の現在値レジスタの変化を確認できないときに引き続いて誤答送信を行う。
前記第三の加減算集計手段917dは、前記監視制御回路部30Aから主制御回路部20Aに送信された上り通信情報UPDに通信異常が検出されていない状態に於いて、前記現在値情報監視手段917aが監視制御回路部30Aの異常判定を行なったときには第三の変分値Δ3を加算又は減算すると共に、正常判定をしたときには当該第三の変分値Δ3よりも小さな値である第一の変分値Δ1を減算又は加算して相互に減殺するように第三の現在値メモリに対する加減算補正を行い、異常なし判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止する。
前記第三の異常発生確定手段918aは、前記第一、第三の変分値Δ1、Δ3の累積によって前記第三の加減算集計手段917dの現在値が異常側限界値に達したときに、第三の異常検出信号ER3を発生し、当該異常側限界値と前記正常側限界値との差分値は異常判定閾値Niとなっている。前記第三の判定数値選択手段602aは、前記第一及び第三の変分値Δ1、Δ3と、前記異常判定閾値Ni又は連続異常検出時間Teの一方を含む第三の設定定数集団TBL3(Δ1、Δ3、Ni又はTe)に於いて、少なくとも前記異常判定閾値Ni又は連続異常検出時間Teの値が異なる複数の設定定数集団のいずれか一つを選択適用する。
前記連続異常検出時間Teは、誤答送信周期Tqで順次発生する誤答情報に対する前記逆監視情報が全て異常であったときに、前記第三の現在値メモリの値が正常側限界値にあった状態から異常側限界値に達するまでの時間である。前記異常判定閾値Niは、前記第三の変分値Δ3で割った連続異常発生回数と前記誤答送信周期Tqとの積が前記連続異常検出時間Te以下の値となるように、連続異常検出時間Teと関連して設定される。前記第三の設定定数集団TBL3の中の一部の設定定数(Ni又はTe)は、適用される車種に対応して異なる値が選択適用され、異常判定が連続したときに発生する前記第三の異常検出信号ER3の発生時間は選択適用された設定定数に基づいて可変設定される。
以上のとおり、この発明の実施の形態1に係る車載電子制御装置によれば、不揮発プログラムメモリは更に、誤答情報生成手段と現在値情報監視手段と、第三の設定定数集団で設定された定数に基づいて異常判定経過を集計する第三の加減算集計手段と、当該第三の加減算集計手段の異常集計結果に応動して第三の異常検出信号を発生する第三の異常発生確定手段と、第三の判定数値選択手段となる制御プログラムを備えると共に、上り通信情報には監視制御回路部に於ける第一の現在値メモリの値である現在値情報が包含されていて、第三の設定定数集団の中の一部の設定定数は、第三の判定数値選択手段によって適用される車種に対応して異なる値が選択適用されるように構成されている。従って、意図的な誤答送信によって監視制御回路部の挙動を逆監視することができると共に、この誤答送信によって監視制御回路部が第三の異常検出信号を発生して主制御回路部が初期化されることがない特徴がある。
又、ノイズに基づく誤動作による散発的な異常動作については、妄りに異常検出信号を発生しないように安定制御される一方で、ハードウエア故障によって発生する連続的異常動作に対しては速やかに異常検出信号を発生して安全制御が行なわれる特徴があると共に、異常検出時間は適用車種対応で定められた制御仕様に基づいて可変設定することができて、車載電子制御装置の標準化による価格低減を図ることができる特徴がある。特に、多様な各種の設定定数によって構成される第三の設定定数集団のうち、異常判定閾値又は連続異常検出時間のいずれかに注目して判定数値の選択を行なうことによって、可変設定定数の項目を削減し、多数の設定定数の多くを固定制御定数として簡単に記憶保存することができる特徴がある。又、意図的な誤答情報に対する挙動判定は通信異常が検出されないときに行なわれるので、質疑回答異常と通信異常とは分離して処理することができる特徴がある。
前記不揮発プログラムメモリ25Aは、更に第三の初期化手段919aを備えている。前記第三の初期化手段919aは、前記第三の異常検出信号ER3の発生に伴って前記監視制御回路部30Aを初期化、再起動すると共に、前記第三の現在値メモリの値を初期設定値Nsiに設定する手段である。前記第三の設定定数集団TBL3は、更に、当該初期設定値Nsiを包含するものであって、当該初期設定値Nsiの値は前記異常判定値Niに接近した値である。前記監視制御回路部30Aの初期化及び再起動回数は、出力禁止カウンタ41bによって計数され、当該出力禁止カウンタ41bの計数現在値が所定閾値に達すると特定電気負荷の駆動を停止した退避運転モードに移行し、電源スイッチが一旦遮断されて再投入されると前記出力禁止カウンタ41bの現在値はリセットされるものである。
以上のとおり、この発明の実施の形態1に係る車載電子制御装置によれば、第三の異常検出信号の発生に伴って、監視制御回路部を初期化、再起動すると共に、第三の現在値メモリに初期設定値を書込む第三の初期化手段を備え、初期化及び再起動回数が過大になると退避運転モードに移行するように構成されている。従って、散発的なノイズ誤動作が偶然に集中したような場合には、監視制御回路部を初期化し再起動して正常運転を続行することができると共に、ノイズ誤動作が続発していた場合には、初期設定値を異常判定値に接近させておくことによって再度第三の異常検出信号が発生し、速やかに退避運転モードに移行することができる特徴がある。
前記不揮発プログラムメモリ25Aは、更に、上り通信情報の符号誤り検出手段914aと第四の加減算集計手段914dと第四の異常発生確定手段918bと第四の判定数値選択手段602aなる制御プログラムを包含している。前記符号誤り検出手段914aは、前記監視制御回路部30Aから主制御回路部20Aに送信された上り通信情報UPDの受信データに関して、サムチェック又はCRCチェックで代表される符号点検手段によってビット情報の混入又は欠落の有無を検出する。
前記第四の加減算集計手段914dは、前記符号誤り検出手段914aが上り通信異常ありの判定を行なったときには第二の変分値Δ2を加算又は減算すると共に、上り通信異常なしの判定を行なったときには第一の変分値Δ1を減算又は加算して相互に減殺するように第四の現在値メモリに対する加減算補正を行い、異常なし判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止する。前記第四の異常発生確定手段918bは、前記第一、第二の変分値Δ1、Δ2の累積によって前記第四の加減算集計手段914dの現在値が異常側限界値に達したときに、第四の異常検出信号ER4を発生し、当該異常側限界値と前記正常側限界値との差分値は異常判定閾値Nkとなっている。
前記第四の判定数値選択手段602aは、前記第一及び第二の変分値Δ1、Δ2と、前記異常判定閾値Nk又は連続異常検出時間Teの一方を含む第四の設定定数集団TBL4(Δ1、Δ2・Nk又はTe)に於いて、少なくとも前記異常判定閾値Nk又は連続異常検出時間Teの値が異なる複数の設定定数集団のいずれか一つを選択適用する。前記連続異常検出時間Teは、通信周期Tcで順次発生する上り通信データの通信誤り率が所定値以上である状態が持続したときに、前記第四の現在値メモリの値が正常側限界値にあった状態から異常側限界値に達するまでの時間である。前記異常判定閾値Nkは、前記第一、第二の変分値Δ1、Δ2と前記通信誤り率とに関連して算出される交信回数と前記通信周期Tcとの積が前記連続異常検出時間Te以下の値となるように、連続異常検出時間Teに関連して設定される。前記第四の設定定数集団TBL4の中の一部の設定定数(Nk又はTe)は、適用される車種に対応して異なる値が選択適用され、所定の通信誤り率が連続したときに発生する前記第四の異常検出信号ER4の発生時間は選択適用された設定定数に基づいて可変設定される。
以上のとおり、この発明の実施の形態1に係る車載電子制御装置によれば、不揮発プログラムメモリは、更に、第四の設定定数集団で設定された定数に基づいて通信異常判定経過を集計する第四の加減算集計手段と、当該第四の加減算集計手段の異常集計結果に応動して第四の異常検出信号を発生する第四の異常発生確定手段を備え、第四の設定定数集団の中の一部の設定定数は、第四の判定数値選択手段によって適用される車種に対応して異なる値が選択適用されるように構成されている。
従って、ノイズ誤動作による散発的な通信異常動作については妄りに異常検出信号を発生しないように安定制御される一方で、ハードウエア故障によって発生する連続的異常動作に対しては速やかに異常検出信号を発生して安全制御が行なわれる特徴があると共に、異常検出時間は適用車種対応で定められた制御仕様に基づいて可変設定することができて、車載電子制御装置の標準化による価格低減を図ることができる特徴がある。特に、多様な各種の設定定数によって構成される第四の設定定数集団のうち、異常判定閾値又は連続異常検出時間のいずれかに注目して判定数値の選択を行なうことによって、可変設定定数の項目を削減し、多数の設定定数の多くを固定制御定数として簡単に記憶保存することができる特徴がある。又、連続異常検出時間に注目して判定数値の選択を行なうようにすれば、第三、第四の判定数値選択手段は共通の選択手段を適用することができる特徴がある。
前記不揮発プログラムメモリ25Aは、更に第四の初期化手段919bを備えている。前記第四の初期化手段919bは、前記第四の異常検出信号ER4の発生に伴って前記監視制御回路部30Aを初期化、再起動すると共に、前記第三、第四の現在値メモリの値を所定の初期設定値NsiをN0に設定する手段である。前記第四の設定定数集団TBL4は更に、前記第四の現在値メモリに対する初期設定値N0を包含するものであって、当該初期設定値N0の値は前記第四の加減算集計手段914dに於ける正常側限界値に接近した値である。
前記監視制御回路部30Aの初期化、再起動回数は、出力禁止カウンタ41bによって計数され、当該出力禁止カウンタ41bの計数現在値が所定閾値に達すると特定電気負荷の駆動を停止した退避運転モードに移行し、電源スイッチが一旦遮断されて再投入されると前記出力禁止カウンタ41bの現在値はリセットされるものである。
以上のとおり、この発明の実施の形態1に係る車載電子制御装置によれば、第四の異常検出信号の発生に伴って、監視制御回路部を初期化・再起動すると共に、第三、第四の現在値メモリに初期設定値を書込む第四の初期化手段を備え、初期化及び再起動回数が過大になると退避運転モードに移行するように構成されている。従って、散発的ノイズによる通信異常が偶然に集中したような場合には、監視制御回路部を初期化し再起動して正常運転を続行することができると共に、通信異常に付随して質問、回答情報に異常が発生していることを想定して第三、第四の現在値メモリが初期化されているので、ノイズ誤動作が続発していた場合には、再度第三又は第四の異常検出信号が発生し、速やかに退避運転モードに移行することができる特徴がある。
前記監視制御回路部30Aは、マイクロプロセッサを持たない論理回路部30aと補助RAMメモリ34によって構成されている。前記論理回路部30aは、前記質問情報生成手段805a、質問情報更新手段804、異常判定手段717a、応答遅延判定手段716、下り通信情報DNDに対する符号誤り検出手段714a、第一、第二の加減算集計手段717e、714d、第一、第二の異常発生確定手段718a、718b、第一、第二の初期化手段719a、719bの中の複数の手段に対応した論理回路を包含する。
前記第一、第二の判定数値選択手段802aは、前記主制御回路部20Aの不揮発プログラムメモリ25Aに格納された選択情報を前記シリアル通信回路27、37を介して前記監視制御回路部30Aの補助RAMメモリ34に送信するか、若しくは前記車載電子制御装置10Aを構成する電子回路基板の印刷パターン42によって構成されたパターンスイッチ情報であるか、又は前記監視制御回路部30Aに設けられた不揮発データメモリ35Aに格納された選択情報に基づいて前記第一の設定定数集団TBL1のいずれか一つと、前記第二の設定定数集団TBL2のいずれか一つと、を選択する。
前記第一、第二の設定定数集団TBL1、TBL2に於ける前記第一の変分値Δ1、第二の変分値Δ2、第四の変分値Δ4、第五の変分値Δ5、初期設定値N0、通信周期Tc、質問情報Qnの更新周期Tqと、前記質問情報Qnに対する正解情報Rnは、固定の制御定数として前記監視制御回路部30Aに設けられた不揮発データメモリ35Aに格納されるか、若しくは前記論理回路部30aを構成する集積回路素子内の配線パターンによって論理回路の中に組み込まれている。前記第一、第二の判定数値選択手段802aは、前記連続異常検出時間Teの値に接近した代表時間を統一して選択指定する共通の選択手段である。前記補助RAMメモリ34は、前記第一、第二の現在値メモリを包含する。
以上のとおり、この発明の実施の形態1に係る車載電子制御装置によれば、監視制御回路部は各種制御手段に対応してハードウエアで構成された論理回路部と、第一、第二の現在値メモリを包含する補助RAMメモリによって構成されている。又、第一、第二の設定定数集団を構成する固定定数は、監視制御回路部に設けられた不揮発データメモリ又は集積回路素子内の配線パターンに内蔵されている。更に、第一、第二の判定数値選択手段は、電子回路基板の印刷配線パターンによるか、監視制御回路部に設けられた不揮発データメモリによるか、若しくは主制御回路部側の不揮発プログラムメモリに格納された選択情報を補助RAMメモリに転送するように構成されている。従って、固定制御定数は監視制御回路部に予め格納されており、可変要素となる判定数値の選択情報は電子回路基板の製造・組立段階で確定させることができる特徴がある。
前記主制御回路部20Aに包含された不揮発プログラムメモリ25Aは、前記回答情報生成手段603c、誤答情報生成手段603b、現在値情報監視手段917a、上り通信情報UPDに対する符号誤り判定手段914a、第三、第四の加減算集計手段917d、914d、第三、第四の異常発生確定手段918a、918b、第三、第四の初期化手段919a、919bの中の複数の手段に対応した制御プログラムを包含すると共に、当該不揮発プログラムメモリ25Aは、更に、前記第三、第四の設定定数集団TBL3、TBL4を構成する前記第一の変分値Δ1、第二の変分値Δ2、第三の変分値Δ3、初期設定値N0、通信周期Tc、質問情報Qnの更新周期Tqと、前記質問情報Qnに対する入力データテーブルが格納されている。
前記第三、第四の判定数値選択手段602aは、前記不揮発プログラムメモリ25Aに格納された選択情報に基づいて、前記連続異常検出時間Teの値に接近した代表時間を統一して選択指定する共通の選択手段である。前記RAMメモリ24は、前記第三、第四の現在値メモリを包含する。
以上のとおり、この発明の実施の形態1に係る車載電子制御装置によれば、主制御回路部はマイクロプロセッサと、各種制御手段に対応して制御プログラムを包含した不揮発プログラムメモリと、第三、第四の現在値メモリを包含するRAMメモリによって構成されている。又、第三、第四の設定定数集団を構成する固定定数は、主制御回路部に設けられた不揮発プログラムメモリに格納されている。更に、第三、第四の判定数値選択手段は電子回路基板の印刷配線パターンによるか、又は前記不揮発プログラムメモリに格納された選択情報を使用するように構成されている。従って、主制御回路部側で必要とされる固定制御定数は不揮発プログラムメモリに予め格納されており、可変要素となる判定数値の選択情報と共に電子回路基板の製造、組立段階で確定させることができる特徴がある。
実施の形態2.
(1)実施の形態2による車載電子制御装置の構成
以下、この発明の実施の形態2に係る監視制御回路を有する車載電子制御装置の構成について説明する。図13は、実施の形態2による監視制御回路を有する車載電子制御装置の構成を示す全体構成図、図14は、その各種メモリ情報の内容を示す一覧表である。以下、実施の形態1に於ける図1、図4との相違点を中心にして説明する。尚、実施の形態2に於いて、実施の形態1に於ける各図の符号と同一の符号は、実施の形態1と夫々同一又は相当部分を示している。
図13に於いて、車載電子制御装置10Bは、不揮発プログラムメモリ25Bと協働するマイクロプロセッサ20を主体として構成された主制御回路部20Bと、補助不揮発プログラムメモリ35Bと協働する補助マイクロプロセッサ30bを主体として構成された監視制御回路部30Bを備えていて、車載バッテリである外部電源13から電源スイッチ14を介して給電されて動作するように構成されている。
電子制御装置10Bの外部には、実施の形態1に於ける図1と同様に、第一、第二の入力センサ群11a、11b、第一、第二の電気負荷群12a、12b、負荷電源リレー15、外部ツール19が接続されている。電子制御装置10Bの内部には、図1と同様に、第一、第二の入力インタフェース回路21、31、第一、第二の出力インタフェース回路22、32、シリアル通信回路27、37、ツールインタフェース回路29、電源回路33、ゲート素子38、電源検出回路39、ウォッチドッグタイマ40、出力禁止カウンタ41a〜41d、選択情報を生成するための印刷パターン42が接続されていいる。
一対のシリアル通信回路によって構成されたシリアル通信回路27、37は、全二重ブロック通信回路を構成し、主制御回路部20Bから監視制御回路部30Bに対する下り通信情報DNDと、監視制御回路部30Bから主制御回路部20Bに対する上り通信情報UPDとを同時に送受信することができるように構成されている。主制御回路部20Bが発生する通信許可信号ALTと、監視制御回路部30Bが発生する通信同期信号CLKについては実施の形態1に於ける図2で前述したとおりである。
尚、車載電子制御装置10Bの組立ステップに於いて、外部ツール19から制御プログラムと制御定数とが転送書込みされる不揮発プログラムメモリ25Bは、不揮発性のフラッシュメモリによって構成されている。不揮発プログラムメモリ25Bには通信制御プログラムと入出力制御プログラムに加えて、実施の形態1に於ける図6、図9で前述した各種の制御プログラムが格納されていると共に、図14の(A)で示すとおりQ&Aのための入力データテーブル、判定数値選択情報、図14の(J)、(K)でも示された第三、第四の設定定数集団TBL3、TBL4となる制御定数が格納されている。
又、RAMメモリ24には図14の(B)で示すように上り通信情報UPDとなるQ&A用の質問情報、第二の入力センサ群11bから得られた入力信号情報、設定済情報、逆監視集計情報(第一の現在値メモリの現在値情報)、第一のフラグ情報、符号点検情報が格納されると共に、第三、第四の現在値メモリを包含している。
例えば、マスクROMメモリである補助不揮発プログラムメモリ35Bには通信制御プログラムと入出力処理プログラムに加えて、実施の形態1に於ける図7、図8で前述した各種の制御プログラムが格納されていると共に、図14の(C)で示すとおりQ&A診断のための正解情報Rnや第一、第二の設定定数集団TBL1、TBL2となる制御定数が格納されていて、その詳細は図14の(F)、(G)、(H)に示すとおりである。
又、補助RAMメモリ34には、図14の(E)で示すように下り通信情報DNDとなるQ&A用の回答情報、監視制御回路部30Aで必要とされる制御定数などの設定情報、第二の電気負荷群12bに対する出力信号情報、第二のフラグ情報、符号点検情報が格納されると共に、第一、第二の現在値メモリを包含している。
尚、選択情報となる印刷パターン42を設けない場合には、不揮発プログラムメモリ25Bに格納されている判定数値選択情報が下り通信情報DNDによって補助RAMメモリ34へ送信されるようになっている。又、監視制御回路部30Bが不揮発性のEEPROMメモリであるデータメモリ35Aを備えている場合には、選択情報はこのデータメモリ35Aに格納することもできる。
(2)実施の形態2による車載電子制御装置の動作
次に、この発明の実施の形態2に係る車載電子制御装置の動作について、実施の形態1に於ける図1との相違点を中心として説明する。先ず、図13に於いて、電源スイッチ14を介して車載電子制御装置10Bに対して外部電源13が接続されると、マイクロプロセッサ20は、第一、第二の入力センサ群11a、11bの動作状態と不揮発プログラムメモリ25B内の制御プログラムの内容に応動して第一、第二の電気負荷群12a、12bの駆動制御を行なう。
特に、第一の入力センサ群11aや第一の電気負荷群12aは、エンジン回転と同期して開閉、断続動作を行うものであって、例えば4気筒・4サイクルのガソリンエンジンが6000[rpm]で回転していると、5[msec]周期で点火制御や燃料噴射制御を行なうことになるが、エンジン回転速度が600[rpm]であれば50[msec]周期でこれ等の制御を行なえばよいことになる。一方、第二の入力センサ群11bや第二の電気負荷群12bは、エンジン回転と同期した動作を行なうものではないので、高頻度な動作は行わないが、動作状態が変化すると速やかに信号交信を行なう必要があるので、エンジン回転速度とは無関係に比較的高頻度に一定周期の交信を行なうのが望ましいものとなっている。
補助不揮発プログラムメモリ35Bには質問情報に対応した正解情報が製品出荷段階で予め格納されていて、補助マイクロプロセッサ30bはランダムに質問情報を送信し、マイクロプロセッサ20から返信された回答情報と正解情報とを比較することによってマイクロプロセッサ20の動作状態を監視すると共に、マイクロプロセッサ20は意図的な誤答を回答してみて、監視制御回路部30Bが適正な監視制御を行なっているかどうかを逆監視するように構成されている。
その結果として、監視制御回路部30Bが主制御回路部20Bの異常を検出するとリセット出力信号RST2によって主制御回路部20Bを初期化・再起動し、主制御回路部20Bが監視制御回路部30Bの異常を検出するとリセット出力信号RST1によって監視制御回路部30Bを初期化し再起動するように構成されている。
主制御回路部20Bの送信動作は図6のフロ−チャ−トで前述したとおりであり、受信動作は実施の形態1に於ける図9のフロ−チャ−トで前述したとおりである。監視御回路部30Bの受信動作は、同様に図7のフロ−チャ−トで前述したとおりであり、送信動作は、図8のフロ−チャ−トで前述したとおりである。
次に、各種設定定数の一例を示した一覧表である図15について説明する。図15に於いて、基本パラメータとなる連続異常検出時間Teは、印刷パターン42によって生成された選択情報によって、A、B、C、Dの4種類の値を選択することができるようになっていて、具体的には160[msec]、200[msec]、280[msec]、480[msec]のいずれかの時間が選択できるように構成されている。
この連続異常検出時間Teは、第一〜第四の設定定数集団TBL1〜TBL4に対して共用されるデータであるが、連続異常検出時間Teに代わって後述の異常判定閾値Nj、Ni、Nkを設定することも可能である。通信周期Tcは、シリアル通信回路27、37による上りの通信周期の代表値であり、この代表値としては変動する通信周期の平均値又は最大値を使用するのが適当である。図15のとしては最大値を代表値としてTc=5[sec]固定数値となっている。
質問更新周期Tqも同様であり、変動する質問更新周期の平均値又は最大値を使用するのが適当であり、図15の例では最大値を代表値としてTq=40[msec]の固定数値となている。第一から第五の変分値Δ1〜Δ5についても固定数値「1」、「2」、「5」、「4」、「5」が使用されているが、[Δ4<Δ3≒Δ5≦Δ4+Δ2]の関係を保つようになっている。異常判定閾値Njは、次式(1)によって算出されるように構成されている。
Nj=[Te/Tq]×Δ4 ・・・・(1)
例えば選択条件Aの場合であれば、[Te/Tq=160/40=4]であるから、異常判定閾値Njを「16」にしておけば第四の変分値Δ4=4が4回加算されることによって「16」に到達し、第一の異常検出信号ER1を発生することになる。若しも、連続異常検出時間Teが150[mec]になっておれば、[Te/Tq=150/40=3.75≒3](小数点以下は切捨て)となるので、異常判定閾値Njは12となり、連続異常検出時間は120[msec]に短縮されることになる。
異常判定閾値Niも同様であり、次式(2)によって算出される。
Ni=[Te/Tq]×Δ3 ・・・・(2)
異常判定閾値Nkの場合には,通信誤り率50[%]が継続した場合に、第二、第四の現在値メモリの値が正常側限界値から異常側限界値に到達するものとして、次式(3)によって算出されるように構成されている。
Nk=[Te/Tc]×(Δ2−Δ1)/2+1 ・・・(3)
例えば選択条件Aの場合であれば、[Te/Tc=160/5=32]であるから、異常判定閾値Nkを17にしておけば第二の変分値Δ2(=2)の加算と第一の変分値Δ1(=1)の減算を交互に繰返した場合に、実際の連続異常検出時間として155[msec]が得られることになる。(図11参照)
初期設定値Nsjは、異常側限界値Njに接近した値として[Nsj=Nj−Δ4]で算出される値が適用されている。従って、第一の現在値メモリが初期設定されたのちに、応答異常が発生して第四の変分値Δ4が加算されると、直ちに第一の異常検出信号ER1が発生することになる。初期設定値Nsiは、異常側限界値Niに接近した値として[Nsi=Ni−Δ3]で算出される値が適用されている。従って、第三の現在値メモリが初期設定されたのちに、逆監視異常が発生して第三の変分値Δ3が加算されると、直ちに第三の異常検出信号ER3が発生することになる。初期設定値N0は正常側限界値=0に接近した値として「0」が適用されている。
(3)実施形態2の要点と特徴
以上の説明で明らかなとおり、この発明の実施の形態2による車載電子制御装置10Bは、不揮発プログラムメモリ25Bと、演算処理用RAMメモリ24と、第一の入力センサ群11aが接続された第一の入力インタフェース回路21と、第一の電気負荷群12aが接続された第一の出力インタフェース回路22と、前記不揮発プログラムメモリ25Bに格納された制御プログラムの内容と前記第一の入力センサ群11aの動作状態に応動して、前記第一の電気負荷群12aを制御するマイクロプロセッサ20とを備えた主制御回路部20Bと、
前記マイクロプロセッサ20に対してシリアル通信回路27、37によって接続され、複数の質問情報Qnを定期的に順次選択送信する質問情報生成手段805aと、前記質問情報に対する正解情報格納メモリ35Bと、前記質問情報Qnに基づく前記主制御回路部20Bからの回答情報Anと前記正解情報格納メモリ35Bに格納されている正解情報Rnとを比較して異常の有無を判定する異常判定手段717aとを有する監視制御回路部30Bとを備えた車載電子制御装置10Bであって、
前記監視制御回路部30Bは、更に、第一の加減算集計手段717eと第一の異常発生確定手段718aと第一の判定数値選択手段802aを備えている。
前記第一の加減算集計手段717eは、前記主制御回路部20Bから監視制御回路部30Bに送信された下り通信情報DNDに通信異常が検出されていない状態に於いて、前記異常判定手段717aが前記回答情報Anと正解情報Qnとが不一致であった判定したときには第四の変分値Δ4を加算又は減算すると共に、一致判定をしたときには前記第四の変分値Δ4よりも小さな値である第一の変分値Δ1を減算又は加算して相互に減殺するように第一の現在値メモリに対する加減算補正を行い、異常なし判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止する。
前記第一の異常発生確定手段718aは、前記第一、第四の変分値Δ1、Δ4の累積によって前記第一の加減算集計手段717eの現在値が異常側限界値に達したときに、第一の異常検出信号ER1を発生し、当該異常側限界値と前記正常側限界値との差分値は異常判定閾値Njとなっている。前記第一の判定数値選択手段802aは、前記第一及び第四の変分値Δ1、Δ4と、前記異常判定閾値Nj又は連続異常検出時間Teの一方を含む第一の設定定数集団TBL1(Δ1、Δ4、Nj又はTe)に於いて、少なくとも前記異常判定閾値Nj又は連続異常検出時間Teの値が異なる複数の設定定数集団のいずれか一つを選択適用する。
前記連続異常検出時間Teは、質問更新周期Tqで順次発生する前記質問情報Qnに対する回答情報Anが全て前記正解情報Rnとは異なる内容であったときに、前記第一の現在値メモリの値が正常側限界値にあった状態から異常側限界値に達するまでの時間である。前記異常判定閾値Njは、前記第四の変分値Δ4で割った連続異常発生回数と前記質問更新周期Tqとの積が前記連続異常検出時間Te以下の値となるように、連続異常検出時間Teに関連して設定される。前記第一の設定定数集団TBL1の中の一部の設定定数(Nj又はTe)は、適用される車種に対応して異なる値が選択適用され、異常判定が連続したときに発生する前記第一の異常検出信号ER1の発生時間は、選択適用された設定定数に基づいて可変設定される。
前記監視制御回路部30Bは、補助マイクロプロセッサ30bと、当該補助マイクロプロセッサ30bと協働する補助不揮発プログラムメモリ35Bと補助RAMメモリ34とを包含している。前記補助不揮発プログラムメモリ35Bは、前記質問情報生成手段805a、質問情報更新手段804、異常判定手段717a、応答遅延判定手段716、下り通信情報DNDに対する符号誤り検出手段714a、第一、第二の加減算集計手段717e、714d、第一、第二の異常発生確定手段718a、718b、第一、第二の初期化手段719a、719bの中の複数の手段に対応した制御プログラムを包含する。
前記第一、第二の判定数値選択手段802aは、前記主制御回路部20Bの不揮発プログラムメモリ25Bに格納された選択情報を前記シリアル通信回路27、37を介して前記監視制御回路部30Bの補助RAMメモリ34に送信するか、若しくは前記車載電子制御装置10Bを構成する電子回路基板の印刷パターン42によって構成されたパターンスイッチ情報であるか、又は前記監視制御回路部30Bに設けられた不揮発データメモリ35Aに格納された選択情報に基づいて前記第一の設定定数集団TBL1のいずれか一つと、前記第二の設定定数集団TBL2のいずれか一つと、を選択するように構成されている。
前記第一、第二の設定定数集団TBL1、TBL2に於ける前記第一の変分値Δ1、第二の変分値Δ2、第四の変分値Δ4、第五の変分値Δ5、初期設定値N0、通信周期Tc、質問情報Qnの更新周期Tqと、前記質問情報Qnに対する正解情報Rnは、固定の制御定数として前記補助不揮発プログラムメモリ35Bに格納されている。前記第一、第二の判定数値選択手段802aは、前記連続異常検出時間Teの値に接近した代表時間を統一して選択指定する共通の選択手段である。前記補助RAMメモリ34は、前記第一・第二の現在値メモリを包含している。
以上のとおり、この発明の実施の形態2に係る車載電子制御装置によれば、監視制御回路部は補助マイクロプロセッサと、各種制御手段に対応して制御プログラムを包含した補助不揮発プログラムメモリと、第一、第二の現在値メモリを包含する補助RAMメモリによって構成されている。又、第一、第二の設定定数集団を構成する固定定数は、監視制御回路部に設けられた補助不揮発プログラムメモリに格納されている。更に、第一、第二の判定数値選択手段は、電子回路基板の印刷配線パターンによるか、監視制御回路部に設けられた不揮発データメモリによるか、若しくは主制御回路部側の不揮発プログラムメモリに格納された選択情報を補助RAMメモリに転送するように構成されている。従って、固定制御定数は、監視制御回路部に予め格納されており、可変要素となる判定数値の選択情報は電子回路基板の製造、組立段階で確定させることができる特徴がある。
又、この発明の実施の形態2に係る車載電子制御装置によれば、前記主制御回路部20Bに包含された不揮発プログラムメモリ25Bは、前記回答情報生成手段603c、誤答情報生成手段603b、現在値情報監視手段917a、上り通信情報UPDに対する符号誤り判定手段914a、第三、第四の加減算集計手段917d、914d、第三、第四の異常発生確定手段918a、918b、第三、第四の初期化手段919a、919bの中の複数の手段に対応した制御プログラムを包含すると共に、当該不揮発プログラムメモリ25Bは、更に、前記第三、第四の設定定数集団TBL3、TBL4を構成する前記第一の変分値Δ1、第二の変分値Δ2、第三の変分値Δ3、初期設定値N0、通信周期Tc、質問情報Qnの更新周期Tqと、前記質問情報Qnに対する入力データテーブルが格納されている。前記第三、第四の判定数値選択手段602aは、前記不揮発プログラムメモリ25Bに格納された選択情報に基づいて、前記連続異常検出時間Teの値に接近した代表時間を統一して選択指定する共通の選択手段であり、前記RAMメモリ24は、前記第三、第四の現在値メモリを包含している。
実施の形態1、2の変形例
以上の説明で明らかなとおり、実施の形態1及び2では、連続異常検出時間Teを除く他の制御定数は、固定定数であるか、又は所定の算式に基づいて算出される可変数値となっている。主制御回路部20A、20Bに於いて、第三、第四の設定定数集団TBL3、TBL4の中のどの連続異常検出時間Teを選択するかを決定するための第三、第四の判定数値選択手段は、不揮発プログラムメモリ25A、25B内に選択情報を書込むか、選択された定数集団のみを格納しておけばよい。
しかし、監視制御回路部30A、30Bのに於いて、第一、第二の設定定数集団TBL1、TBL2の中のどの連続異常検出時間Teを選択するかを決定する第一、第二の判定数値選択手段を具体化するには多様な方法がある。先ず、最も簡易な方法としては、主制御回路部20A、20B側の不揮発プログラムメモリ25A、25Bに格納された選択情報をシリアル通信回路27、37を介して補助RAMメモリ34へ転送し、この転送情報によって監視制御回路部30A、30B内で定数選択を行なうことができる。しかし、この場合には監視制御回路部30A、30Bの運転開始時の立上り応答遅れが発生する欠点がある。
第一、第二の設定定数集団TBL1、TBL2の中のどの連続異常検出時間Teを選択するかを決定する第一、第二の判定数値選択手段を具体化する最も確実な方法は、印刷パターン42によって選択情報を生成し、このパターンスイッチ情報によって監視制御回路部30A、30B内で定数選択を行なうことである。又、監視制御回路部30A、30BがEEPROMメモリによる不揮発データメモリを有する場合には、印刷パターン情報に代わってこのデータメモリに選択情報を格納することができる
更に、補助プログラムメモリ35Bがフラッシュメモリである場合には、このフラッシュメモリの一部領域を不揮発データメモリとして使用することも可能である。一方、連続異常検出時間Teは、図15で示したように4段階の数値を選択するのではなく、例えば10[msec]単位で100[msec]〜500[msec]までの任意の時間設定を行うようにすることも可能である。このような任意の特定数値を指定する場合には、異常判定閾値Nj、Ni、Nkや、初期設定値Nsj、Nsiは所定算式によって演算算出して、算出結果をRAMメモリ24や補助RAMメモリ34に格納するようにすればよい。
以上の説明に於いて、図1に示す実施の形態1では、監視制御回路部30Aとしてマイクロプロセッサを持たない論理回路部30aが使用されているのに対し、図13に示す実施の形態2では、補助マイクロプロセッサ30bが使用されている。論理回路部を用いた場合には、監視制御回路部としての制御仕様の変更を行うことが困難となるが、補助マイクロプロセッサと補助プログラムメモリを使用しないで安価な集積回路素子を構成することができる特徴がある。一方、補助マイクロプロセッサを使用した場合には、補助プログラムメモリの内容を変更することによって、比較的容易に監視制御回路部の動作仕様を変更することができる特徴がある。
又、図1、図13に示す実施の形態1、2に於いて、通信許可信号は交番信号ALTとし、通信同期信号CLKは監視制御回路部が発生するように構成されている。しかし、通信許可信号としては、図2の(A)で示したような交番信号ALTに替わって、通信許可期間で論理レベルが「H」(又は「L」)となり、通信不許可期間で「L」(又は「H」)となる論理信号にすることも可能である。又、通信同期信号CLKは監視制御回路部が発生するのではなく、主制御回路部が発生するようにしてもよい。
更に、主制御回路部と監視制御回路部間の信号交信の方式として、図2で示したような同期信号を用いた一括ブロック通信方式によらないで、コマンド情報とアドレス情報と交信データによって構成された通信パケットを調歩同期方式で送信するような方式にすることも可能であって、この場合には入出力信号の交信周期に比べて、質問、回答情報の交信周期を自由に拡大延長することができるものである。
主制御回路部20A、20Bには、EEPROMメモリによる不揮発データメモリをシリアル接続するか、又は不揮発プログラムメモリ25A、25Bの一部領域をデータメモリとして使用することにより、異常発生履歴情報を保存することができる。この異常発生履歴情報には、第一から第四の異常検出信号ER1〜ER4の発生回数の累積値を個別に保存格納しておくことによって、保守点検作業に於いて外部ツール19によって異常発生状況を読み出して、主制御回路部20A、20Bの演算異常発生状況や、監視制御回路部30A、30Bの監視異常発生状況、シリアル通信回路27、37の通信異常の発生状況を分離して分析することができるものである。
又、以上の説明では監視制御回路部30A、30Bが主制御回路部20A、20Bの異常を検出すると、主制御回路部20A、20Bが初期化、再起動されるようになっているが、主制御回路部20A、20Bの初期化、再起動処理は行わないで出力禁止カウンタ41b、41cの計数を行なって、異常発生回数が所定閾値回数に達したときにスロットル弁開度制御用モータに対する電源リレーを消勢し、所定のデフォルト弁開度による退避運転モードへ移行するようにすることも可能である。ただし、ウォッチドッグタイマ40がリセット出力信号RST0を発生したときには、主制御回路部20A、20Bと監視制御回路部30A、30Bとの初期化、再起動が行なわれ、出力禁止カウンタ41aが異常発生回数を計数するものである。
この発明の実施の形態1に係る車載電子制御装置の全体構成図である。 この発明の実施の形態1に係る車載電子制御装置に於けるシリアル通信を説明するタイムチャートである。 この発明の実施の形態1に係る車載電子制御装置に於ける質問、回答情報の変遷を説明する説明図である。 この発明の実施の形態1に係る車載電子制御装置の各種メモリと論理ブロックの内容を示す一覧表である。 この発明の実施の形態1に係る車載電子制御装置のパターンメモリの概念図である。 この発明の実施の形態1に係る車載電子制御装置の主制御回路部の送信動作を説明するフローチャートである。 この発明の実施の形態1に係る車載電子制御装置の監視制御回路部の受信動作を説明するフロ−チャ−トである。 この発明の実施の形態1に係る車載電子制御装置の監視制御回路部の送信動作を説明するフロ−チャ−トである。 この発明の実施の形態1に係る車載電子制御装置の主制御回路部の受信動作を説明するフロ−チャ−トである。 この発明の実施の形態1に係る車載電子制御装置の第一の加減算集計手段の動作を説明する特性線図である。 この発明の実施の形態1に係る車載電子制御装置の第二、第四の加減算集計手段の動作を説明する特性線図である。 この発明の実施の形態1に係る車載電子制御装置の第三の加減算集計手段の動作を説明する特性線図である。 この発明の実施の形態2による車載電子制御装置の構成を示す全体構成図である。 この発明の実施の形態2による車載電子制御装置の各種メモリ情報の内容を示す一覧表である。 この発明の実施の形態2による車載電子制御装置の各種設定定数の一例を示した一覧表である。 従来の装置に於ける異常判定手段の概要を示す概念図である。
符号の説明
10A、10B 電子制御装置 11a 第一の入力センサ群
11b 第二の入力センサ群 12a 第一の電気負荷群
12b 第二の電気負荷群 13 外部電源
19 外部ツール 20 マイクロプロセッサ
21 第一の入力インタフェース回路 31 第二の入力インタフェース回路
22 第一の出力インタフェース回路 32 第二の出力インタフェース回路
24 RAMメモリ 25A、25B 不揮発プログラムメモリ
26、36 多チャンネルAD変換器 20A、20B 主制御回路部
27、37 シリアル通信回路 30a 論理回路部
30b 補助マイクロプロセッサ 30A、30B 監視制御回路部
34 補助RAMメモリ 35A データメモリ
35B 補助不揮発プログラムメモリ 41a〜41d 出力禁止カウンタ
42 印刷パターン 602a 第三、第四の判定数値選択手段
603b 誤答情報生成手段 603c 回答情報生成手段
714a 符号誤り検出手段(下り通信) 714d 第二の加減算集計手段
716 応答遅延判定手段 717a 異常判定手段
717e 第一の加減算集計手段 718a 第一の異状発生確定手段
718b 第二の異状発生確定手段 719a 第一の初期化手段
719b 第二の初期化手段 802a 第一、第二の判定数値選択手段
804 質問情報更新手段 805a 質問情報生成手段
914a 符号誤り検出手段(上り通信) 914d 第四の加減算集計手段
917a 現在値情報監視手段 917d 第三の加減算集計手段
918a 第三の異状発生確定手段 918b 第四の異状発生確定手段
919a 第三の初期化手段 919b 第四の初期化手段
ER1 第一の異常検出信号 ER2 第二の異常検出信号
ER3 第三の異常検出信号 ER4 第四の異常検出信号
ALT 通信許可信号 CLK クロック信号(通信同期信号)
UPD 上り通信情報 DND 下り通信情報
Te 連続異常検出時間 Tc 通信許可周期(通信周期)
Tq 質問更新周期(質問周期) Δ1〜Δ5 第一〜第五の変分値
TBL1 第一の設定定数集団 RST0、RST1、RST2 リセット出力信号
TBL2 第二の設定定数集団 TBL3 第三の設定定数集団
TBL4 第四の設定定数集団 Ni、Nj、Nk 異常判定閾値
Nsj、Nsi、N0 初期設定値

Claims (14)

  1. 不揮発プログラムメモリと、演算処理用RAMメモリと、第一の入力センサ群が接続された第一の入力インタフェース回路と、第一の電気負荷群が接続された第一の出力インタフェース回路と、前記不揮発プログラムメモリに格納された制御プログラムの内容と前記第一の入力センサ群の動作状態に応動して、前記第一の電気負荷群を制御するマイクロプロセッサとを備えた主制御回路部と、
    前記マイクロプロセッサに対してシリアル通信回路によって接続され、複数の質問情報を定期的に前記主制御回路部へ順次選択送信する質問情報生成手段と、前記質問情報に対する正解情報を格納する正解情報格納メモリと、前記質問情報に基づく前記主制御回路部からの回答情報と前記正解情報格納メモリに格納されている前記正解情報とを比較して前記主制御回路部の異常の有無を判定する異常判定手段と、前記回答情報を包含する前記主制御回路部からの下り通信により送信された下り通信情報に対する符号誤り検出手段とを有する監視制御回路部と
    を備えた車載電子制御装置であって、
    前記監視制御回路部は、更に、
    前記異常判定手段に応動する第一の加減算集計手段と、
    前記異常判定手段に応動する第一の異常発生確定手段と、
    前記異常判定手段に応動する第一の判定数値選択手段と、
    前記第一の加減算集計手段と前記第一の異常発生確定手段とに適用される第一の設定定数集団と、
    前記符号誤り検出手段に応動する第二の加減算集計手段と、
    前記符号誤り検出手段に応動する第二の異常発生確定手段と、
    前記符号誤り検出手段に応動する第二の判定数値選択手段と、
    前記第二の加減算集計手段と前記第二の異常発生確定手段に適用される第二の設定定数集団と、
    を備え、
    前記第一の設定定数集団は、第一の変分値Δ1と、前記第一の変分値Δ1よりも大きな値である第四の変分値Δ4と、異常判定閾値Njと連続異常検出時間Teとのうちの少なくとも前記連続異常検出時間Teを含み、前記異常判定閾値Njと連続異常検出時間Teとのうちの少なくとも一方の値が異なる複数の設定定数集団を車種に応じて選択可能に構成され、
    前記第一の判定数値選択手段は、前記異常判定閾値Njと連続異常検出時間Teとのうちの少なくとも一方の値が異なる前記複数の設定定数集団のうちの何れか一つを、前記車種に対応して前記第一の設定定数集団から選択適用し、
    前記第一の加減算集計手段は、前記下り通信により送信された下り通信情報に通信異常が検出されていない状態に於いて、前記異常判定手段が前記回答情報と前記正解情報とが不一致であるとの異常判定をしたときには前記第四の変分値Δ4を加算又は減算すると共に、前記回答情報と前記正解情報とが一致するとの正常判定をしたときには前記第一の変分値Δ1を減算又は加算して相互に減殺するように第一の現在値メモリに対する加減算補正を行い、前記異常なしとの判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止し、
    前記第一の異常発生確定手段は、前記第一の変分値Δ1及び前記第四の変分値Δ4の累積によって前記第一の加減算集計手段の現在値が異常側限界値に達したときに、第一の異常検出信号を発生し、
    前記異常判定閾値Njは、前記第一の加減算集計手段に於ける前記異常側限界値と前記
    正常側限界値との差分値に相当し、
    前記第一の異常発生確定手段による実際の連続異常検出時間は、質問更新周期Tqで順
    次発生する前記質問情報に対する前記回答情報が全て前記正解情報とは異なる内容であったときに、前記第一の現在値メモリの値が前記第一の加減算集計手段に於ける前記正常側限界値にあった状態から前記第一の加減算集計手段に於ける前記異常側限界値に達するまでの時間であって、
    前記実際の連続異常検出時間は、前記異常判定閾値Njを前記第四の変分値Δ4で除し
    た値と、前記質問更新周期Tqとの積に相当し、当該実際の連続異常検出時間は前記設定
    された連続異常検出時間Te以下の値となるように、前記設定された連続異常検出時間Teに関連して前記異常判定閾値Njが算出され、
    前記第二の設定定数集団は、前記第一の変分値Δ1と、前記第一の変分値Δ1よりも大きな値である第二の変分値Δ2と、異常判定閾値Nkと連続異常検出時間Teとのうちの少なくとも前記連続異常検出時間Teを含み、前記異常判定閾値Nkと前記連続異常検出時間Teとのうちの少なくとも一方の値が異なる複数の設定定数集団を前記車種に応じて選択可能に構成され、
    前記第二の判定数値選択手段は、前記異常判定閾値Nkと前記連続異常検出時間Teとのうちの少なくとも一方の値が異なる前記複数の設定定数集団のうちの何れか一つを、前記車種に対応して前記第二の設定定数集団から選択適用し、
    前記第二の加減算集計手段は、前記符号誤り検出手段が前記下り通信に異常ありとの判定を行なったときには前記第二の変分値Δ2を加算又は減算すると共に、前記下り通信に異常なしとの判定を行なったときには前記第一の変分値Δ1を減算又は加算して相互に減殺するように第二の現在値メモリに対する加減算補正を行い、前記異常なしとの判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止し、
    前記第二の異常発生確定手段は、前記第一の変分値Δ1及び前記第二の変分値Δ2の累積によって前記第二の加減算集計手段の現在値が異常側限界値に達したときに、第二の異常検出信号を発生し、
    前記異常判定閾値Nkは、前記第二の加減算集計手段に於ける前記異常側限界値と前記
    第二の加減算集計手段に於ける前記正常側限界値との差分に相当し、
    前記第二の異常発生確定手段による実際の連続異常検出時間は、通信周期Tcで順次発
    生する前記下り通信情報の通信誤り率が所定値以上である状態が持続したときに、前記第二の現在値メモリの値が前記第二の加減算集計手段に於ける前記正常側限界値にあった状態から前記第二の加減算集計手段に於ける前記異常側限界値に達するまでの時間であって、 前記実際の連続異常検出時間は、前記異常判定閾値Nkと前記第一及び第二の変分値Δ1、Δ2と前記所定の通信誤り率とに関連して算出される交信回数と前記通信周期Tcとの積に相当し、当該実際の連続異常検出時間は前記設定された連続異常検出時間Te以下の値となるように、前記設定された連続異常検出時間Teに関連して前記異常判定閾値Nkが算出され、
    前記主制御回路部は、更に、
    前記質問情報に対応した回答情報を生成する回答情報生成手段を備えるとともに、
    前記監視制御回路部に関する異常判定手段となる逆監視情報監視手段と、前記質問情報と前記監視制御回路部に対する逆監視情報とを包含した前記監視制御回路部からの上り通信情報に対する符号誤り検出手段と、のうちの少なくとも一方と、
    前記逆監視情報監視手段に応動する第三の判定数値選択手段と、前記上り通信情報に対する符号誤り検出手段に応動する第四の判定数値選択手段と、のうちの少なくとも一方と、
    前記逆監視情報監視手段に応動する第三の加減算集計手段と、前記上り通信情報に対する符号誤り検出手段に応動する第四の加減算集計手段と、のうちの少なくとも一方と、
    前記逆監視情報監視手段に応動する第三の異常発生確定手段と、前記上り通信情報に対する符号誤り検出手段に応動する第四の異常発生確定手段と、のうちの少なくとも一方と、
    前記第三の加減算集計手段と第三の異常発生確定手段とに適用される第三の設定定数集団と、前記第四の加減算集計手段と前記第四の異常発生確定手段とに適用される第四の設定定数集団と、のうちの少なくとも一方と、
    を備え、
    前記第三の設定定数集団は、前記第一の変分値Δ1と、前記第一の変分値Δ1よりも大きな値である第三の変分値Δ3と、異常判定閾値Niと連続異常検出時間Teとのうちの少なくとも前記連続異常検出時間Teを含み、前記異常判定閾値Niと前記連続異常検出時間Teとのうちの少なくとも一方の値が異なる複数の設定定数集団を前記車種に応じて選択可能に構成され、
    前記第三の判定数値選択手段は、前記異常判定閾値Niと前記連続異常検出時間Teとのうちの少なくとも一方の値が異なる前記複数の設定定数集団のうちの何れか一つを、前記車種に対応して前記第三の設定定数集団から選択適用し、
    前記第三の加減算集計手段は、前記監視制御回路部から前記主制御回路部に送信された上り通信情報に通信異常が検出されていない状態に於いて、前記逆監視情報監視手段が前記監視制御回路部の異常判定を行なったときには、前記第三の変分値Δ3を加算又は減算すると共に、正常判定をしたときには前記第一の変分値Δ1を減算又は加算して相互に減殺するように第三の現在値メモリに対する加減算補正を行い、異常なし判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止し、
    前記第三の異常発生確定手段は、前記第一及び第三の変分値の累積によって前記第三の加減算集計手段の現在値が異常側限界値に達したときに、前記第三の異常検出信号を発生し、
    前記異常判定閾値Niは、前記第三の加減算集計手段に於ける前記異常側限界値と前記
    第三の加減算集計手段に於ける前記正常側限界値との差分に相当し、
    前記第三の異常発生確定手段による実際の連続異常検出時間は、前記誤答送信周期Tq
    で順次発生する誤答情報に対する前記逆監視情報が全て異常であったときに、前記第三の現在値メモリの値が正常側限界値にあった状態から異常側限界値に達するまでの時間であって、
    前記実際の連続異常検出時間は、前記異常判定閾値Niを前記第三の変分値Δ3で除し
    た値と、前記誤答送信周期Tqとの積に相当し、当該実際の連続異常検出時間は前記設定
    された連続異常検出時間Te以下の値となるように前記設定された連続異常検出時間Teに関連して前記異常判定閾値Niが算出され、
    前記第四の設定定数集団は、前記第二の設定定数集団と同様に構成され、
    前記第四の判定数値選択手段は、前記異常判定閾値Nkと前記連続異常検出時間Teとのうちの少なくとも一方の値が異なる前記複数の設定定数集団のうちの何れか一つを、前記車種に対応して前記第四の設定定数集団から選択適用し、
    前記第四の加減算集計手段は、前記符号誤り検出手段が上り通信異常ありの判定を行なったときには第二の変分値Δ2を加算又は減算すると共に、上り通信異常なしの判定を行なったときには第一の変分値Δ1を減算又は加算して相互に減殺するように第四の現在値メモリに対する加減算補正を行い、異常なしの判定が継続したときには所定の正常側限界値に於いて前記第一の変分値Δ1による加減算補正を停止し、
    前記第四の異常発生確定手段は、前記第一及び第二の変分値の累積によって前記第四の加減算集計手段の現在値が異常側限界値に達したときに、前記第四の異常検出信号を発生し、
    前記第四の加減算集計手段に於ける前記異常側限界値と前記正常側限界値との差分値は異常判定閾値Nkとなり、
    前記第四の異常発生確定手段による実際の連続異常検出時間は、通信周期Tcで順次発
    生する前記上り通信情報の通信誤り率が所定値以上である状態が持続したときに、前記第四の現在値メモリの値が前記第四の加減算集計手段に於ける前記正常側限界値にあった状態から前記第四の加減算集計手段に於ける前記異常側限界値に達するまでの時間であって、
    前記実際の連続異常検出時間は、前記異常判定閾値Nkと前記第一及び第二の変分値Δ
    1、Δ2と前記所定の通信誤り率とに関連して算出される交信回数と前記通信周期Tcと
    の積に相当し、当該実際の連続異常検出時間は前記設定された連続異常検出時間Te以下
    の値となるように、前記設定された連続異常検出時間Teに関連して前記異常判定閾値Nkが算出され、
    前記第一及び第二の設定定数集団は、出荷調整時に外部ツールから前記不揮発プログラムメモリに格納された前記選択情報を、前記シリアル通信回路を介して前記監視制御回路部の補助RAMメモリ又は不揮発データメモリに送信した選択情報であるか、若しくは前記車載電子制御装置を構成する電子回路基板の印刷パターンによって構成されたパターンスイッチによる選択情報に基づいて選択設定され、
    前記第三及び第四の設定定数集団は、出荷調整時に外部ツールから前記不揮発プログラムメモリに格納された前記選択情報であるか、若しくは前記車載電子制御装置を構成する電子回路基板の印刷パターンによって構成されたパターンスイッチによる選択情報に基づいて選択設定される
    ことを特徴とする監視制御回路を有する車載電子制御装置。
  2. 前記質問情報は、前記不揮発プログラムメモリに包含された一部の演算命令に対応した制御プログラム、又は当該演算命令の少なくとも一部を包含した内容の代替プログラムであって、同じ不揮発プログラムメモリの異なるアドレス領域に格納されているコピープログラムを被試験プログラムとして指定すると共に、当該被試験プログラムに於いて適用される入力データに対応した入力定数テーブル番号を指定するものであって、当該入力定数テーブルの実数値は前記不揮発プログラムメモリに格納されており、
    前記回答情報生成手段は、前記質問情報によって指定された被試験プログラムと入力定数に基づいて回答情報を生成して前記監視制御回路部へ送信する
    ことを特徴とする請求項1に記載の監視制御回路を有する車載電子制御装置。
  3. 前記監視制御回路部は、第一の初期化手段を備え、
    前記第一の初期化手段は、前記第一の異常検出信号の発生に伴って前記マイクロプロセッサを初期化して再起動すると共に、前記第一の現在値メモリの値を初期設定値Nsjに設定する手段であり、
    前記第一の設定定数集団は、前記初期設定値Nsjを包含するものであって、前記初期設定値Nsjの値は前記異常判定値Njに接近した値であり、
    前記マイクロプロセッサが初期化され再起動される回数は、出力禁止カウンタによって計数され、前記出力禁止カウンタの計数現在値が所定閾値に達すると特定電気負荷の駆動を停止した退避運転モードに移行し、電源スイッチが一旦遮断されて再投入されると前記出力禁止カウンタの前記計数現在値はリセットされるものである
    ことを特徴とする請求項1に記載の監視制御回路を有する車載電子制御装置。
  4. 前記監視制御回路部における下り通信の符号誤り検出手段は、前記主制御回路部から前記監視制御回路部に送信された前記下り通信情報の受信データに関して、サムチェック又はCRCチェックで代表される符号点検手段によってビット情報の混入又は欠落の有無を検出する、
    ことを特徴とする請求項1に記載の監視制御回路を有する車載電子制御装置。
  5. 前記監視制御回路部は、前記シリアル通信回路を介して前記マイクロプロセッサに対する一部の入出力信号となる第二の入力センサ群と第二の電気負荷群との入出力信号の交信を行なうと共に、
    前記主制御回路部から前記監視制御回路部に対して送信される下り通信情報は、前記監視制御回路部に於いて必要とされる設定定数又は制御出力と、前記監視制御回路部から前記主制御回路部への上り通信により送信された前回の上り通信情報で得られた前記質問情報に対する回答情報と第二のフラグ情報と符号点検情報とを包含し、
    前記上り通信情報は、前記監視制御回路部に対する入力信号情報、若しくは前記主制御回路部から得られた前記設定定数、又は前記制御出力の記憶情報と、今回の質問情報と第一のフラグ情報と符号点検情報とを包含し、
    前記第一のフラグ情報は、前記監視制御回路部に於いて前記質問情報の内容が更新変更された時点に於いて変化して、質問情報の変化を通報する1ビット又は複数ビットの識別信号となるものであり、
    前記第二のフラグ情報は、前記質問情報の内容が更新変更されたことに伴って、前記主制御回路部が前記回答情報の内容を更新させた時点に於いて変化して、回答情報の更新を通報する1ビット又は複数ビットの識別信号となるものであることを特徴とする請求項4に記載の監視制御回路を有する車載電子制御装置。
  6. 前記監視制御回路部は、更に、質問情報更新手段と応答遅延判定手段を備えており、
    前記質問情報更新手段は、前記上り通信情報に包含される質問情報が複数の通信回数に於いて同一質問情報となるように反復送信し、所定期間以上の送信を行なってから新たな質問情報に更新し、
    前記応答遅延判定手段は、前記監視制御回路部が前記第一のフラグ情報の内容を変化させてから、第二のフラグ情報の受信データが変化するまでの時間が所定時間を超過していたときに前記主制御回路部の異常であると判定する手段であり、
    前記第一の加減算手段は、前記応答遅延判定手段が異常判定を行なったときに、前記第四の変分値Δ4よりも大きな値である第五の変分値Δ5による加減算補正を行なうものである
    ことを特徴とする請求項4に記載の監視制御回路を有する車載電子制御装置。
  7. 前記監視制御回路部は、更に第二の初期化手段を備え、
    前記第二の初期化手段は、前記第二の異常検出信号の発生に伴って前記マイクロプロセッサを初期化して再起動すると共に、前記第一及び第二の現在値メモリの値を所定の初期設定値Nsj、N0に設定する手段であり、
    前記第二の設定定数集団は、更に、前記第二の現在値メモリに対する初期設定値N0を
    包含するものであって、前記初期設定値N0の値は前記第二の加減算集計手段に於ける正
    常側限界値に接近した値であり、
    前記マイクロプロセッサが初期化され再起動される回数は、出力禁止カウンタによって計数され、前記出力禁止カウンタの計数現在値が所定閾値に達すると特定電気負荷の駆動を停止した退避運転モードに移行し、電源スイッチが一旦遮断されて再投入されると前記出力禁止カウンタの現在値はリセットされるものである
    ことを特徴とする請求項5に記載の監視制御回路を有する車載電子制御装置。
  8. 前記不揮発プログラムメモリは、更に、誤答情報生成手段と前記逆監視情報監視手段となる現在値情報監視手段となる制御プログラムを備え、
    前記上り通信情報は、前記監視制御回路部に於ける第一の現在値メモリの値である現在値情報を包含し、
    前記誤答情報生成手段は、前記質問情報に対して意図的に不正解情報を回答情報として送信する手段であって、前記誤答情報生成手段によって意図的に誤答送信するタイミングは前記第一の加減算集計手段による異常監視の集計値に余裕があって、1回の誤答回答によっては前記第一の異常発生確定手段が前記第一の異常検出信号を発生しない時点に於いて実行され、
    前記現在値情報監視手段は、前記上り通信情報である現在値情報を監視することによって監視制御回路部が正常に動作していることを前記主制御回路部によって逆監視して、前記監視制御回路部の異常の有無を判定する手段であり、
    前記誤答情報生成手段は、誤答送信したにも関わらず前記現在値情報監視手段が前記第一の現在値レジスタの変化を確認できないときに引き続いて誤答送信を行う、
    ことを特徴とする請求項1に記載の監視制御回路を有する車載電子制御装置。
  9. 前記不揮発プログラムメモリは、更に、第三の初期化手段を備え、
    前記第三の初期化手段は、前記第三の異常検出信号の発生に伴って前記監視制御回路部を初期化して再起動すると共に、前記第三の現在値メモリの値を初期設定値Nsiに設定する手段であり、
    前記第三の設定定数集団は、更に、前記初期設定値Nsiを包含するものであって、前記初期設定値Nsiの値は前記異常判定値Niに接近した値であり、
    前記監視制御回路部が初期化されて再起動する回数は、出力禁止カウンタによって計数され、当該出力禁止カウンタの計数現在値が所定閾値に達すると特定電気負荷の駆動を停止した退避運転モードに移行し、電源スイッチが一旦遮断されて再投入されると前記出力禁止カウンタの現在値はリセットされるものである
    ことを特徴とする請求項8に記載の監視制御回路を有する車載電子制御装置。
  10. 前記上り通信情報の符号誤り検出手段は、前記監視制御回路部から主制御回路部に送信された上り通信情報の受信データに関して、サムチェック又はCRCチェックで代表される符号点検手段によってビット情報の混入又は欠落の有無を検出する、
    ことを特徴とする請求項1又は請求項8に記載の監視制御回路を有する車載電子制御装置。
  11. 前記不揮発プログラムメモリは、更に、第四の初期化手段を備え、
    前記第四の初期化手段は、前記第四の異常検出信号の発生に伴って前記監視制御回路部を初期化して再起動すると共に、前記第三及び第四の現在値メモリの値を所定の初期設定値Nsi、N0に設定する手段であり、
    前記第四の設定定数集団は、更に、前記第四の現在値メモリに対する初期設定値N0を
    包含するものであって、当該初期設定値N0の値は前記第四の加減算集計手段に於ける正
    常側限界値に接近した値であり、
    前記監視制御回路部が初期化されて再起動する回数は、出力禁止カウンタによって計数され、前記出力禁止カウンタの計数現在値が所定閾値に達すると特定電気負荷の駆動を停止した退避運転モードに移行し、電源スイッチが一旦遮断されて再投入されると前記出力禁止カウンタの現在値はリセットされるものである
    ことを特徴とする請求項10に記載の監視制御回路を有する車載電子制御装置。
  12. 前記監視制御回路部は、マイクロプロセッサを持たない論理回路部と補助RAMメモリによって構成されており、
    前記論理回路部は、前記質問情報生成手段と、質問情報更新手段と、異常判定手段と、応答遅延判定手段と、下り通信情報に対する符号誤り検出手段と、第一及び第二の加減算集計手段と、第一及び第二の異常発生確定手段とに対応した論理回路を包含し、
    前記第一及び第二の判定数値選択手段は、出荷調整時に外部ツールから前記不揮発プログラムメモリに格納された前記選択情報を、前記シリアル通信回路を介して前記監視制御回路部の補助RAMメモリに送信した選択情報であるか、若しくは前記車載電子制御装置を構成する電子回路基板の印刷パターンによって構成されたパターンスイッチ情報であるか、又は前記監視制御回路部に設けられた不揮発データメモリに格納された選択情報に基づいて前記第一の設定定数集団のいずれか一つと、前記第二の設定定数集団のいずれか一つとを選択し、
    前記第一及び第二の設定定数集団に於ける前記第一の変分値Δ1、第二の変分値Δ2、第四の変分値Δ4、第五の変分値Δ5、通信周期Tc、質問情報の更新
    周期Tqと、前記質問情報に対する正解情報は、固定の制御定数として前記監視
    制御回路部に設けられた不揮発データメモリに格納されるか、若しくは前記論理回路部を構成する集積回路素子内の配線パターンによって論理回路の中に組み込まれていて、
    前記補助RAMメモリは、前記第一及び第二の現在値メモリを包含する
    ことを特徴とする請求項6に記載の監視制御回路を有する車載電子制御装置。
  13. 前記監視制御回路部は、補助マイクロプロセッサと、当該補助マイクロプロセッサと協働する補助不揮発プログラムメモリと補助RAMメモリ又は不揮発データメモリを包含し、
    前記補助不揮発プログラムメモリは、前記質問情報生成手段と、前記質問情報更新手段と、前記異常判定手段と、前記応答遅延判定手段と、前記下り通信情報に対する符号誤り検出手段と、前記第一及び第二の加減算集計手段と、前記第一及び第二の異常発生確定手段とのうちの複数の手段に対応した制御プログラムを包含すると共に、
    前記第一及び第二の判定数値選択手段は、出荷調整時に外部ツールから前記不揮発プログラムメモリに格納された前記選択情報を、前記シリアル通信回路を介して前記監視制御回路部の補助RAMメモリ、又は不揮発データメモリに送信した選択情報であるか、若しくは前記車載電子制御装置を構成する電子回路基板の印刷パターンによって構成されたパターンスイッチによる選択情報に基づいて前記第一の設定定数集団のいずれか一つと、前記第二の設定定数集団のいずれか一つとを選択し、
    前記第一及び第二の設定定数集団に於ける前記第一の変分値Δ1、第二の変分値Δ2、第四の変分値Δ4、第五の変分値Δ5、通信周期Tc、質問情報の更新
    周期Tqと、前記質問情報に対する正解情報は、固定の制御定数として前記補助
    不揮発プログラムメモリに格納されており、
    前記補助RAMメモリは、前記第一及び第二の現在値メモリを包含する
    ことを特徴とする請求項6に記載の監視制御回路を有する車載電子制御装置。
  14. 前記主制御回路部に包含された不揮発プログラムメモリは、前記回答情報生成手段と、前記誤答情報生成手段と、前記現在値情報監視手段と、前記上り通信情報に対する符号誤り判定手段と、前記第三及び第四の加減算集計手段と、前記第三及び第四の異常発生確定手段との中の複数の手段に対応した制御プログラムを包含すると共に、
    前記不揮発プログラムメモリは、更に、前記第三及び第四の設定定数集団を構成する前記第一の変分値Δ1、第二の変分値Δ2、第三の変分値Δ3、通信周期Tc、質問情報の
    更新周期Tqと、前記質問情報に対する入力データテーブルとが格納されており、
    前記第三及び第四の判定数値選択手段は、出荷調整時に外部ツールから前記不揮発プログラムメモリに格納された前記選択情報であるか、若しくは前記車載電子制御装置を構成する電子回路基板の印刷パターンによって構成されたパターンスイッチによる選択情報に基づいて、前記第三の設定定数集団の何れか一つと、前記第四設定定数集団の何れか一つとを選択し、
    前記RAMメモリは、前記第三及び第四の現在値メモリを包含する
    ことを特徴とする請求項10に記載の監視制御回路を有する車載電子制御装置。
JP2007304814A 2007-11-26 2007-11-26 監視制御回路を有する車載電子制御装置 Expired - Fee Related JP4776610B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007304814A JP4776610B2 (ja) 2007-11-26 2007-11-26 監視制御回路を有する車載電子制御装置
US12/118,279 US8234035B2 (en) 2007-11-26 2008-05-09 In-vehicle electronic control apparatus having monitoring control circuit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007304814A JP4776610B2 (ja) 2007-11-26 2007-11-26 監視制御回路を有する車載電子制御装置

Publications (2)

Publication Number Publication Date
JP2009129268A JP2009129268A (ja) 2009-06-11
JP4776610B2 true JP4776610B2 (ja) 2011-09-21

Family

ID=40670443

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007304814A Expired - Fee Related JP4776610B2 (ja) 2007-11-26 2007-11-26 監視制御回路を有する車載電子制御装置

Country Status (2)

Country Link
US (1) US8234035B2 (ja)
JP (1) JP4776610B2 (ja)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4775336B2 (ja) * 2007-06-27 2011-09-21 トヨタ自動車株式会社 排気ガスセンサのヒータ制御装置
US9207661B2 (en) 2007-07-20 2015-12-08 GM Global Technology Operations LLC Dual core architecture of a control module of an engine
US8909416B2 (en) * 2008-04-14 2014-12-09 Innova Electronics, Inc. Handheld scan tool with fixed solution capability
DE102008029310C5 (de) * 2008-06-20 2019-01-03 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Überwachungseinrichtung zur Überwachung von Systemen eines Fahrzeugs
DE102008030092A1 (de) * 2008-06-25 2009-12-31 Audi Ag Elektrisch ansteuerbare Baueinheit eines Kraftfahrzeugs und Verfahren zum Identifizieren einer elektrisch ansteuerbaren Baueinheit eines Kraftfahrzeugs
JP5843786B2 (ja) * 2009-12-18 2016-01-13 コンティ テミック マイクロエレクトロニック ゲゼルシャフト ミットベシュレンクテル ハフツングConti Temic microelectronic GmbH 制御装置にある監視計算機
JP4957785B2 (ja) * 2009-12-24 2012-06-20 株式会社デンソー 異常報知システム及び異常通知装置
JP5407882B2 (ja) * 2010-01-14 2014-02-05 オムロン株式会社 制御システム
JP2011194958A (ja) * 2010-03-18 2011-10-06 Denso Corp 電子制御装置
WO2012004836A1 (ja) * 2010-07-08 2012-01-12 三菱電機株式会社 自動車用データ異常判定装置
US9061592B2 (en) * 2012-01-24 2015-06-23 Toyota Motor Engineering & Manufacturing North America, Inc. System and method for detecting power integrator malfunction
US9058419B2 (en) * 2012-03-14 2015-06-16 GM Global Technology Operations LLC System and method for verifying the integrity of a safety-critical vehicle control system
JP6075262B2 (ja) * 2013-10-02 2017-02-08 株式会社デンソー 制御装置
DE102014013942A1 (de) * 2014-09-19 2016-03-24 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Fahrzeugeinrichtung mit stromsparendem Betrieb einer Signaleingabevorrichtung
KR102618699B1 (ko) * 2016-09-28 2024-01-02 삼성전자주식회사 호스트에 의해 제어되는 스토리지 장치를 포함하는 컴퓨팅 시스템
US10162680B2 (en) * 2016-12-13 2018-12-25 GM Global Technology Operations LLC Control of data exchange between a primary core and a secondary core using a freeze process flag and a data frozen flag in real-time
JP6692763B2 (ja) * 2017-02-15 2020-05-13 株式会社デンソーテン 制御装置および制御プログラム更新方法
KR102111295B1 (ko) * 2018-02-05 2020-05-15 주식회사 만도 리던던트 구조 기반의 차량 제어 장치 및 방법
JP7031573B2 (ja) * 2018-12-13 2022-03-08 日本電信電話株式会社 推定装置、推定方法および推定プログラム
US11036573B2 (en) * 2019-05-16 2021-06-15 Ford Global Technologies, Llc Control processor unit (CPU) error detection by another CPU via communication bus
US10936397B2 (en) * 2019-05-23 2021-03-02 Ford Global Technologies, Llc Hybrid control module status communication system and method
KR20220027404A (ko) * 2020-08-27 2022-03-08 주식회사 만도모빌리티솔루션즈 Mcu 고장 검출 장치 및 방법
JP7531713B2 (ja) 2021-06-23 2024-08-09 三菱電機株式会社 シリアル通信システム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001350735A (ja) 2000-06-09 2001-12-21 Bosch Automotive Systems Corp 複数データ処理装置間相互監視方法
JP2002019549A (ja) * 2000-07-05 2002-01-23 Keihin Corp 車両用電子制御ユニット
JP4050196B2 (ja) * 2003-07-09 2008-02-20 三菱電機株式会社 監視制御回路を有する電子制御装置
JP4296050B2 (ja) * 2003-07-14 2009-07-15 三菱電機株式会社 電子制御装置
JP4486050B2 (ja) * 2006-02-27 2010-06-23 パナソニック株式会社 生産設備用の制御システム、及び生産設備用の制御管理システム
JP4476320B2 (ja) * 2007-11-26 2010-06-09 三菱電機株式会社 監視制御回路を有する車載電子制御装置
JP4454672B2 (ja) * 2008-06-13 2010-04-21 三菱電機株式会社 監視制御回路を有する車載電子制御装置

Also Published As

Publication number Publication date
JP2009129268A (ja) 2009-06-11
US20090138137A1 (en) 2009-05-28
US8234035B2 (en) 2012-07-31

Similar Documents

Publication Publication Date Title
JP4776610B2 (ja) 監視制御回路を有する車載電子制御装置
US7912600B2 (en) In-vehicle electronic control apparatus having monitoring control circuit
US8712635B2 (en) In-vehicle electronic control apparatus having monitoring control circuit
US7251551B2 (en) On-vehicle electronic control device
JP4209743B2 (ja) 電子制御装置
WO2016027367A1 (ja) 車載電子制御装置
US7750497B2 (en) Power feed control circuit for on-vehicle electronic control apparatuses
US7346002B2 (en) Electronic control unit
US7656787B2 (en) Modular numerical control
US9707908B2 (en) Driving device
JP4296050B2 (ja) 電子制御装置
US8321063B2 (en) Electronic control apparatus
JP2008199253A (ja) 異常診断システム及び診断情報管理装置
JP2007038816A (ja) ネットワークシステム及びその管理方法
US10661809B2 (en) Method and system at activation of a fault code in a control system, and vehicle comprising the system
JP2005163706A (ja) アクチュエータ駆動系の異常診断装置
US8977907B2 (en) Control system to identify faulty code modules
CN115230618A (zh) 车辆及其控制方法
JP2006195739A (ja) 電子制御装置
JP7226291B2 (ja) 電子制御装置
JP2010528217A (ja) 電気コンポーネントの状態を内燃機関のエンジン制御装置にフィードバックするための方法
JP2008009682A (ja) シミュレーションモデルの同定方法およびそのプログラム
CN114200906A (zh) 驱动装置和驱动系统
JPH0669017U (ja) 車両用制御装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090820

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090901

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091029

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091208

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100302

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100304

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20100315

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20100402

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110527

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110628

R151 Written notification of patent or utility model registration

Ref document number: 4776610

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140708

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees