JP4784311B2 - 車両用電子制御システム - Google Patents

車両用電子制御システム Download PDF

Info

Publication number
JP4784311B2
JP4784311B2 JP2006003708A JP2006003708A JP4784311B2 JP 4784311 B2 JP4784311 B2 JP 4784311B2 JP 2006003708 A JP2006003708 A JP 2006003708A JP 2006003708 A JP2006003708 A JP 2006003708A JP 4784311 B2 JP4784311 B2 JP 4784311B2
Authority
JP
Japan
Prior art keywords
reset
cpu
rewriting
monitoring
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006003708A
Other languages
English (en)
Other versions
JP2007185998A (ja
Inventor
康典 坂田
唯基 文屋
雅之 布田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Advics Co Ltd
Original Assignee
Advics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Advics Co Ltd filed Critical Advics Co Ltd
Priority to JP2006003708A priority Critical patent/JP4784311B2/ja
Publication of JP2007185998A publication Critical patent/JP2007185998A/ja
Application granted granted Critical
Publication of JP4784311B2 publication Critical patent/JP4784311B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Combined Controls Of Internal Combustion Engines (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、プログラム書換えや補正データ更新などが行われる車両用電子制御システムに関するものである。
従来、特許文献1に示される車両用電子制御システムがある。この車両用電子制御システムでは、少なくとも2つのマイクロコンピュータ(電子制御装置)を備えておき、電源をONした時とマイクロコンピュータの動作中にリセットを行って再起動する時を識別し、動作中にリセットを行った回数が所定回数を超えた場合に、電源がOFFされるまでコンピュータの動作がリセット状態に保持(以下、リセットラッチという)する。これにより、マイクロコンピュータに異常が発生したときにマイクロコンピュータが再起動し続けられることを防止している。
また、特許文献2には、メモリに欠陥が生じた場合でも、制御プログラムによる制御なしでメモリへの書換え動作が行えるようにし、書換え後にリセットを行う制御装置が提案されている。
特開平5−88924号公報 特開平8−83176号公報
マイクロコンピュータの安全性を考慮すると、何らかの異常が発生したときには電源がOFFするまでリセットラッチを掛け、マイクロコンピュータを待機状態にするのが好ましい。
しかしながら、プログラムの書換えや補正データの更新などを行った場合に、その更新による不正確なデータに基づく演算などが行われることになるため、例えば、マイクロコンピュータが暴走状態になることで異常発生に基づくリセットラッチが掛けられ、電源がOFFされるまでプログラムを再起動させられなくなるという問題がある。
近年では、利便機能向上、例えばトラクション(TCS)性能やセンサ側の精度向上に伴うブレーキ加圧条件の変更や加圧ガード変更などの要望があり、プログラムの書換えによって対応することが可能であるが、このような場合にも上記問題が発生し得る。
本発明は上記点に鑑みて、プログラムの書換えや補正データの更新などが行われる場合に、リセットラッチが掛けられることで電源がOFFされるまでプログラムが起動させられなくなることを防止することを目的とする。
上記目的を達成するため、請求項1に記載の車両用電子制御システムは、監視リセット制御用のモノリシックIC(2)と、車両に関する制御を実行するデータを記憶する記憶手段(32、33)を備えた車両制御用のCPU(3)を備え、以下の構成を有していることを特徴としている。
すなわち、モノリシックIC(2)では、CPU異常検出手段(22)がCPU(3)から送られてくるデータに基づいて、CPU(3)の異常を検出すると共に、監視側通信手段(23)がCPU(3)から記憶手段(32、33)へのプログラムの書換えや記憶データの更新を行っていることを示す書換え中信号を受け取り、リセット制御手段(24、25)にて、CPU異常検出手段(22)によりCPU(3)の異常が検出されたときに、CPU(3)にリセットの指示を行うと共に、該リセットの回数をカウントして該回数が予め決められた規定値に達したときにリセットラッチの指示を行い、かつ、監視側通信手段(23)が書換え中信号を受け取ったときにリセットの回数を増加させないようにする。さらに、モノリシックIC(2)にCPU電源手段(21)を備え、電源(4)からCPU(3)への電力供給のON/OFFを制御し、監視側通信手段(23)が書換え中信号を受け取ったときに、電力供給をOFFさせることなくONし続けるようにする。
一方、CPU(3)では、書換え判別手段(3b)にて記憶手段(32、33)にプログラムの書換えや記憶データの更新を行うか否かを判別し、プログラムの書換えや記憶データの更新を行っていることを示す書換え中指示信号を出力させ、CPU通信手段(3d)にて、その書換え中指示信号をモノリシックIC(2)に出力させる。そして、リセット制御手段(24、25)によるリセットもしくはリセットラッチの指示に基づき、該CPUのリセットやリセットラッチを実行するリセット処理手段(3e)を実行する。
このような車両用電子制御システムであれば、CPU(3)をリセットさせる要求があった場合に、それがCPU異常検出手段(22)でCPU異常が検出されたためなのか、CPU(3)が書換え中指示信号を出して指示しているものなのかを判別することができる。そして、CPU(3)からの指示による場合には、リセット回数を増加させないようにするCPU(3)にリセットラッチが掛けられることを防ぎ、CPU異常によるものである場合にはCPU(3)にリセットラッチを掛けるようにしている。
これにより、CPU(3)の安全性を考慮して、何らかの異常が発生したときには電源がOFFするまでリセットラッチを掛けて、CPU(3)を待機状態にしつつ、プログラムの書換えや補正データの更新などを行う場合にリセットラッチが掛けられることを防止でき、電源(4)をOFFしなくてもプログラムを再起動させることが可能となる。
請求項2に記載の発明では、リセット制御手段(24、25)では、規定値をノイズ許容回数としており、リセットの回数がノイズ許容回数を超える場合に、リセットラッチの指示を行うことを特徴としている。
このように、ノイズを考慮して、ノイズ許容回数(例えば2回以上)を超える場合に、初めてCPU(3)にリセットラッチが掛かるようにすることができる。また、ノイズ自体を許容しなければ、1回のリセットでリセットラッチが掛かるようにすることもできる。
なお、請求項3に示すように、リセット回数を増加させないとは、リセット回数を維持するようにしても良いし、リセット回数を所定値、例えば0にクリアしても良い。
CPU(3)の異常監視の為には、例えば、請求項4に示すように、CPU(3)に監視のためのカウントを行うウォッチドッグタイマ(3a)を備えることが挙げられ、CPU異常検出手段(22)にて、ウォッチドッグタイマ(3a)のカウント値に基づいてCPU(3)の異常を検出することができる。
また、請求項5に示すように、CPU(3)にて、CPU通信手段(3d)を通じて監視側通信手段(23)に対して決められた周期毎にデータを送らせ、監視側通信手段(23)がCPU(3)からのデータを決められた周期よりも長期間に設定された時間(T2)を超えて受信しなかったときに、リセットの指示を行うことでCPU(3)の異常を検出することもできる。
なお、上記各手段の括弧内の符号は、後述する実施形態に記載の具体的手段との対応関係を示すものである。
以下、本発明の実施形態について図に基づいて説明する。
(第1実施形態)
図1は、本発明の第1実施形態が適用された車両用電子制御システム1のブロック構成を示した図である。以下、この図を参照して、本実施形態の車両用電子制御システム1の構成について説明する。
車両用電子制御システム1は、モノリシックICに相当する監視リセット制御部2とCPU3を備えた構成とされ、イグニッション(以下、IGという)電源から印加されるIG電源電圧に基づいて作動する。
監視リセット制御部2は、図示しないがROM、RAM、I/Oなどを備えた周知のマイクロコンピュータまたはモノリシックICによって構成され、ROMなどに記憶されたプログラムにしたがって、CPUの異常監視やリセット制御を実行する。具体的には、監視リセット制御部2は、CPU電源回路21、CPU異常検出部22、監視側通信部23、リセットラッチ判別部24およびリセット出力部25を有した構成とされている。
CPU電源回路21は、IG電源4からの電力供給を受け、一定電圧となる電圧VCC(例えば5V)を形成するものであり、CPU3への電力供給のON/OFFの制御を行う。すなわち、このCPU電源回路21によって形成された電圧VCCがCPU3に印加され、CPU3が作動する。
CPU異常検出部22は、CPU3内のウォッチドッグタイマ(以下、WDタイマという)3aのタイマカウントに基づいてCPU3の異常を検出するものであり、一般的に良く知られているものである。このCPU異常検出部22によってCPU3の異常が検出されたときには、CPU異常検出部22からリセットラッチ判別部24に対してリセットラッチを指示する信号が出力される。
監視側通信部23は、CPU3内のCPU通信部3dとデータの受け取りもしくは受け渡しを行う。そして、監視側通信部23は、CPU通信部3dから得たデータにリセット要求やリセット回数維持要求の有無が示されているため、それをRAMに記憶させると共にRAMに記憶させた内容を示す信号をリセットラッチ判別部24に送る。なお、リセット要求やリセット回数維持要求は、“0”、“1”のフラグによって示され、フラグが“0”(つまりリセット状態)は要求無しを示し、“1”(つまりセット状態)は要求有りを示している。
また、監視側通信部23は、CPU3から予め決められた周期毎にデータが送られてくることになっているため、このデータがその周期よりも長時間に設定された時間を超えて受信されなかった場合に、CPU3に異常が発生したと判別してリセット要求を指示する信号を出力する。
リセットラッチ判別部24は、CPU異常検出部22や監視側通信部23から伝えられる信号に基づいて、リセットを行うか否か、もしくはリセットラッチを掛けるか否かを判別するものである。このリセットラッチ判別部24での判別結果を示す信号はリセット出力部25に伝えられる。また、リセットラッチ判別部24は、リセットした回数をカウントし、そのカウント数に応じてリセットラッチを掛けるか否かを判別を行う。さらに、リセットラッチ判別部24は、リセットラッチを掛ける必要があるか否かを判別し、それを示す信号をリセット出力部25に送る。このリセットラッチ要求も、“0”、“1”のフラグによって示され、フラグが“0”(つまりリセット状態)は要求無しを示し、“1”(つまりセット状態)は要求有りを示している。
リセット出力部25は、リセットラッチ判別部24から送られる信号に基づいて、それに応じた出力を発生させる。具体的には、リセット出力部25は、CPU3をリセットする場合には、出力する電位をHiからLowに切り替えたのちLowからHiに切り替え、リセットラッチする場合には出力する電位をHiからLowに切り替えたのちリセットラッチを継続する期間中Lowを維持する。
一方、CPU3は、ROM32、RAM33、I/O(図示せず)などを備えた周知のマイクロコンピュータによって構成され、ROM32などに記憶されたプログラムに従い、RAM33に記憶されたデータを用いて各種演算などの処理を行うことで、車両に関する制御としてブレーキ液圧制御を実行する。
CPU3は、WDタイマ3aや書換え判別部3b、通常制御部3c、CPU通信部3dおよびリセット処理部3eを有して構成されている。
WDタイマ3aは、マイクロコンピュータが正常動作時に、基本周期毎にパルス出力を行う。
書換え判別部3bは、書換え要求信号に基づいて、ROM32に記憶してあるプログラムの書換えや補正データの更新などを行うものである。ユーザーもしくは書換え作業者が外部書換え装置5を用いてプログラムの書換えや補正データの更新などを行う際に、外部書換え装置5をCPU3に繋がる図示しない端子に接続すると、書換えデータもしくは更新用データを格納した書換え要求信号が外部書換え装置5から入力される。書換え判別部3bは、この書換え要求信号を受け取ったか否かに基づいてプログラムの書換えや補正データ更新を行うか否かの判別を行い、それを行うと判別したときにプログラムの書換えや補正データ更新を行う。
また、書換え判別部3bは、プログラムの書換えや補正データ更新を行うと判別した場合に、CPU通信部3dに対してリセット要求有、リセット回数維持要求有を示す信号を送り、逆に、判別しなかった場合には、リセット要求無、リセット回数維持要求無を示す信号を送る。さらに、書換え判別部3bは、プログラムの書換えや補正データ更新を行うときには、書換え実行中であることを示す書換え中信号を通常制御部3cにも伝えるようになっている。
通常制御部3cは、書換え判別部3bから書換え中信号を受け取っていない通常状態のときにはブレーキ液圧制御を実行し、書換え中信号を受け取っている書換え状態のときにはブレーキ液圧制御を実行しないようにしている。
CPU通信部3dは、書換え判別部3bから伝えられたリセット要求やリセット回数維持要求の有無を示す信号を例えばシリアル/非同期などの通信手段を用いて監視リセット制御部2に伝えるものである。
リセット処理部3eは、監視リセット制御部2からのリセット信号に基づいて、CPU3をリセットするか、リセットラッチするかなどを判別し、それを実行するものである。具体的には、リセット処理部3eは、CPU3に対して電圧VCCが印加されている状態において、リセット出力部25の電位がLowからHiに切り替わるとCPU3を起動し、HiからLowに切り替わるとリセットが掛けられ、Lowが維持(リセットラッチ)されている期間中リセットを掛けたままとする。そして、リセット処理部3eがリセットラッチを掛けているときにCPU3に対する電圧VCCの印加がOFFされると、リセットラッチを解除する。
続いて、上記のように構成された車両用電子制御システム1の作動について説明する。図2〜図6は、車両用電子制御システム1がROM32に記憶されたプログラムにしたがって実行する各種制御のフローチャートを示したものである。以下、これらの図を参照して車両用電子制御システム1の作動を説明する。
図2は、監視リセット制御部2で実行される監視リセット制御処理のフローチャートである。この処理は、IG電源4による電力供給に基づいて実行されるもので、ドライバがIGスイッチをONし、IG電源4からの電力供給が行われたときに演算周期毎に実行される。
まず、ステップ100では、IG電源4のONが維持された状態か否かを判定する。この処理は、IG電源4がONされて最初にこのステップでの判定が行われるのであるか否かを判定するためのものである。このため、このステップでの判定がIG電源4がONされてから初めてのものであった場合にはここで否定判定され、2回目以降であった場合にはここで肯定判定される。
このステップで否定判定されると、ステップ105に進み、初期化処理として、リセットラッチ要求無しを示すべくフラグをリセット状態“0”とし、リセットされた回数を示す回数カウンタも“0”にする。
続いて、ステップ110に進み、リセット要求無し、リセット回数維持要求無しを示すべく、それぞれの要求を示すフラグを共にリセット状態“0”とし、リセットLow状態経過時間もリセット状態“0”とする。
一方、IG電源4からの電力供給が行われると、CPU電源回路21を通じて電圧VCCがCPU3に印加される。さらに、リセット出力部25の出力電位をHiに切替える。これにより、CPU3が起動し、CPU制御を実行する。
図3は、このCPU制御の処理を示したフローチャートである。このCPU制御の処理は演算周期毎に行われる。なお、図1におけるステップ100で肯定判定された場合の処理は、CPU制御の処理などに基づいて行われるものであるため、ここでは先に図3以降の各種処理について説明する。
まず、CPU3が起動されると、ステップ200においてプログラム書換え要求の有無を判定する。書換え要求が無ければこのステップで肯定判定され、あれば否定判定される。
そして、ステップ200で肯定判定されるとステップ205に進み、ROM32に記憶された補正データの更新を判定する。補正データの更新を行う場合には、更新後に一旦CPU3をリセットして、再起動する必要がある。このため、プログラムの書換えや補正データの更新を行う場合にはステップ215に進む。プログラム書換えや補正データの更新要求が無いと判定された場合は、通常のブレーキ液圧制御を行うべく、ステップ210に進む。
一方、ステップ200で否定判定された場合にもステップ215に進む。このステップ215では、プログラム書換えや補正データ更新を行う。このときのプログラム書換えや補正データ更新の内容は、上述した外部書換え装置の信号に示される内容となる。
そして、プログラム書換えや補正データ更新が完了すると、ステップ220に進んでリセット要求有り、および、リセット回数維持要求有りを示すべく、それぞれの要求を示すフラグを共にセット状態“1”として、処理を完了する。なお、このリセット要求有り、および、リセット回数維持要求有りを示すフラグは、その後の演算周期が来たときにステップ205で肯定判定されると再びリセットされる。
図4は、図3におけるステップ210に示すブレーキ液圧制御のフローチャートである。ブレーキ液圧制御としては、周知となっているアンチロックブレーキ制御(ABS)や横滑り防止制御(ESC:Electronic Stability Control)、トラクション制御(TCS)を行っている。すなわち、ステップ300にて各車輪の車輪速度Vwの演算、ステップ305にて各車輪の車輪加速度DVwの演算、ステップ315にて車輪速度Vwに基づく推定車体速度Vsの演算を行い、車輪速度Vwと推定車体速度Vsとの偏差として示されるスリップ率などから車輪のロック傾向を検出したり、横滑り傾向を検出する等により、ABS制御やESC制御やTCS制御を実行する。
また、上述した図3における処理に基づいて、CPU3は、データの送信処理を実行する。図5は、この送信処理のフローチャートを示したものである。この送信処理も演算周期毎に実行される。
ステップ400では、図示しないが、定期的なCPU送信したときのデータ送信が完了したか否かを判定する。そして、送信完了を示すフラグがセットされていなければ、ステップ405に進んでリセット要求の有無やリセット回数維持要求の有無を示すデータを送信する処理を行い、セットされていれば、そのまま処理を完了する。リセット要求の有無やリセット回数維持要求の有無のデータに関しては、上述した図3の結果がそのまま反映されたものとなる。
これに伴い、監視リセット制御部2は、監視側通信部23にて、CPU3からの送信処理によるデータの受信処理を実行する。図6は、このデータ受信処理のフローチャートを示したものである。この処理も演算周期毎に実行される。
まず、ステップ500に示すように、データ受信が完了したか否かを判定する。例えば、受信データ内に終了確認を示すデータを含めておけば、そのデータを受信したときにデータの受信が完了したことが確認できる。このため、完了したことが確認できたらデータ受信が完了したことを示すフラグをセット状態“1”とし、完了していないもしくはデータ受信が行われていないのであればフラグをリセット状態“0”とする。そして、このフラグの状態からデータ受信が完了したか否かを判定し、完了した場合には、ステップ505に進む。
ステップ505では、受信したデータがリセット要求有りを示していたか否かを判定する。上述したステップ220でリセット要求有りを示すフラグがセットされていれば、このステップで肯定判定されることになる。そして、ここで肯定判定された場合には、ステップ510においてリセット要求の有無の状態を記憶するRAM内のメモリをセット状態“1”とし、否定判定された場合には、ステップ515に進む。
このステップ515では、受信したデータがリセット回数維持要求有りを示していたか否かを判定する。上述したステップ220でリセット回数維持要求有りを示すフラグがセットされていれば、このステップで肯定判定されることになる。そして、ここで肯定判定された場合には、ステップ520においてリセット回数維持要求の有無の状態を記憶するRAM内のメモリをセット状態“1”とし、否定判定された場合には、ステップ525に進む。
そして、このステップ525では、データ受信が完了したことを示すフラグを再びリセット状態“0”としたのち、ステップ530に進む。
一方、ステップ500で否定判定された場合には、ステップ535に進む。ステップ535では、CPU3からのデータを受信していない時間(以下、データ受信無時間という)が規定時間T2を超えたか否かを判定する。ここでいう規定時間T2は、CPU3からデータが送られてくるべきであるにもかかわらず送られてきていないような状況を想定して規定されたものである。CPU3からのデータ受信無時間をカウントし、このデータ受信無時間が規定時間T2に満たなければ許容するが、規定時間T2を超えると異常であると判別する。このため、このステップ535で否定判定された場合には、ステップ540に進んでデータ受信無時間を示すカウンタを1つインクリメントしたのち処理を終了し、規定時間T2を超えてもCPU3からのデータを受信しない場合には、ステップ545に進んでCPU3を再起動させるべく、リセット要求有り、つまりリセット要求の有無の状態を記憶するRAM内のメモリをセット状態“1”としたのち、ステップ530に進む。
ステップ530では、データ受信を完了してそのデータに示されたリセット要求やリセット回数維持要求の有無の状態をRAM内のメモリに記憶させた後、もしくは、データを規定時間T2よりも長時間受け取れずリセット要求有りをRAM内のメモリに記憶させた後であるため、データ受信無時間を0にクリアする。
このようにして、監視リセット制御部2において、CPU3でのリセット要求やリセット回数維持要求の有無が認識されると共に、CPU3の状態に応じてリセット要求の有無が認識される。
再び、図2に示す監視リセット制御処理のフローチャートに戻って説明する。IG電源4がONされた直後ではない場合、つまりステップ100の処理を行うのが2回目以上となる場合には、ステップ100で肯定判定される。そして、ステップ115に進み、リセットラッチ要求の有無を示すメモリがリセット状態“0”であるか否かを判定する。
リセットラッチ要求は、後述するステップ170でセット状態“1”とされない限りはリセット状態“0”となるため、基本的にはこのステップで肯定判定される。そして、ステップ120に進み、リセット要求の有無を示すメモリがセット状態“1”であるか否かを判定する。上述した図6のステップ510やステップ545でリセット要求の有無を示すメモリがセット状態“1”にされていれば、このステップで肯定判定される。
そして、リセット要求が出されておらず、このステップ120で否定判定されれば、ステップ110に進み、上記と同様の処理を行った後、監視リセット制御処理を終了する。すなわち、リセット要求が出されていなければ、プログラムの書換えや補正データの更新も行われておらず、かつ、CPU3に異常も発生していない通常のブレーキ液圧制御が行われている状態であると考えられる。このため、この場合には、そのまま監視リセット制御処理を終了する。
一方、ステップ120で肯定判定された場合には、ステップ125に進む。このステップでは、リセット出力部25の出力する電位がHiか否かを判定する。通常、CPU3をリセットして再起動したときにはリセット出力部25の出力する電位がHiになっているため、このステップ125は肯定判定され、CPU3をリセットしているときには電位がLowとなっているため、このステップ125で否定判定されることになる。
ここで肯定判定された場合には、ステップ130に進んで、リセット出力部25の出力する電位をHiからLowに切り替えることで、リセットを行う準備を行う。つまり、CPU3をリセットする場合には、リセット処理部3eに入力される電位をHiからLowに切り替えた後で、さらにLowからHiに切り替える必要があるため、一旦Lowにするのである。
また、リセット要求が出されて、CPU3を再度リセットするためにリセット出力部25の出力する電位がLowとされ、ステップ125で否定判定された場合、つまり既にステップ130の処理によってリセット出力部25の出力する電位がHiからLowに切替えられていた場合には、ステップ135に進み、リセットLow状態経過時間が規定時間T1未満であるか否かを判定する。
規定時間T1は、リセットを行う前にリセット出力部25の出力する電位をLowにしておく時間である。この規定時間T1を超えるまでは、ステップ135で肯定判定され、ステップ140に進んでリセットLow状態経過時間を示すカウンタを1つインクリメントし、処理を終了する。そして、リセットLow状態経過時間を示すカウンタの値が規定時間T1を超えるものとなったときにステップ145に進み、CPU3を再起動させる。具体的には、リセット出力部25の出力する電位をLowからHiに切り替える。それと同時に、リセット要求の有無を示すメモリをリセット状態“0”、リセットLow状態経過時間を示すカウンタをリセット状態“0”にして、処理を終了する。このようにして、リセット要求が有った場合の処理が行われる。
また、上記ステップ125で肯定判定され、ステップ130に進んだ後には、ステップ150に進み、リセット回数維持要求を示すメモリがセット状態“1”であるか否かを判定する。
ここで、リセット回数とリセット回数維持要求について説明する。リセット回数は、リセット回数カウンタによってカウントされており、このリセット回数が規定値C1を超えると、CPU3に異常が発生したとみなしてリセットラッチ要求が出されるようになっている。リセット回数維持要求は、CPU3がプログラムの書換えや補正データの更新を行ったときにセット状態“1”となる。CPU3がプログラムの書換えや補正データの更新を行っている最中は図示しないがCPU3がいわゆる暴走状態になるが、異常が発生した訳ではないため、CPU異常の検出をさせない処置を行う。更新後に、その処置の解除およびRAMの不正確なデータに基づく演算が行われることになるため、リセットを掛ける。このときにリセット回数カウンタのカウントを増加させるのは好ましくない。このため、CPU3がプログラムの書換えや補正データの更新を行う場合はリセット回数維持要求を出すことで、リセット回数カウンタのカウントを維持し、増加させないようにするのである。
したがって、ステップ150で肯定判定された場合には、ステップ155に進み、リセット回数が維持されるように、リセット回数カウンタでのカウントUPのステップを飛ばし、その後、リセット回数維持要求を示すメモリをリセット状態“0”に戻して処理を終了し、再度、監視リセット制御処理を繰り返す。また、図示しないがプログラムの書換えや補正データの更新にて、必要に応じて、リセット回数カウンタを所定値、例えば“0”にクリアする。
逆に、ステップ150で否定判定された場合には、ステップ160に進んでリセット回数カウンタのカウントを1つインクリメントする。そして、ステップ165に進み、リセット回数カウンタのカウントがCPU3に異常が発生したとみなす規定値C1を超えているか否かを判定する。
規定値C1は、リセットラッチと判別する閾値となるもので、ノイズなどを考慮する場合にはノイズ許容回数として設定される。本実施形態の場合、CPU3からプログラムの書換えや補正データの更新によってリセット要求が出された場合に、リセット回数維持要求を示すメモリがセット状態“1”になる。しかしながら、CPU3に何らかの異常が発生した場合、リセット要求を示すメモリがセット状態“1”になる可能性がある。このような場合に、即座にCPU3にリセットラッチを掛けても良いが、それがノイズ的に発生する場合も有り得る。したがって、ノイズによることを想定して、リセット回数がC1になるまではリセットラッチを許容するが、それを超える場合にはCPU3に異常が発生したものとして、CPU3にリセットラッチを掛けるようにする。
このため、リセット回数カウンタのカウントがC1を超えていなければステップ155に進んで上記と同様の処理を実行し、超えていればステップ170に進んでリセットラッチ要求を出すべく、リセットラッチ要求を示すメモリをセット状態“1”にしたのち、処理を終了し、監視リセット制御処理を繰り返す。
このように、リセットラッチ要求が出されると、次の演算周期において再度監視IC内部処理が実行され、ステップ100でIG電源4が既にONされた状態となっているため肯定判定され、かつ、ステップ115でリセットラッチ要求を示すフラグがセット状態“1”となっているため否定判定されることで、ステップ175に進む。
これにより、ステップ175において、リセットラッチ判別部24からリセット出力部25に対してリセットラッチ要求として、リセット出力部25の電位をHiからLowに切替えたのちLowを維持するという指示が出される。これに基づき、CPU3にリセットラッチが掛かり、CPU3が待機状態となる。このようにして、監視リセット制御部2によるCPU3の監視リセット制御が実行される。
以上説明した本実施形態の車両用電子制御システム1によれば、電源起動(IG電源4をON)したときにリセット要求やリセット回数等をクリアし、リセット要求を示すメモリがセット状態“1”であったときに、それがCPU3からの指示によるものであるか、それともCPU3の異常によるものであるかを判別している。そして、CPU3からの指示による場合には、リセット回数維持要求を出すことでCPU3にリセットラッチが掛けられることを防ぎ、CPU異常によるものである場合にはCPU3にリセットラッチを掛けるようにしている。
これにより、監視リセット制御部2側でCPU3がプログラムの書換えや補正データの更新によってリセット要求を出しているときと、例えばCPU異常によってリセット要求を示すメモリがセット状態“1”になってしまったときを判別できる。このため、CPU3の安全性を考慮して、何らかの異常が発生したときには電源がOFFするまでリセットラッチを掛けて、CPU3を待機状態にしつつ、プログラムの書換えや補正データの更新などを行う場合にリセットラッチが掛けられることを防止でき、電源をOFFしなくてもプログラムを再起動させることが可能となる。
また、リセット回数カウンタが規定値C1になるまでCPU3にリセットラッチを掛けないようにすることで、ノイズ的にリセット要求を示すフラグがセット状態“1”になった場合にまでCPU3にリセットラッチを掛けてしまうことを防止することができる。
さらに、本実施形態の車両用電子制御システム1によれば、IG電源4をONさせたままの状態で、CPU3でのプログラムの書換えや補正データの更新を行った後に自動的にCPU3をリセットして再起動させるという自動リセット機能を有しているため、書換え作業者が電源をOFFさせなくても、CPU3を再起動させることが可能となる。このため、簡素な設備によって、プログラムの書換えや補正データの更新を行った後のCPU3の再起動を行うことが可能となる。これについて、図7および図8を参照して説明する。
図7は、上記機能を本実施形態に示した車両用電子制御システム1とは異なるシステムによって実現する場合に想定されるブロック構成である。
この図に示されるように、このシステムには、ECU100とECU100を駆動するための設備101が備えられている。設備101側には、電源102と電源操作スイッチ103および電源操作装置104が備えられている。電源操作装置104は、電源102からの電力供給を受けて、プログラム書換え等の処理を行ったり、電源操作スイッチ103のON/OFF制御を実行する。また、電源操作装置104は、ECU100に備えられるリセット要求端子から出力されるリセット要求を受け取り、電源操作スイッチ103によりON/OFF制御を実行することで、ECU100への電力供給を制御する。
図8は、図7に示すシステムのプログラム書換え時の作動を表したタイミングチャートである。
この図に示されるように、電源の出力端子の電位がHiになり、外部書換え装置により書換えモードとされると、プログラム書換え操作が行われる。まず、書換えモードになると同時に電源操作スイッチ103がONされ、電源操作装置104がECU100と通信を行い、プログラム書換えのデータをECU100に伝えることでROMに記憶されたプログラムの書換えを行う。
プログラム書換えが一通り終わると、プログラム書換えのための通信が完了するため、それがECU100で検出されるとECU100からリセット要求が出力される。このリセット要求を検出するために電源操作装置104に備えられるリセット要求タイマでカウントされ、リセット要求判定タイマのカウントが上限時間を超えるか否かが電源操作装置104で判定される。書換えエラーが発生したような場合には、リセット要求無しの状態が上限時間を超えるため、リセット要求が上限時間を超えるか否かにより、書換えが正常に行われたか否かを判定することができる。
そして、リセット要求が上限時間を超えていなければ、電源操作装置104に備えられた電源遮断タイマでECU100がリセット状態に切り替わるのに必要な時間以上とされた所定時間電源操作スイッチ103をOFFする。これにより、ECU100への電力供給がOFFされ、ECU100がリセットされるため、その後、電源操作スイッチ103をONに戻してECU100への電力供給をONにすることでECU100が再起動する。
このようにして、図7に示すシステムでのプログラム書換え操作が行われる。このプログラムの書換えに際して、各種制御に必要なデータを保存するRAMに一旦プログラムを仮保存しておき、プログラム整合チェックを行いながらROMへのプログラム書換えを行うことになるため、本実施形態のような自動リセット機能が無くても設備101側で電源操作を確実に行えるようにするためには、ECU100にリセット要求端子が必要になる。さらに、設備101側にリセット判定タイマや電源断続タイマを備える必要もある。
これに対し、本実施形態の車両用電子制御システム1によれば、自動リセット機能を実現できるため、リセット要求端子が不要で、書換え作業者は、上記のような構成を備えなる必要なしで、例えば既存の検査用ツールの車両用電子制御システム1との通信を介して、プログラムの書換えや補正データの更新を行い、その後のCPU3の再起動を行うことが可能となる。
(他の実施形態)
上記実施形態では、車両に関する各種制御の一例として車両用電子制御システム1をブレーキ制御に適用する場合について説明したが、ブレーキ制御以外の制御に適用しても構わない。
なお、各図中に示したステップは、各種処理を実行する手段に対応するものである。また、本発明に備えられる各手段と上記実施形態での具体的な構成との対応関係は、次のようになっている。すなわち、CPU異常検出部22はCPU異常検出手段、監視側通信部23は監視側通信手段、リセットラッチ判定部24およびリセット出力部25はリセット制御手段にそれぞれ相当する。また、CPU電源回路21はCPU電源手段に相当し、書換え判別部3bは書換え判別手段、通常制御部3cは車両制御手段、CPU通信部3dはCPU通信手段、リセット処理部3eはリセット処理手段にそれぞれ相当する。
本発明の第1実施形態における車両用電子制御システム1のブロック構成を示した図である。 監視リセット制御部2で実行される監視リセット制御処理のフローチャートである。 CPU制御の処理を示したフローチャートである。 ブレーキ液圧制御のフローチャートである。 送信処理のフローチャートである。 データ受信処理のフローチャートである。 上記第1実施形態に示す車両用電子制御システム1の比較例となるシステムのブロック構成を示した図である。 図7に示すシステムのプログラム書換え時の作動を表したタイミングチャートである。
符号の説明
1…車両用電子制御システム、2…監視リセット制御部、3…CPU、3a…WDタイマ、3b…書換え判別部、3c…通常制御部、3d…CPU通信部、3e…リセット処理部、4…電源、21…CPU電源回路、22…CPU異常検出部、23…監視側通信部、24…リセットラッチ判別部、25…リセット出力部、32…ROM、33…RAM。

Claims (5)

  1. 監視リセット制御用のモノリシックIC(2)、および、車両に関する制御を実行するデータを記憶する記憶手段(32、33)を備えた車両制御用のCPU(3)を備え、
    前記モノリシックIC(2)は、
    前記CPU(3)から送られてくるデータに基づいて、前記CPU(3)の異常を検出するCPU異常検出手段(22)と、
    前記CPU(3)から前記記憶手段(32、33)へのプログラムの書換えや記憶データの更新を行っていることを示す書換え中信号を受け取る監視側通信手段(23)と、
    前記CPU(3)のリセットおよびリセットラッチの制御を行い、前記CPU異常検出手段(22)により前記CPU(3)の異常が検出されたときに、前記CPU(3)にリセットの指示を行うと共に、該リセットの回数をカウントして該回数が予め決められた規定値に達したときにリセットラッチの指示を行い、かつ、前記監視側通信手段(23)が前記書換え中信号を受け取ったときに前記リセットの回数を増加させないようにするリセット制御手段(24、25)と、
    電源(4)から前記CPU(3)への電力供給のON/OFFを制御すると共に、前記監視側通信手段(23)が前記書換え中信号を受け取ったときに、前記電力供給をOFFさせることなくONし続けるCPU電源手段(21)と、を含み、
    前記CPU(3)は、
    前記記憶手段(32、33)に前記プログラムの書換えや記憶データの更新を行うか否かを判別すると共に、前記プログラムの書換えや記憶データの更新を行っていることを示す書換え中指示信号を出力する書換え判別手段(3b)と、
    前記車両に関する制御を実行する車両制御手段(3c)と、
    前記書換え中指示信号を受け取り、前記モノリシックIC(2)に出力するCPU通信手段(3d)と、
    前記リセット制御手段(24、25)によるリセットもしくはリセットラッチの指示に基づき、該CPUのリセットやリセットラッチを実行するリセット処理手段(3e)と、を備えていることを特徴とする車両用電子制御システム。
  2. 前記リセット制御手段(24、25)では、前記規定値をノイズ許容回数としており、前記リセットの回数が前記ノイズ許容回数を超える場合に、前記リセットラッチの指示を行うことを特徴とする請求項1に記載の車両用電子制御システム。
  3. 前記リセット制御手段(25)は、前記監視側通信手段(23)が前記書換え中信号を受け取ったときに前記リセットの回数を維持することを特徴とする請求項1または2に記載の車両用電子制御システム。
  4. 前記CPU(3)は、監視のためのカウントを行うウォッチドッグタイマ(3a)を備え、
    前記CPU異常検出手段(22)は、前記ウォッチドッグタイマ(3a)のカウント値に基づいて前記CPU(3)の異常を検出することを特徴とする請求項1ないし3のいずれか1つに記載の車両用電子制御システム。
  5. 前記CPU(3)は、前記CPU通信手段(3d)を通じて前記監視側通信手段(23)に対して決められた周期毎にデータを送っており、
    前記監視側通信手段(23)は、前記CPU(3)からの前記データを前記周期よりも長期間に設定された時間(T2)を超えて受信しなかったときに、前記リセットの指示を行うことを特徴とする請求項1ないし4のいずれか1つに記載の車両用電子制御システム。
JP2006003708A 2006-01-11 2006-01-11 車両用電子制御システム Expired - Fee Related JP4784311B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006003708A JP4784311B2 (ja) 2006-01-11 2006-01-11 車両用電子制御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006003708A JP4784311B2 (ja) 2006-01-11 2006-01-11 車両用電子制御システム

Publications (2)

Publication Number Publication Date
JP2007185998A JP2007185998A (ja) 2007-07-26
JP4784311B2 true JP4784311B2 (ja) 2011-10-05

Family

ID=38341473

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006003708A Expired - Fee Related JP4784311B2 (ja) 2006-01-11 2006-01-11 車両用電子制御システム

Country Status (1)

Country Link
JP (1) JP4784311B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101673303B1 (ko) 2014-11-12 2016-11-22 현대자동차주식회사 와치독 제어 방법 및 장치
JP2016147585A (ja) * 2015-02-12 2016-08-18 株式会社デンソー 電子制御装置
JP6443202B2 (ja) * 2015-04-21 2018-12-26 株式会社デンソー 車両の電子制御装置
DE102017220481A1 (de) * 2017-11-16 2019-05-16 Robert Bosch Gmbh Vorrichtung zum Steuern von Funktionen für ein Fahrzeug, Fahrzeugsystem für ein Fahrzeug und Verfahren zum Rücksetzen elektrischer Schaltungen einer Vorrichtung zum Steuern von Funktionen für ein Fahrzeug
JP6984438B2 (ja) * 2018-01-25 2021-12-22 株式会社デンソー 電子制御装置
JP7115330B2 (ja) * 2019-01-16 2022-08-09 トヨタ自動車株式会社 車載システム、無線通信装置、及び制御方法

Also Published As

Publication number Publication date
JP2007185998A (ja) 2007-07-26

Similar Documents

Publication Publication Date Title
US10870421B2 (en) Device for controlling a safety-relevant process, method for testing the functionality of the device, and motor vehicle with the device
JP4784311B2 (ja) 車両用電子制御システム
EP2289744B1 (en) Good checking for vehicle yaw rate sensor
JP4525762B2 (ja) 車両用電子制御装置
US8754764B2 (en) Good checking for vehicle pressure sensor
JP5283651B2 (ja) 車両用の制御装置
US8495407B2 (en) Node apparatus mounted in vehicle and in-vehicle network system
US6356821B1 (en) Electronic control unit for vehicle having reduced circuit scale
JPH0319571B2 (ja)
JP5316963B2 (ja) 車載電子制御装置
KR100711850B1 (ko) 마이크로컴퓨터 감시 금지 기능을 갖는 전자 제어 시스템및 방법
JP2000305603A (ja) 自己監視機能付き車載用電子制御装置
US10633018B2 (en) External watchdog with integrated backward regeneration support
JP2006007860A (ja) 電動パワーステアリング装置
US10627422B2 (en) Error reporting at a pulse level lying below the power supply level
JP2011123569A (ja) 処理装置
US8165744B2 (en) Methods, program products, and systems for controlling for improper installation of vehicle sensors
CN112810626B (zh) 车辆的控制方法、装置及设备
JP4998816B2 (ja) 電子制御装置のプログラム書換えシステム
US7962264B2 (en) Method and apparatus for adapting a monitoring device of a control unit for a restraint system of a motor vehicle
JPH0514281B2 (ja)
KR102494675B1 (ko) 전동식 동력 조향 시스템의 페일 세이프 장치 및 방법
JP2008045436A (ja) 電子制御装置のプログラム書換えシステム
JPH0736121B2 (ja) アンチスキッド制御装置
JP2006046073A (ja) 電子制御装置のプログラム書換えシステム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080806

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110531

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110614

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110627

R150 Certificate of patent or registration of utility model

Ref document number: 4784311

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140722

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees