JP5094777B2 - In-vehicle electronic control unit - Google Patents

In-vehicle electronic control unit Download PDF

Info

Publication number
JP5094777B2
JP5094777B2 JP2009092559A JP2009092559A JP5094777B2 JP 5094777 B2 JP5094777 B2 JP 5094777B2 JP 2009092559 A JP2009092559 A JP 2009092559A JP 2009092559 A JP2009092559 A JP 2009092559A JP 5094777 B2 JP5094777 B2 JP 5094777B2
Authority
JP
Japan
Prior art keywords
microcomputer
signal
electronic control
main microcomputer
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009092559A
Other languages
Japanese (ja)
Other versions
JP2010244311A (en
Inventor
裕史 栗本
克也 小山
千尋 佐藤
修一 宮岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2009092559A priority Critical patent/JP5094777B2/en
Publication of JP2010244311A publication Critical patent/JP2010244311A/en
Application granted granted Critical
Publication of JP5094777B2 publication Critical patent/JP5094777B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Safety Devices In Control Systems (AREA)

Description

本発明は、車載用電子制御装置に係り、特にフェイルセーフ制御方法に関する。   The present invention relates to an on-vehicle electronic control device, and more particularly to a fail-safe control method.

近年、車載用電子制御装置は、高性能化及び小型化,多種機能や安全性及び信頼性向上を求められている。そのため、部品点数・コスト削減,ダウンサイジングといった観点から、車載用電子制御装置内における電子部品、例えば、各種機能を制御するためのドライバ制御回路や、そのドライバの状態を診断する診断回路,各種センサーからの処理回路等をシリコンチップに集積化することが検討され、実用化され、車載電子制御装置内に用いられている。   In recent years, in-vehicle electronic control devices are required to have high performance and downsizing, various functions, safety and reliability. Therefore, from the viewpoints of the number of parts, cost reduction, and downsizing, electronic components in the on-vehicle electronic control device, for example, a driver control circuit for controlling various functions, a diagnostic circuit for diagnosing the state of the driver, and various sensors Is being studied and put into practical use and used in an in-vehicle electronic control device.

車載電子制御装置では、多数装備されたセンサーやドライバ、他の電子制御装置などからの情報を処理するために、メインマイクロコンピュータを備え、不揮発生メモリに書き込まれたプログラムに従って、演算処理され、これらの結果に基づいて、各種機能制御を行う。   In-vehicle electronic control devices are equipped with a main microcomputer to process information from many equipped sensors and drivers, other electronic control devices, etc., and are processed according to programs written in nonvolatile raw memory. Based on the results, various function controls are performed.

そのため、車載用電子装置の安全性及び信頼性のために、車載用電子装置に搭載されたマイクロコンピュータが、常に正常に動作をしていることを監視するシステムが必要とされ、マイクロコンピュータが異常動作に陥っていると判断した際、マイクロコンピュータによって制御された設定及び出力制御信号に対し、素早く、設定解除及び制御信号の制限や、誤った情報を他の電子制御装置に通信することを防ぎ、再起動させる必要がある。   Therefore, for the safety and reliability of the in-vehicle electronic device, a system for monitoring that the microcomputer mounted in the in-vehicle electronic device is always operating normally is required. When it is determined that the device is in operation, the setting and output control signals controlled by the microcomputer can be quickly released, the settings can be canceled, control signals can be restricted, and erroneous information can be prevented from being communicated to other electronic control units. Need to be restarted.

前記に記載した、車載用電子制御装置に用いられるフェイルセーフシステムの従来例として、例えば特許文献1に示す記述が上げられる。   As a conventional example of the fail-safe system used in the on-vehicle electronic control device described above, for example, a description shown in Patent Document 1 is given.

特許文献1に記載の従来技術では、外部センサーからの情報を演算処理及び制御するメインマイクロコンピュータと、メインマイクロコンピュータを監視するサブマイクロコンピュータを用い、両マイクロコンピュータ同士の通信によってマイクロコンピュータが正常動作か判断している。   In the prior art disclosed in Patent Document 1, a main microcomputer that calculates and controls information from an external sensor and a sub-microcomputer that monitors the main microcomputer are used, and the microcomputer operates normally by communication between the two microcomputers. Judging.

マイクロコンピュータが異常であると判断した場合、アクチュエータ側で判断された異常を示す信号入力した場合、外部センサー側で判断された異常を示す信号入力した場合に、接続されているアクチュエータの作動を禁止させる手段を用いている。   When the microcomputer determines that there is an abnormality, if a signal indicating an abnormality determined on the actuator side is input, or if a signal indicating an abnormality determined on the external sensor side is input, the operation of the connected actuator is prohibited. The means to make is used.

上記に示す、従来例でのサブマイクロコンピュータによる監視機能では、メインマイクロコンピュータが異常と判断したにも関らず、メインマイクロコンピュータの異常状態や制御したデータを継続させ、回復及び初期化させることができない。更に、近年、多数のセンサーやドライバ、多数の機能制御及び演算処理を行う、メインマイクロコンピュータのプログラムは複雑化しており、両マイクロコンピュータ同士の通信機能は正常に処理するような特殊な処理ルーチンに陥ってしまった場合、フェイルセーフリレーを制御できず、初期化制御する手法を用いていないため、特殊なルーチンから回避することができないため、不明な制御状態を継続させてしまい、各種機能回路を異常状態に陥らせ、異常制御による機能破壊などを発生する可能性や他の電子制御装置に、異常情報を他の電子制御装置に通知を招き、異常処理を引き起こす原因となる。   In the monitoring function by the sub-microcomputer in the conventional example shown above, the main microcomputer continues to recover, initialize, and control the abnormal state of the main microcomputer and the controlled data even though it is determined to be abnormal. I can't. Furthermore, in recent years, the program of the main microcomputer, which performs a large number of sensors and drivers, a large number of function controls and arithmetic processes, has become complicated, and a special processing routine has been adopted that normally performs communication functions between the two microcomputers. If this happens, the fail-safe relay cannot be controlled, and the initialization control method is not used, so it cannot be avoided from a special routine. There is a possibility of causing an abnormal state, causing a functional breakdown due to abnormal control, and informing other electronic control devices of abnormal information to other electronic control devices, causing abnormal processing.

そして、マイクロコンピュータを搭載する電子制御装置では、イグニッションスイッチオフ操作により、突然の電源回路停止を防ぐため、メインマイクロコンピュータが、イグニッションスイッチ情報を監視し、オフ操作された場合、ソフトを終了処理したのち、メインマイクロコンピュータからの制御によって、電源回路停止する手段を有している場合、停止処理を行うことができず、バッテリの消費を招いてしまう。   In an electronic control unit equipped with a microcomputer, the main microcomputer monitors the ignition switch information to prevent a sudden power supply circuit stop by an ignition switch-off operation, and terminates the software when the switch is turned off. After that, if there is a means for stopping the power supply circuit under the control of the main microcomputer, the stop process cannot be performed, resulting in battery consumption.

特開平9−305223号公報JP-A-9-305223

本発明の解決しようとする課題は、車載用電子制御装置の信頼性を向上させることである。   The problem to be solved by the present invention is to improve the reliability of the on-vehicle electronic control device.

本発明に係る車載用電子制御装置は、制御用演算プログラムを記憶するための不揮発性メモリを備え、かつ外部から入力される情報に基づいて、当該制御用演算プログラムによりアクチュエータを制御するための制御信号を演算する第1マイクロコンピュータと、前記制御信号に係る情報を記憶し、かつ当該情報に基づいて、前記アクチュエータを駆動するための駆動信号を生成する制御レジスタと、前記駆動信号に基づいて、前記アクチュエータを駆動する駆動回路部と、前記第1マイクロコンピュータから出力される第1信号に基づいて、当該第1マイクロコンピュータの故障を検出する第2マイクロコンピュータと、前記第1マイクロコンピュータから出力され、かつ前記第1信号とは異なる第2信号に基づいて当該第1マイクロコンピュータの故障状態を判定し、当該判定結果に応じて当該第1マイクロコンピュータに初期化信号を出力するウォッチドッグ回路部と、を備え、前記第2マイクロコンピュータは、前記第1マイクロコンピュータの故障を検出したとき、前記制御レジスタに初期化信号を出力する。   An in-vehicle electronic control device according to the present invention includes a nonvolatile memory for storing a control arithmetic program, and controls for controlling an actuator by the control arithmetic program based on information input from the outside. A first microcomputer that calculates a signal, a control register that stores information related to the control signal and generates a drive signal for driving the actuator based on the information, and a drive register based on the drive signal, Based on a drive circuit unit for driving the actuator, a first signal output from the first microcomputer, a second microcomputer for detecting a failure of the first microcomputer, and an output from the first microcomputer And the first microcontroller based on a second signal different from the first signal. A watchdog circuit unit for determining a failure state of the computer and outputting an initialization signal to the first microcomputer according to the determination result, wherein the second microcomputer detects a failure of the first microcomputer. When detected, an initialization signal is output to the control register.

これにより、第1マイクロコンピュータとウォッチドッグ回路部及びその間に何らかの異常があり、初期化信号を出力できなくなっても、第2マイクロコンピュータによって初期化を実行することができるので、車載用電子制御装置の信頼性を向上させることができる。   Accordingly, even if there is some abnormality between the first microcomputer and the watchdog circuit unit and the initialization signal cannot be output, the initialization can be executed by the second microcomputer. Reliability can be improved.

本発明により、車載用電子制御装置の信頼性を向上させることができる。   According to the present invention, the reliability of the on-vehicle electronic control device can be improved.

車載用電子制御装置の実施方法を示した説明図である。(実施例1)It is explanatory drawing which showed the implementation method of the vehicle-mounted electronic control apparatus. (Example 1) 車載用電子制御装置の動作を示したタイミングチャートである。(実施例1)It is a timing chart which showed operation of an in-vehicle electronic control unit. (Example 1) 車載用電子制御装置の実施方法を示した説明図である。(実施例2)It is explanatory drawing which showed the implementation method of the vehicle-mounted electronic control apparatus. (Example 2) 車載用電子制御装置の動作を示したタイミングチャートである。(実施例2)It is a timing chart which showed operation of an in-vehicle electronic control unit. (Example 2) 車載用電子制御装置の実施方法を示した説明図である。(実施例3)It is explanatory drawing which showed the implementation method of the vehicle-mounted electronic control apparatus. Example 3 車載用電子制御装置の動作を示したタイミングチャートである。(実施例3)It is a timing chart which showed operation of an in-vehicle electronic control unit. Example 3

本発明により、車載用電子制御装置のメインマイクロコンピュータの動作監視するための手段とし、サブマイクロコンピュータからの監視及び、半導体集積回路に用いられたウォッチドッグ機能による冗長監視を行う手段により監視を行う。前記監視手段でメインマイクロコンピュータが異常と判断した場合、半導体集積回路からやサブマイクロコンピュータからの制御によって、メインマイクロコンピュータによって制御した制御レジスタや制御信号の初期化を行い、更に再起動させる手段を用いて、より高いフェイルセーフ機能を備えている車載用電子制御装置を提供することが可能となる。   According to the present invention, as a means for monitoring the operation of the main microcomputer of the on-vehicle electronic control device, monitoring is performed by means of monitoring from the sub microcomputer and redundancy monitoring by the watchdog function used in the semiconductor integrated circuit. . Means for initializing the control registers and control signals controlled by the main microcomputer and further restarting them when controlled by the monitoring means from the semiconductor integrated circuit or from the sub-microcomputer. It becomes possible to provide a vehicle-mounted electronic control device having a higher fail-safe function.

本発明を実施するための形態を、以下に解説する。   A mode for carrying out the present invention will be described below.

図1は、本発明における第1の実施例を示している。   FIG. 1 shows a first embodiment of the present invention.

車載に搭載される電子制御装置は、イグニッションスイッチ3がオン操作され、イグニッションスイッチ情報4より、駆動回路5はメインリレー7を駆動するために、駆動信号6をハイ出力し、メインリレー7を駆動し、リレー接点をオンさせ、バッテリ電圧2を電圧生成部8に供給し、各デバイスに電圧を供給する。   In the electronic control device mounted on the vehicle, the ignition switch 3 is turned on. From the ignition switch information 4, the drive circuit 5 outputs the drive signal 6 to drive the main relay 7 in order to drive the main relay 7. Then, the relay contact is turned on, the battery voltage 2 is supplied to the voltage generator 8, and the voltage is supplied to each device.

電圧供給され、半導体集積回路9では、電圧監視部17でパワーオンを検出し、サブマイクロコンピュータ11や半導体集積回路9にパワーオンリセット制御を行う。リセット生成部15は、電圧監視部17の情報を基に、メインマイクロコンピュータ10にパワーオンリセット制御を行う。   In the semiconductor integrated circuit 9, the power is detected by the voltage monitoring unit 17, and power-on reset control is performed on the sub microcomputer 11 and the semiconductor integrated circuit 9. The reset generation unit 15 performs power-on reset control on the main microcomputer 10 based on information from the voltage monitoring unit 17.

起動したメインマイクロコンピュータ10は、外部から入力された情報を不揮発性メモリに書き込まれているプログラムに従って内部演算処理部19(CPU)で演算処理をし、演算処理結果を基にシリアル通信信号線26a,26bを介して半導体集積回路9とシリアル通信する。   The activated main microcomputer 10 performs arithmetic processing on information input from the outside by an internal arithmetic processing unit 19 (CPU) in accordance with a program written in the nonvolatile memory, and the serial communication signal line 26a based on the arithmetic processing result. , 26b and serial communication with the semiconductor integrated circuit 9.

また、メインマイクロコンピュータ10は、イグニッションスイッチ情報4によりイグニッションスイッチ3の状態を把握することができ、ソフトウェア処理中に、イグニッションスイッチ3の操作により、電圧生成停止により異常終了を防ぐために、メインマイクロコンピュータ10からレギュレータ制御信号31をハイ出力し、メインリレー7をコントロール制御することが可能になり、イグニッションスイッチ3の操作がオフされた場合、ソフトウェアは終了処理を行い、レギュレータ制御信号31をロウ出力し、駆動回路5は、駆動信号6をロウ出力し、メインリレー7の駆動解除を行い、リレー接点をオフさせ、バッテリ電圧2の供給を停止し、電圧生成部8を停止させる。   Further, the main microcomputer 10 can grasp the state of the ignition switch 3 from the ignition switch information 4, and the main microcomputer 10 prevents the abnormal termination due to the voltage generation stop by operating the ignition switch 3 during the software processing. 10 makes it possible to output the regulator control signal 31 to the high level and to control and control the main relay 7, and when the operation of the ignition switch 3 is turned off, the software performs the termination process and outputs the regulator control signal 31 to the low level. The drive circuit 5 outputs the drive signal 6 low, releases the drive of the main relay 7, turns off the relay contact, stops the supply of the battery voltage 2, and stops the voltage generator 8.

メインマイクロコンピュータ10とサブマイクロコンピュータ11は、相互のフェイルセーフを監視するフェイルセーフ監視部21,24を備えており、両マイクロコンピュータ同士で通信することによってフェイルセーフを相互監視する。どちらかのマイクロコンピュータがもう一方のマイクロコンピュータに異常発生と判定している際、フェイルセーフリレー制御信号線22,25を介してフェイルセーフリレーを遮断することによって車載用電子制御装置から特定機能の出力動作をマスクする。   The main microcomputer 10 and the sub-microcomputer 11 include fail-safe monitoring units 21 and 24 that monitor mutual fail-safe, and mutually monitor the fail-safe by communicating with each other. When one of the microcomputers determines that an abnormality has occurred in the other microcomputer, the fail-safe relay is cut off via the fail-safe relay control signal lines 22 and 25, so that the in-vehicle electronic control device has a specific function. Mask output operation.

サブマイクロコンピュータ11は、相互監視により、メインマイクロコンピュータ10に異常と判断した場合、半導体集積回路9へ制御レジスタ初期化信号29を出力する。   The sub microcomputer 11 outputs a control register initialization signal 29 to the semiconductor integrated circuit 9 when it is determined that the main microcomputer 10 is abnormal by mutual monitoring.

半導体集積回路9は、メインマイクロコンピュータ10とシリアル通信することによってメインマイクロコンピュータ10からの情報を制御レジスタ13にラッチし、ラッチした情報を基に対応した駆動部12a,12b,…を制御することによって車載用電子制御装置の出力を制御する。また、メインマイクロコンピュータ10から出力制御されるウォッチドッグタイマクリアパルス28が入力される時間間隔を計測するウォッチドッグタイマ16を備えており、ウォッチドッグタイマ16にウォッチドッグタイマクリアパルス28が一定時間入力されずに設定された時間に達した場合、メインマイクロコンピュータ10に対してメインマイクロコンピュータ初期化信号27を出力制御することによってメインマイクロコンピュータ10を初期化させ、再起動を行う。   The semiconductor integrated circuit 9 serially communicates with the main microcomputer 10 to latch information from the main microcomputer 10 in the control register 13 and to control the corresponding drive units 12a, 12b,... Based on the latched information. To control the output of the on-vehicle electronic control unit. In addition, a watchdog timer 16 is provided for measuring a time interval at which a watchdog timer clear pulse 28 whose output is controlled from the main microcomputer 10 is input. The watchdog timer clear pulse 28 is input to the watchdog timer 16 for a certain period of time. If the set time is reached, the main microcomputer 10 is initialized by outputting the main microcomputer initialization signal 27 to the main microcomputer 10 and restarted.

更に、半導体集積回路9は、相互監視により、サブマイクロコンピュータ11がメインマイクロコンピュータ10に異常発生と判断し、メインマイクロコンピュータ10から制御された制御レジスタ13を初期化するために、サブマイクロコンピュータ11から出力された制御レジスタ初期化信号29によって、制御レジスタ13へ初期化制御を行う。また、リセット生成部15は、異常状態に陥ったメインマイクロコンピュータ10を正常復帰させるために、メインマイクロコンピュータ10に対しても初期化を行い、正常動作に復帰させる手法を用いることにより、特殊なルーチン状態や、不明な制御状態の継続,各種機能回路の異常状態,異常制御による機能破壊、更に、異常情報を他の電子制御装置に通知して異常処理を引き起こす原因から防ぐことが可能となり、より高いフェイルセーフ機能を有する車載用電子制御装置を提供することが可能となる。   Further, the semiconductor integrated circuit 9 determines that the sub-microcomputer 11 is abnormal in the main microcomputer 10 by mutual monitoring, and initializes the control register 13 controlled by the main microcomputer 10. The control register 13 is initialized by the control register initialization signal 29 output from the control register 13. In addition, the reset generation unit 15 uses a technique for initializing the main microcomputer 10 and returning it to normal operation in order to return the main microcomputer 10 that has entered an abnormal state to normal. It is possible to prevent routine status, continuation of unknown control status, abnormal status of various functional circuits, functional destruction due to abnormal control, and further cause abnormal processing by notifying other electronic control devices of abnormal information, It is possible to provide an in-vehicle electronic control device having a higher fail-safe function.

図2は、第1の実施例におけるタイミングチャートを示している。   FIG. 2 shows a timing chart in the first embodiment.

時間t1で、メインマイクロコンピュータ10に異常が発生し、ウォッチドッグタイマクリアパルス28は正常に処理されているが、特殊なルーチンに陥り、メインマイクロコンピュータ10とサブマイクロコンピュータ11間の相互通信によって、サブマイクロコンピュータ11がメインマイクロコンピュータ10を異常と判定した時間t4で、サブマイクロコンピュータ11は制御レジスタ初期化信号29を出力制御する。制御レジスタ初期化信号29と同期してメインマイクロコンピュータ初期化信号27も制御されるため、メインマイクロコンピュータ10と制御レジスタ13が同時に初期化されるため、メインマイクロコンピュータ10が初期化処理状態にある間、制御レジスタ13は異常情報を保持せずに済む。   At time t1, an abnormality occurs in the main microcomputer 10 and the watchdog timer clear pulse 28 is processed normally, but it falls into a special routine, and mutual communication between the main microcomputer 10 and the sub microcomputer 11 At time t4 when the sub-microcomputer 11 determines that the main microcomputer 10 is abnormal, the sub-microcomputer 11 controls the output of the control register initialization signal 29. Since the main microcomputer initialization signal 27 is also controlled in synchronization with the control register initialization signal 29, the main microcomputer 10 and the control register 13 are initialized at the same time, so the main microcomputer 10 is in the initialization processing state. In the meantime, the control register 13 does not have to hold abnormality information.

時間t3でメインマイクロコンピュータ10が正常に復帰すると、時間t5でサブマイクロコンピュータ11は、メインマイクロコンピュータ10が正常状態にあると判定し、フェイルセーフリレー制御信号線25を解除することによってフェイルセーフリレーをオンし、以降、車載用電子制御装置は正常動作をすることになる。   When the main microcomputer 10 returns to normal at time t3, the sub-microcomputer 11 determines that the main microcomputer 10 is in a normal state at time t5, and cancels the fail-safe relay control signal line 25, thereby fail-safe relay. After that, the on-vehicle electronic control device operates normally.

図3は、本発明における第2の実施例を示す。図中、前記図1と同じ素子には同じ番号を記載して詳細説明しているため、ここでは差異点のみ説明する。   FIG. 3 shows a second embodiment of the present invention. In the figure, the same elements as those in FIG. 1 are described in detail with the same numbers, and only the differences will be described here.

第2の実施例では、サブマイクロコンピュータ11にメインマイクロコンピュータ初期化信号32を出力制御するための専用ポートを設ける。   In the second embodiment, a dedicated port for controlling the output of the main microcomputer initialization signal 32 is provided in the sub microcomputer 11.

サブマイクロコンピュータ11では、メインマイクロコンピュータ10を異常と判定すると、サブマイクロコンピュータ11はフェイルセーフリレー制御信号線25を制御し、フェイルセーフリレーを遮断し、半導体集積回路9に制御レジスタ初期化信号29を出力制御すると同時にメインマイクロコンピュータ初期化信号32を出力制御する。これにより、制御レジスタ13とメインマイクロコンピュータ10を同時に初期化することが可能となり、且つ、サブマイクロコンピュータ11がメインマイクロコンピュータ初期化信号32を出力制御したにも関わらずメインマイクロコンピュータ10が正常状態に復帰しない場合においても、制御レジスタ13は制御レジスタ初期化信号29によって、異常状態のメインマイクロコンピュータ10との通信により異常な情報をラッチから防ぐことが可能となり、第1の実施例同様に、より高いフェイルセーフ機能を有する車載用電子制御装置を提供することが可能となる。   When the sub microcomputer 11 determines that the main microcomputer 10 is abnormal, the sub microcomputer 11 controls the fail safe relay control signal line 25 to cut off the fail safe relay, and the control register initialization signal 29 is sent to the semiconductor integrated circuit 9. Simultaneously with the output control of the main microcomputer initialization signal 32. As a result, the control register 13 and the main microcomputer 10 can be initialized at the same time, and the main microcomputer 10 is in a normal state although the sub-microcomputer 11 controls the output of the main microcomputer initialization signal 32. Even when the control register 13 does not return to the normal state, the control register 13 can prevent the abnormal information from being latched by the communication with the main microcomputer 10 in the abnormal state by the control register initialization signal 29. As in the first embodiment, It is possible to provide an in-vehicle electronic control device having a higher fail-safe function.

図4は、第2の実施例におけるタイミングチャートを示している。   FIG. 4 shows a timing chart in the second embodiment.

時間t1で、ウォッチドッグタイマクリアパルス28は正常に処理されているが、特殊なルーチンに陥り、メインマイクロコンピュータ10とサブマイクロコンピュータ11間の相互通信によって、サブマイクロコンピュータ11がメインマイクロコンピュータ10を異常と判定した時間t4で、サブマイクロコンピュータ11は半導体集積回路9へ制御レジスタ初期化信号29を出力制御し、制御レジスタ13を正常復帰する時間t5までの間、ウォッチドッグタイマクリアパルス28の出力の有無に関わらず、制御レジスタ初期化信号29を制御し続けることにより、異常が発生しているメインマイクロコンピュータ10が制御レジスタ13にアクセスして異常情報をラッチさせないことが可能となる。   At time t1, the watchdog timer clear pulse 28 is processed normally, but it falls into a special routine, and the sub microcomputer 11 causes the main microcomputer 10 to be connected by mutual communication between the main microcomputer 10 and the sub microcomputer 11. At the time t4 when it is determined as abnormal, the sub-microcomputer 11 controls the output of the control register initialization signal 29 to the semiconductor integrated circuit 9 and outputs the watchdog timer clear pulse 28 until the time t5 when the control register 13 returns to normal. Regardless of the presence or absence, the control microcomputer initialization signal 29 continues to be controlled, so that the main microcomputer 10 in which an abnormality has occurred can access the control register 13 and not latch the abnormality information.

更に、サブマイクロコンピュータ11は、メインマイクロコンピュータ初期化信号32をメインマイクロコンピュータ10に出力制御し、正常動作に復帰し、正常復帰したと決定する時間t5までの間、初期化制御を繰り返す。   Further, the sub-microcomputer 11 controls the output of the main microcomputer initialization signal 32 to the main microcomputer 10, returns to normal operation, and repeats the initialization control until time t5 when it is determined that the operation has returned to normal.

図5は、本発明における第3の実施例を示す。図中、前記図1と同じ素子には同じ番号を記載して詳細説明しているため、ここでは差異点のみ説明する。   FIG. 5 shows a third embodiment of the present invention. In the figure, the same elements as those in FIG. 1 are described in detail with the same numbers, and only the differences will be described here.

第3の実施例では、メインマイクロコンピュータ10から出力制御されるウォッチドッグタイマクリアパルス28が半導体集積回路9のウォッチドッグタイマ16に入力するための信号線をマスクするウォッチドッグタイマクリアパルス制限信号33をサブマイクロコンピュータ11が備えている。   In the third embodiment, a watchdog timer clear pulse limiting signal 33 for masking a signal line for inputting a watchdog timer clear pulse 28 output-controlled from the main microcomputer 10 to the watchdog timer 16 of the semiconductor integrated circuit 9. Is included in the sub-microcomputer 11.

サブマイクロコンピュータ11では、メインマイクロコンピュータ10を異常と判定した際、サブマイクロコンピュータ11はフェイルセーフリレー制御信号線25を制御し、フェイルセーフリレーを遮断し、半導体集積回路9に制御レジスタ初期化信号29を出力制御すると同時にウォッチドッグタイマクリアパルス制限信号33をマスク回路34に出力制御し、マスク制御を行う。   When the sub-microcomputer 11 determines that the main microcomputer 10 is abnormal, the sub-microcomputer 11 controls the fail-safe relay control signal line 25, cuts off the fail-safe relay, and sends a control register initialization signal to the semiconductor integrated circuit 9. At the same time, the output control of the watchdog timer clear pulse limiting signal 33 is controlled to the mask circuit 34 to perform the mask control.

半導体集積回路9内のウォッチドッグタイマ16は設定された時間までカウントアップして、リセット生成部15からメインマイクロコンピュータ初期化信号27を出力制御する。これにより、メインマイクロコンピュータ10が異常であるにも関わらずウォッチドッグタイマクリアパルス28を正常に出力制御するような特殊なルーチンに陥ってしまった場合においても半導体集積回路9からメインマイクロコンピュータ初期化信号27を出力制御してメインマイクロコンピュータ10を初期化させることが可能となり、且つ、メインマイクロコンピュータ10を初期化制御したにも関わらずメインマイクロコンピュータ10が正常状態に復帰しなかった場合においても、制御レジスタ13はメインマイクロコンピュータ初期化信号27により、異常状態のメインマイクロコンピュータ10との通信により異常な情報をラッチから防ぐことが可能となり、第1の実施例同様に、より高いフェイルセーフ機能を有する車載用電子制御装置を提供することが可能となる。   The watchdog timer 16 in the semiconductor integrated circuit 9 counts up to a set time and controls the output of the main microcomputer initialization signal 27 from the reset generator 15. As a result, even if the main microcomputer 10 is abnormal, the main microcomputer is initialized from the semiconductor integrated circuit 9 even when it falls into a special routine for normally controlling the output of the watchdog timer clear pulse 28. It is possible to initialize the main microcomputer 10 by controlling the output of the signal 27, and even when the main microcomputer 10 does not return to the normal state despite the initialization control of the main microcomputer 10. The control register 13 can prevent abnormal information from being latched by communication with the main microcomputer 10 in an abnormal state by the main microcomputer initialization signal 27, and has a higher fail-safe function as in the first embodiment. In-vehicle with It is possible to provide an electronic control device.

図6は、第3の実施例におけるタイミングチャートを示している。   FIG. 6 shows a timing chart in the third embodiment.

時間t1で、メインマイクロコンピュータ10に異常処理状態に陥り、メインマイクロコンピュータ10とサブマイクロコンピュータ11間の相互通信によって、サブマイクロコンピュータ11がメインマイクロコンピュータ10を異常と判定した時間t4で、サブマイクロコンピュータ11は制御レジスタ初期化信号29を出力制御すると同時にウォッチドッグタイマクリアパルス制限信号33を出力制御する。   At time t 1, the main microcomputer 10 enters an abnormal processing state, and at time t 4 when the sub microcomputer 11 determines that the main microcomputer 10 is abnormal due to mutual communication between the main microcomputer 10 and the sub microcomputer 11. The computer 11 controls the output of the control register initialization signal 29 and simultaneously controls the output of the watchdog timer clear pulse limit signal 33.

メインマイクロコンピュータ10が異常状態にあると判定されている間、メインマイクロコンピュータ10がウォッチドッグタイマクリアパルス28を出力制御可能な状態にあるか否かに関わらず、ウォッチドッグタイマクリアパルス28は半導体集積回路9に入力されないため、ウォッチドッグタイマ16は設定された時間tWDまでカウントアップし、時間t2でメインマイクロコンピュータ初期化信号27を出力制御する。   While it is determined that the main microcomputer 10 is in an abnormal state, the watchdog timer clear pulse 28 is a semiconductor regardless of whether or not the main microcomputer 10 is in a state in which the output control of the watchdog timer clear pulse 28 is possible. Since it is not input to the integrated circuit 9, the watchdog timer 16 counts up to a set time tWD and controls the output of the main microcomputer initialization signal 27 at time t2.

更に、サブマイクロコンピュータ11がメインマイクロコンピュータ10を異常と判定している時間t5まで、制御レジスタ初期化信号29を制御し続けることにより、異常が発生しているメインマイクロコンピュータ10が制御レジスタ13にアクセスして情報をラッチさせないことが可能となる。   Further, by continuing to control the control register initialization signal 29 until the time t5 when the sub microcomputer 11 determines that the main microcomputer 10 is abnormal, the main microcomputer 10 in which the abnormality has occurred is transferred to the control register 13. It is possible to prevent access to latch information.

本発明の車載用電子制御装置は、通信することにより半導体集積回路内の制御レジスタをラッチするマイクロコンピュータが異常となった際に、前記マイクロコンピュータを介することなく制御レジスタを初期化することが可能であるものであり、高いフェイルセーフ機能を要求される車載用電子制御装置に対して利用される。   The vehicle-mounted electronic control device of the present invention can initialize the control register without going through the microcomputer when the microcomputer that latches the control register in the semiconductor integrated circuit becomes abnormal by communication. It is used for an on-vehicle electronic control device that requires a high fail-safe function.

1 バッテリ
2 バッテリ電圧
3 イグニッションスイッチ
4 イグニッションスイッチ情報
5 駆動回路
6 駆動信号
7 メインリレー
8 電圧生成部
9 半導体集積回路
10 メインマイクロコンピュータ
11 サブマイクロコンピュータ
12a,12b 駆動部
13 制御レジスタ
14 シリアル通信部(半導体集積回路)
15 リセット生成部
16 ウォッチドッグタイマ
17 電圧監視部(パワーオンリセット)
18 外部情報入力部
19 演算処理部(メインマイクロコンピュータ)
20 シリアル通信部(メインマイクロコンピュータ)
21 フェイルセーフ監視部(メインマイクロコンピュータ)
22 フェイルセーフリレー制御信号線(メインマイクロコンピュータ)
23 演算処理部(サブマイクロコンピュータ)
24 フェイルセーフ監視部(サブマイクロコンピュータ)
25 フェイルセーフリレー制御信号線(サブマイクロコンピュータ)
26a シリアル通信信号線(半導体集積回路からメインマイクロコンピュータ)
26b シリアル通信信号線(メインマイクロコンピュータから半導体集積回路)
27 メインマイクロコンピュータ初期化信号(半導体集積回路)
28 ウォッチドッグタイマクリアパルス
29 制御レジスタ初期化信号
30 サブマイクロコンピュータ初期化信号
31 レギュレータ制御信号
32 メインマイクロコンピュータ初期化信号(サブマイクロコンピュータ)
33 ウォッチドッグタイマクリアパルス制限信号
34 マスク回路
35 フェイルセーフリレー論理回路
t1 メインマイクロコンピュータが異常となるタイミング
t2 メインマイクロコンピュータ初期化信号が出力制御され始めるタイミング
t3 メインマイクロコンピュータが正常となるタイミング
t4 サブマイクロコンピュータがメインマイクロコンピュータを異常と決定するタイミング
t5 サブマイクロコンピュータがメインマイクロコンピュータを正常復帰したと決定するタイミング
tWD ウォッチドッグタイマ設定時間 DESCRIPTION OF SYMBOLS 1 Battery 2 Battery voltage 3 Ignition switch 4 Ignition switch information 5 Drive circuit 6 Drive signal 7 Main relay 8 Voltage generation part 9 Semiconductor integrated circuit 10 Main microcomputer 11 Sub microcomputer 12a, 12b Drive part 13 Control register 14 Serial communication part ( Semiconductor integrated circuit)
15 Reset generator 16 Watchdog timer 17 Voltage monitor (power-on reset)
18 External information input unit 19 Arithmetic processing unit (main microcomputer)
20 Serial communication unit (main microcomputer)
21 Fail-safe monitoring unit (main microcomputer)
22 Fail-safe relay control signal line (main microcomputer)
23 Arithmetic processing part (sub microcomputer)
24 Fail-safe monitoring unit (sub-microcomputer)
25 Fail-safe relay control signal line (sub microcomputer)
26a Serial communication signal line (semiconductor integrated circuit to main microcomputer)
26b Serial communication signal line (from main microcomputer to semiconductor integrated circuit)
27 Main microcomputer initialization signal (semiconductor integrated circuit)
28 Watchdog timer clear pulse 29 Control register initialization signal 30 Sub microcomputer initialization signal 31 Regulator control signal 32 Main microcomputer initialization signal (sub microcomputer)
33 Watchdog timer clear pulse limit signal 34 Mask circuit 35 Fail safe relay logic circuit t1 Timing when main microcomputer becomes abnormal t2 Timing when main microcomputer initialization signal starts output control t3 Timing when main microcomputer becomes normal t4 Sub Timing at which the microcomputer determines that the main microcomputer is abnormal t5 Timing at which the sub microcomputer determines that the main microcomputer has returned to normal tWD Watchdog timer setting time

Claims (3)

制御用演算プログラムを記憶するための不揮発性メモリを備え、かつ外部から入力される情報に基づいて、当該制御用演算プログラムによりアクチュエータを制御するための制御信号を演算する第1マイクロコンピュータと、
前記制御信号に係る情報を記憶し、かつ当該情報に基づいて、前記アクチュエータを駆動するための駆動信号を生成する制御レジスタと、
前記駆動信号に基づいて、前記アクチュエータを駆動する駆動回路部と、
前記第1マイクロコンピュータから出力される第1信号に基づいて、当該第1マイクロコンピュータの故障を検出する第2マイクロコンピュータと、
前記第1マイクロコンピュータから出力され、かつ前記第1信号とは異なる第2信号に基づいて当該第1マイクロコンピュータの故障状態を判定し、当該判定結果に応じて当該第1マイクロコンピュータに初期化信号を出力するウォッチドッグ回路部と、を備え、
前記第2マイクロコンピュータは、前記第1マイクロコンピュータの故障を検出したとき、前記制御レジスタに初期化信号を出力する車載用電子制御装置。 A first microcomputer that includes a non-volatile memory for storing a control arithmetic program and calculates a control signal for controlling the actuator by the control arithmetic program based on information input from the outside;
A control register that stores information related to the control signal and generates a drive signal for driving the actuator based on the information;
A drive circuit unit for driving the actuator based on the drive signal;
A second microcomputer for detecting a failure of the first microcomputer based on a first signal output from the first microcomputer;
A failure state of the first microcomputer is determined based on a second signal output from the first microcomputer and different from the first signal, and an initialization signal is sent to the first microcomputer according to the determination result. And a watchdog circuit section that outputs
The on-vehicle electronic control device that outputs an initialization signal to the control register when the second microcomputer detects a failure of the first microcomputer. 請求項1に記載の車載用電子制御装置において、
前記第2マイクロコンピュータは、前記第1マイクロコンピュータの故障を検出したときは、前記制御レジスタに初期化信号を出力し続ける車載用電子制御装置。 The in-vehicle electronic control device according to claim 1,
When the second microcomputer detects a failure of the first microcomputer, the vehicle-mounted electronic control device continues to output an initialization signal to the control register. 請求項1または2に記載のいずれかの車載用電子制御装置において、
前記第2マイクロコンピュータからの前記第1マイクロコンピュータの故障検出信号に基づいて、前記ウォッチドッグ回路部に前記第2信号が入力されないようにするための遮断回路を備え、
前記ウォッチドッグ回路部は、前記第2信号が所定期間入力されない場合に、当該第1マイクロコンピュータを故障判定する車載用電子制御装置。 The on-vehicle electronic control device according to claim 1 or 2,
A cutoff circuit for preventing the second signal from being input to the watchdog circuit unit based on a failure detection signal of the first microcomputer from the second microcomputer;
The watchdog circuit unit is an on-vehicle electronic control device that determines a failure of the first microcomputer when the second signal is not input for a predetermined period.
JP2009092559A 2009-04-07 2009-04-07 In-vehicle electronic control unit Expired - Fee Related JP5094777B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009092559A JP5094777B2 (en) 2009-04-07 2009-04-07 In-vehicle electronic control unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009092559A JP5094777B2 (en) 2009-04-07 2009-04-07 In-vehicle electronic control unit

Publications (2)

Publication Number Publication Date
JP2010244311A JP2010244311A (en) 2010-10-28
JP5094777B2 true JP5094777B2 (en) 2012-12-12

Family

ID=43097263

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009092559A Expired - Fee Related JP5094777B2 (en) 2009-04-07 2009-04-07 In-vehicle electronic control unit

Country Status (1)

Country Link
JP (1) JP5094777B2 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013207391A1 (en) * 2013-04-24 2014-10-30 Robert Bosch Gmbh Control device, method of operation
DE102013217461B4 (en) * 2013-09-02 2023-10-05 Robert Bosch Gmbh Method and arrangement for monitoring a component in a motor vehicle
JP6220232B2 (en) * 2013-11-08 2017-10-25 日立オートモティブシステムズ株式会社 Vehicle control device
JP6147356B2 (en) 2013-12-04 2017-06-14 三菱電機株式会社 Monitoring device, control system and monitoring program
JP5968501B1 (en) * 2015-06-01 2016-08-10 三菱電機株式会社 In-vehicle electronic control unit
JP6416718B2 (en) * 2015-09-02 2018-10-31 アルプス電気株式会社 Fail-safe circuit
JP2020052479A (en) * 2018-09-25 2020-04-02 三菱電機株式会社 Vehicle controller and vehicle control method

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63110945U (en) * 1987-01-13 1988-07-16
JPH0375842A (en) * 1989-08-17 1991-03-29 Fujitsu Ltd Errorneous control prevention circuit
JP3817855B2 (en) * 1997-08-29 2006-09-06 株式会社デンソー Electronic control device

Also Published As

Publication number Publication date
JP2010244311A (en) 2010-10-28

Similar Documents

Publication Publication Date Title
JP5094777B2 (en) In-vehicle electronic control unit
JP3616367B2 (en) Electronic control device
JP5743932B2 (en) ECU abnormality monitoring circuit
JP5739290B2 (en) Electronic control unit
KR100711850B1 (en) Electronic control system and method having microcomputer monitoring prohibiting function
US10523544B2 (en) Bus guardian in a data bus
JP2011093389A (en) Control system, electronic devices, control device, and method for starting devices
JPH1173203A (en) Electronic control unit
JP2018163498A (en) Monitoring circuit
JP4812699B2 (en) Power control device
JP2016126692A (en) Electronic control device
JP5769403B2 (en) Monitoring device and electronic device
JP2012183877A (en) Detection processing device of vehicle occupant protection system
JP2768693B2 (en) Apparatus for monitoring a computer system having two processors
JP2011123569A (en) Processor
JP6668226B2 (en) Electronic control unit
JP6551746B2 (en) Vehicle sensor device and vehicle sensor system
JP3830837B2 (en) In-vehicle electronic control circuit with sensor self-diagnosis signal proper processing function
JP2010176541A (en) Electronic control device for vehicle
JP2007283788A (en) Vehicular electronic control device
JP6457149B2 (en) Electronic control unit
JP6716429B2 (en) Electronic control device and diagnostic method thereof
JP6702175B2 (en) Load drive
JP2023122184A (en) electronic controller
JP2005257304A (en) Diagnostic method for acceleration detection unit

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110516

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110516

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120809

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120821

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120918

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150928

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees