JP5281448B2 - 電子制御装置、異常監視方法 - Google Patents

電子制御装置、異常監視方法 Download PDF

Info

Publication number
JP5281448B2
JP5281448B2 JP2009069908A JP2009069908A JP5281448B2 JP 5281448 B2 JP5281448 B2 JP 5281448B2 JP 2009069908 A JP2009069908 A JP 2009069908A JP 2009069908 A JP2009069908 A JP 2009069908A JP 5281448 B2 JP5281448 B2 JP 5281448B2
Authority
JP
Japan
Prior art keywords
signal
output
microcomputer
monitoring
control signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009069908A
Other languages
English (en)
Other versions
JP2010224759A (ja
JP2010224759A5 (ja
Inventor
智幸 嘉藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Ten Ltd
Original Assignee
Denso Ten Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Ten Ltd filed Critical Denso Ten Ltd
Priority to JP2009069908A priority Critical patent/JP5281448B2/ja
Publication of JP2010224759A publication Critical patent/JP2010224759A/ja
Publication of JP2010224759A5 publication Critical patent/JP2010224759A5/ja
Application granted granted Critical
Publication of JP5281448B2 publication Critical patent/JP5281448B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Power Sources (AREA)
  • Debugging And Monitoring (AREA)
  • Microcomputers (AREA)

Description

本発明は、マイクロコンピュータと、異常監視を許可または禁止する監視制御信号により異常監視が許可されているときに、前記マイクロコンピュータから出力されるパルス信号に基づいて前記マイクロコンピュータの異常を検出する異常監視回路とを備えている電子制御装置、及び異常監視方法に関する。
一般に、電子機器はマイクロコンピュータにより制御されている。そして、高い安全性が要求される電子機器、例えば車両に搭載される電子制御装置(以下、ECU(Electric Control Unit)と記す。)では、ノイズ等の影響によりマイクロコンピュータが暴走したり回路が破損して正常に動作しなくなる万一の事態に備えて、通常、マイクロコンピュータの外部にマイクロコンピュータの異常監視装置を設けていることが多い。
異常監視装置は、マイクロコンピュータから出力されるパルス信号をモニタしておき、当該パルス信号の異常監視装置への入力が所定期間途切れると、マイクロコンピュータにソフトウェア暴走等の異常が発生していると判断して、マイクロコンピュータに対してリセット信号を出力する。
ところで、車両には複数のECUが搭載されており、これらECUには、イグニッションスイッチがオンの場合にのみ給電されるECUと、イグニッションスイッチのオンオフにかかわらず常時給電されるECUがある。これらECUは、単数または複数のネットワーク、例えばCAN(Controller Area Network)バスやLIN(Local Interconnect Network)バス等で相互接続されている。
イグニッションスイッチがオンの場合にのみ給電されるECUとしては、エンジンを制御するECUやブレーキを制御するECU等があり、イグニッションスイッチのオンオフにかかわらず常時給電されているECUとしては、複数のネットワーク同士を接続するために各ネットワークで異なるプロトコルの変換を行なうゲートウェイECU、ドアロック制御用のECU、及び盗難防止等のセキュリティを管理するECU等がある。
そして、イグニッションスイッチのオンオフにかかわらず常時給電されているECUは、イグニッションスイッチがオフの場合には、マイクロコンピュータを待機状態へ移行させ、イグニッションスイッチがオンになった場合やCANバスを介してフレームの受信があった等の割込み発生時等にのみ、マイクロコンピュータをウェイクアップして動作させることが、省電力化のために有効である。
マイクロコンピュータが移行する待機状態にはいくつかの種類があり、例えば、CPUの動作クロックを停止させるモードがある。このようなモードに移行した場合、マイクロコンピュータはパルス信号を出力できなくなる。すると、異常監視装置は、待機状態のマイクロコンピュータからのパルス信号が所定期間途切れたことによって、マイクロコンピュータに異常が発生したと誤判断してしまう虞がある。
このような誤判断を防止するため、マイクロコンピュータは、待機状態へ移行する際、異常監視装置に対してマイクロコンピュータの異常監視を禁止する信号(監視禁止信号)を出力した後で、待機状態への移行処理を実行していた。ここで、待機状態への移行処理は、例えば、マイクロコンピュータに備えられた発振回路を停止させる命令の実行である。
また、マイクロコンピュータは、待機状態から復帰する際、待機状態からの復帰処理を実行した後で、異常監視装置に対してマイクロコンピュータの異常監視を許可する信号(監視許可信号)を出力していた。ここで、待機状態からの復帰処理は、例えば、復帰後の割込みを禁止する処理や、クロックが正常に発振するまでの遅延期間を設ける処理である。
尚、特許文献1には、マイクロコンピュータからのパルス出力が所定の時間条件を満たさない時にマイクロコンピュータの異常として検出するウォッチドッグタイマ方式の異常監視装置が開示されている。当該異常監視装置は、監視動作の動作/停止を制御するWDT監視部を備えており、マイクロコンピュータをスタンバイ状態に移行させるスタンバイ信号を、マイクロコンピュータの監視動作の動作/停止を指示する異常監視指示信号としてWDT監視部に入力し、WDT監視部はこの異常監視指示信号によりその動作/停止を制御する。
特開2004−326629号公報
しかし、マイクロコンピュータは、監視禁止信号の出力や待機状態への移行処理、及び、待機状態の復帰や監視許可信号の出力処理を、CPUがメモリに記憶された制御プログラムを実行することで、つまりソフトウェアで行っていた。よって、図1(a)に示すように、監視禁止信号の出力から待機状態への移行まで、及び、待機状態からの復帰から監視許可信号の出力までに、所定期間のタイムラグt1、t2が生じてしまう虞があった。
そして、所定期間t1、t2にマイクロコンピュータに異常が生じた場合、所定期間t1、t2では異常監視装置は異常監視を禁止されているため、マイクロコンピュータに異常が発生していると判断することができなかった。つまり、従来の異常監視装置では、マイクロコンピュータの異常を監視することができない期間が存在していた。
また、特許文献1に記載された異常監視装置では、異常監視指示信号はマイクロコンピュータを介することなくWDT監視部に入力されているが、監視動作の停止を指示する異常監視指示信号がWDT監視部に入力すると同時にCPUが停止するわけではないため、CPUが動作しているにもかかわらずマイクロコンピュータの異常を監視することができない期間が存在することは変わらない。
尚、特許文献1には、スタンバイ状態であってもマイクロコンピュータの異常動作を監視できる異常監視装置も開示されているが、このような異常監視装置では、マイクロコンピュータが異常動作する可能性が極めて少ないスタンバイ状態であっても、電力消費を考慮しているとはいえ異常監視は実行されているため、異常監視を禁止することに比べると省電力化を図ることができない。
本発明の目的は、上述した従来の問題点に鑑み、マイクロコンピュータのCPUが動作している間のマイクロコンピュータの異常を確実に監視することのできる電子制御装置、及び異常監視方法を提供する点にある。
上述の目的を達成するため、本発明による電子制御装置の特徴構成は、マイクロコンピュータと、前記マイクロコンピュータから出力される異常監視を許可または禁止する監視制御信号により異常監視が許可されているときに、前記マイクロコンピュータから出力されるパルス信号に基づいて前記マイクロコンピュータの異常を検出する異常監視回路とを備えている電子制御装置であって、前記マイクロコンピュータは、前記パルス信号の出力制御を行なうとともに、入力されるCPUクロックを停止させることで自身をストップ状態に移行させるための制御信号の出力制御を行なうCPUと、前記制御信号の出力状態に応じて前記監視制御信号の出力状態を切り替える監視制御回路とを備えている点にある。
上述の構成によれば、監視制御回路は、制御信号の出力状態がCPUの停止を示す状態となったときに、監視制御信号の出力状態を異常監視を禁止する状態とすることによって、CPUの動作及び停止と監視制御信号の出力状態とを同時に切り替えることができるので、図1(b)に示すように、監視禁止信号の出力と待機状態への移行まで、及び、待機状態からの復帰と監視許可信号の出力までに、タイムラグが生じることがない。
以上説明した通り、本発明によれば、マイクロコンピュータのCPUが動作している間のマイクロコンピュータの異常を確実に監視することのできる電子制御装置を提供することができるようになった。
(a)は従来のマイクロコンピュータの動作状態及び監視禁止/許可信号の出力並びに異常監視装置の監視状態を示すタイミングチャート、(b)は本発明によるマイクロコンピュータの動作状態及び監視禁止/許可信号の出力並びに異常監視装置の監視状態を示すタイミングチャート 車両に備えられた複数の電子制御装置のブロック構成図 電子制御装置のブロック構成図 マイクロコンピュータと異常監視回路のブロック構成図 異常監視回路の動作について説明するためのタイミングチャート マイクロコンピュータの回路図 クロック生成回路のブロック構成図 (a)は遅延回路の回路図、(b)はRSフリップフロップの回路図、(c)はRSフリップフロップの真理値表 汎用入出力ポートの回路図 入力回路を備えた汎用入出力ポートの回路図 マイクロコンピュータの処理について説明するためのフローチャート 異常監視回路の処理について説明するためのフローチャート 電子制御装置の処理について説明するためのタイミングチャート
以下に、本発明による電子制御装置(以下、ECUと記す。)及び異常監視方法を車両に適用した場合の実施形態について説明する。
ECUは、図2に示すように、イグニッションスイッチがオンされた場合にバッテリから給電される群と、イグニッションスイッチがオフされている場合でもバッテリから給電される群で構成されている。前者には高速のCANバスで接続されたエンジンECU、ミッションECU、及びブレーキECU等が含まれ、後者には低速のCANバスやLINバスで接続されたセキュリティ管理用のECU、ドアロック制御用のECU、及び高速と低速のバスの相互を接続してデータを中継するゲートウェイECU等が含まれる。
本発明によるECUは、後者のECUに具現化されており、図3に示すように、マイクロコンピュータ11、インタフェース回路12、及び異常監視回路13等を備えている。
インタフェース回路12は、CANバスやLINバス等のネットワークを介して他のECU等とデータの送受信を実行する通信回路と、各種センサ等からデータを入力してマイクロコンピュータ11が入力可能な信号に変換してマイクロコンピュータ11に出力する入力回路と、マイクロコンピュータ11から出力された制御信号を受け取って制御対象(例えばドアロックスイッチ)等を駆動する信号に変換して当該スタータリレー等に出力する出力回路等とを備えている。
マイクロコンピュータ11は、図4に示すように、CPU111と、RAMやROM等のメモリ112と、割込みコントローラ113等を備えて構成されており、CPU111がROMに記憶された制御プログラムを実行することでECU10としての定常処理を行なう。
定常処理は、例えば、ECU10がセキュリティ管理用のECUである場合はセキュリティ管理、ECU10がドアロック用ECUの場合はドアロック制御、ECU10がゲートウェイECUの場合はプロトコル変換処理等である。
割込みコントローラ113について詳述する。マイクロコンピュータ11には、単数または複数ビットで構成される割込みレジスタや優先順位設定レジスタ等が割込み要因毎に設けられている。
割込みレジスタには、イグニッションスイッチがオンされた場合等に起動される外部割込みや、所定の時間間隔で起動されるタイマ割込み等の割込み要因が発生すると、夫々に対応するタスクを起動するための割込み要求フラグがセットされる。優先順位設定レジスタには、複数の割込みレジスタに同時に割込み要求フラグがセットされたときに優先的に処理すべきタスクを起動するように優先順位が設定される。
そして、割込みコントローラ113は、マイクロコンピュータ11に入力された各種信号(例えばイグニッションスイッチがオンされた旨の信号)等に基づいて、これらレジスタにフラグをセットまたはリセットし、各レジスタのフラグの状態に基づいた割込み信号をCPU111等に出力することによって、マイクロコンピュータ11に対する割込み処理を制御する。
また、マイクロコンピュータ11は、複数の動作モードを有している。例えば、マイクロコンピュータ11は、通常動作時に高速のクロックで動作するモード(以下、動作モードと記す。)と、クロックを完全に停止させて、ウェイクアップ信号入力等の割込み要因に対する起動処理の実行機能以外の全ての機能を停止するモード(以下、ストップモードと記す。)とを有している。
また、マイクロコンピュータ11は、現在のモードが動作モードである場合、所定周期のパルス信号を以下で説明する異常監視回路13へ出力する。また、マイクロコンピュータ11は、異常監視回路13のマイクロコンピュータ11に対する異常監視を許可または禁止する監視制御信号を、後述する監視制御回路114を介して異常監視回路13へ出力する。
異常監視回路13は、異常監視を許可または禁止する監視制御信号により異常監視が許可されているときに、マイクロコンピュータ11から出力されるパルス信号に基づいてマイクロコンピュータ11の異常を検出する。
図4及び図5に示すように、異常監視回路13は、クロック回路132から出力されるクロック信号の立上りエッジ(または立下りエッジ)でカウントアップされ、CPU111から出力されるパルス信号の立上りエッジ(または立下りエッジ)でリセットされ、リセット後にカウントを再起動するカウンタ回路131と、カウンタ回路131にクロック信号を出力するクロック回路132と、リセット信号出力回路133等を備えている。
リセット信号出力回路133は、パルス信号が適正な周期(所定周期)でカウンタ回路に入力されないためにカウント値が所定閾値Cthを超え場合、つまりパルス信号の直近の立上りエッジ(または立下りエッジ)から所定期間を超えてもパルス信号の立上りエッジ(または立下りエッジ)の入力がない場合、マイクロコンピュータ11にリセット信号を出力する。
つまり、異常監視回路13は、パルス信号が所定期間入力されない場合に、マイクロコンピュータ11に異常が発生したと判断して、マイクロコンピュータ11をリセットする回路である。
また、異常監視回路13は、異常監視を許可する旨の監視制御信号が入力されると動作(カウンタ回路131によるカウントアップ処理、クロック回路132によるクロック信号出力処理、及びリセット信号出力回路133によるリセット信号出力処理)を開始し、異常開始を禁止する旨の監視制御信号が入力されると当該動作を停止(カウンタ回路131によるカウントアップ停止及びカウント値リセット、クロック回路132によるクロック信号出力停止、及びリセット信号出力回路133によるリセット信号出力停止)する。
マイクロコンピュータ11の説明に戻る。図4に示すように、マイクロコンピュータ11は、CPU111の動作を停止させる制御信号の出力状態に応じて監視制御信号の出力状態を切り替える監視制御回路114を備えている。
例えば、制御信号がCPU111によりストップ命令が実行されたときに切り替わる信号であり、監視制御回路114は当該信号の切り替わりに応じて異常監視を禁止するように監視制御信号を切り替える。また、制御信号がCPU111をストップモードから動作モードに切り替えるウェイクアップ信号に基づいて切り替わる信号であり、監視制御回路114は当該信号の切り替わりに応じて異常監視を許可するように監視制御信号を切り替える。
ストップ命令とは、マイクロコンピュータ11に備えられた発振回路(例えば、高速システムクロック発振回路、高速内蔵発振回路、低速内蔵発振回路、及びサブシステムクロック発振回路等)を停止させ、マイクロコンピュータ11を停止させる命令であり、CPU111によって実行される。そして、ストップ命令の実行を示す信号であるストップ信号が、CPU111から監視制御回路114へ出力される。CPU111は、ストップ命令を実行することによって動作モードからストップモードへ移行する。
ストップ命令が実行されたときに切り替わる信号とは、例えば、監視制御回路114にストップ信号が入力されると、それまでの信号レベルに関係なくローレベルに切り替わる信号である。
ウェイクアップ信号は、イグニッションスイッチがオンになった場合や異常監視回路13からリセット信号が入力された場合等に、CPU111等に入力される割込み信号であり、CPU111は当該割込み信号を受け取ると、ストップモードから動作モードへ移行する。また、ウェイクアップ信号は、監視制御回路114へも入力される。
ウェイクアップ信号に基づいて切り替わる信号とは、例えば、監視制御回路114にウェイクアップ信号が入力されると、それまでの信号レベルに関係なくハイレベルに切り替わる信号である。
以下に、監視制御回路114について、図6に基づいて詳述する。尚、図6に示すマイクロコンピュータ11では、ストップ信号とウェイクアップ信号はハイアクティブの信号であるとする。つまり、ストップ信号は、ストップ命令が実行された場合にハイレベルのパルスを出力するが、その他の場合はローレベルを維持している。また、ウェイクアップ信号は、割込みコントローラ113からアクティブレベル(ハイレベル)の割込み信号が入力された場合や異常監視回路13からアクティブレベル(ハイレベル)のリセット信号が入力された場合にOR回路119からハイレベルのパルスを出力するが、割込み信号やリセット信号が入力されない場合はローレベルを維持している。
図6では、マイクロコンピュータ11は、CPUクロックを生成して出力するクロック生成回路115を備えている。ここで、CPUクロックは、CPUの動作クロックである。クロック生成回路115は、例えば、図6に示すように、各二個のインバータとNAND回路で構成されており、XIN端子に接続された発振子からの入力信号を、監視制御回路114の出力信号に基づいて、CPU111へ出力し、また、XOUT端子からマイクロコンピュータ11の外部へ出力する回路である。
尚、クロック生成回路115は、図6に示すような構成に限らず、例えば、図7に示すような構成であってもよい。図7に示すクロック生成回路115は、発振子1151に接続された高速システムクロック発振回路1152から出力された所定周波数のクロックがプリスケーラ1153で分周されセレクタ1154に入力され、単数または複数ビットで構成されたクロックコントロールレジスタ1155の設定値に基づいた周波数のクロックがCPUクロックとしてセレクタ1154から出力される回路である。図7に示すクロック生成回路115は、ストップ信号が高速システムクロック発振回路1152に入力し、高速システムクロック発振回路1152が停止することで停止する。
また、図6では、監視制御回路114は、クロック生成回路115を制御するクロック制御回路114で構成されている。図6で使用されるRSフリップフロップ114の回路を図8(b)に示し、図8(b)の回路の真理値表を図8(c)に示す。尚、図6では、クロック制御回路114は、RSフリップフロップで構成されているが、以下で説明するような機能を有するならば、RSフリップフロップに限らない。
クロック制御回路114は、CPU111からアクティブレベル(ハイレベル)のストップ信号が入力されると、つまりRSフリップフロップのセット端子Sにハイレベルの信号が入力されると、クロック生成回路115にハイレベルのクロック制御信号を出力し、割込みコントローラ113または異常監視回路13からアクティブレベル(ハイレベル)のウェイクアップ信号が入力されると、つまりRSフリップフロップのリセット端子Rにハイレベルの信号が入力されると、クロック生成回路115にローレベルのクロック制御信号を出力する。
クロック生成回路115は、クロック制御回路114からローレベルのクロック制御信号が入力されると、XIN端子から入力された信号の論理が反転された信号をNAND回路1151からCPUクロックとして出力するが、クロック制御回路114からハイレベルのクロック制御信号が入力されると、XIN端子から入力される信号のレベルにかかわらず、NAND回路1151からハイレベルの信号を出力する。つまり、ハイレベルの信号が入力された場合には、CPUクロックは出力されない。
以上より、クロック制御回路114は、CPU111によるストップ命令の実行時に生成されるストップ信号に基づいてCPUクロックを停止し、CPU111をストップモードから動作モードに切り替えるウェイクアップ信号に基づいてCPUクロックを出力するように制御する。
そして、マイクロコンピュータ11が図6の構成である場合の制御信号は、クロック制御信号である。つまり、本発明によるECU10のマイクロコンピュータ11は、図6に示すように、クロック制御回路114の出力を入出力ポート116と接続することで、クロック制御回路114から出力されるクロック制御信号を、クロック生成回路115へ出力するだけでなく、入出力ポート116を介して監視制御信号として異常監視回路13へも出力するように構成されている。尚、以上の説明より、図6の場合、監視制御信号は、ハイレベルで異常監視の禁止で、ローレベルで異常監視の許可である。
上述の構成によれば、制御信号が、CPU111によりCPUクロックを停止させるストップ命令が実行されたときに切り替わり、CPUクロックを出力させるウェイクアップ信号に基づいて切り替わる信号、つまりクロック制御回路から出力されるクロック制御信号である。
従って、制御信号の出力状態に応じて出力状態を切り換えられる監視制御信号の異常監視回路13への出力タイミングを、CPUクロックの停止タイミング及び出力タイミングと同時とすることができ、監視禁止信号の出力と待機状態への移行まで、及び、待機状態からの復帰と監視許可信号の出力までに、タイムラグが生じることはない。
つまり、本発明によるECU10は、マイクロコンピュータと、マイクロコンピュータから出力される異常監視を許可または禁止する監視制御信号により異常監視が許可されているときに、前記マイクロコンピュータから出力されるパルス信号に基づいて前記マイクロコンピュータの異常を検出する異常監視回路とを備え、マイクロコンピュータは、パルス信号の出力制御を行なうとともに、自身をストップ状態に移行させるための制御信号の出力制御を行なうCPUと、制御信号の出力状態に応じて前記監視制御信号の出力状態を切り替える監視制御回路とを備えている。
また、図6に示すように、監視制御信号として出力する制御信号と、クロック生成回路115へ出力する制御信号とを、共通の信号であるクロック制御信号とすることにより、一致している必要がある両制御信号に不一致が生じることを防止することができる。
監視制御信号が禁止状態から許可状態に切り替わるときに、監視制御信号を遅延させる遅延回路を、監視制御信号の信号線に設けてもよい。
例えば、図4及び図6に破線で示すように、監視制御信号が禁止状態から許可状態に切り替わる場合にのみ入力信号を所定時間遅延させて出力する遅延回路118を、監視制御回路114の後段に設けておき、マイクロコンピュータ11は、監視制御回路114から出力された制御信号を所定時間遅延させて、監視制御信号として異常監視回路13へ出力する。
遅延回路118の一例を図8(a)に示し、図8(a)で使用されるRSフリップフロップ114、1181の回路を図8(b)に示し、図8(b)の回路の真理値表を図8(c)に示す。
図8では、遅延回路118は、クロック制御回路114の出力Qと直列接続されたインバータ1182と、インバータ1182と直列接続された抵抗R1と、一方を抵抗R1と接続され他方を接地されたコンデンサC1と、コレクタを抵抗R1と接続されエミッタを接地されたトランジスタQ1と、クロック制御回路114と同様にストップ信号及びウェイクアップ信号が夫々セットS、リセットRに入力され、出力QがトランジスタQ1のベースに接続されたRSフリップフロップ1181とを備えている。
クロック制御回路114及びRSフリップフロップ1181のセットSにアクティブレベル(ハイレベル)のストップ信号が入力されると、クロック制御回路114の出力Q(ハイレベル)はインバータ1182で論理反転することでローレベルとなる。また、RSフリップフロップ1181の出力(ハイレベル)がトランジスタQ1のベースに入力することでトランジスタQ1はオンとなる。その結果、クロック制御回路114にストップ信号が入力された場合には、コンデンサC1に電荷が蓄積されていても、クロック制御回路114から出力されインバータ1182で論理反転された制御信号(ローレベル)は、遅延することなく監視制御信号として後段(入出力ポート116)へ出力される。つまり、遅延回路118は、監視制御信号が許可状態から禁止状態に切り替わるときは、監視制御信号を遅延させない。
一方、クロック制御回路114及びRSフリップフロップ1181のリセットRにアクティブレベル(ハイレベル)のウェイクアップ信号が入力されると、クロック制御回路114の出力Q(ローレベル)はインバータで論理反転することでハイレベルとなる。また、RSフリップフロップ1181の出力(ローレベル)がトランジスタQ1のベースに入力することでトランジスタQ1はオフとなる。その結果、クロック制御回路114にウェイクアップ信号が入力された場合には、クロック制御回路114から出力されインバータ1182で論理反転された制御信号(ハイレベル)は、コンデンサC1に電荷が蓄積されるまでの時間だけ遅延して監視制御信号として後段(入出力ポート116)へ出力される。つまり、遅延回路118は、監視制御信号が禁止状態から許可状態に切り替わるときは、監視制御信号を遅延させる。
尚、図8(a)に示す遅延回路118を使用する場合、監視制御信号は、ハイレベルで許可状態であり、ローレベルで禁止状態であるが、論理を逆にする場合は、例えば遅延回路118の後段にインバータを設ければよい。
マイクロコンピュータ11は、ウェイクアップ信号が入力されることで異常監視を許可するように監視制御信号を切り替えてからパルス信号が異常監視回路13へ出力されるまでに所定時間がかかる場合がある。その理由は、例えば以下の通りである。つまり、マイクロコンピュータ11は、ウェイクアップした直後には、CPU111の動作が安定するまでの間、CPUクロックの周波数を低くするよう設定されている場合があるため、パルス信号が出力される命令が実行されるまでに遅延が生じてしまうのである。
その結果、異常監視回路13には、監視制御信号によって異常監視を許可されてから所定時間、パルス信号が入力されず、カウンタ回路131のカウント値が所定閾値Cthを超えてしまい、異常監視回路13は、マイクロコンピュータ11の異常であると誤って判断してしまう虞がある。
しかし、上述の構成によれば、監視制御信号の切替時期を遅延する遅延回路118を設けることで、上記のような誤った判断が異常監視回路13によってなされることを防止することができる。
以上の説明では、監視制御信号が出力されるポートは、入出力ポート116に備えられた監視制御信号の出力専用のポートである場合について説明したが、図9に示すように、監視制御信号が出力されるポートがポートモードを設定するモード設定レジスタ1172を備えた汎用入出力ポート117で構成され、マイクロコンピュータ11のリセット時にモード設定レジスタ1172によるポートモードが設定されるまでの間、ハイインピーダンスとなるように設定されていてもよい。
以下に詳述する。汎用入出力ポート117は、例えば、マイクロコンピュータ11の内部バス119と接続されており、出力データを保持する出力ラッチ1171と、ポートモード(入力モードと出力モード)の指定及び入出力するデータの種類の指定を行なうための単数または複数ビットで構成されたモード設定レジスタ1172と、モード設定レジスタ1172の保持内容に基づいて出力ラッチ1171から出力されたデータと監視制御回路114から出力された制御信号の何れかを選択して出力するセレクタ1173と、モード設定レジスタ1172の保持内容に基づいて、入力をそのまま出力するかハイインピーダンスとするかを切り替え可能なスリーステートバッファ1174とを備えている。
汎用入出力ポート117では、モード設定レジスタ1172によって出力モードに設定されている場合、スリーステートバッファ1174は入力をそのまま出力するように切り替えられる。その結果、データ(出力ラッチ1171から出力されたデータまたは監視制御回路114から出力された制御信号)は、図9に一点鎖線矢印で示す経路で端子1175より出力される。
一方、モード設定レジスタ1172によって入力モードに設定されている場合、スリーステートバッファ1174はハイインピーダンスに切り替えられる。その結果、データ(外部から端子1175を介して入力されたデータ)は、図9に二点鎖線矢印で示す経路で内部バス119へ出力される。
また、モード設定レジスタ1172は、マイクロコンピュータ11のリセット時に、モード設定レジスタ1172の設定が可能となった瞬間に、スリーステートバッファ1174をハイインピーダンスとするように設定される。
上述の構成によれば、監視制御信号の出力専用ポートを余分に設ける必要がないので、ポートを節約することができる。
また、マイクロコンピュータ11側でポートをハイインピーダンスとなるように設定すると、異常監視回路13側で監視制御信号の初期値を設定することができる。つまり、初期値をハイレベルとしたい場合には異常監視回路13の監視制御信号が入力されるポートにプルアップ抵抗を設け、初期値をローレベルとしたい場合には当該ポートにプルダウン抵抗を設ければよい。
また、マイクロコンピュータ11のリセット時に、モード設定レジスタ1172の設定が可能となった瞬間にポートをハイインピーダンスとなるように設定することで、モード設定レジスタ1172にポートモードが設定されるまでの間に、
不適切なレベルの信号が汎用入出力ポート117から異常監視回路13へ出力されることを防止することができる。その結果、異常監視回路13の誤動作の発生可能性を低減することができる。
ECU10は、図9に破線で示すように、モード設定レジスタの値の変更を禁止するプロテクトレジスタ1176を備えていてもよい。
例えば、CPU111は、モード設定レジスタの値を変更する際、まず、プロテクトレジスタ1176の値を所定値(例えばハイレベル)に設定してモード設定レジスタの値の変更の禁止を解除してから、モード設定レジスタの値を設定する。そして、CPU111は、モード設定レジスタの値の設定後、プロテクトレジスタの値を上記とは異なる所定値(例えばローレベル)に設定してモード設定レジスタの値の変更を禁止する。
上述の構成によれば、ソフトウェアの暴走等によりモード設定レジスタが不適切な値に書き換えられる危険性を低減することができる。
ECU10は、監視制御信号が出力されるポートの信号レベルを入力する入力回路をポートに設けていてもよい。
例えば、図10に示すように、モード設定レジスタ1172に保持されている値に基づいて、セレクタ1173から出力されたデータと端子1175を介して外部より入力されたデータの何れかを選択して内部バス119に出力するセレクタ1178を備えた入力回路1177を設けておく。
セレクタ1173は監視制御回路114から出力された制御信号を選択し、セレクタ1178はセレクタ1173から出力されたデータを選択するように、モード設定レジスタ1172を設定することで、監視制御信号が出力されるポートの信号レベルを入力する。
上述の構成によれば、監視制御回路114や入出力ポート116の異常等によって、マイクロコンピュータ11が出力したつもりの監視制御信号の内容と、実際に出力された監視制御信号の内容が異なるものである場合でも、その事実を早期に発見して適切な対応をすることができる。
例えば、マイクロコンピュータ11は自身に異常があると判断して、即座に全ての動作を停止してストップモードに入るといった対応や、ダイアグノーシスコード等を出力してマイクロコンピュータ11の異常をユーザに知らせるといった対応をとることができる。ユーザに知らせる方法としては、例えば、車両に搭載されたナビゲーション装置の液晶パネル等の表示部への警告メッセージの表示や、スピーカーからの音声メッセージの出力等がある。
以下、本発明によるECU10の処理について、図11及び図12に示すフローチャート並びに図13に示すタイミングチャートに基づいて説明する。
リセットされたECU10のマイクロコンピュータ11は、CPU111が安定すると、初期設定を実行する(SA1)。初期設定は、例えば、RAMのチェック処理及びクリア処理や、入力ポートへの初期データの入力処理の他、モード設定レジスタに所定値を保持することにより所定のポートモード(例えば動作モード)に設定するポート設定(SA2)、パルス信号の出力許可(SA2)、タイマ割込処理を開始するタイミング設定、換言するとパルス信号の周期設定のための割込タイマ値を単数または複数ビットで構成されるタイマレジスタに設定するタイマ値設定(SA3)、及び割込み許可(SA4)等がある。
初期設定が完了すると、ECU10では、マイクロコンピュータ11等によって定常処理が実行される(SA5)。ここで、定常処理は、例えば、ECU10がセキュリティ管理用ECUの場合、セキュリティ管理であり、ECU10がドアロック用ECUの場合、ドアロック制御であり、ECU10がゲートウェイECUの場合、プロトコル変換処理である。尚、これら定常処理は、イグニッションスイッチのオフ時であっても、CPU111が動作モードである場合に実行される。
定常処理中に、車両の運転者等によってイグニッションスイッチがオフされると(SA6)、マイクロコンピュータ11は、シャットダウン処理を実行する(SA7)。シャットダウン処理とは、例えば、RAMに記憶されているデータのEEPROM等の不揮発性メモリへの退避である。
シャットダウン処理が完了すると、CPU111はストップ命令を実行する(SA8)。CPU111によってストップ命令が実行されると、制御信号の出力状態が異常監視の許可から禁止に切り替わり、状態の切り替わった制御信号は監視制御信号としてマイクロコンピュータ11によって異常監視回路13に出力される。つまり、マイクロコンピュータ11のストップモードへの移行と、異常監視回路13の異常監視の実行状態から停止状態への移行とが略同時に実行される。
マイクロコンピュータ11では、ストップモード時に、ウェイクアップ信号が入力される割込みが発生すると(SB1)、制御信号の出力状態が異常監視の禁止から許可に切り替わり、状態の切り替わった制御信号は監視制御信号としてマイクロコンピュータ11によって異常監視回路13に出力される。つまり、マイクロコンピュータ11の動作モードへの移行と、異常監視回路13の異常監視の停止状態から実行状態への移行とは略同時に実行される。
また、マイクロコンピュータ11は、タイマ割込みが発生すると、出力しているパルス信号の論理を反転させる。つまり、出力しているパルス信号がオン(例えばハイレベル)の場合は(SD1)、オフ(例えばローレベル)に切り替え(SD2)、出力しているパルス信号がオフの場合は(SD1)、オンに切り替える(SD3)。
異常監視回路13は、CPU111によるストップ命令の実行によって(SA8)、マイクロコンピュータ11から異常監視回路13へ異常監視を禁止する旨の監視制御信号が出力されている場合、動作しない(SC1)。
一方、異常監視回路13は、ウェイクアップ信号が入力される割込みによって(SB1)、マイクロコンピュータ11から異常監視回路13へ異常監視を許可する旨の監視制御信号が出力されている場合(SC1)、マイクロコンピュータ11から異常監視回路13へ出力されるパルス信号を参照する。
異常監視回路13は、パルス信号の立上りエッジが入力されていない場合(SC2)、カウント回路131をカウントアップし(SC3)、パルス信号の立上りエッジが入力されると(SC2)、カウンタ回路131をリセットする(SC4)。
異常監視回路13のリセット信号出力回路133は、マイクロコンピュータ11の異常発生等でマイクロコンピュータ11からパルス信号が入力しないことにより、ステップSC3またはSC4の処理後のカウンタ回路131のカウント値が所定閾値Cthを超えている場合には(SC5)、マイクロコンピュータ11に異常が発生したと判断して、マイクロコンピュータ11を再起動させるためのリセット信号をマイクロコンピュータ11に出力する(SC6)。
リセット信号を受け取ったマイクロコンピュータ11は、リセットされ、ステップSA1で説明した初期設定以降の処理を実行する。
以上説明した通り、本発明による異常監視方法は、マイクロコンピュータから出力される異常監視を許可または禁止する監視制御信号により異常監視が許可されているときに、マイクロコンピュータから出力されるパルス信号に基づいてマイクロコンピュータの異常を検出する異常監視方法であって、マイクロコンピュータのCPUの動作を停止させる制御信号の出力状態に連動して監視制御信号の出力状態を切り替える方法、つまり、マイクロコンピュータのCPUから出力され、自身をストップ状態に移行させるための制御信号の出力状態に連動して監視制御信号の出力状態を切り替える方法である。
以下、別実施形態について説明する。上述の実施形態では、制御信号がCPU111によりストップ命令が実行されたときに切り替わる信号である場合について説明したが、制御信号がCPU111により低消費電力駆動命令が実行されたときに切り替わる信号であり、監視制御回路114は当該信号の切り替わりに応じて異常監視を禁止するように監視制御信号を切り替えてもよい。
低消費電力駆動命令は、例えば、マイクロコンピュータ11に複数の発振回路が搭載されている場合に、CPU111のモードをストップモードでも動作モードでもないモード、つまり一部の発振回路(CPU111の動作クロック)には発振を停止させるが当該一部の発振回路以外の発振回路には発振を継続させることで消費電力を低減させるモード(低消費電力駆動モード)へ移行させる命令である。
低消費電力駆動モードは、システム全体を停止させるストップモード程には消費電力を低減させることはできない。しかし、例えば、通常動作時のCPUクロックを生成するための高速内蔵発振回路の発振は停止させるが、所定インタバルでCPU111を駆動させて低速クロックで動作させるためのクロック(間欠動作時のCPUクロック)を生成するための低速内蔵発振回路の発振は継続させるようにすると、間欠動作時の処理の再開を迅速に行なうことができる。
尚、間欠動作のインタバルは、例えば、上述のタイマ割込処理とは別のタイマ割込処理を開始するタイミング設定のための割込タイマ値を上述のタイマレジスタとは別に設けられた単数または複数ビットで構成されるタイマレジスタに設定することで決定される。具体的には、間欠動作のインタバルは、例えば1時間等に設定される。
制御信号を、CPU111によりストップ命令が実行されたときに切り替わる信号とするか、CPU111により低消費電力駆動命令が実行されたときに切り替わる信号とするか、CPU111によりストップ命令または低消費電力駆動の命令の何れかが実行されたときに切り替わる信号とするかといった選択は、マイクロコンピュータの初期設定時(例えば図11のステップSA1)に、当該選択を行なうために設けられた単数または複数ビットで構成されるレジスタに各選択に対応した値を設定することによって実行する。
このような低消費電力駆動モードでは、CPU111の動作クロックは停止しておりCPU111は動作しておらず、CPU111に異常が発生することは稀であるため、異常監視回路13によるマイクロコンピュータ11の異常監視を禁止しておくことが、省電力化の観点等から好ましい。
よって、上述の構成によれば、マイクロコンピュータ11の消費電力を低減することができる。
また、上述の構成によれば、制御信号が、CPU111により低消費電力駆動命令が実行されたときに切り替わる信号である。よって、制御信号の出力状態に応じて出力状態を切り換えられる監視制御信号の異常監視回路13への出力タイミングを、低消費電力駆動モードへの移行タイミングと同時とすることができる。従って、上述の構成によれば、監視禁止信号の出力と待機状態への移行までに、タイムラグが生じることはない。
上述の実施形態では、本発明によるECU10及び異常監視方法を車両に適用した場合について説明したが、異常監視回路を備えており、異常監視回路によるマイクロコンピュータの異常監視の許可と禁止を切り替える必要がある装置を搭載する機器、或いは、マイクロコンピュータの異常監視の許可と禁止を切り替える必要がある異常監視方法を使用する機器であれば、車両以外、例えば船舶や航空機等に適用してもよい。
また、上述したマイクロコンピュータに備えた監視制御回路の出力信号は、外部に備えた異常監視回路に出力するばかりでなく、CPUの動作が停止するときに、同期して他の外部回路の動作を停止させるために用いることも可能である。
尚、上述の実施形態は、本発明の一例に過ぎず、本発明の作用効果を奏する範囲において各ブロックの具体的構成等は適宜変更設計できる(例えば論理レベルのアクティブレベルをハイレベルとローレベルに変える場合の設計変更ができる)ことは言うまでもない。
10:電子制御装置
11:マイクロコンピュータ
13:異常監視回路
111:CPU
114:監視制御回路
117:汎用入出力ポート
118:遅延回路
1172:モード設定レジスタ
1176:プロテクトレジスタ
1177:入力回路

Claims (9)

  1. マイクロコンピュータと、前記マイクロコンピュータから出力される異常監視を許可または禁止する監視制御信号により異常監視が許可されているときに、前記マイクロコンピュータから出力されるパルス信号に基づいて前記マイクロコンピュータの異常を検出する異常監視回路とを備えている電子制御装置であって、
    前記マイクロコンピュータは、前記パルス信号の出力制御を行なうとともに、入力されるCPUクロックを停止させることで自身をストップ状態に移行させるための制御信号の出力制御を行なうCPUと、前記制御信号の出力状態に応じて前記監視制御信号の出力状態を切り替える監視制御回路とを備えていることを特徴とする電子制御装置。
  2. 前記制御信号が前記CPUによりストップ命令が実行されたときに切り替わる信号であり、前記監視制御回路は当該信号の切り替わりに応じて異常監視を禁止するように前記監視制御信号を切り替えることを特徴とする請求項1記載の電子制御装置。
  3. 前記CPUによるストップ命令の実行時に生成される前記制御信号に基づいてCPUクロックを停止し、前記CPUをストップモードから動作モードに切り替えるウェイクアップ信号に基づいて前記CPUクロックを出力するように制御するクロック制御回路を備えることを特徴とする請求項1または2記載の電子制御装置。
  4. 前記制御信号が前記CPUにより低消費電力駆動命令が実行されたときに切り替わる信号であり、前記監視制御回路は当該信号の切り替わりに応じて異常監視を禁止するように前記監視制御信号を切り替えることを特徴とする請求項1から3の何れかに記載の電子制御装置。
  5. 前記監視制御信号が出力されるポートがポートモードを設定するモード設定レジスタを備えた汎用入出力ポートで構成され、前記マイクロコンピュータのリセット時に前記モード設定レジスタによるポートモードが設定されるまでの間、ハイインピーダンスとなるように設定されていることを特徴とする請求項1から4の何れかに記載の電子制御装置。
  6. 前記モード設定レジスタの値の変更を禁止するプロテクトレジスタを備えている請求項5記載の電子制御装置。
  7. 前記監視制御信号が出力されるポートの信号レベルを入力する入力回路を前記ポートに設けていることを特徴とする請求項5または6記載の電子制御装置。
  8. 前記監視制御信号が禁止状態から許可状態に切り替わるときに、前記監視制御信号を遅延させる遅延回路を、前記監視制御信号の信号線に設けていることを特徴とする請求項1から7の何れかに記載の電子制御装置。
  9. マイクロコンピュータから出力される異常監視を許可または禁止する監視制御信号により異常監視が許可されているときに、前記マイクロコンピュータから出力されるパルス信号に基づいて前記マイクロコンピュータの異常を検出する異常監視方法であって、
    前記マイクロコンピュータのCPUから出力され、入力されるCPUクロックを停止させることで自身をストップ状態に移行させるための制御信号の出力状態に連動して前記監視制御信号の出力状態を切り替える異常監視方法。
JP2009069908A 2009-03-23 2009-03-23 電子制御装置、異常監視方法 Expired - Fee Related JP5281448B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009069908A JP5281448B2 (ja) 2009-03-23 2009-03-23 電子制御装置、異常監視方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009069908A JP5281448B2 (ja) 2009-03-23 2009-03-23 電子制御装置、異常監視方法

Publications (3)

Publication Number Publication Date
JP2010224759A JP2010224759A (ja) 2010-10-07
JP2010224759A5 JP2010224759A5 (ja) 2012-11-01
JP5281448B2 true JP5281448B2 (ja) 2013-09-04

Family

ID=43041895

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009069908A Expired - Fee Related JP5281448B2 (ja) 2009-03-23 2009-03-23 電子制御装置、異常監視方法

Country Status (1)

Country Link
JP (1) JP5281448B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5778477B2 (ja) * 2011-05-13 2015-09-16 矢崎総業株式会社 車載器用リセット回路
JP5978753B2 (ja) * 2012-05-16 2016-08-24 富士電機株式会社 電子機器装置
JP2014016840A (ja) * 2012-07-10 2014-01-30 Toyota Industries Corp ウオッチドッグタイマ回路
JP5928358B2 (ja) * 2013-01-28 2016-06-01 トヨタ自動車株式会社 情報処理装置、監視装置、制御装置
JP6323296B2 (ja) * 2014-10-23 2018-05-16 株式会社デンソー 制御装置
KR101655282B1 (ko) * 2016-04-11 2016-09-07 (주)넥스챌 신재생 에너지 관리 시스템을 위한 마이크로 그리드 게이트웨이의 이중 수준 리셋 관리 장치 및 그 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2653654B2 (ja) * 1987-06-16 1997-09-17 三菱電機株式会社 コンピュータシステムの暴走監視装置
JP2571589Y2 (ja) * 1992-03-24 1998-05-18 株式会社ミツバ ウォッチドッグ検出制御回路
JPH11203173A (ja) * 1998-01-16 1999-07-30 Nec Eng Ltd ウオッチドッグタイマ回路
JP2008276360A (ja) * 2007-04-26 2008-11-13 Fujitsu Ten Ltd 電子制御装置

Also Published As

Publication number Publication date
JP2010224759A (ja) 2010-10-07

Similar Documents

Publication Publication Date Title
JP5951429B2 (ja) ウォッチドッグ回路、電源ic、及びウォッチドッグ監視システム
JP5281448B2 (ja) 電子制御装置、異常監視方法
JP5598429B2 (ja) 電源制御システム、電源制御装置及び電源制御方法
US8996927B2 (en) Electronic control device with watchdog timer and processing unit to diagnose malfunction of watchdog timer
JP2007030593A (ja) 電子制御装置
EP2891581B1 (en) Vehicle control system, and vehicular electronic control unit
JP4665846B2 (ja) マイクロコンピュータ及び電子制御装置
JP2008152678A (ja) 電子制御装置
KR20000028615A (ko) 발진 정지 검출 장치 및 발진 정지 검출후의 처리 장치
JP4151566B2 (ja) マイクロコンピュータ
JP4715760B2 (ja) マイクロコンピュータ及び制御システム
JP5928358B2 (ja) 情報処理装置、監視装置、制御装置
JP5241450B2 (ja) 半導体装置及びその異常検出方法
JP2011093389A (ja) 制御システム、電子装置、制御装置及び装置起動方法
JP5769403B2 (ja) 監視装置及び電子装置
JP5195943B2 (ja) 電子制御装置
JP2010258635A (ja) 制御装置
US6606713B1 (en) Microcomputer including circuitry for detecting an unauthorized stoppage of the system clock signal
JPH06292274A (ja) 多重通信装置
JP2008276360A (ja) 電子制御装置
JP2014024439A (ja) 車両用電子制御装置
JP3985798B2 (ja) スタンバイ機能付電源装置
JP2002063150A (ja) マイクロコンピュータ
JP2018142212A (ja) 半導体集積回路装置
JP2008072573A (ja) 出力制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120913

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130424

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130514

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130524

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5281448

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees