JP5561329B2 - In-vehicle electronic control unit - Google Patents

In-vehicle electronic control unit Download PDF

Info

Publication number
JP5561329B2
JP5561329B2 JP2012186546A JP2012186546A JP5561329B2 JP 5561329 B2 JP5561329 B2 JP 5561329B2 JP 2012186546 A JP2012186546 A JP 2012186546A JP 2012186546 A JP2012186546 A JP 2012186546A JP 5561329 B2 JP5561329 B2 JP 5561329B2
Authority
JP
Japan
Prior art keywords
monitoring
clock
microcomputer
abnormality
software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012186546A
Other languages
Japanese (ja)
Other versions
JP2013012219A (en
Inventor
友保 青木
修司 遠藤
謙一 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NSK Ltd
Original Assignee
NSK Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSK Ltd filed Critical NSK Ltd
Priority to JP2012186546A priority Critical patent/JP5561329B2/en
Publication of JP2013012219A publication Critical patent/JP2013012219A/en
Application granted granted Critical
Publication of JP5561329B2 publication Critical patent/JP5561329B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

本発明は、マイクロコンピュータの故障/異常を監視する機能を有する車載電子制御装置に関するものである。   The present invention relates to an in-vehicle electronic control device having a function of monitoring failure / abnormality of a microcomputer.

従来のCPU監視機能を有する車載電子制御装置としては、例えば特許文献1及び2に記載の技術がある。この技術は、上記監視機能としてロックステップ方式を採用したものであり、同一構成を有するA系とB系の2つの情報処理部における処理結果を照合する照合回路を備える。そして、照合回路による照合結果が不一致である場合に、A系又はB系が故障していると判定する。
また、上記監視機能として、制御CPUを監視CPUで監視する、所謂2CPU方式を採用したものもある(例えば、特許文献3参照)。 As a vehicle-mounted electronic control apparatus having a conventional CPU monitoring function, for example, there are technologies described in Patent Documents 1 and 2. This technique employs a lockstep method as the monitoring function, and includes a collation circuit that collates processing results in the two information processing units A and B having the same configuration. And when the collation result by a collation circuit is inconsistent, it determines with A system or B system having failed.
In addition, as the monitoring function, there is a function that employs a so-called 2CPU system in which the control CPU is monitored by the monitoring CPU (see, for example, Patent Document 3).

特開2010−262432号公報JP 2010-262432 A 特開2010−160649号公報JP 2010-160649 A 特開2006−344086号公報JP 2006-344086 A

しかしながら、上記のようなロックステップ方式を採用した監視機能では、制御部と監視部とが同一コアを使用していると、コアの演算器に演算ミスが生じるような不具合があった場合に、異常として検出することができない。また、上記のような2CPU方式を採用した監視機能では、制御CPUの演算をきめ細かく診断することができない。
このように、異常の詳細を診断することができないため、異常発生時には、異常の詳細によらず一律に制御を停止していた。ところが、車両の大型化による制御停止時のドライバ負担や車両安全制御の規格化などの観点から、異常の詳細によっては異常発生時にも制御を続行することが望まれる。
そこで、本発明は、マイクロコンピュータの異常の詳細を適切に診断することができる車載電子制御装置を提供することを課題としている。 However, in the monitoring function employing the lock step method as described above, if the control unit and the monitoring unit use the same core, there is a problem that causes a calculation error in the arithmetic unit of the core, It cannot be detected as an abnormality. In addition, the monitoring function employing the 2CPU method as described above cannot make a detailed diagnosis of the calculation of the control CPU.
As described above, since the details of the abnormality cannot be diagnosed, the control is uniformly stopped regardless of the details of the abnormality when the abnormality occurs. However, depending on the details of the abnormality, it is desirable to continue the control even when an abnormality occurs, from the viewpoint of driver burden at the time of stopping the control due to an increase in the size of the vehicle and standardization of vehicle safety control.
Therefore, an object of the present invention is to provide an in-vehicle electronic control device that can appropriately diagnose details of abnormality of a microcomputer.

上記課題を解決するために、本発明に係る車載電子制御装置の一態様は、車両に搭載されたセンサからの検出信号に基づいて、アクチュエータの駆動信号を生成するマイクロコンピュータと、該マイクロコンピュータのクロックとを備える車載電子制御装置であって、前記マイクロコンピュータは、ハードウェア部とソフトウェア部とを含んで構成されており、前記マイクロコンピュータの内部に設けられ、前記ハードウェア部の各要素の異常を監視するウォッチドッグタイマを有するハードウェア要素監視手段と、前記マイクロコンピュータの内部に設けられ、前記ソフトウェア部の各要素の異常を監視するウォッチドッグタイマを有するソフトウェア要素監視手段と、前記マイクロコンピュータの外部に設けられ、前記マイクロコンピュータの異常を監視する外部監視手段と、を備え、前記外部監視手段は、前記マイクロコンピュータのクロックを監視するクロック監視処理手段と、前記ハードウェア要素監視手段及びソフトウェア要素監視手段のウォッチドッグタイマの出力パルスをそれぞれ監視するパルス監視処理手段とを有することを特徴としている。   In order to solve the above-described problem, an aspect of an on-vehicle electronic control device according to the present invention includes a microcomputer that generates a drive signal for an actuator based on a detection signal from a sensor mounted on a vehicle, and the microcomputer. An on-vehicle electronic control device including a clock, wherein the microcomputer includes a hardware part and a software part, and is provided inside the microcomputer, and each element of the hardware part is abnormal. Hardware element monitoring means having a watchdog timer for monitoring the software, software element monitoring means provided in the microcomputer and having a watchdog timer for monitoring an abnormality of each element of the software section, and the microcomputer Provided outside, the microcomputer External monitoring means for monitoring abnormalities of the data, the external monitoring means comprising: a clock monitoring processing means for monitoring the clock of the microcomputer; and a watchdog timer of the hardware element monitoring means and the software element monitoring means. And pulse monitoring processing means for monitoring each output pulse.

このように、マイクロコンピュータをハードウェア監視、ソフトウェア監視、外部監視の3つで総合監視するので、マイクロコンピュータの異常の詳細を診断することができる。そのため、マイクロコンピュータの異常発生時には、異常の詳細に応じた適切な処置が可能となる。また、クロック監視処理とパルス監視処理とで外部監視を行うので、マイクロコンピュータの機能不全をマイクロコンピュータの外部で適切に検出することができる。   As described above, since the microcomputer is comprehensively monitored by hardware monitoring, software monitoring, and external monitoring, the details of the abnormality of the microcomputer can be diagnosed. Therefore, when an abnormality occurs in the microcomputer, it is possible to take appropriate measures according to the details of the abnormality. Further, since external monitoring is performed by the clock monitoring process and the pulse monitoring process, it is possible to appropriately detect malfunction of the microcomputer outside the microcomputer.

また、上記において、前記外部監視手段は、前記マイクロコンピュータのクロックとは独立した監視用クロックを有し、前記クロック監視処理手段は、前記監視用クロックを用いて前記マイクロコンピュータのクロックを監視する。
これにより、マイクロコンピュータ内部の各監視機能が共通して影響を受けるクロック異常が発生し、マイクロコンピュータ内部で故障/異常の診断が行えない場合には、これを異常として検出することができる。
また、上記において、前記パルス監視処理手段は、前記出力パルスの少なくとも一方が所定時間停止したことをもって、前記ハードウェア要素監視手段及びソフトウェア要素監視手段の少なくとも一方の異常を検出する。
これにより、マイクロコンピュータ内部の各監視機能が動作していない場合には、これを異常として検出することができる。 In the above, the external monitoring means has a monitoring clock independent of the clock of the microcomputer, and the clock monitoring processing means monitors the clock of the microcomputer using the monitoring clock.
As a result, when a clock abnormality that affects each monitoring function in the microcomputer in common occurs and failure / abnormality diagnosis cannot be performed in the microcomputer, it can be detected as an abnormality.
In the above, the pulse monitoring processing means detects an abnormality of at least one of the hardware element monitoring means and the software element monitoring means when at least one of the output pulses is stopped for a predetermined time.
Thereby, when each monitoring function in the microcomputer is not operating, this can be detected as an abnormality.

さらに、上記において、前記クロック監視処理手段は、前記マイクロコンピュータのクロックのクロックパルスと、前記監視用クロックのクロックパルスとを比較することで、前記マイクロコンピュータのクロックの異常を検出するようにしてもよい。
これにより、適切にマイクロコンピュータのクロックの異常を検出することができる Further, in the above, the clock monitoring processing means may detect an abnormality in the clock of the microcomputer by comparing a clock pulse of the microcomputer clock with a clock pulse of the monitoring clock. Good.
Thereby, the abnormality of the clock of the microcomputer can be detected appropriately .

らにまた、上記において、前記外部監視手段は、前記クロック監視処理手段及び前記パルス監視処理手段の少なくとも一方で前記マイクロコンピュータの異常を検出すると、前記アクチュエータを停止するための停止処置を行うようにしてもよい。 Et al. In the above of the external monitoring means detects an abnormality of the microcomputer at least one of the clock monitoring processing means and said pulse monitoring processing unit, to perform a stop action to stop the actuator It may be.

これにより、マイクロコンピュータの異常の詳細に応じて適切な処置を行うことができる。
また、上記において、前記ハードウェア要素監視手段を、監視対象のハードウェア要素とは異なる構造で実装すると共に、前記ソフトウェア要素監視手段を、監視対象のソフトウェア要素とは異なる構造で実装するようにしてもよい。 As a result, appropriate measures can be taken according to the details of the abnormality of the microcomputer.
In the above, the hardware element monitoring means is implemented with a structure different from the hardware element to be monitored, and the software element monitoring means is implemented with a structure different from the software element to be monitored. Also good.

このように、監視用ハードウェア要素を監視対象のハードウェア要素とは異なる構造で実装するので、両者に共通して影響を受ける異常要因に対しても、適切に異常として検出することができる。監視用ソフトウェア要素についても同様である。
さらに、上記において、前記ソフトウェア要素監視手段は、監視対象のソフトウェア要素とは異なる構造の監視用ソフトウェア要素によって、監視対象のソフトウェア要素の演算結果を監視するようにしてもよい。
これにより、監視対象のソフトウェア要素の異常を適切に検出することができる。 As described above, since the monitoring hardware element is mounted with a structure different from that of the monitoring target hardware element, it is possible to appropriately detect an abnormality factor that is commonly affected by both as an abnormality. The same applies to the monitoring software element.
Furthermore, in the above, the software element monitoring means may monitor the calculation result of the monitoring target software element by a monitoring software element having a structure different from that of the monitoring target software element.
Thereby, the abnormality of the software element to be monitored can be appropriately detected.

本発明の車載電子制御装置では、マイクロコンピュータのハードウェア部及びソフトウェア部の内部監視と、マイクロコンピュータの外部監視との総合監視が可能であるため、マイクロコンピュータの異常の詳細を適切に診断することができる。また、クロック監視処理とパルス監視処理とで外部監視を行うので、マイクロコンピュータの機能不全をマイクロコンピュータの外部で適切に検出することができる。その結果、異常の詳細に応じた適切な処置が可能となる。   In the in-vehicle electronic control device according to the present invention, it is possible to comprehensively monitor the internal monitoring of the hardware and software of the microcomputer and the external monitoring of the microcomputer, so that the details of the abnormality of the microcomputer can be appropriately diagnosed. Can do. Further, since external monitoring is performed by the clock monitoring process and the pulse monitoring process, it is possible to appropriately detect malfunction of the microcomputer outside the microcomputer. As a result, an appropriate treatment according to the details of the abnormality is possible.

本実施形態における車載電子制御装置の機能を示す図である。It is a figure which shows the function of the vehicle-mounted electronic control apparatus in this embodiment. ハードウェア部の監視機能を示すブロック図である。It is a block diagram which shows the monitoring function of a hardware part. MCU内部要素の診断例を示すブロック図である。It is a block diagram which shows the example of a diagnosis of MCU internal element. S/W要素の診断例を示すブロック図である。It is a block diagram which shows the example of a diagnosis of S / W element. 異常診断領域の例を示す図である。It is a figure which shows the example of an abnormality diagnosis area | region. 異常診断領域の例を示す図である。It is a figure which shows the example of an abnormality diagnosis area | region. 故障処理回路の構成を示すブロック図である。It is a block diagram which shows the structure of a failure processing circuit.

以下、本発明の実施の形態を図面に基づいて説明する。
図1は、本実施形態における車載電子制御装置の機能を示す図である。
図中、符号1は車両の制御を行う車載電子制御装置であり、この車載電子制御装置は、マイクロコンピュータ(MCU)2を備える。MCU2は、ハードウェア部21とソフトウェア部22とを含んで構成されている。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a diagram illustrating functions of the in-vehicle electronic control device according to the present embodiment.
In the figure, reference numeral 1 denotes an on-vehicle electronic control device that controls a vehicle. The on-vehicle electronic control device includes a microcomputer (MCU) 2. The MCU 2 includes a hardware unit 21 and a software unit 22.

ハードウェア部21は、複数のMCU内部要素と、これらMCU内部要素のうちの主機能22の故障を監視する監視機能23とを備える。ここで、MCU内部要素とは、中央演算処理回路(CPU)やバス、ROM、RAM、周辺回路(タイマ、シリアル通信、CAN通信、外部出力ポート)などである。また、ソフトウェア部24は、ソフトウェア要素(S/W要素)と、S/W要素のうちの主機能25で実行する演算処理の異常を監視する監視機能26とを備える。   The hardware unit 21 includes a plurality of MCU internal elements and a monitoring function 23 that monitors a failure of the main function 22 among these MCU internal elements. Here, the MCU internal elements are a central processing circuit (CPU), a bus, a ROM, a RAM, peripheral circuits (timer, serial communication, CAN communication, external output port) and the like. Further, the software unit 24 includes a software element (S / W element) and a monitoring function 26 that monitors an abnormality in arithmetic processing executed by the main function 25 of the S / W elements.

すなわち、MCU2内部において、ハードウェア要素の監視とソフトウェア要素の監視とを行うようになっている。
MCU2には、車両に搭載されている各種センサ11で検出した検出信号が、入力I/F回路3を介して入力される。そして、MCU2は、入力された検出信号に基づいて、車両に搭載されたアクチュエータ(ブレーキアクチュエータ、アクティブサスペンション等)12を駆動制御するための指令信号を演算し、これをアクチュエータ駆動回路4に出力する。 That is, hardware elements and software elements are monitored in the MCU 2.
Detection signals detected by various sensors 11 mounted on the vehicle are input to the MCU 2 via the input I / F circuit 3. Then, the MCU 2 calculates a command signal for driving and controlling an actuator (brake actuator, active suspension, etc.) 12 mounted on the vehicle based on the input detection signal, and outputs this to the actuator drive circuit 4. .

アクチュエータ駆動回路4は、ブリッジ回路(FET)、FET駆動回路、リレー、リレー駆動回路などを含んで構成されており、MCU2で演算した指令信号をもとにアクチュエータ12を駆動制御する。
また、車載電子制御装置1は、MCU2の外部でMCU2の故障を監視する故障処理回路5を備える。
なお、図1において、監視機能23がハードウェア要素監視手段に対応し、監視機能26がソフトウェア要素監視手段に対応し、故障処理回路5が外部監視手段に対応している。 The actuator drive circuit 4 includes a bridge circuit (FET), an FET drive circuit, a relay, a relay drive circuit, and the like, and drives and controls the actuator 12 based on a command signal calculated by the MCU 2.
The on-vehicle electronic control device 1 includes a failure processing circuit 5 that monitors a failure of the MCU 2 outside the MCU 2.
In FIG. 1, the monitoring function 23 corresponds to hardware element monitoring means, the monitoring function 26 corresponds to software element monitoring means, and the failure processing circuit 5 corresponds to external monitoring means.

次に、MCU2のハードウェア部21の監視機能23について詳細に説明する。
図2は、ハードウェア部21の監視機能23を説明するためのブロック図である。この図2に示すように、複数のMCU内部要素(主機能)31に、それぞれ監視機能23として故障処理要素32が配置されている。ここで、MCU内部要素31と故障処理要素32とは、異なる構造で実装する。 Next, the monitoring function 23 of the hardware unit 21 of the MCU 2 will be described in detail.
FIG. 2 is a block diagram for explaining the monitoring function 23 of the hardware unit 21. As shown in FIG. 2, a failure processing element 32 is arranged as a monitoring function 23 in each of a plurality of MCU internal elements (main functions) 31. Here, the MCU internal element 31 and the failure processing element 32 are mounted with different structures.

故障処理要素32は、監視対象のMCU内部要素31の入出力を監視し、当該MCU内部要素31が故障しているか否かを診断する。ここでは、図3に示すように、故障処理要素32は、演算処理回路32aと比較回路32bとを備える。演算処理回路32aは、監視対象のMCU内部要素31を構成する演算処理回路31aとは異なる実装で、且つ演算処理回路31aと入出力特性が等しい。   The failure processing element 32 monitors the input / output of the MCU internal element 31 to be monitored, and diagnoses whether or not the MCU internal element 31 has failed. Here, as shown in FIG. 3, the failure processing element 32 includes an arithmetic processing circuit 32a and a comparison circuit 32b. The arithmetic processing circuit 32a is mounted differently from the arithmetic processing circuit 31a constituting the MCU internal element 31 to be monitored, and has the same input / output characteristics as the arithmetic processing circuit 31a.

すなわち、演算処理回路32aは、その機能が正常である場合に演算処理回路31aと同一の信号を入力したとき、演算処理回路31aと同一の信号を出力するものであり、演算処理回路31aとは異なるトランジスタ数で実装する。故障処理用の演算処理は、診断のための演算値が求められればよいため、主機能の演算処理よりも簡素化できる。そのため、ここでは、トランジスタ数を異ならせて、演算処理回路32aを演算処理回路31aに対して簡素化した構造とする。   That is, the arithmetic processing circuit 32a outputs the same signal as the arithmetic processing circuit 31a when the same signal as the arithmetic processing circuit 31a is input when its function is normal. Mount with different number of transistors. The arithmetic processing for failure processing can be simplified as compared with the arithmetic processing of the main function because it is only necessary to obtain an arithmetic value for diagnosis. Therefore, here, the number of transistors is different, and the arithmetic processing circuit 32a is simplified with respect to the arithmetic processing circuit 31a.

そして、この演算処理回路32aに演算処理回路31aの入力信号を入力し、その出力信号を比較回路32bに入力する。すると、比較回路32bは、演算処理回路31aの出力信号と演算処理回路32aの出力とを比較する。このとき、同一結果となっていない場合には、MCU内部要素31が故障していると判断し、故障処理要素32は、図2に示すMCU内部要素(外部出力機能)33及び故障後処置要素34に故障を検出したことを示す診断結果を通知する。
MCU内部要素33は、故障処理要素32の診断結果を受けて、アクチュエータ駆動回路4へ故障後処置の実施指令を出力する。 Then, the input signal of the arithmetic processing circuit 31a is input to the arithmetic processing circuit 32a, and the output signal is input to the comparison circuit 32b. Then, the comparison circuit 32b compares the output signal of the arithmetic processing circuit 31a with the output of the arithmetic processing circuit 32a. At this time, when the same result is not obtained, it is determined that the MCU internal element 31 has failed, and the failure processing element 32 includes the MCU internal element (external output function) 33 and the post-failure treatment element shown in FIG. A diagnosis result indicating that a failure has been detected is notified to 34.
The MCU internal element 33 receives the diagnosis result of the failure processing element 32 and outputs a failure post-treatment execution command to the actuator drive circuit 4.

故障後処置の実施指令の例としては、例えば、アクチュエータ駆動回路4を構成するブリッジ回路のFET駆動回路への停止信号がある。この場合、当該停止信号が出力されることで、全FETがOFFし、アクチュエータ12を停止させることができる。また、故障後処置の実施指令の別の例としては、例えば、アクチュエータ駆動回路4のリレー駆動回路への停止信号がある。この場合、当該停止信号が出力されることで、リレーがOFFし、アクチュエータ12への電力供給を停止することができる。このように、本実施形態では、故障後処置としてアクチュエータ12の停止処置を適用する。   As an example of the execution instruction for the post-failure treatment, for example, there is a stop signal to the FET drive circuit of the bridge circuit constituting the actuator drive circuit 4. In this case, by outputting the stop signal, all the FETs are turned OFF, and the actuator 12 can be stopped. In addition, another example of the execution instruction for the post-failure treatment is a stop signal to the relay drive circuit of the actuator drive circuit 4, for example. In this case, when the stop signal is output, the relay is turned OFF, and the power supply to the actuator 12 can be stopped. As described above, in the present embodiment, the stop treatment of the actuator 12 is applied as post-failure treatment.

また、故障後処置要素34は、故障処理要素32の診断結果を受けて、故障処理回路5へMCU内部要素31の故障を通知する。故障処理回路5は、故障後処置要素34から当該故障通知を受け取ると、アクチュエータ駆動回路4へ故障後処置の実施指令を出力する。
このように、通知手段を冗長化することにより、MCU内部要素33及び故障後処置要素34の何れかの通知機能が失われた状態でも、確実にアクチュエータ駆動回路4へ故障後処置の実施指令を出力することができる。 The failure post-treatment element 34 receives the diagnosis result of the failure processing element 32 and notifies the failure processing circuit 5 of the failure of the MCU internal element 31. When the failure processing circuit 5 receives the failure notification from the failure post-treatment element 34, the failure processing circuit 5 outputs a failure post-treatment execution command to the actuator drive circuit 4.
As described above, by making the notification means redundant, even if the notification function of either the MCU internal element 33 or the post-failure treatment element 34 is lost, the actuator drive circuit 4 can be reliably instructed to execute the post-failure treatment. Can be output.

次に、MCU2のソフトウェア部24の監視機能26について詳細に説明する。
図4は、S/W要素の診断例を示すブロック図である。この図4に示すように、S/W要素(主機能)41には、監視機能26として異常処理S/W42が配置されている。ここで、S/W要素41と異常処理S/W42とは、異なる構造で実装する。
異常処理S/W42は、監視対象のS/W要素41の演算結果を監視し、当該S/W要素に異常が発生しているか否かを診断する。ここでは、異常処理S/W42は、演算処理42aと、比較処理42bと、制限処理42cとを備える。演算処理42aは、監視対象のS/W要素41の演算処理41aとは異なる実装で、且つ演算処理41aと同等の演算を行う。 Next, the monitoring function 26 of the software unit 24 of the MCU 2 will be described in detail.
FIG. 4 is a block diagram illustrating a diagnosis example of the S / W element. As shown in FIG. 4, the S / W element (main function) 41 is provided with an abnormal process S / W 42 as the monitoring function 26. Here, the S / W element 41 and the abnormality processing S / W 42 are mounted with different structures.
The abnormality process S / W 42 monitors the calculation result of the S / W element 41 to be monitored and diagnoses whether or not an abnormality has occurred in the S / W element. Here, the abnormality process S / W 42 includes a calculation process 42a, a comparison process 42b, and a restriction process 42c. The calculation process 42a is implemented differently from the calculation process 41a of the monitoring target S / W element 41 and performs the same calculation as the calculation process 41a.

すなわち、演算処理42aは、演算処理41aとは異なるインストラクション数で、演算処理41aと数式上同一となる演算を行うものである。故障処理用の演算処理は、診断のための演算値が求められればよいため、主機能の演算処理よりも簡素化できる。そのため、ここでは、インストラクション数を異ならせて、演算処理42aを演算処理41aに対して簡素化したものとする。   That is, the arithmetic processing 42a performs arithmetic operations that are mathematically the same as the arithmetic processing 41a with a different number of instructions than the arithmetic processing 41a. The arithmetic processing for failure processing can be simplified as compared with the arithmetic processing of the main function because it is only necessary to obtain an arithmetic value for diagnosis. Therefore, here, it is assumed that the number of instructions is different and the calculation process 42a is simplified with respect to the calculation process 41a.

そして、この演算処理42aに演算処理41aの入力信号を入力し、その演算結果を比較処理42bに入力する。すると、比較処理42bは、演算処理41aの演算結果と演算処理42aの演算結果とを比較する。このとき、両者の誤差が所定の許容範囲内にない場合には、S/W要素41に異常が発生していると判断する。
すなわち、図5に示すように、主機能側の値(演算処理41aの演算結果)が監視側の値(演算処理42aの演算結果)に対して±所定範囲となる領域を許容領域とし、それ以外の斜線で示す領域を異常診断領域とする。そして、主機能側の値と監視側の値とによって決まる点が異常診断領域内にあるとき、上記誤差が許容範囲内にないと判断する。なお、図5の破線で示す直線は、主機能側の値と監視側の値とが等しい領域である。 Then, an input signal of the calculation process 41a is input to the calculation process 42a, and the calculation result is input to the comparison process 42b. Then, the comparison process 42b compares the calculation result of the calculation process 41a with the calculation result of the calculation process 42a. At this time, if the error between the two is not within the predetermined allowable range, it is determined that an abnormality has occurred in the S / W element 41.
That is, as shown in FIG. 5, an area in which the value on the main function side (the calculation result of the calculation process 41a) is within a predetermined range with respect to the value on the monitoring side (the calculation result of the calculation process 42a) is set as the allowable area. An area indicated by diagonal lines other than is an abnormality diagnosis area. When the point determined by the value on the main function side and the value on the monitoring side is within the abnormality diagnosis area, it is determined that the error is not within the allowable range. In addition, the straight line shown with the broken line of FIG. 5 is an area | region where the value on the main function side and the value on the monitoring side are equal.

このように、所定の許容範囲を設定するため、演算処理42aを簡素化したことにより生じる演算誤差分を考慮した異常判定を行うことができる。
また、異常診断領域は、例えば図6に示すように設定することもできる。この例は、主機能側の値と監視側の値とが同符号で、且つ主機能側の値の絶対値が監視側の値の絶対値よりも小さい領域±所定範囲を許容範囲としたものである。すなわち、主機能側の値と監視側の値とによって決まる点が、図6の斜線に示す異常診断領域内にあるとき、上記誤差が許容範囲内にないと判断する。これにより、実際の動作の値が小さいものは、不具合発生に繋がる可能性が低いと判断して許容することができるので、むやみに異常判定されるのを抑制することができる。 As described above, in order to set the predetermined allowable range, it is possible to perform abnormality determination in consideration of the calculation error caused by simplifying the calculation process 42a.
Also, the abnormality diagnosis area can be set as shown in FIG. 6, for example. In this example, the value on the main function side and the value on the monitoring side have the same sign, and the absolute value of the value on the main function side is smaller than the absolute value of the value on the monitoring side. It is. That is, when the point determined by the value on the main function side and the value on the monitoring side is within the abnormality diagnosis region indicated by the oblique lines in FIG. 6, it is determined that the error is not within the allowable range. As a result, it is possible to determine that an actual operation value is small and to allow it to be determined that there is a low possibility of causing a failure, so that it is possible to suppress an abnormal determination.

そして、比較処理42bは、S/W要素41に異常が発生していることを検出すると、その診断結果を図4の制限処理(制限手段)42cに出力する。
制限処理42cには、演算処理41aの演算結果が入力される。比較処理42bから異常を検出したことを示す診断結果が入力された場合には、制限処理42cは、演算処理41aの演算結果を許容できる制限値まで制限して出力する。ここで、上記制限値は、車両で許容できる範囲を実験的に検証して決定することが望ましい。一方、比較処理42bから異常を検出したことを示す診断結果が入力されていない場合には、制限処理42cは、演算処理41aの演算結果をそのまま出力する。 When the comparison process 42b detects that an abnormality has occurred in the S / W element 41, the comparison process 42b outputs the diagnosis result to the limit process (limit means) 42c in FIG.
The calculation result of the calculation process 41a is input to the restriction process 42c. When a diagnosis result indicating that an abnormality has been detected is input from the comparison process 42b, the limit process 42c limits and outputs the calculation result of the calculation process 41a to an allowable limit value. Here, it is desirable that the limit value be determined by experimentally verifying a range allowable in the vehicle. On the other hand, when the diagnosis result indicating that the abnormality is detected is not input from the comparison process 42b, the limit process 42c outputs the calculation result of the calculation process 41a as it is.

次に、故障処理回路5の構成について具体的に説明する。
図7は、故障処理回路5の機能を示すブロック図である。故障処理回路5は、MCU2の故障をMCU2の外部から監視するものである。MCU2の監視方法としては、MCU2のクロック27を監視する方法と、MCU2の監視機能23及び26が動作していることを監視する方法とを採用する。 Next, the configuration of the failure processing circuit 5 will be specifically described.
FIG. 7 is a block diagram showing functions of the failure processing circuit 5. The failure processing circuit 5 monitors the failure of the MCU 2 from the outside of the MCU 2. As a method of monitoring the MCU 2, a method of monitoring the clock 27 of the MCU 2 and a method of monitoring that the monitoring functions 23 and 26 of the MCU 2 are operating are adopted.

すなわち、故障処理回路5は、MCU2のクロック27を監視するために、MCU2とは独立したクロック(監視用クロック)51と、クロック監視処理52とを備える。クロック監視処理52は、クロック27のクロックパルスとクロック51のクロックパルスとを比較することで、クロック27の故障を検出する。クロック27は、MCU2の一連の作業の基準となるものであり、例えばRC発振回路やセラミック振動子、水晶振動子、水晶振動子内蔵オシレータ、水晶振動子・分周器内蔵オシレータなどからなる。   That is, the failure processing circuit 5 includes a clock (monitoring clock) 51 independent of the MCU 2 and a clock monitoring process 52 in order to monitor the clock 27 of the MCU 2. The clock monitoring process 52 detects a failure of the clock 27 by comparing the clock pulse of the clock 27 with the clock pulse of the clock 51. The clock 27 is a reference for a series of operations of the MCU 2, and includes, for example, an RC oscillation circuit, a ceramic resonator, a crystal resonator, an oscillator with a built-in crystal resonator, an oscillator with a built-in crystal resonator / frequency divider, and the like.

なお、図7では、クロック監視処理52を故障処理回路5内部のS/Wで実装する場合について示しているが、MCU2内部のH/WやS/Wで実装することもできる。
また、故障処理回路5は、MCU2の監視機能23の動作を監視するために、故障処理要素32のウォッチドッグタイマの出力パルスを監視するパルス監視処理53を備える。パルス監視処理53は、上記出力パルスが所定時間停止したことをもって、監視機能23の異常を検出する。 Although FIG. 7 shows a case where the clock monitoring process 52 is implemented by S / W inside the failure processing circuit 5, it can also be implemented by H / W or S / W inside the MCU 2.
In addition, the failure processing circuit 5 includes a pulse monitoring process 53 that monitors the output pulse of the watchdog timer of the failure processing element 32 in order to monitor the operation of the monitoring function 23 of the MCU 2. The pulse monitoring process 53 detects an abnormality in the monitoring function 23 when the output pulse has stopped for a predetermined time.

なお、図7では監視機能23の異常検出についてのみ示しているが、監視機能26(異常処理S/W42)についても同様の方法で異常を検出するものとする。
すなわち、監視機能26(異常処理S/W42)が正しく実行されたときにウォッチドッグタイマからパルスを出力することによって、監視機能26が実行されない状態(監視されていない状態)をMCU2の外部の故障処理回路5で診断することができる。 Although only the abnormality detection of the monitoring function 23 is shown in FIG. 7, it is assumed that the monitoring function 26 (abnormality processing S / W 42) also detects an abnormality by the same method.
That is, by outputting a pulse from the watchdog timer when the monitoring function 26 (abnormal processing S / W42) is correctly executed, a state in which the monitoring function 26 is not executed (a state in which the monitoring function 26 is not monitored) Diagnosis can be made by the processing circuit 5.

そして、故障処理回路5は、クロック監視処理52及びパルス監視処理53の少なくとも一方でMCU2の故障を検出すると、アクチュエータ12を停止させるべく、アクチュエータ駆動回路4に対して故障後処置の実施指令を出力する。
なお、クロック監視処理52がクロック監視処理手段に対応し、パルス監視処理53がパルス監視処理手段に対応している。 When the failure processing circuit 5 detects a failure of the MCU 2 in at least one of the clock monitoring processing 52 and the pulse monitoring processing 53, the failure processing circuit 5 outputs an execution instruction for post-failure treatment to the actuator drive circuit 4 to stop the actuator 12. To do.
The clock monitoring processing 52 corresponds to the clock monitoring processing means, and the pulse monitoring processing 53 corresponds to the pulse monitoring processing means.

このように、本実施形態では、MCUをハードウェア監視、ソフトウェア監視、外部監視の3つで総合監視するので、MCUの異常を詳細に監視することができる。
すなわち、ハードウェア監視においては、MCU内部要素ごとに故障処理要素を配置してMCU内部要素の入出力信号を監視するので、MCU内部要素の故障をきめ細かく診断することができる。 As described above, in the present embodiment, the MCU is comprehensively monitored by the hardware monitoring, the software monitoring, and the external monitoring, so that the abnormality of the MCU can be monitored in detail.
That is, in hardware monitoring, a failure processing element is arranged for each MCU internal element and an input / output signal of the MCU internal element is monitored, so that a failure of the MCU internal element can be diagnosed in detail.

また、このとき、故障処理要素を監視対象のMCU内部要素とは異なる構造で実装するので、例えば、両者で処理完了までの遅延時間を異ならせることができる。その結果、両者に共通して影響を受ける故障要因に対しても、適切に故障として検出することができる。さらに、トランジスタ数を少なくするなどにより、故障処理要素を監視対象のMCU内部要素よりも簡素化した構造で実装するので、比較的簡易且つ安価に故障処理要素を設けることができる。   At this time, since the failure processing element is mounted with a structure different from the MCU internal element to be monitored, for example, the delay time until the process is completed can be made different between the two. As a result, it is possible to appropriately detect a failure factor that is commonly affected by both as a failure. Further, since the failure processing element is mounted with a simplified structure as compared to the MCU internal element to be monitored by reducing the number of transistors, the failure processing element can be provided relatively easily and inexpensively.

さらに、上記ハードウェア監視の他に、MCU内部でソフトウェア監視を行うので、ハードウェア監視の故障処理要素で検出しきれない演算不具合を検出することができる。
このとき、ソフトウェア監視においては、S/W要素に異常処理S/W(監視用ソフトウェア要素)を配置してS/W要素の演算結果を監視するので、S/W要素の異常を適切に診断することができる。さらに、異常処理S/Wを監視対象のS/W要素とは異なる構造で実装するので、例えば、両者で演算に使用されるインストラクションを異ならせることができる。その結果、両者に共通して影響を受ける異常要因に対しても、適切に異常として検出することができる。 Furthermore, in addition to the hardware monitoring described above, software monitoring is performed inside the MCU, so that it is possible to detect calculation failures that cannot be detected by the failure processing elements of hardware monitoring.
At this time, in software monitoring, an abnormality processing S / W (monitoring software element) is arranged in the S / W element and the calculation result of the S / W element is monitored, so the abnormality of the S / W element is appropriately diagnosed. can do. Furthermore, since the abnormal processing S / W is implemented with a structure different from the S / W element to be monitored, for example, the instructions used for the calculation can be made different from each other. As a result, it is possible to appropriately detect an abnormality factor that is commonly affected by both as an abnormality.

また、演算結果の比較に際し、所定の許容範囲を設定するので、異常処理S/Wを簡素化した構造としたことにより生じる演算誤差を考慮した異常診断を行うことができる。例えば、監視対象のS/W要素の演算結果と異常処理S/Wの演算結果とが同符号であり、且つ監視対象のS/W要素の演算結果の絶対値が異常処理S/Wの演算結果の絶対値よりも小さい範囲を、上記許容範囲とする。これにより、監視対象のS/W要素の演算結果が、アクチュエータの実際の制御動作が小さく不具合を発生する動作に繋がりにくいような値の場合には、監視対象のS/W要素の演算結果と異常処理S/Wの演算結果とに比較的大きな誤差が生じている場合でも許容することができる。そのため、むやみに異常診断するのを抑制することができる。   Further, since a predetermined allowable range is set when comparing the calculation results, abnormality diagnosis can be performed in consideration of calculation errors caused by the simplified structure of the abnormality processing S / W. For example, the calculation result of the monitoring target S / W element and the calculation result of the abnormality processing S / W have the same sign, and the absolute value of the calculation result of the monitoring target S / W element is the calculation of the abnormality processing S / W. A range smaller than the absolute value of the result is set as the allowable range. As a result, when the calculation result of the S / W element to be monitored is a value that is difficult to lead to an operation in which the actual control operation of the actuator is small and causes a problem, the calculation result of the S / W element to be monitored is Even if a relatively large error occurs in the calculation result of the abnormal processing S / W, it can be tolerated. For this reason, it is possible to suppress abnormal diagnosis.

そして、ハードウェア監視においてMCU内部要素の故障を検出した場合には、アクチュエータを停止する処置を行い、ソフトウェア監視においてS/W要素の異常を検出した場合には、S/W要素の演算結果を許容範囲内に制限する補正を行って、アクチュエータの駆動制御を続行する処置を行う。
車両に搭載される電子制御用MCUは、異常発生時には異常の詳細によらず制御を停止させるのが一般的であった。ところが、車両の大型化による制御停止時のドライバ負担や車両安全制御の規格化などの観点から、異常発生時にも異常の詳細によっては制御を続行させる必要がある。本実施形態では、MCUの異常をきめ細かく診断することができるので、異常の詳細に応じて制御を停止したり制御を続行したりすることができるなど、適切な処置を行うことができる。 If a failure of the MCU internal element is detected in hardware monitoring, the actuator is stopped. If an abnormality of the S / W element is detected in software monitoring, the calculation result of the S / W element is displayed. Correction is performed to limit the value within the allowable range, and a process for continuing the drive control of the actuator is performed.
In general, an MCU for electronic control mounted on a vehicle stops control when an abnormality occurs regardless of the details of the abnormality. However, from the viewpoint of driver burden at the time of control stop due to the increase in size of the vehicle and standardization of vehicle safety control, it is necessary to continue control depending on the details of the abnormality even when an abnormality occurs. In the present embodiment, the MCU abnormality can be diagnosed in detail, so that appropriate measures can be taken such as stopping the control or continuing the control according to the details of the abnormality.

さらに、MCU外部でMCUの故障を監視する外部監視を行うので、MCU内部の監視機能であるハードウェア監視とソフトウェア監視とが共通して影響を受ける要因に対して診断を実施することができる。
例えば、MCUの外部にMCUとは独立したクロックを配置し、MCUのクロックを監視することで、MCU内部の各監視機能が共通して影響を受けるクロック異常が発生し、MCU内部で故障/異常の診断が行えない場合には、これを異常として検出することができる。また、MCU内部の各監視機能のウォッチドッグタイマの出力パルスを監視することで、MCU内部の各監視機能が動作していない場合には、これを異常として検出することができる。このように、MCUの機能不全をMCUの外部で検出し、処置することができる。 Furthermore, since external monitoring for monitoring MCU failures is performed outside the MCU, it is possible to diagnose a factor that is commonly affected by hardware monitoring and software monitoring, which are monitoring functions inside the MCU.
For example, by arranging a clock independent of the MCU outside the MCU and monitoring the clock of the MCU, a clock abnormality that affects each monitoring function in the MCU in common occurs, and a failure / abnormality occurs in the MCU. If this cannot be diagnosed, this can be detected as an abnormality. Further, by monitoring the output pulse of the watchdog timer of each monitoring function inside the MCU, when each monitoring function inside the MCU is not operating, this can be detected as an abnormality. In this way, MCU malfunction can be detected and treated outside the MCU.

そして、この外部監視においては、自身の監視機能でMCUの故障を検出した場合や、異常処理要素からMCU内部要素の故障を検出したことを示す情報を取得した場合に、アクチュエータを停止する処置を行う。すなわち、ハードウェア監視でMCU内部要素の故障を検出した場合には、ハードウェア監視によって直接アクチュエータを停止する処置を行う手段と、外部監視を介してアクチュエータを停止する処置を行う手段とを併用することができる。その結果、MCU内部要素の故障が発生した場合には、確実にアクチュエータを停止することができる。   And in this external monitoring, when the failure of the MCU is detected by its own monitoring function, or when information indicating that the failure of the MCU internal element is detected is obtained from the abnormality processing element, the action of stopping the actuator is taken. Do. That is, when a failure of an MCU internal element is detected by hardware monitoring, a means for directly stopping the actuator by hardware monitoring and a means for stopping the actuator via external monitoring are used in combination. be able to. As a result, the actuator can be surely stopped when a failure of the MCU internal element occurs.

1…車載電子制御装置、2…マイクロコンピュータ(MCU)、3…入力I/F回路、4…アクチュエータ駆動回路、5…故障処理回路、11…センサ、12…アクチュエータ、21…ハードウェア部、22…H/W主機能、23…H/W監視機能、24…ソフトウェア部、25…S/W主機能、26…S/W監視機能、27…クロック、31…MCU内部要素(主機能)、31a…演算処理回路、32…故障処理要素、32a…演算処理回路、32b…比較回路、33…MCU内部要素(外部出力機能)、34…故障後処置要素、41…S/W要素、41a…演算処理、42…異常処理S/W、42a…演算処理、42b…比較処理、42c…制限処理、51…クロック、52…クロック監視処理、53…パルス監視処理   DESCRIPTION OF SYMBOLS 1 ... Car-mounted electronic control apparatus, 2 ... Microcomputer (MCU), 3 ... Input I / F circuit, 4 ... Actuator drive circuit, 5 ... Failure processing circuit, 11 ... Sensor, 12 ... Actuator, 21 ... Hardware part, 22 ... H / W main function, 23 ... H / W monitoring function, 24 ... software part, 25 ... S / W main function, 26 ... S / W monitoring function, 27 ... clock, 31 ... MCU internal element (main function), 31a ... arithmetic processing circuit, 32 ... failure processing element, 32a ... arithmetic processing circuit, 32b ... comparison circuit, 33 ... MCU internal element (external output function), 34 ... post-fault treatment element, 41 ... S / W element, 41a ... Arithmetic processing, 42... Abnormal processing S / W, 42 a .. arithmetic processing, 42 b... Comparison processing, 42 c .. limiting processing, 51... Clock, 52.

Claims (5)

車両に搭載されたセンサからの検出信号に基づいて、アクチュエータの駆動信号を生成するマイクロコンピュータと、該マイクロコンピュータのクロックとを備える車載電子制御装置であって、
前記マイクロコンピュータは、ハードウェア部とソフトウェア部とを含んで構成されており、
前記マイクロコンピュータの内部に設けられ、前記ハードウェア部の各要素の異常を監視する、ウオッチドッグタイマを有するハードウェア要素監視手段と、
前記マイクロコンピュータの内部に設けられ、前記ソフトウェア部の各要素の異常を監視する、ウオッチドッグタイマを有するソフトウェア要素監視手段と、
前記マイクロコンピュータの外部に設けられ、前記マイクロコンピュータの異常を監視する外部監視手段と、を備え、
前記外部監視手段は、前記マイクロコンピュータのクロックとは独立した監視用クロックと、前記監視用クロックを用いて前記マイクロコンピュータのクロックを監視するクロック監視処理手段と、前記ハードウェア要素監視手段及びソフトウェア要素監視手段のウオッチドッグタイマの出カパルスをそれぞれ監視するパルス監視処理手段とを有し、
前記パルス監視処理手段は、前記出力パルスの少なくとも一方が所定時間停止したことをもって、前記ハードウェア要素監視手段及びソフトウェア要素監視手段の少なくとも一方の異常を検出することを特徴とする車載電子制御装置。 An on-vehicle electronic control device comprising a microcomputer that generates a drive signal for an actuator based on a detection signal from a sensor mounted on a vehicle, and a clock of the microcomputer,
The microcomputer includes a hardware part and a software part,
Hardware element monitoring means having a watchdog timer, which is provided inside the microcomputer and monitors an abnormality of each element of the hardware unit;
Software element monitoring means having a watchdog timer, which is provided inside the microcomputer and monitors an abnormality of each element of the software section;
An external monitoring means provided outside the microcomputer for monitoring an abnormality of the microcomputer,
The external monitoring means includes a monitoring clock independent of the microcomputer clock, a clock monitoring processing means for monitoring the microcomputer clock using the monitoring clock, the hardware element monitoring means, and the software element. the Kaparusu out of watchdog timer monitoring means have a pulse monitoring processing means for monitoring respectively,
The on-vehicle electronic control device, wherein the pulse monitoring processing unit detects an abnormality of at least one of the hardware element monitoring unit and the software element monitoring unit when at least one of the output pulses is stopped for a predetermined time . 前記クロック監視処理手段は、前記マイクロコンピュータのクロックのクロックパルスと、前記監視用クロックのクロックパルスとを比較することで、前記マイクロコンピュータのクロックの異常を検出することを特徴とする請求項1に記載の車載電子制御装置。  2. The clock monitoring processing means detects an abnormality in the clock of the microcomputer by comparing a clock pulse of the clock of the microcomputer with a clock pulse of the monitoring clock. The vehicle-mounted electronic control apparatus of description. 前記外部監視手段は、前記クロック監視処理手段及び前記パルス監視処理手段の少なくとも一方で前記マイクロコンピュータの異常を検出すると、前記アクチュエータを停止するための停止処置を行うことを特徴とする請求項1又は2に記載の車載電子制御装置。  2. The external monitoring unit, when detecting an abnormality of the microcomputer in at least one of the clock monitoring processing unit and the pulse monitoring processing unit, performs a stopping process for stopping the actuator. The vehicle-mounted electronic control apparatus of 2. 前記ハードウェア要素監視手段を、監視対象のハードウェア要素とは異なる構造で実装すると共に、前記ソフトウェア要素監視手段を、監視対象のソフトウェア要素とは異なる構造で実装することを特徴とする請求項1〜3の何れか1項に記載の車載電子制御装置。  2. The hardware element monitoring unit is implemented with a structure different from the hardware element to be monitored, and the software element monitoring unit is implemented with a structure different from the software element to be monitored. The vehicle-mounted electronic control apparatus of any one of -3. 前記ソフトウェア要素監視手段は、監視対象のソフトウェア要素とは異なる構造の監視用ソフトウェア要素によって、監視対象のソフトウェア要素の演算結果を監視することを特徴とする請求項1〜4の何れか1項に記載の車載電子制御装置。  The said software element monitoring means monitors the calculation result of the software element of the monitoring object by the software element for monitoring of the structure different from the software element of the monitoring object, The any one of Claims 1-4 characterized by the above-mentioned. The vehicle-mounted electronic control apparatus of description.
JP2012186546A 2012-08-27 2012-08-27 In-vehicle electronic control unit Active JP5561329B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012186546A JP5561329B2 (en) 2012-08-27 2012-08-27 In-vehicle electronic control unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012186546A JP5561329B2 (en) 2012-08-27 2012-08-27 In-vehicle electronic control unit

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2011144690A Division JP5126393B2 (en) 2011-06-29 2011-06-29 In-vehicle electronic control unit

Publications (2)

Publication Number Publication Date
JP2013012219A JP2013012219A (en) 2013-01-17
JP5561329B2 true JP5561329B2 (en) 2014-07-30

Family

ID=47685984

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012186546A Active JP5561329B2 (en) 2012-08-27 2012-08-27 In-vehicle electronic control unit

Country Status (1)

Country Link
JP (1) JP5561329B2 (en)

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS62123531A (en) * 1985-11-25 1987-06-04 Omron Tateisi Electronics Co Cpu supervisory unit
JPH0244436A (en) * 1988-08-05 1990-02-14 Nec Corp Information processing monitoring system
JPH04326410A (en) * 1991-04-26 1992-11-16 Mitsubishi Electric Corp Clock monitor device
JPH05233344A (en) * 1992-02-20 1993-09-10 Hitachi Ltd Information processor
JPH05324409A (en) * 1992-05-27 1993-12-07 Meidensha Corp Run-away monitor system for software
JPH08171507A (en) * 1994-12-16 1996-07-02 Mitsubishi Electric Corp Abnormality monitoring method
JP2001063492A (en) * 1999-08-27 2001-03-13 Nec Corp Electronic control device for vehicle safety control device
DE10056408C1 (en) * 2000-11-14 2002-03-07 Bosch Gmbh Robert Processor monitoring device uses watchdog for monitoring system clock and providing software checking function and component check monitoring function
JP3879523B2 (en) * 2002-01-31 2007-02-14 株式会社デンソー Microcomputer
JP4296888B2 (en) * 2003-09-18 2009-07-15 アイシン精機株式会社 Electronic control unit
JP2009122747A (en) * 2007-11-12 2009-06-04 Denso Corp Microcomputer operation monitoring circuit
JP2009252104A (en) * 2008-04-09 2009-10-29 Denso Corp Monitoring device and electronic control device

Also Published As

Publication number Publication date
JP2013012219A (en) 2013-01-17

Similar Documents

Publication Publication Date Title
JP5126393B2 (en) In-vehicle electronic control unit
JP6311828B2 (en) Control device and control method for in-vehicle electronic device
JP2001063492A (en) Electronic control device for vehicle safety control device
JP5846342B1 (en) Control device and control method for in-vehicle electronic device
US20170254325A1 (en) Drive control apparatus
US9221492B2 (en) Method for operating an electrical power steering mechanism
US11281547B2 (en) Redundant processor architecture
KR20160104746A (en) Electronic control device having power supply voltage monitoring function and vehicle steering control device equipped with same
JP5459370B2 (en) In-vehicle electronic control unit
JP5561329B2 (en) In-vehicle electronic control unit
US10633018B2 (en) External watchdog with integrated backward regeneration support
JP6311693B2 (en) Control device and control method for in-vehicle electronic device
JP6081239B2 (en) Control device abnormality monitoring apparatus and abnormality monitoring method
JP6302852B2 (en) Electronic control device for vehicle
JP4820679B2 (en) Electronic control device for vehicle
JP6702175B2 (en) Load drive
JP6457149B2 (en) Electronic control unit
JP5472199B2 (en) Electric power steering device
JP2006293649A (en) Electronic controller
JP2018129059A (en) Control device and control method for on-vehicle electronic equipment
JP2005352545A (en) Microcomputer and computer system

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131001

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131002

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140513

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140526

R150 Certificate of patent or registration of utility model

Ref document number: 5561329

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250