JP5635941B2 - Electronic control unit for automobile - Google Patents

Electronic control unit for automobile Download PDF

Info

Publication number
JP5635941B2
JP5635941B2 JP2011095660A JP2011095660A JP5635941B2 JP 5635941 B2 JP5635941 B2 JP 5635941B2 JP 2011095660 A JP2011095660 A JP 2011095660A JP 2011095660 A JP2011095660 A JP 2011095660A JP 5635941 B2 JP5635941 B2 JP 5635941B2
Authority
JP
Japan
Prior art keywords
storage area
failure information
failure
information
written
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011095660A
Other languages
Japanese (ja)
Other versions
JP2012226674A (en
Inventor
文博 大澤
文博 大澤
高橋 俊裕
俊裕 高橋
卓司 野村
卓司 野村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2011095660A priority Critical patent/JP5635941B2/en
Publication of JP2012226674A publication Critical patent/JP2012226674A/en
Application granted granted Critical
Publication of JP5635941B2 publication Critical patent/JP5635941B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Combined Controls Of Internal Combustion Engines (AREA)
  • Techniques For Improving Reliability Of Storages (AREA)
  • Debugging And Monitoring (AREA)
  • Memory System (AREA)
  • For Increasing The Reliability Of Semiconductor Memories (AREA)

Description

本発明は、自動車用電子制御装置に関する。   The present invention relates to an automotive electronic control device.

自動車に搭載される電子制御装置には、動作中に発生した故障の情報(故障情報)を不揮発性のフラッシュメモリに記録するOBD(On-Board Diagnostics)機能が備え付けられている。OBD機能においては、特開2001−84002号公報(特許文献1)に記載されるように、ドライビングサイクルごとに異なる記憶領域に故障情報を記録することで、故障情報の記録が失敗しても、それまで蓄積した故障情報がすべて失われることを防止している。   An electronic control device mounted on an automobile is provided with an OBD (On-Board Diagnostics) function for recording information on a failure that has occurred during operation (failure information) in a nonvolatile flash memory. In the OBD function, as described in JP-A-2001-84002 (Patent Document 1), by recording failure information in a different storage area for each driving cycle, even if failure information recording fails, This prevents the loss of all the failure information accumulated up to that point.

特開2001−84002号公報JP 2001-84002 A

ところで、ある記憶領域に素子固着などの故障が発生すると、その記憶領域に故障情報を正常に記録することができなくなってしまう。故障が発生した記憶領域から故障情報を読み込むときに、チェックサムなどで故障発生が検知されると、故障が発生していない他の記憶領域、例えば、故障が発生した記憶領域の直前に故障情報を書き込んだ記憶領域から故障情報が読み込まれる。   By the way, when a failure such as element sticking occurs in a certain storage area, failure information cannot be normally recorded in the storage area. When failure information is read from a storage area where a failure has occurred, if a failure occurrence is detected by a checksum or the like, the failure information immediately before another storage area where no failure has occurred, for example, the storage area where the failure occurred Failure information is read from the storage area in which is written.

しかし、従来技術においては、記憶領域への故障情報の書き込みに先立って、その記憶領域が正常であるか否かを診断していなかったため、故障情報の記録に際して、故障情報を読み込んだ記憶領域とは異なる記憶領域、即ち、故障が発生した記憶領域に故障情報を書き込んでしまう場合がある。この場合、故障が発生した記憶領域に故障情報が繰り返し記録されることから、記録可能な記憶領域が1つになると、故障情報のさらなる蓄積ができなくなってしまう。   However, in the prior art, prior to the writing of the failure information to the storage area, it was not diagnosed whether the storage area is normal, so when recording the failure information, the storage area from which the failure information was read In some cases, failure information is written in a different storage area, that is, in a storage area where a failure has occurred. In this case, since the failure information is repeatedly recorded in the storage area where the failure has occurred, if there is one recordable storage area, the failure information cannot be further accumulated.

そこで、本発明は従来技術の問題点に鑑み、不揮発性メモリの記憶領域に故障が発生しても、故障情報などの蓄積への影響を抑制した、自動車用電子制御装置を提供することを目的とする。   SUMMARY OF THE INVENTION In view of the problems of the prior art, an object of the present invention is to provide an automotive electronic control device that suppresses the influence on storage of failure information and the like even when a failure occurs in a storage area of a nonvolatile memory. And

自動車用電子制御装置は、イグニッションスイッチがOFFになった後、所定時間経過したときに内部電源を遮断するセルフシャットダウン機能と、消去された状態であれば書き込みが可能になる不揮発性メモリと、を有する。そして、自動車用電子制御装置は、イグニッションスイッチがOFFになってから内部電源が遮断するまでに、不揮発性メモリに確保された2つの記憶領域を交互に消去してから情報を書き込む一方、イグニッションスイッチがONになったときに、不揮発性メモリの2つの記憶領域から交互に情報を読み込む。また、自動車用電子制御装置は、不揮発性メモリに対する情報の読み込み時に、不揮発性メモリの記憶領域の電気的な故障が検知されると、電気的故障が検知された記憶領域とは異なる記憶領域に対して、電気的故障に係る記憶領域を特定可能な故障情報を順次記憶して蓄積する。自動車用電子制御装置は、2つの記憶領域の故障情報を参照して、電気的故障が検知された不揮発性メモリの記憶領域の使用を禁止する。 The automotive electronic control device has a self-shutdown function that shuts off the internal power supply when a predetermined time has elapsed after the ignition switch is turned off, and a non-volatile memory that can be written if erased. Have. The electronic control device for automobiles writes the information after alternately erasing the two storage areas secured in the non-volatile memory from when the ignition switch is turned off until the internal power supply is cut off, while the ignition switch When is turned ON, information is alternately read from the two storage areas of the nonvolatile memory. In addition, when an electrical failure in the storage area of the nonvolatile memory is detected when reading information into the nonvolatile memory, the electronic control device for automobiles is stored in a storage area different from the storage area in which the electrical failure is detected. On the other hand, failure information capable of specifying a storage area related to an electrical failure is sequentially stored and accumulated . The automotive electronic control device refers to the failure information of the two storage areas and prohibits the use of the storage area of the nonvolatile memory in which the electrical failure is detected.

不揮発性メモリの記憶領域に故障が発生しても、情報の蓄積への影響を抑制することができる。   Even if a failure occurs in the storage area of the nonvolatile memory, the influence on the accumulation of information can be suppressed.

自動車用電子制御装置の一例を示す構成図である。It is a block diagram which shows an example of the electronic controller for motor vehicles. 故障情報を格納する記憶領域のデータ構造図である。It is a data structure figure of the storage area which stores failure information. 故障情報書込処理の一例を示すフローチャートである。It is a flowchart which shows an example of a failure information writing process. 故障情報書込処理の一例を示すフローチャートである。It is a flowchart which shows an example of a failure information writing process. 記憶領域を選定するサブルーチンのフローチャートである。It is a flowchart of a subroutine for selecting a storage area. 故障情報読込処理の一例を示すフローチャートである。It is a flowchart which shows an example of a failure information reading process. 故障報知処理の一例を示すフローチャートである。It is a flowchart which shows an example of a failure alerting | reporting process. 実施例における故障情報書込処理の一連の手順を示す説明図である。It is explanatory drawing which shows a series of procedures of the failure information writing process in an Example. 実施例における故障情報読込処理の一連の手順を示す説明図である。It is explanatory drawing which shows a series of procedures of the failure information reading process in an Example. 実施例において故障情報の書き込みが未完了であった場合の説明図である。It is explanatory drawing when writing of failure information is incomplete in an Example. 実施例の動作イメージの説明図である。It is explanatory drawing of the operation | movement image of an Example.

以下、添付された図面を参照し、本発明を実施するための実施形態について詳述する。
図1は、自動車用電子制御装置(以下「電子制御装置」という)の一例を示す。
電子制御装置100は、例えば、エンジン、自動変速機、燃料ポンプなどを電子制御するデバイスであって、CPU(Central Processing Unit)などのプロセッサ110と、一時的な作業領域となるRAM(Random Access Memory)120と、フラッシュメモリ130と、を有する。フラッシュメモリ130は、フラッシュROM(Read Only Memory)など、電源供給を遮断してもデータが消えない不揮発性の半導体メモリであって、OBD機能による故障情報などを保持記憶する。プロセッサ110、RAM120及びフラッシュメモリ130は、バス140を介して相互に接続されている。
Hereinafter, embodiments for carrying out the present invention will be described in detail with reference to the accompanying drawings.
FIG. 1 shows an example of an automotive electronic control device (hereinafter referred to as “electronic control device”).
The electronic control device 100 is a device that electronically controls, for example, an engine, an automatic transmission, a fuel pump, and the like, and includes a processor 110 such as a CPU (Central Processing Unit) and a RAM (Random Access Memory) serving as a temporary work area. ) 120 and a flash memory 130. The flash memory 130 is a nonvolatile semiconductor memory such as a flash ROM (Read Only Memory) that does not lose data even when power supply is cut off, and stores and stores failure information by the OBD function. The processor 110, the RAM 120, and the flash memory 130 are connected to each other via a bus 140.

フラッシュメモリ130には、図2に示すように、故障情報を記憶する複数の記憶領域として、例えば、記憶領域1及び記憶領域2が確保されている。記憶領域1及び記憶領域2は、同図に示すように、バックアップ領域130A、開始印130B、カウンタ130C、SUM130D、終了印130E及び空き領域130Fを含む。バックアップ領域130Aには、電子制御装置100の作動中に収集された故障情報が格納される。開始印130Bには、バックアップ領域130Aに故障情報を書き込み始めたことを表す開始コードが格納される。カウンタ130Cには、バックアップ領域130Aに故障情報を書き込んだ累積回数が格納される。SUM130Dには、バックアップ領域130Aに格納された故障情報のチェックサムが格納される。終了印130Eには、バックアップ領域130Aへの故障情報の書き込みが終了したことを表す終了コードが格納される。空き領域130Fには、他の記憶領域について、そのバックアップ領域130Aに異常が発生したことを表す素子異常情報が逐次格納される。   As shown in FIG. 2, in the flash memory 130, for example, a storage area 1 and a storage area 2 are secured as a plurality of storage areas for storing failure information. As shown in the figure, the storage area 1 and the storage area 2 include a backup area 130A, a start mark 130B, a counter 130C, a SUM 130D, an end mark 130E, and a free area 130F. The backup area 130A stores failure information collected during operation of the electronic control apparatus 100. In the start mark 130B, a start code indicating that the failure information has started to be written in the backup area 130A is stored. The counter 130C stores the cumulative number of times failure information has been written in the backup area 130A. The SUM 130D stores a checksum of failure information stored in the backup area 130A. The end mark 130E stores an end code indicating that the writing of the failure information to the backup area 130A has ended. In the free area 130F, element abnormality information indicating that an abnormality has occurred in the backup area 130A of other storage areas is sequentially stored.

そして、電子制御装置100は、ROMなどに格納された制御プログラムに従って、故障情報書込処理、故障情報読込処理及び故障報知処理を夫々実行する。   The electronic control device 100 executes a failure information writing process, a failure information reading process, and a failure notification process, respectively, according to a control program stored in a ROM or the like.

図3及び図4は、イグニッションスイッチがOFFになったことを契機として、電子制御装置100が所定時間後にセルフシャットダウンするまでに、電子制御装置100のプロセッサ110が実行する故障情報書込処理の一例を示す。ここで、セルフシャットダウンとは、イグニッションスイッチがOFFになった後、所定時間経過したときに内部電源を遮断する機能である。   3 and 4 are examples of failure information writing processing executed by the processor 110 of the electronic control device 100 until the electronic control device 100 self-shuts down after a predetermined time when the ignition switch is turned off. Indicates. Here, the self-shutdown is a function of shutting off the internal power supply when a predetermined time has elapsed after the ignition switch is turned off.

なお、故障情報書込処理の前提として、電子制御装置100の作動中に、RAM120に各種デバイスの故障情報が蓄積されていると共に、RAM120にカウンタ130C及び素子異常情報が退避されているものとする。また、前回のドライビングサイクルの故障情報がフラッシュメモリ130から読み出されてRAM120に書き込まれ、その後の処理において、この故障情報に対して今回のドライビングサイクルにおける故障診断結果が追記されるものとする。そして、イグニッションスイッチがOFFになると、RAM120の故障情報が故障情報書込処理における書き込み対象となる。   As a premise of the failure information writing process, it is assumed that failure information of various devices is accumulated in the RAM 120 and the counter 130C and element abnormality information are saved in the RAM 120 during operation of the electronic control device 100. . Further, it is assumed that failure information of the previous driving cycle is read from the flash memory 130 and written to the RAM 120, and in the subsequent processing, a failure diagnosis result in the current driving cycle is added to the failure information. When the ignition switch is turned off, the failure information in the RAM 120 becomes a write target in the failure information writing process.

ステップ1(図では「S1」と略記する。以下同様。)では、プロセッサ110が、RAM120に蓄積されている各種デバイスの故障情報を書き込む記憶領域を選定するサーブルーチン(図5参照)を実行する。   In step 1 (abbreviated as “S1” in the figure, the same applies hereinafter), the processor 110 executes a serve routine (see FIG. 5) for selecting a storage area in which failure information of various devices stored in the RAM 120 is written. .

ステップ2では、プロセッサ110が、ステップ1で選定した記憶領域について、その先頭アドレスから所定の消去データ(例えば、0xFF)を書き込み始めることで、記憶領域の消去を開始する。   In step 2, the processor 110 starts erasing the storage area by starting to write predetermined erasure data (for example, 0xFF) from the head address of the storage area selected in step 1.

ステップ3では、プロセッサ110が、例えば、記憶領域の最終アドレスまで消去データを書き込んだか否かを介して、記憶領域の消去が完了したか否かを判定する。そして、プロセッサ110は、記憶領域の消去が完了したと判定すれば処理をステップ4へと進める一方(Yes)、記憶領域の消去が完了していないと判定すれば判定処理を繰り返す(No)。   In step 3, the processor 110 determines whether or not the erasure of the storage area is completed, for example, based on whether or not the erasure data has been written up to the final address of the storage area. If the processor 110 determines that the erasure of the storage area has been completed, the processor 110 proceeds to step 4 (Yes), but repeats the determination process if it is determined that the erasure of the storage area has not been completed (No).

ステップ4では、プロセッサ110が、記憶領域に書き込まれた消去データを順次確認することで、記憶領域が正常に消去されたか否かを判定する消去チェックを行なう。   In step 4, the processor 110 performs erasure check for determining whether or not the storage area has been normally erased by sequentially confirming the erase data written in the storage area.

ステップ5では、プロセッサ110が、ステップ4における消去チェックの結果に基づいて、記憶領域の全領域が消去されたか否かを判定する。そして、プロセッサ110は、記憶領域の全領域が消去されたと判定すれば処理をステップ6へと進める(Yes)。一方、プロセッサ110は、記憶領域の全領域が消去されていない、即ち、ある素子(セル)に異常があるため消去データの書き込みが正常に行われなかったと判定すれば処理をステップ16へと進める(No)。   In step 5, the processor 110 determines whether or not all the storage areas have been erased based on the result of the erase check in step 4. If the processor 110 determines that the entire storage area has been erased, the processor 110 proceeds to step 6 (Yes). On the other hand, if the processor 110 determines that the entire storage area has not been erased, that is, the erase data has not been normally written due to an abnormality in a certain element (cell), the process proceeds to step 16. (No).

ステップ6では、プロセッサ110が、バックアップ領域130Aのチェックサムを計算するための変数SUMを0にリセットする。   In step 6, the processor 110 resets the variable SUM for calculating the checksum of the backup area 130A to zero.

ステップ7では、プロセッサ110が、開始印130Bに所定の開始コードを格納する。   In step 7, the processor 110 stores a predetermined start code in the start mark 130B.

ステップ8では、プロセッサ110が、書き込みアドレスとして、バックアップ領域130Aの先頭アドレスを設定する。   In step 8, the processor 110 sets the head address of the backup area 130A as the write address.

ステップ9では、プロセッサ110が、例えば、書き込みアドレスがバックアップ領域130Aの最終アドレスを指しているか否かに基づいて、RAM120からフラッシュメモリ130への故障情報の書き込みが完了したか否かを判定する。そして、プロセッサ110は、故障情報の書き込みが完了していないと判定すれば処理をステップ10へと進める一方(Yes)、故障情報の書き込みが完了したと判定すれば処理をステップ13へと進める(No)。   In step 9, the processor 110 determines whether or not the writing of the failure information from the RAM 120 to the flash memory 130 is completed based on, for example, whether or not the write address indicates the final address of the backup area 130A. If the processor 110 determines that the writing of the failure information has not been completed, the process proceeds to step 10 (Yes), whereas if the processor 110 determines that the writing of the failure information has been completed, the process proceeds to step 13 ( No).

ステップ10では、プロセッサ110が、RAM120から故障情報を1バイト読み込み、書き込みアドレスが指定するアドレスに書き込む。   In step 10, the processor 110 reads 1 byte of failure information from the RAM 120 and writes it to the address specified by the write address.

ステップ11では、プロセッサ110が、例えば、変数SUMに対して、故障情報の1バイトのデータ値を加算することで、変数SUMを更新する。   In step 11, the processor 110 updates the variable SUM, for example, by adding the 1-byte data value of the failure information to the variable SUM.

ステップ12では、プロセッサ110が、例えば、書き込みアドレスに1を加算することで、書き込みアドレスを更新した後、処理をステップ9へと戻す。   In step 12, the processor 110 updates the write address, for example, by adding 1 to the write address, and then returns the process to step 9.

ステップ13では、プロセッサ110が、変数SUMをSUM130Dに書き込む。   In step 13, the processor 110 writes the variable SUM to the SUM 130D.

ステップ14では、プロセッサ110が、RAM120からカウンタ及び素子異常情報を読み込み、記憶領域のカウンタ130C及び空き領域130Fに夫々書き込む。なお、素子異常情報が存在しない場合には、これを空き領域130Fに書き込む必要はない。   In step 14, the processor 110 reads the counter and element abnormality information from the RAM 120, and writes them into the counter 130C and the free area 130F of the storage area, respectively. Note that when there is no element abnormality information, it is not necessary to write it into the empty area 130F.

ステップ15では、プロセッサ110が、終了印130Eに所定の終了コードを格納する。   In step 15, the processor 110 stores a predetermined end code in the end mark 130E.

ステップ16では、プロセッサ110が、ステップ1で選定された記憶領域とは異なる記憶領域の空き領域130Fに、異常が発生した記憶領域を特定可能な情報を含んだ素子異常情報を書き込む。ここで、記憶領域の空き領域130Fに素子異常情報が既に書き込まれている場合には、これとは異なるアドレスに書き込む(以下同様)。   In step 16, the processor 110 writes element abnormality information including information that can identify the storage area where the abnormality has occurred in the free area 130 </ b> F of the storage area different from the storage area selected in step 1. Here, when element abnormality information has already been written in the free area 130F of the storage area, it is written to a different address (the same applies hereinafter).

図5は、記憶領域を選定するサブルーチンの一例を示す。
ステップ21では、プロセッサ110が、フラッシュメモリ130の各記憶領域の空き領域130Fを夫々参照し、素子異常情報の個数を計数した計数値が所定の閾値未満である記憶領域、要するに、素子に固着などの故障が発生していない正常な記憶領域を抽出する。ここで、素子異常情報が存在しない記憶領域は、無条件に抽出される。また、電子制御装置100の製造直後には、各記憶領域は未使用であるので、例えば、未使用の記憶領域を優先的に抽出したり、未使用領域が複数あればアドレス順に抽出する。なお、正常な記憶領域であるか否かは、素子異常情報の個数を計数せずに、素子異常情報の有無のみで判定してもよい。
FIG. 5 shows an example of a subroutine for selecting a storage area.
In step 21, the processor 110 refers to the free space 130F of each storage area of the flash memory 130, and the count value obtained by counting the number of element abnormality information is less than a predetermined threshold. A normal storage area where no failure has occurred is extracted. Here, the storage area in which no element abnormality information exists is extracted unconditionally. Since each storage area is unused immediately after the manufacture of the electronic control device 100, for example, unused storage areas are extracted preferentially, or if there are a plurality of unused areas, they are extracted in the order of addresses. Whether or not it is a normal storage area may be determined only by the presence / absence of element abnormality information without counting the number of element abnormality information.

ステップ22では、プロセッサ110が、ステップ21で抽出した各記憶領域について、開始印130B、SUM130D及び終了印130Eの少なくとも1つを参照し、記憶領域が正常であるにもかかわらず、電子制御装置100がセルフシャットダウンするまでに故障情報の書き込みが正常に終了しなかった記憶領域があるか否かを判定する。具体的には、プロセッサ110は、開始印130Bに所定の開始コードが格納されているか、SUM130Dにチェックサムが格納されているか、終了印130Eに所定の終了コードが格納されているかの少なくとも1つの条件が成立しているか否かを介して、故障情報の書き込みが正常に終了しなかった記憶領域があるか否かを判定する。そして、プロセッサ110は、故障情報の書き込みが正常に終了しなかった記憶領域があると判定すれば処理をステップ23へと進める一方(Yes)、故障情報の書き込みが正常に終了しなかった記憶領域がないと判定すれば処理をステップ24へと進める(No)。   In step 22, the processor 110 refers to at least one of the start mark 130B, the SUM 130D, and the end mark 130E for each storage area extracted in step 21, and the electronic control unit 100 is in spite of the normal storage area. It is determined whether or not there is a storage area in which the writing of failure information has not been normally completed before self-shutdown. Specifically, the processor 110 has at least one of a predetermined start code stored in the start mark 130B, a checksum stored in the SUM 130D, and a predetermined end code stored in the end mark 130E. It is determined whether or not there is a storage area in which the writing of the failure information has not ended normally through whether or not the condition is satisfied. If the processor 110 determines that there is a storage area in which the writing of failure information has not ended normally, the process proceeds to step 23 (Yes), while the storage area in which the writing of failure information has not ended normally. If it is determined that there is not, the process proceeds to step 24 (No).

ステップ23では、プロセッサ110が、電子制御装置100がセルフシャットダウンするまでに故障情報の書き込みが正常に終了しなかった記憶領域(故障しているとは断言できない記憶領域)を選定する。ここで、故障情報の書き込みが正常に終了しなかった記憶領域が複数存在する場合には、例えば、アドレス順で若い番号の記憶領域を選定する。   In step 23, the processor 110 selects a storage area in which the writing of the failure information has not ended normally until the electronic control device 100 self-shuts down (a storage area that cannot be asserted as having failed). Here, when there are a plurality of storage areas in which the writing of the failure information has not been normally completed, for example, a storage area having a lower number in the order of addresses is selected.

ステップ24では、プロセッサ110が、正常な記憶領域の中から、ドライビングサイクルごとに故障情報を記録する記憶領域として、今回のドライビングサイクルで故障情報を読み込んだ記憶領域とは異なる他の記憶領域を選定する。この処理は、前回及び今回の少なくとも2つのドライビングサイクルにおける故障情報を保存するためのものである。ここで、使用できる正常な記憶領域が複数存在する場合には、例えば、アドレス順で若い番号の記憶領域を選定する。また、故障情報を書き込む他の記憶領域がない場合には、今回のドライビングサイクルで故障情報の書き込みが失敗すると正常な故障情報が失われるため、前回のドライビングサイクルにおける故障情報を保持して書き込みを行わない、又は、最新の故障情報に更新すべく、今回のドライビングサイクルで故障情報を読み込んだ記憶領域を選定する。   In step 24, the processor 110 selects another storage area different from the storage area from which the failure information was read in the current driving cycle as a storage area for recording the failure information for each driving cycle from the normal storage areas. To do. This process is for storing failure information in at least two previous and current driving cycles. Here, when there are a plurality of normal storage areas that can be used, for example, a storage area with a lower number is selected in the order of addresses. Also, if there is no other storage area to write failure information, normal failure information will be lost if failure information writing fails in this driving cycle, so the failure information in the previous driving cycle is retained and written. A storage area in which failure information is read in the current driving cycle is selected so as not to be updated or updated to the latest failure information.

なお、終了印130Eに書き込み順序を表す情報を付したり、書き込み順序を表すカウンタを用いることで、故障情報の書き込みが正常に終了しなかった記憶領域のうち、バックアップ領域130Aへの故障情報の書き込みが一番古い記憶領域を選定してもよい。このようにすれば、直近に故障情報が書き込まれた記憶領域が選定されることがなく、より新しいデータを確実に保存しつつ、新たなデータを書き込む領域を選択することができる。   In addition, by attaching information indicating the writing order to the end mark 130E or using a counter indicating the writing order, out of the storage area where writing of the failure information has not been normally completed, the failure information of the backup area 130A The storage area with the oldest writing may be selected. In this way, it is possible to select an area in which new data is written while reliably storing newer data without selecting a storage area in which failure information has been written most recently.

かかる故障情報書込処理によれば、RAM120に保持されている故障情報は、素子に故障が発生していない記憶領域のバックアップ領域130Aに書き込まれる。このとき、バックアップ領域130Aに所定の消去データが書き込めるかを否かを介して、故障情報の書き込み対象である記憶領域に異常が発生しているか否かが判定される。そして、記憶領域に異常が発生していると判定された場合には、故障が発生していない他の記憶領域の空き領域130Fに素子異常情報が書き込まれる。   According to the failure information writing process, the failure information held in the RAM 120 is written in the backup area 130A of the storage area where no failure has occurred in the element. At this time, whether or not an abnormality has occurred in the storage area to which the failure information is written is determined through whether or not predetermined erase data can be written in the backup area 130A. If it is determined that an abnormality has occurred in the storage area, element abnormality information is written in the free area 130F of another storage area in which no failure has occurred.

また、RAM120に保持されている故障情報を記憶領域に書き込むとき、開始印130Bに開始コードが書き込まれ、バックアップ領域130Aに故障情報が書き込まれ、SUM130Dにチェックサムが書き込まれ、終了印130Eに終了コードが書き込まれる、という手順が実行される。このため、開始印130B、SUM130D及び終了印130Eの少なくとも1つを参照することで、例えば、バッテリ電圧の低下、故障情報の書き込みに時間がかかったなど、電子制御装置100がセルフシャットダウンするまでに故障情報の書き込みが正常に終了しなかったことを把握することができる。さらに、バックアップ領域130Aに故障情報を書き込むときに、故障情報のチェックサムが演算され、これがSUM130Dに書き込まれる。このため、後述する故障情報読込処理において、バックアップ領域130AのチェックサムとSUM130Dに格納されたチェックサムとを比較することで、記憶領域の素子に異常が発生しているか否かを判定することができる。   When the failure information held in the RAM 120 is written in the storage area, the start code is written in the start mark 130B, the failure information is written in the backup area 130A, the checksum is written in the SUM 130D, and the process ends in the end mark 130E. The procedure that the code is written is executed. For this reason, by referring to at least one of the start mark 130B, the SUM 130D, and the end mark 130E, for example, it takes time for the battery voltage to drop and the failure information to be written. It can be understood that the writing of the failure information has not ended normally. Further, when the failure information is written in the backup area 130A, the check sum of the failure information is calculated and written in the SUM 130D. For this reason, it is possible to determine whether or not an abnormality has occurred in the storage area element by comparing the checksum of the backup area 130A and the checksum stored in the SUM 130D in the failure information reading process described later. it can.

なお、消去チェックにより記憶領域の全領域が消去されたと判定された場合、それまでに発生した素子異常は、例えば、ノイズ重畳により発生した一時的な異常であると考えられるため、記憶領域の空き領域130Fに格納された素子異常情報をクリア(削除)してもよい。   When it is determined that the entire storage area has been erased by the erase check, the element abnormality that has occurred so far is considered to be a temporary abnormality caused by noise superimposition, for example. The element abnormality information stored in the area 130F may be cleared (deleted).

図6は、イグニッションスイッチがONになったことを契機として、電子制御装置100のプロセッサ110が実行する故障情報読込処理の一例を示す。   FIG. 6 shows an example of a failure information reading process executed by the processor 110 of the electronic control device 100 when the ignition switch is turned on.

ステップ31では、プロセッサ110が、故障情報を読み込む対象となる記憶領域を選定する。即ち、プロセッサ110は、フラッシュメモリ130の各記憶領域について、例えば、書き込み順序を表すカウンタを参照し、開始印130B及び終了印130Eが正常である記憶領域のうち、バックアップ領域130Aに故障情報が書き込まれた時期が一番新しいものを選定する。   In step 31, the processor 110 selects a storage area from which failure information is read. That is, for each storage area of the flash memory 130, the processor 110 refers to, for example, a counter indicating the write order, and writes failure information in the backup area 130A among the storage areas where the start mark 130B and end mark 130E are normal. Select the most recent one.

ステップ32では、プロセッサ110が、変数SUMを0にリセットする。   In step 32, the processor 110 resets the variable SUM to zero.

ステップ33では、プロセッサ110が、ステップ1で選定した記憶領域から、SUM130Dを読み込む。なお、記憶領域から読み込んだSUM130Dは、例えば、RAM120に一時的に記憶しておく。   In step 33, the processor 110 reads the SUM 130D from the storage area selected in step 1. Note that the SUM 130D read from the storage area is temporarily stored in the RAM 120, for example.

ステップ34では、プロセッサ110が、例えば、記憶領域のバックアップ領域130Aの最後までデータを読み出したか否かを介して、バックアップ領域130Aから故障情報の読み込みが完了したか否かを判定する。そして、プロセッサ110は、故障情報の読み込みが完了していないと判定すれば処理をステップ35へと進める一方(Yes)、故障情報の読み込みが完了したと判定すれば処理をステップ37へと進める(No)。   In step 34, the processor 110 determines whether or not the reading of the failure information from the backup area 130A is completed through, for example, whether or not data has been read to the end of the backup area 130A of the storage area. If the processor 110 determines that the reading of the failure information has not been completed, the process proceeds to step 35 (Yes), whereas if the processor 110 determines that the reading of the failure information has been completed, the process proceeds to step 37 ( No).

ステップ35では、プロセッサ110が、記憶領域のバックアップ領域130Aから異常情報を1バイト読み込む。   In step 35, the processor 110 reads 1 byte of abnormality information from the backup area 130A of the storage area.

ステップ36では、プロセッサ110が、例えば、変数SUMに対して、異常情報の1バイトのデータ値を加算することで、変数SUMを更新した後、処理をステップ34へと戻す。   In step 36, for example, the processor 110 adds the 1-byte data value of the abnormality information to the variable SUM, thereby updating the variable SUM, and then returns the process to step 34.

ステップ37では、プロセッサ110が、ステップ33で読み込んだSUM130Dと変数SUMとを比較することで、バックアップ領域130Aから読み込んだ故障情報のチェックサムが正しいか否かを判定する。そして、プロセッサ110は、故障情報のチェックサムが正しいと判定すれば処理をステップ38へと進める一方(Yes)、故障情報のチェックサムが正しくないと判定すれば処理をステップ39へと進める(No)。   In step 37, the processor 110 compares the SUM 130D read in step 33 with the variable SUM to determine whether or not the checksum of the failure information read from the backup area 130A is correct. If the processor 110 determines that the checksum of the failure information is correct, the processor 110 proceeds to step 38 (Yes), whereas if the processor 110 determines that the checksum of the failure information is not correct, the process proceeds to step 39 (No). ).

ステップ38では、プロセッサ110が、記憶領域からカウンタ130C及び素子異常情報を読み込み、RAM120に退避させる。   In step 38, the processor 110 reads the counter 130 </ b> C and element abnormality information from the storage area and saves them in the RAM 120.

ステップ39では、プロセッサ110が、ステップ31で選定された記憶領域とは異なる記憶領域の空き領域130Fに、異常が発生した記憶領域を特定可能な情報を含んだ素子異常情報を書き込む。   In step 39, the processor 110 writes element abnormality information including information that can identify the storage area where the abnormality has occurred in the free area 130F of the storage area different from the storage area selected in step 31.

ステップ40では、プロセッサ110が、フラッシュメモリ130の各記憶領域について、例えば、書き込み順序を表すカウンタを参照し、開始印130B及び終了印130Eが正常である記憶領域のうち、バックアップ領域130Aに故障情報が書き込まれた時期が次に新しいものを選定した後、処理をステップ32へと戻す。   In step 40, for each storage area of the flash memory 130, the processor 110 refers to, for example, a counter indicating the write order, and the failure information is stored in the backup area 130A among the storage areas where the start mark 130B and end mark 130E are normal. After selecting the next newest written time, the process returns to step 32.

かかる故障情報読込処理によれば、故障情報書込処理において故障情報が正常に書き込まれた記憶領域(素子に故障が発生していない記憶領域)のうち、故障情報の書き込みが一番新しい記憶領域から、故障情報が読み込まれる。ここで、記憶領域から故障情報を読み込むとき、読み込みデータのチェックサムが演算され、これと保持されているチェックサムとを比較することで、記憶領域に異常が発生しているか否かが再度判定される。そして、記憶領域に異常が発生していると判定された場合には、故障が発生していない他の記憶領域の空き領域130Fに素子異常情報が書き込まれる。また、記憶領域に異常が発生していると判定された場合には、記憶領域に記憶されている故障情報の確度が低いため、その前に書き込まれた記憶領域から故障情報を読み込むべく、故障情報の書き込みが次に新しい記憶領域から故障情報が読み込まれる。   According to the failure information reading process, the storage area in which the failure information is written is the latest among the storage areas in which the failure information is normally written in the failure information writing process (the storage area in which no failure has occurred in the element). Then, the failure information is read. Here, when reading failure information from the storage area, the checksum of the read data is calculated, and by comparing this with the stored checksum, it is determined again whether an abnormality has occurred in the storage area. Is done. If it is determined that an abnormality has occurred in the storage area, element abnormality information is written in the free area 130F of another storage area in which no failure has occurred. Also, if it is determined that an abnormality has occurred in the storage area, the failure information stored in the storage area has a low accuracy, so that the failure information is read from the storage area written before that. Next, the failure information is read from the new storage area.

従って、かかる電子制御装置100によれば、故障が発生している記憶領域に対する故障情報の書き込み及び読み込みがなされることがなく、その記憶領域の使用が禁止され、故障情報などの蓄積への影響を抑制することができる。   Therefore, according to the electronic control apparatus 100, the failure information is not written to or read from the storage area where the failure occurs, and the use of the storage area is prohibited, and the storage information such as failure information is affected. Can be suppressed.

図7は、イグニッションスイッチがONになったことを契機として、電子制御装置100のプロセッサ110が所定時間ごとに繰り返し実行する故障報知処理の一例を示す。   FIG. 7 shows an example of a failure notification process that is repeatedly executed by the processor 110 of the electronic control device 100 every predetermined time when the ignition switch is turned on.

ステップ41では、プロセッサ110が、フラッシュメモリ130の各記憶領域の空き領域130Fを順次参照し、そこに格納されている素子異常情報を計数した素子異常回数が所定の閾値未満となっている、正常な記憶領域を抽出する。ここで、所定の閾値は、フラッシュメモリ130の記憶領域に固着などの故障が発生したことを確定するための閾値であって、例えば、フラッシュメモリ130の所定領域に予め記憶されている。なお、所定の閾値は、例えば、電子制御装置100に接続されたコンソールによって、任意の値に書き換えられるようにしてもよい。   In step 41, the processor 110 sequentially refers to the empty area 130F of each storage area of the flash memory 130, and the element abnormality count obtained by counting the element abnormality information stored therein is less than a predetermined threshold. A valid storage area. Here, the predetermined threshold is a threshold for determining that a failure such as sticking has occurred in the storage area of the flash memory 130, and is stored in advance in the predetermined area of the flash memory 130, for example. Note that the predetermined threshold value may be rewritten to an arbitrary value by a console connected to the electronic control device 100, for example.

ステップ42では、プロセッサ110が、正常な記憶領域が1つであるか否かを判定する。そして、プロセッサ110は、正常な記憶領域が1つであると判定すれば処理をステップ43へと進める一方(Yes)、正常な記憶領域が2つ以上であると判定すれば処理を終了させる(No)。   In step 42, the processor 110 determines whether or not there is one normal storage area. If the processor 110 determines that there is only one normal storage area, the process proceeds to step 43 (Yes), while if it is determined that there are two or more normal storage areas, the process ends ( No).

ステップ43では、プロセッサ110が、例えば、警告灯、ブザーなどの報知手段を作動させることで、運転者などに電子制御装置100のフラッシュメモリ130に故障が発生したことを報知する。   In step 43, the processor 110 notifies a driver or the like that a failure has occurred in the flash memory 130 of the electronic control device 100 by operating notification means such as a warning light and a buzzer.

かかる故障報知処理によれば、故障が発生していないフラッシュメモリ130の記憶領域の空き領域130Fを参照することで、他の記憶領域に関する素子異常回数が把握できる。また、この素子異常回数が所定の閾値未満の記憶領域、要するに、フラッシュメモリ130の素子に恒久的な故障が発生していない記憶領域が1つのみになると、2つのドライビングサイクルにおける故障情報が保持できなくなった旨が報知される。このため、運転者などは、フラッシュメモリ130に故障が発生したことを認識することができる。なお、3つ以上のドライビングサイクルにおける故障情報を保持する場合には、必要な記憶領域の数を確保できなくなったとき、又は、いずれかの記憶領域に故障が発生したと判定されたときに、故障情報が保持できなくなった旨を報知してもよい。   According to such a failure notification process, by referring to the free area 130F of the storage area of the flash memory 130 in which no failure has occurred, the number of element abnormalities related to other storage areas can be grasped. In addition, when there is only one storage area in which the number of element abnormalities is less than a predetermined threshold, in other words, no permanent failure has occurred in the elements of the flash memory 130, failure information in two driving cycles is retained. You will be notified that you can no longer. Therefore, the driver or the like can recognize that a failure has occurred in the flash memory 130. In addition, when holding failure information in three or more driving cycles, when it becomes impossible to secure the number of necessary storage areas, or when it is determined that a failure has occurred in any storage area, You may alert | report that failure information can no longer be hold | maintained.

次に、かかる電子制御装置100の作用及び効果について理解を容易ならしめることを目的とし、具体的な事例を想定した実施例について説明する。
実施例の前提条件として、フラッシュメモリ130には2つの記憶領域として、ブロック1(BL1)及びブロック2(BL2)が確保されているものとする。また、イグニッションスイッチがOFFになったときに、RAM120からブロック1に故障情報が書き込まれるものとする。
Next, for the purpose of facilitating understanding of the operation and effect of the electronic control device 100, an embodiment assuming specific examples will be described.
As a precondition of the embodiment, it is assumed that block 1 (BL1) and block 2 (BL2) are secured in the flash memory 130 as two storage areas. Further, it is assumed that failure information is written from the RAM 120 to the block 1 when the ignition switch is turned off.

イグニッションスイッチがOFFになると、図8に示すように、ブロック1に故障情報を書き込む準備として、ブロック1の全領域に所定の消去データを書き込むことで、ブロック1に書き込まれていた古い故障情報が消去される。ブロック1の消去に続いて消去チェックが行なわれ、同図に示すように、ある素子に固着が発生したことが検知されると、素子に故障が発生していないブロック2の空き領域130Fに、ブロック1の素子に異常が発生したことを表す素子異常情報が書き込まれる。そして、イグニッションスイッチがOFFになるたびに、このような処理が逐次実行され、ブロック2の空き領域130Fには、ブロック1の素子に異常が発生したことを表す素子異常情報が蓄積される。なお、ブロック1の素子に異常が検知された後、イグニッションスイッチがOFFになったときの処理でその異常が再度検知されない場合には、例えば、ノイズ重畳などによる一時的な異常であると考えられるため、ブロック2に蓄積された素子異常情報を消去してもよい。   When the ignition switch is turned OFF, as shown in FIG. 8, as a preparation for writing failure information in block 1, by writing predetermined erase data in the entire area of block 1, old failure information written in block 1 is restored. Erased. After erasure of the block 1, an erasure check is performed. As shown in the figure, when it is detected that a certain element is stuck, a free area 130F of the block 2 in which no element has failed, Element abnormality information indicating that an abnormality has occurred in the element of block 1 is written. Each time the ignition switch is turned OFF, such processing is sequentially executed, and element abnormality information indicating that an abnormality has occurred in the element of block 1 is accumulated in the empty area 130F of block 2. If an abnormality is not detected again in the process when the ignition switch is turned off after an abnormality is detected in the element of block 1, it is considered to be a temporary abnormality due to noise superposition, for example. Therefore, the element abnormality information stored in the block 2 may be erased.

ブロック1の素子に固着が発生しても、故障情報の書き込みが最後まで行われたことから、図9に示すように、ブロック1の終了印130Eが書き込まれている。この場合、イグニッションスイッチがONになったときに実行される故障情報読込処理において、ブロック1から読み込んだ故障情報のチェックサムとSUM130Dに格納されていたチェックサムとが一致しないため、ブロック1に異常が発生していることが検知される。そして、故障が発生していないブロック2の空き領域130Fに、ブロック1に異常が発生していることを表す素子異常情報が書き込まれる。   Even if the element of the block 1 is fixed, the failure information has been written to the end, so that the end mark 130E of the block 1 is written as shown in FIG. In this case, in the failure information reading process executed when the ignition switch is turned ON, the check sum of the failure information read from the block 1 does not match the check sum stored in the SUM 130D. It is detected that has occurred. Then, element abnormality information indicating that an abnormality has occurred in the block 1 is written in the empty area 130F of the block 2 in which no failure has occurred.

その後、ブロック2の空き領域130Fに書き込まれた素子異常情報を計数した計数値が所定の閾値以上であれば、その素子異常情報に係るブロック1が故障していると判定し、運転者などにその旨を通知すると共に、ブロック1の使用が禁止される。   Thereafter, if the count value obtained by counting the element abnormality information written in the empty area 130F of the block 2 is equal to or greater than a predetermined threshold value, it is determined that the block 1 related to the element abnormality information is out of order and Notifying that effect, the use of block 1 is prohibited.

セルフシャットダウン中に故障情報の書き込みが正常に終了しなかった場合には、図10に示すように、開始印130Bが書き込まれているが、終了印130Eが書き込まれていない状態となるので、素子固着による異常と区別することができる。   If the writing of failure information does not end normally during self-shutdown, the start mark 130B is written but the end mark 130E is not written, as shown in FIG. It can be distinguished from abnormality due to sticking.

従って、図11に示すように、ブロック1に故障情報を書き込むときに、所定回数連続して異常が検知されると、その後の故障情報書込処理及び故障情報読込処理においてブロック1の使用が禁止される。なお、3つ以上のブロックについても、前述した処理で同様な作用及び効果が奏される。   Therefore, as shown in FIG. 11, when failure information is written in block 1, if abnormality is detected for a predetermined number of times, use of block 1 is prohibited in subsequent failure information writing processing and failure information reading processing. Is done. It should be noted that the same operations and effects can be achieved with the above-described processing for three or more blocks.

使用禁止となったブロック1については、所定のタイミングで故障情報の書き込みを再度実行し、その結果が問題なければ、素子異常情報を消去することで、その使用禁止を解除するようにしてもよい。ここで、所定のタイミングとしては、例えば、駐車中、渋滞などの低速走行中など、電子制御装置100の処理負荷が低い状態が適用できる。また、故障情報の書き込み回数は、1回に限らず、素子異常情報の計数値に応じた回数や2回以上の所定回数であってもよい。   For the block 1 whose use has been prohibited, the failure information is written again at a predetermined timing, and if the result is satisfactory, the use prohibition may be canceled by erasing the element abnormality information. . Here, as the predetermined timing, for example, a state in which the processing load of the electronic control device 100 is low, such as during parking or during low speed traveling such as traffic jam, can be applied. Also, the number of times failure information is written is not limited to one, and may be a number corresponding to a count value of element abnormality information or a predetermined number of times of two or more.

フラッシュメモリ130に2つの記憶領域のみが確保され、かつ、1回の異常発生により記憶領域の選定処理が行われる場合には、次のようにしてもよい。
イグニッションスイッチがOFFになったことを契機として、電子制御装置100のプロセッサ100が実行する故障情報書込処理において、今回のドライビングサイクルで故障情報を読み込んだ記憶領域とは異なる記憶領域を選定する。そして、消去チェックの結果、記憶領域が正常に消去されていれば、そのバックアップ領域130Aに故障情報を書き込む(このとき異常が発生してもそのままとする)。一方、消去チェックの結果、記憶領域が正常に消去されていなければ、今回のドライビングサイクルで更新された故障情報を破棄し、今回のドライビングサイクルで故障情報を読み込んだ記憶領域に素子故障情報を書き込む。
When only two storage areas are secured in the flash memory 130 and a storage area selection process is performed due to one occurrence of an abnormality, the following may be performed.
When the ignition switch is turned off, in the failure information writing process executed by the processor 100 of the electronic control unit 100, a storage area different from the storage area from which the failure information is read in the current driving cycle is selected. If the storage area is normally erased as a result of the erasure check, the failure information is written in the backup area 130A (even if an abnormality occurs at this time). On the other hand, if the storage area is not normally erased as a result of the erasure check, the failure information updated in the current driving cycle is discarded, and the element failure information is written in the storage area in which the failure information is read in the current driving cycle. .

イグニッションスイッチがONになったことを契機として、電子制御装置100のプロセッサ100が実行する故障情報読込処理において、2つの記憶領域を比較し、前回のドライビングサイクルで故障情報を書き込んだ記憶領域(第1の記憶領域)を特定する。また、第1の記憶領域とは異なる記憶領域(第2の記憶領域)の空き領域130Fを参照し、第1の記憶領域に消去異常が発生しているか否かを判定する。第1の記憶領域に消去異常が発生していれば、第2の記憶領域から故障情報を読み込む。一方、第1の記憶領域に消去異常が発生していなければ、第1の記憶領域から故障情報を読み込むと共に、チェックサムを利用して読込異常が発生しているか否かを判定する。第1の記憶領域に読込異常が発生していれば、今回のドライビングサイクルで更新された故障情報の書き込み先として、第1の記憶領域を内部的に予約しておく。   In the failure information reading process executed by the processor 100 of the electronic control unit 100 when the ignition switch is turned on, the two storage areas are compared, and the storage area in which the failure information is written in the previous driving cycle (the first storage area) 1 storage area) is specified. Further, it is determined whether or not an erasure abnormality has occurred in the first storage area by referring to the empty area 130F of the storage area (second storage area) different from the first storage area. If an erase error has occurred in the first storage area, failure information is read from the second storage area. On the other hand, if no erasure abnormality has occurred in the first storage area, failure information is read from the first storage area, and a checksum is used to determine whether a reading abnormality has occurred. If a reading abnormality has occurred in the first storage area, the first storage area is reserved internally as a destination for writing failure information updated in the current driving cycle.

そして、今回のドライビングサイクルで更新された故障情報を書き込む故障情報書込処理において、現在故障情報が正常に書き込まれている記憶領域を優先して選定すると共に、消去異常が発生した記憶領域に対して再度消去チェックを実行し、消去異常が再度発生しなければ選定対象とする一方、消去異常が再度発生すれば故障情報書込処理を中断する。また、故障情報書込処理において、内部的に予約しておいた記憶領域を選定し、この記憶領域に対して消去チェック及び書き込みを行なう。このように、記憶領域に読込異常が発生している間は、ドライビングサイクルごとに、古い故障情報を読み込み、読込異常が発生した記憶領域に対して故障情報の書き込みが繰り返し行なわれる。   In the failure information writing process for writing the failure information updated in the current driving cycle, the storage region where the failure information is normally written is preferentially selected, and the storage region where the erasure abnormality has occurred is selected. The erasure check is executed again, and if the erasure abnormality does not occur again, it is selected. On the other hand, if the erasure abnormality occurs again, the failure information writing process is interrupted. Further, in the failure information writing process, a storage area reserved internally is selected, and erasure check and writing are performed on this storage area. As described above, while the reading abnormality occurs in the storage area, the old failure information is read and the failure information is repeatedly written to the storage area where the reading abnormality occurs in each driving cycle.

前回のドライビングサイクルで消去異常が発生した記憶領域が、今回のドライビングサイクルで故障情報の書き込み先として選定され、今回のドライビングサイクルで消去異常が発生せず、故障情報が正常に書き込めた場合、次回のドライビングサイクルでこの記憶領域から故障情報を正常に読み込むことができるので、これが最新の故障情報となる。他方の記憶領域、即ち、前回のドライビングサイクルの素子異常情報を記録した記憶領域は、次回の記憶領域として選定されて消去チェックが行なわれるので、自動的に素子異常情報が消去される。前回のドライビングサイクルで読込異常が発生した場合にも、今回のドライビングサイクルで読込異常が発生しなければ、その素子異常情報も自動的に消去される。   The storage area where the erasure error occurred in the previous driving cycle is selected as the failure information write destination in the current driving cycle, and if the erasure abnormality does not occur in the current driving cycle and the failure information can be written normally, the next time Since the failure information can be normally read from this storage area in the driving cycle, this becomes the latest failure information. The other storage area, that is, the storage area in which the element abnormality information of the previous driving cycle is recorded is selected as the next storage area and the erasure check is performed, so that the element abnormality information is automatically erased. Even if a reading abnormality occurs in the previous driving cycle, if no reading abnormality occurs in the current driving cycle, the element abnormality information is automatically deleted.

ここで、前記実施形態及び前記実施例から把握し得る請求項以外の技術的思想について、以下に効果と共に記載する。   Here, technical ideas other than the claims that can be grasped from the embodiment and the examples will be described together with effects.

(イ)前記不揮発性メモリの記憶領域に電気的故障が検知された後、所定のタイミングで前記記憶領域に情報を再度書き込んだ結果、前記電気的故障が検知されなかった場合に、前記記憶領域の使用禁止を解除する、請求項1又は請求項2に記載の自動車用電子制御装置。 (A) After an electrical failure is detected in the storage area of the non-volatile memory, if the electrical failure is not detected as a result of rewriting information in the storage area at a predetermined timing, the storage area The electronic control device for automobiles according to claim 1 or 2, wherein the prohibition of use is canceled.

この発明によれば、記憶領域の電気的故障が誤って検知されても、その後記憶領域の使用禁止が解除される可能性があるため、記憶領域の数を確保することができる。   According to the present invention, even if an electrical failure in the storage area is erroneously detected, the use prohibition of the storage area may be released thereafter, so the number of storage areas can be secured.

(ロ)前記不揮発性メモリの記憶領域に、前記情報のチェックサム、及び、前記情報の書き込みが終了したことを表す終了コードを更に書き込み、前記不揮発性メモリから情報を読み込むときに、前記終了コードが書き込まれていない場合には、前記不揮発性メモリの記憶領域に電気的故障が発生していないと判定する一方、前記終了コードが書き込まれかつ前記チェックサムが正しくない場合には、前記不揮発性メモリの記憶領域に電気的故障が発生していると判定する、請求項1、請求項2又は(イ)に記載の自動車用電子制御装置。 (B) When the information checksum and the end code indicating that the writing of the information is completed are further written into the storage area of the nonvolatile memory and the information is read from the nonvolatile memory, the end code Is not written, it is determined that no electrical failure has occurred in the storage area of the non-volatile memory. On the other hand, if the end code is written and the checksum is not correct, the non-volatile The automotive electronic control device according to claim 1, wherein the electrical control device determines that an electrical failure has occurred in the storage area of the memory.

この発明によれば、イグニッションスイッチがOFFになってから内部電源が遮断されるまでに、記憶領域に情報が書き込まれなかった場合を、記憶領域の電気的故障と判定することを回避できる。   According to the present invention, it is possible to avoid a case where information is not written in the storage area from when the ignition switch is turned off until the internal power supply is shut off, as an electrical failure of the storage area.

(ハ)前記不揮発性メモリに情報を書き込むときに、前記不揮発性メモリの記憶領域に所定の消去データを書き込んで消去した後、前記記憶領域の消去データを確認する、請求項1、請求項2、(イ)又は(ロ)に記載の自動車用電子制御装置。 (C) when writing information to the non-volatile memory, the predetermined erase data is written in the storage area of the non-volatile memory and erased, and then the erase data in the storage area is confirmed. (B) Electronic control device for motor vehicles given in (b).

この発明によれば、消去データの書き込み及び確認を通して、不揮発性メモリの記憶領域に電気的故障が発生したか否かを判定することができる。   According to the present invention, it is possible to determine whether or not an electrical failure has occurred in the storage area of the nonvolatile memory through writing and confirmation of erase data.

100 電子制御装置
110 プロセッサ
120 RAM
130 フラッシュメモリ
130A バックアップ領域
130B 開始印
130C カウンタ
130D SUM
130E 終了印
130F 空き領域
100 Electronic control device 110 Processor 120 RAM
130 Flash memory 130A Backup area 130B Start mark 130C Counter 130D SUM
130E End mark 130F Free space

Claims (2)

イグニッションスイッチがOFFになった後、所定時間経過したときに内部電源を遮断するセルフシャットダウン機能と、消去された状態であれば書き込みが可能になる不揮発性メモリと、を有し、前記イグニッションスイッチがOFFになってから内部電源が遮断されるまでに、前記不揮発性メモリに確保された2つの記憶領域を交互に消去してから情報を書き込む一方、前記イグニッションスイッチがONになったときに、前記不揮発性メモリの2つの記憶領域から交互に情報を読み込む自動車用電子制御装置において、
前記不揮発性メモリに対する情報の読み込み時に、前記不揮発性メモリの記憶領域の電気的故障を検知する手段と、
前記電気的故障が検知されたときに、前記電気的故障が検知された記憶領域とは異なる記憶領域に対して、前記電気的故障に係る記憶領域を特定可能な故障情報を順次記憶して蓄積する手段と、
前記2つの記憶領域の故障情報を参照して、電気的故障が検知された不揮発性メモリの記憶領域の使用を禁止する手段と、
を有する、自動車用電子制御装置。
A self-shutdown function that shuts off the internal power supply when a predetermined time has elapsed after the ignition switch is turned off, and a non-volatile memory that is writable in an erased state, and the ignition switch While the information is written after the two storage areas secured in the non-volatile memory are alternately erased until the internal power is turned off after turning off, when the ignition switch is turned on, In an automotive electronic control device that reads information alternately from two storage areas of a nonvolatile memory,
Means for detecting an electrical failure in a storage area of the nonvolatile memory when reading information to the nonvolatile memory;
When the electrical failure is detected, failure information capable of specifying the storage area related to the electrical failure is sequentially stored and stored in a storage area different from the storage area where the electrical failure is detected. and means for,
Means for referring to the failure information of the two storage areas and prohibiting the use of the storage area of the nonvolatile memory in which an electrical failure is detected;
An electronic control device for automobiles.
前記不揮発性メモリの記憶領域の電気的故障を検知する手段は、前記記憶領域に対する情報の読み込みに際して、所定回数連続して異常が発生したときに、前記記憶領域に電気的故障が発生したと検知する、請求項1に記載の自動車用電子制御装置。   The means for detecting an electrical failure in the storage area of the non-volatile memory detects that an electrical failure has occurred in the storage area when an abnormality has occurred continuously for a predetermined number of times when reading information into the storage area. The vehicle electronic control device according to claim 1.
JP2011095660A 2011-04-22 2011-04-22 Electronic control unit for automobile Expired - Fee Related JP5635941B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011095660A JP5635941B2 (en) 2011-04-22 2011-04-22 Electronic control unit for automobile

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011095660A JP5635941B2 (en) 2011-04-22 2011-04-22 Electronic control unit for automobile

Publications (2)

Publication Number Publication Date
JP2012226674A JP2012226674A (en) 2012-11-15
JP5635941B2 true JP5635941B2 (en) 2014-12-03

Family

ID=47276742

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011095660A Expired - Fee Related JP5635941B2 (en) 2011-04-22 2011-04-22 Electronic control unit for automobile

Country Status (1)

Country Link
JP (1) JP5635941B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5929712B2 (en) 2012-11-06 2016-06-08 セイコーエプソン株式会社 Image capturing apparatus and image capturing apparatus control method
JP5619243B1 (en) * 2013-09-17 2014-11-05 三菱電機株式会社 In-vehicle electronic control unit
JP2015176177A (en) * 2014-03-13 2015-10-05 日立オートモティブシステムズ株式会社 Vehicle electronic control device

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0283644A (en) * 1988-09-21 1990-03-23 Anritsu Corp Electronic equipment using nonvolatile memory
JPH05216776A (en) * 1992-02-04 1993-08-27 Hitachi Ltd Control unit for vehicle
JP4937066B2 (en) * 2006-11-02 2012-05-23 日立オートモティブシステムズ株式会社 Electronic control device
JP2009116521A (en) * 2007-11-05 2009-05-28 Denso Corp Data rewriting method for memory
JP2010061257A (en) * 2008-09-02 2010-03-18 Riso Kagaku Corp Semiconductor memory device
JP4645741B2 (en) * 2009-01-09 2011-03-09 株式会社デンソー Electronic control unit

Also Published As

Publication number Publication date
JP2012226674A (en) 2012-11-15

Similar Documents

Publication Publication Date Title
JP5206737B2 (en) Electronic control device and information management system
JP4636118B2 (en) Electronic device and program
JP4274186B2 (en) Failure diagnosis apparatus and failure information recording method
JP3969278B2 (en) Electronic control unit
US20100299023A1 (en) Electronic control unit and vehicle control system
JP5635941B2 (en) Electronic control unit for automobile
JP2020004245A (en) Program update device, program update system, program update method and program update program
EP2977907A1 (en) Data storage device, method for storing data, and onboard control device
JP2005041273A (en) Method and device for collecting diagnostic data
JP4001088B2 (en) Electronic control unit
JP4281808B2 (en) VEHICLE CONTROL DEVICE AND ITS CONTROL METHOD
JP2003002132A (en) Vehicle control device
JP6851110B2 (en) Electronic control device
JP2006286111A (en) Management apparatus of semiconductor memory
JP2007062632A (en) Electronic control unit and storing method of data for abnormality generated time storage
JP2004151944A (en) Method for writing data in non-volatile storage device, its program and device, and onboard electronic controller
JP6159668B2 (en) Vehicle control device
JP4353126B2 (en) Vehicle state determination device
JP2015176177A (en) Vehicle electronic control device
JP6162011B2 (en) Electronic control unit for automobile
JP6921296B2 (en) Electronic control device
JPH1199891A (en) Re-programmable system of on-board memory
US8095262B2 (en) Vehicular control apparatus and program storage medium
JP2002334023A (en) Electronic controller
JP2013181512A (en) Data storage device for vehicle

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131016

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131029

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131216

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20140528

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140624

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140822

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141007

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141017

R150 Certificate of patent or registration of utility model

Ref document number: 5635941

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees