JP5942975B2 - 電子制御装置 - Google Patents
電子制御装置 Download PDFInfo
- Publication number
- JP5942975B2 JP5942975B2 JP2013265838A JP2013265838A JP5942975B2 JP 5942975 B2 JP5942975 B2 JP 5942975B2 JP 2013265838 A JP2013265838 A JP 2013265838A JP 2013265838 A JP2013265838 A JP 2013265838A JP 5942975 B2 JP5942975 B2 JP 5942975B2
- Authority
- JP
- Japan
- Prior art keywords
- microcomputer
- reset
- fail
- control
- reset signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/076—Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
- Safety Devices In Control Systems (AREA)
Description
本発明は、所定の制御対象を電子制御するためのマイクロコンピュータを有する電子制御装置に関する。
例えば特許文献1には、マイコンの突発的な動作異常だけでなく、反復性の動作異常を監視することが可能なマイコンの異常監視装置が開示されている。この異常監視装置は、マイコンからのウオッチドッグ(WD)信号によりマイコンの異常を監視するとともに、マイコンの動作異常の発生回数をカウントする。その動作異常の発生回数が基準回数よりも少ない間は、異常監視装置は、パルス状のリセット信号を生成し、マイコンの正常復帰を試みる。一方、動作異常の発生回数が基準回数を超えた場合には、異常監視装置はリセット保持信号を生成し、マイコンによる制御を停止させる。
しかしながら、例えばマイコンの制御対象が車両のエンジンである場合、マイコンに基準回数を超える回数の動作異常が生じたときに、即座にマイコンによる制御を停止してしまうと、エンジンが停止して、車両は走行不能な状態となってしまう。また、マイコンの動作が異常となってマイコンにリセット信号を出力したが、1回のリセット信号の出力ではマイコンの動作が正常状態に復帰しない場合、異常監視装置は、継続的に、マイコンの動作異常を検出することになる。このため、マイコンは正常状態に復帰することなく、マイコンの制御が停止してしまう可能性もある。その結果、車両が置かれた状況によっては、却って好ましくない状況を招く虞がある。このように、従来の異常監視装置におけるリセット信号の保持は、制御対象の種類によっては、マイコンの動作異常に対する対策処理として、必ずしも十分なものとはいえなかった。
本発明は、上述した点に鑑みてなされたものであり、マイクロコンピュータの動作に異常が生じた場合に、安全性に配慮しつつ、極力、マイクロコンピュータによる電子制御を継続させることが可能な電子制御装置を提供することを目的とする。
上記目的を達成するために、本発明による電子制御装置は、所定の制御対象を電子制御するためのマイクロコンピュータ(10)を有し、
マイクロコンピュータの動作異常を検出する検出手段(21)と、
検出手段によってマイクロコンピュータの動作異常が検出されたときに、マイクロコンピュータをリセットするためのリセット信号を所定時間出力する第1のリセット手段(22)と、
第1のリセット手段によって出力されたリセット信号によりマイクロコンピュータの動作が正常状態に復帰すると、マイクロコンピュータによる制御対象に対する制御として、リセット前に比較してより安全側に制御対象を制御するフェールセーフ制御を実行するフェールセーフ制御手段(11)と、
フェールセーフ制御手段によってフェールセーフ制御が開始された後に、マイクロコンピュータの動作が異常となったことが検出手段により検出されると、その動作異常の検出結果に基づき、マイクロコンピュータの動作異常発生回数をカウントするカウント手段(24)と、
カウント手段によるカウント回数が所定の回数に達すると、マイクロコンピュータをリセットするためのリセット信号を出力するとともに、そのリセット信号の出力を保持する第2のリセット手段(25)と、
フェールセーフ制御手段がフェールセーフ制御を開始する以前は、第2のリセット手段は無効化されており、フェールセーフ制御の開始に伴って、第2のリセット手段を有効化し、当該第2のリセット手段からマイクロコンピュータへのリセット信号の出力を可能とする有効化手段(S180)と、を備えることを特徴とする。
マイクロコンピュータの動作異常を検出する検出手段(21)と、
検出手段によってマイクロコンピュータの動作異常が検出されたときに、マイクロコンピュータをリセットするためのリセット信号を所定時間出力する第1のリセット手段(22)と、
第1のリセット手段によって出力されたリセット信号によりマイクロコンピュータの動作が正常状態に復帰すると、マイクロコンピュータによる制御対象に対する制御として、リセット前に比較してより安全側に制御対象を制御するフェールセーフ制御を実行するフェールセーフ制御手段(11)と、
フェールセーフ制御手段によってフェールセーフ制御が開始された後に、マイクロコンピュータの動作が異常となったことが検出手段により検出されると、その動作異常の検出結果に基づき、マイクロコンピュータの動作異常発生回数をカウントするカウント手段(24)と、
カウント手段によるカウント回数が所定の回数に達すると、マイクロコンピュータをリセットするためのリセット信号を出力するとともに、そのリセット信号の出力を保持する第2のリセット手段(25)と、
フェールセーフ制御手段がフェールセーフ制御を開始する以前は、第2のリセット手段は無効化されており、フェールセーフ制御の開始に伴って、第2のリセット手段を有効化し、当該第2のリセット手段からマイクロコンピュータへのリセット信号の出力を可能とする有効化手段(S180)と、を備えることを特徴とする。
このように本発明の電子制御装置によれば、マイクロコンピュータに動作異常が発生した場合に、リセット信号によってマイクロコンピュータの動作が正常状態に復帰すると、マイクロコンピュータによる制御として、動作異常発生前に比較してより安全側に制御対象を制御するフェールセーフ制御が実行される。例えば、車両のエンジンを制御対象とする場合、フェールセーフ制御として、車両がいわゆる退避走行を行いうる程度の駆動力をエンジンに発生させる制御が行われる。このフェールセーフ制御は、通常の制御に比較して簡易な制御となるため、通常の制御では異常が発生する場合でも、フェールセーフ制御では異常が発生しない場合も起こりえる。従って、安全性に配慮しつつ、極力、マイクロコンピュータによる制御を継続させる可能性を高めることができる。
また、本発明による電子制御装置では、通常の制御に代えてフェールセーフ制御を開始しても、なお、マイクロコンピュータの動作が異常となる場合に、カウント手段が、マイクロコンピュータの動作が異常となった回数をカウントする。このカウント手段によるカウント回数が所定回数に達すると、リセット信号の出力を保持して、マイクロコンピュータによる制御を停止させる。換言すれば、マイクロコンピュータが通常の制御を行っているときに、動作異常が生じても、その動作異常の回数は、リセット信号の出力を保持するか否かを判断するときに考慮されない。そのため、例えば、1回のリセット信号の出力では、マイコンの動作が正常状態に復帰せず、動作異常の検出が繰り返された場合でも、そのことによってリセット信号の出力が保持され、マイクロコンピュータが制御を停止することはない。従って、このような観点からも、本発明によれば、安全性に配慮しつつ、マイクロコンピュータによる制御を継続させる可能性を高めることができる。
上記括弧内の参照番号は、本発明の理解を容易にすべく、後述する実施形態における具体的な構成との対応関係の一例を示すものにすぎず、なんら本発明の範囲を制限することを意図したものではない。
また、上述した特徴以外の、特許請求の範囲の各請求項に記載した技術的特徴に関しては、後述する実施形態の説明及び添付図面から明らかになる。
以下、本発明の実施形態による電子制御装置に関して、図面を参照しつつ説明する。なお、以下に説明する実施形態においては、電子制御装置におけるマイクロコンピュータ(以下、マイコン)が車両のエンジンを制御対象とした例について説明するが、マイコンの制御対象は、車両のエンジンのみに限られる訳ではなく、その他の機器を制御対象としても良い。
図1に示す電子制御装置はマイコン10を有し、当該マイコン10は、車両に搭載されたエンジン(図示せず)を制御する。例えば、マイコン10は、内燃機関に備えられた燃料噴射弁や、点火装置、スロットルバルブ等のアクチュエータを、各種センサの検出値に基づき制御する。このマイコン10は、よく知られているようにCPU、ROM、RAM等から構成されている。ROMにはエンジン制御プログラムが記憶され、CPUが、そのエンジン制御プログラムにしたがって演算処理を行うことにより、上記の各種アクチュエータに対する制御指令値を算出する。そして、算出した制御指令値に従って各種のアクチュエータが作動されることにより、エンジン出力および排気エミッションが所望の状態となるよう、エンジンの運転状態が制御される。なお、CPUは、上述したエンジン制御プログラムを所定周期で繰り返し実行する。
ROMに記憶されたエンジン制御プログラムには、原則として運転者によるアクセルペダルの踏み込み量に応じたエンジン出力を発生させるように制御する、通常制御のための制御プログラムと、異常時に車両がいわゆる退避走行を行うことが可能なエンジン出力を発生させるように制御する、フェールセーフ制御のための制御プログラムとが含まれている。このように、フェールセーフ制御のための制御プログラムは、通常の制御に比較して、エンジン出力を抑えることで、エンジンを安全側に制御する。さらに、制御内容自体も、フェールセーフ制御のための制御プログラムは、通常制御のための制御プログラムに比較して簡易なものとなっている。なお、図1には、マイコン10が、フェールセーフ制御のための制御プログラムを実行した場合に、マイコン10が果たす機能を、フェールセーフ制御実行部11として示している。このフェールセーフ制御実行部11が、フェールセーフ制御手段に相当する。
マイコン10は、エンジン制御プログラムを正常に実行している限り、所定の時間間隔ごとに、ウオッチドッグパルス信号を出力する。このウオッチドッグパルス信号は、監視回路20に与えられる。
監視回路20は、検出手段としての異常検出部21を有している。この異常検出部21は、マイコン10からウオッチドッグパルス信号が入力されてからの経過時間を計時するタイマを備えている。このタイマは、ウオッチドッグパルス信号が入力されるごとに、計時時間をリセットされる。そのため、タイマの計時時間が、次のウオッチドッグパルス信号が入力されるべき監視時間を超えると、異常検出部21は、マイコン10になんらかの異常が生じたものとみなし、異常検出信号を出力する。
さらに、異常検出部21は、異常検出信号を出力したことに伴い、タイマの計時時間をリセットして、新たな計時を開始させる。そして、タイマの計時時間が監視時間を超えると、マイコン10が正常に復帰していないとみなし、再度、異常検出信号を出力する。
異常検出部21からの異常検出信号は、第1のリセット手段としての1ショットリセット出力部22及び第1カウンタ23に与えられる。1ショットリセット出力部22は、異常検出信号に応じて、Lowレベルのリセット信号を所定時間だけ出力する。このリセット信号は、ANDゲート30を介して、マイコン10のリセット端子に入力される。これにより、異常となったマイコン10がリセットされ、マイコン10の正常復帰が試みられる。ただし、1回のリセット信号では、マイコン10が正常復帰しなかった場合、上述したように、監視時間が経過するごとに異常検出部21から異常検出信号が出力されることになる。このため、マイコン10には、正常復帰するまで、1ショットリセット出力部22から繰り返しリセット信号が入力されることになる。
第1カウンタ23は、異常検出部21から出力された異常検出信号の数をカウントする。ただし、第1カウンタ23は、異常検出部21が出力する異常検出信号の数ではなく、1ショットリセット出力部22が出力するリセット信号の数をカウントしても良い。第1カウンタ23によってカウントされた異常検出信号の数は、第2カウンタ24に出力される。
マイコン10は、動作異常から復帰した起動時に実行する初期設定処理において、第2カウンタ24に対してカウント処理を行うよう指示する。第2カウンタ24は、前回、マイコン10からカウント処理の指示を受けたときの第1カウンタ23のカウント値を記憶する記憶部と、その記憶部に記憶されたカウント値と、今回の第1カウンタ23のカウント値とを比較する比較部とを有している。そして、比較部において、今回のカウント値が記憶されているカウント値よりも大きいと判定されたとき、第2カウンタ24は、カウント値を1だけインクリメントする。この結果、マイコン10に動作異常が生じ、その動作異常からマイコン10を正常復帰させるためにいくつのリセット信号が出力されたかに係わらず、第2カウンタ24は、マイコン10が動作異常から正常復帰したときに、その動作異常発生回数をカウントすることができる。第2カウンタ24によってカウントされるマイコン10の動作異常の発生回数は、マイコン10及び第2のリセット手段としてのリセット信号保持回路25の判定部26に出力される。
マイコン10は、第2カウンタ24によってカウントされた動作異常発生回数に基づき、フェールセーフ制御の開始の要否を判定し、必要と判定された場合に、フェールセーフ制御を実行するとともに、フェールセーフ制御を初めて実行する際には、後述するリセット信号保持回路25及びスイッチ回路29に対して有効信号を出力する。つまり、マイコン10の動作異常が発生する以前は、マイコン10は通常制御を実行し、動作異常が発生した後は、マイコン10はフェールセーフ制御を実行する。なお、マイコン10は、1回でも動作異常が発生した場合に、フェールセーフ制御を実行するようにしても良いし、動作異常が規定した複数回(2回以上)発生した場合、すなわち、動作異常と正常復帰とを規定回数繰り返した場合に、フェールセーフ制御の実行を開始するようにしても良い。本実施形態では、1回でも動作異常が発生した場合に、フェールセーフ制御を実行する例について説明する。
また、マイコン10は、フェールセーフ制御を実行する以前(つまり、通常制御実行中)は、リセット信号保持回路25及びスイッチ回路29に対して無効信号を出力する。この無効信号により、リセット信号保持回路25は動作を停止したままとなり、スイッチ回路29は、ANDゲート30に対して電源28からHighレベルの非リセット信号を出力する。これにより、リセット信号保持回路25から、誤ってリセット信号が出力され、そのリセット信号が保持されることを確実に防止することができる。なお、マイコン10はいずれか一方にのみ無効信号、有効信号を出力するようにしても良い。マイコン10がリセット信号保持回路25に対して無効信号を出力する場合、スイッチ回路29は省略されても良い。逆に、スイッチ回路29が設けられ、マイコン10からスイッチ回路29に無効信号が与えられる場合、マイコン10は、リセット信号保持回路25への無効信号の出力を行わなくても良い。
そして、マイコン10は、フェールセーフ制御の実行開始に伴い、リセット信号保持回路25及びスイッチ回路29に対して有効信号を出力する。この有効信号により、リセット信号保持回路25は動作を開始し、スイッチ回路29は、後述するリセット保持部27の出力がANDゲート30に入力されるようにスイッチ位置を切り換える。
リセット信号保持回路25の判定部26は、第2カウンタ24によってカウントされる動作異常発生回数が、閾値としての所定の回数に達したか否かを判定する。そして、所定の回数に達したと判定すると、判定部26は、リセット保持部27にリセット信号の出力を指示する。この出力指示に応じて、リセット保持部27は、リセット信号を出力するとともに、その出力を保持する。これにより、マイコン10は動作を停止し、その結果、エンジンに対するフェールセーフ制御も終了される。
以上のように構成された電子制御装置における処理の流れを、図2のフローチャート及び図3のタイムチャートに基づいて説明する。なお、図2のフローチャートに示す処理は、電子制御装置への電源供給が開始(電源オン)されたときに、スタートする。
まず、ステップS100において、リセット信号保持無効設定を行う。具体的には、リセット信号保持回路25及びスイッチ回路29に対して無効信号を出力する。これにより、図3に示すように、リセット信号保持回路25が無効化され、その動作が停止したままとなる。また、スイッチ回路29は、ANDゲート30に対してHighレベルの非リセット信号を出力する。
続くステップS110では、マイコン10が、制御対象であるエンジンに対して通常制御を実行する。本実施形態では、このように、電源オンによってマイコン10が起動したときには、通常制御を実行するように構成されている。ただし、電源オンによってマイコン10が起動した場合も、マイコン10が第2カウンタ24の動作異常発生回数を確認し、動作異常が発生していなければ通常制御を開始し、動作異常が発生していればフェールセーフ制御を開始するようにしても良い。
通常制御を実行中、マイコン10が正常であれば、所定の時間間隔ごとに、ウオッチドッグパルス信号が出力される。ステップS120では、異常検出部21において、マイコン10から出力されるウオッチドッグパルス信号に基づいて、マイコン10が正常に動作しているか否かが判定される。
ステップS120において、異常検出部21により、監視時間以内にウオッチドッグパルス信号が入力され、マイコン10が正常に動作していると判定されると、監視回路20からリセット信号が出力されないので、ステップS110の通常制御が継続して実行される。一方、監視時間が経過してもウオッチドッグパルス信号が入力されず、マイコン10が正常に動作していないと判定されると(動作異常の発生の確定)、ステップS130の処理に進む。ステップS130では、監視回路20の1ショットリセット出力部22が、1ショットリセット信号を出力し、動作異常を生じているマイコン10をリセットする。ステップS140では、第1カウンタ23がカウントアップされる。
そして、ステップS150において、異常検出部21が、ステップS130で出力されたリセット信号により、マイコン10が正常復帰したか否かを判定する。具体的には、マイコン10からウオッチドッグパルス信号が出力されれば、マイコン10は正常復帰したと判定する。マイコン10が正常復帰しない場合には、正常復帰するまで、ステップS130の処理、すなわち1ショットリセット信号の出力を繰り返す。一方、正常復帰した場合には、ステップS160の処理に進む。
ステップS160では、初期設定処理の一部として、マイコン10が第2カウンタ24に対してカウント処理を行うよう指示する。これにより、第2カウンタ24において、マイコン10の動作異常発生回数がカウントされる。そして、ステップS170において、第2カウンタ24によってカウントされた動作異常発生回数に基づいて、フェールセーフ制御を開始する条件が成立したか否かを判定する。つまり、動作異常発生回数が、予め定められたフェールセーフ制御を開始すべき回数に一致したか否かを判定する。この判定処理において、フェールセーフ制御の開始条件成立と判定されると、ステップS180に進み、リセット信号保持有効設定を行う。具体的には、リセット信号保持回路25及びスイッチ回路29に対して有効信号を出力する。これにより、図3に示すように、リセット信号保持回路25は有効となって動作を開始する。また、スイッチ回路29は、リセット保持部27の出力がANDゲート30に入力されるようにスイッチ位置を切り換える。一方、動作異常発生回数が、フェールセーフ制御を開始すべき回数よりも大きい場合、ステップS180をスキップして、ステップS190に進む。
ステップS190では、初期設定処理後に、マイコン10がフェールセーフ制御を実行する。具体的には、車両のエンジンを制御対象とする場合、フェールセーフ制御として、車両がいわゆる退避走行を行いうる程度の駆動力をエンジンに発生させる制御が行われる。このフェールセーフ制御は、通常の制御に比較して簡易な制御となるため、通常の制御ではマイコン10に異常が発生する場合でも、フェールセーフ制御では異常が発生しない場合も起こりえる。従って、安全性に配慮しつつ、極力、マイコン10による制御を継続させる可能性を高めることができる。
続くステップS200では、異常検出部21において、マイコン10から出力されるウオッチドッグパルス信号に基づいて、マイコン10が正常に動作しているか否かが判定される。ステップS200において、マイコン10が正常に動作していると判定されると、ステップS180のフェールセーフ制御が継続して実行される。一方、マイコン10が正常に動作していないと判定されると、ステップS210の処理に進む。
ステップS210では、第2カウンタ24によってカウントされた動作異常発生回数が所定回数以上であるか否かが判定される。この判定処理において、所定回数未満と判定されるとステップS220の処理に進み、所定回数以上と判定されるとステップS250の処理に進む。
ステップS220では、1ショットリセット出力部22が、1ショットリセット信号を出力し、動作異常を生じているマイコン10をリセットする。続くステップS230では、第1カウンタ23がカウントアップされる。そして、ステップS240では、異常検出部21が、ステップS210で出力されたリセット信号により、マイコン10が正常復帰したか否かを判定する。このステップS230にてマイコン10が正常復帰したと判定されると、処理はステップS160に戻る。このように、フェールセーフ制御を開始してから、マイコン10が動作異常を発生しても、その動作異常回数が所定回数未満であれば、マイコン10をリセットし、フェールセーフ制御の継続を試みる。
しかしながら、マイコン10の動作異常の発生が繰り返され、動作異常発生回数が所定回数(例えば、3回)に達すると、マイコン10は、フェールセーフ制御も正常に実行しえない異常状態にあると考えられる。従って、ステップS250において、監視回路20の判定部26が、リセット保持部27にリセット信号の出力を指示することで、リセット保持部27がリセット信号を出力するとともに、その出力を保持する。このリセット信号の保持は、電源がオフされるまで継続される。
図3には、フェールセーフ制御を実行したにも係わらず、マイコン10が3回動作異常を発生した場合に、判定部26が所定回数に達したと判定し、リセット信号を保持する例を示している。なお、第2カウンタ24がカウントする動作異常発生回数には、通常制御実行中に発生した動作異常の回数も含まれているが、その分を上乗せして、閾値を定めることにより、フェールセーフ制御実行中に生じた動作異常発生回数に基づいて、リセット信号の出力を保持するか否かを判断することができる。
以上、本発明の好ましい実施形態について、説明したが、本発明は、上述した実施形態になんら制限されることなく、本発明の主旨を逸脱しない範囲において、種々変形して実施することが可能である。
例えば、上述した実施形態では、第2カウンタ24が、通常制御実行中に発生した動作異常の回数も含めて、マイコン10の動作以上発生回数をカウントした。しかしながら、この第2カウンタ24に対して、フェールセーフ制御の開始条件成立によって有効信号を出力してカウント動作を開始させることにより、フェールセーフ制御中の動作異常発生回数のみをカウントさせるようにしても良い。この場合、フェールセーフ制御の開始条件が成立したか否かは、第1カウンタ23のカウント値に基づいて判定すれば良い。
10 マイコン
11 フェールセーフ制御実行部
20 監視回路
21 異常検出部
22 1ショットリセット出力部
23 第1カウンタ
24 第2カウンタ
25 リセット保持回路
29 スイッチ回路
11 フェールセーフ制御実行部
20 監視回路
21 異常検出部
22 1ショットリセット出力部
23 第1カウンタ
24 第2カウンタ
25 リセット保持回路
29 スイッチ回路
Claims (3)
- 所定の制御対象を電子制御するためのマイクロコンピュータ(10)を有する電子制御装置であって、
前記マイクロコンピュータの動作異常を検出する検出手段(21)と、
前記検出手段によって前記マイクロコンピュータの動作異常が検出されたときに、前記マイクロコンピュータをリセットするためのリセット信号を所定時間出力する第1のリセット手段(22)と、
前記第1のリセット手段によって出力された前記リセット信号により前記マイクロコンピュータの動作が正常状態に復帰すると、前記マイクロコンピュータによる前記制御対象に対する制御として、リセット前に比較してより安全側に前記制御対象を制御するフェールセーフ制御を実行するフェールセーフ制御手段(11)と、
前記フェールセーフ制御手段によってフェールセーフ制御が開始された後に、前記マイクロコンピュータの動作が異常となったことが前記検出手段により検出されると、その動作異常の検出結果に基づき、前記マイクロコンピュータの動作異常発生回数をカウントするカウント手段(24)と、
前記カウント手段によるカウント回数が所定の回数に達すると、前記マイクロコンピュータをリセットするためのリセット信号を出力するとともに、そのリセット信号の出力を保持する第2のリセット手段(25)と、
前記フェールセーフ制御手段が前記フェールセーフ制御を開始する以前は、前記第2のリセット手段は無効化されており、前記フェールセーフ制御の開始に伴って、前記第2のリセット手段を有効化し、当該第2のリセット手段から前記マイクロコンピュータへの前記リセット信号の出力を可能とする有効化手段(S180)と、を備えることを特徴とする電子制御装置。 - 前記検出手段は、前記第1のリセット手段により前記リセット信号が出力されても前記マイクロコンピュータが正常状態に復帰しない場合、継続的に、前記マイクロコンピュータの動作異常を検出し、それにより、前記マイクロコンピュータが正常状態に復帰するまで、前記第1のリセット手段が、所定時間のリセット信号出力を繰り返すことを特徴とする請求項1に記載の電子制御装置。
- 前記フェールセーフ制御手段は、前記マイクロコンピュータの異常状態の発生と正常状態への復帰とが所定回数繰り返された場合に、前記フェールセーフ制御を実行することを特徴とする請求項1又は2に記載の電子制御装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013265838A JP5942975B2 (ja) | 2013-12-24 | 2013-12-24 | 電子制御装置 |
| US14/525,259 US9477542B2 (en) | 2013-12-24 | 2014-10-28 | Electronic control unit |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013265838A JP5942975B2 (ja) | 2013-12-24 | 2013-12-24 | 電子制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015121980A JP2015121980A (ja) | 2015-07-02 |
| JP5942975B2 true JP5942975B2 (ja) | 2016-06-29 |
Family
ID=53400148
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013265838A Active JP5942975B2 (ja) | 2013-12-24 | 2013-12-24 | 電子制御装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9477542B2 (ja) |
| JP (1) | JP5942975B2 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017133788A1 (en) | 2016-02-05 | 2017-08-10 | Thyssenkrupp Presta Ag | External watchdog with integrated backward regeneration support |
| DE102016005928B4 (de) * | 2016-05-14 | 2020-11-19 | Audi Ag | Beobachtungsvorrichtung und Verfahren zum Ermitteln einer Resetdauer eines Resets eines Steuergeräts eines Kraftfahrzeugs |
| JP6631426B2 (ja) * | 2016-07-08 | 2020-01-15 | マツダ株式会社 | 車載通信システム |
| JP6984512B2 (ja) * | 2018-03-22 | 2021-12-22 | 株式会社デンソー | 電子制御装置 |
| US11434846B2 (en) | 2019-09-11 | 2022-09-06 | Denso Corporation | Engine control device |
| JP7367620B2 (ja) | 2019-09-11 | 2023-10-24 | 株式会社デンソー | エンジン制御装置 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5530946A (en) * | 1994-10-28 | 1996-06-25 | Dell Usa, L.P. | Processor failure detection and recovery circuit in a dual processor computer system and method of operation thereof |
| JPH08132992A (ja) * | 1994-11-10 | 1996-05-28 | Mitsubishi Electric Corp | 車載用制御装置 |
| JP3633092B2 (ja) | 1996-03-18 | 2005-03-30 | 日産自動車株式会社 | マイコン故障監視装置 |
| JPH1196044A (ja) * | 1997-09-24 | 1999-04-09 | Denso Corp | 異常監視回路の異常検出装置及び異常検出方法 |
| US6453430B1 (en) * | 1999-05-06 | 2002-09-17 | Cisco Technology, Inc. | Apparatus and methods for controlling restart conditions of a faulted process |
| US6775609B2 (en) * | 2001-09-27 | 2004-08-10 | Denso Corporation | Electronic control unit for vehicle having operation monitoring function and fail-safe function |
| JP2003097345A (ja) * | 2001-09-27 | 2003-04-03 | Denso Corp | 車両用電子制御装置 |
| JP3883849B2 (ja) * | 2001-11-19 | 2007-02-21 | 株式会社デンソー | 車両用電子制御装置 |
| JP2004265322A (ja) | 2003-03-04 | 2004-09-24 | Denso Corp | マイコンの異常監視装置 |
| JP2007065961A (ja) | 2005-08-31 | 2007-03-15 | Nissan Motor Co Ltd | 電子制御装置および電子制御方法 |
| JP4665846B2 (ja) * | 2006-06-21 | 2011-04-06 | 株式会社デンソー | マイクロコンピュータ及び電子制御装置 |
| JP2011248396A (ja) | 2010-05-21 | 2011-12-08 | Renesas Electronics Corp | 電気回路システム、マイクロコンピュータ、及び電気回路システムの動作方法 |
-
2013
- 2013-12-24 JP JP2013265838A patent/JP5942975B2/ja active Active
-
2014
- 2014-10-28 US US14/525,259 patent/US9477542B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015121980A (ja) | 2015-07-02 |
| US20150178144A1 (en) | 2015-06-25 |
| US9477542B2 (en) | 2016-10-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5942975B2 (ja) | 電子制御装置 | |
| JP5739290B2 (ja) | 電子制御装置 | |
| JP5967059B2 (ja) | 車両用電子制御装置 | |
| CN105781766A (zh) | 用于曲轴转角传感器的故障诊断装置以及故障诊断方法 | |
| JP5094777B2 (ja) | 車載用電子制御装置 | |
| KR100711850B1 (ko) | 마이크로컴퓨터 감시 금지 기능을 갖는 전자 제어 시스템및 방법 | |
| JP5555472B2 (ja) | 車両用電子制御システム | |
| US7966527B2 (en) | Watchdog mechanism with fault recovery | |
| JP2016147585A (ja) | 電子制御装置 | |
| JP3923810B2 (ja) | 車両用電子制御装置 | |
| JP5772716B2 (ja) | 電子制御装置 | |
| JP6406139B2 (ja) | 電子制御装置 | |
| JP2017084163A (ja) | 電子制御装置 | |
| JP6172040B2 (ja) | 電子制御装置 | |
| JP6597489B2 (ja) | 車両制御装置 | |
| JP6075262B2 (ja) | 制御装置 | |
| JP3908020B2 (ja) | 車両用電子制御装置 | |
| JP6398829B2 (ja) | 電子制御装置 | |
| JP6620688B2 (ja) | 電子制御装置 | |
| JP7200883B2 (ja) | 電子制御装置 | |
| JP6690495B2 (ja) | 電子制御装置 | |
| JP7127575B2 (ja) | 電子制御装置 | |
| JP6984438B2 (ja) | 電子制御装置 | |
| JP2018097442A (ja) | 電子制御装置 | |
| US20080257076A1 (en) | Method and Apparatus for Adapting a Monitoring Device of a Control Unit for a Restraint System of a Motor Vehicle |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150724 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151125 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151208 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160106 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160426 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160509 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 5942975 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |