JP6334436B2 - Mutual monitoring module for vehicles - Google Patents
Mutual monitoring module for vehicles Download PDFInfo
- Publication number
- JP6334436B2 JP6334436B2 JP2015037630A JP2015037630A JP6334436B2 JP 6334436 B2 JP6334436 B2 JP 6334436B2 JP 2015037630 A JP2015037630 A JP 2015037630A JP 2015037630 A JP2015037630 A JP 2015037630A JP 6334436 B2 JP6334436 B2 JP 6334436B2
- Authority
- JP
- Japan
- Prior art keywords
- electronic control
- control device
- relay
- diagnosis
- atcu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims description 36
- 238000003745 diagnosis Methods 0.000 claims description 50
- 238000004891 communication Methods 0.000 claims description 34
- 238000000034 method Methods 0.000 claims description 27
- 230000005856 abnormality Effects 0.000 claims description 25
- 238000004092 self-diagnosis Methods 0.000 claims description 22
- 230000008569 process Effects 0.000 claims description 14
- 230000002159 abnormal effect Effects 0.000 claims description 11
- 230000004913 activation Effects 0.000 claims description 11
- 238000001514 detection method Methods 0.000 claims description 4
- 238000012806 monitoring device Methods 0.000 description 57
- 230000005540 biological transmission Effects 0.000 description 16
- 230000006870 function Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 239000003921 oil Substances 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000007257 malfunction Effects 0.000 description 2
- 230000008672 reprogramming Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 208000033748 Device issues Diseases 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000010720 hydraulic oil Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Landscapes
- Testing And Monitoring For Control Systems (AREA)
Description
本発明は車両用電子制御装置における相互監視モジュールによる下位電子制御装置のリプロ手法に関し、ディーラーでのリプロ失敗が原因でプログラム領域が破壊され、再リプロを試みようとしても上位電子制御装置が下位電子制御装置を異常と判断し電源リレーを遮断してしまうことを防止することを目的とする。 The present invention relates to a repro method for a low-order electronic control unit using a mutual monitoring module in a vehicular electronic control unit, the program area is destroyed due to a repro failure at a dealer, and even if an attempt is made to re-repro- It is intended to prevent the control device from being judged abnormal and shutting off the power relay.
車両制御装置の電子制御化の加速により、昨今の車両には1台当り多数の電子制御装置が搭載されている(特許文献1等参照)。これらの電子制御装置は、バッテリ等の電源から駆動電力が供給されている。また、電源と電子制御の間には、通常、駆動電力の供給/遮断手段として電源リレーが挿入されている。また、該電子制御装置が制御する対象装置についても電源リレー、又は電源を供給/遮断する回路が一般的に挿入されている。 Due to the acceleration of the electronic control of the vehicle control device, a large number of electronic control devices are mounted on each vehicle today (see Patent Document 1). These electronic control devices are supplied with driving power from a power source such as a battery. Further, a power supply relay is usually inserted between the power supply and the electronic control as a drive power supply / cutoff means. Further, a power relay or a circuit for supplying / cutting off the power is generally inserted in the target device controlled by the electronic control device.
各電子制御装置は、何らかの異常が発生した場合、制御対象機器を安全方向へ制御する必要がある。例えば、特許文献2では、メインマイコンやメインマイコンを監視する同一電子制御装置内のサブマイコンで異常を検知し、制御対象装置上流の電源リレー、又は電源供給回路を遮断することでフェールセーフ状態へ移行する技術が開示されている。 Each electronic control device needs to control the controlled device in a safe direction when any abnormality occurs. For example, in Patent Document 2, an abnormality is detected by a main microcomputer or a sub-microcomputer in the same electronic control unit that monitors the main microcomputer, and the power supply relay or the power supply circuit upstream of the control target apparatus is shut off, thereby entering a fail-safe state. The technology to be transferred is disclosed.
このような構成とすることで、メインマイコン異常により制御対象をフェールセーフ状態へ移行できる保証がなくとも、サブマイコンのような監視装置によりフェールセーフ状態へ移行できる。 With such a configuration, even if there is no guarantee that the control target can be shifted to the fail-safe state due to a main microcomputer abnormality, the monitoring device such as the sub-microcomputer can shift to the fail-safe state.
しかしながら、特許文献1で提案された方式では、電子制御装置内にサブマイコンのような監視装置を実装していることが前提となり、新たに実装するとなると電子制御装置のコストアップに繋がってしまう。 However, the method proposed in Patent Document 1 is based on the premise that a monitoring device such as a sub-microcomputer is mounted in the electronic control device. If the device is newly mounted, the cost of the electronic control device is increased.
また、電子制御装置内に監視装置が実装されていない場合、自己診断により機能故障を検出することが出来る可能性はあるが、マイコン内の故障部位(例えば、演算部や出力部)によってはフェールセーフ状態へ移行することができないため、安全性に問題がある。 In addition, if a monitoring device is not installed in the electronic control unit, there is a possibility that a functional failure can be detected by self-diagnosis, but a failure may occur depending on the failure part (for example, an arithmetic unit or an output unit) in the microcomputer. Since it is not possible to shift to the safe state, there is a safety problem.
また、電子制御装置の実装面積などハードウェアの制約により監視装置を実装できない場合があり、この場合も自己診断により機能故障を検出することが出来ても、故障部位によっては、確実にフェールセーフ状態に移行できる保証はない。 Also, there are cases where the monitoring device cannot be installed due to hardware restrictions such as the mounting area of the electronic control device. Even in this case, even if a functional failure can be detected by self-diagnosis, depending on the failure location, the fail-safe state can be ensured. There is no guarantee that you can move to.
上記については、CAN通信で繋がっていることを利用し、複数の電子制御装置間で相互監視することで異常を確実に検知する手法が既に知られている。 About the above, the method of detecting an abnormality reliably by utilizing the fact that it is connected by CAN communication and performing mutual monitoring between a plurality of electronic control units is already known.
特許文献2については、故障検出対象であるリレーとは異なる、他のリレーを介して電源に接続されている車載電子機器との通信により検出する手法であるため、監視装置と対象リレーが繋がる電子制御装置の他に、比較する為の別の電源リレーに繋がる電子制御装置が必要となり、トータルのシステムコストは上昇する。
また、該文献には、異常検知の手法に主眼が置かれており、異常検知後のシステムとしての振る舞い(フェールセーフ処理)の記載が無い。
Since Patent Document 2 is a method of detecting by communication with an in-vehicle electronic device connected to a power source via another relay, which is different from a relay that is a failure detection target, an electronic device that connects the monitoring device and the target relay. In addition to the control device, an electronic control device connected to another power supply relay for comparison is required, and the total system cost increases.
Further, this document focuses on an abnormality detection method and does not describe a behavior (fail-safe process) as a system after the abnormality is detected.
上記については、上位電子制御装置により異常を検知し、異常と判断された場合は、車両用自動変速機の電子制御装置に依存せずに安全にフェールセーフ状態へ移行する技術が知られている。 Regarding the above, a technique is known in which an abnormality is detected by the host electronic control unit, and when it is determined to be abnormal, the transition to the fail-safe state is safely performed without depending on the electronic control unit of the vehicle automatic transmission. .
しかしながら上記構成では、ディーラーなどでのリプロ作業では、機器の接続などは人員の手で行われており、リプロ中に車両と機器を繋いでいるコネクタの脱落や振動などによりリプロが失敗するシーンが往々にして想像でき、仮に失敗した場合はプログラム領域が破壊されてしまうため、下位電子制御装置は起動後の初期診断で異常を検出するため、上位制御装置がフェールセーフ処理として電源リレーを遮断してしまい、リプロが不可能になってしまう問題がある。 However, in the above configuration, in repro work at a dealer, etc., equipment is connected by personnel, and there are scenes where repro fails due to dropping or vibration of the connector connecting the vehicle and equipment during repro. It can often be imagined, and if it fails, the program area will be destroyed, so the lower-level electronic control unit detects an abnormality in the initial diagnosis after startup, so the higher-level control unit shuts off the power relay as a fail-safe process. There is a problem that repro is impossible.
本発明は、上記課題に鑑みてなされたものであり、その目的は、車両用相互監視モジュールにおけるリプロ手法の提供であり、諸要因により下位電子制御装置のリプロに失敗した場合、上位電子制御装置では異常を検知し、一旦フェールセーフ状態に移行させるが、再度リプロが必要な場合には、下位電子制御装置の状態に依存せず好適にリプロモードに移行させることにある。 The present invention has been made in view of the above problems, and an object of the present invention is to provide a repro technique for a vehicular mutual monitoring module. When the repro of the lower electronic control apparatus fails due to various factors, the upper electronic control apparatus Then, an abnormality is detected and the state is once shifted to the fail-safe state. However, when repro is necessary again, the repro mode is preferably shifted without depending on the state of the lower electronic control unit.
上記目的を達成するため、本発明は以下の手段を有することを特徴とする。 In order to achieve the above object, the present invention has the following means.
請求項1に係る車両用電子制御装置(例えば、ATCU)の監視システムは、ATCUの異常を検出するハードウェアとして独立した上位電子制御装置(以下、監視装置)と、ATCU及び監視装置に駆動電力を供給する電力供給手段と、監視装置に対し、外部から入力される起動用スイッチ信号(以下、IGNSW)により、IGNSWがアクティブレベルの場合に、監視装置に駆動電力を供給する電力供給手段と、電源供給手段と監視装置との間に入れられた、監視装置への電力を供給/遮断する第1リレー(以下、IGNリレー)と、ATCUに対し監視装置が駆動電力の供給の可否を判断し、電力の供給/遮断を制御するするIGNリレーの下流に設置された第2リレー(以下、ATCUリレー)と、ATCUと監視装置において、診断を行う為の通信ラインを備えており、
監視装置は、通信ラインからの情報を基にATCUが故障と判断した場合、フェールセーフ処理としてATCUリレーをオフ制御し、ATCUへの給電を遮断する構成の相互監視モジュールにおいて、
ATCUの異常により監視装置はフェールセーフ処理としてATCUリレーをオフ制御後、外部、即ちリプロ装置からATCUへのリプロ要求があった場合、監視装置はATCUへのリプロ要求を通信ラインにより検知し、ATCUリレーをオン制御することで、ATCUのリプロを可能にすることを特徴としている。
A vehicle electronic control device (for example, ATCU) monitoring system according to claim 1 includes a host electronic control device (hereinafter referred to as a monitoring device) independent as hardware for detecting an abnormality of the ATCU, and drive power to the ATCU and the monitoring device. A power supply means for supplying drive power to the monitoring device when the IGNSW is at an active level by an activation switch signal (hereinafter referred to as IGNSW) input from the outside to the monitoring device; A first relay (hereinafter referred to as IGN relay) that is inserted between the power supply means and the monitoring device to supply / shut off power to the monitoring device, and the monitoring device determines whether or not drive power can be supplied to the ATCU. In the second relay (hereinafter referred to as ATCU relay) installed downstream of the IGN relay that controls the supply / cutoff of power, the ATCU and the monitoring device, Equipped with a communication line for performing the cross-sectional,
When the monitoring device determines that the ATCU has failed based on information from the communication line, in the mutual monitoring module configured to turn off the ATCU relay as a fail-safe process and cut off the power supply to the ATCU.
When the ATCU relay is turned off as a fail-safe process due to an ATCU failure, the monitoring device detects a repro request to the ATCU from the outside, that is, from the repro device to the ATCU. It is characterized by enabling ATCU repro by controlling the relay on.
請求項2に係る監視装置は、IGNSWがローレベルからアクティブレベルへ変化した場合に、該マイコンの自己診断を実施し、診断結果が正常の場合にのみ、ATCUリレーをONとしATCUに電力を供給すること、を特徴としている。 When the IGNSW changes from the low level to the active level, the monitoring device according to claim 2 performs self-diagnosis of the microcomputer, and turns on the ATCU relay and supplies power to the ATCU only when the diagnosis result is normal It is characterized by.
請求項3に係る監視装置は、外部、即ちリプロ装置からATCUへのリプロ要求があった場合にのみ、ATCUへの診断処理を停止することを特徴としている。I
請求項4に係る監視装置は、外部、即ちリプロ装置からATCUへのリプロ要求があった場合に、該マイコンの自己診断を実施し、診断結果が正常の場合にのみ、ATCUリレーをONとしATCUに電力を供給すること、を特徴としている。
The monitoring device according to claim 3 is characterized in that the diagnosis processing to the ATCU is stopped only when there is a repro request from the repro device to the ATCU. I
The monitoring apparatus according to claim 4 performs a self-diagnosis of the microcomputer when there is a repro request from the repro apparatus to the ATCU, and turns on the ATCU relay only when the diagnosis result is normal. It is characterized by supplying electric power to.
請求項5に係るATCUは、請求項2により起動後、該マイコンの自己診断を実施し、診断結果が異常な場合には通信ラインでの通信を停止することで監視装置での異常検知を促すとともに、自身はリプロモードへ遷移することで、制御対象の誤操作を防止することを特徴としている。 The ATCU according to claim 5 performs self-diagnosis of the microcomputer after being started according to claim 2, and when the diagnosis result is abnormal, the communication on the communication line is stopped to promote abnormality detection in the monitoring device. At the same time, it is characterized by preventing erroneous operation of the controlled object by transitioning to the repro mode.
請求項6に係るATCUは、請求項4により起動後、該マイコンの自己診断を再実施し、診断結果が異常であることによりリプロモードへ遷移することで、外部リプロツールとの通信を開始することを特徴としている。 After starting up according to claim 4, the ATCU according to claim 6 re-executes the self-diagnosis of the microcomputer, and starts communication with the external repro tool by shifting to the repro mode when the diagnosis result is abnormal. It is characterized by that.
本発明によれば、車両用自動変速機の電子制御装置(ATCU)に限らず、昨今の殆どの電子制御装置に実装されているCANなどのネットワーク通信路を利用することにより、他電子制御装置をATCUの監視装置と見立てることができ、尚且つ、監視側である他電子制御装置がATCUの電源リレーを制御する。 According to the present invention, not only an electronic control unit (ATCU) for an automatic transmission for a vehicle, but also other electronic control units can be used by using a network communication path such as CAN installed in most of the recent electronic control units. Can be regarded as an ATCU monitoring device, and the other electronic control device on the monitoring side controls the power supply relay of the ATCU.
また、ディーラーなどでのリプロ作業では、リプロ装置の接続などは人員の手で行われており、リプロ中に車両と機器を繋いでいるコネクタの脱落や振動などによりリプロが失敗するシーンがあり、失敗した場合はプログラム領域が破壊されてしまい、ATCUは起動後の初期診断で異常を検出するため、監視装置がフェールセーフ処理として電源リレーを遮断してしまうため、通常ではリプロが不可能になってしまう問題があるが、本発明では、監視装置がATCUの異常を検知し、一旦フェールセーフ状態、即ちATCUリレーをオフ制御するが、再度リプロが必要な場合には、監視装置がリプロ装置からのリプロ要求を受信し、ATCUリレーをオン制御できるため、ATCUの状態に依存せずリプロモードに移行させることができる。 Also, in repro work at dealers etc., repro devices are connected by hand, and there are scenes where repro fails due to dropping or vibration of the connector connecting the vehicle and equipment during repro, If it fails, the program area will be destroyed, and the ATCU will detect an abnormality in the initial diagnosis after startup, so the monitoring device will shut off the power relay as a fail-safe process. However, in the present invention, the monitoring device detects an abnormality of the ATCU and temporarily controls the fail-safe state, that is, the ATCU relay to be turned off. Since the ATCU relay can be turned on by receiving the repro request, it is possible to shift to the repro mode regardless of the ATCU state.
上記構成とすることで、リプロ時のみATCUリレーをオンさせることが可能となり、ATCU故障による意図しない暴走を防止することができるため、信頼性を向上の利点がある。 With the above configuration, the ATCU relay can be turned on only during repro operation, and an unintentional runaway due to an ATCU failure can be prevented, so that there is an advantage of improving reliability.
以下、本発明の実施例を、図面を用いて説明する。 Embodiments of the present invention will be described below with reference to the drawings.
図1から3を用いて本発明の第一の実施例について説明する。
図1に車両の自動変速機を制御する変速機制御装置(以下、ATCUと称す)1を監視対象とした、本発明の一実施形態を示す。監視対象としては、エンジン、シートベルト、モータ等車両に搭載される他の電装品を制御する電子制御装置であってもよい。
A first embodiment of the present invention will be described with reference to FIGS.
FIG. 1 shows an embodiment of the present invention in which a transmission control device (hereinafter referred to as ATCU) 1 for controlling an automatic transmission of a vehicle is monitored. The monitoring target may be an electronic control device that controls other electrical components mounted on the vehicle such as an engine, a seat belt, and a motor.
図1は電動オイルポンプ制御装置(以下、ELOPと称す)2を監視装置としたATCU1の監視システムの概略図である。監視対象となるATCU1、ATCU1とはハードウェアとして独立しており監視側となるELOP2、ELOP2への駆動電力を供給/遮断するIGNリレー3、ELOP2によりON/OFF制御されATCUへ駆動電力を供給/遮断するATCUリレー4、各電子制御装置へ駆動電力を供給する電源(バッテリ、または図示しない発電機であってもよい)5、運転者からの操作によりON/OFF操作されELOP2や各電子制御装置へ駆動電力を供給するか否かを制御するIGNSW6、ATCU1からの指令で自動変速機のクラッチを締結/開放するソレノイドバルブ7を備えている。ATCUリレー4は、電流の供給/遮断が可能なスイッチ機能を有すれば良く、接点移動によりON/OFFする機械式リレーであってもよいし、半導体スイッチング素子による半導体リレーであってもよい。 FIG. 1 is a schematic diagram of a monitoring system of ATCU 1 using an electric oil pump control device (hereinafter referred to as ELOP) 2 as a monitoring device. The ATCU1 and ATCU1 to be monitored are independent of the hardware, and the ON / OFF control is performed by the ELGN2 and the ELOP2 that supply / shut off the driving power to the ELOP2 and ELOP2 to be monitored, and the driving power is supplied to the ATCU / The ATCU relay 4 to be shut off, the power source (which may be a battery or a generator not shown) 5 for supplying driving power to each electronic control unit, the ELOP 2 and each electronic control unit that are turned on / off by an operation from the driver IGNSW 6 for controlling whether or not to supply drive power to the motor, and a solenoid valve 7 for engaging / disengaging the clutch of the automatic transmission in response to a command from ATCU 1. The ATCU relay 4 only needs to have a switch function capable of supplying / cutting off current, and may be a mechanical relay that is turned on / off by contact movement or a semiconductor relay using a semiconductor switching element.
ATCU1は、複数のソレノイドバルブ7への駆動量の算出、及び出力の切り替えを行う制御回路であるマイコン8と、電源5からの供給電圧を、マイコン8の駆動電圧へ変換し供給する電源供給回路9と、ELOP2と通信を行うための通信I/F回路10と、マイコン8で算出されたソレノイドバルブ7への駆動量を電圧に変換するドライバ回路11を備えている。 The ATCU 1 calculates a drive amount to a plurality of solenoid valves 7 and a control circuit that performs output switching, and a power supply circuit that converts a supply voltage from the power source 5 into a drive voltage of the microcomputer 8 and supplies the converted voltage. 9, a communication I / F circuit 10 for communicating with ELOP 2, and a driver circuit 11 that converts the drive amount to the solenoid valve 7 calculated by the microcomputer 8 into a voltage.
ELOP2は、自動変速機の作動油を加圧するオイルポンプへの駆動量の算出、及び出力を行う制御回路であるマイコン12と、電源5からの供給電圧を、マイコン12の駆動電圧へ変換し供給する電源供給回路14と、ATCU1と通信を行うための通信I/F回路13と、ATCUリレー4をON/OFF制御し、外部の電子制御装置であるATCUへの供給される電力を制御するATCUリレー制御回路15を備えている。ATCUリレー制御回路15として、図1ではトランジスタを図示している。ATCUリレー4の駆動に必要な電圧がマイコン12の出力電圧で足りる場合や、トランジスタをELOP2外部に備える場合には、ELOP2内にトランジスタは必ずしも必要ではない。その場合、ATCUリレー制御回路15としては、マイコン12がATCUリレー4を駆動するための出力信号線が該当する。 ELOP2 calculates and supplies the drive amount to the oil pump that pressurizes the hydraulic oil of the automatic transmission, and converts the supply voltage from the power source 5 into the drive voltage of the microcomputer 12 and supplies it. A power supply circuit 14 that performs communication with the ATCU 1 and an ATCU that controls ON / OFF of the ATCU relay 4 and controls the power supplied to the ATCU that is an external electronic control unit A relay control circuit 15 is provided. As the ATCU relay control circuit 15, a transistor is illustrated in FIG. When the voltage required for driving the ATCU relay 4 is sufficient by the output voltage of the microcomputer 12, or when the transistor is provided outside the ELOP2, the transistor is not necessarily required in the ELOP2. In that case, the ATCU relay control circuit 15 corresponds to an output signal line for the microcomputer 12 to drive the ATCU relay 4.
ATCU1に実装されている通信I/F回路10とドライバ回路11は、ATCUリレー4の電源が直接接続されている。また、マイコン8も電源供給回路9を介して、ATCUリレー4の下流に設けられている。 The communication I / F circuit 10 and the driver circuit 11 mounted on the ATCU 1 are directly connected to the power source of the ATCU relay 4. The microcomputer 8 is also provided downstream of the ATCU relay 4 via the power supply circuit 9.
電源供給回路9には、IGNリレー3やATCUリレー4を経由せずに電源5からの電力が供給される経路と、IGNリレー3やATCUリレー4を経由して電源5からの電力が供給される経路と、がそれぞれ接続されている。各種リレーを経由した経路からは、運転者によりIGNSW6がONされてIGNリレー3がONした後、ELOP2によりATCUリレー4がONされることで電力が供給される。その後、電源供給回路9はマイコン8等の電子部品に所定の駆動電圧を供給する。マイコン8は、電源供給回路9からの駆動電圧を受けて、所定のリセット処理の後ソレノイドバルブ7の制御を開始する。 The power supply circuit 9 is supplied with power from the power source 5 without passing through the IGN relay 3 or ATCU relay 4 and power from the power source 5 through the IGN relay 3 or ATCU relay 4. Are connected to each other. From the route via various relays, the IGNSW 6 is turned on by the driver and the IGN relay 3 is turned on, and then the ATCU relay 4 is turned on by the ELOP 2 to supply power. Thereafter, the power supply circuit 9 supplies a predetermined drive voltage to electronic components such as the microcomputer 8. The microcomputer 8 receives the drive voltage from the power supply circuit 9 and starts controlling the solenoid valve 7 after a predetermined reset process.
運転者によりIGNSW6がOFFされるとIGNリレー3がOFFされ、各種リレーを経由した経路から電源供給回路9への電力供給が遮断される。ここで電源供給回路9は所定のセルフシャットオフディレイ期間を経てセルフシャットオフ期間に移行し、各種リレーを経由せずに電源5から供給される電圧により、マイコン8からの指示があるまでマイコン8へ駆動電圧を供給する。マイコン8は、セルフシャットオフ期間中に各種学習値の記憶等の処理を行い、電源供給回路9へ駆動電圧供給の停止を指示し、セルフシャットオフ期間を終了する。
ここで、セルフシャットディレイ期間中はシステム待機状態であり、ATCUとしては何も機能していない状態となる。
When the IGNSW 6 is turned off by the driver, the IGN relay 3 is turned off, and the power supply to the power supply circuit 9 is cut off from the route through various relays. Here, the power supply circuit 9 shifts to a self-shut-off period after a predetermined self-shut-off delay period, and the microcomputer 8 is instructed by the voltage supplied from the power source 5 without passing through various relays until an instruction from the microcomputer 8 is received. Supply drive voltage to The microcomputer 8 performs processing such as storing various learning values during the self-shutoff period, instructs the power supply circuit 9 to stop driving voltage supply, and ends the self-shutoff period.
Here, during the self-shut delay period, the system is in a standby state and nothing is functioning as the ATCU.
なお、電源供給回路14も同様に二種類の電源供給経路に接続されている。
上記、図1の監視システムは、システム起動時、及び定常時にATCU1の異常を検知し、異常時には、フェールセーフ処理として、監視装置がATCUリレー4をOFFにする。
The power supply circuit 14 is similarly connected to two types of power supply paths.
The above-described monitoring system in FIG. 1 detects an abnormality of the ATCU 1 at the time of system startup and at a steady time, and when abnormal, the monitoring device turns off the ATCU relay 4 as fail-safe processing.
図6に従来のシステム概略図を説明する。図1と異なり、従来システムでは、ATCUリレー4、ATCUリレー制御回路15、およびその周辺回路が存在しない。
図2は、システム起動時のATCU1とELOP2の処理の流れを示す図である。まず始めにIGNSW6がON状態になると、IGNリレー3がONになり、ELOP2の電源供給回路14に電力が供給され、マイコン12が起動する。
FIG. 6 is a schematic diagram of a conventional system. Unlike FIG. 1, the conventional system does not include the ATCU relay 4, the ATCU relay control circuit 15, and its peripheral circuits.
FIG. 2 is a diagram showing a processing flow of ATCU1 and ELOP2 at the time of system startup. First, when the IGNSW 6 is turned on, the IGN relay 3 is turned on, power is supplied to the power supply circuit 14 of the ELOP 2 and the microcomputer 12 is activated.
次に、起動されたマイコン12は内部機能に故障があるか否か自己診断を行う(S21)。ここでの診断は、具体的にはROM/RAM診断、及びレジスタ診断などがある。診断NGの場合は、フェールセーフ状態へ移行する(S22)。診断OKの場合は、マイコン12でIGNSW6の電圧状態を取得する(S23)。
次に、IGNSW6の取得電圧が0V(OFF状態)で、ELOP6が起動している場合は、本来であれば電源が供給されていないはずであるので、IGNリレー3のON故障であると判断し(S24)、フェールセーフ処理へ移行する(S25)。
診断OKの場合は、ATCUリレー4をONに操作し、ATCU1を起動する(S26)。
Next, the activated microcomputer 12 performs a self-diagnosis to determine whether there is a failure in the internal function (S21). Specifically, the diagnosis here includes ROM / RAM diagnosis and register diagnosis. In the case of diagnosis NG, the state shifts to the fail safe state (S22). If the diagnosis is OK, the voltage state of the IGNSW 6 is acquired by the microcomputer 12 (S23).
Next, when the acquired voltage of the IGNSW 6 is 0 V (OFF state) and the ELOP 6 is activated, it is determined that the IGN relay 3 is in an ON failure because power should not have been supplied. (S24), the process proceeds to fail-safe processing (S25).
If the diagnosis is OK, the ATCU relay 4 is turned ON to start the ATCU 1 (S26).
ATCU1の起動後、ATCU1は、マイコン8の内部機能に故障があるか否か自己診断を行う(S27)。ここでの診断は、具体的にはROM/RAM診断、及びレジスタ診断などがある。診断NGの場合は、フェールセーフ状態へ移行する(S28)。診断OKの場合は、ATCU監視システムが正常と判断し、通常制御へ移行する(S29)。なお、本フローチャートにおけるフェールセーフ制御とは、マイコン12自身でスタンバイ状態やリプログラミング待ち状態へ移行し、IGNSW6がOFFされるまで何も動作しないように制御することである。 After starting ATCU1, ATCU1 performs a self-diagnosis to determine whether there is a failure in the internal function of microcomputer 8 (S27). Specifically, the diagnosis here includes ROM / RAM diagnosis and register diagnosis. In the case of diagnosis NG, the process shifts to the fail safe state (S28). If the diagnosis is OK, the ATCU monitoring system is determined to be normal, and the routine proceeds to normal control (S29). Note that fail-safe control in this flowchart is control in which the microcomputer 12 itself shifts to a standby state or a reprogramming waiting state and does not operate until the IGNSW 6 is turned off.
図3は、システム起動後の通常制御時のATCU1とELOP2の処理の流れを示す図である。ELOP2は、通信手段(ここでは例として、通信I/F回路10,13を用いたCAN通信とする)を用いて、ATCU1からATCU1の自己診断結果を受信する(S31)。ここでの自己診断とは、ROM/RAM診断、及びレジスタ診断など、マイコン内部の機能診断だけでなく、ATCU1本体の機能故障も含まれ、ATCU1自身で行う診断である。 FIG. 3 is a diagram showing a processing flow of ATCU1 and ELOP2 during normal control after system startup. The ELOP 2 receives the self-diagnosis result of the ATCU 1 from the ATCU 1 using communication means (here, CAN communication using the communication I / F circuits 10 and 13 as an example) (S 31). The self-diagnosis here is a diagnosis performed by the ATCU 1 itself, including not only functional diagnosis inside the microcomputer, such as ROM / RAM diagnosis and register diagnosis, but also functional failure of the ATCU 1 main body.
ELOP2はATCU1からの自己診断結果からOK/NG判断を行い(S32)、診断NGの場合、ELOP2はフェールセーフ制御へ移行し、ATCUリレー4をOFFに操作し、ATCU1への通電を遮断する(S33)。このような場合、ATCU1は自身の異常状態を判定出来ているので、ELOP2ではなくATCU1自身でATCUリレー4をOFFに操作可能なように結線してもよい。S32の診断がOKの場合、ELOP2はATCU1のマイコン機能故障、詳しくはマイコンの演算器の故障を検出するための問題データをCAN通信によりATCU1へ送信する(S34)。 ELOP2 makes an OK / NG determination from the self-diagnosis result from ATCU1 (S32), and in the case of diagnosis NG, ELOP2 shifts to fail-safe control, operates ATCU relay 4 OFF, and cuts off power to ATCU1 ( S33). In such a case, since ATCU 1 can determine its own abnormal state, it may be wired so that ATCU 1 itself can be operated to turn OFF instead of ELOP 2. If the diagnosis at S32 is OK, ELOP2 transmits problem data for detecting a malfunction of the microcomputer of ATCU1, specifically, a malfunction of the arithmetic unit of the microcomputer, to ATCU1 by CAN communication (S34).
ATCU1は、ELOP2から受信した問題データを基に、マイコン8の演算器を用いて回答データを生成し(S35)、ELOP2へ返信する(S36)。ELOP2は、ATCU1から受信した回答データよりOK/NG判断を行い(S37)、診断NGの場合、ELOP2はフェールセーフ制御へ移行し、ATCUリレー4をOFFに操作し、ATCU1への通電を遮断する(S38)。 The ATCU 1 generates answer data using the computing unit of the microcomputer 8 based on the problem data received from the ELOP 2 (S35), and returns it to the ELOP 2 (S36). ELOP2 makes an OK / NG determination based on the response data received from ATCU1 (S37). In the case of diagnosis NG, ELOP2 shifts to fail-safe control, operates ATCU relay 4 OFF, and cuts off power to ATCU1. (S38).
診断OKの場合、ATCU1は正常と判断し、通常制御を継続する(S39)。以上の診断により、ELOP2はATCU1自身で判断出来ない異常状態を診断することができる。本フローチャートでは問題データと回答データのやり取りでELOP2がATCU1の監視を行う例を説明したが、他の監視方法として、ATCU1から定期的にCAN通信を介して送信される信号をELOP2が監視するような、ウォッチドッグタイマ方式を採用してもよい。 If the diagnosis is OK, the ATCU 1 determines that it is normal and continues normal control (S39). With the above diagnosis, ELOP2 can diagnose an abnormal state that cannot be determined by ATCU1 itself. In this flowchart, the example in which ELOP2 monitors ATCU1 by exchanging question data and answer data has been described. However, as another monitoring method, ELOP2 monitors signals periodically transmitted from ATCU1 via CAN communication. In addition, a watchdog timer method may be adopted.
なお、本フローチャートにおけるフェールセーフ制御とは、ELOP2のマイコン12がATCUリレー制御回路15を操作し、ATCUリレー4をOFFに制御することである。 The fail-safe control in this flowchart is that the microcomputer 12 of the ELOP2 operates the ATCU relay control circuit 15 to control the ATCU relay 4 to be turned off.
以上の診断を実施することにより、ATCU1に監視装置を実装していない場合でも、ネットワークで繋がっている電子制御装置を監視装置とすることで、ATCU1のマイコン等の故障/機能故障を検知することが出来る。すなわち、現在の電子制御装置内の構成を変えることなく、且つ、最小のシステム変更で電子制御装置の故障を正確に検知し、且つ、確実にフェールセーフ状態に移行可能な監視システムが提供できる。 By performing the above diagnosis, even when no monitoring device is mounted on the ATCU1, a failure / functional failure of the microcomputer of the ATCU1 can be detected by using the electronic control device connected via the network as the monitoring device. I can do it. That is, it is possible to provide a monitoring system that can accurately detect a failure of the electronic control device without changing the current configuration of the electronic control device and with minimal system change, and can reliably enter the fail-safe state.
また、本発明のシステム構成であれば、ATCU1のマイコンが暴走により、ATCUリレー4をOFFにしてもシステム電源が停止できない場合にも、監視装置であるELOP2側でATCUリレー4をOFFすることでATCU1の機能、つまり、ソレノイドバルブ7の動作/ネットワーク通信を停止することが可能であり、結果、自動変速機は直結ギアでの走行となるため、ATCU1の暴走により電源リレーをOFFすることができずインターロックなど、甚大な被害をもたらすことを防止することができる。 Further, with the system configuration of the present invention, even if the ATCU1 microcomputer runs away and the system power supply cannot be stopped even if the ATCU relay 4 is turned off, the ATCU relay 4 is turned off on the ELOP2 side which is a monitoring device. It is possible to stop the function of the ATCU1, that is, the operation of the solenoid valve 7 / network communication. As a result, the automatic transmission is driven by the directly connected gear, so that the power relay can be turned OFF by the ATCU1 runaway. It is possible to prevent serious damage such as interlocking.
また、車両に実装されている他電子制御装置を監視装置とすることで、ATCU1自身へ監視装置を実装する必要がなく、システムコストを低減できる利点がある。さらに、ATCU1が自動変速機と一体的に実装されているような場合、ATCUのサイズや実装面積には厳しい制約があり、本発明によればその制約も満たすことができる。 Further, by using the other electronic control device mounted on the vehicle as the monitoring device, there is no need to mount the monitoring device on the ATCU 1 itself, and there is an advantage that the system cost can be reduced. Further, when the ATCU 1 is mounted integrally with the automatic transmission, there are severe restrictions on the size and mounting area of the ATCU, and according to the present invention, the restrictions can be satisfied.
以上、本発明の一実施例構成について説明したが、本発明はこうしたATCUの監視システムとして限定されるものではなく、電子制御装置の動作を停止することにより、車両として安全方向に働くような機能を持った電子制御装置にも応用することが可能である。 The configuration of one embodiment of the present invention has been described above. However, the present invention is not limited to such an ATCU monitoring system, and functions to work in a safe direction as a vehicle by stopping the operation of the electronic control device. The present invention can also be applied to an electronic control device having
以降、図4、5を用いて第二の実施例について説明する。本実施例では、リプロが失敗したATCUの相互間システムにおけるリプロ手法について説明する。実施例1と同様、図1で説明したシステム構成で動作可能であるため、システム構成の説明は省略する。
まず始めにIGNSW6がON状態になると、IGNリレー3がONになり、ELOP2の電源供給回路14に電力が供給され、マイコン12が起動する。次に、起動されたマイコン12は内部機能に故障があるか否か自己診断を行う(S201)。ここでの診断は、具体的にはROM/RAM診断、及びレジスタ診断などがある。診断NGの場合は、フェールセーフ状態へ移行する(S202)。診断OKの場合は、マイコン12でIGNSW6の電圧状態を取得する(S203)。
Hereinafter, the second embodiment will be described with reference to FIGS. In the present embodiment, a repro technique in an ATCU inter-system where repro has failed will be described. As in the first embodiment, the system configuration described with reference to FIG. 1 is operable, and thus the description of the system configuration is omitted.
First, when the IGNSW 6 is turned on, the IGN relay 3 is turned on, power is supplied to the power supply circuit 14 of the ELOP 2 and the microcomputer 12 is activated. Next, the activated microcomputer 12 performs a self-diagnosis to determine whether there is a failure in the internal function (S201). Specifically, the diagnosis here includes ROM / RAM diagnosis and register diagnosis. In the case of diagnosis NG, the state shifts to the fail safe state (S202). If the diagnosis is OK, the voltage state of the IGNSW 6 is acquired by the microcomputer 12 (S203).
ここで、IGNSW6の取得電圧が0V(OFF状態)で、ELOP6が起動している場合は、本来であれば電源が供給されていないはずであるので、IGNリレー3のON故障であると判断し(S204)、フェールセーフ処理へ移行する(S205)。なお、ここでのフェールセーフ制御とは、マイコン12自身でスタンバイ状態やリプログラミング待ち状態へ移行し、IGNSW6がOFFされるまで何も動作しないように制御することである。診断OKの場合は、ATCUリレー1をONに操作し、ATCU1を起動する(S206)。 Here, if the acquired voltage of the IGNSW 6 is 0 V (OFF state) and the ELOP 6 is activated, it is determined that the IGN relay 3 is in an ON failure since power should not have been supplied. (S204), the process proceeds to fail-safe processing (S205). Here, the fail safe control means that the microcomputer 12 itself shifts to a standby state or a reprogramming waiting state and performs control so that nothing operates until the IGNSW 6 is turned off. If the diagnosis is OK, the ATCU relay 1 is turned ON to start the ATCU 1 (S206).
起動後、ATCU1は、マイコン8の内部機能に故障があるか否か自己診断を行う(S207)。ここでの診断は、具体的にはROM/RAM診断、及びレジスタ診断などがある。今回、リプロが失敗したATCUを想定しているため、診断結果は当然NGとなり、フェールセーフ状態へ移行する(S208)。 After the start-up, the ATCU 1 performs a self-diagnosis whether there is a failure in the internal function of the microcomputer 8 (S207). Specifically, the diagnosis here includes ROM / RAM diagnosis and register diagnosis. Since the ATCU in which repro failed has been assumed this time, the diagnosis result is naturally NG, and the state shifts to the fail safe state (S208).
ATCU1はフェールセーフ状態であるためCAN送信も禁止されており、ELOP2は、ATCU1からのCAN途絶により、ATCU1の異常を検知しフェールセーフ処理に移行し、ATCUリレー4をOFFに操作する(S209)。 Since ATCU1 is in a fail-safe state, CAN transmission is also prohibited, and ELOP2 detects an abnormality of ATCU1 due to CAN interruption from ATCU1, shifts to fail-safe processing, and turns off ATCU relay 4 (S209). .
ここで、システムとしてはATCU1の電源が遮断されているため、ATCU1のマイコンが暴走により、ATCUリレー4をOFFにしてもシステム電源が停止できない場合にも、監視装置であるELOP2側でATCUリレー4をOFFすることでATCU1の機能、つまり、ソレノイドバルブ7の動作/ネットワーク通信を停止することが可能であり、結果、自動変速機は直結ギアでの走行となるため、ATCU1の暴走により電源リレーをOFFすることができずインターロックなど、甚大な被害をもたらすことを防止することができる。 Here, since the ATCU 1 power supply is cut off as a system, the ATCU relay 4 on the ELOP 2 side which is a monitoring device can be used even when the ATCU relay 4 is turned off and the system power supply cannot be stopped even if the ATCU relay 4 is turned off. By turning OFF, it is possible to stop the function of the ATCU1, that is, the operation of the solenoid valve 7 / network communication. As a result, the automatic transmission is driven by a directly connected gear. It cannot be turned off and can cause serious damage such as interlocking.
次に、上記の状態で車両にリプロ装置が接続された場合、リプロツールはシステムコールを行うが、通常であればATCU1の電源が遮断されているためシステムエラーになるが、本発明ではELOP2がリプロツールからのシステムコールを代わりに受信し(S211)、この信号を基にリプロ要求があったと判断しATCUリレー4をONに操作する(S212)。 Next, when the repro device is connected to the vehicle in the above state, the repro tool makes a system call. Normally, however, the ATCU1 power is cut off, resulting in a system error. A system call from the repro tool is received instead (S211), and it is determined that there is a repro request based on this signal, and the ATCU relay 4 is turned on (S212).
ここでELOP2は、ATCU1がリプロモードに移行したと判断し、ATCU1への診断を停止する(S213)。再起動されたATCU1は、再びマイコン8の内部機能に故障があるか否か自己診断を行う(S214)。ここでATCU1は、前回リプロを失敗しているためROM診断で異常が確定し、フェールセーフ処理、即ちリプロモードへ移行する(S215)。 Here, ELOP2 determines that ATCU1 has shifted to the repro mode, and stops the diagnosis to ATCU1 (S213). The restarted ATCU 1 performs a self-diagnosis again whether there is a failure in the internal function of the microcomputer 8 (S214). Here, since ATCU1 failed repro in the previous time, the abnormality is determined by the ROM diagnosis, and the process proceeds to failsafe processing, that is, repro mode (S215).
リプロモードに移行したATCU1は、リプロ用プログラムが格納された消去不可能なプログラム領域で動作し、リプロモード専用CANIDによりリプロ装置と通信を成立させ、システムコールを受信する(S216)。その後、ATCU1はシステムコールに対しレスポンスを返すことでリプロ処理へと移行することができる(S217)。 The ATCU 1 that has shifted to the repro mode operates in the non-erasable program area in which the repro program is stored, establishes communication with the repro apparatus by the repro mode dedicated CANID, and receives a system call (S216). Thereafter, the ATCU 1 can shift to a repro process by returning a response to the system call (S217).
ここで、仮にATCU1の故障がROM領域だけでなく、多枝に渡って故障している場合はリプロ処理が終了しないため、ELOP2側でタイムアウト判定処理を行い(S218)、一定時間経過してもリプロ完了の知らせが無い場合は、リプロ失敗と判断しATCUリレーをOFFに操作する(S219)。 Here, if the ATCU1 failure occurs not only in the ROM area but also in multiple branches, the repro processing does not end, so the timeout determination processing is performed on the ELOP2 side (S218), and even if a certain time has elapsed. If there is no notification of completion of repro, it is determined that repro has failed, and the ATCU relay is turned off (S219).
以上の実施例で説明したように本発明の電子制御装置の監視システムは、監視対象の電子制御装置の異常を検出するハードウェアとして独立した監視装置と、電子制御装置及び監視装置に駆動電力を供給する電力供給手段と、監視装置に対し、外部から入力される起動用スイッチ信号により、起動用スイッチ信号がアクティブレベルの場合に、監視装置に駆動電力を供給する電力供給手段と、電源供給手段と監視装置との間に入れられた、監視装置への電力を供給/遮断する第1リレーと、電子制御装置に対し監視装置が駆動電力の供給の可否を判断し、電力の供給/遮断を制御するする第1リレーの下流に設置された第2リレーと、電子制御装置と監視装置との通信による診断を行う為の通信ラインを備える。 As described in the above embodiment, the monitoring system for an electronic control device of the present invention provides a monitoring device independent as hardware for detecting an abnormality of the electronic control device to be monitored, and driving power to the electronic control device and the monitoring device. A power supply means for supplying, a power supply means for supplying drive power to the monitoring device when the activation switch signal is at an active level by an activation switch signal input from the outside to the monitoring device; and a power supply means The first relay for supplying / cutting off the power to the monitoring device, which is inserted between the monitoring device and the monitoring device, and the monitoring device judges whether or not the driving power can be supplied to the electronic control device, and the supply / cutoff of the power is performed. A second relay installed downstream of the first relay to be controlled, and a communication line for performing diagnosis by communication between the electronic control device and the monitoring device are provided.
更に、監視対象となる電子制御装置は、監視装置からの起動要求により第2リレーがオン状態になった場合、マイコンを動作させる電圧を出力する電源回路と、電源回路から出力される電圧によって動作するマイコンと、監視装置からの起動要求信号により起動する通信回路と、監視装置からの起動要求信号により起動するソレノイドバルブの駆動回路を備えてよい。 Furthermore, when the second relay is turned on by a start request from the monitoring device, the electronic control device to be monitored operates with a power supply circuit that outputs a voltage for operating the microcomputer and a voltage output from the power supply circuit. A microcomputer to be activated, a communication circuit to be activated by an activation request signal from the monitoring device, and a solenoid valve drive circuit to be activated by an activation request signal from the monitoring device.
更に、監視装置は、起動用スイッチ信号がアクティブレベルの場合に、監視装置のマイコンを動作させる電圧を出力する電源回路と、電源回路から出力される電圧によって動作するマイコンと、電源回路から供給される電力により起動する通信回路を少なくとも備えてよい。 Further, when the activation switch signal is at an active level, the monitoring device is supplied from a power supply circuit that outputs a voltage for operating the microcomputer of the monitoring device, a microcomputer that operates according to the voltage output from the power supply circuit, and the power supply circuit. A communication circuit that is activated by the generated power may be provided.
更に、監視装置は、起動用スイッチ信号がアクティブレベルの場合に、監視装置のマイコンを動作させ、起動時、及び定常時においてマイコンの自己診断を行い、マイコンが正常に動作していることを確認してから第2リレーをオンにしてよい。更に、監視装置は、起動用スイッチ信号がアクティブレベルの場合に、監視回路のマイコンを動作させ、始動時、及び定常時においてマイコンの自己診断を行い、前記マイコンが異常と判断した場合は、通信回路により監視対象の制御装置へ異常情報を送信し第2リレーをオフしてよい。 Furthermore, the monitoring device operates the microcomputer of the monitoring device when the activation switch signal is at the active level, and performs a self-diagnosis of the microcomputer at the start-up and steady state to confirm that the microcomputer is operating normally. Then, the second relay may be turned on. Furthermore, the monitoring device operates the microcomputer of the monitoring circuit when the activation switch signal is at the active level, performs a self-diagnosis of the microcomputer at the start-up and normal times, and if the microcomputer determines that there is an abnormality, The circuit may transmit abnormality information to the monitoring target control device and turn off the second relay.
更に、監視対象となる電子制御装置は、監視装置からの起動要求により第2リレーがONした場合、マイコンを動作させ、始動時においてマイコンの自己診断を行い、自身で異常と判断した場合は、スタンバイ状態へ移行し、車両用自動変速機等の制御(ソレノイドバルブの油圧制御等)を行わないようにしてよい。 Furthermore, the electronic control device to be monitored operates the microcomputer when the second relay is turned on by a start request from the monitoring device, performs a self-diagnosis of the microcomputer at the start, and determines that it is abnormal by itself. A transition to the standby state may be made so that the automatic transmission for a vehicle or the like (such as hydraulic control of a solenoid valve) is not performed.
更に、監視対象となる電子制御装置は、第2リレーがオン状態の場合、マイコンを動作させ、定常時においては車両用自動変速機等の制御(ソレノイドバルブの油圧制御等)を行うが、定常時においてもマイコンの自己診断を行い、自身が異常と判断した場合は、監視装置へ通信回路により異常情報を送信し、その後、通信回路の出力を停止し、その後、マイコンはスタンバイ状態へ移行し、車両用自動変速機等の制御を行わないようにしてよい。 Furthermore, the electronic control unit to be monitored operates the microcomputer when the second relay is in the on state, and controls the automatic transmission for the vehicle (solenoid valve hydraulic control, etc.) in a steady state. Even if the microcomputer performs self-diagnosis at any time and determines that it is abnormal, it sends the abnormality information to the monitoring device via the communication circuit, then stops the output of the communication circuit, and then the microcomputer shifts to the standby state. The vehicle automatic transmission or the like may not be controlled.
本発明によれば、車両用自動変速機の電子制御装置(ATCU)に限らず、昨今の殆どの電子制御装置に実装されているCANなどのネットワーク通信路を利用することにより、他電子制御装置をATCUの監視装置と見立てることができる。 According to the present invention, not only an electronic control unit (ATCU) for an automatic transmission for a vehicle, but also other electronic control units can be used by using a network communication path such as CAN installed in most of the recent electronic control units. Can be regarded as an ATCU monitoring device.
更に、監視側の電子制御装置から監視対象となる電子制御装置へメインマイコンの機能を診断する問題を送信し、監視対象となる電子制御装置はその問題に対する回答を算出し、監視側の電子制御装置へ返信することにより、監視対象となる電子制御装置側のマイコン故障を検知することが出来る。 Further, a problem for diagnosing the function of the main microcomputer is transmitted from the monitoring-side electronic control device to the monitoring-target electronic control device, and the monitoring-target electronic control device calculates an answer to the problem, and the monitoring-side electronic control device By returning to the device, it is possible to detect a microcomputer failure on the electronic control device side to be monitored.
また、監視側の電子制御装置が監視対象となる電子制御装置の異常を検知した場合、監視側で監視対象となる電子制御装置の電源リレーをOFFすることで監視対象となる電子制御装置の動作、自動変速機制御の場合はソレノイドバルブの動作を停止することが可能である。結果、自動変速機は直結ギアでの走行となるため、監視対象となる電子制御装置暴走により電源リレーをOFFすることができずインターロックなど、甚大な被害をもたらすことを防止することができる。 In addition, when the monitoring electronic control device detects an abnormality in the electronic control device to be monitored, the operation of the electronic control device to be monitored is turned off by turning off the power relay of the electronic control device to be monitored on the monitoring side. In the case of automatic transmission control, the operation of the solenoid valve can be stopped. As a result, since the automatic transmission is driven by the directly connected gear, it is possible to prevent the power relay from being turned off due to the electronic control device runaway being monitored, and to prevent serious damage such as an interlock.
また、監視対象となる電子制御装置の電源リレーがON固着の場合には、監視装置が監視対象となる電子制御装置へ故障情報を送信することで、監視対象となる電子制御装置自身でスタンバイ状態へ移行する等、フェールセーフ処理を行うことが出来る。 In addition, when the power relay of the electronic control device to be monitored is fixed to ON, the monitoring device transmits a failure information to the electronic control device to be monitored, so that the electronic control device to be monitored itself is in a standby state. Fail-safe processing such as shifting to
また、車両に実装されている他電子制御装置を監視装置とすることで、監視対象となる電子制御装置自身へ監視装置を実装する必要がなく、システムコストを低減できる利点がある。 Further, by using the other electronic control device mounted on the vehicle as the monitoring device, there is an advantage that it is not necessary to mount the monitoring device on the electronic control device itself to be monitored, and the system cost can be reduced.
また、ディーラーなどでのリプロ作業では、リプロ装置の接続などは人員の手で行われており、リプロ中に車両と機器を繋いでいるコネクタの脱落や振動などによりリプロが失敗するシーンがあり、失敗した場合はプログラム領域が破壊されてしまい、ATCUは起動後の初期診断で異常を検出するため、監視装置がフェールセーフ処理として電源リレーを遮断してしまうため、通常ではリプロが不可能になってしまう問題があるが、本発明では、監視装置がATCUの異常を検知し、一旦フェールセーフ状態、即ちATCUリレーをオフ制御するが、再度リプロが必要な場合には、監視装置がリプロ要求を受信し、ATCUリレーをオン制御できるため、ATCUの状態に依存せずリプロモードに移行させることができる。 Also, in repro work at dealers etc., repro devices are connected by hand, and there are scenes where repro fails due to dropping or vibration of the connector connecting the vehicle and equipment during repro, If it fails, the program area will be destroyed, and the ATCU will detect an abnormality in the initial diagnosis after startup, so the monitoring device will shut off the power relay as a fail-safe process. However, in the present invention, the monitoring device detects an abnormality of the ATCU and temporarily controls the fail safe state, that is, turns off the ATCU relay. However, if repro is necessary again, the monitoring device issues a repro request. Since the ATCU relay can be turned on and received, it is possible to shift to the repro mode without depending on the state of the ATCU.
上記構成とすることで、リプロ時のみATCUリレーをオンさせることが可能となり、ATCU故障による意図しない暴走を防止することができるため、信頼性を向上の利点がある。 With the above configuration, the ATCU relay can be turned on only during repro operation, and an unintentional runaway due to an ATCU failure can be prevented, so that there is an advantage of improving reliability.
本発明によれば、電子制御装置の実装面積などハードウェアの制約により監視装置を実装できない場合でも、何らかの通信手段を持っていれば、上位の電子制御装置に電源リレーの制御を実施させることで、相互監視装置が構築できる。また、上記相互監視システムでは、上位電子制御装置が本来、下位電子制御装置が通信するべきである外部装置との内容をモニタリングし、好適に電源リレーを制御することで、ROM異常による再リプロ要求にも柔軟に対応でき、安全性だけでなく、サービス面も含め拡張性が高いシステムを提供することができる。 According to the present invention, even if a monitoring device cannot be mounted due to hardware restrictions such as the mounting area of the electronic control device, if a certain communication means is provided, the upper electronic control device can control the power relay. A mutual monitoring device can be constructed. In the above mutual monitoring system, the higher-level electronic control device monitors the contents of the external device that should be communicated with the lower-level electronic control device, and preferably controls the power supply relay so that the re-repro It is possible to provide a system with high expandability, including not only safety but also service.
1…ATCU、2…電動オイルポンプ制御装置(ELOP)、3…IGNリレー、4…ATCUリレー、5…電源(バッテリ、または図示しない発電機)、6…IGNSW、7…ソレノイドバルブ、8…マイコン、9…電源供給回路、10…通信I/F回路、11…ドライバ回路。 DESCRIPTION OF SYMBOLS 1 ... ATCU, 2 ... Electric oil pump control apparatus (ELOP), 3 ... IGN relay, 4 ... ATCU relay, 5 ... Power supply (battery or generator not shown), 6 ... IGNSW, 7 ... Solenoid valve, 8 ... Microcomputer , 9: power supply circuit, 10: communication I / F circuit, 11: driver circuit.
Claims (6)
前記下位電子制御装置、及び前記上位電子制御装置が駆動するために必要な電力を供給する電力供給手段と、
前記上位電子制御装置に対し、外部から入力される起動用スイッチ信号により、前記起動用スイッチ信号がアクティブレベルの場合に前記上位電子制御装置に駆動電力を供給する、前記電力供給手段と前記上位電子制御装置の間に入れられた、前記上位電子制御装置への電力を供給、又は遮断する第1リレーと、
前記下位電子制御装置に対し、前記起動用スイッチ信号により起動した前記上位電子制御装置が駆動電力の供給の可否を判断し、電力の供給、又は遮断を制御するする前記第1リレーの下流に設置された第2リレーと、
前記下位電子制御装置と前記上位電子制御装置間において、診断を行う為のデータを送受信可能な通信ラインとを有し、
前記上位電子制御装置は、前記通信ラインからの情報を基に前記下位電子制御装置が故障と判断した場合、フェールセーフ処理として前記第2リレーをオフ制御し、前記下位電子制御装置への給電を遮断する構成の車両用相互監視モジュールにおいて、
前記下位電子制御装置の異常により前記上位電子制御装置はフェールセーフ処理として前記第2リレーをオフ制御後、外部から前記下位電子制御装置へのリプロ要求があった場合、前記上位制御装置は、前記下位電子制御装置へのリプロ要求を前記通信ラインにより検知し、前記第2リレーをオン制御することで、前記下位電子制御装置のリプロを可能にすること、
を特徴とする車両用相互監視モジュール。 An upper electronic control device independent as hardware for controlling the power supply means of the lower electronic control device;
Power supply means for supplying electric power necessary for driving the lower electronic control device and the upper electronic control device;
The power supply means and the high-order electronic device that supply driving power to the high-order electronic control device when the start-up switch signal is at an active level by a start-up switch signal input from the outside to the high-order electronic control device A first relay that is inserted between the control devices to supply power to or cut off power to the host electronic control device;
Installed downstream of the first relay that controls whether or not the higher-order electronic control device activated by the activation switch signal determines whether or not to supply drive power to the lower-order electronic control device. A second relay,
A communication line capable of transmitting and receiving data for performing diagnosis between the lower electronic control device and the upper electronic control device;
When the lower electronic control device determines that the lower electronic control device is out of order based on information from the communication line, the upper electronic control device controls the second relay to be turned off as a fail-safe process and supplies power to the lower electronic control device. In the vehicle mutual monitoring module configured to shut off,
If there is a repro request from the outside to the lower electronic control device after the second electronic control device has turned off the second relay as a fail-safe process due to an abnormality in the lower electronic control device, the upper control device Detecting a repro request to the lower electronic control device by the communication line and enabling the second relay to be turned on by enabling the second relay to be turned on,
A vehicle mutual monitoring module characterized by the above.
前記上位電子制御装置は、
外部から入力される前記起動用スイッチ信号がローレベルからアクティブレベルへ変化した場合、前記上位電子制御装置内のマイコンの自己診断を実施し、診断結果が正常の場合にのみ、前記第2リレーをオンとし前記下位電子制御装置に電力を供給すること、
を特徴とする車両用相互監視モジュール。 In the mutual monitoring module for vehicles according to claim 1,
The host electronic control device
When the activation switch signal input from the outside changes from the low level to the active level , the microcomputer in the host electronic control unit performs self-diagnosis, and the second relay is turned on only when the diagnosis result is normal. Turning on and supplying power to the lower electronic control unit;
A vehicle mutual monitoring module characterized by the above.
前記上位電子制御装置は、
外部から前記下位電子制御装置へのリプロ要求があった場合にのみ、下位電子制御装置への診断処理を停止すること、
を特徴とする車両用相互監視モジュール。 In the mutual monitoring module for vehicles according to claim 2,
The host electronic control device
Stopping diagnosis processing to the lower electronic control device only when there is a repro request to the lower electronic control device from the outside,
A vehicle mutual monitoring module characterized by the above.
前記上位電子制御装置は、
外部から前記下位電子制御装置へのリプロ要求があった場合、前記上位電子制御装置内のマイコンの自己診断を実施し、診断結果が正常の場合にのみ、前記第2リレーのオン制御を許可すること、
を特徴とする車両用相互監視モジュール。 In the mutual monitoring module for vehicles according to claim 3,
The host electronic control device
When there is a repro request from the outside to the lower electronic control unit , the microcomputer in the upper electronic control unit is self-diagnosed, and the on-control of the second relay is permitted only when the diagnosis result is normal about,
A vehicle mutual monitoring module characterized by the above.
前記上位電子制御装置は、
外部から入力される前記起動用スイッチ信号がローレベルからアクティブレベルへ変化した場合、前記上位電子制御装置内のマイコンの自己診断を実施し、診断結果が正常の場合にのみ、前記第2リレーをオンとし前記下位電子制御装置に電力を供給し、その後、
前記下位電子制御装置は、
前記下位電子制御装置内のマイコンの自己診断を実施し、診断結果が異常な場合には前記通信ラインでの通信を停止することで上位電子制御装置での異常検知を促すとともに、自身はリプロモードへ遷移することで、制御対象の誤操作を防止すること、
を特徴とする車両用相互監視モジュール。 In the mutual monitoring module for vehicles according to claim 1,
The host electronic control device
When the activation switch signal input from the outside changes from the low level to the active level , the microcomputer in the host electronic control unit performs self-diagnosis, and the second relay is turned on only when the diagnosis result is normal. Turn on and supply power to the lower electronic control unit, then
The lower electronic control device
Performs self-diagnosis of the microcomputer in the lower electronic control device, and when the diagnosis result is abnormal, stops communication on the communication line to promote abnormality detection in the upper electronic control device, To prevent erroneous operation of the control target,
A vehicle mutual monitoring module characterized by the above.
前記上位電子制御装置は、
外部から前記下位電子制御装置へのリプロ要求があった場合、前記上位電子制御装置内のマイコンの自己診断を実施し、診断結果が正常の場合にのみ、前記第2リレーのオン制御を許可して前記下位電子制御装置を起動し、
その後、前記下位電子制御装置は、
前記下位電子制御装置内のマイコンの自己診断を再実施し、診断結果が異常であることによりリプロモードへ遷移することで、外部リプロツールとの通信を開始すること、
を特徴とする車両用相互監視モジュール。 In the mutual monitoring module for vehicles according to claim 1,
The host electronic control device
When there is a repro request from the outside to the lower electronic control unit , the microcomputer in the upper electronic control unit is self-diagnosed, and only when the diagnosis result is normal, the second relay ON control is permitted. Start the lower electronic control unit,
Then, the lower electronic control unit
Re-execute self-diagnosis of the microcomputer in the lower electronic control device, and start communication with an external repro tool by transitioning to the repro mode when the diagnosis result is abnormal,
A vehicle mutual monitoring module characterized by the above.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015037630A JP6334436B2 (en) | 2015-02-27 | 2015-02-27 | Mutual monitoring module for vehicles |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015037630A JP6334436B2 (en) | 2015-02-27 | 2015-02-27 | Mutual monitoring module for vehicles |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016159672A JP2016159672A (en) | 2016-09-05 |
JP6334436B2 true JP6334436B2 (en) | 2018-05-30 |
Family
ID=56846160
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015037630A Active JP6334436B2 (en) | 2015-02-27 | 2015-02-27 | Mutual monitoring module for vehicles |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6334436B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6695244B2 (en) * | 2016-09-14 | 2020-05-20 | 日立オートモティブシステムズ株式会社 | Power control device |
JP6683104B2 (en) * | 2016-11-07 | 2020-04-15 | 株式会社デンソー | Electronic control unit |
CN107577219B (en) * | 2017-08-31 | 2019-06-28 | 安徽江淮汽车集团股份有限公司 | Gearbox control power supply trouble diagnostic method |
US11760203B2 (en) | 2019-06-24 | 2023-09-19 | Hitachi Astemo, Ltd. | On-vehicle control device |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3932654B2 (en) * | 1998-03-10 | 2007-06-20 | 株式会社デンソー | Vehicle control device and vehicle control system |
JP2000163274A (en) * | 1998-11-26 | 2000-06-16 | Nec Corp | Electronic equipment and recording medium with rom data monitoring program recorded thereon |
JP2002187505A (en) * | 2000-12-21 | 2002-07-02 | Fuji Heavy Ind Ltd | On-vehicle system |
JP2008137472A (en) * | 2006-12-01 | 2008-06-19 | Hitachi Ltd | Vehicle load control device |
JP2011000894A (en) * | 2009-06-16 | 2011-01-06 | Fujitsu Ten Ltd | Control device and control method |
JP5541246B2 (en) * | 2011-07-21 | 2014-07-09 | 株式会社デンソー | Electronic control unit |
JP2014035730A (en) * | 2012-08-10 | 2014-02-24 | Hitachi Automotive Systems Ltd | Vehicle control device |
-
2015
- 2015-02-27 JP JP2015037630A patent/JP6334436B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016159672A (en) | 2016-09-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2015194407A1 (en) | Vehicle-mounted control device or vehicle-mounted control system | |
WO2017056688A1 (en) | Monitoring system and vehicle control device | |
KR100352023B1 (en) | Fail safe mechanism | |
JP6334436B2 (en) | Mutual monitoring module for vehicles | |
JP4550760B2 (en) | Engine start / stop control device | |
JP5752266B2 (en) | Electronic control device having power supply voltage monitoring function and vehicle steering control device having the same | |
JP2008524518A (en) | Method for monitoring a transmission oil pump and apparatus for operating it | |
CN112889212B (en) | Electromagnetic brake control device and control device | |
JP5067359B2 (en) | Fault diagnosis device for electronic control system | |
JP6416718B2 (en) | Fail-safe circuit | |
JP6302852B2 (en) | Electronic control device for vehicle | |
KR20030055866A (en) | A difficulty diagnosing and putting apparatus in eps system | |
CN113966492B (en) | Vehicle-mounted control device | |
JP3906000B2 (en) | Fail-safe mechanism | |
JP6248232B2 (en) | Low voltage abnormality determination device and low voltage abnormality determination method | |
JP2017228159A (en) | Control device, and control method for control device | |
JP6473072B2 (en) | Vehicle control device | |
WO2020054271A1 (en) | Electronic control unit | |
JP4036585B2 (en) | Fail-safe mechanism | |
CN115195638A (en) | Vehicle power supply control device | |
JP2018079737A (en) | Electronic controller and diagnosis method for the same |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20170117 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20170124 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170125 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170125 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170928 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171003 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171130 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180403 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180426 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6334436 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |