JP6341069B2 - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP6341069B2
JP6341069B2 JP2014236064A JP2014236064A JP6341069B2 JP 6341069 B2 JP6341069 B2 JP 6341069B2 JP 2014236064 A JP2014236064 A JP 2014236064A JP 2014236064 A JP2014236064 A JP 2014236064A JP 6341069 B2 JP6341069 B2 JP 6341069B2
Authority
JP
Japan
Prior art keywords
monitoring
output
unit
fail
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014236064A
Other languages
English (en)
Other versions
JP2016099798A (ja
Inventor
宏紀 岡田
宏紀 岡田
恵一 加藤
恵一 加藤
英一郎 川上
英一郎 川上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2014236064A priority Critical patent/JP6341069B2/ja
Priority to DE102015221980.1A priority patent/DE102015221980A1/de
Publication of JP2016099798A publication Critical patent/JP2016099798A/ja
Application granted granted Critical
Publication of JP6341069B2 publication Critical patent/JP6341069B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/263Generation of test inputs, e.g. test vectors, patterns or sequences ; with adaptation of the tested hardware for testability with external testers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • G06F11/2215Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test error correction or detection circuits

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Debugging And Monitoring (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Description

本発明は、電子制御装置に関する。
従来、特許文献1に記載の電子制御装置がある。この電子制御装置は、エンジンの駆動を制御するマイクロコンピュータと、制御部の動作を監視する監視ICとを有している。以下では、便宜上、マイクロコンピュータを「マイコン」と略記する。マイコンは、その機能を検出するためのテストを選択するテスト選択手段を有している。マイコンは、テスト選択手段により選択されるテストを実施するとともに、その実施結果であるテスト回答を監視ICに送信する。監視ICは、マイコンから送信されるテスト回答に基づいてマイコンが正常であるか否かを判定する。監視ICは、マイコンが異常であると判定した回数が所定回数以上となった場合には、フェイルセーフ信号を出力することによりエンジン出力を制限する。
また、特許文献1の電子制御装置では、マイコンが監視ICの動作を監視している。詳しくは、マイコンは、異常と判定されるテスト回答を監視ICに意図的に送信し、監視ICが異常と判定するか否かを検証することにより、監視ICの動作を監視している。
特開2008−226043号公報
ところで、監視ICは、フェイルセーフ信号を外部に出力するための信号出力部や出力端子を有している。これらの信号出力部や出力端子に信号固着等の異常が生じると、監視ICからフェイルセーフ信号が適切に出力されない可能性がある。このような状況を回避するためにも、監視ICからフェイルセーフ信号が正常に出力されるか否かを検証する必要がある。一般的に、監視ICからフェイルセーフ信号が正常に出力されるか否かを検証する検査は、運転者がイグニションスイッチをオフしたタイミングでのみ実施しているが、信頼性向上のために車両走行中にも実施したいという要望がある。その検証方法の一つとして、例えばマイコンが誤回答のテスト回答を意図的に監視ICに所定回数以上送信することにより、監視ICからフェイルセーフ信号が正常に出力されるか否かをマイコンが検証するという方法が考えられる。しかしながら、車両走行中に監視ICからフェイルセーフ信号が出力されてしまうと、制御対象であるエンジンの出力が制限されてしまうため、運転者に大きな違和感を与えるおそれがある。
本発明は、こうした実情に鑑みてなされたものであり、その目的は、制御対象の動作への影響を抑えつつ、フェイルセーフ信号が正常に出力されるか否かを検証することのできる電子制御装置を提供することにある。
上記課題を解決する電子制御装置(1)は、制御部(3)と、監視部(4)と、出力検証部(33,401)とを備える。制御部は、制御対象(A)の駆動を制御する。監視部は、制御部を監視するとともに、制御部の異常検知回数を示すエラーカウンタ(Ce)の値が判定規定値に達した際にフェイルセーフ信号を出力する。出力検証部は、監視部からフェイルセーフ信号が正常に出力されるか否かを検証する。監視部からフェイルセーフ信号が正常に出力されるか否かを検証する際に、制御部は、当該制御部の異常を意図的に監視部に検知させる。監視部からフェイルセーフ信号が正常に出力されるか否かを検証する際に、監視部は、判定規定値よりも小さい検査用規定値を有し、エラーカウンタの値が検査用規定値に達した際に、ワンショットパルス信号を出力する。出力検証部は、ワンショットパルス信号に基づき、監視部からフェイルセーフ信号が正常に出力されるか否かを検証する。
この構成によれば、出力検証部は、ワンショットパルス信号に基づいて、監視部からフェイルセーフ信号が正常に出力されるか否かを検証することができる。また、監視部からフェイルセーフ信号に代えてワンショットパルス信号が出力されるのであれば、制御対象がフェイルセーフ信号に応じた動作を行う期間を極短くすることができる。よって、制御対象の動作への影響を抑えることができる。
本発明によれば、制御対象の動作への影響を抑えつつ、フェイルセーフ信号が正常に出力されるか否かを検証することができる。
電子制御装置の第1実施形態についてその構成を示すブロック図。 第1実施形態の電子制御装置についてその監視ICから出力されるフェイルセーフ信号及びワンショットパルス信号の波形を示すグラフ。 第1実施形態の電子制御装置についてそのマイコンにより実行される処理の手順を示すフローチャート。 (a)〜(f)は、第1実施形態の電子制御装置について、マイコンからのテスト回答、検査用規定値Cth2、監視ICでの検査結果、エラーカウンタCe、タイマT、監視ICの出力、及び検査結果記憶部の記憶情報の推移を示すタイミングチャート。 電子制御装置の第2実施形態についてその構成を示すブロック図。 電子制御装置の第3実施形態についてその構成を示すブロック図。 第3実施形態の電子制御装置についてそのフィルタ部を通過したワンショットパルス信号の波形を示すグラフ。 電子制御装置の第4実施形態についてそのマイコンにより実行される処理の手順を示すフローチャート。 電子制御装置の第5実施形態についてそのマイコンにより実行される処理の手順を示すフローチャート。 (a)〜(f)は、第5実施形態の電子制御装置について、マイコンからのテスト回答、検査用規定値Cth2、監視ICでの検査結果、エラーカウンタCe、タイマT、監視ICの出力、及び検査結果記憶部の記憶情報の推移を示すタイミングチャート。 電子制御装置の他の実施形態についてその構成を示すブロック図。
<第1実施形態>
以下、電子制御装置(ECU)の一実施形態について説明する。
本実施形態の電子制御装置1は車両に搭載されている。図1に示されるように、電子制御装置1は、車両に搭載された各種センサSの出力信号に基づき、電気負荷としてのアクチュエータAの駆動を制御する。例えば電子制御装置1がエンジンの吸入空気量を制御するエンジン制御装置である場合、センサSは、アクセルペダルの踏み込み量を検出するアクセルポジションセンサからなり、アクチュエータAは、電子スロットル弁を駆動させるためのアクチュエータからなる。電子制御装置1は、駆動装置2と、制御部としてのマイクロコンピュータ3と、監視部としての監視IC4とを備えている。以下では、便宜上、マイクロコンピュータを「マイコン」と略記する。
マイコン3は、例えばMCU( Micro Processing Unit)からなり、各種制御機能30を有している。制御機能30は、CPUやROM等のハード的な構成と、ROMに記憶された制御プログラム等のソフトウェア的な構成とからなる。マイコン3は、各種制御機能30により、例えばセンサSの出力信号に基づき駆動装置2を駆動させるための制御信号を生成する。マイコン3は、各種制御機能30により生成された制御信号を駆動装置2に送信する。
駆動装置2は、端子T20,T21、及びそれらに接続される給電線W1,W2を介してアクチュエータAに電力を供給することにより、アクチュエータAを駆動させる。駆動装置2は、マイコン3から送信される制御信号に基づきアクチュエータAの供給電圧を制御する。すなわち、マイコン3は、制御信号により駆動装置2を介してアクチュエータAの駆動を制御する。
監視IC4は、マイコン3の制御機能30が正常に動作しているか否かを車両走行中に監視する。監視IC4は、マイコン3の制御機能30の異常を検出した場合、フェイルセーフ信号Sfsを駆動装置2に出力する。図2に実線で示されるように、本実施形態のフェイルセーフ信号Sfsは、その信号レベルのハイレベルが非アクティブ電位に設定され、ローレベルがアクティブ電位に設定された信号からなる。
図1に示されるように、駆動装置2は、監視IC4から送信されるフェイルセーフ信号Sfsを、入力端子T22を介して受信すると、フェイルセーフ処理を実行する。フェイルセーフ処理は、アクチュエータAの駆動を制限すべくアクチュエータへの供給電圧を変化させる処理からなる。例えばフェイルセーフ処理は、アクチュエータAの供給電圧を制限させることによりアクチュエータAの駆動を制限する処理や、アクチュエータAの供給電圧を遮断することによりアクチュエータAを停止させる処理等からなる。例えばアクチュエータAが電子スロットル弁からなる場合には、フェイルセーフ処理として、吸入吸気量を絞る処理等が実行される。
また、本実施形態のマイコン3は、監視IC4が正常に動作しているか否かを車両走行中に監視している。マイコン3は、監視IC4に異常が検出された場合、車両のインストルメントパネルに設けられた警告灯を点灯させる等して、監視IC4の異常を運転者に報知する等のフェイルセーフ処理を実行する。
次に、マイコン3及び監視IC4の相互監視の構成について詳しく説明する。はじめに、監視IC4がマイコン3を監視する構成について説明する。
マイコン3は、テスト選択検証部31と、テスト結果管理部32とを有している。
テスト選択検証部31は、監視IC4からの指令に基づき今回実施すべきテスト処理を選択する。具体的には、テスト選択検証部31は、予め設定された複数のテストIDの中から単数乃至複数のテストIDを選択する。テストIDは、複数のテスト処理毎に予め付された識別情報を表す。マイコン3は、テスト選択検証部31により選択されたテストIDに対応するテスト処理を複数のテスト対象#1,#2,…の各々について実施する。テスト対象#1,#2,…は、マイコン3の各種制御機能30に対して個別に設定されている。テスト対象#1,#2,…には、ハード的な構成のみならず、ソフトウェア的な構成も含まれている。テスト結果管理部32は、マイコン3により行われたテスト処理の結果を表すテスト回答を作成し、実施したテストIDとそのテスト回答とを監視IC4に送信する。
監視IC4は、テスト回答確認部40と、フェイルセーフ(F/S)出力部41とを有している。
テスト回答確認部40はロジック回路からなり、正誤判定回路400と、エラーカウンタCeとを有している。正誤判定回路400は、マイコン3から送信されるテスト回答の正誤を判定する。テスト回答確認部40は、正誤判定回路400によりマイコン3のテスト回答が誤りであると判定した場合には、エラーカウンタCeの値をインクリメントする。すなわち、エラーカウンタCeは、マイコン3の異常検知回数を示している。なお、エラーカウンタCeの初期値は「0」に設定されている。また、テスト回答確認部40は、正誤判定回路400によるテスト回答の正誤の判定結果を示すテスト回答確認結果、それに対応するテスト処理のテストID、及びエラーカウンタCeの値をマイコン3のテスト選択検証部31に送信する。
テスト選択検証部31は、監視IC4から送信されるテスト回答確認結果、テストID、及びエラーカウンタCeの値に基づいて、次回に実施すべきテスト処理のテストIDを選択する。したがって、マイコン3及び監視IC4の処理は、「テスト選択検証部31→テスト結果管理部32→テスト回答確認部40→テスト選択検証部31→…」の順で繰り返し行われることとなる。
こうしたマイコン3及び監視IC4による一連の処理が所定の周期で行われることにより、テスト回答確認部40がマイコン3のテスト回答の正誤を所定の周期で判定する。テスト回答確認部40は、エラーカウンタCeの値がインクリメントされて「1」となった時点からタイマTの計測を開始する。テスト回答確認部40は、タイマTが予め定められた第1閾値時間Tth1に達するまでにエラーカウンタCeの値が判定規定値Cth1に達しなかった場合には、エラーカウンタCeの値をクリアして「0」に戻す。テスト回答確認部40は、エラーカウンタCeの値が第1閾値時間Tth1に達した場合には、フェイルセーフ信号SfsをF/S出力部41、監視IC4の出力端子T40、及び信号線W3を介して駆動装置2に送信する。
駆動装置2は、監視IC4から送信されるフェイルセーフ信号Sfsを、入力端子T22を介して取り込む。図2に示されるように、駆動装置2は、入力端子T22の電位が認識下限電位Vmin以下になることに基づき、フェイルセーフ信号Sfsを受信したと判断する。認識下限電位Vminは、フェイルセーフ信号Sfsのアクティブ電位と非アクティブ電位との間の電位に設定されている。すなわち、駆動装置2は、フェイルセーフ信号Sfsの受信により、入力端子T22の電位が認識下限電位Vmin以下になると、フェイルセーフ信号Sfsを受信したと判断し、フェイルセーフ処理を実行する。
次に、マイコン3が監視IC4を監視する構成について説明する。
監視IC4は、出力検証部401と、検証結果記憶部402とを有している。
出力検証部401は、監視IC4からフェイルセーフ信号Sfsが正常に出力されるか否かを検証する。詳しくは、出力検証部401は、判定規定値Cth1よりも小さい値に設定された検査用規定値Cth2を有しており、エラーカウンタCeの値が検査用規定値Cth2に達すると、F/S出力部41を介して出力端子T40からワンショットパルス信号Spを出力する。
図2に一点鎖線で示されるように、ワンショットパルス信号Spは、パルス幅Hの短い信号であり、極短い期間だけアクティブ電位となる信号である。ワンショットパルス信号Spのパルス幅Hは、例えばワンショットパルス信号Spが駆動装置2に入力された場合でも、アクチュエータAの動作への影響がないように、あるいはアクチュエータAの動作への影響があったとしてもそれが極僅かなように設定される。
図1に示されるように、出力検証部401は、出力端子T40からワンショットパルス信号Spを出力した際、出力端子T40に配線W4を介して電気的に接続された入力端子T41の電位の変化を監視する。出力検証部401は、入力端子T41の電位の変化がワンショットパルス信号Spに対応した変化を示している場合には、監視IC4からフェイルセーフ信号Sfsが正常に出力されると判定する。これに対し、出力検証部401は、入力端子T41の電位の変化がワンショットパルス信号Spに対応した変化を示さなかった場合、例えば入力端子T41の電位が非アクティブ電位のまま変化しなかったような場合には、監視IC4からフェイルセーフ信号Sfsが正常に出力されないと判定する。具体的には、F/S出力部41及び出力端子T40の少なくとも一方に異常が生じていると判定する。
出力検証部401は、このような検証処理を通じて監視IC4からフェイルセーフ信号Sfsが正常に出力されるか否かを検証し、その検証結果を検証結果記憶部402に記憶する。検証結果記憶部402はレジスタからなる。
なお、出力検証部401は、監視IC4からのフェイルセーフ信号Sfsの出力が正常であるか否かを検証する際、タイマTに対して設定された閾値時間を、第1閾値時間Tth1よりも短い第2閾値時間Th2に設定する。
マイコン3は、監視IC4にテスト回答を送信する際に、監視IC4により「誤」と判定されるテスト回答を意図的に監視IC4に送信することにより、監視IC4の動作を監視する。次に、図3を参照して、監視IC4の動作を監視するためにマイコン3により実行される処理の手順を詳しく説明する。
図3に示されるように、マイコン3は、まず、検査フラグFがオン状態になっているか否かを判断する(ステップS10)。検査フラグFは、マイコン3に設けられたタイマにより車両の走行中に所定の周期でオンされる。マイコン3は、検査フラグFがオフ状態である場合には(ステップS10:NO)、そのまま処理を終了する。
マイコン3は、所定の周期毎に検査フラグFがオン状態であると判断すると(ステップS10:YES)、エラーカウンタCeに対して設定された判定規定値Cth1に基づいて検査用規定値Cth2を設定する(ステップS11)。具体的には、マイコン3は、以下の式fに基づいて検査用規定値Cth2を設定する。なお、「n」は、1以上の整数であり、予め設定されている。
Cth2=Cth1−n (f)
また、マイコン3は、設定した検査用規定値Cth2を監視IC4に送信する(ステップS12)。これにより、監視IC4は検査用規定値Cth2の情報をマイコン3から取得する。
次に、マイコン3のテスト結果管理部32は、監視IC4にテスト回答を送信する際に、監視IC4により「誤」と判定されるテスト回答を意図的に作成し、これを監視IC4に送信する(ステップS13)。すなわち、マイコン3は、当該マイコン3の異常を意図的に監視IC4に検知させる。以下では、便宜上、監視IC4により「誤」と判定されるテスト回答を「検査用テスト回答」と称する。マイコン3は、監視IC4への検査用テスト回答の送信回数が検査用規定値Cth2に達したか否かを判定する(ステップS14)。マイコン3は、検査用テスト回答の送信回数が検査用規定値Cth2に達していない場合には(ステップS14:NO)、ステップS13の処理を再度実行する。
マイコン3は、検査用テスト回答の送信回数が検査用規定値Cth2に達した場合には(ステップS14:YES)、監視IC4から出力検証結果を取得する(ステップS15)。出力検証結果の取得はテスト選択検証部31により行われる。テスト選択検証部31は、監視IC4の検証結果記憶部402に記憶された検証結果を読み込むことにより、監視IC4からフェイルセーフ信号Sfsが正常に出力されるか否かを判定する(ステップS16)。なお、テスト選択検証部31は、監視IC4からのフェイルセーフ信号Sfsの出力が異常であると判断した場合には、車両のインストルメントパネルに設けられた警告灯を点灯させる等して、監視IC4の異常を運転者に報知する。また、マイコン3は、検査フラグFをオフ状態に設定した後(ステップS17)、一連の処理を終了する。
次に、図4を参照して、本実施形態の電子制御装置1の動作について説明する。なお、図4の矢印は、マイコン3及び監視IC4のそれぞれの検査タイミングを表す。
図4(b)に示されるように、マイコン3は、時刻t10で検査フラグFがオン状態であると判断すると、検査用規定値Cth2を設定するとともに、これを監視IC4に送信する。また、図4(a)に示されるように、マイコン3は、時刻t10以降、監視IC4への検査用テスト回答の送信を開始する。したがって、図4(c)に示されるように、監視IC4は、時刻t10以降、マイコン3から送信されるテスト回答が「誤」であるとの判定を繰り返す。そのため、図4(d)に示されるように、監視IC4がマイコン3からのテスト回答が「誤」であると最初に判定する時刻t11以降、監視IC4のエラーカウンタCeが徐々に増加する。また、図4(e)に示されるように、監視IC4のタイマTの値も時刻t11から徐々に増加する。
図4(d)に示されるように、監視IC4は、時刻t12でエラーカウンタCeの値が検査用規定値Cth2に達すると、図4(f)に示されるように、ワンショットパルス信号Spを出力する。監視IC4は、このワンショットパルス信号Spに基づき、監視IC4がフェイルセーフ信号Sfsを正常に出力できると判定すると、図4(g)に示されるように、正常判定の結果を検証結果記憶部402に記憶させる。マイコン3は、時刻t12で検証結果記憶部402に記憶された判定結果を読み込むことにより、監視IC4からのフェイルセーフ信号Sfsの出力が正常であると判定する。
また、図4(d),(e)に示されるように、監視IC4は、時刻t13でタイマTの値が検査用規定値Cth2に達すると、エラーカウンタCe及びタイマTのそれぞれの値をクリアする。
以上説明した本実施形態の電子制御装置1によれば、以下の(1)及び(2)に示される作用及び効果を得ることができる。
(1)出力検証部401は、ワンショットパルス信号Spに基づいて、監視IC4からフェイルセーフ信号Sfsが正常に出力されるか否かを検証することができる。また、監視IC4からフェイルセーフ信号に代えてワンショットパルス信号Spが出力されるのであれば、アクチュエータAがフェイルセーフ信号に応じた動作を行う期間を極短くすることができる。これにより、アクチュエータAの動作への影響を抑えることができるため、運転者の違和感を軽減することができる。また、車両挙動への影響を抑制することができるため、監視IC4からフェイルセーフ信号Sfsが正常に出力されるか否かの検証を車両走行中に実行することができる。
(2)監視IC4には、フェイルセーフ信号Sfs及びワンショットパルス信号Spが出力される出力端子T40に配線W3,W4を介して接続される入力端子T41を設けることとした。また、出力検証部401は、監視IC4からワンショットパルス信号Spが出力された際、入力端子T41の電位変化に基づき、監視IC4からフェイルセーフ信号Sfsが正常に出力されるか否かを検証することとした。これにより、監視IC4からフェイルセーフ信号Sfsが正常に出力されるか否かを容易に検証することができる。
<第2実施形態>
次に、電子制御装置1の第2実施形態について説明する。以下、第1実施形態との相違点を中心に説明する。
図5に示されるように、本実施形態の電子制御装置1では、監視IC4の入力端子T41が駆動装置2の給電線W2に配線W5を介して接続されている点で第1実施形態と異なる。電子制御装置1は、配線W5の途中にモニタ回路5を備えている。モニタ回路5は、配線W5及び給電線W2を介して駆動装置2の端子T21の出力電圧を検出するとともに、検出した電圧に応じた電圧信号を出力する。モニタ回路5の出力信号は、監視IC4の入力端子T41に入力される。
次に、本実施形態の電子制御装置1の動作について説明する。
監視IC4が出力端子T40からワンショットパルス信号Spを出力し、このワンショットパルス信号Spが駆動装置2により受信されると、駆動装置2は、アクチュエータAの駆動を制限すべく、アクチュエータAへの供給電圧を一時的に変化させる。この際の電圧変化がモニタ回路5により検出される。監視IC4の出力検証部401は、入力端子T41を介して入力されるモニタ回路5の出力信号に基づき駆動装置2の供給電圧の変化を検出する。出力検証部401は、出力端子T40からワンショットパルス信号Spを出力した際、モニタ回路5の出力信号に基づき駆動装置2の供給電圧の変化を検出できた場合には、監視IC4からフェイルセーフ信号Sfsが正常に出力されると判定する。これに対し、出力検証部401は、モニタ回路5の出力信号に基づき駆動装置2の供給電圧の変化を検出することができなかった場合には、監視IC4からのフェイルセーフ信号Sfsの出力が異常であると判断する。また、出力検証部401は、モニタ回路5の出力信号に基づき駆動装置2の供給電圧の変化を検出できたとしても、その変化がワンショットパルス信号Spに対応するものでない場合には、監視IC4からのフェイルセーフ信号Sfsの出力が異常であると判断する。
以上説明した本実施形態の電子制御装置1によれば、上記の(1)の作用及び効果に加え、以下の(3)に示される作用及び効果を得ることができる。
(3)フェイルセーフ信号Sfsに対する駆動装置2の動作を含めて、フェイルセーフ信号Sfsの信頼性を検証することができるため、フェイルセーフ信号Sfsの有効性をより高い精度で検証することができる。
<第3実施形態>
次に、電子制御装置1の第3実施形態について説明する。以下、第1実施形態との相違点を中心に説明する。
図6に示されるように、本実施形態の電子制御装置1は、信号線W3にフィルタ部6を有している点で第1実施形態と異なる。フィルタ部6は、信号線W3における配線W4との接続点Pよりも駆動装置2側に設けられている。フィルタ部6は、監視IC4から駆動装置2に送信されるワンショットパルス信号Spの波形をなます機能を有している。より詳しくは、図7に示されるように、フィルタ部6は、フィルタ処理の施されたワンショットパルス信号Spの波形における最小電位が駆動装置2の入力端子T22の認識下限電位Vmin以下にならないようにワンショットパルス信号Spの波形をなます。
以上説明した本実施形態の電子制御装置1によれば、以下の(4)に示される作用及び効果を更に得ることができる。
(4)監視IC4から駆動装置2にワンショットパルス信号Spが送信された際に、駆動装置2の入力端子T22の電位が認識下限電位Vmin以下になり難くなる。これにより、ワンショットパルス信号Spに起因して駆動装置2の駆動が一時的に停止し難くなる。その結果、車両走行中に監視IC4から駆動装置2にワンショットパルス信号Spが送信された場合でも、車両挙動への影響を抑えることができるため、運転者の違和感を払拭することができる。
<第4実施形態>
次に、電子制御装置1の第4実施形態について説明する。以下、第1実施形態との相違点を中心に説明する。
本実施形態のマイコン3は、図3に示される処理に代えて、図8に示される処理を実行する。なお、図8に示される各処理のうち、図3に示される処理と同一の処理には同一の符号を付すことにより重複する説明を割愛する。
図8に示されるように、マイコン3は、検査用テスト回答の送信回数が検査用規定値Cth2に達した場合(ステップS14:YES)、監視IC4から出力検証結果とエラーカウンタCeの値とを取得する(ステップS20)。次に、マイコン3は、エラーカウンタCeの値が検査用規定値Cth2に一致しているか否かを判断する(ステップS21)。マイコン3は、エラーカウンタCeの値が検査用規定値Cth2に一致している場合には(ステップS21:YES)、監視IC4から取得した出力検証結果に基づき、監視IC4からフェイルセーフ信号Sfsが正常に出力されるか否かを判定する(ステップS16)。
マイコン3は、エラーカウンタCeの値が検査用規定値Cth2と一致しない場合には(ステップS21:NO)、マイコン3及び監視IC4のテスト回答確認部40の少なくとも一方に異常が生じていると判定する(ステップS22)。
以上説明した本実施形態の電子制御装置1によれば、以下の(5)に示される作用及び効果を更に得ることができる。
(5)マイコン3に異常が生じた場合、監視IC4のエラーカウンタCeの値が検査用規定値Cth2に達していないにも関わらず、検査用テスト回答の送信回数が検査用規定値Cth2に達したとマイコン3が誤判断する可能性がある。また、監視IC4の検証結果記憶部402に異常が生じた場合、エラーカウンタCeが異常値となる可能性がある。いずれの状況でも、検査用テスト回答の送信回数が検査用規定値Cth2に達したとマイコン3が判断した際に、実際にはエラーカウンタCeの値が検査用規定値Cth2に達していない状況が生じ得る。このような状況では、監視IC4の検証結果記憶部402に正常な出力検証結果が記憶されていないため、マイコン3が検証結果記憶部402に記憶された出力検証結果に基づき監視IC4からのフェイルセーフ信号Sfsの出力が正常であるか否かを判定すると、誤判定を行うおそれがある。
この点、本実施形態のマイコン3は、エラーカウンタCeの値が検査用規定値Cth2に一致しない場合には、マイコン3及び監視IC4のテスト結果管理部32の少なくとも一方に異常が生じていると判断することができる。これにより、上記のようなマイコン3の誤判定を回避することができるため、監視IC4からフェイルセーフ信号Sfsが正常に出力されるか否かをより的確に判定することができる。
<第5実施形態>
次に、電子制御装置1の第5実施形態について説明する。以下、第4実施形態との相違点を中心に説明する。
本実施形態のマイコン3は、図8に示される処理に代えて、図9に示される処理を実行する。なお、図9に示される各処理のうち、図8に示される処理と同一の処理には同一の符号を付すことにより重複する説明を割愛する。
図9に示されるように、本実施形態のマイコン3は、検査フラグFがオン状態であると判断すると(ステップS10:YES)、監視IC4からエラーカウンタCeの値を取得し、エラーカウンタCeの値が所定値Cth3以上であるか否かを判断する(ステップS30)。所定値Cth3は、判定規定値Cth1よりも小さい値に設定されている。
マイコン3は、エラーカウンタCeの値が所定値Cth3以上である場合には(ステップS30:YES)、そのまま処理を終了する。また、マイコン3は、エラーカウンタCeの値が所定値Cth3未満の場合には(ステップS30:NO)、ステップS11以降の処理を実行する。
次に、本実施形態の電子制御装置1の動作について説明する。
図10に示されるように、時刻t20で検査フラグFがオン状態となった際、エラーカウンタCeの値が所定値Cth3以上である場合には、それ以前に既に監視IC4によりマイコン3の異常が検出されている状況である。この場合、マイコン3は、時刻t20で監視IC4からフェイルセーフ信号が正常に出力されるか否かを検証する検証処理を開始しようとする際、エラーカウンタCeの値が所定値Cth3以上である場合には、そのまま検証処理を終了する。
以上説明した本実施形態の電子制御装置1によれば、以下の(6)に示される作用及び効果を更に得ることができる。
(6)図10に示されるような状況で、仮にマイコン3が時刻t20から検査用テスト回答を監視IC4に送信したとすると、監視IC4は検査用テスト回答に基づきエラーカウンタCeの値をインクリメントしてしまう。この場合、検査用テスト回答の送信に基づきエラーカウンタCeが判定規定値Cth1に達してしまい、監視IC4から駆動装置2にフェイルセーフ信号Sfsが誤送信されるおそれがある。
この点、本実施形態の電子制御装置1では、検査フラグFがオン状態となった際、エラーカウンタCeの値が所定値Cth3以上である場合には、マイコン3は検査用テスト回答を監視IC4に送信する処理を実行しない。これにより、検査用テスト回答の送信に基づき監視IC4がフェイルセーフ信号Sfsを誤送信する状況を回避できる。
<他の実施形態>
・図11に示されるように、監視IC4には、エラーカウンタCeに基づきワンショットパルス信号Spを生成する信号生成部403のみを設けても良い。この場合、マイコン3には、監視IC4の信号線W3に配線W6を介して接続される入力端子T30と、出力検証部33と、検証結果記憶部34とを設ける。出力検証部33は、ワンショットパルス信号Spを出力する機能を除き、第1実施形態の出力検証部401と同等の機能を有している。また、検証結果記憶部34は、第1実施形態の検証結果記憶部402と同等の機能を有している。このような構成であっても、第1実施形態の電子制御装置1と同等の作用及び効果を得ることができる。なお、同様の構成を第2〜第5実施形態の電子制御装置1で採用してもよい。
・各実施形態では、監視IC4によるマイコン3の検査、及びマイコン3による監視IC4の検査を車両走行中に行うこととしたが、それらの検査は車両走行中に限らず任意の時期に実行することが可能である。例えば車両のイグニッションスイッチのオン操作時やオフ操作時に監視IC4によるマイコン3の検査や、マイコン3による監視IC4の検査を行ってもよい。
・各実施形態のテスト回答確認部40は、タイマTが第1閾値時間Tth1に達するまでにエラーカウンタCeの値が判定規定値Cth1に達しないことを条件にエラーカウンタCeの値をクリアすることとした。これに代えて、テスト回答確認部40は、例えば正誤判定回路400によりマイコン3のテスト回答が正しいと判定された際に、エラーカウンタCeをクリア、あるいはデクリメントしてもよい。このような構成によれば、タイマTが不要となるため、監視IC4の構成を簡素化することができる。
・上記実施形態の構成は、車両に搭載された電子制御装置1に限らず、適宜の電子制御装置に適用することが可能である。
・電子制御装置1の制御対象は、アクチュエータAに限らず、適宜の電気負荷を採用することができる。
・本発明は上記の具体例に限定されるものではない。すなわち、上記の具体例に、当業者が適宜設計変更を加えたものも、本発明の特徴を備えている限り、本発明の範囲に包含される。例えば、前述した各具体例が備える各要素及びその配置や条件等は、例示したものに限定されるわけではなく適宜変更することができる。また、前述した実施形態が備える各要素は、技術的に可能な限りにおいて組み合わせることができ、これらを組み合わせたものも本発明の特徴を含む限り本発明の範囲に包含される。
1:電子制御装置
2:駆動装置
3:マイコン(制御部)
4:監視IC(監視部)
6:フィルタ部
33,401:出力検証部
A:アクチュエータ(制御対象,電気負荷)
Ce:エラーカウンタ
T30,T41:入力端子
T40:出力端子
W4,W6:配線

Claims (7)

  1. 電子制御装置(1)であって、
    制御対象(A)の駆動を制御する制御部(3)と、
    前記制御部を監視するとともに、前記制御部の異常検知回数を示すエラーカウンタ(Ce)の値が判定規定値に達した際にフェイルセーフ信号を出力する監視部(4)と、
    前記監視部から前記フェイルセーフ信号が正常に出力されるか否かを検証する出力検証部(33,401)と、を備え、
    前記監視部から前記フェイルセーフ信号が正常に出力されるか否かを検証する際に、前記制御部は、当該制御部の異常を意図的に前記監視部に検知させ、
    前記監視部から前記フェイルセーフ信号が正常に出力されるか否かを検証する際に、前記監視部は、前記判定規定値よりも小さい検査用規定値を有し、前記エラーカウンタの値が前記検査用規定値に達した際に、ワンショットパルス信号を出力し、
    前記出力検証部は、前記ワンショットパルス信号に基づき、前記監視部から前記フェイルセーフ信号が正常に出力されるか否かを検証することを特徴とする電子制御装置。
  2. 前記出力検証部は、
    前記フェイルセーフ信号及び前記ワンショットパルス信号が出力される前記監視部の出力端子(T40)に配線(W4,W6)を介して接続される入力端子(T30,T41)を有し、
    前記監視部から前記ワンショットパルス信号が出力された際、前記入力端子の電位変化に基づき、前記監視部から前記フェイルセーフ信号が正常に出力されるか否かを検証することを特徴とする請求項1に記載の電子制御装置。
  3. 前記制御部は、電気負荷(A)を前記制御対象とするとともに、駆動装置(2)を介して前記電気負荷の駆動を制御するものであり、
    前記監視部は、前記フェイルセーフ信号を前記駆動装置に出力するものであり、
    前記駆動装置は、前記フェイルセーフ信号を受信した際、前記電気負荷の駆動を制限すべく前記電気負荷への供給電圧を変化させるものであり、
    前記出力検証部は、前記監視部から前記ワンショットパルス信号が出力された際、前記駆動装置から前記電気負荷への供給電圧の変化に基づき、前記監視部から前記フェイルセーフ信号が正常に出力されるか否かを検証することを特徴とする請求項1に記載の電子制御装置。
  4. 前記制御部は、当該制御部の異常を意図的に前記監視部に検知させるための検査用テスト回答を前記検査用規定値で示される回数分送信したと判断した際に、前記監視部から前記エラーカウンタの値を取得し、取得した前記エラーカウンタの値が前記検査用規定値と一致しているか否かを判断し、それらが一致しない場合には、当該制御部及び前記監視部の少なくとも一方に異常が生じていると判定することを特徴とする請求項1〜3のいずれか一項に記載の電子制御装置。
  5. 前記制御部は、前記監視部から前記フェイルセーフ信号が正常に出力されるか否かを検証する検証処理を開始する際、前記エラーカウンタの値が所定値以上である場合、前記検証処理を行わないことを特徴とする請求項1〜4のいずれか一項に記載の電子制御装置。
  6. 前記制御部は、電気負荷を前記制御対象とするとともに、前記電気負荷の駆動を駆動装置を介して制御するものであり、
    前記監視部は、前記フェイルセーフ信号を前記駆動装置に出力するものであり、
    前記ワンショットパルス信号のパルス幅は、前記電気負荷の動作への影響のないパルス幅に設定されていることを特徴とする請求項1〜5のいずれか一項に記載の電子制御装置。
  7. 前記フェイルセーフ信号の波形をなますフィルタ部(6)を更に備えることを特徴とする請求項1〜6のいずれか一項に記載の電子制御装置。
JP2014236064A 2014-11-21 2014-11-21 電子制御装置 Active JP6341069B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2014236064A JP6341069B2 (ja) 2014-11-21 2014-11-21 電子制御装置
DE102015221980.1A DE102015221980A1 (de) 2014-11-21 2015-11-09 Elektronische Steuervorrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014236064A JP6341069B2 (ja) 2014-11-21 2014-11-21 電子制御装置

Publications (2)

Publication Number Publication Date
JP2016099798A JP2016099798A (ja) 2016-05-30
JP6341069B2 true JP6341069B2 (ja) 2018-06-13

Family

ID=55914451

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014236064A Active JP6341069B2 (ja) 2014-11-21 2014-11-21 電子制御装置

Country Status (2)

Country Link
JP (1) JP6341069B2 (ja)
DE (1) DE102015221980A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018131302A1 (ja) * 2017-01-12 2018-07-19 日立オートモティブシステムズ株式会社 電子制御装置
KR102195845B1 (ko) * 2019-08-06 2020-12-29 (주)모토닉 자가진단 기능을 가지는 연료공급 펌프 컨트롤러

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3716948B2 (ja) * 1996-04-19 2005-11-16 本田技研工業株式会社 車載用電子制御ユニット
JP3508614B2 (ja) * 1999-04-19 2004-03-22 三菱電機株式会社 自己監視機能付き車載用電子制御装置
JP3775194B2 (ja) * 2000-09-21 2006-05-17 日産自動車株式会社 車両用電子制御システムの故障検出装置
JP4396588B2 (ja) * 2005-06-23 2010-01-13 株式会社デンソー 電子制御装置
JP4432988B2 (ja) * 2007-03-14 2010-03-17 株式会社デンソー 電子制御装置
JP5846078B2 (ja) * 2012-08-24 2016-01-20 株式会社デンソー 電子制御装置
JP6018536B2 (ja) * 2013-04-23 2016-11-02 日立オートモティブシステムズ株式会社 車両用電子制御装置

Also Published As

Publication number Publication date
JP2016099798A (ja) 2016-05-30
DE102015221980A1 (de) 2016-05-25

Similar Documents

Publication Publication Date Title
EP2177918B1 (en) Sensor apparatus with failure diagnosis
JP6429903B2 (ja) ブラシレスdcモータを駆動制御および/または監視する装置および方法
US7941702B2 (en) Electronic control unit
CN106371348B (zh) 驱动装置
JP6207987B2 (ja) 車載用電子制御装置
JP6341069B2 (ja) 電子制御装置
US8779960B2 (en) Method for operating an electromechanical actuator
JP5582748B2 (ja) 車両用電子制御装置
US8225646B2 (en) Throttle body sweep diagnostic system and method
CN110231537B (zh) 一种ecu针脚错误配置的检测方法及装置
JP5741550B2 (ja) 制御装置及び車両制御システム
JP2002089336A (ja) 車両用電子制御システムの故障検出装置
JP6075262B2 (ja) 制御装置
JP2006195739A (ja) 電子制御装置
JP2015123748A (ja) 検査システム
US20140380086A1 (en) Load driving device
JP5713432B2 (ja) 駆動ユニットの制御装置及び制御方法
JP5361873B2 (ja) 電気コンポーネントの状態を内燃機関のエンジン制御装置にフィードバックするための方法およびシステム
JPWO2020059351A1 (ja) 電子制御装置
CN113022587B (zh) 非法诊断仪检测设备
KR20190134215A (ko) 전기적 연결성 검증 장치
JP2014054871A (ja) センサ装置
JP6396873B2 (ja) 電子制御装置及び診断方法
US20130080029A1 (en) Fail safe electronic throttle control pedal sensor
JP2014092028A (ja) エンジンの故障診断装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170421

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180411

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180417

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180430

R151 Written notification of patent or utility model registration

Ref document number: 6341069

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250