JP6683104B2 - Electronic control unit - Google Patents

Electronic control unit Download PDF

Info

Publication number
JP6683104B2
JP6683104B2 JP2016217505A JP2016217505A JP6683104B2 JP 6683104 B2 JP6683104 B2 JP 6683104B2 JP 2016217505 A JP2016217505 A JP 2016217505A JP 2016217505 A JP2016217505 A JP 2016217505A JP 6683104 B2 JP6683104 B2 JP 6683104B2
Authority
JP
Japan
Prior art keywords
power supply
supply circuit
microcomputer
signal
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016217505A
Other languages
Japanese (ja)
Other versions
JP2018078682A (en
Inventor
陽人 伊東
陽人 伊東
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2016217505A priority Critical patent/JP6683104B2/en
Priority to DE102017219390.5A priority patent/DE102017219390A1/en
Publication of JP2018078682A publication Critical patent/JP2018078682A/en
Application granted granted Critical
Publication of JP6683104B2 publication Critical patent/JP6683104B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/03Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/28Supervision thereof, e.g. detecting power-supply failure by out of limits supervision
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/30Means for acting in the event of power-supply failure or interruption, e.g. power-supply fluctuations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2015Redundant power supplies
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J1/00Circuit arrangements for dc mains or dc distribution networks
    • H02J1/06Two-wire systems
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J1/00Circuit arrangements for dc mains or dc distribution networks
    • H02J1/10Parallel operation of dc sources
    • H02J1/102Parallel operation of dc sources being switching converters
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3058Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J2310/00The network for supplying or distributing electric power characterised by its spatial reach or by the load
    • H02J2310/40The network being an on-board power network, i.e. within a vehicle
    • H02J2310/46The network being an on-board power network, i.e. within a vehicle for ICE-powered road vehicles
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J9/00Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting
    • H02J9/04Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source
    • H02J9/06Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source with automatic change-over, e.g. UPS systems
    • H02J9/062Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source with automatic change-over, e.g. UPS systems for AC powered loads

Description

本発明は、自動車に搭載される電子制御装置であって、当該電子制御装置内に設けられている電源回路が故障した場合に所定のフェールセーフ処理を実行する電子制御装置に関する。   The present invention relates to an electronic control device mounted on a vehicle, which executes predetermined fail-safe processing when a power supply circuit provided in the electronic control device fails.

車両に搭載された所定のアクチュエータを制御するための装置(いわゆる電子制御装置)は、車載センサから入力されるデータに基づいて種々の演算処理が実行するマイクロコンピュータ(以降、制御マイコン)や電源回路を備える。電源回路は、車載バッテリなどの車載電源から提供される電力に基づいて制御マイコン等の動作に適した電力を生成する回路である。   A device for controlling a predetermined actuator mounted on a vehicle (a so-called electronic control device) is a microcomputer (hereinafter, control microcomputer) or a power supply circuit that executes various arithmetic processes based on data input from an in-vehicle sensor. Equipped with. The power supply circuit is a circuit that generates electric power suitable for the operation of the control microcomputer or the like based on the electric power provided from the in-vehicle power source such as the in-vehicle battery.

また、この種の電子制御装置は、制御マイコンや電源回路等が正常に動作しているか否かを監視する異常検出機能を備えていることが一般的である。仮に異常検出機能が所定の異常事象を検出した場合、制御マイコン等は、その異常事象に応じたフェールセーフ処理を実行する。   In addition, this type of electronic control device generally has an abnormality detection function of monitoring whether or not the control microcomputer, the power supply circuit, and the like are operating normally. If the abnormality detection function detects a predetermined abnormal event, the control microcomputer or the like executes fail-safe processing according to the abnormal event.

例えば異常監視機能によって電源回路の異常が検出された場合には、制御マイコン等はフェールセーフ処理として、制御対象とするアクチュエータの動作を停止させたり、アクチュエータの出力を所定のレベル以下に制限したりする。   For example, if an abnormality in the power supply circuit is detected by the abnormality monitoring function, the control microcomputer, etc. may perform fail-safe processing to stop the operation of the actuator to be controlled or limit the output of the actuator to below a predetermined level. To do.

また、特許文献1では、電源回路の故障に伴って電子制御装置が提供する機能が急に停止してしまうことを防止するため、電源回路やマイコン等を2重化する構成が提案されている。   In addition, Patent Document 1 proposes a configuration in which the power supply circuit, the microcomputer, and the like are duplicated in order to prevent the function provided by the electronic control device from being suddenly stopped due to the failure of the power supply circuit. .

特開2016−128308号公報JP, 2016-128308, A

電源回路は、車載電源から供給される電力を取り扱うため、大きい電力に耐えることができる部品(以降、大電力部品)が多数必要となる。一般的に、大電力部品は、相対的に小さい電力を取り扱う部品(以降、小電力部品)に比べて故障しやすい。そのため、特許文献1に開示されているように電源回路を2重化した場合、電源回路部品(特に大電力部品)の増加により、故障率の増加が懸念される。   Since the power supply circuit handles the electric power supplied from the vehicle-mounted power supply, many parts capable of withstanding the large electric power (hereinafter, large power parts) are required. In general, high power components are more susceptible to failure than components handling relatively low power (hereinafter, small power components). Therefore, when the power supply circuit is duplicated as disclosed in Patent Document 1, there is a concern that the failure rate may increase due to an increase in power supply circuit components (particularly high power components).

電源回路の故障率が増加した場合には、異常検知に伴うフェールセーフ処理が実行される頻度もまた増加する。車両の機能(例えば駆動源の出力トルク)を制限するようなフェールセーフ処理の実行頻度が増加した場合、ユーザに違和感や煩わしさを与えてしまう恐れがある。   When the failure rate of the power supply circuit increases, the frequency of fail-safe processing associated with abnormality detection also increases. If the frequency of execution of the fail-safe processing that limits the function of the vehicle (for example, the output torque of the drive source) increases, the user may feel uncomfortable and annoyed.

本発明は、この事情に基づいて成されたものであり、その目的とするところは、電源回路の故障に伴うフェールセーフ処理の実行頻度を低減可能な電子制御装置を提供することにある。   The present invention has been made based on this situation, and an object thereof is to provide an electronic control device capable of reducing the frequency of execution of fail-safe processing due to a failure of a power supply circuit.

その目的を達成するための本発明は、車両に搭載されたセンサから入力されるデータに基づいて車両に搭載されている所定のアクチュエータの動作を制御するマイクロコンピュータである制御マイコン(11、12)と、車両に搭載されている電源装置から供給される電圧から制御マイコンを駆動するための電圧を生成して制御マイコンに供給する電源回路としての第1電源回路(15)と、第1電源回路が出力する電圧に基づいて第1電源回路の異常動作を検出する異常検出部(20)と、第1電源回路とは異なる電源回路であって、異常検出部の検出結果に応じて起動し、制御マイコンへの電力供給を行う第2電源回路(16)と、第1電源回路の出力端子と第2電源回路の出力端子と制御マイコンの電源用端子とを接続する電源線である内部電源ライン(Ln)と、を備え、第1電源回路は、所定の信号源から制御を開始するための信号である起動信号が入力されたことをトリガとして制御マイコンへの電力供給を開始するものであり、第1電源回路の異常動作を検出しないときに、異常検出部は、第2電源回路を停止させる信号を出力し、第1電源回路の異常動作を検出したときに、異常検出部は、第2電源回路を起動させる信号を出力することを特徴とする。 The present invention for achieving the object is a control microcomputer (11, 12) which is a microcomputer for controlling the operation of a predetermined actuator mounted on a vehicle based on data input from a sensor mounted on the vehicle. A first power supply circuit (15) as a power supply circuit for generating a voltage for driving the control microcomputer from a voltage supplied from a power supply device mounted on the vehicle and supplying the voltage to the control microcomputer; An abnormality detection unit (20) for detecting an abnormal operation of the first power supply circuit based on the voltage output by the first power supply circuit, and a power supply circuit different from the first power supply circuit, which is activated according to the detection result of the abnormality detection unit, a second power supply circuit for supplying power to the control microcomputer (16), the power supply line der connecting the output terminal and the power supply terminal of the output terminal and the control microcomputer of the second power source circuit of the first power supply circuit An internal power supply line (Ln), comprising a first power supply circuit starts supplying power to the control microcomputer as a trigger that the activation signal is a signal for starting the control from a given signal source is input When the abnormal operation of the first power supply circuit is not detected, the abnormality detection unit outputs a signal for stopping the second power supply circuit, and when the abnormal operation of the first power supply circuit is detected, the abnormality detection unit Outputs a signal for activating the second power supply circuit .

以上の構成では異常検出部によって第1電源回路の異常動作が検出されていない場合(以降、通常時)、第2電源回路は動作していない。その為、通常時において仮に第2電源回路が故障していても、その故障が不具合として発現する(換言すれば検出される)ことはない。故に、電源回路の故障に伴うフェールセーフ処理の実行頻度を低減することができる。   In the above configuration, when the abnormality detecting unit has not detected the abnormal operation of the first power supply circuit (hereinafter, normal time), the second power supply circuit is not operating. Therefore, even if the second power supply circuit fails in normal time, the failure does not appear as a defect (in other words, detected). Therefore, it is possible to reduce the execution frequency of the fail-safe processing due to the failure of the power supply circuit.

なお、特許請求の範囲に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本発明の技術的範囲を限定するものではない。   The reference numerals in parentheses in the claims indicate the correspondence with the specific means described in the embodiments described below as one aspect, and limit the technical scope of the present invention. is not.

本実施形態に係るECU1を含む車両システムの構成を示す図である。It is a figure which shows the structure of the vehicle system containing ECU1 which concerns on this embodiment. 本実施形態にかかるECU1の概略的な構成を示すブロック図である。It is a block diagram showing a schematic structure of ECU1 concerning this embodiment. 第1電源回路15の構成の一例を示す図である。3 is a diagram showing an example of a configuration of a first power supply circuit 15. FIG. 第2電源回路16の構成の一例を示す図である。It is a figure which shows an example of a structure of the 2nd power supply circuit 16. As shown in FIG. ECU1起動時の各部の作動を示すタイムチャートである。4 is a time chart showing the operation of each unit when the ECU 1 is started. 第1電源回路15故障時の各部の作動を示すタイムチャートである。5 is a time chart showing the operation of each part when the first power supply circuit 15 fails. 第1電源回路15の故障が発生した場合のIGSW8オフ時の作動を示すタイムチャートである。6 is a time chart showing an operation when the IGSW 8 is off when a failure of the first power supply circuit 15 occurs. 第1電源回路15が正常に動作している場合のIGSW8オフ時の作動を示すタイムチャートである。6 is a time chart showing the operation when the IGSW 8 is off when the first power supply circuit 15 is operating normally. ECU1の変形例を示した図である。It is a figure showing a modification of ECU1. ECU1の変形例を示した図である。It is a figure showing a modification of ECU1. ECU1の変形例を示した図である。It is a figure showing a modification of ECU1.

以下、本発明が適用された電子制御装置(以降、ECU:Electronic Control Unit)1について図を用いて説明する。本実施形態におけるECU1は、車両に搭載されているセンサ(つまり車載センサ)から入力されるデータに基づいて、車両の駆動源(例えばエンジン)の出力を制御する。   Hereinafter, an electronic control unit (hereinafter, ECU: Electronic Control Unit) 1 to which the present invention is applied will be described with reference to the drawings. The ECU 1 in the present embodiment controls the output of a drive source (for example, an engine) of the vehicle based on data input from a sensor (that is, an in-vehicle sensor) mounted on the vehicle.

もちろん、他の態様として、ECU1は操舵アクチュエータや、制動システムを制御するものであってもよい。また、ECU1は駆動源としてのモータの動作や、バッテリの充放電を制御するものであってもよい。ECU1の制御対象や、ECU1の役務は適宜設計されればよい。また、ECU1は、駆動源としてエンジンとモータの両方を備える車両(つまりハイブリッドカー)や、モータのみを駆動源として備える車両(つまり電気自動車)で用いられてもよい。   Of course, as another aspect, the ECU 1 may control a steering actuator or a braking system. Further, the ECU 1 may control the operation of the motor as a drive source and the charge / discharge of the battery. The control target of the ECU 1 and the service of the ECU 1 may be appropriately designed. Further, the ECU 1 may be used in a vehicle including both an engine and a motor as a drive source (that is, a hybrid car) or a vehicle including only a motor as a drive source (that is, an electric vehicle).

本実施形態にかかるECU1は、駆動源としてエンジンを備える車両に搭載されており、車載バッテリ2と電気的に接続されている。また、ECU1は、図1に示すように、電子スロットル3、アクセルセンサ4、スロットルセンサ5、及び警告灯6のそれぞれと、車両内に構築されている通信ネットワーク(以降、LAN:Local Area Network)7を介して接続されている。   The ECU 1 according to the present embodiment is mounted on a vehicle equipped with an engine as a drive source, and is electrically connected to the vehicle-mounted battery 2. In addition, as shown in FIG. 1, the ECU 1 includes an electronic throttle 3, an accelerator sensor 4, a throttle sensor 5, and a warning light 6, and a communication network (hereinafter, LAN: Local Area Network) built in the vehicle. It is connected via 7.

車載バッテリ2は、ECU1に対して所定のバッテリ電圧Vbを供給する二次電池である。車載バッテリ2が請求項に記載の電源装置に相当する。なお、車両には車載バッテリ2の出力電圧(以降、バッテリ電圧Vb)が常時印加されている電源ライン(以降、Bライン)と、ユーザによってイグニッションスイッチ(以下、IGSW)8がオンに設定された場合にバッテリ電圧Vbが印加される電源ライン(以降、IG電源ライン)がある。ECU1は、BラインとIG電源ラインのそれぞれと接続されている。   The vehicle-mounted battery 2 is a secondary battery that supplies a predetermined battery voltage Vb to the ECU 1. The vehicle-mounted battery 2 corresponds to the power supply device described in the claims. In addition, the power supply line (hereinafter, B line) to which the output voltage of the vehicle-mounted battery 2 (hereinafter, battery voltage Vb) is always applied to the vehicle, and the ignition switch (hereinafter, IGSW) 8 are turned on by the user. In some cases, there is a power supply line to which the battery voltage Vb is applied (hereinafter, IG power supply line). The ECU 1 is connected to each of the B line and the IG power line.

電子スロットル3は、エンジンへの吸入空気量を調節するスロットル弁31と、スロットル弁31を動かすためのアクチュエータとしてのモータ(以降、スロットルモータ)32とを、1つの製品としてまとめたものである。スロットルモータ32の出力トルクは、ECU1によって制御される。なお、電子スロットル3は、LAN7を介さずに、ECU1の制御信号が入力されるようにECU1と電気的に接続されていてもよい。   The electronic throttle 3 is a product in which a throttle valve 31 for adjusting the amount of intake air to the engine and a motor (hereinafter, throttle motor) 32 as an actuator for moving the throttle valve 31 are integrated into one product. The output torque of the throttle motor 32 is controlled by the ECU 1. The electronic throttle 3 may be electrically connected to the ECU 1 so that the control signal of the ECU 1 is input, not via the LAN 7.

アクセルセンサ4は、運転者によるアクセルペダルの操作位置をアクセル操作量として検出するセンサである。スロットルセンサ5は、スロットル弁31の位置(換言すれば回転角度)をスロットル開度として検出するセンサである。アクセルセンサ4やスロットルセンサ5の検出結果はECU1に逐次提供される。   The accelerator sensor 4 is a sensor that detects the operation position of the accelerator pedal by the driver as an accelerator operation amount. The throttle sensor 5 is a sensor that detects the position of the throttle valve 31 (in other words, the rotation angle) as the throttle opening. The detection results of the accelerator sensor 4 and the throttle sensor 5 are sequentially provided to the ECU 1.

警告灯6は、ECU1の電源回路に所定の不具合が生じていることを乗員に通知するための装置であって、例えばLED等を用いて実現されている。警告灯6は、ECU1からの指示に基づき動作(すなわち点灯又は点滅)する。   The warning light 6 is a device for notifying an occupant that a predetermined malfunction has occurred in the power supply circuit of the ECU 1, and is realized by using, for example, an LED or the like. The warning light 6 operates (that is, lights up or blinks) based on an instruction from the ECU 1.

ECU1は、アクセルセンサ4やスロットルセンサ5から入力されるデータに基づいてスロットルモータ32を制御する。これにより、エンジンの出力トルクを間接的に制御する。ECU1は、図2に示すように、メインマイコン11、サブマイコン12、第1通信ドライバ13、第2通信ドライバ14、第1電源回路15、第2電源回路16、駆動維持部17、第1電源起動部18、第2電源起動部19、異常検出部20、安定化フィルタ21、及び遅延フィルタ22を備える。   The ECU 1 controls the throttle motor 32 based on the data input from the accelerator sensor 4 and the throttle sensor 5. This indirectly controls the output torque of the engine. As shown in FIG. 2, the ECU 1 includes a main microcomputer 11, a sub-microcomputer 12, a first communication driver 13, a second communication driver 14, a first power supply circuit 15, a second power supply circuit 16, a drive maintaining unit 17, a first power supply. The activation unit 18, the second power supply activation unit 19, the abnormality detection unit 20, the stabilization filter 21, and the delay filter 22 are provided.

メインマイコン11やサブマイコン12は、中央演算装置としてのCPU、不揮発性の記憶媒体であるROM、揮発性の記憶媒体であるRAM、レジスタなどを用いて実現されているマイクロコンピュータ(以降、マイコン)である。メインマイコン11は所定の電圧範囲で動作するように構成されている。つまり、動作電圧としての下限値及び上限値が規定されている。   The main microcomputer 11 and the sub-microcomputer 12 are a microcomputer (hereinafter referred to as a microcomputer) realized by using a CPU as a central processing unit, a ROM which is a non-volatile storage medium, a RAM which is a volatile storage medium, a register and the like. Is. The main microcomputer 11 is configured to operate in a predetermined voltage range. That is, the lower limit and the upper limit of the operating voltage are specified.

ここでは一例として、メインマイコン11は4.0V〜5.5Vの電圧で動作するように構成されているものとする。サブマイコン12も同様に4.0V〜5.5Vの電圧で動作するように構成されている。便宜上、メインマイコン11やサブマイコン12が動作する電圧範囲のことを以降ではマイコン動作範囲と称する。マイコン動作範囲が請求項に記載の動作電圧範囲に相当する。   Here, as an example, it is assumed that the main microcomputer 11 is configured to operate at a voltage of 4.0V to 5.5V. Similarly, the sub-microcomputer 12 is also configured to operate at a voltage of 4.0V to 5.5V. For convenience, the voltage range in which the main microcomputer 11 and the sub-microcomputer 12 operate is hereinafter referred to as the microcomputer operation range. The microcomputer operating range corresponds to the operating voltage range described in the claims.

メインマイコン11とサブマイコン12は、双方向通信可能に接続されている。また、メインマイコン11は第1通信ドライバ13と双方向通信可能に接続されている。サブマイコン12は第2通信ドライバ14と双方向通信可能に接続されている。メインマイコン11はリセット信号の入力端子としてリセット入力端子を備えている。   The main microcomputer 11 and the sub-microcomputer 12 are connected so that bidirectional communication is possible. Further, the main microcomputer 11 is connected to the first communication driver 13 so as to be capable of bidirectional communication. The sub-microcomputer 12 is connected to the second communication driver 14 so as to be capable of bidirectional communication. The main microcomputer 11 has a reset input terminal as an input terminal for a reset signal.

サブマイコン12は、異常検出部20の出力信号が入力される入力端子を備える。また、サブマイコン12は、信号の出力端子として、第1電源保持端子、第2電源保持端子、及びクリア信号出力端子を備える。サブマイコン12は書き換え可能な不揮発性の記憶媒体である不揮発性メモリ121を備える。メインマイコン11及びサブマイコン12の作動については別途後述する。   The sub-microcomputer 12 has an input terminal to which the output signal of the abnormality detection unit 20 is input. Further, the sub-microcomputer 12 includes a first power source holding terminal, a second power source holding terminal, and a clear signal output terminal as signal output terminals. The sub-microcomputer 12 includes a non-volatile memory 121 which is a rewritable non-volatile storage medium. The operation of the main microcomputer 11 and the sub-microcomputer 12 will be described later separately.

メインマイコン11及びサブマイコン12のそれぞれが請求項に記載の制御マイコンに相当する。特に、メインマイコン11が請求項に記載の第1マイコンに相当し、サブマイコン12が請求項に記載の第2マイコンに相当する。   Each of the main microcomputer 11 and the sub-microcomputer 12 corresponds to the control microcomputer described in the claims. In particular, the main microcomputer 11 corresponds to the first microcomputer described in the claims, and the sub-microcomputer 12 corresponds to the second microcomputer described in the claims.

以降では一例としてECU1が備える各部は正論理で動作するように構成されているものとする。もちろん、他の態様としてECU1が備える各部は、負論理で動作するように構成されていても良い。駆動維持部17や、第1電源起動部18、第2電源起動部19、異常検出部20等は、ローレベルとハイレベルと2レベルの信号を出力するように構成されている。   Hereinafter, as an example, it is assumed that each unit included in the ECU 1 is configured to operate in positive logic. Of course, as another aspect, each unit included in the ECU 1 may be configured to operate in negative logic. The drive maintaining unit 17, the first power supply starting unit 18, the second power supply starting unit 19, the abnormality detection unit 20, and the like are configured to output signals of low level, high level, and two levels.

第1通信ドライバ13は、メインマイコン11がLAN7に接続している他のデバイス(例えばECUやセンサ等)と通信するためのドライバ回路である。第2通信ドライバ14は、サブマイコン12がLAN7に接続している他のデバイス(例えばECUやセンサ等)と通信するためのドライバ回路である。なお、本実施形態ではメインマイコン11用の通信ドライバとサブマイコン12用の通信ドライバを別々に設けた構成を採用しているがこれに限らない。メインマイコン11とサブマイコン12とで1つの通信ドライバを共用しても良い。   The first communication driver 13 is a driver circuit for the main microcomputer 11 to communicate with other devices connected to the LAN 7 (for example, an ECU and a sensor). The second communication driver 14 is a driver circuit for the sub-microcomputer 12 to communicate with other devices (for example, an ECU and a sensor) connected to the LAN 7. In this embodiment, the communication driver for the main microcomputer 11 and the communication driver for the sub microcomputer 12 are separately provided, but the configuration is not limited to this. One communication driver may be shared by the main microcomputer 11 and the sub-microcomputer 12.

第1電源回路15は、車載バッテリ2から入力されるバッテリ電圧Vbを、メインマイコン11等の動作に適した所定の電圧に変換して出力する回路モジュールである。ここでは一例としてメインマイコン11やサブマイコン12に入力する電圧の目標値(以降、目標印加電圧)は5Vに設定されているものとする。すなわち、本実施形態の第1電源回路15は、バッテリ電圧Vb=12Vを目標印加電圧としての5Vに変換して出力する。   The first power supply circuit 15 is a circuit module that converts the battery voltage Vb input from the vehicle-mounted battery 2 into a predetermined voltage suitable for the operation of the main microcomputer 11 and outputs the voltage. Here, as an example, it is assumed that the target value of the voltage input to the main microcomputer 11 and the sub-microcomputer 12 (hereinafter, target applied voltage) is set to 5V. That is, the first power supply circuit 15 of the present embodiment converts the battery voltage Vb = 12V into 5V as the target applied voltage and outputs it.

また、第1電源回路15は、車載バッテリ2から入力される電力に基づいて、550mAの電流を出力可能に構成されている。つまり、第1電源回路15は、5V、550mAの電力をメインマイコン11等に供給する内部電源として機能する。図2中に示すV1は、第1電源回路15の出力電圧(以降、第1出力電圧)を表している。第1電源回路15は、第1出力電圧V1が4.95Vから5.05Vまでの範囲に収まるように構成されている。   Further, the first power supply circuit 15 is configured to be able to output a current of 550 mA based on the electric power input from the vehicle-mounted battery 2. That is, the first power supply circuit 15 functions as an internal power supply that supplies electric power of 5 V and 550 mA to the main microcomputer 11 and the like. V1 shown in FIG. 2 represents the output voltage of the first power supply circuit 15 (hereinafter, the first output voltage). The first power supply circuit 15 is configured so that the first output voltage V1 falls within the range from 4.95V to 5.05V.

図3は第1電源回路15の具体的な回路構成の一例を示す図である。図3に示すように第1電源回路15は、電力変換回路151aと電圧制御回路151bとが実装された第1電源IC151と、変換用付加回路152と、制御用付加回路153と、を備える。   FIG. 3 is a diagram showing an example of a specific circuit configuration of the first power supply circuit 15. As shown in FIG. 3, the first power supply circuit 15 includes a first power supply IC 151 in which a power conversion circuit 151a and a voltage control circuit 151b are mounted, a conversion additional circuit 152, and a control additional circuit 153.

変換用付加回路152にはバッテリ電圧Vb=12Vが入力される。変換用付加回路152は、電力変換回路151aと協働して、出力電圧が所定の中間電圧V1aとなるようにバッテリ電圧Vbを電力変換する。中間電圧V1aは、目標印加電圧としての5Vよりも高く、かつ、バッテリ電圧Vbよりも低い値であればよい。ここでは一例として中間電圧V1aは6Vに設定されている。   The battery voltage Vb = 12V is input to the conversion additional circuit 152. The conversion additional circuit 152 cooperates with the power conversion circuit 151a to convert the battery voltage Vb so that the output voltage becomes the predetermined intermediate voltage V1a. The intermediate voltage V1a may be a value higher than 5V as the target applied voltage and lower than the battery voltage Vb. Here, as an example, the intermediate voltage V1a is set to 6V.

制御用付加回路153には、変換用付加回路152の出力電圧である中間電圧V1aが入力される。前述の第1出力電圧V1とは、制御用付加回路153の出力電圧である。制御用付加回路153は、電圧制御回路151bと協働して、第1出力電圧V1が目標印加電圧となるように中間電圧V1aを変換する。   The intermediate voltage V1a, which is the output voltage of the conversion additional circuit 152, is input to the control additional circuit 153. The above-mentioned first output voltage V1 is the output voltage of the additional control circuit 153. The additional control circuit 153 cooperates with the voltage control circuit 151b to convert the intermediate voltage V1a so that the first output voltage V1 becomes the target applied voltage.

なお、電力変換回路や定電圧回路は周知であるため、これらの詳細な説明は省略する。また、第1電源回路15は、図3に示す構成以外の構成によって実現されていてもよい。第1電源回路15は周知の回路構成を援用して実現されれば良い。   Since the power conversion circuit and the constant voltage circuit are well known, their detailed description will be omitted. Further, the first power supply circuit 15 may be realized by a configuration other than the configuration shown in FIG. The first power supply circuit 15 may be realized by using a known circuit configuration.

上述した第1電源回路15は、信号入力端子として、第1電源起動部18の出力端子と接続されている端子(以降、第1起動入力端子)を備える。第1電源回路15は、第1電源起動部18からハイレベルの信号が入力されている場合に駆動し、出力電圧V1として5Vを出力する。第1電源起動部18から入力されている信号がハイレベルではない場合、つまり、ローレベル信号が入力されている場合、第1電源回路15は停止する。第1電源回路15が停止している場合の第1出力電圧V1は0Vである。第1電源起動部18が出力するハイレベル信号が、第1電源回路15にとっての駆動信号として機能する。   The above-described first power supply circuit 15 includes, as a signal input terminal, a terminal connected to the output terminal of the first power supply starting unit 18 (hereinafter, first start input terminal). The first power supply circuit 15 is driven when a high level signal is input from the first power supply start-up unit 18, and outputs 5V as the output voltage V1. When the signal input from the first power supply activation unit 18 is not at the high level, that is, when the low level signal is input, the first power supply circuit 15 stops. The first output voltage V1 when the first power supply circuit 15 is stopped is 0V. The high-level signal output from the first power supply activation unit 18 functions as a drive signal for the first power supply circuit 15.

第1電源回路15の出力端子は、電源線である内部電源ラインLnと接続されている。故に、第1電源回路15が正常に動作している場合、内部電源ラインLnには5Vが印加される。内部電源ラインLnは、メインマイコン11及びサブマイコン12のそれぞれの電源用端子と接続されている。さらに、内部電源ラインLnは異常検出部20とも接続されている。また、内部電源ラインLnには、第2電源回路16の出力端子とも接続されている。   The output terminal of the first power supply circuit 15 is connected to the internal power supply line Ln which is a power supply line. Therefore, when the first power supply circuit 15 is operating normally, 5V is applied to the internal power supply line Ln. The internal power supply line Ln is connected to the respective power supply terminals of the main microcomputer 11 and the sub-microcomputer 12. Further, the internal power supply line Ln is also connected to the abnormality detection unit 20. The output terminal of the second power supply circuit 16 is also connected to the internal power supply line Ln.

第2電源回路16は、車載バッテリ2から入力されるバッテリ電圧Vbを目標印加電圧に変換して出力する回路モジュールである。すなわち、本実施形態の第2電源回路16は、バッテリ電圧Vb=12Vを目標印加電圧としての5Vに変換して出力する。   The second power supply circuit 16 is a circuit module that converts the battery voltage Vb input from the vehicle-mounted battery 2 into a target applied voltage and outputs the target applied voltage. That is, the second power supply circuit 16 of the present embodiment converts the battery voltage Vb = 12V into 5V as the target applied voltage and outputs it.

また、第2電源回路16は、車載バッテリ2から入力される電力に基づいて、50mAまでの電流を出力可能に構成されている。つまり、第2電源回路16は、5V、50mAの電力を供給する内部電源として機能する。図2中に示すV2は、第2電源回路16の出力電圧(以降、第2出力電圧)を表している。   Further, the second power supply circuit 16 is configured to be able to output a current of up to 50 mA based on the electric power input from the vehicle-mounted battery 2. That is, the second power supply circuit 16 functions as an internal power supply that supplies electric power of 5V and 50mA. V2 shown in FIG. 2 represents the output voltage of the second power supply circuit 16 (hereinafter, the second output voltage).

図4は第2電源回路16の具体的な回路構成の一例を示す図である。図4に示すように第2電源回路16は、電圧制御回路161aが実装された第2電源用IC161と、制御用付加回路162と、を備える。   FIG. 4 is a diagram showing an example of a specific circuit configuration of the second power supply circuit 16. As shown in FIG. 4, the second power supply circuit 16 includes a second power supply IC 161 in which the voltage control circuit 161a is mounted and a control additional circuit 162.

制御用付加回路162には、バッテリ電圧Vbが入力される。前述の第2出力電圧V2は、制御用付加回路162の出力電圧である。制御用付加回路162は、電圧制御回路161aと協働して、第2出力電圧V2が目標印加電圧となるようにバッテリ電圧Vbを変換する。なお、第2電源回路16は、図4に示す構成以外の構成によって実現されていてもよい。第2電源回路16は周知の回路構成を援用して実現されれば良い。   The battery voltage Vb is input to the additional control circuit 162. The second output voltage V2 described above is the output voltage of the additional control circuit 162. The additional control circuit 162 cooperates with the voltage control circuit 161a to convert the battery voltage Vb so that the second output voltage V2 becomes the target applied voltage. The second power supply circuit 16 may be realized by a configuration other than the configuration shown in FIG. The second power supply circuit 16 may be realized by using a known circuit configuration.

上述した第2電源回路16は、入力端子として、第2電源起動部19の出力端子と接続されている端子(以降、第2起動入力端子)を備えている。第2電源回路16は、第2電源起動部19からハイレベル信号が入力されている場合に駆動し、第2出力電圧V2として5Vを出力する。第2電源起動部19からハイレベル信号が入力されていない場合、換言すれば第2電源起動部19からローレベル信号が出力されている場合、第2電源回路16は停止する。第2電源回路16が停止している場合、第2出力電圧V2は0Vとなる。第2電源起動部19が出力するハイレベル信号が第2電源回路16にとっての駆動信号として機能する。   The second power supply circuit 16 described above includes, as an input terminal, a terminal connected to the output terminal of the second power supply start-up unit 19 (hereinafter, second start-up input terminal). The second power supply circuit 16 is driven when a high level signal is input from the second power supply activation unit 19 and outputs 5V as the second output voltage V2. When the high level signal is not input from the second power supply starting unit 19, in other words, when the low level signal is output from the second power supply starting unit 19, the second power supply circuit 16 is stopped. When the second power supply circuit 16 is stopped, the second output voltage V2 is 0V. The high-level signal output by the second power supply activation unit 19 functions as a drive signal for the second power supply circuit 16.

第2電源回路16の出力端子は、内部電源ラインLnと接続されている。故に、第2電源回路16が正常に動作している場合、内部電源ラインLnには5Vが印加される。ただし、後述するように第2電源回路16は、第1電源回路15が正常に動作している間は、動作しないように構成されている。   The output terminal of the second power supply circuit 16 is connected to the internal power supply line Ln. Therefore, when the second power supply circuit 16 is operating normally, 5V is applied to the internal power supply line Ln. However, as will be described later, the second power supply circuit 16 is configured not to operate while the first power supply circuit 15 is normally operating.

駆動維持部17は、2つの入力端子と1つの出力端子を備えており、2つの入力端子の一方はIG電源ラインと接続されている。また、他方の入力端子は、サブマイコン12が備える第1電源保持端子と接続されている。   The drive maintaining unit 17 has two input terminals and one output terminal, and one of the two input terminals is connected to the IG power line. The other input terminal is connected to the first power supply holding terminal included in the sub-microcomputer 12.

駆動維持部17は、2つの入力信号の論理和を出力する構成であり、周知のOR回路を用いて実現されれば良い。周知のOR回路には、ワイヤードORも含まれる。IGSW8がオンに設定されている場合、IG電源ラインには所定の閾値以上の電圧信号(すなわちハイレベル信号)が入力される。   The drive maintaining unit 17 is configured to output a logical sum of two input signals, and may be realized by using a well-known OR circuit. The known OR circuit includes a wired OR. When the IGSW 8 is set to ON, a voltage signal (that is, a high level signal) equal to or higher than a predetermined threshold is input to the IG power line.

駆動維持部17は、IGSW8がオンに設定されているか、若しくは、サブマイコン12からハイレベル信号が入力された場合に、ハイレベルの信号を出力する。IGSW8がオンに設定されておらず、かつ、サブマイコン12から第1保持信号が入力されていない場合には、ローレベルの信号を出力する。駆動維持部17の出力信号は、第1電源起動部18及び遅延フィルタ22に入力される。IGSW8のオンに伴ってIG電源ラインから駆動維持部17に入力されるハイレベル信号が請求項に記載の起動信号に相当する。また、IGSW8が請求項に記載の信号源に相当する。   The drive maintaining unit 17 outputs a high level signal when the IGSW 8 is set to ON or when a high level signal is input from the sub-microcomputer 12. When the IGSW 8 is not set to ON and the first holding signal is not input from the sub-microcomputer 12, the low level signal is output. The output signal of the drive maintaining unit 17 is input to the first power supply starting unit 18 and the delay filter 22. A high level signal input from the IG power line to the drive maintaining unit 17 when the IGSW 8 is turned on corresponds to the activation signal described in the claims. Further, the IGSW 8 corresponds to the signal source described in the claims.

第1電源起動部18は、2つの入力端子と1つの出力端子を備えており、2つの入力端子の一方は、駆動維持部17の出力端子と接続されている。つまり、第1電源起動部18には、駆動維持部17の出力信号が入力される。また、他方の入力端子には、第2電源起動部19の出力信号を反転した信号が入力される。つまり、第2電源起動部19の出力信号がハイレベルである場合にはローレベルが入力される一方、第2電源起動部19の出力信号がローレベルである場合にはハイレベルが入力される。   The first power supply starting unit 18 includes two input terminals and one output terminal, and one of the two input terminals is connected to the output terminal of the drive maintaining unit 17. That is, the output signal of the drive maintaining unit 17 is input to the first power supply starting unit 18. Further, a signal obtained by inverting the output signal of the second power supply starting section 19 is input to the other input terminal. That is, a low level is input when the output signal of the second power supply activation unit 19 is at a high level, while a high level is input when the output signal of the second power supply activation unit 19 is at a low level. .

第1電源起動部18は、2入力の論理積を出力する構成であり、周知のAND回路を用いて実現されればよい。第1電源起動部18は、駆動維持部17の出力がハイレベルであり、かつ、第2電源起動部19の出力がローレベルである場合に、ハイレベル信号を出力する。その他の場合、すなわち、駆動維持部17の出力がローレベルであるか、若しくは、第2電源起動部19の出力がハイレベルである場合には、ローレベル信号を出力する。   The first power supply activation unit 18 is configured to output a logical product of two inputs and may be realized by using a well-known AND circuit. The first power supply starting unit 18 outputs a high level signal when the output of the drive maintaining unit 17 is at a high level and the output of the second power supply starting unit 19 is at a low level. In other cases, that is, when the output of the drive maintaining unit 17 is at the low level or the output of the second power supply starting unit 19 is at the high level, the low level signal is output.

第2電源起動部19は、2つの入力端子と1つの出力端子を備えており、2つの入力端子の一方は異常検出部20の出力端子と接続されている。また、他方の入力端子は、サブマイコン12が備える第2電源保持端子と接続されている。   The second power supply activation unit 19 has two input terminals and one output terminal, and one of the two input terminals is connected to the output terminal of the abnormality detection unit 20. The other input terminal is connected to the second power supply holding terminal provided in the sub-microcomputer 12.

第2電源起動部19は、2つの入力信号の論理和を出力する構成であり、周知のOR回路を用いて実現されれば良い。第2電源起動部19は、異常検出部20がハイレベル信号を出力しているか、若しくは、サブマイコン12からハイレベル信号が入力された場合に、ハイレベル信号を出力する。第2電源起動部19は、異常検出部20がハイレベル信号を出力されておらず、かつ、サブマイコン12から第2電源保持信号が入力されていない場合には、ローレベルの信号を出力する。   The second power supply activation unit 19 is configured to output a logical sum of two input signals, and may be realized by using a well-known OR circuit. The second power supply activation unit 19 outputs the high level signal when the abnormality detection unit 20 outputs the high level signal or when the high level signal is input from the sub-microcomputer 12. The second power supply activation unit 19 outputs a low level signal when the abnormality detection unit 20 does not output a high level signal and the second power supply holding signal is not input from the sub-microcomputer 12. .

第2電源起動部19の出力信号は、第2電源回路16に入力される。また、第2電源起動部19の出力端子は、メインマイコン11が備えるリセット入力端子とも接続されている。故に、第2電源起動部19がハイレベル信号を出力している間は、メインマイコン11がリセット状態で保持され、動作を停止することになる。さらに、第2電源起動部19の出力信号は、ハイレベル/ローレベルが反転されて第1電源起動部18に入力される。   The output signal of the second power supply activation unit 19 is input to the second power supply circuit 16. Further, the output terminal of the second power supply starting unit 19 is also connected to the reset input terminal provided in the main microcomputer 11. Therefore, while the second power supply activation unit 19 outputs the high level signal, the main microcomputer 11 is held in the reset state and the operation is stopped. Further, the output signal of the second power source activation unit 19 is inverted in high level / low level and input to the first power source activation unit 18.

異常検出部20は、内部電源ラインLnと接続されており、異常検出部20は起動している間、内部電源ラインLnに印加されている電圧の値を逐次取得する。そして、内部電源ラインLnに印加されている電圧が所定の正常範囲外の値となった場合に、当該事象を第1電源回路15の異常動作として検出する。つまり、異常検出部20は、内部電源ラインLnに印加されている電圧が所定の正常範囲外の値となった場合に、第1電源回路15が正常に動作していない(換言すれば異常が生じた)と判定する構成に相当する。   The abnormality detection unit 20 is connected to the internal power supply line Ln, and while the abnormality detection unit 20 is activated, it sequentially acquires the value of the voltage applied to the internal power supply line Ln. Then, when the voltage applied to the internal power supply line Ln becomes a value outside the predetermined normal range, the event is detected as an abnormal operation of the first power supply circuit 15. That is, when the voltage applied to the internal power supply line Ln becomes a value outside the predetermined normal range, the abnormality detection unit 20 does not normally operate the first power supply circuit 15 (in other words, the abnormality occurs). This is equivalent to the configuration for determining that (has occurred)

なお、後述するようにIGSW8がオンとなってから第1電源回路15の異常動作が検出されるまでは、第2電源回路16を動作させず、第1電源回路15のみの出力電圧が内部電源ラインLnに印加される。したがって、内部電源ラインLnに印加されている電圧を監視することは、第1電源回路15の出力電圧を監視することに相当する。   As will be described later, until the abnormal operation of the first power supply circuit 15 is detected after the IGSW 8 is turned on, the second power supply circuit 16 is not operated and the output voltage of only the first power supply circuit 15 is the internal power supply. It is applied to the line Ln. Therefore, monitoring the voltage applied to the internal power supply line Ln corresponds to monitoring the output voltage of the first power supply circuit 15.

つまり、異常検出部20は、第1電源回路15の出力電圧に基づいて第1電源回路15の異常動作を検出する構成である。なお、第1電源回路15の異常動作を検出することは、第1電源回路15が正常に動作しているか否かを判定することに相当する。ここでの正常範囲の下限値はマイコン動作範囲の下限値よりも高く、かつ、正常範囲の上限値はマイコン動作範囲の上限値よりも低く設定されているものとする。例えば正常範囲は4.5V〜5.2Vなどとすれば良い。正常範囲が請求項に記載の正常電圧範囲に相当する。   That is, the abnormality detection unit 20 is configured to detect the abnormal operation of the first power supply circuit 15 based on the output voltage of the first power supply circuit 15. It should be noted that detecting an abnormal operation of the first power supply circuit 15 corresponds to determining whether or not the first power supply circuit 15 is operating normally. It is assumed that the lower limit value of the normal range here is set higher than the lower limit value of the microcomputer operating range, and the upper limit value of the normal range is set lower than the upper limit value of the microcomputer operating range. For example, the normal range may be 4.5V to 5.2V. The normal range corresponds to the normal voltage range described in the claims.

異常検出部20は、第1電源回路15の出力電圧が正常範囲内(境界値を含む)に収まっている場合には、ローレベル信号を出力する。また、異常検出部20は第1電源回路15の出力電圧が正常範囲外の値となっている場合にはハイレベル信号を出力する。異常検出部20が出力するハイレベル信号は、第1電源回路15に異常が生じていることを示す信号として機能する。そのため、異常検出部20が出力するハイレベル信号のことを異常検出信号とも称する。異常検出部20は、コンパレータやAND回路等を用いて実現されれば良い。もちろん他の態様として異常検出部20はCPUによるソフトウェアの実行によって実現されても良い。   The abnormality detection unit 20 outputs a low level signal when the output voltage of the first power supply circuit 15 is within the normal range (including the boundary value). Further, the abnormality detection unit 20 outputs a high level signal when the output voltage of the first power supply circuit 15 is out of the normal range. The high level signal output from the abnormality detection unit 20 functions as a signal indicating that the first power supply circuit 15 has an abnormality. Therefore, the high level signal output by the abnormality detection unit 20 is also referred to as an abnormality detection signal. The abnormality detection unit 20 may be realized by using a comparator, an AND circuit, or the like. Of course, as another mode, the abnormality detection unit 20 may be realized by executing software by the CPU.

異常検出部20は、上述した入力端子以外に加えて、サブマイコン12が出力するクリア信号が入力される入力端子(以降、クリア信号入力端子)を備える。異常検出部20は、いったん第1電源回路15の異常動作を検出した場合、サブマイコン12からクリア信号が入力されるまでハイレベル信号を出力し続ける。つまり、異常検出部20は、いったんハイレベル信号を出力した場合には、クリア信号が入力されるまで出力レベルをハイレベルで保持(換言すればラッチ)する。異常検出部20の出力信号は、第2電源起動部19及びサブマイコン12に入力される。なお、異常検出部20がハイレベル信号を出力し続けることは、換言すれば、第1電源回路15が正常に動作していないという判定結果を保持することに相当する。   The abnormality detection unit 20 includes an input terminal (hereinafter, a clear signal input terminal) to which a clear signal output from the sub-microcomputer 12 is input, in addition to the input terminals described above. When the abnormality detection unit 20 once detects an abnormal operation of the first power supply circuit 15, the abnormality detection unit 20 continues to output a high level signal until a clear signal is input from the sub-microcomputer 12. That is, when the high level signal is output once, the abnormality detection unit 20 holds (in other words, latches) the output level at the high level until the clear signal is input. The output signal of the abnormality detection unit 20 is input to the second power supply activation unit 19 and the sub-microcomputer 12. It should be noted that the fact that the abnormality detection unit 20 continues to output the high-level signal corresponds to holding the determination result that the first power supply circuit 15 is not operating normally.

この異常検出部20は、図2に示すように遅延フィルタ22及び安定化フィルタ21を介して駆動維持部17の出力端子と接続されている。つまり、駆動維持部17の出力信号は、安定化フィルタ21及び遅延フィルタ22を介して異常検出部20に入力される。異常検出部20は、遅延フィルタ22からハイレベル信号が入力された場合に起動して、第1電源回路15の出力電圧の監視を開始する。   The abnormality detection unit 20 is connected to the output terminal of the drive maintaining unit 17 via the delay filter 22 and the stabilizing filter 21 as shown in FIG. That is, the output signal of the drive maintaining unit 17 is input to the abnormality detecting unit 20 via the stabilizing filter 21 and the delay filter 22. The abnormality detection unit 20 is activated when a high level signal is input from the delay filter 22 and starts monitoring the output voltage of the first power supply circuit 15.

安定化フィルタ21は、遅延フィルタ22への入力レベルを安定させるためのフィルタである。IG電源ラインに印加される電圧は、オルタネータやIG電源ラインに接続する他の電子機器(例えば他のECU)の動作状態等によって変動しやすい。そのような電圧変動によって、駆動維持部17の出力レベルが振動すると、異常検出部20が誤動作する恐れがある。駆動維持部17と異常検出部20との間に安定化フィルタ21を介在させることによって、駆動維持部17の出力を安定化し、異常検出部20が誤作動する恐れを低減することができる。   The stabilizing filter 21 is a filter for stabilizing the input level to the delay filter 22. The voltage applied to the IG power supply line is likely to fluctuate depending on the operation state of the alternator or another electronic device (for example, another ECU) connected to the IG power supply line. If the output level of the drive maintaining unit 17 vibrates due to such a voltage fluctuation, the abnormality detecting unit 20 may malfunction. By interposing the stabilizing filter 21 between the drive maintaining unit 17 and the abnormality detecting unit 20, it is possible to stabilize the output of the drive maintaining unit 17 and reduce the risk that the abnormality detecting unit 20 malfunctions.

遅延フィルタ22は、第1電源回路15が起動した後(換言すれば目標印加電圧としての5Vを出力し始めた後)に異常検出部20が起動するように、異常検出部20の起動タイミングを調整するためのフィルタである。異常検出部20の起動タイミングを調整することは、安定化フィルタ21を介して駆動維持部17から入力されるハイレベル信号を異常検出部20に伝達するタイミングを調整することに相当する。遅延フィルタ22は、コンデンサや抵抗を用いて実現されれば良い。   The delay filter 22 sets the activation timing of the abnormality detection unit 20 so that the abnormality detection unit 20 is activated after the first power supply circuit 15 is activated (in other words, after 5 V as the target applied voltage is started to be output). It is a filter for adjusting. Adjusting the activation timing of the abnormality detecting unit 20 corresponds to adjusting the timing of transmitting the high level signal input from the drive maintaining unit 17 via the stabilizing filter 21 to the abnormality detecting unit 20. The delay filter 22 may be realized by using a capacitor or a resistor.

遅延フィルタ22を導入する意義は次の通りである。IGSW8がオンとなってから第1出力電圧V1が5Vまで立ち上がるまでの間には所定時間Taの遅延が存在する。仮に遅延フィルタ22が存在しない場合には、第1電源回路15の起動完了前に異常検出部20が起動し、その結果、第1電源回路15の起動完了前の電圧低下状態を第1電源回路15の異常動作として誤検出してしまう恐れがある。一方、この遅延フィルタ22を設けることによって、第1電源回路15が立ち上がってから異常検出部20が起動するようになる。そのため、上記の誤作動が生じる恐れを低減することができる。   The significance of introducing the delay filter 22 is as follows. There is a delay of a predetermined time Ta between when the IGSW 8 is turned on and when the first output voltage V1 rises to 5V. If the delay filter 22 does not exist, the abnormality detection unit 20 is activated before the completion of the activation of the first power supply circuit 15, and as a result, the voltage drop state before the completion of the activation of the first power supply circuit 15 is changed to the first power supply circuit. There is a risk of false detection as the abnormal operation of No. 15. On the other hand, by providing the delay filter 22, the abnormality detection unit 20 is activated after the first power supply circuit 15 is activated. Therefore, it is possible to reduce the risk of the above malfunction.

つまり、異常検出部20は、IG電源ラインからECU1にハイレベル信号が入力された時点を起算時点として、当該起算時点から所定時間経過したタイミングで起動するように構成されている。遅延フィルタ22は、第1電源回路15の起動完了前の電圧低下状態と、第1電源回路15の故障時の電圧低下状態とを切り分ける役割を担う。   That is, the abnormality detection unit 20 is configured to be activated at a timing when a high-level signal is input to the ECU 1 from the IG power supply line as a start point and at a timing when a predetermined time has elapsed from the start point. The delay filter 22 plays a role of separating a voltage drop state before the completion of activation of the first power supply circuit 15 and a voltage drop state at the time of failure of the first power supply circuit 15.

メインマイコン11は、第1通信ドライバ13から提供されるアクセル踏込量などのデータに基づいて、所定の制御対象(ここでは電子スロットル3)についての制御目標量を算出するマイコンである。例えば、メインマイコン11は、アクセルセンサ4によって検出されるアクセル操作量から、スロットルモータ32の制御量を算出し、当該制御量を、第1通信ドライバ13及びLAN7を介して電子スロットル3に出力する。   The main microcomputer 11 is a microcomputer that calculates a control target amount for a predetermined control target (here, the electronic throttle 3) based on data such as the accelerator depression amount provided from the first communication driver 13. For example, the main microcomputer 11 calculates the control amount of the throttle motor 32 from the accelerator operation amount detected by the accelerator sensor 4, and outputs the control amount to the electronic throttle 3 via the first communication driver 13 and the LAN 7. .

また、メインマイコン11は、サブマイコン12との双方向通信によってサブマイコン12が正常に動作しているか否かを監視する。サブマイコン12が正常に動作しているか否かは、ウォッチドッグタイマ方式や宿題回答方式などといった、周知の方法を用いて判定することができる。ウォッチドッグタイマ方式とは、ウォッチドッグタイマがサブマイコン12から入力されるウォッチドッグパルスによってクリアされずに満了した場合に、サブマイコン12が異常動作していると判定する方式である。   Further, the main microcomputer 11 monitors whether or not the sub-microcomputer 12 is operating normally by bidirectional communication with the sub-microcomputer 12. Whether or not the sub-microcomputer 12 is operating normally can be determined by using a known method such as a watchdog timer method or a homework answer method. The watchdog timer method is a method of determining that the sub-microcomputer 12 is operating abnormally when the watchdog timer expires without being cleared by the watchdog pulse input from the sub-microcomputer 12.

また、宿題回答方式とは、メインマイコン11が予め定められた監視用の信号をサブマイコン12に送るとともに、サブマイコン12から返送されてきた回答が正解であるか否かによってサブマイコン12が正常であるか否かを判定する方式である。宿題回答方式においてサブマイコン12は、メインマイコン11から入力される監視用信号に応じた応答信号を生成してメインマイコン11に返送する。メインマイコン11は、サブマイコン12から受け取った応答信号の内容が、送信した監視用信号に対応するデータと異なる場合、あるいは所定の制限時間内でメインマイコン11から応答信号が返送されてこない場合に、サブマイコン12は正常に動作していない(つまり異常動作している)と判定する。なお、メインマイコン11は、サブマイコン12の異常動作を検知した場合には、サブマイコン12にリセットをかけるなどの所定の復帰処理を実行する。   In addition, the homework answering method means that the main microcomputer 11 sends a predetermined monitoring signal to the sub-microcomputer 12 and the sub-microcomputer 12 operates normally depending on whether the answer returned from the sub-microcomputer 12 is correct. Is a method of determining whether or not In the homework answering method, the sub-microcomputer 12 generates a response signal according to the monitoring signal input from the main microcomputer 11 and sends it back to the main microcomputer 11. When the content of the response signal received from the sub-microcomputer 12 is different from the data corresponding to the transmitted monitoring signal, the main microcomputer 11 returns the response signal from the main microcomputer 11 within a predetermined time limit. The sub-microcomputer 12 determines that it is not operating normally (that is, it is operating abnormally). When the abnormal operation of the sub-microcomputer 12 is detected, the main microcomputer 11 executes a predetermined restoration process such as resetting the sub-microcomputer 12.

メインマイコン11の電源用端子は、内部電源ラインLnと接続されており、第1電源回路15又は第2電源回路16から供給される電力に基づいて動作する。また、メインマイコン11のリセット入力端子は、第2電源起動部19の出力端子と接続されている。リセット入力端子は、リセット信号としてのハイレベル信号が入力された場合に、メインマイコン11の動作を停止させて初期状態に戻すための入力端子である。   The power supply terminal of the main microcomputer 11 is connected to the internal power supply line Ln and operates based on the power supplied from the first power supply circuit 15 or the second power supply circuit 16. Further, the reset input terminal of the main microcomputer 11 is connected to the output terminal of the second power supply starting section 19. The reset input terminal is an input terminal for stopping the operation of the main microcomputer 11 and returning it to the initial state when a high level signal as a reset signal is input.

したがって、第2電源起動部19の出力信号がハイレベルとなっている場合にはメインマイコン11は動作を停止する。なお、第2電源起動部19の出力信号がハイレベルとなる場合とは、例えば第1電源回路15の異常動作等に起因して第2電源回路16が駆動する場合である。そのため、第2電源回路16が動作する場合にはメインマイコン11は停止状態となる。   Therefore, when the output signal of the second power supply activation unit 19 is at the high level, the main microcomputer 11 stops its operation. The case where the output signal of the second power supply activation unit 19 becomes high level is a case where the second power supply circuit 16 is driven due to an abnormal operation of the first power supply circuit 15, for example. Therefore, when the second power supply circuit 16 operates, the main microcomputer 11 is stopped.

サブマイコン12は、メインマイコン11との双方向通信により、メインマイコン11が正常に動作しているか否かの監視(つまり状態監視)を実施する。メインマイコン11が正常に動作しているか否かは、前述の通り周知の方法を援用して判定することができる。サブマイコン12は、メインマイコン11の異常動作を検出した場合には、メインマイコン11にリセットをかけるなどの所定の処理を実行する。   The sub-microcomputer 12 performs bidirectional communication with the main microcomputer 11 to monitor whether the main microcomputer 11 is operating normally (that is, state monitoring). Whether or not the main microcomputer 11 is normally operating can be determined by applying a well-known method as described above. When detecting an abnormal operation of the main microcomputer 11, the sub-microcomputer 12 executes a predetermined process such as resetting the main microcomputer 11.

また、サブマイコン12は、異常検出部20の出力信号が入力される入力端子(以降、モニタ端子)を備える。サブマイコン12は、異常検出部20からハイレベル信号がモニタ端子に入力されている場合、換言すれば異常検出部20が第1電源回路15の異常動作を検出した場合、所定のフェールセーフ処理を実行する。   The sub-microcomputer 12 also includes an input terminal (hereinafter, monitor terminal) to which the output signal of the abnormality detection unit 20 is input. The sub-microcomputer 12 performs a predetermined fail-safe process when a high level signal is input from the abnormality detection unit 20 to the monitor terminal, in other words, when the abnormality detection unit 20 detects an abnormal operation of the first power supply circuit 15. Run.

例えばサブマイコン12は、フェールセーフ処理としてスロットルモータ32の駆動を停止させることによって、エンジンの動作を退避走行モードへと移行させる。退避走行モードは、エンジンの出力トルクを所定の抑制レベル以下に制限する動作モードである。退避走行モードによって、ユーザは車両を安全な場所まで退避させることができる。なお、サブマイコン12が駆動回路を介してスロットルモータ32と接続されている場合は、当該駆動回路の出力を遮断することで退避走行を実現してもよい。   For example, the sub-microcomputer 12 shifts the operation of the engine to the escape travel mode by stopping the driving of the throttle motor 32 as a fail-safe process. The escape travel mode is an operation mode in which the output torque of the engine is limited to a predetermined suppression level or less. The evacuation traveling mode allows the user to evacuate the vehicle to a safe place. When the sub-microcomputer 12 is connected to the throttle motor 32 via a drive circuit, the evacuation traveling may be realized by cutting off the output of the drive circuit.

また、サブマイコン12は、フェールセーフ処理として、当該ECU1に不具合が生じたことをLAN7に接続している他のECUに通知する。その他、サブマイコン12は、フェールセーフ処理として、警告灯6を点灯させてもよい。警告灯6を点灯させることにより、ユーザに対してECU1に不具合が生じたことを通知できる。その他、第1電源回路15に異常が生じた時の状況を示す情報(例えば日時等)を不揮発性メモリ121に記録してもよい。   Further, the sub-microcomputer 12 notifies other ECUs connected to the LAN 7 that a defect has occurred in the ECU 1 as a fail-safe process. In addition, the sub-microcomputer 12 may turn on the warning light 6 as a fail-safe process. By turning on the warning light 6, the user can be notified that a malfunction has occurred in the ECU 1. In addition, the information (for example, date and time) indicating the situation when the abnormality occurs in the first power supply circuit 15 may be recorded in the nonvolatile memory 121.

サブマイコン12は、IGSW8がオフとなった場合には、所定のシャットダウン処理を実行する。例えばサブマイコン12は、シャットダウン処理として、次回起動時に必要なデータを不揮発性メモリ121に書き込んだり、RAMをクリアしたりする。   The sub-microcomputer 12 executes a predetermined shutdown process when the IGSW 8 is turned off. For example, the sub-microcomputer 12 writes data necessary for the next startup to the non-volatile memory 121 or clears the RAM as a shutdown process.

また、サブマイコン12は、第1電源回路15が正常に動作したままIGSW8がオフになった時のシャットダウン処理として、第2電源回路16が正常に動作するか否かを検査する処理(以降、検査処理)を実施し、その検査結果を不揮発性のメモリに書き込む。第2電源回路16の検査手順については別途後述する。検査処理の結果、第2電源回路16が正常に動作していることが確認できた場合には、第2電源回路16が正常であること不揮発性メモリ121に書きこむ。便宜上、第2電源回路16が正常であることを示すデータのことを動作確認データと称する。   In addition, the sub-microcomputer 12 performs a process of checking whether the second power supply circuit 16 operates normally as a shutdown process when the IGSW 8 is turned off while the first power supply circuit 15 operates normally (hereinafter, Inspection process), and the inspection result is written in a non-volatile memory. The inspection procedure of the second power supply circuit 16 will be described later. As a result of the inspection process, when it is confirmed that the second power supply circuit 16 is operating normally, it is written in the nonvolatile memory 121 that the second power supply circuit 16 is normal. For convenience, the data indicating that the second power supply circuit 16 is normal is referred to as operation confirmation data.

さらにサブマイコン12は、起動後、異常検出部20によって第1電源回路15の異常が検出されるまでは、第1電源保持端子からハイレベル信号を出力する。また、第1電源回路15の異常動作が異常検出部20によって検出された場合には、第1電源保持端子からの出力レベルをローレベルに移行させる。   Further, after starting, the sub-microcomputer 12 outputs a high level signal from the first power supply holding terminal until the abnormality detection unit 20 detects an abnormality in the first power supply circuit 15. When the abnormal operation of the first power supply circuit 15 is detected by the abnormality detection unit 20, the output level from the first power supply holding terminal is shifted to the low level.

第1電源保持端子からハイレベル信号が出力されている間は、駆動維持部17の出力もハイレベルで維持される。そのため、車両走行中に不意にユーザがIGSW8に切り替えた場合であっても、メインマイコン11やサブマイコン12による車両制御を継続させることができる。第1電源保持端子から出力されるハイレベル信号は、第1電源回路15が駆動している状態を維持する信号として機能する。そのため、第1電源保持端子から出力されるハイレベル信号のことを第1電源保持信号とも称する。   While the high level signal is output from the first power supply holding terminal, the output of the drive maintaining unit 17 is also maintained at the high level. Therefore, even when the user suddenly switches to the IGSW 8 while the vehicle is traveling, the vehicle control by the main microcomputer 11 and the sub-microcomputer 12 can be continued. The high level signal output from the first power supply holding terminal functions as a signal for maintaining the state in which the first power supply circuit 15 is driven. Therefore, the high level signal output from the first power supply holding terminal is also referred to as a first power supply holding signal.

また、サブマイコン12は、異常検出部20が第1電源回路15の異常動作を検出されていない場合、第2電源保持端子からローレベル信号を出力する。異常検出部20が第1電源回路15の異常動作を検出した場合には、第2電源保持端子からハイレベル信号を出力し始める。いったん第2電源保持端子からハイレベル信号を出力し始めた場合には、IGSW8がオフとなって所定のシャットダウン処理が完了するまでその状態を維持する。   Further, the sub-microcomputer 12 outputs a low level signal from the second power supply holding terminal when the abnormality detection unit 20 does not detect the abnormal operation of the first power supply circuit 15. When the abnormality detecting unit 20 detects an abnormal operation of the first power supply circuit 15, it starts outputting a high level signal from the second power supply holding terminal. Once a high level signal is started to be output from the second power supply holding terminal, the IGSW 8 is turned off and maintained in that state until a predetermined shutdown process is completed.

第2電源保持端子からハイレベル信号が出力されている間は、第2電源起動部19の出力もハイレベルで維持される。そのため、第2電源回路16が動作し続ける一方、第1電源回路15は停止する。第2電源起動部19の出力がハイレベルである場合には第1電源起動部18の出力がローレベルとなるためである。   While the high level signal is output from the second power source holding terminal, the output of the second power source starting unit 19 is also maintained at the high level. Therefore, while the second power supply circuit 16 continues to operate, the first power supply circuit 15 stops. This is because when the output of the second power supply activation unit 19 is at the high level, the output of the first power supply activation unit 18 is at the low level.

第2電源保持端子から出力されるハイレベル信号は、第2電源回路16が駆動している状態を維持する信号として機能する。そのため、第2電源保持端子から出力されるハイレベル信号のことを第2電源保持信号とも称する。   The high level signal output from the second power supply holding terminal functions as a signal that maintains the state in which the second power supply circuit 16 is being driven. Therefore, the high level signal output from the second power supply holding terminal is also referred to as a second power supply holding signal.

また、サブマイコン12は、第2電源保持端子からハイレベル信号を出力している状態において、IGSW8がオフになった場合には、クリア信号出力端子からクリア信号としてのハイレベル信号を出力する。これにより異常検出部20の出力レベルはローレベルへ移行する。   Further, the sub-microcomputer 12 outputs a high level signal as a clear signal from the clear signal output terminal when the IGSW 8 is turned off while the high power level signal is being output from the second power source holding terminal. As a result, the output level of the abnormality detection unit 20 shifts to the low level.

なお、サブマイコン12はメインマイコン11に比べて実行すべき演算処理が少なく設計されている。そのため、サブマイコン12の駆動に必要な電流は、メインマイコン11の駆動に必要な電流よりも少ない。また、第1電源回路15の故障時にはメインマイコン11は動作を停止するため、メインマイコン11は電流を消費しない。よって、第2電源回路16の電流供給能力を第1電源回路15の電流供給能力よりも低く設計することができる。本実施形態ではECU1による制御処理を終了する条件(以降、終了条件)として、IGSW8がオフとなることを採用するが、これに限らない。終了条件は、ECU1の役務に応じて適宜設計されれば良い。   It should be noted that the sub-microcomputer 12 is designed to have less arithmetic processing to be executed than the main microcomputer 11. Therefore, the current required to drive the sub-microcomputer 12 is smaller than the current required to drive the main microcomputer 11. Moreover, since the main microcomputer 11 stops its operation when the first power supply circuit 15 fails, the main microcomputer 11 does not consume current. Therefore, the current supply capacity of the second power supply circuit 16 can be designed to be lower than the current supply capacity of the first power supply circuit 15. In the present embodiment, the IGSW 8 being turned off is adopted as the condition for ending the control processing by the ECU 1 (hereinafter, the ending condition), but the condition is not limited to this. The termination condition may be appropriately designed according to the service of the ECU 1.

<ECU1起動時の作動について>
次に図5に示すタイムチャートを用いてIGSW8がオンとなってECU1が起動した時の各構成要素の作動について説明する。図5に示すT10は、IGSW8がオンとなったタイミングを表している。 <Activation when the ECU 1 is started>
Next, the operation of each component when the IGSW 8 is turned on and the ECU 1 is started will be described using the time chart shown in FIG. T10 shown in FIG. 5 represents the timing when the IGSW 8 is turned on.

図5中の(A)はIG電源ラインの印加電圧を表している。(B)〜(H)は駆動維持部17、第1電源起動部18、第1電源回路15、遅延フィルタ22、異常検出部20、第2電源起動部19、及び第2電源回路16の出力を表している。(I)は内部電源ラインLnに印加されている電圧を表しており、(J)、(K)はメインマイコン11、サブマイコン12の動作状態を表している。   (A) in FIG. 5 represents the applied voltage of the IG power supply line. (B) to (H) are outputs of the drive maintaining unit 17, the first power supply starting unit 18, the first power supply circuit 15, the delay filter 22, the abnormality detecting unit 20, the second power supply starting unit 19, and the second power supply circuit 16. Is represented. (I) represents the voltage applied to the internal power supply line Ln, and (J) and (K) represent the operating states of the main microcomputer 11 and the sub-microcomputer 12.

図5の(L)、(M)は、第1電源保持端子及び第2電源保持端子の出力レベルを表している。(N)は動作確認データの記録内容を示している。ここでは一例として前回の検査処理によって、不揮発性メモリ121には第2電源回路16は正常であることを示すデータが動作確認データとして記録されているものとする。   (L) and (M) of FIG. 5 represent the output levels of the first power source holding terminal and the second power source holding terminal. (N) shows the recorded contents of the operation confirmation data. Here, as an example, it is assumed that data indicating that the second power supply circuit 16 is normal is recorded in the nonvolatile memory 121 as the operation confirmation data by the previous inspection process.

IGSW8がオンに設定されると、駆動維持部17にバッテリ電圧Vbが印加されるため、(B)に示すように駆動維持部17の出力レベルはハイレベルとなる。また、ECU1起動時においては、第2電源保持端子の出力レベル及び異常検出部20の出力はローレベルであるため、第2電源起動部19の出力レベルはローレベルである。そのため、(C)に示すように第1電源起動部18の出力レベルもハイレベルとなり、第1電源回路15が起動し始める。つまり、第1電源回路15は、IGSW8がオンとなったことをトリガとしてメインマイコン11等への電力供給を開始する。   When the IGSW 8 is set to ON, the battery voltage Vb is applied to the drive maintaining unit 17, so that the output level of the drive maintaining unit 17 becomes high level as shown in (B). Further, when the ECU 1 is started, the output level of the second power supply holding terminal and the output of the abnormality detection unit 20 are low level, so that the output level of the second power supply startup unit 19 is low level. Therefore, as shown in (C), the output level of the first power supply activation unit 18 also becomes high level, and the first power supply circuit 15 starts to be activated. That is, the first power supply circuit 15 starts power supply to the main microcomputer 11 and the like, triggered by turning on the IGSW 8.

図5の(D)に示すTaは、第1電源回路15が起動し始めてから出力電圧が目標印加電圧に収束するまでに要する時間(つまり立ち上がり時間)を表している。また、(E)に示す時間Tbは、遅延フィルタ22において、ハイレベル信号が入力されてからハイレベル信号を出力するまでの遅延時間を表している。遅延フィルタ22は、遅延時間Tbが第1電源回路15の立ち上がり時間よりも長くなるように構成されている。   Ta shown in FIG. 5D represents a time (that is, a rising time) required for the output voltage to converge to the target applied voltage after the first power supply circuit 15 starts to be activated. Further, the time Tb shown in (E) represents the delay time from the input of the high level signal to the output of the high level signal in the delay filter 22. The delay filter 22 is configured such that the delay time Tb is longer than the rising time of the first power supply circuit 15.

第1電源回路15の立ち上がりが完了すると、内部電源ラインLnにも5Vが印加されるため、メインマイコン11及びサブマイコン12が起動する。サブマイコン12は、起動に伴う初期化処理の過程において、第1電源保持端子からハイレベル信号を出力し始める。サブマイコン12は、起動すると(N)に示すように、動作確認データをクリアする。つまり、第2電源回路16が正常であることを示すデータを削除する。   When the rise of the first power supply circuit 15 is completed, 5V is also applied to the internal power supply line Ln, so that the main microcomputer 11 and the sub-microcomputer 12 are activated. The sub-microcomputer 12 starts to output a high level signal from the first power supply holding terminal in the process of initialization processing associated with startup. When started, the sub-microcomputer 12 clears the operation confirmation data as shown in (N). That is, the data indicating that the second power supply circuit 16 is normal is deleted.

なお、第1電源回路15が正常に動作している場合、換言すれば、第1出力電圧V1が正常範囲に収まっている場合には、異常検出部20の出力レベルはローレベルである。また、サブマイコン12が第2電源保持端子から出力する信号のレベルもローレベルである。そのため、第2電源起動部19は停止した状態が維持される。故に、第2出力電圧V2は0Vである。   When the first power supply circuit 15 is operating normally, in other words, when the first output voltage V1 is within the normal range, the output level of the abnormality detection unit 20 is low. The level of the signal output from the second power source holding terminal by the sub-microcomputer 12 is also low. Therefore, the 2nd power supply starting part 19 is maintained in the stopped state. Therefore, the second output voltage V2 is 0V.

<第1電源回路故障時の作動について>
次に、図6に示すタイムチャートを用いて第1電源回路15が異常動作(例えば電圧低下)した時の各構成要素の作動について説明する。図6に示すT20は、第1電源回路15の電圧が正常範囲の下限値を下回ったタイミングを表している。 <About operation when the first power supply circuit fails>
Next, the operation of each component when the first power supply circuit 15 performs an abnormal operation (for example, a voltage drop) will be described using the time chart shown in FIG. T20 shown in FIG. 6 represents the timing when the voltage of the first power supply circuit 15 falls below the lower limit value of the normal range.

なお、図6の(A)はIG電源ラインの印加電圧、換言すればIGSW8のオン/オフ状態を表している。(B)〜(F)は第1電源起動部18、第1電源回路15、異常検出部20、第2電源起動部19、第2電源回路16の出力を表している。(G)は内部電源ラインLnに印加されている電圧を表しており、(H)、(I)は、第1電源保持端子及び第2電源保持端子の出力レベルを表している。(J)(K)は、メインマイコン11、サブマイコン12の動作状態を表している。なお、少なくともIGSW8がオンとなっている限り、駆動維持部17や遅延フィルタ22の出力はハイレベルで維持される。そのため、それらの出力についてはここでは図示を省略している。   6A shows the applied voltage of the IG power supply line, in other words, the ON / OFF state of the IGSW 8. (B) to (F) represent outputs of the first power supply activation unit 18, the first power supply circuit 15, the abnormality detection unit 20, the second power supply activation unit 19, and the second power supply circuit 16. (G) represents the voltage applied to the internal power supply line Ln, and (H) and (I) represent the output levels of the first power supply holding terminal and the second power supply holding terminal. (J) and (K) represent operating states of the main microcomputer 11 and the sub microcomputer 12. The outputs of the drive maintaining unit 17 and the delay filter 22 are maintained at the high level at least as long as the IGSW 8 is on. Therefore, these outputs are not shown here.

第1電源回路15が故障し、第1出力電圧V1が正常範囲の下限値を下回ると、異常検出部20は、当該電圧挙動を、第1電源回路15の異常動作として検出する。そのため、(C)に示すように時刻T20より異常検出部20はハイレベル信号を出力し始める。   When the first power supply circuit 15 fails and the first output voltage V1 falls below the lower limit value of the normal range, the abnormality detection unit 20 detects the voltage behavior as an abnormal operation of the first power supply circuit 15. Therefore, as shown in (C), the abnormality detection unit 20 starts to output a high level signal from time T20.

また、異常検出部20の出力レベルがハイレベルに遷移したことに伴い、第2電源起動部19の出力レベルもハイレベルに遷移する。そのため、第1電源起動部18はAND条件が成立しなくなり、ローレベル信号を出力し始める。   In addition, the output level of the second power supply activation unit 19 also changes to the high level as the output level of the abnormality detection unit 20 changes to the high level. Therefore, the first power supply activation unit 18 no longer satisfies the AND condition and starts outputting the low level signal.

第2電源回路16は、第2電源起動部19からハイレベル信号が入力されていることを受けて起動し、5Vを出力し始める。また、第1電源回路15は第1電源起動部18の出力レベルがローレベルになったため、動作を停止する。つまり、第1電源回路15が故障した場合には、第1電源回路15に代わって第2電源回路16が内部電源ラインLnに5Vを供給する。そのため、図6に示すように、種々のマイコンへの電力供給は維持される。なお、(H)(I)に示すようにサブマイコン12は、第2電源保持信号の出力に伴って、第1電源保持信号の出力を停止する。   The second power supply circuit 16 is activated in response to the input of the high level signal from the second power supply activation unit 19, and starts to output 5V. Further, the first power supply circuit 15 stops its operation because the output level of the first power supply start-up unit 18 becomes low level. That is, when the first power supply circuit 15 fails, the second power supply circuit 16 replaces the first power supply circuit 15 and supplies 5V to the internal power supply line Ln. Therefore, as shown in FIG. 6, power supply to various microcomputers is maintained. Note that, as shown in (H) and (I), the sub-microcomputer 12 stops the output of the first power supply holding signal along with the output of the second power supply holding signal.

また、本実施形態では第1電源回路15の故障時にはメインマイコン11にリセット信号を入力されたままとなる。これにより、第1電源回路15の故障時には実質的にメインマイコン11は動作を停止した状態となる。   In addition, in the present embodiment, when the first power supply circuit 15 has a failure, the reset signal remains input to the main microcomputer 11. As a result, when the first power supply circuit 15 fails, the main microcomputer 11 is substantially in a stopped state.

このような構成によれば、第1電源回路15の異常検出以降においては、ECU1内において電力を必要とする構成が減る。そのため、第2電源回路16の電流供給能力を第1電源回路15の電流供給能力よりも低く設計することができる。その結果、第2電源回路16の導入コストを低減することができる。なお、メインマイコン11が停止しても、種々のフェールセーフ処理はサブマイコン12によって実行されるため、従来と同様の安全性を担保することができる。   According to such a configuration, the number of configurations that require electric power in the ECU 1 after the abnormality detection of the first power supply circuit 15 is reduced. Therefore, the current supply capacity of the second power supply circuit 16 can be designed to be lower than the current supply capacity of the first power supply circuit 15. As a result, the introduction cost of the second power supply circuit 16 can be reduced. Even if the main microcomputer 11 is stopped, various fail-safe processes are executed by the sub-microcomputer 12, so that it is possible to ensure the same safety as in the conventional case.

<第1電源故障時のシャットダウン処理について>
次に、図7に示すタイムチャートを用いて第2電源回路16が駆動している状態において、IGSW8がオフとなった場合の、各構成要素の作動について説明する。IGSW8がオフに設定された以降においてもサブマイコン12は一定時間(例えば1秒)動作し続けて、所定のシャットダウン処理(例えばデータの退避等)を実施する。図7に示すT30は、IGSW8がオフになったタイミングを表しており、T31は、サブマイコン12のシャットダウン処理が完了したタイミングを表している。 <Shutdown processing when the first power supply fails>
Next, the operation of each component when the IGSW 8 is turned off while the second power supply circuit 16 is being driven will be described using the time chart shown in FIG. Even after the IGSW 8 is set to OFF, the sub-microcomputer 12 continues to operate for a fixed time (for example, 1 second) and executes a predetermined shutdown process (for example, saving data). T30 shown in FIG. 7 represents the timing when the IGSW 8 is turned off, and T31 represents the timing when the shutdown processing of the sub-microcomputer 12 is completed.

図7の(A)はIG電源ラインの印加電圧を表している。(B)はサブマイコン12の動作状態を表している。(C)〜(H)は、異常検出部20、第2電源保持端子、第2電源起動部19、第2電源回路16の出力を表している。(G)は、内部電源ラインLnへの印加電圧を表している。   FIG. 7A shows the applied voltage of the IG power supply line. (B) shows the operating state of the sub-microcomputer 12. (C) to (H) represent outputs of the abnormality detection unit 20, the second power supply holding terminal, the second power supply activation unit 19, and the second power supply circuit 16. (G) represents the voltage applied to the internal power supply line Ln.

サブマイコン12は、IGSW8がオフとなった場合、異常検出部20に対してクリア信号を出力する。そのため、(C)に示すように異常検出部20の出力信号はローレベルとなる。一方、サブマイコン12は、時刻T31でシャットダウン処理が完了するまで、(D)に示すように第2電源保持信号を出力し続ける。そのため、第2電源起動部19の出力レベルは、時刻T31までハイレベルに維持される。よって、IGSW8がオフになった以降も所定時間、第2電源回路16は動作を継続し、5Vを出力し続ける。   The sub-microcomputer 12 outputs a clear signal to the abnormality detection unit 20 when the IGSW 8 is turned off. Therefore, as shown in (C), the output signal of the abnormality detection unit 20 becomes low level. On the other hand, the sub-microcomputer 12 continues to output the second power supply holding signal as shown in (D) until the shutdown process is completed at time T31. Therefore, the output level of the second power supply activation unit 19 is maintained at the high level until time T31. Therefore, the second power supply circuit 16 continues to operate for a predetermined time even after the IGSW 8 is turned off, and continues to output 5V.

サブマイコン12は、このようにして第2電源回路16から供給される電力を用いて、シャットダウン処理を完了させ、最後に第2電源保持信号の出力を停止する。   In this way, the sub-microcomputer 12 uses the power supplied from the second power supply circuit 16 to complete the shutdown process and finally stop the output of the second power supply holding signal.

<第1電源健全時のシャットダウン処理について>
次に、図8に示すタイムチャートを用いて、第1電源回路15が正常に動作している状態で(つまり異常が発生せずに)IGSW8がオフになった場合の各構成要素の作動について説明する。IGSW8がオフに設定された以降においてもメインマイコン11及びサブマイコン12のそれぞれは一定時間(例えば1秒)動作し続けて、所定のシャットダウン処理(例えばデータの退避等)を実施する。また、IGSW8がオンとなってから第1電源回路15に異常が発生しないままIGSW8がオフとなった場合には、サブマイコン12はシャットダウン処理の一環として検査処理を実行する。 <Shutdown processing when the first power source is healthy>
Next, with reference to the time chart shown in FIG. 8, the operation of each component when the IGSW 8 is turned off while the first power supply circuit 15 is operating normally (that is, without any abnormality) explain. Even after the IGSW 8 is set to OFF, the main microcomputer 11 and the sub-microcomputer 12 continue to operate for a fixed time (for example, 1 second) and perform a predetermined shutdown process (for example, saving data). If the IGSW 8 is turned off after the IGSW 8 is turned on and no abnormality has occurred in the first power supply circuit 15, the sub-microcomputer 12 executes the inspection process as part of the shutdown process.

図7に示すT40は、IGSW8がオフになったタイミングを表しており、T41は、メインマイコン11のシャットダウン処理が完了したタイミングを表している。T42は、サブマイコン12でのシャットダウン処理が完了したタイミングを表している。   T40 shown in FIG. 7 represents the timing when the IGSW 8 is turned off, and T41 represents the timing when the shutdown processing of the main microcomputer 11 is completed. T42 represents the timing when the shutdown process in the sub-microcomputer 12 is completed.

サブマイコン12は、IGSW8がなった以降においても(D)に示すように第1電源保持信号を出力し続ける。そのため、第1電源起動部18の出力もハイレベルで維持される。その結果、内部電源ラインLnには第1電源回路15が生成する5Vが印加された状態が継続する。この第1電源回路15が供給する電力によって、メインマイコン11及びサブマイコン12は、それぞれシャットダウン処理を実行する。   The sub-microcomputer 12 continues to output the first power supply holding signal as shown in (D) even after the IGSW 8 is turned off. Therefore, the output of the first power supply activation unit 18 is also maintained at the high level. As a result, the state where 5V generated by the first power supply circuit 15 is applied to the internal power supply line Ln continues. The main microcomputer 11 and the sub-microcomputer 12 each execute a shutdown process by the power supplied by the first power supply circuit 15.

メインマイコン11は、自身のシャットダウン処理が完了するとその旨を示す信号(以降、終了通知)をサブマイコン12に出力する。サブマイコン12は、メインマイコン11からの終了通知を受信すると、第2電源保持信号を出力するとともに、第1電源保持信号の出力を停止する。   When the shutdown processing of the main microcomputer 11 is completed, the main microcomputer 11 outputs a signal to that effect (hereinafter, an end notification) to the sub-microcomputer 12. Upon receiving the end notification from the main microcomputer 11, the sub-microcomputer 12 outputs the second power supply holding signal and stops outputting the first power supply holding signal.

これにより、第1電源回路15が停止する。また、第2電源保持信号によって第2電源起動部19がハイレベルとなるため、第2電源回路16が健全である場合、第2電源回路16は起動して5Vを出力し始める。サブマイコン12は、第2電源保持信号を出力してから所定時間Tchk経過したタイミングでサブマイコン12が動作できている場合には、第2電源回路16は正常であることを、第2電源データとして不揮発性メモリ121に記録する。最後に第2電源保持信号の出力を停止して、第2電源回路16を停止させる。   As a result, the first power supply circuit 15 is stopped. Further, since the second power supply start-up unit 19 becomes high level by the second power supply hold signal, when the second power supply circuit 16 is healthy, the second power supply circuit 16 starts up and starts outputting 5V. If the sub-microcomputer 12 can operate at the timing when a predetermined time Tchk has elapsed after the second power-supply holding signal is output, the sub-microcomputer 12 indicates that the second power supply circuit 16 is normal, Is recorded in the nonvolatile memory 121 as Finally, the output of the second power supply holding signal is stopped to stop the second power supply circuit 16.

このようにサブマイコン12がIGSW8のオフ後に検査処理を実行することで、第2電源回路16が正常に動作する場合には、不揮発性メモリ121に第2電源回路16が正常であることを示すデータを残すことができる。また、第2電源回路16が故障しており、第2電源回路16が正常に起動しなかった場合には、不揮発性メモリ121において第2電源データが記録されるべきアドレス(以降、検査結果記録アドレス)には何も記録されない。つまり、第2電源データがクリアされた状態のままとなる。   When the sub-microcomputer 12 executes the inspection process after turning off the IGSW 8 in this way, and the second power supply circuit 16 operates normally, the non-volatile memory 121 indicates that the second power supply circuit 16 is normal. You can leave the data. Further, when the second power supply circuit 16 is out of order and the second power supply circuit 16 does not start up normally, the address at which the second power supply data should be recorded in the nonvolatile memory 121 (hereinafter, the inspection result recording Nothing is recorded in (Address). That is, the second power supply data remains cleared.

したがって以上の構成によれば、サブマイコン12は次回IGSW8がオンとなって起動時に、不揮発性メモリ121の検査結果記録アドレスを参照することで、第2電源回路16が正常に動作するか否かを認識することができる。仮に第2電源回路16が故障している場合には、警告灯6を点灯したり、他のECUにECU1に不具合が生じていることを通知したりする。   Therefore, according to the above configuration, the sub-microcomputer 12 refers to the inspection result recording address of the non-volatile memory 121 when the IGSW 8 is turned on next time and is started, and thus whether the second power supply circuit 16 operates normally or not. Can be recognized. If the second power supply circuit 16 is out of order, the warning light 6 is turned on or other ECUs are notified that the ECU 1 is in trouble.

<実施形態のまとめ>
以上の構成では異常検出部20によって第1電源回路15の異常動作が検出されていない場合(以降、通常時)、第2電源回路16は動作しない。その為、通常時において仮に第2電源回路が故障していても、その故障が不具合として発現する(換言すれば検出される)ことはない。故に、電源回路の故障に伴うフェールセーフ処理の実行頻度を低減することができる。 <Summary of Embodiments>
In the above configuration, when the abnormality detecting unit 20 does not detect the abnormal operation of the first power supply circuit 15 (hereinafter, normal time), the second power supply circuit 16 does not operate. Therefore, even if the second power supply circuit fails in normal time, the failure does not appear as a defect (in other words, detected). Therefore, it is possible to reduce the execution frequency of the fail-safe processing due to the failure of the power supply circuit.

また、第2電源回路16が動作する場合とは、検査処理実行時と、第1電源回路15が故障した場合だけである。つまり、第2電源回路16の動作時間は、第1電源回路15の動作時間に比べて短くなる。そのため、通算動作時間の増加に由来して第2電源回路16が故障してしまう確率を抑制することができる。   Further, the case where the second power supply circuit 16 operates is only when the inspection process is executed and when the first power supply circuit 15 fails. That is, the operating time of the second power supply circuit 16 is shorter than the operating time of the first power supply circuit 15. Therefore, the probability that the second power supply circuit 16 will fail due to the increase in the total operation time can be suppressed.

さらに、第1電源回路15が故障した場合には第2電源回路16が起動してサブマイコン12に電力を供給する。サブマイコン12は、第2電源回路16から供給される電力によって動作し、例えば退避走行の実現などのフェールセーフ処理を実行する。そのため、特許文献1に開示される従来技術と同様の安全性・利便性を提供することができる。   Furthermore, when the first power supply circuit 15 fails, the second power supply circuit 16 is activated to supply power to the sub-microcomputer 12. The sub-microcomputer 12 operates by the electric power supplied from the second power supply circuit 16, and executes fail-safe processing such as realization of evacuation traveling. Therefore, it is possible to provide the same level of safety and convenience as the conventional technique disclosed in Patent Document 1.

また、上記の構成では正常範囲をマイコン動作範囲内に設定している。このような構成によれば、各種マイコンが停止する前に、電力源を第2電源回路16に切り替えることができる。   Further, in the above configuration, the normal range is set within the microcomputer operating range. With such a configuration, the power source can be switched to the second power supply circuit 16 before the various microcomputers are stopped.

さらに、上記構成では正常範囲として下限値だけでなく上限値も規定している。そのため、電圧低下だけでなく、第1出力電圧V1が異常に高くなった場合も、異常動作として検出することができる。また、第1電源回路15の出力電圧が正常範囲の上限値を超過する値になった場合には第1電源回路15を停止させる。このような構成によれば、メインマイコン11やサブマイコン12にマイコン動作範囲の上限値を超えた電圧(つまり過電圧)を印加してしまう恐れを低減できる。したがって、第1電源回路15の故障に起因して、メインマイコン11やサブマイコン12が故障してしまう恐れを低減することができる。   Further, in the above configuration, not only the lower limit value but also the upper limit value is specified as the normal range. Therefore, not only the voltage drop but also the abnormally high first output voltage V1 can be detected as an abnormal operation. When the output voltage of the first power supply circuit 15 exceeds the upper limit value of the normal range, the first power supply circuit 15 is stopped. With such a configuration, it is possible to reduce the risk of applying a voltage exceeding the upper limit of the microcomputer operating range (that is, an overvoltage) to the main microcomputer 11 and the sub-microcomputer 12. Therefore, it is possible to reduce the risk that the main microcomputer 11 and the sub-microcomputer 12 will fail due to the failure of the first power supply circuit 15.

ところで、他の態様としては第1電源回路15の異常動作検出後も第1電源回路15を停止させずに、第2電源回路16を動作させる構成も考えられる。そのような構成において第1電源回路15に、第2電源回路16の出力電圧(ここでは5V)よりも高い電圧を出力するタイプの故障が生じた場合、第2電源回路16が実質的に機能しなくなる。第1電源回路15と第2電源回路16は共通の電源ライン(つまり、内部電源ラインLn)に電圧を出力するためである。そのような課題に対し、上記構成では、第1電源回路15の異常動作を検出した場合には、第1電源回路15を停止させるため、第2電源回路16の出力電圧を機能させることができる。   By the way, as another aspect, a configuration in which the second power supply circuit 16 is operated without stopping the first power supply circuit 15 after the abnormal operation of the first power supply circuit 15 is detected is also conceivable. In such a configuration, when a failure of a type that outputs a voltage higher than the output voltage of the second power supply circuit 16 (here, 5 V) occurs in the first power supply circuit 15, the second power supply circuit 16 substantially functions. Will not do. This is because the first power supply circuit 15 and the second power supply circuit 16 output the voltage to the common power supply line (that is, the internal power supply line Ln). In order to solve such a problem, in the above configuration, when the abnormal operation of the first power supply circuit 15 is detected, the first power supply circuit 15 is stopped, so that the output voltage of the second power supply circuit 16 can function. .

また、上記構成では異常検出部20の出力と、サブマイコン12の第2電源保持端子の出力の少なくとも何れか一方がハイレベルである場合には、第2電源回路16は動作し続ける。したがって、異常検出部20の出力信号が流れる信号線が断線した場合であっても、電力供給を継続することができる。つまり、ECU1による車両制御を継続することができる。   Further, in the above configuration, the second power supply circuit 16 continues to operate when at least one of the output of the abnormality detection unit 20 and the output of the second power supply holding terminal of the sub-microcomputer 12 is at a high level. Therefore, even if the signal line through which the output signal of the abnormality detection unit 20 flows is disconnected, the power supply can be continued. That is, the vehicle control by the ECU 1 can be continued.

また、上記構成によれば走行等の重要な制御実施中に一本の信号線の故障によって電源がオフとなり、制御停止となることを抑制できる。その結果、信頼性を向上することができる。   Further, according to the above configuration, it is possible to prevent the power supply from being turned off and the control being stopped due to a failure of one signal line during execution of important control such as traveling. As a result, reliability can be improved.

以上、本発明の実施形態を説明したが、本発明は上述の実施形態に限定されるものではなく、以降で述べる種々の変形例も本発明の技術的範囲に含まれ、さらに、下記以外にも要旨を逸脱しない範囲内で種々変更して実施することができる。   Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments, and various modifications described below are also included in the technical scope of the present invention. Also, various modifications can be implemented without departing from the scope of the invention.

なお、前述の実施形態で述べた部材と同一の機能を有する部材については、同一の符号を付し、その説明を省略する。また、構成の一部のみに言及している場合、他の部分については先に説明した実施形態の構成を適用することができる。   It should be noted that members having the same functions as the members described in the above-described embodiment are designated by the same reference numerals, and the description thereof will be omitted. When only a part of the configuration is mentioned, the configuration of the above-described embodiment can be applied to the other part.

[変形例1]
上述した実施形態では、正常範囲をマイコン動作範囲内に設定した態様を開示したがこれに限らない。マイコン動作範囲を含むように、正常範囲をマイコン動作範囲よりも大きく設定しても良い。例えばマイコン動作範囲(4.0〜5.5V)に対して正常範囲を3.9V〜5.6Vに設定してもよい。 [Modification 1]
In the above-described embodiment, the mode in which the normal range is set within the microcomputer operating range is disclosed, but the present invention is not limited to this. The normal range may be set larger than the microcomputer operation range so as to include the microcomputer operation range. For example, the normal range may be set to 3.9V to 5.6V with respect to the microcomputer operating range (4.0 to 5.5V).

[変形例2]
第2電源回路16をより安価に実現するために、第2電源回路16を動作時にはメインマイコン11の停止させる制御態様を開示した。メインマイコン11を停止されれば第2電源回路16に要求される電流供給能力を低く設計できるためである。 [Modification 2]
In order to realize the second power supply circuit 16 at a lower cost, the control mode in which the main microcomputer 11 is stopped during the operation of the second power supply circuit 16 has been disclosed. This is because the current supply capacity required for the second power supply circuit 16 can be designed to be low if the main microcomputer 11 is stopped.

一方、他の態様として第2電源回路16を動作時においてもメインマイコン11とサブマイコン12の両方を動作させてもよい。その場合、第2電源回路16は、メインマイコン11とサブマイコン12の両方を駆動させるために必要な電流を供給しうる能力を備えるように構成されているものとする。図9は、第2電源回路16動作時においてもメインマイコン11が動作可能な回路構成の一例を示している。   On the other hand, as another mode, both the main microcomputer 11 and the sub-microcomputer 12 may be operated even when the second power supply circuit 16 is operating. In that case, it is assumed that the second power supply circuit 16 is configured to have a capability of supplying a current required to drive both the main microcomputer 11 and the sub-microcomputer 12. FIG. 9 shows an example of a circuit configuration in which the main microcomputer 11 can operate even when the second power supply circuit 16 is operating.

[変形例3]
以上では、異常検出部20が第1電源回路15の異常を検出した場合には、第1電源回路15が停止する構成を開示したがこれに限らない。例えば図10に示すような、異常検出部20が第1電源回路15の異常を検出した以降においても第1電源回路15が動作し続ける構成を採用しても良い。 [Modification 3]
Although the configuration in which the first power supply circuit 15 is stopped when the abnormality detection unit 20 detects an abnormality in the first power supply circuit 15 has been disclosed above, the invention is not limited to this. For example, as shown in FIG. 10, a configuration may be adopted in which the first power supply circuit 15 continues to operate even after the abnormality detection unit 20 detects the abnormality of the first power supply circuit 15.

なお、図10に示す構成では、第2電源起動部19の出力端子とメインマイコン11のリセット入力端子とが接続されているため、第1電源回路15の異常を検出した以降においては、メインマイコン11は停止する。図11は、第1電源回路15の異常を検出した以降においても、メインマイコン11と第1電源回路15の両方共動作を継続する構成を示している。   In the configuration shown in FIG. 10, since the output terminal of the second power supply start-up unit 19 and the reset input terminal of the main microcomputer 11 are connected, after detecting the abnormality of the first power supply circuit 15, the main microcomputer 11 stops. FIG. 11 shows a configuration in which both the main microcomputer 11 and the first power supply circuit 15 continue to operate even after the abnormality of the first power supply circuit 15 is detected.

[変形例4]
上述した実施形態では、サブマイコン12は、退避走行などの限定的な車両制御機能のみを備えるものとしたが、これに限らない。サブマイコン12は、メインマイコン11と同様の車両制御を実行する機能を備えるものであってもよい。その他、以上ではIGSW8がオンとなった場合に、ECU1が起動する態様を開示したが、ECU1の起動トリガは、これに限らない。ECU1は、充電プラグが接続されたことを示す信号が入力された場合に起動しても良いし、内部のタイマの満了等によって自発的に起動してもよい。メインマイコン11による電力供給を開始させるためのトリガとして機能する信号及び当該信号の出力元(すなわち信号源)は適宜設計されれば良い。 [Modification 4]
In the embodiment described above, the sub-microcomputer 12 has only a limited vehicle control function such as evacuation travel, but the present invention is not limited to this. The sub-microcomputer 12 may have a function of executing vehicle control similar to that of the main microcomputer 11. In addition, although the mode in which the ECU 1 is activated when the IGSW 8 is turned on is disclosed above, the activation trigger of the ECU 1 is not limited to this. The ECU 1 may be activated when a signal indicating that the charging plug is connected is input, or may be activated spontaneously due to expiration of an internal timer or the like. A signal that functions as a trigger for starting the power supply by the main microcomputer 11 and an output source (that is, a signal source) of the signal may be appropriately designed.

1 ECU(電子制御装置)、2 車載バッテリ、3 電子スロットル、8 イグニッションスイッチ、11 メインマイコン、12 サブマイコン、13 第1通信ドライバ、14 第2通信ドライバ、15 第1電源回路、16 第2電源回路、17 駆動維持部、18 第1電源起動部、19 第2電源起動部、20 異常検出部、21 安定化フィルタ、22 遅延フィルタ、Ln 内部電源ライン 1 ECU (electronic control unit), 2 vehicle battery, 3 electronic throttle, 8 ignition switch, 11 main microcomputer, 12 sub-microcomputer, 13 first communication driver, 14 second communication driver, 15 first power supply circuit, 16 second power supply Circuit, 17 Drive Maintaining Section, 18 First Power Supply Starting Section, 19 Second Power Supply Starting Section, 20 Abnormality Detection Section, 21 Stabilizing Filter, 22 Delay Filter, Ln Internal Power Supply Line

Claims (10)

車両に搭載されたセンサから入力されるデータに基づいて前記車両に搭載されている所定のアクチュエータの動作を制御するマイクロコンピュータである制御マイコン(11、12)と、
前記車両に搭載されている電源装置から供給される電圧から前記制御マイコンを駆動するための電圧を生成して前記制御マイコンに供給する電源回路としての第1電源回路(15)と、
前記第1電源回路が出力する電圧に基づいて前記第1電源回路の異常動作を検出する異常検出部(20)と、
前記第1電源回路とは異なる前記電源回路であって、前記異常検出部の検出結果に応じて起動し、前記制御マイコンへの電力供給を行う第2電源回路(16)と、
前記第1電源回路の出力端子と前記第2電源回路の出力端子と前記制御マイコンの電源用端子とを接続する電源線である内部電源ライン(Ln)と、を備え、
前記第1電源回路は、所定の信号源から前記制御を開始するための信号である起動信号が入力されたことをトリガとして前記制御マイコンへの電力供給を開始するものであり、
前記第1電源回路の異常動作を検出しないときに、前記異常検出部は、前記第2電源回路を停止させる信号を出力し、
前記第1電源回路の異常動作を検出したときに、前記異常検出部は、前記第2電源回路を起動させる信号を出力することを特徴とする電子制御装置。 A control microcomputer (11, 12) which is a microcomputer for controlling the operation of a predetermined actuator mounted on the vehicle based on data input from a sensor mounted on the vehicle;
A first power supply circuit (15) as a power supply circuit that generates a voltage for driving the control microcomputer from a voltage supplied from a power supply device mounted on the vehicle and supplies the voltage to the control microcomputer.
An abnormality detection unit (20) for detecting an abnormal operation of the first power supply circuit based on the voltage output from the first power supply circuit;
A second power supply circuit (16) which is different from the first power supply circuit and which is activated in response to a detection result of the abnormality detection unit and supplies power to the control microcomputer;
An internal power supply line (Ln) which is a power supply line connecting the output terminal of the first power supply circuit, the output terminal of the second power supply circuit, and the power supply terminal of the control microcomputer ;
The first power supply circuit starts power supply to the control microcomputer triggered by an input of a start signal, which is a signal for starting the control, from a predetermined signal source,
When the abnormal operation of the first power supply circuit is not detected, the abnormality detection unit outputs a signal for stopping the second power supply circuit,
The electronic control device , wherein the abnormality detection unit outputs a signal for activating the second power supply circuit when detecting an abnormal operation of the first power supply circuit . 請求項1において、
前記制御マイコンには、当該制御マイコンが動作する電圧の下限値及び上限値が動作電圧範囲として設定されており、
前記第1電源回路の出力電圧に対して、前記異常検出部が前記第1電源回路の出力電圧は正常であると見なす範囲である正常電圧範囲が予め設定されており、
前記正常電圧範囲は、前記動作電圧範囲に含まれるように設定されており、
前記異常検出部は、前記第1電源回路の出力電圧が前記正常電圧範囲外の値となっていることを、前記第1電源回路の異常動作として検出することを特徴とする電子制御装置。 In claim 1,
In the control microcomputer, the lower limit value and the upper limit value of the voltage at which the control microcomputer operates are set as the operating voltage range,
With respect to the output voltage of the first power supply circuit, a normal voltage range, which is a range in which the abnormality detection unit considers the output voltage of the first power supply circuit to be normal, is preset,
The normal voltage range is set to be included in the operating voltage range,
The electronic control device, wherein the abnormality detection unit detects that the output voltage of the first power supply circuit is a value outside the normal voltage range as an abnormal operation of the first power supply circuit. 請求項2において、
前記第1電源回路は、前記異常検出部によって前記第1電源回路の異常動作が検出された場合には、動作を停止することを特徴とする電子制御装置。 In claim 2,
The electronic control device, wherein the first power supply circuit stops the operation when the abnormal detection unit detects an abnormal operation of the first power supply circuit. 請求項1から3の何れか1項において、
前記制御マイコンとして第1マイコンと第2マイコンを備え、
前記異常検出部によって前記第1電源回路の異常動作が検出されていない場合には、前記第1マイコンと前記第2マイコンの両方が動作する一方、
前記異常検出部によって前記第1電源回路の異常動作が検出された場合には、前記制御マイコンは動作を停止することを特徴とする電子制御装置。 In any one of Claim 1 to 3,
The control microcomputer includes a first microcomputer and a second microcomputer,
When the abnormal operation of the first power supply circuit is not detected by the abnormality detection unit, both the first microcomputer and the second microcomputer operate,
The electronic control unit, wherein the control microcomputer stops the operation when the abnormality detecting unit detects an abnormal operation of the first power supply circuit. 請求項4において、
前記第2マイコンは、
前記第1電源回路からの電力供給がされていない場合においてもデータを保持可能なメモリ(121)を備え、
前記第1電源回路及び前記第2電源回路のそれぞれの動作状態を制御するものであって、
前記第2マイコンは、
前記信号源から前記制御を開始するための所定の信号が入力されてから、前記制御を終了するための所定の終了条件が充足されるまでの間に前記第1電源回路の異常動作が検出されなかった場合には、前記終了条件の充足に伴って前記第1電源回路を停止させるとともに、前記第2電源回路を起動させ、
前記第2電源回路を起動させてから一定時間経過した時点においてまだ前記第2マイコンが動作できている場合には前記第2電源回路は正常であることを示す動作確認データを前記メモリに記録することを特徴とする電子制御装置。 In claim 4,
The second microcomputer is
A memory (121) capable of holding data even when power is not supplied from the first power supply circuit,
Controlling the operating states of the first power supply circuit and the second power supply circuit,
The second microcomputer is
An abnormal operation of the first power supply circuit is detected during the period from the input of a predetermined signal for starting the control from the signal source to the satisfaction of a predetermined end condition for ending the control. If not, the first power supply circuit is stopped and the second power supply circuit is started along with the satisfaction of the termination condition,
If the second microcomputer is still operating when a certain time has elapsed after the second power supply circuit was started, the operation confirmation data indicating that the second power supply circuit is normal is recorded in the memory. An electronic control device characterized by the above. 請求項5において、
前記第2マイコンは、起動する度に前記メモリに記録されている前記動作確認データを削除することを特徴とする電子制御装置。 In claim 5,
The electronic control unit, wherein the second microcomputer deletes the operation confirmation data recorded in the memory each time it is activated. 請求項5又は6において、
前記異常検出部は、いったん前記第1電源回路の異常動作を検出した場合には、前記第1電源回路に異常が生じているという判定結果を、前記第2マイコンから所定のクリア信号が入力されるまで維持し、
前記第1電源回路に異常が生じていると判定している間は、前記第2電源回路を起動させる信号として、前記第1電源回路に異常が生じていることを示す異常検出信号を出力するものであり、
前記第2マイコンは、第2電源保持信号を出力することによって前記第2電源回路を動作させるものであって、
前記第2電源回路は、前記異常検出部が前記異常検出信号を出力しているか、又は、前記第2マイコンが前記第2電源保持信号を出力している場合に動作することを特徴とする電子制御装置。 In Claim 5 or 6,
When the abnormality detection unit once detects an abnormal operation of the first power supply circuit, a predetermined clear signal is input from the second microcomputer as a determination result that an abnormality has occurred in the first power supply circuit. Hold until
While it is determined that the first power supply circuit has an abnormality, an abnormality detection signal indicating that the first power supply circuit has an abnormality is output as a signal for activating the second power supply circuit. Is something
The second microcomputer operates the second power supply circuit by outputting a second power supply holding signal,
The second power supply circuit operates when the abnormality detection unit outputs the abnormality detection signal or the second microcomputer outputs the second power supply holding signal. Control device. 請求項4から7の何れか1項において、
前記第2マイコンは、前記異常検出部によって前記第1電源回路の異常動作が検出された場合、所定のフェールセーフ処理を実行することを特徴とする電子制御装置。 In any one of Claims 4 to 7,
The electronic control device according to claim 2, wherein the second microcomputer executes a predetermined fail-safe process when the abnormal operation of the first power supply circuit is detected by the abnormality detection unit. 請求項4から8の何れか1項において、
前記第2電源回路は、前記第1マイコンと前記第2マイコンの両方を駆動させる電力を出力可能に構成されていることを特徴とする電子制御装置。 In any one of Claims 4 to 8,
The electronic control device, wherein the second power supply circuit is configured to output electric power for driving both the first microcomputer and the second microcomputer. 請求項1から9の何れか1項において、
前記異常検出部は、前記起動信号が入力された時点を起算時点として、前記起算時点から所定時間経過したタイミングで起動するように構成されていることを特徴とする電子制御装置。 In any one of Claim 1 to 9,
The electronic control unit, wherein the abnormality detection unit is configured to start at a time point when the activation signal is input as a start time point and at a timing when a predetermined time has elapsed from the start time point.
JP2016217505A 2016-11-07 2016-11-07 Electronic control unit Active JP6683104B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016217505A JP6683104B2 (en) 2016-11-07 2016-11-07 Electronic control unit
DE102017219390.5A DE102017219390A1 (en) 2016-11-07 2017-10-27 ELECTRONIC CONTROL UNIT

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016217505A JP6683104B2 (en) 2016-11-07 2016-11-07 Electronic control unit

Publications (2)

Publication Number Publication Date
JP2018078682A JP2018078682A (en) 2018-05-17
JP6683104B2 true JP6683104B2 (en) 2020-04-15

Family

ID=62003316

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016217505A Active JP6683104B2 (en) 2016-11-07 2016-11-07 Electronic control unit

Country Status (2)

Country Link
JP (1) JP6683104B2 (en)
DE (1) DE102017219390A1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6969505B2 (en) 2018-06-13 2021-11-24 株式会社オートネットワーク技術研究所 In-vehicle power control device and in-vehicle power supply system
JP7111606B2 (en) 2018-12-19 2022-08-02 日立Astemo株式会社 Electronic control unit and in-vehicle system
DE102022118073A1 (en) 2022-07-19 2024-01-25 Zf Active Safety Gmbh Control unit for powering an electrical component in a vehicle and a braking system

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10297395A (en) * 1997-04-22 1998-11-10 Toyota Motor Corp Electronic control device
JP4340966B2 (en) * 2004-01-22 2009-10-07 株式会社デンソー Microcomputer power supply voltage monitoring system
JP4940681B2 (en) * 2006-02-07 2012-05-30 株式会社デンソー Electronic control device
JP5194630B2 (en) * 2007-08-10 2013-05-08 トヨタ自動車株式会社 Power control device
JP5240260B2 (en) * 2010-09-13 2013-07-17 株式会社デンソー Electronic control device for vehicle
JP5825236B2 (en) * 2012-09-19 2015-12-02 株式会社デンソー Battery controller
JP6364486B2 (en) * 2014-06-18 2018-07-25 日立オートモティブシステムズ株式会社 In-vehicle control device or in-vehicle control system
JP2016032989A (en) * 2014-07-31 2016-03-10 株式会社オートネットワーク技術研究所 Load controller
JP6337781B2 (en) * 2015-01-09 2018-06-06 トヨタ自動車株式会社 Power supply
JP6334436B2 (en) * 2015-02-27 2018-05-30 日立オートモティブシステムズ株式会社 Mutual monitoring module for vehicles

Also Published As

Publication number Publication date
DE102017219390A1 (en) 2018-05-09
JP2018078682A (en) 2018-05-17

Similar Documents

Publication Publication Date Title
JP4525762B2 (en) Electronic control device for vehicle
US9566920B2 (en) Circuit arrangement comprising a monitoring device
JP2006316639A (en) Main relay failure diagnosing method and electronic control device
US10788826B2 (en) Vehicle control device
JP6683104B2 (en) Electronic control unit
JP2012060841A (en) Electronic control device for vehicle
JPH08132992A (en) On-vehicle controller
KR20210073705A (en) Vehicle control system according to failure of autonomous driving vehicle and method thereof
JP7172499B2 (en) electronic controller
CN107428297B (en) Vehicle control device and control method thereof
US11342772B2 (en) Precharge controller
JP6416718B2 (en) Fail-safe circuit
JP3817855B2 (en) Electronic control device
US20150377204A1 (en) Vehicular electronic control unit
JP6742192B2 (en) Electronic control unit
JP4538852B2 (en) Vehicle control device
JP3992648B2 (en) AT control unit
JP6597456B2 (en) Electronic control unit
JP7147691B2 (en) electronic controller
JP6631473B2 (en) Electronic control unit
JP2007291989A (en) Abnormality diagnosing device of load drive system
CN114184992A (en) Method, apparatus and computer program for verifying power supply monitoring
JPH07245786A (en) Multiple communication equipment
JP2020015339A (en) Malfunction detection device
US11254328B2 (en) Apparatus and method for using components of a vehicle

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190123

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191016

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191112

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200108

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200225

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200309

R151 Written notification of patent or utility model registration

Ref document number: 6683104

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250