JP6839212B2 - Electronic control device - Google Patents

Electronic control device Download PDF

Info

Publication number
JP6839212B2
JP6839212B2 JP2018561839A JP2018561839A JP6839212B2 JP 6839212 B2 JP6839212 B2 JP 6839212B2 JP 2018561839 A JP2018561839 A JP 2018561839A JP 2018561839 A JP2018561839 A JP 2018561839A JP 6839212 B2 JP6839212 B2 JP 6839212B2
Authority
JP
Japan
Prior art keywords
value
mpu
monitoring
counter
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018561839A
Other languages
Japanese (ja)
Other versions
JPWO2018131302A1 (en
Inventor
凌 杉山
凌 杉山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Publication of JPWO2018131302A1 publication Critical patent/JPWO2018131302A1/en
Application granted granted Critical
Publication of JP6839212B2 publication Critical patent/JP6839212B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Safety Devices In Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、電子制御装置に関する。 The present invention relates to an electronic control device.

背景技術として、例えば、特許文献1がある。特許文献1では、2つの方法を用いて監視回路の監視機能を診断している。第1の方法では、マイコンから監視回路へ出力しているパルス信号を停止することによって、一定時間経過後にリセット信号が出力されるかどうかの確認処理が行われる。第2の方法では、監視回路からマイコンへ出題している例題に対して故意にマイコンが誤った回答を行うことによって、リセット信号が出力されるかどうかの確認処理が行われる。2つの方法は同時に行うことができず、どちらか一方のみの診断が交互に行われる。また、これらの診断は運転者によるエンジン停止操作直後のセルフシャットオフ期間中のみに行われる。 As a background technique, for example, there is Patent Document 1. In Patent Document 1, the monitoring function of the monitoring circuit is diagnosed by using two methods. In the first method, by stopping the pulse signal output from the microcomputer to the monitoring circuit, a process of confirming whether or not the reset signal is output after a lapse of a certain period of time is performed. In the second method, the microcomputer intentionally gives an erroneous answer to the example given to the microcomputer from the monitoring circuit, so that a confirmation process is performed to confirm whether or not a reset signal is output. The two methods cannot be performed at the same time, and only one of them is diagnosed alternately. In addition, these diagnoses are performed only during the self-shut-off period immediately after the engine stop operation by the driver.

特開2002−099321号公報Japanese Unexamined Patent Publication No. 2002-099321

特許文献1に開示されている技術では、マイコンがリセットされてしまうため、マイコンが異常状態になってからリセット信号が出力されるまでの時間を確認することができない。また、マイコンがリセットされてしまうと、制御対象が機能停止してしまうため、運転者によるエンジン停止操作直後のセルフシャットオフ期間中のみにしか、監視機能の診断を行うことができない。 In the technique disclosed in Patent Document 1, since the microcomputer is reset, it is not possible to confirm the time from when the microcomputer goes into an abnormal state until the reset signal is output. Further, if the microcomputer is reset, the control target stops functioning, so that the monitoring function can be diagnosed only during the self-shut-off period immediately after the engine stop operation by the driver.

そこで、本願明細書は、このような実情に鑑み、制御対象が通常動作中であっても、監視ICの監視機能が正常に動作しているかを診断することができる電子制御装置を開示する。 Therefore, in view of such circumstances, the present specification discloses an electronic control device capable of diagnosing whether or not the monitoring function of the monitoring IC is operating normally even when the controlled object is in normal operation.

例えば、上記課題を解決するために、特許請求の範囲に記載の構成を採用する。本願は上記課題を解決する手段を複数含んでいるが、その一例をあげるならば、外部装置を制御するためのMPUと、前記MPUの監視を行う監視ICと、前記MPUのリセットを行うリセット部とを備える電子制御装置であって、前記監視ICは、前記MPUとの通信に異常があった場合に変動させるNGカウンタを備え、前記MPUは、前記NGカウンタの値を監視することにより、前記MPUが異常状態となってからリセットされるまでの時間を診断する、電子制御装置が提供される。 For example, in order to solve the above problems, the configuration described in the claims is adopted. The present application includes a plurality of means for solving the above problems. For example, an MPU for controlling an external device, a monitoring IC for monitoring the MPU, and a reset unit for resetting the MPU. The monitoring IC includes an NG counter that changes when there is an abnormality in communication with the MPU, and the MPU monitors the value of the NG counter. An electronic control device is provided that diagnoses the time from when the MPU becomes abnormal to when it is reset.

本発明によれば、制御対象が通常動作中であっても、監視ICの監視機能が正常に動作しているかを診断することができる。本発明に関連する更なる特徴は、本明細書の記述、添付図面から明らかになるものである。また、上記した以外の、課題、構成及び効果は、以下の実施形態の説明により明らかにされる。 According to the present invention, it is possible to diagnose whether the monitoring function of the monitoring IC is operating normally even when the controlled object is in normal operation. Further features relating to the present invention will become apparent from the description herein and the accompanying drawings. In addition, problems, configurations, and effects other than those described above will be clarified by the following description of the embodiments.

第1実施形態における電子制御装置の構成図である。It is a block diagram of the electronic control device in 1st Embodiment. 第1実施形態における電子制御装置のタイミングチャートである。It is a timing chart of the electronic control device in 1st Embodiment.

以下、添付図面を参照して本発明の実施形態について説明する。添付図面は本発明の原理に則った具体的な実施形態を示しているが、これらは本発明の理解のためのものであり、決して本発明を限定的に解釈するために用いられるものではない。 Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings. The accompanying drawings show specific embodiments in accordance with the principles of the present invention, but these are for the purpose of understanding the present invention and are by no means used for a limited interpretation of the present invention. ..

以下では、MPUが監視ICのNGカウンタの値をモニタし、MPUがリセットされる直前までの時間を計測する実施形態を開示する。この構成によれば、また、制御対象が通常の動作中に、MPUをリセットすることなく、MPUが、異常状態になってから予め決められた時間内にリセットされることを診断することができる。 The following discloses an embodiment in which the MPU monitors the value of the NG counter of the monitoring IC and measures the time until immediately before the MPU is reset. According to this configuration, it is also possible to diagnose that the MPU is reset within a predetermined time after the abnormal state is established, without resetting the MPU during the normal operation of the controlled object. ..

[第1実施形態]
図1は、第1実施形態における電子制御装置の構成図を示す。電子制御装置10は、例えば、車両用電子制御装置である。電子制御装置10は、外部装置(制御対象)を制御するMPU20と、MPU20の監視を行う監視IC30と、MPU20のリセットを行うリセット出力部40とを備える。[First Embodiment]
FIG. 1 shows a configuration diagram of an electronic control device according to the first embodiment. The electronic control device 10 is, for example, an electronic control device for a vehicle. The electronic control device 10 includes an MPU 20 that controls an external device (controlled object), a monitoring IC 30 that monitors the MPU 20, and a reset output unit 40 that resets the MPU 20.

MPU20は、監視機能診断回路21及びクロック回路24を備える。監視機能診断回路21は、リセット時間診断回路22と、例題回答機能23とを含む。リセット時間診断回路22は、診断フラグを備える。診断フラグは、MPU20を異常状態へ遷移させるためのフラグである。以下では、診断フラグの第1の値が正常状態に対応し、診断フラグの第2の値が異常状態に対応するものとして説明する。 The MPU 20 includes a monitoring function diagnostic circuit 21 and a clock circuit 24. The monitoring function diagnostic circuit 21 includes a reset time diagnostic circuit 22 and an example answer function 23. The reset time diagnostic circuit 22 includes a diagnostic flag. The diagnostic flag is a flag for transitioning the MPU 20 to an abnormal state. Hereinafter, it is assumed that the first value of the diagnostic flag corresponds to the normal state and the second value of the diagnostic flag corresponds to the abnormal state.

監視IC30は、MPU監視回路31を備える。MPU監視回路31は、例題演算監視機能32と、NGカウンタ33とを含む。例題演算監視機能32は、ウィンドウウォッチドッグタイマ(ウィンドウWDT)を含む。ウィンドウWDTは、MPU20からの出力がある正常な周期より長すぎる場合又は短すぎる場合に、リセットを出力する機能を備えるものである。この機能により、例題演算監視機能32は、リセット出力部40を介してMPU20に対してリセット信号を送信することができる。 The monitoring IC 30 includes an MPU monitoring circuit 31. The MPU monitoring circuit 31 includes an example calculation monitoring function 32 and an NG counter 33. Example The calculation monitoring function 32 includes a window watchdog timer (window WDT). The window WDT has a function of outputting a reset when the output from the MPU 20 is too long or too short than a normal cycle. With this function, the example calculation monitoring function 32 can transmit a reset signal to the MPU 20 via the reset output unit 40.

次に、監視IC30の監視機能を診断する処理の流れについて説明する。MPU20の監視機能診断回路21は、監視IC30へ例題のシード要求を送信する。MPU監視回路31がシード要求を受信すると、例題演算監視機能32がシード要求を処理する。 Next, the flow of the process of diagnosing the monitoring function of the monitoring IC 30 will be described. The monitoring function diagnostic circuit 21 of the MPU 20 transmits an example seed request to the monitoring IC 30. When the MPU monitoring circuit 31 receives the seed request, the example calculation monitoring function 32 processes the seed request.

例題演算監視機能32は、受信のタイミングが所定時間T1(図2参照)内に収まっているかを判定する。例題演算監視機能32は、受信のタイミングが所定時間T1内に収まっていない場合、NGカウンタ33の値を変動させる。一方、例題演算監視機能32は、受信のタイミングが所定時間T1内に収まっている場合、NGカウンタ33の値を変動させずに、MPU20に対して例題を出題する。この時、例題演算監視機能32は、例題とともにNGカウンタ33の値をMPU20に対して送信する。 The example calculation monitoring function 32 determines whether the reception timing is within the predetermined time T1 (see FIG. 2). Example The calculation monitoring function 32 changes the value of the NG counter 33 when the reception timing is not within the predetermined time T1. On the other hand, when the reception timing is within the predetermined time T1, the example calculation monitoring function 32 gives an example to the MPU 20 without changing the value of the NG counter 33. At this time, the example calculation monitoring function 32 transmits the value of the NG counter 33 to the MPU 20 together with the example.

リセット時間診断回路22は、NGカウンタ33の値を受け取る。リセット時間診断回路22は、NGカウンタ33の値を監視する。リセット時間診断回路22は、NGカウンタ33の値及び経過時間に基づいて、診断フラグの値を変動させる。例題回答機能23は、例題を受け取る。例題回答機能23は、例題の演算を行い、監視IC30に対して例題の回答を送信する。例題回答機能23は、診断フラグの値が第1の値である場合には監視IC30に対して正常な通信を行い、診断フラグの値が第2の値である場合には監視IC30に対して異常な通信を行う。 The reset time diagnostic circuit 22 receives the value of the NG counter 33. The reset time diagnostic circuit 22 monitors the value of the NG counter 33. The reset time diagnostic circuit 22 changes the value of the diagnostic flag based on the value of the NG counter 33 and the elapsed time. The example answer function 23 receives an example. The example answer function 23 performs an example calculation and transmits an example answer to the monitoring IC 30. The example answer function 23 normally communicates with the monitoring IC 30 when the value of the diagnostic flag is the first value, and communicates normally with the monitoring IC 30 when the value of the diagnostic flag is the second value. Performs abnormal communication.

例題演算監視機能32は、シード要求の場合と同じように、例題の回答の受信タイミングが所定時間T1内に収まっているか、及び、例題の回答が正しいかを判定する。例題演算監視機能32は、受信のタイミングが所定時間T1内に収まっていない場合又は例題の回答が正しくない場合、NGカウンタ33の値を変動させる。 The example calculation monitoring function 32 determines whether the reception timing of the answer of the example is within the predetermined time T1 and whether the answer of the example is correct, as in the case of the seed request. The example calculation monitoring function 32 changes the value of the NG counter 33 when the reception timing is not within the predetermined time T1 or when the answer of the example is incorrect.

以上の通り、監視IC30は、MPU20からの通信を受信する際には、必ず受信タイミングが所定時間T1内に収まっているかを判定し、NGカウンタ33の値を変動させるか否かを決定する。また、監視IC30は、MPU20からの通信が例題の回答である場合には、受信タイミングが所定時間T1内に収まっているか、及び、例題の回答が正しいかを判定し、NGカウンタ33の値を変動させるか否かを決定する。 As described above, when receiving the communication from the MPU 20, the monitoring IC 30 always determines whether the reception timing is within the predetermined time T1 and determines whether or not the value of the NG counter 33 is changed. Further, when the communication from the MPU 20 is the answer of the example, the monitoring IC 30 determines whether the reception timing is within T1 for a predetermined time and whether the answer of the example is correct, and sets the value of the NG counter 33. Decide whether to fluctuate.

例題演算監視機能32は、例題の回答を受け取ると、例題の回答が正しいかを照会する。例題演算監視機能32は、例題の回答が正しいとき、NGカウンタ33の値を変動させないか(正常値を維持する)、又は、NGカウンタ33の値が正常値と異なっている場合には正常値へ近づける。一方、例題演算監視機能32は、例題の回答が誤っている場合、NGカウンタ33の値を正常値から遠ざける(所定範囲から外れる方向へ変動させる)。 When the example calculation monitoring function 32 receives the answer of the example, it inquires whether the answer of the example is correct. The example calculation monitoring function 32 does not fluctuate the value of the NG counter 33 (maintains a normal value) when the answer of the example is correct, or is a normal value when the value of the NG counter 33 is different from the normal value. Get closer to. On the other hand, the example calculation monitoring function 32 keeps the value of the NG counter 33 away from the normal value (variates in a direction out of the predetermined range) when the answer of the example is incorrect.

上述のように、例題のシード要求、例題の出題及び回答が繰り返し実行される。当該繰り返し処理の間、リセット時間診断回路22は、NGカウンタ33の値及び経過時間に基づいて、診断フラグの値を変動させる。また、当該繰り返し処理の間、NGカウンタ33の値が所定範囲外に変動した場合には、例題演算監視機能32は、リセット出力部40に通知し、リセット出力部40が、MPU20に対してリセット信号を送信する。MPU20がリセット信号を受信すると、MPU20が異常と判断し、電子制御装置10が制御対象を安全な状態に移行させる。 As described above, the seed request of the example, the question and the answer of the example are repeatedly executed. During the iterative process, the reset time diagnostic circuit 22 changes the value of the diagnostic flag based on the value of the NG counter 33 and the elapsed time. Further, when the value of the NG counter 33 fluctuates outside the predetermined range during the iterative processing, the example calculation monitoring function 32 notifies the reset output unit 40, and the reset output unit 40 resets the MPU 20. Send a signal. When the MPU 20 receives the reset signal, the MPU 20 determines that it is abnormal, and the electronic control device 10 shifts the controlled object to a safe state.

図2は、第1実施形態における電子制御装置10のタイミングチャートである。図2において、実線は、監視IC30からMPU20への通信を示し、破線は、MPU20から監視IC30への通信を示している。破線左側の文字は、例題の回答を監視IC30の例題演算監視機能32が診断した結果を示している。 FIG. 2 is a timing chart of the electronic control device 10 according to the first embodiment. In FIG. 2, the solid line shows the communication from the monitoring IC 30 to the MPU 20, and the broken line shows the communication from the MPU 20 to the monitoring IC 30. The characters on the left side of the broken line indicate the result of diagnosing the answer of the example by the example calculation monitoring function 32 of the monitoring IC 30.

NGカウンタ33は、MPU20から監視IC30への通信のタイミングで値が更新される。この例では、NGカウンタ33の値は正常値が「0」、異常値が「5」とする。なお、異常値の数値は、ノイズなどにより通信異常が発生する場合を考慮すると、2以上が好ましい。この例は、あくまで一実施形態であり、NGカウンタ33の正常値及び異常値の設定は変更可能である。また、1カウントあたりの変動量、アップ又はダウンのカウント変動方向も変更可能である。 The value of the NG counter 33 is updated at the timing of communication from the MPU 20 to the monitoring IC 30. In this example, the value of the NG counter 33 is "0" for the normal value and "5" for the abnormal value. The value of the abnormal value is preferably 2 or more in consideration of the case where a communication abnormality occurs due to noise or the like. This example is only one embodiment, and the setting of the normal value and the abnormal value of the NG counter 33 can be changed. In addition, the amount of fluctuation per count and the direction of fluctuation of the up or down count can be changed.

T2以前は、電子制御装置10が正常に動作しており、NGカウンタ33の値が正常値「0」に維持されている状態である。NGカウンタ33が正常値「0」に維持されたまま規定時間を過ぎた場合、リセット時間診断回路22が診断フラグを立ち上げ(第1の値から第2の値への変更)、リセット時間診断回路22が例題回答機能23に対して故意に異常動作を行うように命令を送信する。図2の例では、T2の時点で、リセット時間診断回路22が診断フラグを立ち上げる。 Before T2, the electronic control device 10 is operating normally, and the value of the NG counter 33 is maintained at the normal value "0". When the specified time has passed while the NG counter 33 is maintained at the normal value "0", the reset time diagnostic circuit 22 raises the diagnostic flag (change from the first value to the second value) to diagnose the reset time. The circuit 22 sends a command to the example answer function 23 to intentionally perform an abnormal operation. In the example of FIG. 2, at the time of T2, the reset time diagnostic circuit 22 raises the diagnostic flag.

この診断フラグが立ち上がった場合、例題回答機能23は、必ず、誤った例題の回答を監視IC30に対して送信するか、又は、所定時間T1を外れたタイミングで例題の回答を監視IC30に対して送信する。例題演算監視機能32は、例題回答機能23からの回答を受信するタイミングでNGカウンタ33の値をカウントアップする。図2の例では、T2からT3までの間、例題演算監視機能32は、NGカウンタ33の値をカウントアップすることになる。 When this diagnostic flag is raised, the example answer function 23 always sends an incorrect example answer to the monitoring IC 30, or sends an example answer to the monitoring IC 30 at a timing outside the predetermined time T1. Send. The example calculation monitoring function 32 counts up the value of the NG counter 33 at the timing of receiving the answer from the example answer function 23. In the example of FIG. 2, from T2 to T3, the example calculation monitoring function 32 counts up the value of the NG counter 33.

リセット時間診断回路22の診断フラグが立ち上がった状態は、NGカウンタ33の値が「4」になる時点まで継続される。NGカウンタ33の値「4」は、あと一度NGカウンタ33がカウントアップされると異常値「5」となって所定範囲を外れる直前の値である。リセット時間診断回路22は、NGカウンタ33の値が「4」になったT3時点まで、診断フラグが立ち上がった状態を継続させる。そして、リセット時間診断回路22は、T3時点において(すなわち、監視IC30からNGカウンタ33の値「4」を受信した時点)、診断フラグを立ち下げる(第2の値から第1の値への変更)。このとき、リセット時間診断回路22は、例題回答機能23への異常動作の命令を解除する。これにより、例題回答機能23は、所定時間T1内のタイミングで、例題の正しい回答を監視IC30へ送信する。 The state in which the diagnostic flag of the reset time diagnostic circuit 22 is raised continues until the value of the NG counter 33 becomes “4”. The value "4" of the NG counter 33 is a value immediately before the value "4" becomes an abnormal value "5" when the NG counter 33 is counted up once more and is out of the predetermined range. The reset time diagnosis circuit 22 keeps the state in which the diagnosis flag is raised until the time T3 when the value of the NG counter 33 becomes "4". Then, the reset time diagnostic circuit 22 lowers the diagnostic flag at the time of T3 (that is, when the value "4" of the NG counter 33 is received from the monitoring IC 30) (change from the second value to the first value). ). At this time, the reset time diagnosis circuit 22 cancels the instruction of the abnormal operation to the example answer function 23. As a result, the example answer function 23 transmits the correct answer of the example to the monitoring IC 30 at a timing within the predetermined time T1.

ここで、監視機能診断回路21は、リセット時間診断回路22の診断フラグの立ち上がりのT2時点から、立ち下がりのT3時点までの時間をクロック回路24からのクロックによって計測する。これにより、監視機能診断回路21は、MPU20が異常状態になってからリセットされるまでの時間が予め決められた時間内に収まっているかを診断する。すなわち、本実施形態では、MPU20が、故意に監視IC30との通信を異常状態にし、NGカウンタ33の値が所定範囲を外れる直前までの時間を、MPU20の内部のクロック回路24によって測定する。NGカウンタ33の値が所定範囲を外れる直前までの時間を、MPU20が異常状態になってからリセットされるまでの時間とみなすことができる。リセット時間診断回路22は、異常状態になってからリセットされるまでの時間が予め決められた時間(例えば、200ms)内に収まっているかを判定し、監視IC30の監視機能が正常に動作しているかを診断する。この構成によれば、MPU20が異常状態になってから、例えば200ms以内にリセットすることを保証することができる。 Here, the monitoring function diagnostic circuit 21 measures the time from the rising point T2 of the diagnostic flag of the reset time diagnostic circuit 22 to the falling point T3 by the clock from the clock circuit 24. As a result, the monitoring function diagnosis circuit 21 diagnoses whether the time from when the MPU 20 becomes abnormal to when it is reset is within a predetermined time. That is, in the present embodiment, the time until the MPU 20 intentionally puts the communication with the monitoring IC 30 into an abnormal state and the value of the NG counter 33 deviates from the predetermined range is measured by the internal clock circuit 24 of the MPU 20. The time immediately before the value of the NG counter 33 deviates from the predetermined range can be regarded as the time from when the MPU 20 becomes abnormal to when it is reset. The reset time diagnostic circuit 22 determines whether the time from the abnormal state to the reset is within a predetermined time (for example, 200 ms), and the monitoring function of the monitoring IC 30 operates normally. Diagnose. According to this configuration, it can be guaranteed that the MPU 20 is reset within, for example, 200 ms after it becomes abnormal.

図2において、T3からT4までは、再び電子制御装置10が正常に動いている時間を示している。T3からT4までは、例題回答機能23が、所定時間T1内のタイミングで例題の正しい回答をMPU30へ送信する。例題演算監視機能32は、回答の受信のタイミングで、NGカウンタ33の値を正常値「0」へ近づく方向へカウントダウンする。 In FIG. 2, T3 to T4 indicate the time during which the electronic control device 10 is operating normally again. From T3 to T4, the example answer function 23 transmits the correct answer of the example to the MPU 30 at a timing within the predetermined time T1. The example calculation monitoring function 32 counts down the value of the NG counter 33 in the direction approaching the normal value “0” at the timing of receiving the answer.

本実施形態は、診断フラグが立ち下がった直後にNGカウンタ33の値を正常値「0」に変更せず、正常値「0」へ近づく方向へカウントダウンする構成となっている。この構成には以下の利点がある。例えば、T2からT3の間で、MPU30が、診断フラグによる仮の異常状態ではなく、本当の異常状態になった場合、診断フラグが立ち下がった直後にNGカウンタ33の値を正常値「0」に変更すると、NGカウンタ33が異常値「5」となるまで時間がかかる。これに対して、本実施形態の構成の場合、T3を過ぎたすぐ後にNGカウンタ33の値が異常値「5」となり、MPU20をリセットすることができる。また、NGカウンタ33の値が正常値「0」に近づいている間でMPU30が異常状態となった場合でも、すぐにNGカウンタ33の値が異常値「5」となり、MPU20をリセットすることができる。したがって、MPU20の異常状態をより早く検知し、MPU20をリセットすることができる。 In the present embodiment, the value of the NG counter 33 is not changed to the normal value "0" immediately after the diagnostic flag is lowered, and the countdown is performed in the direction approaching the normal value "0". This configuration has the following advantages: For example, when the MPU 30 is in a true abnormal state between T2 and T3 instead of a temporary abnormal state due to the diagnostic flag, the value of the NG counter 33 is set to the normal value "0" immediately after the diagnostic flag is lowered. When changed to, it takes time for the NG counter 33 to reach the abnormal value “5”. On the other hand, in the case of the configuration of the present embodiment, the value of the NG counter 33 becomes an abnormal value "5" immediately after passing T3, and the MPU 20 can be reset. Further, even if the MPU 30 goes into an abnormal state while the value of the NG counter 33 is approaching the normal value "0", the value of the NG counter 33 immediately becomes the abnormal value "5" and the MPU 20 can be reset. it can. Therefore, the abnormal state of the MPU 20 can be detected earlier and the MPU 20 can be reset.

図2において、T4は、MPU20が異常状態になった時点を示している。MPU20が異常になると、例題回答機能23が、所定時間T1内のタイミングで例題の回答を送れなかったり、例題の正しい回答をMPU30へ送信できなくなったりする。したがって、例題演算監視機能32は、NGカウンタ33の値をカウントアップしていく。 In FIG. 2, T4 indicates the time when the MPU 20 is in an abnormal state. If the MPU 20 becomes abnormal, the example answer function 23 may not be able to send the answer of the example at a timing within the predetermined time T1, or may not be able to send the correct answer of the example to the MPU 30. Therefore, the example calculation monitoring function 32 counts up the value of the NG counter 33.

図2において、T5の時点で、例題演算監視機能32のカウントアップにより、NGカウンタ33の値が異常値「5」となる。NGカウンタ33の値が異常値「5」になった場合には、例題演算監視機能32は、リセット出力部40に通知し、リセット出力部40が、MPU20に対してリセット信号を送信する。MPU20がリセット信号を受信すると、MPU20が異常と判断し、電子制御装置10が制御対象を安全な状態に移行させる。 In FIG. 2, at the time of T5, the value of the NG counter 33 becomes an abnormal value “5” due to the count-up of the example calculation monitoring function 32. When the value of the NG counter 33 becomes an abnormal value "5", the example calculation monitoring function 32 notifies the reset output unit 40, and the reset output unit 40 transmits a reset signal to the MPU 20. When the MPU 20 receives the reset signal, the MPU 20 determines that it is abnormal, and the electronic control device 10 shifts the controlled object to a safe state.

以上の実施形態によれば、MPU20が異常状態となってから、MPU20がリセットされるまでの時間を診断する手段として、監視IC30の内部のNGカウンタ33の値が規定時間を超えて正常値である場合に、MPU20が、故意に監視IC30との通信を異常状態にする。そして、MPU20は、NGカウンタ33の値が所定範囲を外れる直前までの時間(すなわち、MPU20が異常状態になってからリセットされる直前までの時間)をクロック回路24によって計測する。そして、MPU20が、異常状態となってからリセットされるまでの時間が予め決められた時間内に収まっているか診断する。この構成によれば、MPU20がリセットされる直前で診断フラグが立ち下がり、MPU30がリセットされないため、制御対象が動作中であっても、監視IC30の監視機能が正常に動作しているかを診断できる。 According to the above embodiment, as a means for diagnosing the time from when the MPU 20 becomes abnormal to when the MPU 20 is reset, the value of the NG counter 33 inside the monitoring IC 30 exceeds the specified time and is a normal value. In some cases, the MPU 20 deliberately puts the communication with the monitoring IC 30 into an abnormal state. Then, the MPU 20 measures the time immediately before the value of the NG counter 33 deviates from the predetermined range (that is, the time immediately before the MPU 20 becomes abnormal and is reset) by the clock circuit 24. Then, it is diagnosed whether the time from the abnormal state to the reset of the MPU 20 is within a predetermined time. According to this configuration, the diagnostic flag is lowered immediately before the MPU 20 is reset, and the MPU 30 is not reset. Therefore, it is possible to diagnose whether the monitoring function of the monitoring IC 30 is operating normally even when the control target is operating. ..

以上の実施形態によれば、MPU20が異常状態となってからMPU20がリセットされるまでの時間が予め決められた時間内であることを保証できる。また、エンジン動作中でも常に監視機能の診断を行うことができるため、異常をすぐに検知でき、車両機能の失陥や車両が好ましくない挙動を示すことを回避することができる。 According to the above embodiment, it can be guaranteed that the time from when the MPU 20 becomes abnormal to when the MPU 20 is reset is within a predetermined time. In addition, since the monitoring function can always be diagnosed even while the engine is operating, an abnormality can be detected immediately, and it is possible to avoid a loss of vehicle function or an unfavorable behavior of the vehicle.

本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。上記実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることもできる。また、ある実施形態の構成に他の実施形態の構成を加えることもできる。また、各実施形態の構成の一部について、他の構成を追加・削除・置換することもできる。 The present invention is not limited to the above-described embodiment, and includes various modifications. The above-described embodiment has been described in detail in order to explain the present invention in an easy-to-understand manner, and is not necessarily limited to the one including all the described configurations. It is also possible to replace a part of the configuration of one embodiment with the configuration of another embodiment. It is also possible to add the configuration of another embodiment to the configuration of one embodiment. In addition, other configurations can be added / deleted / replaced with respect to a part of the configurations of each embodiment.

監視IC30は、NGカウンタ33の異常値の設定値を制御対象の機器に応じて変更してもよい。また、監視IC30は、NGカウンタ33の異常値の設定値を制御対象の状態に応じて変更してもよい。例えば、監視IC30は、車両の走行スピードが或るしきい値を超えるまではNGカウンタ33の異常値を第1の値とし、車両の走行スピードが上記しきい値を超えたら、NGカウンタ33の異常値を第1の値よりも小さい第2の値に変更してもよい。これにより、より速い走行スピードのときは、MPU20の異常状態をより早く検知することができ、自動車をより安全な状態へ移行することができる。 The monitoring IC 30 may change the set value of the abnormal value of the NG counter 33 according to the device to be controlled. Further, the monitoring IC 30 may change the set value of the abnormal value of the NG counter 33 according to the state of the controlled object. For example, the monitoring IC 30 sets the abnormal value of the NG counter 33 as the first value until the traveling speed of the vehicle exceeds a certain threshold value, and when the traveling speed of the vehicle exceeds the above threshold value, the NG counter 33 The outlier may be changed to a second value that is smaller than the first value. As a result, when the traveling speed is faster, the abnormal state of the MPU 20 can be detected earlier, and the automobile can be moved to a safer state.

上述の実施形態において、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。全ての構成が相互に接続されていてもよい。 In the above-described embodiment, the control lines and information lines are shown as necessary for explanation, and not all the control lines and information lines are necessarily shown in the product. All configurations may be interconnected.

10 …電子制御装置20 …MPU21 …監視機能診断回路22 …リセット時間診断回路23 …例題回答機能24 …クロック回路30 …MPU31 …MPU監視回路32 …例題演算監視機能33 …NGカウンタ40 …リセット出力部 10 ... Electronic control device 20 ... MPU 21 ... Monitoring function diagnostic circuit 22 ... Reset time diagnostic circuit 23 ... Example answer function 24 ... Clock circuit 30 ... MPU 31 ... MPU monitoring circuit 32 ... Example Calculation monitoring function 33 ... NG counter 40 ... Reset output unit

Claims (5)

外部装置を制御するためのMPUと、前記MPUの監視を行う監視ICと、前記MPUのリセットを行うリセット部とを備える電子制御装置において、
前記監視ICは、前記MPUとの通信に異常があった場合に変動させるNGカウンタを備え、
前記MPUは、前記NGカウンタの値を監視することにより、前記MPUが異常状態となってからリセットされるまでの時間が予め決められた時間内に収まっているかを判定し、前記監視ICを診断する
ことを特徴とする電子制御装置。 In an electronic control device including an MPU for controlling an external device, a monitoring IC for monitoring the MPU, and a reset unit for resetting the MPU.
The monitoring IC includes an NG counter that changes when there is an abnormality in communication with the MPU.
By monitoring the value of the NG counter, the MPU determines whether the time from when the MPU becomes abnormal to when it is reset is within a predetermined time, and diagnoses the monitoring IC. An electronic control device characterized by 請求項1に記載の電子制御装置において、
前記MPUは、前記NGカウンタの値及び経過時間に基づいて前記監視ICとの通信を異常状態にし、
前記MPUは、前記異常状態になってから前記NGカウンタの値が所定範囲を外れる直前までの時間を測定することを特徴とする電子制御装置。 In the electronic control device according to claim 1,
The MPU causes communication with the monitoring IC to be in an abnormal state based on the value of the NG counter and the elapsed time.
The MPU is an electronic control device that measures the time from the abnormal state to immediately before the value of the NG counter deviates from a predetermined range. 請求項2に記載の電子制御装置において、
前記監視ICは、前記MPUに対して前記NGカウンタの値及び例題を送信し、
前記MPUは、前記NGカウンタの値が規定時間を超えて正常値である場合に、前記異常状態へ遷移させるための診断フラグを第1の値から第2の値へ変更し、
前記MPUは、前記診断フラグが前記第2の値である間、誤った前記例題の回答を前記監視ICに対して送信するか、又は、所定時間内に収まらないように前記例題の回答を前記監視ICに対して送信し、
前記MPUは、前記所定範囲を外れる直前の前記NGカウンタの値を受信した時点で、前記診断フラグを前記第2の値から前記第1の値に戻し、
前記MPUは、前記診断フラグを前記第1の値から前記第2の値へ変更した時点から、前記第2の値から前記第1の値に戻した時点までの時間を計測することを特徴とする電子制御装置。 In the electronic control device according to claim 2.
The monitoring IC transmits the value of the NG counter and the example to the MPU, and the monitoring IC transmits the value and the example.
The MPU changes the diagnostic flag for transitioning to the abnormal state from the first value to the second value when the value of the NG counter exceeds the specified time and is a normal value.
The MPU either transmits an erroneous answer to the example to the monitoring IC while the diagnostic flag is at the second value, or provides the answer to the example so that it does not fit within a predetermined time. Send to the monitoring IC,
When the MPU receives the value of the NG counter immediately before it goes out of the predetermined range, the MPU returns the diagnostic flag from the second value to the first value.
The MPU is characterized in that it measures the time from the time when the diagnostic flag is changed from the first value to the second value to the time when the second value is returned to the first value. Electronic control device. 請求項2に記載の電子制御装置において、
前記監視ICは、前記MPUとの通信が正常の場合、前記NGカウンタの値を正常値で維持するか、又は、前記NGカウンタの値を前記正常値に近づけるように変動させることを特徴とする電子制御装置。 In the electronic control device according to claim 2.
The monitoring IC is characterized in that, when communication with the MPU is normal, the value of the NG counter is maintained at a normal value, or the value of the NG counter is changed so as to approach the normal value. Electronic control device. 請求項2に記載の電子制御装置において、
前記監視ICは、前記NGカウンタの値の前記所定範囲を制御対象の状態に応じて変更することを特徴とする電子制御装置。 In the electronic control device according to claim 2.
The monitoring IC is an electronic control device characterized in that the predetermined range of the value of the NG counter is changed according to the state of the controlled object.
JP2018561839A 2017-01-12 2017-11-28 Electronic control device Active JP6839212B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017003221 2017-01-12
JP2017003221 2017-01-12
PCT/JP2017/042516 WO2018131302A1 (en) 2017-01-12 2017-11-28 Electronic control device

Publications (2)

Publication Number Publication Date
JPWO2018131302A1 JPWO2018131302A1 (en) 2019-11-07
JP6839212B2 true JP6839212B2 (en) 2021-03-03

Family

ID=62840486

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018561839A Active JP6839212B2 (en) 2017-01-12 2017-11-28 Electronic control device

Country Status (2)

Country Link
JP (1) JP6839212B2 (en)
WO (1) WO2018131302A1 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2593915B2 (en) * 1988-05-27 1997-03-26 住友電気工業株式会社 Double microcomputer system runaway prevention circuit
JP3775194B2 (en) * 2000-09-21 2006-05-17 日産自動車株式会社 Fault detection device for vehicle electronic control system
JP3992648B2 (en) * 2003-06-03 2007-10-17 株式会社日立製作所 AT control unit
JP2009053952A (en) * 2007-08-27 2009-03-12 Fujitsu Ten Ltd Cpu monitoring device and electronic control device
JP6341069B2 (en) * 2014-11-21 2018-06-13 株式会社デンソー Electronic control unit

Also Published As

Publication number Publication date
WO2018131302A1 (en) 2018-07-19
JPWO2018131302A1 (en) 2019-11-07

Similar Documents

Publication Publication Date Title
US5436837A (en) System for controlling a motor vehicle
EP3282646B1 (en) Network monitoring device and computer readable recording medium
EP3085596B1 (en) A vehicle safety electronic control system
JP5739290B2 (en) Electronic control unit
US10404721B2 (en) Communication device for detecting transmission of an improper message to a network
US8091014B2 (en) Electronic apparatus in which functioning of a microcomputer is monitored by another microcomputer to detect abnormal operation
US9889881B2 (en) Control apparatus and control method of on-vehicle electronic equipment
US20060106578A1 (en) Machine management device, communication line diagnosis device and machine management method
JP2013018343A (en) In-vehicle electronic control unit and semiconductor integrated circuit device
KR101646210B1 (en) Motor control system for considering functional safety
JP6839212B2 (en) Electronic control device
US9499174B2 (en) Method and apparatus for isolating a fault-active controller in a controller area network
JP2003531426A (en) System and method for monitoring devices for measurement, open loop control and closed loop control
JP2011065402A (en) Electronic controller for vehicle
JP2018163498A (en) Monitoring circuit
JP6081239B2 (en) Control device abnormality monitoring apparatus and abnormality monitoring method
JP7155892B2 (en) electronic controller
KR102343543B1 (en) Microcomputer monitoring apparatus and control method thereof
CN111856916A (en) External clock diagnosis method
JP6660818B2 (en) Control device
EP3553668B1 (en) Method and system for output latch based data bus failure mitigation
WO2023223940A1 (en) In-vehicle device, program, and information processing method
JP7003456B2 (en) Diagnostic device
JP2013192173A (en) Network system, and method for setting identification information in network system
DE102021104265B4 (en) Controller, electronic component and electronic system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200707

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200831

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210202

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210212

R150 Certificate of patent or registration of utility model

Ref document number: 6839212

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250