JP6895373B2 - Electronic control device for automobiles - Google Patents

Electronic control device for automobiles Download PDF

Info

Publication number
JP6895373B2
JP6895373B2 JP2017242764A JP2017242764A JP6895373B2 JP 6895373 B2 JP6895373 B2 JP 6895373B2 JP 2017242764 A JP2017242764 A JP 2017242764A JP 2017242764 A JP2017242764 A JP 2017242764A JP 6895373 B2 JP6895373 B2 JP 6895373B2
Authority
JP
Japan
Prior art keywords
program
microcomputer
sub
identification information
processing unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017242764A
Other languages
Japanese (ja)
Other versions
JP2019109746A (en
Inventor
恭平 大島
恭平 大島
寛 富沢
寛 富沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Priority to JP2017242764A priority Critical patent/JP6895373B2/en
Publication of JP2019109746A publication Critical patent/JP2019109746A/en
Application granted granted Critical
Publication of JP6895373B2 publication Critical patent/JP6895373B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、自動車用電子制御装置に関し、詳しくは、自動車搭載機器を制御する第1演算処理装置と、前記第1演算処理装置の動作を監視する第2演算処理装置とを備えた自動車用電子制御装置に関する。 The present invention relates to an electronic control device for an automobile. Specifically, the present invention is an electronic control device for an automobile including a first arithmetic processing unit for controlling an automobile-mounted device and a second arithmetic processing unit for monitoring the operation of the first arithmetic processing unit. Regarding the control device.

特許文献1には、メインコントローラとサブコントローラとを有し、メインコントローラは、サブコントローラで使用している制御プログラムのバージョン情報を取得し、取得したバージョン情報とROMに記憶されている制御プログラムのバージョン情報とを比較し、ROMに記憶されている制御プログラムの方が新しいバージョンであるときは、サブコントローラに対して新しい制御プログラムをダウンロードする、電子機器が開示されている。 Patent Document 1 includes a main controller and a sub controller, and the main controller acquires version information of the control program used in the sub controller, and the acquired version information and the control program stored in the ROM are stored in the main controller. An electronic device that compares the version information and downloads the new control program to the sub-controller when the control program stored in the ROM is a newer version is disclosed.

特開2003−241924号公報Japanese Unexamined Patent Publication No. 2003-241924

自動車用電子制御装置は、自動車搭載機器を制御する第1演算処理装置(メインマイコン)と、第1演算処理装置の動作に異常が生じたときに第1演算処理装置にリセット要求信号を出力する第2演算処理装置(サブマイコン)とを備えて構成され、第1演算処理装置は車載ネットワークに接続され、第2演算処理装置のプログラムの書き換えデータは、車載ネットワークを介して第1演算処理装置に転送され、第1演算処理装置が、シリアル通信で書き換えデータを第2演算処理装置に送って、第2演算処理装置のプログラムを書き換えるよう構成される場合がある。 The electronic control device for automobiles outputs a reset request signal to the first arithmetic processing unit (main microcomputer) that controls the on-board equipment of the automobile and the first arithmetic processing unit when an abnormality occurs in the operation of the first arithmetic processing unit. It is configured to include a second arithmetic processing unit (sub-microcomputer), the first arithmetic processing unit is connected to an in-vehicle network, and the rewrite data of the program of the second arithmetic processing unit is the first arithmetic processing unit via the in-vehicle network. The first arithmetic processing unit may be configured to send rewritten data to the second arithmetic processing unit by serial communication to rewrite the program of the second arithmetic processing unit.

係る自動車用電子制御装置においては、第1演算処理装置及び/又は第2演算処理装置のプログラムが書き換えられた際、第1演算処理装置のプログラムと第2演算処理装置のプログラムとが適合しなくなると、第2演算処理装置の監視機能によって第1演算処理装置にリセット要求信号が出力される状態になって第1演算処理装置のプログラムの書き換えが不能になり、また、第1演算処理装置を介した第2演算処理装置のプログラム書き換えも不能になってしまうことがあった。 In the electronic control device for automobiles, when the programs of the first arithmetic processing unit and / or the second arithmetic processing unit are rewritten, the programs of the first arithmetic processing unit and the programs of the second arithmetic processing unit become incompatible. Then, the monitoring function of the second arithmetic processing unit causes a reset request signal to be output to the first arithmetic processing unit, making it impossible to rewrite the program of the first arithmetic processing unit. In some cases, it became impossible to rewrite the program of the second arithmetic processing unit via the CPU.

本発明は、従来の実情に鑑みてなされたものであり、その目的は、第1演算処理装置及び第2演算処理装置のプログラムの書き換えが不能になることを抑止できる、自動車用電子制御装置を提供することを目的とする。 The present invention has been made in view of the conventional circumstances, and an object of the present invention is to provide an electronic control device for an automobile capable of suppressing the inability to rewrite the programs of the first arithmetic processing unit and the second arithmetic processing unit. The purpose is to provide.

本発明によれば、その1つの態様において、自動車用電子制御装置は、第1演算処理装置と、前記第1演算処理装置と通信可能に構成された第2演算処理装置であって、前記第1演算処理装置の動作に異常が生じたときに前記第1演算処理装置にリセット要求信号を出力する監視部と、前記第1演算処理装置のプログラムの識別情報と前記第2演算処理装置のプログラムの識別情報との整合性を判断し、前記識別情報が不整合であるときに前記監視部の機能を停止して前記第1演算処理装置をプログラムの書き換えが可能なモードに設定する整合性判定部と、を有する前記第2演算処理装置と、を備え、前記第1演算処理装置は、通信ネットワークを介して前記第1演算処理装置及び前記第2演算処理装置のプログラムの内容を書き換えるためのデータであって前記識別情報が付与された書き換えデータを取得する通信部を有し、前記整合性判定部は、前記通信部が取得した前記書き換えデータに基づき前記第1演算処理装置と前記第2演算処理装置との少なくとも一方のプログラムが書き換えられたときに、前記識別情報の整合性を判断する。 According to the present invention, in one aspect thereof , the electronic control device for an automobile is a first arithmetic processing unit and a second arithmetic processing unit configured to be communicable with the first arithmetic processing unit. 1 A monitoring unit that outputs a reset request signal to the first arithmetic processing unit when an abnormality occurs in the operation of the arithmetic processing unit, identification information of the program of the first arithmetic processing unit, and a program of the second arithmetic processing unit. When the identification information is inconsistent, the function of the monitoring unit is stopped and the first arithmetic processing unit is set to a mode in which the program can be rewritten. The second arithmetic processing unit is provided with a unit, and the first arithmetic processing unit is for rewriting the contents of the programs of the first arithmetic processing unit and the second arithmetic processing unit via a communication network. It has a communication unit that acquires rewritten data to which the identification information is added, and the consistency determination unit has the first arithmetic processing unit and the second arithmetic unit based on the rewritten data acquired by the communication unit. When at least one program with the arithmetic processing unit is rewritten, the consistency of the identification information is determined.

本発明によれば、第1演算処理装置のプログラムと第2演算処理装置のプログラムとが適合しなくなった場合でも、第1演算処理装置及び第2演算処理装置のプログラムの書き換えが不能になることを抑止できる。 According to the present invention, even if the program of the first arithmetic processing unit and the program of the second arithmetic processing unit become incompatible, the programs of the first arithmetic processing unit and the second arithmetic processing unit cannot be rewritten. Can be deterred.

自動車用電子制御装置の一態様を示すブロック図である。It is a block diagram which shows one aspect of the electronic control device for automobiles. プログラムのバージョンと識別情報IDとの相関を説明するための図である。It is a figure for demonstrating the correlation between the program version and the identification information ID. サブマイコンのプログラムの書き換え手順を示すフローチャートである。It is a flowchart which shows the rewriting procedure of the program of a sub-microcomputer. サブマイコンのプログラムの書き換えたときの識別情報IDの一例を示すブロック図である。It is a block diagram which shows an example of the identification information ID when the program of a sub-microcomputer is rewritten. メインマイコンのプログラムの書き換え手順を示すフローチャートである。It is a flowchart which shows the rewriting procedure of the program of a main microcomputer. メインマイコンのプログラムの書き換えたときの識別情報IDの一例を示すブロック図である。It is a block diagram which shows an example of the identification information ID when the program of a main microcomputer is rewritten.

以下、本発明に係る自動車用電子制御装置の実施形態を図面に基づいて説明する。
図1の自動車用電子制御装置100は、自動車200に搭載されるエンジンや自動変速機などの自動車搭載機器である制御対象機器300を制御する装置であり、第1演算処理装置であるメインマイクロコンピュータ(以下、メインマイコンと称する)110、及び、第2演算処理装置であるサブマイクロコンピュータ(以下、サブマイコンと称する)120を有する。 Hereinafter, embodiments of the electronic control device for automobiles according to the present invention will be described with reference to the drawings.
The automobile electronic control device 100 of FIG. 1 is a device that controls a controlled object device 300 that is an automobile-mounted device such as an engine or an automatic transmission mounted on the automobile 200, and is a main microcomputer that is a first arithmetic processing unit. It has 110 (hereinafter referred to as a main microcomputer) 110 and a sub-microcomputer (hereinafter referred to as a sub-microcomputer) 120 which is a second arithmetic processing unit.

メインマイコン110は、EEPROMなどの書き換え可能な不揮発性メモリ111、CPU112を有し、不揮発性メモリ111に格納されたプログラムにしたがって制御対象機器300の操作信号を演算して出力する。
また、メインマイコン110は、制御対象機器300の制御情報を出力する各種センサからの信号を読み込むためのA/D変換部113及びタイマ処理部114、サブマイコン120が出力するリセット要求信号を入力するリセット端子115、サブマイコン120とシリアル通信するための通信回路116などを備える。 The main microcomputer 110 has a rewritable non-volatile memory 111 such as EEPROM and a CPU 112, and calculates and outputs an operation signal of the control target device 300 according to a program stored in the non-volatile memory 111.
Further, the main microcomputer 110 inputs a reset request signal output by the A / D conversion unit 113, the timer processing unit 114, and the sub-microcomputer 120 for reading signals from various sensors that output control information of the controlled device 300. It is provided with a reset terminal 115, a communication circuit 116 for serial communication with the sub-microcomputer 120, and the like.

更に、メインマイコン110は、Controller Area Network(CAN)などの車載ネットワーク400に接続される通信ボード410(通信部)を介して、同じ車載ネットワーク400に接続される他の自動車用電子制御装置や各種のツールと通信可能に構成されている。
通信ボード410は、トランシーバICや、通信コントローラを内蔵したMCU(マイクロ・コントローラ・ユニット)などを有する。 Further, the main microcomputer 110 includes other electronic control devices for automobiles and various types connected to the same in-vehicle network 400 via a communication board 410 (communication unit) connected to the in-vehicle network 400 such as the Controller Area Network (CAN). It is configured to be able to communicate with the tools of.
The communication board 410 includes a transceiver IC, an MCU (micro controller unit) having a built-in communication controller, and the like.

サブマイコン120は、EEPROMなどの書き換え可能な不揮発性メモリ121、CPU122を有し、不揮発性メモリ121に格納されたプログラムにしたがってメインマイコン110の動作異常の有無を監視する機能(監視部としてのソフトウェア機能)などを備え、メインマイコン110の動作異常を検知したときにリセット信号出力回路123からメインマイコン110のリセット端子115にリセット要求信号を出力する。
サブマイコン120は、例えば、課題をメインマイコン110に送信し、メインマイコン110からの回答が、課題に対応させて記憶している回答に一致するか否かに基づき、メインマイコン110の動作異常の有無を判断する。但し、サブマイコン120によるメインマイコン110の動作異常の診断方法としては、公知の診断方法を適宜採用できる。 The sub-microcomputer 120 has a rewritable non-volatile memory 121 such as EEPROM and a CPU 122, and has a function of monitoring the presence or absence of an operation abnormality of the main microcomputer 110 according to a program stored in the non-volatile memory 121 (software as a monitoring unit). The reset signal output circuit 123 outputs a reset request signal to the reset terminal 115 of the main microcomputer 110 when an operation abnormality of the main microcomputer 110 is detected.
For example, the sub-microcomputer 120 transmits a problem to the main microcomputer 110, and the operation abnormality of the main microcomputer 110 is based on whether or not the answer from the main microcomputer 110 matches the answer stored in correspondence with the problem. Judge the presence or absence. However, as a method for diagnosing an operation abnormality of the main microcomputer 110 by the sub-microcomputer 120, a known diagnostic method can be appropriately adopted.

そして、サブマイコン120は、メインマイコン110の動作異常を判断したときに、メインマイコン110にリセット要求信号を出力する(リセット要求信号をアクティブレベルにする)ことで、メインマイコン110をリセットさせる。
また、サブマイコン120は、メインマイコン110とシリアル通信するための通信回路124を有する。 Then, when the sub-microcomputer 120 determines the operation abnormality of the main microcomputer 110, the sub-microcomputer 120 outputs the reset request signal to the main microcomputer 110 (sets the reset request signal to the active level) to reset the main microcomputer 110.
Further, the sub-microcomputer 120 has a communication circuit 124 for serial communication with the main microcomputer 110.

上記の自動車用電子制御装置100において、メインマイコン110の不揮発性メモリ111に格納されているプログラムの書き換えを行う場合、書き換え用ツール500を車載ネットワーク400に接続し、メインマイコン110のプログラムの書き換えデータを書き換え用ツール500からメインマイコン110に送信し、不揮発性メモリ111に格納されているプログラムの書き換え(リプログラミング)が実施される。
また、サブマイコン120の不揮発性メモリ121に格納されているプログラムの書き換えを行う場合、車載ネットワーク400に接続した書き換え用ツール500からメインマイコン110にサブマイコン120用の書き換えデータを送り、更に、メインマイコン110からサブマイコン120に書き換えデータをシリアル通信で送って、サブマイコン120のプログラムの書き換えを行わせる。 When rewriting the program stored in the non-volatile memory 111 of the main microcomputer 110 in the electronic control device 100 for automobiles, the rewriting tool 500 is connected to the in-vehicle network 400 and the rewriting data of the program of the main microcomputer 110 is connected. Is transmitted from the rewriting tool 500 to the main microcomputer 110, and the program stored in the non-volatile memory 111 is rewritten (reprogrammed).
Further, when rewriting the program stored in the non-volatile memory 121 of the sub-microcomputer 120, the rewriting tool 500 connected to the in-vehicle network 400 sends the rewriting data for the sub-microcomputer 120 to the main microcomputer 110, and further, the main The rewrite data is sent from the microcomputer 110 to the sub-microcomputer 120 by serial communication to rewrite the program of the sub-microcomputer 120.

つまり、サブマイコン120は、メインマイコン110を介して外部と接続され、メインマイコン110を介さずに直接にサブマイコン120のプログラムを書き換えることはできない構成になっている。
上記のようなプログラムの書き換えシステムでは、メインマイコン110及び/又はサブマイコン120のプログラムが書き換えられた際、メインマイコン110のプログラムとサブマイコン120のプログラムとが適合しなくなると、係るプログラムの不適合に基づきサブマイコン120がメインマイコン110にリセット要求信号を出力するようになる場合がある。 That is, the sub-microcomputer 120 is connected to the outside via the main microcomputer 110, and the program of the sub-microcomputer 120 cannot be directly rewritten without going through the main microcomputer 110.
In the above program rewriting system, when the program of the main microcomputer 110 and / or the sub-microcomputer 120 is rewritten, if the program of the main microcomputer 110 and the program of the sub-microcomputer 120 do not match, the program becomes incompatible. Based on this, the sub-microcomputer 120 may output a reset request signal to the main microcomputer 110.

このようにして、サブマイコン120がメインマイコン110にリセット要求信号を出力する状態になると、メインマイコン110が正常に動作できず、また、メインマイコン110が動作できないことでメインマイコン110及びサブマイコン120のプログラムの書き換えが不能になり、結果として、自動車用電子制御装置100を使用できなくなってしまう。
係る不具合が発生することを抑止するため、サブマイコン120は、メインマイコン110のプログラムとサブマイコン120のプログラムとが適合するか否かを判断し、不適合に基づくリセット要求信号の出力を停止する機能(整合性判定部としてのソフトウェア機能)を備えている。 In this way, when the sub-microcomputer 120 is in a state of outputting a reset request signal to the main microcomputer 110, the main microcomputer 110 cannot operate normally, and the main microcomputer 110 cannot operate, so that the main microcomputer 110 and the sub-microcomputer 120 As a result, the electronic control device 100 for automobiles cannot be used.
In order to prevent the occurrence of such a problem, the sub-microcomputer 120 determines whether or not the program of the main microcomputer 110 and the program of the sub-microcomputer 120 match, and stops the output of the reset request signal based on the non-conformity. (Software function as a consistency judgment unit) is provided.

つまり、サブマイコン120によるメインマイコン110の監視機能を停止させ、サブマイコン120によるリセット要求信号の出力を停止させれば、メインマイコン110のプログラムの書き換えが行える状態になる。そして、メインマイコン110のプログラムをサブマイコン120のプログラムに適合するバージョンに書き換えれば、プログラムの不適合によってサブマイコン120がメインマイコン110にリセット要求信号を出力する状態を解消でき、自動車用電子制御装置100を継続して使用できることになる。 That is, if the monitoring function of the main microcomputer 110 by the sub-microcomputer 120 is stopped and the output of the reset request signal by the sub-microcomputer 120 is stopped, the program of the main microcomputer 110 can be rewritten. Then, if the program of the main microcomputer 110 is rewritten to a version compatible with the program of the sub-microcomputer 120, the state in which the sub-microcomputer 120 outputs a reset request signal to the main microcomputer 110 due to the non-conformity of the program can be eliminated, and the electronic control device 100 for automobiles can be eliminated. Will continue to be available.

以下では、前述したリセット要求信号の出力を停止する処理(以下、リセット停止処理という)を詳細に説明する。
上記リセット停止処理を実施するために、メインマイコン110のプログラム(制御プログラム)及びサブマイコン120のプログラム(制御プログラム)に、プログラムの識別情報IDを持たせるようにしてある(図4参照)。 Hereinafter, the process of stopping the output of the reset request signal described above (hereinafter referred to as the reset stop process) will be described in detail.
In order to carry out the reset stop process, the program (control program) of the main microcomputer 110 and the program (control program) of the sub-microcomputer 120 are provided with the identification information ID of the program (see FIG. 4).

上記の識別情報IDは、メインマイコン110のプログラムとサブマイコン120のプログラムとが適合するか否かを判断するのに用いられる情報であり、相互のプログラムが適合するバージョンであるときに同じ識別情報IDを持たせるようにしてあり、サブマイコン120は、メインマイコン110のプログラムが書き換えられたとき、及び、サブマイコン120のプログラムが書き換えられたときに、識別情報IDの一致/不一致に基づき書き換え後のプログラムが他方のプログラムと適合するか否かを判断するよう構成されている。 The above-mentioned identification information ID is information used for determining whether or not the program of the main microcomputer 110 and the program of the sub-microcomputer 120 are compatible, and the same identification information is used when the mutual programs are compatible versions. The sub-microcomputer 120 is provided with an ID, and when the program of the main microcomputer 110 is rewritten and when the program of the sub-microcomputer 120 is rewritten, the sub-microcomputer 120 is rewritten based on the match / mismatch of the identification information IDs. It is configured to determine if one of the programs is compatible with the other.

つまり、メインマイコン110のプログラムの識別情報IDmとサブマイコン120のプログラムの識別情報IDsとが一致(整合)する場合は、メインマイコン110のプログラムとサブマイコン120のプログラムとが適合することを表し、メインマイコン110のプログラムの識別情報IDmとサブマイコン120のプログラムの識別情報IDsとが不一致(不整合)の場合は、メインマイコン110のプログラムとサブマイコン120のプログラムとが適合しないことを表す。 That is, when the identification information IDm of the program of the main microcomputer 110 and the identification information IDs of the program of the sub-microcomputer 120 match (match), it means that the program of the main microcomputer 110 and the program of the sub-microcomputer 120 match. When the identification information IDm of the program of the main microcomputer 110 and the identification information IDs of the program of the sub-microcomputer 120 do not match (mismatch), it means that the program of the main microcomputer 110 and the program of the sub-microcomputer 120 do not match.

更に、相互のプログラムが適合しない状態とは、サブマイコン120が、相互のプログラムのバージョンの不適合(バージョンの組み合わせの不適)によってメインマイコン110の動作異常を誤判定し、メインマイコン110にリセット要求信号を出力する可能性のある状態であり、相互のプログラムが適合する状態とは、プログラムのバージョンの組み合わせに基づきリセット要求信号が誤って出力されることがない状態である。 Further, the state in which the mutual programs do not match means that the sub-microcomputer 120 erroneously determines an operation abnormality of the main microcomputer 110 due to the non-conformity of the versions of the mutual programs (inappropriate combination of versions), and the reset request signal is sent to the main microcomputer 110. The state in which the programs are compatible with each other is a state in which the reset request signal is not erroneously output based on the combination of program versions.

図2は、識別情報IDの更新処理と各プログラムのアップデートとの相関を説明するための図である。
初期段階で、メインマイコン110のプログラムの第1バージョンと、サブマイコン120のプログラムの第1バージョンとが組み合わされ、各プログラムに識別情報IDとして例えば「01」が付与される。 FIG. 2 is a diagram for explaining the correlation between the update process of the identification information ID and the update of each program.
At the initial stage, the first version of the program of the main microcomputer 110 and the first version of the program of the sub-microcomputer 120 are combined, and for example, "01" is given to each program as the identification information ID.

その後、メインマイコン110のプログラムが第2バージョンにアップデートされても、サブマイコン120のプログラムは第1バージョンのままで互換性があり、サブマイコン120のプログラムの第1バージョンは、メインマイコン110のプログラムの第1バージョン及び第2バージョンのいずれにも組み合わせて用いることができるため、メインマイコン110のプログラムの第2バージョン、及び、サブマイコン120のプログラムの第1バージョンには引き続き識別情報ID=01が付与される。 After that, even if the program of the main microcomputer 110 is updated to the second version, the program of the sub-microcomputer 120 remains the first version and is compatible, and the first version of the program of the sub-microcomputer 120 is the program of the main microcomputer 110. Since it can be used in combination with both the first version and the second version of the above, the identification information ID = 01 continues to be provided in the second version of the program of the main microcomputer 110 and the first version of the program of the sub-microcomputer 120. Granted.

更に、メインマイコン110のプログラムが第3バージョンにアップデートされ、サブマイコン120のプログラムが第2バージョンにアップデータされたとき、メインマイコン110のプログラムの3つのバージョンと、サブマイコン120の2つのバージョンとのいずれの組み合わせも可能であるため、メインマイコン110のプログラムの第3バージョン及びサブマイコン120のプログラムの第2バージョンには、識別情報IDm=01、IDs=01が付与される。 Furthermore, when the program of the main microcomputer 110 is updated to the third version and the program of the sub-microcomputer 120 is updated to the second version, the three versions of the program of the main microcomputer 110 and the two versions of the sub-microcomputer 120 are used. Since any combination is possible, the identification information IDm = 01 and IDs = 01 are given to the third version of the program of the main microcomputer 110 and the second version of the program of the sub-microcomputer 120.

一方、メインマイコン110のプログラムが第4バージョンにアップデートされ、それまでのサブマイコン120の2つのバージョンがメインマイコン110の第4バージョンに適合せず、サブマイコン120のプログラムを第3バージョンにアップデートしたときは、メインマイコン110のプログラムの第4バージョン及びサブマイコン120のプログラムの第3バージョンにそれまでとは異なる識別情報IDm=02、IDs=02を付与する。
つまり、メインマイコン110のプログラムの第1−第3バージョンとサブマイコン120のプログラムの第3バージョンとの組み合わせや、メインマイコン110のプログラムの第4バージョンとサブマイコン120のプログラムの第1−第2バージョンとの組み合わせが不適であることが、各識別情報IDが異なることで判別できることになる。 On the other hand, the program of the main microcomputer 110 was updated to the 4th version, and the two versions of the sub-microcomputer 120 up to that point did not match the 4th version of the main microcomputer 110, and the program of the sub-microcomputer 120 was updated to the 3rd version. At this time, different identification information IDm = 02 and IDs = 02 are added to the fourth version of the program of the main microcomputer 110 and the third version of the program of the sub-microcomputer 120.
That is, the combination of the 1st to 3rd versions of the program of the main microcomputer 110 and the 3rd version of the program of the sub-microcomputer 120, the 4th version of the program of the main microcomputer 110 and the 1st to 2nd of the program of the sub-microcomputer 120. It can be determined that the combination with the version is inappropriate because each identification information ID is different.

次いで、メインマイコン110のプログラムが第5バージョンにアップデートされ、サブマイコン120のプログラムが第4バージョンにアップデータされたとき、メインマイコン110のプログラムの第4−第5バージョンと、サブマイコン120のプログラムの第3−第4バージョンとのいずれの組み合わせも可能であるので、メインマイコン110のプログラムの第5バージョン及びサブマイコン120のプログラムの第4バージョンには、識別情報IDm=02、IDs=02が引き続き付与される。 Next, when the program of the main microcomputer 110 is updated to the 5th version and the program of the sub-microcomputer 120 is updated to the 4th version, the 4th to 5th versions of the program of the main microcomputer 110 and the program of the sub-microcomputer 120 Since any combination with the 3rd to 4th versions is possible, the identification information IDm = 02 and IDs = 02 continue in the 5th version of the program of the main microcomputer 110 and the 4th version of the program of the sub microcomputer 120. Granted.

上記のように、メインマイコン110のプログラム及び/又はサブマイコン120のプログラムが、互換性の無くなるアップデートされたときに識別情報IDを更新して、メインマイコン110のプログラムのバージョンとサブマイコン120のプログラムのバージョンとの組み合わせが不適であるか否かを、識別情報IDの一致/不一致に基づき判断できるようにしてある。 As described above, when the program of the main microcomputer 110 and / or the program of the sub-microcomputer 120 is updated to be incompatible, the identification information ID is updated, and the program version of the main microcomputer 110 and the program of the sub-microcomputer 120 are updated. Whether or not the combination with the version of is inappropriate can be determined based on the match / mismatch of the identification information IDs.

次に、リセット停止機能を有するプログラム書き換え処理を説明する。
図3のフローチャートは、サブマイコン120のプログラムを書き換える(アップデートする)ときの手順を示す。
まず、メインマイコン110は、サブマイコン120を、シリアル通信にてプログラムの書き換えを実施するモード(リプログラミングモード)に遷移させる(ステップS601)。 Next, a program rewriting process having a reset stop function will be described.
The flowchart of FIG. 3 shows a procedure for rewriting (updating) the program of the sub-microcomputer 120.
First, the main microcomputer 110 shifts the sub-microcomputer 120 to a mode (reprogramming mode) in which the program is rewritten by serial communication (step S601).

次いで、メインマイコン110は、シリアル通信にてサブマイコン120のプログラムの書き換えデータを不揮発性メモリ121に書き込み(ステップS102)、サブマイコン120のプログラムをアップデートする。
なお、上記の書き換えデータは、メインマイコン110が車載ネットワーク400を介して書き換え用ツール500から取得したデータであり、書き換えデータには予め識別情報IDsが付与されている。 Next, the main microcomputer 110 writes the rewritten data of the program of the sub-microcomputer 120 to the non-volatile memory 121 (step S102) by serial communication, and updates the program of the sub-microcomputer 120.
The rewritten data is data acquired by the main microcomputer 110 from the rewriting tool 500 via the in-vehicle network 400, and identification information IDs are added to the rewritten data in advance.

サブマイコン120のプログラムの書き換えが完了すると、サブマイコン120は、メインマイコン110のプログラムの識別情報IDmと、サブマイコン120の書き換えられたプログラムの識別情報IDsとを比較し、識別情報IDmと識別情報IDsとの整合性を判断する(ステップS603)。 When the rewriting of the program of the sub-microcomputer 120 is completed, the sub-microcomputer 120 compares the identification information IDm of the program of the main microcomputer 110 with the identification information IDs of the rewritten program of the sub-microcomputer 120, and compares the identification information IDm with the identification information. The consistency with the IDs is determined (step S603).

ここで、識別情報IDmと識別情報IDsとが一致(整合)する場合は、メインマイコン110のプログラムと、書き換えられたサブマイコン120のプログラムとの組み合わせは適切であり、プログラムの組み合わせが不適であることに因ってサブマイコン120がメインマイコン110にリセット要求信号を出力することがない状態である。
そこで、識別情報IDmと識別情報IDsとが一致(整合)する場合、サブマイコン120のプログラムの書き換えに不備はないので、サブマイコン120は書き換え処理を完了させる(ステップS604)。 Here, when the identification information IDm and the identification information IDs match (match), the combination of the program of the main microcomputer 110 and the rewritten program of the sub-microcomputer 120 is appropriate, and the combination of programs is inappropriate. Therefore, the sub-microcomputer 120 does not output the reset request signal to the main microcomputer 110.
Therefore, when the identification information IDm and the identification information IDs match (match), the sub-microcomputer 120 completes the rewriting process because there is no defect in rewriting the program of the sub-microcomputer 120 (step S604).

一方、識別情報IDmと識別情報IDsとが一致(整合)しない場合は、メインマイコン110のプログラムと、書き換えられたサブマイコン120のプログラムとの組み合わせは不適であり、プログラムの組み合わせが不適であることに因ってサブマイコン120がメインマイコン110にリセット要求信号を出力してしまう状態である。
そして、メインマイコン110がサブマイコン120によってリセットされる状態では、メインマイコン110及びサブマイコン120のプログラム書き換えが不能になり、サブマイコン120がメインマイコン110をリセットする状態を解消できず、自動車用電子制御装置100は使用不能になってしまう。 On the other hand, if the identification information IDm and the identification information IDs do not match (match), the combination of the program of the main microcomputer 110 and the rewritten program of the sub-microcomputer 120 is inappropriate, and the combination of programs is inappropriate. Therefore, the sub-microcomputer 120 outputs a reset request signal to the main microcomputer 110.
When the main microcomputer 110 is reset by the sub-microcomputer 120, the programs of the main microcomputer 110 and the sub-microcomputer 120 cannot be rewritten, and the state in which the sub-microcomputer 120 resets the main microcomputer 110 cannot be resolved. The control device 100 becomes unusable.

そこで、サブマイコン120は、識別情報IDmと識別情報IDsとが一致(整合)しない場合、メインマイコン110の動作異常の有無を監視する機能(リセット要求信号を出力する機能)を停止させ、プログラムの組み合わせが不適であることでメインマイコン110にリセット要求信号を出力してしまうことを抑止する(ステップS605)。
更に、サブマイコン120は、識別情報IDmと識別情報IDsとが一致(整合)しない場合、識別情報IDの不一致(プログラムバージョンの組み合わせの不適)をメインマイコン110に知らせ、メインマイコン110を、プログラムの書き換えモード(リプログラミングモード)に遷移させる(ステップS606)。 Therefore, when the identification information IDm and the identification information IDs do not match (match), the sub-microcomputer 120 stops the function of monitoring the presence or absence of an operation abnormality of the main microcomputer 110 (the function of outputting the reset request signal) of the program. It is possible to prevent the reset request signal from being output to the main microcomputer 110 due to the improper combination (step S605).
Further, when the identification information IDm and the identification information IDs do not match (match), the sub-microcomputer 120 notifies the main microcomputer 110 of the mismatch of the identification information IDs (inappropriate combination of program versions), and sends the main microcomputer 110 to the program. The transition to the rewrite mode (reprogramming mode) is performed (step S606).

係るリプログラミングモードへの遷移によって、メインマイコン110のプログラムを、サブマイコン120のプログラムに適合するバージョンのプログラム、換言すれば、サブマイコン120のプログラムの識別情報IDsに一致する識別情報IDmが付与されたプログラムに書き換える処理が可能になる。
そして、メインマイコン110のプログラムを、サブマイコン120のプログラムに適合するバージョンのプログラムに書き換え(ステップS607)、サブマイコン120のプログラムの識別情報IDsとメインマイコン110のプログラムの識別情報IDmとが一致するようになると(ステップS608)、書き換え処理を完了させるとともに、サブマイコン120は、メインマイコン110の動作異常の有無を監視する機能(リセット要求信号を出力する機能)を再開させる(ステップS609)。 By the transition to the reprogramming mode, the program of the main microcomputer 110 is given a version of the program that matches the program of the sub-microcomputer 120, in other words, the identification information IDm that matches the identification information IDs of the program of the sub-microcomputer 120. The process of rewriting to a new program becomes possible.
Then, the program of the main microcomputer 110 is rewritten with a version of the program that matches the program of the sub-microcomputer 120 (step S607), and the identification information IDs of the program of the sub-microcomputer 120 and the identification information IDm of the program of the main microcomputer 110 match. When this happens (step S608), the rewriting process is completed, and the sub-microcomputer 120 restarts the function of monitoring the presence or absence of an operation abnormality of the main microcomputer 110 (the function of outputting the reset request signal) (step S609).

上記の書き換え処理によれば、サブマイコン120のプログラムが、メインマイコン110のプログラムに適合しないバージョンに書き換えられた場合、メインマイコン110のプログラムを、サブマイコン120の書き換えられたプログラムに適合するバージョンに書き換えることで、サブマイコン120のプログラムとメインマイコン110のプログラムとが適合する状態に戻って、プログラムの組み合わせが不適であることでメインマイコン110がリセットされてしまう状態が解消され、自動車用電子制御装置100を継続して使用できるようになる。 According to the above rewriting process, when the program of the sub-microcomputer 120 is rewritten to a version that does not match the program of the main microcomputer 110, the program of the main microcomputer 110 is changed to a version that matches the rewritten program of the sub-microcomputer 120. By rewriting, the state in which the program of the sub-microcomputer 120 and the program of the main microcomputer 110 are matched is returned, and the state in which the main microcomputer 110 is reset due to an improper combination of programs is eliminated, and electronic control for automobiles is performed. The device 100 can be continuously used.

図4は、サブマイコン120のプログラムの書き換えを行った後における識別情報IDの組み合わせの一例を示す図であり、メインマイコン110のプログラム(制御プログラム)の識別情報IDmがIDm=01で、書き換えられたサブマイコン120のプログラムの識別情報IDsがIDs=02である。
この場合、識別情報IDmと識別情報IDsとが一致しないので、サブマイコン120は、メインマイコン110の監視機能(メインマイコン110へのリセット要求信号の出力)を停止するとともにメインマイコン110をリプログラミングモードに遷移させ、メインマイコン110のプログラムが、識別情報IDs(IDs=02)と同じ識別情報IDm(IDm=02)が付与されたバージョンに書き換えられるようにする。 FIG. 4 is a diagram showing an example of a combination of identification information IDs after the program of the sub-microcomputer 120 is rewritten, and the identification information IDm of the program (control program) of the main microcomputer 110 is rewritten with IDm = 01. The identification information IDs of the program of the sub-microcomputer 120 are IDs = 02.
In this case, since the identification information IDm and the identification information IDs do not match, the sub-microcomputer 120 stops the monitoring function of the main microcomputer 110 (output of the reset request signal to the main microcomputer 110) and reprograms the main microcomputer 110. The program of the main microcomputer 110 is rewritten to a version to which the same identification information IDm (IDm = 02) as the identification information IDs (IDs = 02) is given.

これにより、メインマイコン110のプログラムの識別情報IDmがIDm=02で、サブマイコン120のプログラムの識別情報IDsがIDs=02である状態になり、係る組み合わせ状態であれば、プログラムのバージョンの組み合わせが不適であることでサブマイコン120がメインマイコン110にリセット要求信号を誤って出力することはなく、自動車用電子制御装置100を使用可能な状態に復帰させることができる。 As a result, the identification information IDm of the program of the main microcomputer 110 is IDm = 02, and the identification information IDs of the program of the sub-microcomputer 120 are IDs = 02. Due to improperness, the sub-microcomputer 120 does not erroneously output a reset request signal to the main microcomputer 110, and the electronic control device 100 for automobiles can be returned to a usable state.

図5のフローチャートは、メインマイコン110のプログラムを書き換えるときの手順を示す。
まず、書き換え用ツール500は、CAN通信にてメインマイコン110のプログラムを書き換え(ステップS701)、メインマイコン110のプログラムをアップデートする。 The flowchart of FIG. 5 shows a procedure for rewriting the program of the main microcomputer 110.
First, the rewriting tool 500 rewrites the program of the main microcomputer 110 by CAN communication (step S701), and updates the program of the main microcomputer 110.

メインマイコン110のプログラムの書き換えが完了すると、サブマイコン120は、メインマイコン110の書き換えられたプログラムの識別情報IDmと、サブマイコン120のプログラムの識別情報IDsとを比較する(ステップS702)。
ここで、識別情報IDmと識別情報IDsとが一致(整合)する場合は、書き換えられたメインマイコン110のプログラムと、サブマイコン120のプログラムとの組み合わせは適切であり、プログラムの組み合わせが不適であることに因ってサブマイコン120がメインマイコン110にリセット要求信号を出力することがない状態である。 When the rewriting of the program of the main microcomputer 110 is completed, the sub-microcomputer 120 compares the identification information IDm of the rewritten program of the main microcomputer 110 with the identification information IDs of the program of the sub-microcomputer 120 (step S702).
Here, when the identification information IDm and the identification information IDs match (match), the combination of the rewritten program of the main microcomputer 110 and the program of the sub-microcomputer 120 is appropriate, and the combination of programs is inappropriate. Therefore, the sub-microcomputer 120 does not output the reset request signal to the main microcomputer 110.

そこで、識別情報IDmと識別情報IDsとが一致(整合)する場合、メインマイコン110のプログラムの書き換えに不備はないので、サブマイコン120は書き換え処理を完了させる(ステップS703)。
一方、識別情報IDmと識別情報IDsとが一致(整合)しない場合は、書き換えられたメインマイコン110のプログラムと、サブマイコン120のプログラムとの組み合わせは不適であり、プログラムの組み合わせが不適であることに因ってサブマイコン120がメインマイコン110にリセット要求信号を出力してしまう状態である。 Therefore, when the identification information IDm and the identification information IDs match (match), the sub-microcomputer 120 completes the rewriting process because there is no defect in rewriting the program of the main microcomputer 110 (step S703).
On the other hand, if the identification information IDm and the identification information IDs do not match (match), the combination of the rewritten program of the main microcomputer 110 and the program of the sub-microcomputer 120 is inappropriate, and the combination of programs is inappropriate. Therefore, the sub-microcomputer 120 outputs a reset request signal to the main microcomputer 110.

そこで、サブマイコン120は、識別情報IDmと識別情報IDsとが一致(整合)しない場合、メインマイコン110の動作異常の有無を監視する機能(リセット要求信号を出力する機能)を停止させ、プログラムの組み合わせが不適であることでメインマイコン110にリセット要求信号を出力してしまうことを抑止する(ステップS704)。
更に、サブマイコン120は、識別情報IDmと識別情報IDsとが一致(整合)しない場合、識別情報IDの不一致(プログラムバージョンの組み合わせの不適)をメインマイコン110に知らせ、メインマイコン110をプログラムの書き換えを実施するモード(リプログラミングモード)に遷移させる(ステップS705)。 Therefore, when the identification information IDm and the identification information IDs do not match (match), the sub-microcomputer 120 stops the function of monitoring the presence or absence of an operation abnormality of the main microcomputer 110 (the function of outputting the reset request signal) of the program. It is possible to prevent the reset request signal from being output to the main microcomputer 110 due to the improper combination (step S704).
Further, when the identification information IDm and the identification information IDs do not match (match), the sub-microcomputer 120 notifies the main microcomputer 110 of the mismatch of the identification information IDs (inappropriate combination of program versions), and rewrites the program of the main microcomputer 110. (Step S705).

係るリプログラミングモードへの遷移によって、メインマイコン110のプログラムを、サブマイコン120のプログラムに適合するバージョンのプログラム、換言すれば、サブマイコン120のプログラムの識別情報IDsに一致する識別情報IDmが付与されたプログラムに書き換える処理が可能になる。 By the transition to the reprogramming mode, the program of the main microcomputer 110 is given a version of the program that matches the program of the sub-microcomputer 120, in other words, the identification information IDm that matches the identification information IDs of the program of the sub-microcomputer 120. The process of rewriting to a new program becomes possible.

そして、メインマイコン110のプログラムを、サブマイコン120のプログラムに適合するバージョンのプログラムに書き換えるようにし(ステップS706)、サブマイコン120のプログラムの識別情報IDsとメインマイコン110のプログラムの識別情報IDmとが一致するようになると(ステップS707)、書き換え処理を完了させるとともに、サブマイコン120は、メインマイコン110の動作異常の有無を監視する機能(リセット要求信号を出力する機能)を再開させる(ステップS708)。 Then, the program of the main microcomputer 110 is rewritten with a version of the program compatible with the program of the sub-microcomputer 120 (step S706), and the identification information IDs of the program of the sub-microcomputer 120 and the identification information IDm of the program of the main microcomputer 110 are combined. When they match (step S707), the rewriting process is completed, and the sub-microcomputer 120 restarts the function of monitoring the presence or absence of an operation abnormality of the main microcomputer 110 (the function of outputting the reset request signal) (step S708). ..

上記の書き換え処理によれば、メインマイコン110のプログラムが、サブマイコン120のプログラムに適合しないバージョンに書き換えられた場合でも、メインマイコン110及びサブマイコン120のプログラムの書き換えが不能になることを抑止でき、自動車用電子制御装置100を使用できなくなってしまうことを回避できる。
つまり、メインマイコン110のプログラムが、サブマイコン120のプログラムに適合しないバージョンに書き換えられ、サブマイコン120がメインマイコン110の動作異常を判定する条件になっても、サブマイコン120によってメインマイコン110がリセットされることが阻止して、メインマイコン110のプログラムを、サブマイコン120のプログラムに適合するバージョンに書き換えることができる。 According to the above rewriting process, even if the program of the main microcomputer 110 is rewritten to a version that does not match the program of the sub-microcomputer 120, it is possible to prevent the programs of the main microcomputer 110 and the sub-microcomputer 120 from being rewritable. , It is possible to prevent the electronic control device 100 for automobiles from becoming unusable.
That is, even if the program of the main microcomputer 110 is rewritten to a version that does not match the program of the sub-microcomputer 120 and the sub-microcomputer 120 becomes a condition for determining the operation abnormality of the main microcomputer 110, the main microcomputer 110 is reset by the sub-microcomputer 120. It is possible to rewrite the program of the main microcomputer 110 to a version suitable for the program of the sub-microcomputer 120.

図6は、メインマイコン110のプログラムの書き換えを行った後における識別情報IDの組み合わせの一例を示す図であり、書き換えられたメインマイコン110のプログラムの識別情報IDmがIDm=02で、サブマイコン120のプログラムの識別情報IDsがIDs=01である。
この場合、識別情報IDmと識別情報IDsとが一致しないので、サブマイコン120は、メインマイコン110の監視機能(メインマイコン110へのリセット要求信号の出力)を停止するとともにメインマイコン110をリプログラミングモードに遷移させ、メインマイコン110のプログラムが、識別情報IDs(IDs=01)と同じ識別情報IDm(IDm=01)が付与されたバージョンに書き換えられるようにする。 FIG. 6 is a diagram showing an example of a combination of identification information IDs after the program of the main microcomputer 110 is rewritten. The identification information IDm of the rewritten program of the main microcomputer 110 is IDm = 02, and the sub-microcomputer 120 The identification information IDs of the program of the above are IDs = 01.
In this case, since the identification information IDm and the identification information IDs do not match, the sub-microcomputer 120 stops the monitoring function of the main microcomputer 110 (output of the reset request signal to the main microcomputer 110) and reprograms the main microcomputer 110. The program of the main microcomputer 110 is rewritten to a version to which the same identification information IDm (IDm = 01) as the identification information IDs (IDs = 01) is given.

これにより、メインマイコン110のプログラムの識別情報IDmがIDm=01で、サブマイコン120のプログラムの識別情報IDsがIDs=01である状態になり、係る組み合わせ状態であれば、プログラムのバージョンの組み合わせが不適であることでサブマイコン120がメインマイコン110にリセット要求信号を誤って出力することはなく、自動車用電子制御装置100を使用可能な状態に復帰させることができる。 As a result, the identification information IDm of the program of the main microcomputer 110 is IDm = 01, and the identification information IDs of the program of the sub-microcomputer 120 are IDs = 01. Due to improperness, the sub-microcomputer 120 does not erroneously output a reset request signal to the main microcomputer 110, and the electronic control device 100 for automobiles can be returned to a usable state.

また、メインマイコン110のプログラム及びサブマイコン120のプログラムをそれぞれ識別情報IDが更新されたバージョンに書き換える(アップデートする)ときは、まず、サブマイコン120のプログラムを識別情報IDが更新されたバージョンに書き換え、次いで、メインマイコン110のプログラムを、識別情報IDが更新されたバージョンに書き換え、最終的に、メインマイコン110及びサブマイコン120のプログラムを、識別情報IDが同じであるアップデートされたプログラムに書き換える。 Further, when rewriting (updating) the program of the main microcomputer 110 and the program of the sub-microcomputer 120 to the version in which the identification information ID is updated, first, the program of the sub-microcomputer 120 is rewritten to the version in which the identification information ID is updated. Next, the program of the main microcomputer 110 is rewritten to the updated version of the identification information ID, and finally the programs of the main microcomputer 110 and the sub-microcomputer 120 are rewritten to the updated program having the same identification information ID.

メインマイコン110のプログラム及びサブマイコン120のプログラムをそれぞれ識別情報IDが更新されたバージョンに書き換える場合とは、例えば、図2に示した更新パターンにおいて、メインマイコン110のプログラムを第3バージョン(識別情報IDm=01)から第4バージョン(識別情報IDm=02)にアップデートし、係るアップデートに合わせてサブマイコン120のプログラムを第2バージョン(識別情報IDs=01)から第3バージョン(識別情報IDs=02)にアップデートする場合である。 When rewriting the program of the main microcomputer 110 and the program of the sub-microcomputer 120 to the version in which the identification information ID is updated, for example, in the update pattern shown in FIG. 2, the program of the main microcomputer 110 is changed to the third version (identification information). The program of the sub-microcomputer 120 is updated from the second version (identification information IDs = 01) to the third version (identification information IDs = 02) in accordance with the update by updating from the fourth version (identification information IDm = 02) from IDm = 01). ) When updating.

メインマイコン110のプログラム及びサブマイコン120のプログラムをそれぞれ識別情報IDが更新されたバージョンに書き換えるときは、図3のフローチャートに示したサブマイコン120のプログラムを書き換えるときの手順にしたがって、書き換え処理を実施することができる。
まず、サブマイコン120のプログラムを識別情報IDsがそれまでと異なるバージョンのプログラムに書き換える(ステップS601、ステップS602)。係る書き換えによって、サブマイコン120のプログラムの識別情報IDsとメインマイコン110のプログラムの識別情報IDmとが異なるようになる。 When rewriting the program of the main microcomputer 110 and the program of the sub-microcomputer 120 to the version in which the identification information ID is updated, the rewriting process is performed according to the procedure for rewriting the program of the sub-microcomputer 120 shown in the flowchart of FIG. can do.
First, the program of the sub-microcomputer 120 is rewritten with a version of the program whose identification information IDs are different from those up to that point (step S601, step S602). By such rewriting, the identification information IDs of the program of the sub-microcomputer 120 and the identification information IDm of the program of the main microcomputer 110 become different.

サブマイコン120は、係る識別情報IDの不一致に基づき(ステップS603)、メインマイコン110の監視機能を停止し(ステップS605)、更に、メインマイコン110を、プログラムの書き換えモード(リプログラミングモード)に遷移させる(ステップS606)。
そして、メインマイコン110のプログラムを、先に書き換えられたサブマイコン120のプログラムと同じ識別情報IDが付与されたアップデート後のプログラムに書き換える(ステップS607)。 Based on the mismatch of the identification information IDs (step S603), the sub-microcomputer 120 stops the monitoring function of the main microcomputer 110 (step S605), and further shifts the main microcomputer 110 to the program rewrite mode (reprogramming mode). (Step S606).
Then, the program of the main microcomputer 110 is rewritten to the updated program to which the same identification information ID as the program of the sub-microcomputer 120 rewritten earlier is given (step S607).

サブマイコン120に続きメインマイコン110のプログラムが書き換えられ、双方のプログラムの識別情報IDが一致するようになると(ステップS608)、サブマイコン120は、メインマイコン110の監視機能を復帰させ、書き換え処理を完了させる(ステップS609)。
このように、メインマイコン110のプログラム及びサブマイコン120のプログラムをそれぞれ識別情報IDが更新されたバージョンに書き換えるときは、まず、サブマイコン120のプログラムを書き換え、当該書き換えによって識別情報IDが不整合になってもサブマイコン120のリセット出力機能を一時的に停止させることで、メインマイコン110のプログラムの書き換えを可能とし、メインマイコン110のプログラムをアップデートさせる。 When the programs of the main microcomputer 110 are rewritten following the sub-microcomputer 120 and the identification information IDs of both programs match (step S608), the sub-microcomputer 120 restores the monitoring function of the main microcomputer 110 and performs the rewriting process. Complete (step S609).
In this way, when rewriting the program of the main microcomputer 110 and the program of the sub-microcomputer 120 to the version in which the identification information ID is updated, first, the program of the sub-microcomputer 120 is rewritten, and the identification information ID becomes inconsistent due to the rewriting. Even so, by temporarily stopping the reset output function of the sub-microcomputer 120, the program of the main microcomputer 110 can be rewritten and the program of the main microcomputer 110 is updated.

上記実施形態で説明した各技術的思想は、矛盾が生じない限りにおいて、適宜組み合わせて使用することができる。
また、好ましい実施形態を参照して本発明の内容を具体的に説明したが、本発明の基本的技術思想及び教示に基づいて、当業者であれば、種々の変形態様を採り得ることは自明である。
例えば、識別情報IDを付与するプログラムには、制御プログラムの他、制御プログラムの書き換えを制御する書き換えプログラム(図4、図6参照)を含めることができ、サブマイコン120は、制御プログラム及び書き換えプログラムについて、識別情報IDの整合性判断に基づき組み合わせが適切であるか否かを判断することができる。 The technical ideas described in the above embodiments can be used in combination as appropriate as long as there is no contradiction.
In addition, although the contents of the present invention have been specifically described with reference to preferred embodiments, it is obvious that those skilled in the art can adopt various modifications based on the basic technical idea and teaching of the present invention. Is.
For example, the program that assigns the identification information ID can include a rewriting program (see FIGS. 4 and 6) that controls rewriting of the control program in addition to the control program, and the submicrocomputer 120 includes the control program and the rewriting program. It is possible to determine whether or not the combination is appropriate based on the consistency determination of the identification information ID.

また、識別情報IDの整合性の判断は、数値の一致/不一致の判断に限定されず、種々の規則にしたがって整合性の有無を判断する設定にできる。
また、メインマイコン110は、プログラムの書き換えデータを外部から有線で取得する構成の他、プログラムの書き換えデータを無線で取得する構成とすることができる。
また、サブマイコン120は、メインマイコン110の動作異常を検出したときに、メインマイコン110にリセット要求信号を出力するとともに、異常発生を車両の運転者に警告する処理などの異常時処理を実施することができる。 Further, the determination of the consistency of the identification information ID is not limited to the determination of the numerical match / mismatch, and can be set to determine the presence or absence of the consistency according to various rules.
Further, the main microcomputer 110 may be configured to acquire the program rewrite data from the outside by wire, or to acquire the program rewrite data wirelessly.
Further, when the sub-microcomputer 120 detects an operation abnormality of the main microcomputer 110, the sub-microcomputer 120 outputs a reset request signal to the main microcomputer 110 and also performs an abnormality processing such as a process of warning the driver of the vehicle of the occurrence of the abnormality. be able to.

また、上記実施形態では、サブマイコン120が、メインマイコン110の動作異常の有無を監視する監視部を備えるが、更に、メインマイコン110が、サブマイコン120の動作異常の有無を監視する監視部を備えることができる。
また、サブマイコン120は、メインマイコン110を監視する機能、及び、プログラムの識別情報の整合性を判定する機能の他、自動車搭載機器である制御対象機器300を制御する機能やCAN通信を制御する機能などを備えることができ、メインマイコン110とサブマイコン120とは各種の制御機能を適宜分担して備えることが可能である。 Further, in the above embodiment, the sub-microcomputer 120 includes a monitoring unit for monitoring the presence or absence of an operation abnormality of the main microcomputer 110, and the main microcomputer 110 further includes a monitoring unit for monitoring the presence or absence of an operation abnormality of the sub-microcomputer 120. Can be prepared.
Further, the sub-microcomputer 120 controls the function of monitoring the main microcomputer 110, the function of determining the consistency of the identification information of the program, the function of controlling the controlled object device 300 which is an automobile-mounted device, and the CAN communication. Functions and the like can be provided, and various control functions can be appropriately shared and provided between the main microcomputer 110 and the sub-microcomputer 120.

100…自動車用電子制御装置、110…メインマイコン(第1演算処理装置)、120…サブマイコン(第2演算処理装置)、300…制御対象機器(自動車搭載機器) 100 ... Electronic control device for automobiles, 110 ... Main microcomputer (first arithmetic processing unit), 120 ... Sub microcomputer (second arithmetic processing unit), 300 ... Control target device (vehicle-mounted device)

Claims (2)

第1演算処理装置と、
前記第1演算処理装置と通信可能に構成された第2演算処理装置であって、
前記第1演算処理装置の動作に異常が生じたときに前記第1演算処理装置にリセット要求信号を出力する監視部と、
前記第1演算処理装置のプログラムの識別情報と前記第2演算処理装置のプログラムの識別情報との整合性を判断し、前記識別情報が不整合であるときに前記監視部の機能を停止して前記第1演算処理装置をプログラムの書き換えが可能なモードに設定する整合性判定部と、
を有する前記第2演算処理装置と、
を備え
前記第1演算処理装置は、
通信ネットワークを介して前記第1演算処理装置及び前記第2演算処理装置のプログラムの内容を書き換えるためのデータであって前記識別情報が付与された書き換えデータを取得する通信部を有し、
前記整合性判定部は、
前記通信部が取得した前記書き換えデータに基づき前記第1演算処理装置と前記第2演算処理装置との少なくとも一方のプログラムが書き換えられたときに、前記識別情報の整合性を判断する、
自動車用電子制御装置。 The first arithmetic processing unit and
A second arithmetic processing unit configured to be communicable with the first arithmetic processing unit.
A monitoring unit that outputs a reset request signal to the first arithmetic processing unit when an abnormality occurs in the operation of the first arithmetic processing unit.
The consistency between the identification information of the program of the first arithmetic processing unit and the identification information of the program of the second arithmetic processing unit is determined, and when the identification information is inconsistent, the function of the monitoring unit is stopped. A consistency determination unit that sets the first arithmetic processing unit to a mode in which the program can be rewritten,
The second arithmetic processing unit having
Equipped with a,
The first arithmetic processing unit is
It has a communication unit that acquires rewritten data to which the identification information is added, which is data for rewriting the contents of the programs of the first arithmetic processing unit and the second arithmetic processing unit via a communication network.
The consistency determination unit
When at least one program of the first arithmetic processing unit and the second arithmetic processing unit is rewritten based on the rewriting data acquired by the communication unit, the consistency of the identification information is determined.
Electronic control device for automobiles. 前記整合性判定部は、
前記リセット要求信号の出力機能を停止した後、前記第1演算処理装置のプログラムが、前記第2演算処理装置のプログラムの識別情報に整合する識別情報が付与されたプログラムに書き換えられたときに、前記監視部の機能を再開させる、
請求項1記載の自動車用電子制御装置。 The consistency determination unit
After stopping the output function of the reset request signal, when the program of the first arithmetic processing unit is rewritten to a program to which identification information consistent with the identification information of the program of the second arithmetic processing unit is added. Resuming the function of the monitoring unit,
The electronic control device for an automobile according to claim 1.
JP2017242764A 2017-12-19 2017-12-19 Electronic control device for automobiles Active JP6895373B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017242764A JP6895373B2 (en) 2017-12-19 2017-12-19 Electronic control device for automobiles

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017242764A JP6895373B2 (en) 2017-12-19 2017-12-19 Electronic control device for automobiles

Publications (2)

Publication Number Publication Date
JP2019109746A JP2019109746A (en) 2019-07-04
JP6895373B2 true JP6895373B2 (en) 2021-06-30

Family

ID=67179888

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017242764A Active JP6895373B2 (en) 2017-12-19 2017-12-19 Electronic control device for automobiles

Country Status (1)

Country Link
JP (1) JP6895373B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7205136B2 (en) * 2018-09-25 2023-01-17 大日本印刷株式会社 Electrical storage device valve device and electrical storage device
US20220398089A1 (en) * 2019-12-12 2022-12-15 Hitachi Astemo, Ltd. Vehicle control device and program management method
JP2023172726A (en) * 2022-05-24 2023-12-06 住友電装株式会社 On-vehicle device

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0784767A (en) * 1993-09-16 1995-03-31 Fujitsu Ltd Device and method for managing generation among processors in plural processor systems
JP3097580B2 (en) * 1996-12-18 2000-10-10 株式会社デンソー Electronic control unit
JP2007092621A (en) * 2005-09-28 2007-04-12 Aisin Seiki Co Ltd Electronic control unit
JP4899848B2 (en) * 2006-12-13 2012-03-21 株式会社デンソー In-vehicle system
JP2009053920A (en) * 2007-08-27 2009-03-12 Auto Network Gijutsu Kenkyusho:Kk Program management system for on-vehicle electronic control unit
JP5392058B2 (en) * 2009-12-23 2014-01-22 株式会社オートネットワーク技術研究所 Processing apparatus and control method
JP6081239B2 (en) * 2013-03-13 2017-02-15 日立オートモティブシステムズ株式会社 Control device abnormality monitoring apparatus and abnormality monitoring method
JP6205214B2 (en) * 2013-09-06 2017-09-27 日立オートモティブシステムズ株式会社 Electronic control unit for automobile

Also Published As

Publication number Publication date
JP2019109746A (en) 2019-07-04

Similar Documents

Publication Publication Date Title
JP6895373B2 (en) Electronic control device for automobiles
WO2018025685A1 (en) On-board update device, on-board update system, and communication device update method
JP6897630B2 (en) In-vehicle update device, update processing method and update processing program
EP2085881B1 (en) Electronic control unit for use in a vehicle
CN110809755A (en) Electronic control system
JP2008254484A (en) On-vehicle communication system
JP7010087B2 (en) Program update management device, program update management method, and program
US20080109800A1 (en) Intelligent transmitter and software update method for same
JP6913621B2 (en) Electronic control device for automobiles
JP4311067B2 (en) Data rewriting method and electronic control device
JP2007206827A (en) Electronic control unit, and method for generating program for controlling on-vehicle device
JP6415990B2 (en) Electronic control unit for automobile
JP2003172199A (en) Program rewriting system for vehicular electronic control unit
JP2004042794A (en) Control device and control system
WO2017033579A1 (en) Electronic control device for vehicles
JP7087334B2 (en) Electronic control device
JP3979202B2 (en) In-vehicle communication system
JP2009087107A (en) Control system for vehicle
JP7211189B2 (en) Update processing system and update processing method
JP6468168B2 (en) Electronic control unit
CN113849204A (en) Server, update management method, storage device, software update device, center and OTA host
JP6176097B2 (en) Communication system and communication apparatus
JP2019200789A (en) Electronic controller and session establishing program
CN111984284B (en) Data rewriting method and data rewriting system
JP2003056398A (en) Electronic control system for vehicle, electronic control unit, and vehicle information writing method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191121

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200916

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201027

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210601

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210607

R150 Certificate of patent or registration of utility model

Ref document number: 6895373

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150